[发明专利]一种实现工业控制系统移动运维防护的方法、装置及系统

说明书

技术领域

本发明涉及工业控制技术领域，具体涉及一种实现工业控制系统移动运维防护的方法、装置及系统。

背景技术

工业控制系统包括众多设备，例如输入输出I/O设备、PLC(Programmable Logic Controller，可编程逻辑控制器)、工业交换机、HMI(Human Machine Interface，人机界面)、操作员站、工程师站、以及历史数据库、实时数据库等，工业控制系统中设备部署范围广，使工业控制系统的运维工作出现以下特点：(1)设备运维方式多：既可以通过工业控制网络进行远程维护，也可以进行本地维护；(2)运维监控管理难：工业控制设备部署地域广、厂商多，使运维监控管理工作可行性不强；(3)设备运维风险大：虽然工业控制系统智能性和自动化程度高，但安全性比较脆弱，在运维过程中易引入安全威胁。

通过对一些安全事件的分析，发现运维人员在现场维护工控设备时，安全威胁往往通过接入工业控制设备的外接设备如移动运维终端引入，而现有技术中尚没有一种专门针对工业控制系统在现场移动运维时的安全保护方案，即无法保证在现场移动运维时工业控制系统的安全性。

发明内容

有鉴于此，本发明提供一种实现工业控制系统移动运维防护的方法、装置及系统，以解决现有技术中无法保证在现场移动运维时工业控制系统的安全性的技术问题。

为解决上述问题，本发明提供的技术方案如下：

一种实现工业控制系统移动运维防护的方法，应用于实现工业控制系统移动运维的安全网关，所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间，所述方法包括：

接收用户通过所述移动运维终端发送的用户信息，对所述用户信息进行认证；

当所述用户信息认证通过后，对所述移动运维终端进行准入核查；

当所述移动运维终端通过准入核查后，接收所述移动运维终端发送的控制指令，根据所述控制指令利用组态软件将所述控制指令转换为运维指令；

利用工业协议解析所述运维指令生成解析结果，保存所述解析结果；

将所述运维指令发送给所述工业控制系统，以使所述工业控制系统执行运维操作；

在执行运维操作过程中，接收所述移动运维终端发送的运维数据，对所述运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。

相应的，所述对所述移动运维终端进行准入核查，包括：

预先保存安全移动运维终端的设备号列表；

获取所述移动运维终端的设备号，查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表，如果是，则所述移动运维终端通过准入核查，如果否，禁止接收所述移动运维终端发送的控制指令。

相应的，所述利用工业协议解析所述运维指令生成解析结果，包括：

利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析，生成解析结果。

相应的，所述方法还包括：

接收集中管理平台发送的传递日志指令；

将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台，以使所述集中管理平台生成运维情况列表。

相应的，所述方法还包括：

根据所述解析结果对不符合预设条件的运维指令进行拦截。

一种实现工业控制系统移动运维防护的装置，集成在实现工业控制系统移动运维的安全网关中，所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间，所述装置包括：

身份认证单元，用于接收用户通过所述移动运维终端发送的用户信息，对所述用户信息进行认证；

终端认证单元，用于当所述用户信息认证通过后，对所述移动运维终端进行准入核查；

转换单元，用于当所述移动运维终端通过准入核查后，接收所述移动运维终端发送的控制指令，根据所述控制指令利用组态软件将所述控制指令转换为运维指令；

解析单元，用于利用工业协议解析所述运维指令生成解析结果，保存所述解析结果；

第一发送单元，用于将所述运维指令发送给所述工业控制系统，以使所述工业控制系统执行运维操作；

病毒查杀单元，用于在执行运维操作过程中，接收所述移动运维终端发送的运维数据，对所述运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。

相应的，所述终端认证单元包括：

第一保存子单元，用于预先保存安全移动运维终端的设备号列表；