CN109976239A - 工控系统终端安全防护系统 - Google Patents

Abstract

本发明属于工业控制系统终端安全防护技术领域，具体涉及一种工控系统终端安全防护系统。所述工控系统终端安全防护系统包括：终端安全防护设备、终端安全集中管理系统；该方案综合运用强身份鉴别、双重访问控制、接口防护策略、文件深度解析、安全审计和设备集中管理一系列技术手段，有效阻断工控系统设备运行中的网络攻击和非法接入等恶意行为，并同时实现对多台相同类型或不同类型工控系统设备终端安全防护策略进行集中的配置与管理。本方案具有工控设备终端安全防护等级高，支持多台设备集中统一管理，且集中管理平台适用多种应用环境、多种工业协议、兼容性好、设备添加删除简单、防护策略配置灵活、告警上报与设备管理高效等优点。

Description

工控系统终端安全防护系统

技术领域

本发明属于工业控制系统终端安全防护技术领域，具体涉及一种工控系统终端安全防护系统。

背景技术

工业控制系统广泛应用于电力、石化、交通、市政、新型智能制造等涉及国家安全的重要领域，一旦出现安全问题，受到影响的将不仅是企业经济损失，甚至会危害国家安全及社会公众利益，其重要性不言而喻。自从2010年“震网”事件之后，世界各国对工控系统安全问题的关注被提升到一个前所未有的高度，世界各国都在加紧制定政策、标准、技术和防护方案，其中工业控制系统终端安全更成为工业和信息安全领域研究机构及企业关注的焦点。目前，我国也已将工控系统安全上升到国家安全战略高度，相关政策、标准也在逐步制定、实施的过程中。虽然我国在工控系统终端安全防护技术领域仍处在刚刚起步、培育市场的早期阶段，但由于其涉及国家安全且未来市场潜力巨大，因此，面向工控系统终端安全防护的方法研究、系统研发以及产业化应用便成为一个亟待解决的问题。

目前，国内外市场上的工控系统终端安全防护产品主要有两类，一类是工控主机软件，以软件程序的方式安装在工控主机上；另一类是接口保护类硬件，对设备USB等接口进行硬件防护。然而，以上两类工控系统终端安全防护产品主要存在以下问题：第一，由于工业控制网络中的软硬件平台环境较为复杂，很多CNC、PLC、DCS、SCADA等系统主要依赖于国外软硬件厂商，存在设计后门、接口不适用或应用场景不符等情形难以避免；第二，工控系统普遍采用嵌入式或精简操作系统，这些系统一般无法更新操作系统补丁、安装查杀病毒软件和信息安全产品，缺少作为一台网络终端设备所必需的安全防护措施，使得工控系统存在严重的安全隐患；第三，恶意网络攻击行为容易利用暴露在网络上工控系统的漏洞窃取超级用户权限，肆意破坏系统或窃取机密数据；第四，工控系统设备本身一般未采用双重强身份鉴别手段实现访问控制，工控设备中存储的数据以及设备上各类接口(串口、网口、USB接口等)存在未授权用户非法接入的风险；第五，工控系统运维如需要依靠外部运维人员，缺乏对外部运维人员违规操作进行监管及事后追溯的技术手段。第六，缺少能够同时对多台相同类型或不同类型工控系统设备终端安全防护策略进行配置与管理的集中统一管理平台。

从以上分析可知，现阶段工业控制系统终端安全防护的不足主要是：无法对工控系统设备上各类接口通过综合运用双重访问控制、强身份鉴别、接口防护策略、文件深度解析、安全审计和设备集中管理一系列技术手段加以全面监控与防护；无法有效阻断工控系统设备运行中的网络攻击和非法接入等恶意行为；无法同时实现多台相同或不同类型工控系统设备终端安全防护的集中统一管理。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：针对工业控制系统终端安全防护技术领域，如何克服现有技术不足，提供一种工控系统终端安全防护系统。

(二)技术方案

为解决上述技术问题，本发明提供一种工控系统终端安全防护系统，所述工控系统终端安全防护系统包括：终端安全防护设备、终端安全集中管理系统；

所述工控系统终端安全防护系统运行于工控设备终端安全防护系统安全域中，所述工控设备终端安全防护系统安全域中除了所述防护系统之外，还包括：多个工业防火墙、交换机、数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组，与数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组分别对应的CNC-MES信息化管理系统、PLC-MES信息化管理系统、DCS-MES信息化管理系统、SCADA-MES信息化管理系统，四个OPC服务器/数据库以及四个监视终端；其中，四个OPC服务器/数据库以及四个监视终端一一对应数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组设置；

其中，所述工控系统终端安全防护系统组成终端安全防护层；

CNC-MES信息化管理系统、PLC-MES信息化管理系统、DCS-MES信息化管理系统、SCADA-MES信息化管理系统、工业防火墙、交换机组成工业控制系统层；

数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组，四个OPC服务器/数据库和四个监视终端组成制造生产执行层。

其中，所述终端安全集中管理系统包括：强身份鉴别模块、双重访问控制模块、接口防护策略模块、文件深度解析模块；

所述强身份鉴别模块用于对用户的登录操作进行强身份鉴别，生成身份鉴别结果成功消息或身份鉴别结果失败消息，并发送给双重访问控制模块；

所述双重访问控制模块用于在接收到身份鉴别结果成功消息的情况下，根据管理员的指令对工控设备进行集中配置，生成工控设备配置结束信息发送至接口防护策略模块；并用于比对普通用户的访问权限，生成用户访问控制成功信息或用户访问控制失败信息，并发送至接口防护策略模块；

所述接口防护策略模块用于在接收到工控设备配置结束信息后，对工控设备进行接口防护策略配置，生成以该工控设备唯一标识和当前时间为名称的xml配置文件，并将该xml配置文件发送至文件深度解析模块；

所述文件深度解析模块用于将xml配置文件发送至工控设备，进行防护策略配置，工控设备根据当前配置的防护策略进行后续制造生产执行操作。

其中，所述强身份鉴别模块包括：哈希值生成单元、哈希值比对单元、强身份鉴别结果发送单元；所述强身份鉴别模块使用具有强混淆特性的加密哈希函数SHA-256作为身份鉴别算法；

所述哈希值生成单元用于根据用户指令或输入的用户名和密码，通过加密哈希函数SHA-256计算产生固定长度256位的哈希值；

所述哈希值比对单元用于比对计算产生的哈希值与OPC服务器/数据库中对应哈希值的一致性，若哈希值一致，则允许该用户登录终端安全集中管理系统，同时生成身份鉴别结果成功消息；若哈希值不一致，则拒绝登录请求，同时生成身份鉴别结果失败消息；

所述强身份鉴别结果发送单元用于将身份鉴别结果成功消息或身份鉴别结果失败消息发送给双重访问控制模块。

其中，所述双重访问控制模块包括：用户身份判断单元、网段配置单元、设备配置单元、权限配置单元、权限匹配判断单元、访问控制结果生成单元；

所述用户身份判断单元用于在接收到身份鉴别结果成功消息的情况下，对用户身份进行判断，在用户身份为管理员时，生成第一触发信号至网段配置单元，在用户身份为普通用户时，生成第二触发信号至权限匹配判断单元；

所述网段配置单元用于在收到第一触发信号后，允许管理员用户登录工控系统终端安全防护系统，并根据管理员用户的指令配置终端安全防护设备的IP地址和子网掩码，使终端安全防护设备和工控设备终端安全防护系统安全域中的所有工控设备在同一个网段；所述工控设备包括：数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组；

所述设备配置单元用于根据管理员用户的指令进行工控设备终端安全防护系统安全域中工控设备的集中配置，生成工控设备配置结束信息，并发送至接口防护策略模块；

所述权限配置单元用于根据管理员用户的指令完成普通用户和对应工控设备之间的访问控制权限配置，生成访问控制权限配置结束信息；

所述权限匹配判断单元用于在收到第二触发信号后，允许普通用户登录工控系统终端安全防护系统，同时比对普通用户和工控设备的访问控制权限之间的对应关系，若访问控制权限的对应关系匹配，则允许用户登录并按照访问控制权限操作该工控设备，若访问控制权限的对应关系不匹配，则拒绝用户登录并按照访问控制权限操作该工控设备；

所述访问控制结果生成单元用于在访问控制权限的对应关系匹配的情况下，生成用户访问控制成功信息，并发送至接口防护策略模块；在用于在访问控制权限的对应关系不匹配的情况下，生成用户访问控制失败信息，并发送至接口防护策略模块。

其中，所述接口防护策略模块包括：串口配置单元、网口配置单元、USB接口配置单元、配置文件生成单元、配置文件发送单元；

所述串口配置单元用于对工控设备的串口进行防护策略配置；

所述网口配置单元用于对工控设备的网口进行防护策略配置；

所述USB接口配置单元用于对工控设备的USB接口进行防护策略配置；

所述配置文件生成单元用于在接口的防护策略配置完成后，保存防护策略并生成以该工控设备唯一标识和当前时间为名称的xml配置文件；

配置文件发送单元用于将该xml配置文件发送给文件深度解析模块。

其中，所述文件深度解析模块包括：配置文件加密单元、配置文件解密单元；

所述配置文件加密单元在接收到接口防护策略模块发来的xml配置文件时，将xml配置文件加密，采用TCP协议发送至与xml配置文件内工控设备唯一标识一致的工控设备；

所述配置文件解密单元设置于工控设备上，在收到唯一标识一致的xml配置文件后对其进行解密，并根据解密后的配置参数信息进行防护策略配置，工控设备根据当前配置的防护策略进行后续制造生产执行操作。

其中，所述文件深度解析模块还包括：文件过滤单元、文件解析单元；

所述文件过滤单元用于在收到来自安全域外的工控加工文件或其他不明文件时，根据工控加工文件格式白名单、黑名单进行文件格式审查过滤，若工控加工文件或其他不明文件的文件格式属于工控加工文件格式白名单，则将工控加工文件或其他不明文件发送至文件解析单元；若工控加工文件或其他不明文件的文件格式属于工控加工文件格式黑名单，则丢弃该文件，不予转发；

所述文件解析单元内部存储用户预先自定义的解析规则和解析条件，所述解析规则和解析条件为用户自定义的会影响工控设备安全防护的规则和条件；

所述文件解析单元用于对工控加工文件或其他不明文件内容进行全面深度扫描分析，判断是否符合用户预先自定义的解析规则和解析条件，若工控加工文件或其他不明文件中包含符合解析规则和解析条件的字符，则阻断该文件的传输和转发，否则将工控加工文件或其他不明文件发送至目标工控设备。

其中，所述工控加工文件格式白名单中，包含Siemens、Fanuc、Heidenhain工控设备生产厂家的NC程序文件格式及txt文件格式；

所述工控加工文件格式黑名单中，包含exe文件格式。

其中，所述解析规则采用正则表达式；解析条件包含关键字(content)、检测深度(depth)、固定位置(permanent_position)、浮动位置(float_position)、协议特征(protocol_characteristics)和攻击特征(attack_characteristics)。

其中，所述安全防护系统还包括：安全审计模块；

所述安全审计模块用于实时接收安全域内工控设备制造生产执行过程中上报的日志告警信息；

所述安全审计模块用于记录终端安全防护设备自身的业务防护日志，以及针对工控设备的操作行为日志(含用户身份鉴别、访问控制)和维护日志；

所述安全审计模块用于当发生针对终端安全防护设备的非法入侵或设备异常时，产生并存储攻击信息日志；

所述业务防护日志(filefilter_log)、操作行为日志(operation_log)、维护日志(maintain_log)和攻击信息日志(attackinfo_log)，其各自的日志字段说明如下：

(1)业务防护日志记录终端安全防护设备对文件审查过滤的全部记录，包括：事件编号、时间、文件名称、服务类型、传输方向、传输结果、文件类型检查、文件格式检查、关键词检查、源IP地址、目的IP地址；

(2)操作行为日志记录工控设备配置管理操作全部记录，包括：事件编号、用户名、设备标识、操作、发生时间、hostIP、hostMac、结果；

(3)维护日志记录工控设备的全部维护记录，对工控设备登录、退出、升级、降级、故障维护交互数据流进行监控，包括：事件编号、设备标识、起始时间、结束时间、维护人员、数据记录、维护方式、结果；

(4)攻击信息日志记录终端安全防护设备受到网络攻击的全部记录，包括：事件编号、发生时间、攻击源IP、攻击目标IP、攻击源Mac、攻击目标Mac、目标端口、攻击对象、攻击类型、攻击事件说明。

(三)有益效果

本发明针对工业控制系统终端安全防护技术领域，克服现有技术不足，提供一种工控系统终端安全防护系统，其通过模块控制的方式提高工控系统终端安全防护能力和等级。本发明适用于CNC、DCS、PLC、PAC、SCADA、RTU、FCS、IPC等多种类型的工业控制系统。

该方案综合运用强身份鉴别、双重访问控制、接口防护策略、文件深度解析、安全审计和设备集中管理一系列技术手段，有效阻断工控系统设备运行中的网络攻击和非法接入等恶意行为，并同时实现对多台相同类型或不同类型工控系统设备终端安全防护策略进行集中的配置与管理。本方案具有工控设备终端安全防护等级高，支持多台设备集中统一管理，且集中管理平台适用多种应用环境、多种工业协议、兼容性好、设备添加删除简单、防护策略配置灵活、告警上报与设备管理高效等优点。

具体而言，与现有技术相比较，本发明具备如下有益效果：

(1)本发明综合运用强身份鉴别、双重访问控制、接口防护策略、文件深度解析、安全审计和设备集中管理一系列技术手段，实现了对工业控制系统串口、USB口、网口等的全面接管和监控，实现了有效阻断工控系统设备运行中的网络攻击和非法接入等恶意行为，实现了针对业务防护日志、操作行为日志、攻击信息日志和维护日志的全面安全审计与事后追溯，提高了工控系统设备终端安全的防护能力和等级。

(2)本发明的工控系统终端安全防护系统通过软件程序控制方式，实现了同时对多台相同类型或不同类型工控系统设备终端安全防护策略进行配置的集中统一管理，且该平台具有适用多种应用环境、多种工业协议、兼容性好、设备添加删除简单、防护策略配置灵活、告警上报与设备管理高效等优点。

因此，相比于传统的网络入侵检测设备和入侵防御设备，本发明进一步提高了工控系统终端安全防护能力和等级，提供的终端安全防护系统具有适用多种应用环境、多种工业协议、兼容性好、设备添加删除简单、防护策略配置灵活、告警上报与设备管理高效，更加简单、灵活、高效的实现同时对多台工控系统终端安全集中统一防护等优点。本发明可广泛应用于涉及国民经济、国防工业和国家安全的各种工控系统终端安全防护技术领域，特别是需要对工控系统终端安全进行集中统一防护等情形。

附图说明

图1为工控系统终端安全防护系统连接示意图。

图2为工控系统终端安全防护系统模块构成与数据流图。

图3为工控系统终端安全防护系统工作流程图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

针对现有技术问题，本发明提出一种面向工控系统终端安全的防护方法及系统是非常必要的，通过提供一种工控系统终端安全防护集中管理平台，并综合运用多种技术手段保证工业控制系统安全稳定运行。

具体而言，所述工控系统终端安全防护系统，其如图1所示，所述工控系统终端安全防护系统包括：终端安全防护设备、终端安全集中管理系统；所述终端安全集中管理系统优先采用管理机PC来运载；

所述工控系统终端安全防护系统运行于工控设备终端安全防护系统安全域中，所述工控设备终端安全防护系统安全域中除了所述防护系统之外，还包括：多个工业防火墙、交换机、数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组，与数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组分别对应的CNC-MES信息化管理系统、PLC-MES信息化管理系统、DCS-MES信息化管理系统、SCADA-MES信息化管理系统，四个OPC服务器/数据库以及四个监视终端；其中，四个OPC服务器/数据库以及四个监视终端一一对应数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组设置；

其中，所述工控系统终端安全防护系统组成终端安全防护层；

CNC-MES信息化管理系统、PLC-MES信息化管理系统、DCS-MES信息化管理系统、SCADA-MES信息化管理系统、工业防火墙、交换机组成工业控制系统层；

数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组，四个OPC服务器/数据库和四个监视终端组成制造生产执行层。

其中，如图2所示，所述终端安全集中管理系统包括：强身份鉴别模块、双重访问控制模块、接口防护策略模块、文件深度解析模块；

如图3所示，所述强身份鉴别模块用于对用户的登录操作进行强身份鉴别，生成身份鉴别结果成功消息或身份鉴别结果失败消息，并发送给双重访问控制模块；

所述双重访问控制模块用于在接收到身份鉴别结果成功消息的情况下，根据管理员的指令对工控设备进行集中配置，生成工控设备配置结束信息发送至接口防护策略模块；并用于比对普通用户的访问权限，生成用户访问控制成功信息或用户访问控制失败信息，并发送至接口防护策略模块；

所述接口防护策略模块用于在接收到工控设备配置结束信息后，对工控设备进行接口防护策略配置，生成以该工控设备唯一标识和当前时间为名称的xml配置文件，并将该xml配置文件发送至文件深度解析模块；

所述文件深度解析模块用于将xml配置文件发送至工控设备，进行防护策略配置，工控设备根据当前配置的防护策略进行后续制造生产执行操作。

其中，所述强身份鉴别模块包括：哈希值生成单元、哈希值比对单元、强身份鉴别结果发送单元；所述强身份鉴别模块使用具有强混淆特性的加密哈希函数SHA-256作为身份鉴别算法；

所述哈希值生成单元用于根据用户指令或输入的用户名和密码，通过加密哈希函数SHA-256计算产生固定长度256位的哈希值；

所述哈希值比对单元用于比对计算产生的哈希值与OPC服务器/数据库中对应哈希值的一致性，若哈希值一致，则允许该用户登录终端安全集中管理系统，同时生成身份鉴别结果成功消息；若哈希值不一致，则拒绝登录请求，同时生成身份鉴别结果失败消息；

所述强身份鉴别结果发送单元用于将身份鉴别结果成功消息或身份鉴别结果失败消息发送给双重访问控制模块。

其中，所述双重访问控制模块包括：用户身份判断单元、网段配置单元、设备配置单元、权限配置单元、权限匹配判断单元、访问控制结果生成单元；

所述用户身份判断单元用于在接收到身份鉴别结果成功消息的情况下，对用户身份进行判断，在用户身份为管理员时，生成第一触发信号至网段配置单元，在用户身份为普通用户时，生成第二触发信号至权限匹配判断单元；

所述网段配置单元用于在收到第一触发信号后，允许管理员用户登录工控系统终端安全防护系统，并根据管理员用户的指令配置终端安全防护设备的IP地址和子网掩码，使终端安全防护设备和工控设备终端安全防护系统安全域中的所有工控设备在同一个网段；所述工控设备包括：数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组；

所述设备配置单元用于根据管理员用户的指令进行工控设备终端安全防护系统安全域中工控设备的集中配置(在工控设备列表中添加、修改或删除允许加入安全域的工控设备类型，完成添加、修改或删除操作后)，生成工控设备配置结束信息，并发送至接口防护策略模块；

所述权限配置单元用于根据管理员用户的指令完成普通用户和对应工控设备之间的访问控制权限配置，生成访问控制权限配置结束信息；

所述权限匹配判断单元用于在收到第二触发信号后，允许普通用户登录工控系统终端安全防护系统，同时比对普通用户和工控设备的访问控制权限之间的对应关系，若访问控制权限的对应关系匹配，则允许用户登录并按照访问控制权限操作该工控设备，若访问控制权限的对应关系不匹配，则拒绝用户登录并按照访问控制权限操作该工控设备；

所述访问控制结果生成单元用于在访问控制权限的对应关系匹配的情况下，生成用户访问控制成功信息，并发送至接口防护策略模块；在用于在访问控制权限的对应关系不匹配的情况下，生成用户访问控制失败信息，并发送至接口防护策略模块。

其中，所述接口防护策略模块包括：串口配置单元、网口配置单元、USB接口配置单元、配置文件生成单元、配置文件发送单元；

所述串口配置单元用于对工控设备的串口进行防护策略配置；

所述网口配置单元用于对工控设备的网口进行防护策略配置；

所述USB接口配置单元用于对工控设备的USB接口进行防护策略配置；

其中，串口的防护策略配置参数为：位/秒(B)、数据位(D)、奇偶校验(P)、停止位(S)、流控制(F)；

网口的防护策略配置参数为：IP地址、子网掩码、MAC地址、端口号；

USB接口的防护策略配置方式为：对USB存储介质进行访问控制，对USB访问权限设置为只读，对数据传输方向进行限制；

所述配置文件生成单元用于在接口的防护策略配置完成后，保存防护策略并生成以该工控设备唯一标识和当前时间为名称的xml配置文件；

配置文件发送单元用于将该xml配置文件发送给文件深度解析模块。

其中，所述文件深度解析模块包括：配置文件加密单元、配置文件解密单元；

所述配置文件加密单元在接收到接口防护策略模块发来的xml配置文件时，将xml配置文件加密，采用TCP协议发送至与xml配置文件内工控设备唯一标识一致的工控设备；

所述配置文件解密单元设置于工控设备上，在收到唯一标识一致的xml配置文件后对其进行解密，并根据解密后的配置参数信息进行防护策略配置，工控设备根据当前配置的防护策略进行后续制造生产执行操作。

直至收到时间戳更新的配置文件前，工控设备根据当前配置策略正常进行后续制造生产执行操作，若配置文件加密单元收到时间戳更新后的xml配置文件，则重新进行加密-解密-配置操作。

其中，所述文件深度解析模块还包括：文件过滤单元、文件解析单元；

所述文件过滤单元用于在收到来自安全域外的工控加工文件或其他不明文件时，根据工控加工文件格式白名单、黑名单进行文件格式审查过滤，若工控加工文件或其他不明文件的文件格式属于工控加工文件格式白名单，则将工控加工文件或其他不明文件发送至文件解析单元；若工控加工文件或其他不明文件的文件格式属于工控加工文件格式黑名单，则丢弃该文件，不予转发；

所述文件解析单元内部存储用户预先自定义的解析规则和解析条件，所述解析规则和解析条件为用户自定义的会影响工控设备安全防护的规则和条件；

所述文件解析单元用于对工控加工文件或其他不明文件内容进行全面深度扫描分析，判断是否符合用户预先自定义的解析规则和解析条件，若工控加工文件或其他不明文件中包含符合解析规则和解析条件的字符，则阻断该文件的传输和转发，否则将工控加工文件或其他不明文件发送至目标工控设备。

其中，所述工控加工文件格式白名单中，包含Siemens、Fanuc、Heidenhain工控设备生产厂家的NC程序文件格式及txt文件格式，同时支持自主添加、修改和删除白名单和黑名单所包含的文件格式类型。

所述工控加工文件格式黑名单中，包含exe文件格式。

其中，所述解析规则采用正则表达式；解析条件包含关键字(content)、检测深度(depth)、固定位置(permanent_position)、浮动位置(float_position)、协议特征(protocol_characteristics)和攻击特征(attack_characteristics)。

其中，所述安全防护系统还包括：安全审计模块；

所述安全审计模块用于实时接收安全域内工控设备制造生产执行过程中上报的日志告警信息；

所述安全审计模块用于记录终端安全防护设备自身的业务防护日志，以及针对工控设备的操作行为日志(含用户身份鉴别、访问控制)和维护日志；

所述安全审计模块用于当发生针对终端安全防护设备的非法入侵或设备异常时，产生并存储攻击信息日志；

所述业务防护日志(filefilter_log)、操作行为日志(operation_log)、维护日志(maintain_log)和攻击信息日志(attackinfo_log)，其各自的日志字段说明如下：

(1)业务防护日志记录终端安全防护设备对文件审查过滤的全部记录，包括：事件编号、时间、文件名称、服务类型、传输方向、传输结果、文件类型检查、文件格式检查、关键词检查、源IP地址、目的IP地址；

(2)操作行为日志记录工控设备配置管理操作全部记录，包括：事件编号、用户名、设备标识、操作、发生时间、hostIP、hostMac、结果；

(3)维护日志记录工控设备的全部维护记录，对工控设备登录、退出、升级、降级、故障维护交互数据流进行监控，包括：事件编号、设备标识、起始时间、结束时间、维护人员、数据记录、维护方式、结果；

(4)攻击信息日志记录终端安全防护设备受到网络攻击的全部记录，包括：事件编号、发生时间、攻击源IP、攻击目标IP、攻击源Mac、攻击目标Mac、目标端口、攻击对象、攻击类型、攻击事件说明。

此外，所述安全防护系统还包括：设备集中管理模块；

本发明所述的设备集中管理模块除上述的在终端安全防护设备集中管理平台上添加、删除工控设备、配置防护策略外，设备集中管理模块还具备以下功能：

(1)管理员权限分级功能，设备集中管理模块设置管理员权限级别和权限项。

(2)用户权限分级功能，各级权限用户只能执行权限内的操作；

(3)角色管理，按照三权分立原则，提供系统管理员、安全保密员、安全审计员三种默认角色，本发明涉及的三种默认角色权限如下：

1)系统管理员具有创建用户、编辑用户信息，配置终端安全防护设备IP地址、子网掩码以及工控设备列表的权限；

2)安全保密员具有创建角色、为角色配置权限、将角色赋予用户的权限，并具有查看系统管理员和安全审计员操作日志的权限；

3)安全审计员具有查看安全保密员和所有普通用户操作日志的权限。

实施例1

本实施例综合运用强身份鉴别、双重访问控制、接口防护策略、文件深度解析、安全审计和设备集中管理一系列技术手段，提供的工控系统终端安全防护方法及系统，实现了更加适用于同时对多台相同类型或不同类型工控系统设备终端安全防护策略进行集中统一防护。

下面结合具体实施例详细阐述使用本发明方法及系统对工控系统终端安全进行防护。由此可延伸到更广泛的工控系统终端安全防护应用中。

首先搭建工控设备终端安全防护安全域，建立由工控系统终端安全防护系统HT-304、管理机PC1、工业防火墙FW1、交换机IC1、CNC数控机床C1和C2、PLC可编程逻辑控制器P1和P2、DCS分散型控制系统D1、SCADA监控和数据采集系统S1，和与之分别对应的CNC-MES1、CNC-MES2、PLC-MES1、PLC-MES2、DCS-MES1、SCADA-MES1信息化管理系统、OPC-C1、OPC-C2、OPC-P1、OPC-P2、OPC-D1、OPC-S1服务器/数据库以及监视终端组成的工控设备终端安全防护系统安全域。其中，工控系统终端安全防护系统HT-304组成终端安全防护层；CNC-MES1、CNC-MES2、PLC-MES1、PLC-MES2、DCS-MES1、SCADA-MES1信息化管理系统、工业防火墙FW1、交换机IC1组成工业控制系统层；数控机床C1和C2、可编程逻辑控制器P1和P2、分散型控制系统D1、监控和数据采集系统S1，OPC-C1、OPC-C2、OPC-P1、OPC-P2、OPC-D1、OPC-S1服务器/数据库和监视终端组成制造生产执行层。

本发明的工控系统终端安全防护系统涉及的组件包括：强身份鉴别模块、双重访问控制模块、接口防护策略模块、文件深度解析模块、安全审计模块和设备集中管理模块。

1、强身份鉴别模块

11)强身份鉴别模块使用具有强混淆特性的加密哈希函数SHA-256作为身份鉴别算法；

12)强身份鉴别模块根据用户输入的用户名user1和密码password123，SHA-256计算产生固定长度256位的哈希值；

13)强身份鉴别模块比对计算产生的哈希值与数据库中对应哈希值的一致性，若哈希值一致，则允许user1登录系统，若哈希值不一致，则拒绝user1登录。

14)强身份鉴别模块将身份鉴别结果消息发送给双重访问控制模块。

2、双重访问控制模块

21)当登入用户为管理员admin时：

21.1)双重访问控制模块接收到强身份鉴别模块发来的身份鉴别成功消息后，配置终端安全防护设备的IP地址为192.168.1.100和子网掩码为255.255.255.0，以保证终端安全防护设备和安全域中的所有工控设备在同一个网段；

21.2)双重访问控制模块在工控设备列表中添加CNC、DCS、PLC、PAC、SCADA、RTU、FCS、IPC等多种工控系统类型作为可选项；

21.3)双重访问控制模块将访问控制与设备配置结束消息发送给接口防护策略模块。

22)当登入用户为普通用户user1时：

22.1)双重访问控制模块接收到强身份鉴别模块发来的身份鉴别成功消息后，在工控设备列表中查找并添加C1、C2、P1、P2、D1和S1共六台工控设备添加至设备集中管理区域；

22.2)双重访问控制模块比对C1、C2、P1、P2、D1和S1对应的用户名、密码等访问控制信息，登录工控设备；

22.3)若user1登录成功，则将C1、C2、P1、P2、D1和S1六台工控设备主界面分别展示在集中管理平台子窗口1～6中，否则提示登录错误，拒绝user1登录；

22.4)双重访问控制模块配置C1的IP地址为192.168.1.200、子网掩码为255.255.255.0，C2的IP地址为192.168.1.201、子网掩码为255.255.255.0，P1的IP地址为192.168.1.202、子网掩码为255.255.255.0，P2的IP地址为192.168.1.203、子网掩码为255.255.255.0，D1的IP地址为192.168.1.204、子网掩码为255.255.255.0，S1的IP地址为192.168.1.205、子网掩码为255.255.255.0；

22.5)双重访问控制模块将访问控制与设备配置结束消息发送给接口防护策略模块。

3、接口防护策略模块

31)接口防护策略模块接收到双重访问控制模块结束消息后，分别对C1、C2、P1、P2、D1和S1六台工控设备进行接口防护策略配置；

32)接口防护策略模块分别对C1、C2、P1、P2、D1和S1的串口、网口和USB等硬件接口进行防护策略配置，本具体实施例中接口防护策略模块配置如下：

32.1)串口配置参数：位/秒(B)分别为b_C1、b_C2、b_P1、b_P2、b_D1、b_S1；数据位(D)分别为d_C1、d_C2、d_P1、d_P2、d_D1、d_S1；奇偶校验(P)分别为p_C1、p_C2、p_P1、p_P2、p_D1、p_S1；停止位(S)分别为s_C1、s_C2、s_P1、s_P2、s_D1、s_S1；流控制(F)分别为f_C1、f_C2、f_P1、f_P2、f_D1、f_S1；

32.2)网口配置参数：IP地址和子网掩码与上述双重访问控制模块(4)相同、MAC地址分别为MAC_C1、MAC_C2、MAC_P1、MAC_P2、MAC_D1、MAC_S1、端口号分别为PORT_C1、PORT_C2、PORT_P1、PORT_P2、PORT_D1、PORT_S1；

32.3)user1对C1、C2、P1、P2、D1和S1的USB访问权限均设置为只读；

33)接口防护策略配置完成后，接口防护策略模块自动保存防护策略并生成配置文件C1_currenttime1.xml、C2_currenttime1.xml、P1_currenttime1.xml、P2_currenttime1.xml、D1_currenttime1.xml、S1_currenttime1.xml；

34)接口防护策略模块将配置文件C1_currenttime1.xml、C2_currenttime1.xml、P1_currenttime1.xml、P2_currenttime1.xml、D1_currenttime1.xml、S1_currenttime1.xml逐一发送给文件深度解析模块。

4、文件深度解析模块

41)当文件深度解析模块接收到接口防护策略模块发来的C1_currenttime1.xml、C2_currenttime1.xml、P1_currenttime1.xml、P2_currenttime1.xml、D1_currenttime1.xml、S1_currenttime1.xml配置文件时，文件深度解析模块将xml配置文件加密，采用TCP协议分别发送至工控设备C1、C2、P1、P2、D1和S1，并进入步骤43)；

42)当文件深度解析模块收到来自安全域外的工控加工文件Fanuc_file.nc和unknown_file.txt以及其他不明文件SQLInjection.exe时，根据工控加工文件格式白名单、黑名单进行文件格式审查过滤，经审查，文件Fanuc_file.nc和unknown_file.txt属于工控加工文件格式白名单，则进入步骤44)；而SQLInjection.exe属于工控加工文件格式黑名单，则丢弃该文件，不予转发；

43)工控设备C1、C2、P1、P2、D1和S1分别对配置文件C1_currenttime1.xml、C2_currenttime1.xml、P1_currenttime1.xml、P2_currenttime1.xml、D1_currenttime1.xml、S1_currenttime1.xml进行解密，并根据解密后的配置参数信息进行策略配置，直至收到时间戳更新的配置文件前，工控设备根据当前配置策略进行后续制造生产执行操作，本实施例无时间戳更新的配置文件；

44)文件深度解析模块对文件Fanuc_file.nc和unknown_file.txt的文件内容进行全面深度扫描分析，根据用户自定义的解析规则和解析条件，文件Fanuc_file.nc中无包含符合解析规则和解析条件的字符，进入步骤45),而文件unknown_file.txt包含符合解析规则和解析条件的insert/creat/update关键字，阻断该文件的转发；

45)文件深度解析模块将通过文件格式和文件内容深度解析过滤的文件Fanuc_file.nc发送至其目标工控设备C1和C2，并记录业务防护日志。

本实施例涉及步骤42)中的工控加工文件格式白名单包含Siemens、Fanuc、Heidenhain等知名工控设备生产厂家的NC程序文件格式及txt文件格式，黑名单包含.exe文件格式。

本实施例涉及步骤44)中的解析规则采用正则表达式；解析条件包含关键字(content＝＝insert/creat/update关键字)、检测深度(depth＝＝1000字节)、固定位置(permanent_position＝＝filelength文件长度)、浮动位置(float_position＝＝filelength文件长度)、协议特征(protocol_characteristics＝＝tcp/udp协议)和攻击特征(attack_characteristics＝＝SQLInjection)。

5、安全审计模块

51)安全审计模块实时接收安全域内工控设备C1、C2、P1、P2、D1和S1制造生产执行过程中上报的日志告警信息；

52)安全审计模块记录终端安全防护设备自身的业务防护日志filefilter_log_C1、filefilter_log_C2、filefilter_log_P1、filefilter_log_P2、filefilter_log_D1、filefilter_log_S1，以及针对工控设备的操作行为日志(含用户身份鉴别、访问控制)operation_log_C1、operation_log_C2、operation_log_P1、operation_log_P2、operation_log_D1、operation_log_S1和维护日志maintain_log_C1、maintain_log_C2、maintain_log_P1、maintain_log_P2、maintain_log_D1、maintain_log_S1；

53)安全审计模块同时具备报警功能：当发生针对终端安全防护设备的非法入侵或设备异常时，安全审计模块产生攻击信息日志attackinfo_log_C1、attackinfo_log_C2、attackinfo_log_P1、attackinfo_log_P2、attackinfo_log_D1、attackinfo_log_S1。

6、设备集中管理模块

本实施例所述的设备集中管理模块除上述的在终端安全防护设备HT-304上添加工控设备、配置防护策略外，设备集中管理模块还具备以下功能：

61)管理员权限分级功能，设备集中管理模块设置管理员权限级别为L1～LN，对应的权限项集合为Item1～ItemN。

62)用户权限分级功能，设置用户权限级别为Authority1～AuthorityN，相应级别的用户只能执行相应级别权限内的操作Operation1～OperationN；

63)角色管理，按照三权分立原则，提供系统管理员admin、安全保密员secrecy、安全审计员auditor三种默认角色，本实施例涉及的三种默认角色权限如下：

63.1)系统管理员具有创建用户、编辑用户信息，配置终端安全防护设备IP地址、子网掩码以及工控设备列表的权限；

63.2)安全保密员具有创建角色、为角色配置权限、将角色赋予用户的权限，并具有查看系统管理员和安全审计员操作日志的权限；

63.3)安全审计员具有查看安全保密员和所有普通用户操作日志的权限。

综上，本实施例所提出的一种工控系统终端安全防护系统，进一步提高了工控系统终端安全防护能力和等级，提供的终端安全防护集中统一管理平台具有适用多种应用环境、多种工业协议、兼容性好、设备添加删除简单、防护策略配置灵活、告警上报与设备管理高效，更加简单、灵活、高效的实现同时对多台工控系统终端安全集中统一防护等优点。本发明可广泛应用于涉及国民经济、国防工业和国家安全的各种工控系统终端安全防护技术领域，特别是需要对工控系统终端安全进行集中统一防护等情形。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种工控系统终端安全防护系统，其特征在于，所述工控系统终端安全防护系统包括：终端安全防护设备、终端安全集中管理系统；

所述工控系统终端安全防护系统运行于工控设备终端安全防护系统安全域中，所述工控设备终端安全防护系统安全域中除了所述防护系统之外，还包括：多个工业防火墙、交换机、数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组，与数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组分别对应的CNC-MES信息化管理系统、PLC-MES信息化管理系统、DCS-MES信息化管理系统、SCADA-MES信息化管理系统，四个OPC服务器/数据库以及四个监视终端；其中，四个OPC服务器/数据库以及四个监视终端一一对应数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组设置；

其中，所述工控系统终端安全防护系统组成终端安全防护层；

CNC-MES信息化管理系统、PLC-MES信息化管理系统、DCS-MES信息化管理系统、SCADA-MES信息化管理系统、工业防火墙、交换机组成工业控制系统层；

数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组，四个OPC服务器/数据库和四个监视终端组成制造生产执行层。

2.如权利要求1所述的工控系统终端安全防护系统，其特征在于，所述终端安全集中管理系统包括：强身份鉴别模块、双重访问控制模块、接口防护策略模块、文件深度解析模块；

所述强身份鉴别模块用于对用户的登录操作进行强身份鉴别，生成身份鉴别结果成功消息或身份鉴别结果失败消息，并发送给双重访问控制模块；

所述双重访问控制模块用于在接收到身份鉴别结果成功消息的情况下，根据管理员的指令对工控设备进行集中配置，生成工控设备配置结束信息发送至接口防护策略模块；并用于比对普通用户的访问权限，生成用户访问控制成功信息或用户访问控制失败信息，并发送至接口防护策略模块；

所述接口防护策略模块用于在接收到工控设备配置结束信息后，对工控设备进行接口防护策略配置，生成以该工控设备唯一标识和当前时间为名称的xml配置文件，并将该xml配置文件发送至文件深度解析模块；

所述文件深度解析模块用于将xml配置文件发送至工控设备，进行防护策略配置，工控设备根据当前配置的防护策略进行后续制造生产执行操作。

3.如权利要求2所述的工控系统终端安全防护系统，其特征在于，所述强身份鉴别模块包括：哈希值生成单元、哈希值比对单元、强身份鉴别结果发送单元；所述强身份鉴别模块使用具有强混淆特性的加密哈希函数SHA-256作为身份鉴别算法；

所述哈希值生成单元用于根据用户指令或输入的用户名和密码，通过加密哈希函数SHA-256计算产生固定长度256位的哈希值；

所述哈希值比对单元用于比对计算产生的哈希值与OPC服务器/数据库中对应哈希值的一致性，若哈希值一致，则允许该用户登录终端安全集中管理系统，同时生成身份鉴别结果成功消息；若哈希值不一致，则拒绝登录请求，同时生成身份鉴别结果失败消息；

所述强身份鉴别结果发送单元用于将身份鉴别结果成功消息或身份鉴别结果失败消息发送给双重访问控制模块。

4.如权利要求2所述的工控系统终端安全防护系统，其特征在于，所述双重访问控制模块包括：用户身份判断单元、网段配置单元、设备配置单元、权限配置单元、权限匹配判断单元、访问控制结果生成单元；

所述用户身份判断单元用于在接收到身份鉴别结果成功消息的情况下，对用户身份进行判断，在用户身份为管理员时，生成第一触发信号至网段配置单元，在用户身份为普通用户时，生成第二触发信号至权限匹配判断单元；

所述网段配置单元用于在收到第一触发信号后，允许管理员用户登录工控系统终端安全防护系统，并根据管理员用户的指令配置终端安全防护设备的IP地址和子网掩码，使终端安全防护设备和工控设备终端安全防护系统安全域中的所有工控设备在同一个网段；所述工控设备包括：数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组；

所述设备配置单元用于根据管理员用户的指令进行工控设备终端安全防护系统安全域中工控设备的集中配置，生成工控设备配置结束信息，并发送至接口防护策略模块；

所述权限配置单元用于根据管理员用户的指令完成普通用户和对应工控设备之间的访问控制权限配置，生成访问控制权限配置结束信息；

所述权限匹配判断单元用于在收到第二触发信号后，允许普通用户登录工控系统终端安全防护系统，同时比对普通用户和工控设备的访问控制权限之间的对应关系，若访问控制权限的对应关系匹配，则允许用户登录并按照访问控制权限操作该工控设备，若访问控制权限的对应关系不匹配，则拒绝用户登录并按照访问控制权限操作该工控设备；

所述访问控制结果生成单元用于在访问控制权限的对应关系匹配的情况下，生成用户访问控制成功信息，并发送至接口防护策略模块；在用于在访问控制权限的对应关系不匹配的情况下，生成用户访问控制失败信息，并发送至接口防护策略模块。

5.如权利要求2所述的工控系统终端安全防护系统，其特征在于，所述接口防护策略模块包括：串口配置单元、网口配置单元、USB接口配置单元、配置文件生成单元、配置文件发送单元；

所述串口配置单元用于对工控设备的串口进行防护策略配置；

所述网口配置单元用于对工控设备的网口进行防护策略配置；

所述USB接口配置单元用于对工控设备的USB接口进行防护策略配置；

所述配置文件生成单元用于在接口的防护策略配置完成后，保存防护策略并生成以该工控设备唯一标识和当前时间为名称的xml配置文件；

配置文件发送单元用于将该xml配置文件发送给文件深度解析模块。

6.如权利要求2所述的工控系统终端安全防护系统，其特征在于，所述文件深度解析模块包括：配置文件加密单元、配置文件解密单元；

所述配置文件加密单元在接收到接口防护策略模块发来的xml配置文件时，将xml配置文件加密，采用TCP协议发送至与xml配置文件内工控设备唯一标识一致的工控设备；

所述配置文件解密单元设置于工控设备上，在收到唯一标识一致的xml配置文件后对其进行解密，并根据解密后的配置参数信息进行防护策略配置，工控设备根据当前配置的防护策略进行后续制造生产执行操作。

7.如权利要求6所述的工控系统终端安全防护系统，其特征在于，所述文件深度解析模块还包括：文件过滤单元、文件解析单元；

所述文件过滤单元用于在收到来自安全域外的工控加工文件或其他不明文件时，根据工控加工文件格式白名单、黑名单进行文件格式审查过滤，若工控加工文件或其他不明文件的文件格式属于工控加工文件格式白名单，则将工控加工文件或其他不明文件发送至文件解析单元；若工控加工文件或其他不明文件的文件格式属于工控加工文件格式黑名单，则丢弃该文件，不予转发；

所述文件解析单元内部存储用户预先自定义的解析规则和解析条件，所述解析规则和解析条件为用户自定义的会影响工控设备安全防护的规则和条件；

所述文件解析单元用于对工控加工文件或其他不明文件内容进行全面深度扫描分析，判断是否符合用户预先自定义的解析规则和解析条件，若工控加工文件或其他不明文件中包含符合解析规则和解析条件的字符，则阻断该文件的传输和转发，否则将工控加工文件或其他不明文件发送至目标工控设备。

8.如权利要求7所述的工控系统终端安全防护系统，其特征在于，所述工控加工文件格式白名单中，包含Siemens、Fanuc、Heidenhain工控设备生产厂家的NC程序文件格式及txt文件格式；

所述工控加工文件格式黑名单中，包含exe文件格式。

9.如权利要求7所述的工控系统终端安全防护系统，其特征在于，所述解析规则采用正则表达式；解析条件包含关键字(content)、检测深度(depth)、固定位置(permanent_position)、浮动位置(float_position)、协议特征(protocol_characteristics)和攻击特征(attack_characteristics)。

10.如权利要求2所述的工控系统终端安全防护系统，其特征在于，所述安全防护系统还包括：安全审计模块；

所述安全审计模块用于实时接收安全域内工控设备制造生产执行过程中上报的日志告警信息；

所述安全审计模块用于记录终端安全防护设备自身的业务防护日志，以及针对工控设备的操作行为日志(含用户身份鉴别、访问控制)和维护日志；

所述安全审计模块用于当发生针对终端安全防护设备的非法入侵或设备异常时，产生并存储攻击信息日志；

所述业务防护日志(filefilter_log)、操作行为日志(operation_log)、维护日志(maintain_log)和攻击信息日志(attackinfo_log)，其各自的日志字段说明如下：

(1)业务防护日志记录终端安全防护设备对文件审查过滤的全部记录，包括：事件编号、时间、文件名称、服务类型、传输方向、传输结果、文件类型检查、文件格式检查、关键词检查、源IP地址、目的IP地址；

(2)操作行为日志记录工控设备配置管理操作全部记录，包括：事件编号、用户名、设备标识、操作、发生时间、hostIP、hostMac、结果；

(3)维护日志记录工控设备的全部维护记录，对工控设备登录、退出、升级、降级、故障维护交互数据流进行监控，包括：事件编号、设备标识、起始时间、结束时间、维护人员、数据记录、维护方式、结果；

(4)攻击信息日志记录终端安全防护设备受到网络攻击的全部记录，包括：事件编号、发生时间、攻击源IP、攻击目标IP、攻击源Mac、攻击目标Mac、目标端口、攻击对象、攻击类型、攻击事件说明。