[发明专利]一种安全防护方法、控制单元及工业控制系统

说明书

技术领域

本发明涉及防火墙技术，尤其涉及一种安全防护方法、控制单元及工业控制系统。

背景技术

在当前的工业控制系统中，控制网除了要求具有快速实时的响应能力、高可靠性和强容错能力之外，对工业控制系统安全的要求也越来越高，尤其是对工业控制系统中的控制单元的安全要求越来越紧迫。尤其是，控制单元肩负着现场信号的运算及控制的重任，其安全与否直接影响到运行效率，甚至生产以及人身安全。因此，控制单元的安全问题成为工业控制系统安全至关重要的环节，并且，其安全等级需求在整个工业控制系统中也是最高的。

在现有技术中，工业控制系统的安全防护一般采取逐层防护的方式部署，即在攻击路径上的任意位置如企业网入口、监控层网络入口、现场层网络入口设置防护措施，阻断攻击，实现对安全等级最高的现场层的保护。

参见图1，控制单元处于工业控制系统的底层，即现场层104，通常做法是在监控层101和现场层104之间配置第三方防火墙103，实现工业控制系统内部控制单元之前的安全防护。

其中，第三方防火墙包括商用防火墙或者工业防火墙。虽然采用上述利用第三方防火墙的方法能够实现对控制单元的安全防护，但是不管是商用防火墙还是工业防火墙，都不是针对特定的控制系统而设，所适用的功能有限，且在进行防护的过程中还需要操作人员根据应用的系统经过一系列配置才能如期工作，若配置不当反而可能导致通讯故障，使得控制单元安全性受到威胁，进而降低控制单元的实时性和工作效率；而在进行数据传输的过程中，控制层(控制单元)与监控层之间的交互数据都需要经过第三方防火墙进行转发，若第三方防火墙的性能达不到指标或出现故障，将影响监控层和控制层的通信效率，进而影响到控制单元的实时性和工作效率。

发明内容

有鉴于此，本发明提供了一种安全防护方法、控制单元及工业控制系统，以克服现有技术在工业控制系统中，采用第三方防火墙进行安全防护，无法满足控制单元所需的防护需求，从而影响控制单元的实时性和工作效率的问题。

为实现上述目的，本发明提供以下技术方案：

一种安全防护方法，该方法包括：

接收预设模式下传输的第一数据包；

按照预设校验检查规则对所述第一数据包进行校验检查，将过滤校验出错数据后的第一数据包作为第二数据包输出；

按照预设的合理数据包长度对所述第二数据包的长度进行检测，将符合预设的合理数据长度的第二数据包作为第三数据包输出；

按照预设安全规则对所述第三数据包进行安全检查，对符合所述安全规则的所述第三数据包做冗余取舍，获取第四数据包并传递给控制中央处理器CPU。

优选地，当预设模式为广播模式时，所述第一数据包包括广播数据包；

当预设模式为直接模式时，所述第一数据包包括发送给控制单元的点播、组播数据包。

优选地，所述预设校验规则包括循环冗余校验码CRC、因特网互联协议IP、用户数据包协议UDP和传输控制协议TCP中的一种或任意组合。

优选地，所述预设安全规则包括根据系统特性而确定的合法数据包协议、数据包源IP地址范围、数据包头部长度限制、传输层端口标致检验符校验和应用层标致检验符校验中的一种或任意组合。

优选地，本发明公开的方法还包括：

在接收预设模式下传输的第一数据包之后，包括：

按照预设的限流方式和限流阈值判断所述第一数据包是否触发系统预设的诊断报警条件；

当触发时，则报警；

当未触发时，返回执行按照预设校验检查规则对所述第一数据包进行校验检查这一步骤。

优选地，本发明公开的方法还包括：

在对所述第二数据包的长度进行检测之后，包括：

丢弃超过预设的合理数据包长度的第二数据包；

和/或当超过预设的合理数据包长度的第二数据包触发系统预设的诊断报警条件时，报警。

优选地，本发明公开的方法还包括：

在对所述第三数据包进行安全检查之后，包括：

丢弃不符合安全规则的第三数据包；和/或当不符合安全规则的第三数据包触发系统预设的诊断报警条件时，报警。

一种控制单元，包括工业防火墙和控制中央处理器CPU，其中：

工业防火墙包括：

端口硬件模块，用于根据预设校验检查规则对接收到的预设模式下传输的第一数据包进行过滤，将过滤校验出错数据后的第一数据包作为第二数据包输出；