[发明专利]一种实现工业控制系统移动运维防护的方法、装置及系统

权利要求书

1.一种实现工业控制系统移动运维防护的方法，其特征在于，应用于实现工业控制系统移动运维的安全网关，所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间，所述方法包括：

接收用户通过所述移动运维终端发送的用户信息，对所述用户信息进行认证；

当所述用户信息认证通过后，对所述移动运维终端进行准入核查；

当所述移动运维终端通过准入核查后，接收所述移动运维终端发送的控制指令，根据所述控制指令利用组态软件将所述控制指令转换为运维指令；

利用工业协议解析所述运维指令生成解析结果，保存所述解析结果；

将所述运维指令发送给所述工业控制系统，以使所述工业控制系统执行运维操作；

在执行运维操作过程中，接收所述移动运维终端发送的运维数据，对所述运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。

2.根据权利要求1所述的方法，其特征在于，所述对所述移动运维终端进行准入核查，包括：

预先保存安全移动运维终端的设备号列表；

获取所述移动运维终端的设备号，查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表，如果是，则所述移动运维终端通过准入核查，如果否，禁止接收所述移动运维终端发送的控制指令。

3.根据权利要求1所述的方法，其特征在于，所述利用工业协议解析所述运维指令生成解析结果，包括：

利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析，生成解析结果。

4.根据权利要求1或3所述的方法，其特征在于，所述方法还包括：

接收集中管理平台发送的传递日志指令；

将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台，以使所述集中管理平台生成运维情况列表。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据所述解析结果对不符合预设条件的运维指令进行拦截。

6.一种实现工业控制系统移动运维防护的装置，其特征在于，集成在实现工业控制系统移动运维的安全网关中，所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间，所述装置包括：

身份认证单元，用于接收用户通过所述移动运维终端发送的用户信息，对所述用户信息进行认证；

终端认证单元，用于当所述用户信息认证通过后，对所述移动运维终端进行准入核查；

转换单元，用于当所述移动运维终端通过准入核查后，接收所述移动运维终端发送的控制指令，根据所述控制指令利用组态软件将所述控制指令转换为运维指令；

解析单元，用于利用工业协议解析所述运维指令生成解析结果，保存所述解析结果；

第一发送单元，用于将所述运维指令发送给所述工业控制系统，以使所述工业控制系统执行运维操作；

病毒查杀单元，用于在执行运维操作过程中，接收所述移动运维终端发送的运维数据，对所述运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。

7.根据权利要求6所述的装置，其特征在于，所述终端认证单元包括：

第一保存子单元，用于预先保存安全移动运维终端的设备号列表；

获取子单元，用于当所述用户信息认证通过后，获取所述移动运维终端的设备号；

查找子单元，用于查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表，如果是，则所述移动运维终端通过准入核查，如果否，禁止接收所述移动运维终端发送的控制指令。

8.根据权利要求6所述的装置，其特征在于，所述解析单元包括：

解析子单元，用于利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析，生成解析结果；

第二保存子单元，用于保存所述解析结果。

9.根据权利要求6或8所述的装置，其特征在于，所述装置还包括：

接收单元，用于接收集中管理平台发送的传递日志指令；

第二发送单元，用于将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台，以使所述集中管理平台生成运维情况列表。