[发明专利]工业控制网络安全防护方法及系统

说明书

技术领域

本发明涉及一种工业控制网络安全防护方法及系统，属于工业控制网络领域。

背景技术

工业控制系统负责对生产装置的连续控制，具有不可间断的高可靠性要求和不可延迟的高实时性要求。目前，工业控制系统中的计算机以及通讯设备多使用IT系统的反病毒技术和网络安全技术来防护。但是，许多在线查杀、云查杀技术会影响系统的稳定性，杀毒程序升级和软件补丁可能导致系统重启，不适用于连续生产过程。

工业领域的通讯包含了IP网络、公共有线或无线网络、无线传感网络、电力载波网络、现场总线等多种形式，外部入侵的途径有多种可能性。网关位置的安全防护是信息安全的基础，但传统的防火墙仅能解决非授权访问的问题，无法提供更深层的安全防护。作为对防火墙的补充，防毒墙、网络入侵防御(NIPS)、VPN等安全设备纷纷出现在网关的位置。这种“糖葫芦串”式安全部署所带来的问题，除了投资成本、管理成本的迅速增加，能耗也呈指数性地上升。

目前计算机病毒、各种网络攻击等新特点层出不穷，工业控制系统面临着安全新挑战，而国内大部分工业自动化系统的网络层采取了一些传统安全防护措施，但物理层安全防护还没有成熟的产品和解决方案，无法应对越来越严重的内部攻击。而且应用与信息领域相关的许多安全技术都需要改动现有的工业硬件系统和网络，而这将会增加系统改造成本。

在工业领域，安全隔离网闸应具有高度安全性，但是目前网闸都是采用基于硬件开关控制，受限于现有技术条件；大部分采用了基于工控机的硬件架构，安全性差，可靠性差，功耗高（均在200瓦以上），噪音大，启动速度极慢（2分钟以上）；并且一般都是针对特定应用的，不能方便同时支持多种应用，部分不支持工业通信标准，如Profibus、CAN等。

国外已有工业自动化网络防护方面的产品面市，比如加拿大Tofino公司的硬件安全网闸和美国Industrial Defender公司的安全防护网络。国内暂无相关的产品面市。总体上，国外的产品发展较早，国内基本空白。对于该领域的学术文献，也是国外的较多，国内的较少。

加拿大Tofino公司的硬件安全网闸产品是基于串联式硬件防护的主动防御技术，但是仅仅支持标准以太网接口的通信，对于其他通信网络无法接入，而且还不能有效防御控制系统底层的内部攻击；美国Industrial Defender公司的安全防护网络产品是基于在线监控的被动防御技术，但各种监控设备比较复杂，对软件病毒数据库的要求较高。国内该领域的技术产品多是基于IT防护的技术，不能满足工业控制网络的要求。

发明内容

本发明的目的在于，提供一种工业控制网络安全防护方法及系统，在不改变工业企业的软硬件设备和网络布局的情况下，能够大大提高工业控制系统的网络安全水平，降低投资、改造系统及管理的成本。

为解决上述技术问题，本发明采用如下的技术方案：一种工业控制网络安全防护方法，采用3主机结构和三层防护策略，包括以下步骤：

针对外部网络攻击，前方主机对外部网络通讯数据进行第一层数据过滤和访问控制，过滤非法身份的访问，安全控制主机通过共用存储区来缓存数据，对数据进行入侵检测，对非法数据进行及时报警并通知两侧主机，后方主机对数据进行深层过滤和访问控制，合法数据进入到内部网络；

针对内部网络攻击，后方主机对内部网络通讯数据进行第一层数据过滤和访问控制，过滤非法身份的访问，安全控制主机通过共用存储区来缓存数据，对数据进行入侵检测，对非法数据进行及时报警并通知两侧主机，前方主机对数据进行深层过滤和访问控制，合法数据进入到外部网络。

所述内部网络，是在企业内等特定的组中提供服务的网络或按照不同标准分割的网络空间，是必须确保安全的网络；所述外部网络，是与内部网络相对应的网络，即安全性较低的网络，可以是企业局域网、不特定的多数所连接并利用的广域网或公众网，甚至互联网。

前述的工业控制网络安全防护方法中，所述主机都采用基于安全芯片TPM的动态可信度量策略，建立基于TPM的可信根及可信链，将敏感数据存放在TPM芯片内部和其他组件隔离的存储器内，在内部完成密钥生成、数据加密和身份认证。