[发明专利]一种访问控制设备、方法、计算机程序产品和计算机可读介质

说明书

涉及工业安全技术领域，尤其涉及一种访问控制设备和方法，可在系统的远程访问过程中提供有效的安全防护。一个访问控制设备(50)包括一个前端防火墙(501)，提供一个第一网络端口(51)以连接一台远程计算机(20)；与所述前端防火墙(501)连接的一个堡垒机(502)；与所述堡垒机(502)连接的一个后端防火墙(503)，提供一个第二网络端口(52)以连接所述系统(10)；所述后端防火墙(503)通过所述第二网络端口(52)扫描所述系统(10)中允许远程访问的资源并从中确定所述计算机(20)可远程访问的资源；所述堡垒机(502)，通过所述前端防火墙(501)，经由所述第一网络端口(51)向所述计算机(20)提供其可远程访问资源的信息。具有使用安全、简单、即插即用的优点。

技术领域

本发明涉及工业安全技术领域，尤其涉及一种访问控制设备、方法、计算机程序产品和计算机可读介质。

背景技术

根据Gartner的定义，运营技术(Operational Technology，OT)集合了硬件和软件，通过直接地监视和/或控制物理设备，检测或触发企业中过程的变化或发生的事件。OT利用计算机监视或改变诸如工业控制系统(Industrial Control System，ICS)的物理状态。其中，工业控制系统是基于计算机实现的设施、系统和设备，用于远程监视和/或控制关键的工业过程，实现物理功能。“OT”这个词的叫法用于将工业控制系统和传统的信息技术(Information Technology，IT)系统在技术实现和功能上加以区分。采用OT技术的系统可包括：

·数据采集与监视控制(Supervisory Control And Data Acquisition，SCADA)系统；

●分布式控制系统(Distributed Control System，DCS)；

●计算机数字控制(Computer Numerical Control，CNC)系统，包括计算机化的机器工具；

●科学设备(比如：数字示波器等)等。

传统的OT系统是封闭的系统，设计之初主要考虑生产率、可操作性和可靠性，极少强调安全性。这些系统依赖于专用的网络和硬件，一直以来被认为可抵御网络攻击。但随着自动制造和过程控制技术的演进，保护ICS/OT计算机环境的需求逐年递增。随着IT技术的广泛采用，传统的封闭系统逐渐向开放系统演进，包括合资、服务外包等各种商业模式的出现使得传统的封闭系统与外部系统连接，而网络入侵事件的迅速增加、恶意软件的使用也进一步增加了ICS被外界攻击的风险。所有这些使得保护OT系统网络安全的需求日益迫切。

另一方面，在OT系统中，绝大多数的生产设备由其他公司提供。由于设备的复杂性，这些设备的拥有者可能无法对设备故障进行诊断和维护，在大多数情况下，需要依赖于设备提供商的技术支持，为了避免高额的现场支持费用，绝大多数的OT系统的运营者允许设备提供商通过互联网接入OT系统以提供远程技术支持。这样就会使得OT系统与外部系统相连，如果没有采取有效的安全防护措施，OT系统很可能面临如下的网络安全威胁：

●关键的、易被攻击的的OT系统、设备可能接受未授权的访问，甚至受到互联网攻击；

●远程接入OT系统的计算机如果感染了病毒，在工程师对OT系统进行远程维护时，病毒可能感染OT系统中的设备；

●远程接入的计算机与OT系统之间的通信可能会被窃听，受到中间人(man-in-the-middle，MITM)攻击等。

因此，如何在远程访问OT系统的过程中采取有效的安全防护措施，以提高OT系统的安全性是一个亟待解决的问题。

发明内容