一种实现工业控制系统移动运维防护的方法、装置及系统转让专利
申请号 : CN201410647923.6
文献号 : CN104460657B
文献日 : 2017-09-19
发明人 : 张晔 , 孟庆森 , 张帅
申请人 : 北京网御星云信息技术有限公司
摘要 :
本发明公开了一种实现工业控制系统移动运维防护的方法、装置及系统,用于对工业控制系统现场运维的防护,该方法应用于安全网关,安全网关串行连接于移动运维终端与工业控制系统之间,包括:对用户通过移动运维终端发送的用户信息进行认证;当用户信息认证通过后,对移动运维终端进行准入核查;当通过准入核查后,接收移动运维终端发送的控制指令,根据控制指令利用组态软件将控制指令转换为运维指令;利用工业协议解析运维指令生成并保存解析结果;将运维指令发送给工业控制系统,以使工业控制系统执行运维操作;在执行运维操作过程中,接收移动运维终端发送的运维数据,对运维数据进行病毒查杀,将经过病毒查杀的运维数据发送给工业控制系统。
权利要求 :
1.一种实现工业控制系统移动运维防护的方法,其特征在于,应用于实现工业控制系统移动运维的安全网关,所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间,所述方法包括:接收用户通过所述移动运维终端发送的用户信息,对所述用户信息进行认证;
当所述用户信息认证通过后,对所述移动运维终端进行准入核查;
当所述移动运维终端通过准入核查后,接收所述移动运维终端发送的控制指令,根据所述控制指令利用组态软件将所述控制指令转换为运维指令;
利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析,生成解析结果,保存所述解析结果;
将所述运维指令发送给所述工业控制系统,以使所述工业控制系统执行运维操作;
在执行运维操作过程中,接收所述移动运维终端发送的运维数据,对所述运维数据进行病毒查杀,将经过病毒查杀的运维数据发送给工业控制系统。
2.根据权利要求1所述的方法,其特征在于,所述对所述移动运维终端进行准入核查,包括:预先保存安全移动运维终端的设备号列表;
获取所述移动运维终端的设备号,查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表,如果是,则所述移动运维终端通过准入核查,如果否,禁止接收所述移动运维终端发送的控制指令。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收集中管理平台发送的传递日志指令;
将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台,以使所述集中管理平台生成运维情况列表。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据所述解析结果对不符合预设条件的运维指令进行拦截。
5.一种实现工业控制系统移动运维防护的装置,其特征在于,集成在实现工业控制系统移动运维的安全网关中,所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间,所述装置包括:身份认证单元,用于接收用户通过所述移动运维终端发送的用户信息,对所述用户信息进行认证;
终端认证单元,用于当所述用户信息认证通过后,对所述移动运维终端进行准入核查;
转换单元,用于当所述移动运维终端通过准入核查后,接收所述移动运维终端发送的控制指令,根据所述控制指令利用组态软件将所述控制指令转换为运维指令;
解析单元,用于利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析,生成解析结果,保存所述解析结果;
第一发送单元,用于将所述运维指令发送给所述工业控制系统,以使所述工业控制系统执行运维操作;
病毒查杀单元,用于在执行运维操作过程中,接收所述移动运维终端发送的运维数据,对所述运维数据进行病毒查杀,将经过病毒查杀的运维数据发送给工业控制系统。
6.根据权利要求5所述的装置,其特征在于,所述终端认证单元包括:第一保存子单元,用于预先保存安全移动运维终端的设备号列表;
获取子单元,用于当所述用户信息认证通过后,获取所述移动运维终端的设备号;
查找子单元,用于查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表,如果是,则所述移动运维终端通过准入核查,如果否,禁止接收所述移动运维终端发送的控制指令。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:接收单元,用于接收集中管理平台发送的传递日志指令;
第二发送单元,用于将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台,以使所述集中管理平台生成运维情况列表。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:拦截单元,用于根据所述解析结果对不符合预设条件的运维指令进行拦截。
9.一种实现工业控制系统移动运维防护的系统,其特征在于,所述系统包括:安全网关,所述安全网关带有电源,在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间,所述安全网关是权利要求5-8所述的实现工业控制系统移动运维防护的装置;
集中管理平台,用于向所述安全网关发送传递日志指令,接收用户信息、所述移动运维终端对应的解析结果,并生成运维情况列表。
说明书 :
一种实现工业控制系统移动运维防护的方法、装置及系统
技术领域
[0001] 本发明涉及工业控制技术领域,具体涉及一种实现工业控制系统移动运维防护的方法、装置及系统。
背景技术
[0002] 工业控制系统包括众多设备,例如输入输出I/O设备、PLC(Programmable Logic Controller,可编程逻辑控制器)、工业交换机、HMI(Human Machine Interface,人机界面)、操作员站、工程师站、以及历史数据库、实时数据库等,工业控制系统中设备部署范围广,使工业控制系统的运维工作出现以下特点:(1)设备运维方式多:既可以通过工业控制网络进行远程维护,也可以进行本地维护;(2)运维监控管理难:工业控制设备部署地域广、厂商多,使运维监控管理工作可行性不强;(3)设备运维风险大:虽然工业控制系统智能性和自动化程度高,但安全性比较脆弱,在运维过程中易引入安全威胁。
[0003] 通过对一些安全事件的分析,发现运维人员在现场维护工控设备时,安全威胁往往通过接入工业控制设备的外接设备如移动运维终端引入,而现有技术中尚没有一种专门针对工业控制系统在现场移动运维时的安全保护方案,即无法保证在现场移动运维时工业控制系统的安全性。
发明内容
[0004] 有鉴于此,本发明提供一种实现工业控制系统移动运维防护的方法、装置及系统,以解决现有技术中无法保证在现场移动运维时工业控制系统的安全性的技术问题。
[0005] 为解决上述问题,本发明提供的技术方案如下:
[0006] 一种实现工业控制系统移动运维防护的方法,应用于实现工业控制系统移动运维的安全网关,所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间,所述方法包括:
[0007] 接收用户通过所述移动运维终端发送的用户信息,对所述用户信息进行认证;
[0008] 当所述用户信息认证通过后,对所述移动运维终端进行准入核查;
[0009] 当所述移动运维终端通过准入核查后,接收所述移动运维终端发送的控制指令,根据所述控制指令利用组态软件将所述控制指令转换为运维指令;
[0010] 利用工业协议解析所述运维指令生成解析结果,保存所述解析结果;
[0011] 将所述运维指令发送给所述工业控制系统,以使所述工业控制系统执行运维操作;
[0012] 在执行运维操作过程中,接收所述移动运维终端发送的运维数据,对所述运维数据进行病毒查杀,将经过病毒查杀的运维数据发送给工业控制系统。
[0013] 相应的,所述对所述移动运维终端进行准入核查,包括:
[0014] 预先保存安全移动运维终端的设备号列表;
[0015] 获取所述移动运维终端的设备号,查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表,如果是,则所述移动运维终端通过准入核查,如果否,禁止接收所述移动运维终端发送的控制指令。
[0016] 相应的,所述利用工业协议解析所述运维指令生成解析结果,包括:
[0017] 利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析,生成解析结果。
[0018] 相应的,所述方法还包括:
[0019] 接收集中管理平台发送的传递日志指令;
[0020] 将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台,以使所述集中管理平台生成运维情况列表。
[0021] 相应的,所述方法还包括:
[0022] 根据所述解析结果对不符合预设条件的运维指令进行拦截。
[0023] 一种实现工业控制系统移动运维防护的装置,集成在实现工业控制系统移动运维的安全网关中,所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间,所述装置包括:
[0024] 身份认证单元,用于接收用户通过所述移动运维终端发送的用户信息,对所述用户信息进行认证;
[0025] 终端认证单元,用于当所述用户信息认证通过后,对所述移动运维终端进行准入核查;
[0026] 转换单元,用于当所述移动运维终端通过准入核查后,接收所述移动运维终端发送的控制指令,根据所述控制指令利用组态软件将所述控制指令转换为运维指令;
[0027] 解析单元,用于利用工业协议解析所述运维指令生成解析结果,保存所述解析结果;
[0028] 第一发送单元,用于将所述运维指令发送给所述工业控制系统,以使所述工业控制系统执行运维操作;
[0029] 病毒查杀单元,用于在执行运维操作过程中,接收所述移动运维终端发送的运维数据,对所述运维数据进行病毒查杀,将经过病毒查杀的运维数据发送给工业控制系统。
[0030] 相应的,所述终端认证单元包括:
[0031] 第一保存子单元,用于预先保存安全移动运维终端的设备号列表;
[0032] 获取子单元,用于当所述用户信息认证通过后,获取所述移动运维终端的设备号;
[0033] 查找子单元,用于查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表,如果是,则所述移动运维终端通过准入核查,如果否,禁止接收所述移动运维终端发送的控制指令。
[0034] 相应的,所述解析单元包括:
[0035] 解析子单元,用于利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析,生成解析结果;
[0036] 第二保存子单元,用于保存所述解析结果。
[0037] 相应的,所述装置还包括:
[0038] 接收单元,用于接收集中管理平台发送的传递日志指令;
[0039] 第二发送单元,用于将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台,以使所述集中管理平台生成运维情况列表。
[0040] 相应的,所述装置还包括:
[0041] 拦截单元,用于根据所述解析结果对不符合预设条件的运维指令进行拦截。
[0042] 一种实现工业控制系统移动运维防护的系统,所述系统包括:
[0043] 安全网关,所述安全网关带有电源,在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间,所述安全网关是权利要求6-10所述的实现工业控制系统移动运维防护的装置;
[0044] 集中管理平台,用于向所述安全网关发送传递日志指令,接收用户信息、所述移动运维终端对应的解析结果,并生成运维情况列表。
[0045] 由此可见,本发明实施例具有如下有益效果:
[0046] 本发明实施例在工业控制系统现场运维时将安全网关连接于移动运维终端与工业控制系统之间,本发明实施例中提供的安全网关可以对移动运维人员身份、移动运维终端进行合法性核查,在核查通过后再将移动运维终端发送的控制指令转换为运维指令发送给工业控制系统,移动运维终端不直接发运维指令给工业控制系统,而是安全网关生成运维指令,可以起到隔离移动运维终端与工业控制系统的作用,充分保证工业控制系统的安全性;同时具有工业协议的解析能力,可以记录全部运维指令所对应的操作,实现对现场运维的审计;另外,还可以对运维过程中上传下载的数据进行病毒查杀;因此,本发明实施例可以适用于保证工业网络现场运维的安全需求,极大地减少在运维过程中的安全隐患。
附图说明
[0047] 图1为本发明实施例的应用场景示意图;
[0048] 图2为本发明实施例中实现工业控制系统移动运维防护的方法实施例一的流程图;
[0049] 图3为本发明实施例中实现工业控制系统移动运维防护的方法实施例二的示意图;
[0050] 图4为本发明实施例中实现工业控制系统移动运维防护的装置实施例的示意图;
[0051] 图5为本发明实施例中实现工业控制系统移动运维防护的系统实施例的示意图。
具体实施方式
[0052] 为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明实施例作进一步详细的说明。
[0053] 现有技术中有些设备出现问题通过远程维护无法实现时,必须进行现场运维即移动维护,而目前工业客户往往缺乏现场运维设备,而第三方移动运维终端是安全威胁迁入的最大隐患,而现有技术中对运维防护都属于对远程运维的防护且均为对传统IT系统中的运维防护,例如堡垒机是通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管终端计算机对网络和服务器的访问。而现有技术中尚没有一种专门针对工业控制系统在现场移动运维时的安全保护方案,本发明实施例中提供的实现工业控制系统移动运维防护的方法、装置及系统,解决现场运维时无安全保护、无运维审计等技术问题。
[0054] 参见图1所示,是本发明实施例提供的实现工业控制系统移动运维防护的方法的应用环境示意图。本发明实施例将从实现工业控制系统移动运维防护的装置的角度进行描述,该实现工业控制系统移动运维防护的装置具体可以集成在实现工业控制系统移动运维的安全网关中。工业控制系统例如SCADA(Supervisory Control And Data Acquisition)系统,即数据采集与监视控制系统,通常应用于不需要实时控制的场合,其设备通常会分布在一个很大的地理区域(例如石油管线),并且为了操作方便可以进行远程访问。但是工业控制系统中的一些分支控制站常常需要现场设备维护,在本发明实施例中运维人员的移动运维终端(例如笔记本电脑)需要以串行的方式通过安全网关接入工业控制系统,由安全网关实现用户认证、终端合成、运维指令解析审计、病毒查杀等防护,才可以进行对工业控制系统中的设备进行维护。另外,运维完成后,可以将运维相关信息上传到集中管理平台,集中管理平台可以整合运维情况,以报表的形式呈现给用户。
[0055] 基于上述思想,参见图2所示,是本发明实施例提供的实现工业控制系统移动运维防护的方法实施例一,包括以下步骤:
[0056] 步骤201:接收用户通过移动运维终端发送的用户信息,对用户信息进行认证。
[0057] 本发明实施例可以应用于实现工业控制系统移动运维的安全网关,安全网关具备电源,可移动,在现场移动运维时串行连接于移动运维终端与工业控制系统之间,即在需要运维时才接入,对于工业控制系统多分支、现场情况复杂的情况这种方式具有良好的实用价值。
[0058] 当运维人员需要现场运维时,首先按照管理规定,将安全网关接入到现场的工业交换机中,运维人员随后必须将移动运维终端通过安全网关串联到工业控制系统中,通过认证后才可以进行现场运维。
[0059] 具体的,首先需要进行用户认证,例如运维人员进行登录操作,一方面可以保证由安全的运维人员进行操作,另一方面可以记录该运维人员所进行的操作,只有通过认证的用户才有权限下发后续指令。
[0060] 步骤202:当用户信息认证通过后,对移动运维终端进行准入核查。
[0061] 通过用户认证后,根据用户对应的核查策略进行终端核查,即对接入的移动运维终端进行分析是否符合预设条件进行准入控制。
[0062] 在本发明的一些实施例中,对移动运维终端进行准入核查的实现可以包括:
[0063] 预先保存安全移动运维终端的设备号列表;
[0064] 获取移动运维终端的设备号,查找移动运维终端的设备号是否属于安全移动运维终端的设备号列表,如果是,则移动运维终端通过准入核查,如果否,禁止接收移动运维终端发送的控制指令。
[0065] 对移动运维终端没有通过准入核查,代表该台移动运维终端不是合法终端,可能存在安全隐患,则该台移动运维终端没有权限进行后续运行维护。
[0066] 步骤203:当移动运维终端通过准入核查后,接收移动运维终端发送的控制指令,根据控制指令利用组态软件将控制指令转换为运维指令。
[0067] 本发明实施例中安全网关相当于在移动运维终端与工业控制系统中的隔离装置,安全网关中装载有控制组态软件,移动运维终端不能直接向工业控制系统发送运维指令,而是向安全网关发送控制组态软件的控制指令,安全网关根据控制指令运行组态软件将控制指令转换生成运维指令。由于安全网关中装置有安全的组态软件,所生成的控制工业控制系统的运维指令也是相对安全的,避免了由移动运维终端直接向工业控制系统中发送非法运维指令。
[0068] 步骤204:利用工业协议解析运维指令生成解析结果,保存解析结果。
[0069] 对于常用的工业协议可以实现分析解析,包括OPC数据交换协议、Modbus、DNP3、电力IEC61850协议族、Profinet、HSE、Ethernet协议等。
[0070] OPC(OLE for Process Control,用于过程控制的OLE)是一个工业标准,本发明实施例中OPC主要是指在进行数据交换时,使用的是符合OPC标准的数据交换通信协议。Modbus即Modbus通讯协议。Modbus是由Modicon公司在1979年发明的,是全球第一个真正用于工业现场的总线协议,Modbus是一种不同于商用以太网的工业通讯协议。
[0071] 在本发明的一些实施例中,利用工业协议解析运维指令生成解析结果的具体实现包括:
[0072] 利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对运维指令中的设备地址、功能代码、运维数据进行解析,生成解析结果。
[0073] 工业协议可以分为两类,一类是基于二层链路层之上封装了工业协议(如Profinet);一类是应用层之上封装了工业协议(如OPC)。安全网关可以全面支持对这两类协议的深度解析,从而获取相应的运维指令操作,即可以记录运维指令所代表的运维操作,具体可以解析运维指令中的目的设备地址、功能代码以及运维数据等。记录运维指令所代表的运维操作即运维审计,可以实现用户对运维操作行为的回溯。
[0074] 以Modbus协议为例,运维指令中可以根据起始位|设备地址|功能代码|数据|CRC校验|结束符的顺序进行解析。
[0075] 步骤205:将运维指令发送给工业控制系统,以使工业控制系统执行运维操作。
[0076] 在通过了上述用户认证、终端核查、运维指令审计后,运维指令可以发送到工业控制系统中被运维的设备,完成对设备的维护。
[0077] 步骤206:在执行运维操作过程中,接收移动运维终端发送的运维数据,对运维数据进行病毒查杀,将经过病毒查杀的运维数据发送给工业控制系统。
[0078] 在运维过程中,移动运维终端还需要通过安全网关向工业控制系统发送数据,运用安全网关中的病毒引擎,对上传的文件数据进行病毒查杀,主要针对IT网络中的病毒进行查杀,同时也加强针对工业控制系统病毒的查杀。
[0079] 现有技术中的堡垒机相较于本发明实施例很多特性是不具备的:1)从工业协议的支持上看:堡垒机目前只应用在传统的IT系统中,无法应用于工业控制系统。工业控制网络分为三层:信息层、站控层和控制器层,除了信息层以外的通信都是采用专业的工控协议,而堡垒机只可以支持以太网协议,而无法支持工业协议的审计。而工业设备维护都是通过工业协议进行指令传递的,例如OPC和Modbus,只有支持工业协议的解析才能部署到工控网络中。2)从应用环境上看:堡垒机24小时旁路部署在网络中,只能进行远程运维的防护,有一定的安全隐患,同时对于复杂的工业环境来说并不实用,很多的分支控制站的设备并不具备远程运维的条件,必须进行现场运维。而如果每个分支控制站都部署一台堡垒机,成本太高。而本发明实施例中可移动的安全网关则可以在需要的时候,在分支控制站接入工控网,在运维结束后,从网络中移除,既提高了利用率,同时也极大提高了系统的运维安全。3)从安全功能上看:本发明实施例基于串口和网口的审计,既可适应串行链路,也可以适应基于工业以太网的工业网络。防病毒、工业指令审计等功能是为工业环境量身定制的,更具有实用性。支持对串口和网口的行为审计,同时支持对工业协议(如OPC、Modbus等)的解析,从而可实现工控指令的审计。
[0080] 另外,在本发明的一些实施例中,本发明实施例提供实现工业控制系统移动运维防护的方法还可以包括:根据解析结果对不符合预设条件的运维指令进行拦截。
[0081] 在本发明的一些实施例中,本发明实施例提供实现工业控制系统移动运维防护的方法还可以包括:
[0082] 接收集中管理平台发送的传递日志指令;
[0083] 将用户信息、移动运维终端对应的解析结果发送到集中管理平台,以使集中管理平台生成运维情况列表。
[0084] 当运维结束后,根据登记记录,按照管理规定,相关运维人员会及时将安全网关的信息上传到集中管理平台中,用于后续运维审计和运维报表等功能。在实际应用中,每次完成运维后或者周期性的将移动网关的数据导入到集中管理平台中去,当集中管理平台搜索到移动运维网关之后,向安全网关发送传递日志指令,移动网关收到指令后,将陆续上传数据。
[0085] 参见图3所示,是本发明实施例提供的实现工业控制系统移动运维防护的方法实施例二,结合实际应用场景再对实现工业控制系统移动运维防护的方法进行说明。
[0086] 步骤a:接入安全网关。工业SCADA系统往往部署在相隔很远的区域,如石化的输油管道、电力的传输系统。很多分支控制站在出现问题后,需要通过现场运维来对设备进行调试、维护等。系统运维时,安全网关必须串行接入工业控制系统。运维人员在现场移动维护时,按照管理规定,首先将移动运维审计安全网关串行接入工业控制网,然后将运维使用的笔记本电脑通过安全网关串行接入。
[0087] 步骤b:运维人员通过用户认证。当接入工业控制网络后,首先需要进行用户认证,通过认证的用户才有权限下发工业指令等操作。
[0088] 步骤c:安全网关进行终端核查。通过用户认证后,根据用户对应的核查策略进行终端核查,通过后,才可以进行运维。即对接入的移动运维设备进行分析是否符合管理员的预设条件进行准入控制,另外还可以判断移动运维终端的操作系统、杀毒软件、组态软件、硬件平台和终端类型等是否符合预设条件。
[0089] 步骤d-f:对运维指令进行解析及审计。在生成运维指令后,根据工业协议进行深度分析,移动运维网关全面对各类工业协议进行深度解析,从而获取相应的指令操作,并加以控制。对于常用的工业协议实现解析控制,包括OPC数据交换协议、Modbus、DNP3、电力IEC61850协议族、Profinet、HSE、Ethernet协议等。工业网络中的运维指令都是通过基于C/S模式的组态软件来下发的,而运维指令都通过工业协议来进行下发和数据的采集,因此只有具备工业协议的解析能力才能实现工业运维指令的审计。
[0090] 步骤e:防病毒保护。安全网关中的病毒引擎,可以针对IT网络中的病毒进行查杀,同时也加强了针对工业控制系统病毒的查杀。例如进行文件分析、文件检测、蠕虫检测、特征检测等。
[0091] 步骤g:审计管理。每次完成运维后或者定期安全网关将审计信息即用户信息、移动运维终端对应的解析结果等数据定期上传到集中管理平台。集中管理平台在搜索到安全网关之后,可以主动下发传递日志指令,使安全网关上传数据。
[0092] 步骤h:生成运维报表。集中管理平台定期形成运维管理报表,管理人员可以有效地了解工厂生产线的装况。运维报表可以包括运维日志报表、用户登录登出信息、操作查询界面等。
[0093] 步骤i:系统管理。集中管理平台可以定期管理安全网关,包括同步用户信息、运维终端信息、管理集中管理审计信息等。
[0094] 这样,本发明实施例在工业控制系统现场运维时将安全网关连接于移动运维终端与工业控制系统之间,本发明实施例中提供的安全网关可以对移动运维人员身份、移动运维终端进行合法性核查,在核查通过后再将移动运维终端发送的控制指令转换为运维指令发送给工业控制系统,移动运维终端不直接发运维指令给工业控制系统,而是安全网关生成运维指令,可以起到隔离移动运维终端与工业控制系统的作用,充分保证工业控制系统的安全性;同时具有工业协议的解析能力,可以记录全部运维指令所对应的操作,实现对现场运维的审计;另外,还可以对运维过程中上传下载的数据进行病毒查杀;因此,本发明实施例可以适用于保证工业网络现场运维的安全需求,极大地减少在运维过程中的安全隐患。
[0095] 相应的,参见图4所示,本发明实施例还提供一种实现工业控制系统移动运维防护的装置实施例,该装置可以集成在实现工业控制系统移动运维的安全网关中,安全网关在现场移动运维时串行连接于移动运维终端与工业控制系统之间,该装置可以包括:
[0096] 身份认证单元401,用于接收用户通过移动运维终端发送的用户信息,对用户信息进行认证;
[0097] 终端认证单元402,用于当用户信息认证通过后,对移动运维终端进行准入核查;
[0098] 转换单元403,用于当移动运维终端通过准入核查后,接收移动运维终端发送的控制指令,根据控制指令利用组态软件将控制指令转换为运维指令;
[0099] 解析单元404,用于利用工业协议解析运维指令生成解析结果,保存解析结果;
[0100] 第一发送单元405,用于将运维指令发送给工业控制系统,以使工业控制系统执行运维操作;
[0101] 病毒查杀单元406,用于在执行运维操作过程中,接收移动运维终端发送的运维数据,对运维数据进行病毒查杀,将经过病毒查杀的运维数据发送给工业控制系统。
[0102] 在本发明的一些实施例中,终端认证单元可以包括:
[0103] 第一保存子单元,用于预先保存安全移动运维终端的设备号列表;
[0104] 获取子单元,用于当用户信息认证通过后,获取移动运维终端的设备号;
[0105] 查找子单元,用于查找移动运维终端的设备号是否属于安全移动运维终端的设备号列表,如果是,则移动运维终端通过准入核查,如果否,禁止接收移动运维终端发送的控制指令。
[0106] 在本发明的一些实施例中,解析单元可以包括:
[0107] 解析子单元,用于利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对运维指令中的设备地址、功能代码、运维数据进行解析,生成解析结果;
[0108] 第二保存子单元,用于保存解析结果。
[0109] 在本发明的一些实施例中,还可以包括:
[0110] 接收单元,用于接收集中管理平台发送的传递日志指令;
[0111] 第二发送单元,用于将用户信息、移动运维终端对应的解析结果发送到集中管理平台,以使集中管理平台生成运维情况列表。
[0112] 在本发明的一些实施例中,还可以包括:
[0113] 拦截单元,用于根据解析结果对不符合预设条件的运维指令进行拦截。
[0114] 相应的,参见图5所示,本发明实施例还提供一种实现工业控制系统移动运维防护的系统实施例,该系统可以包括:
[0115] 安全网关501以及集中管理平台502;
[0116] 安全网关,设置有电源,在现场移动运维时串行连接于移动运维终端与工业控制系统之间,安全网关可以是上述实施例中实现工业控制系统移动运维防护的装置实施例,相应功能参见上述实施例所述,在此不再赘述;
[0117] 集中管理平台,用于向安全网关发送传递日志指令,接收用户信息、移动运维终端对应的解析结果,并生成运维情况列表。
[0118] 这样,本发明实施例在工业控制系统现场运维时将安全网关连接于移动运维终端与工业控制系统之间,本发明实施例中提供的安全网关可以对移动运维人员身份、移动运维终端进行合法性核查,在核查通过后再将移动运维终端发送的控制指令转换为运维指令发送给工业控制系统,移动运维终端不直接发运维指令给工业控制系统,而是安全网关生成运维指令,可以起到隔离移动运维终端与工业控制系统的作用,充分保证工业控制系统的安全性;同时具有工业协议的解析能力,可以记录全部运维指令所对应的操作,实现对现场运维的审计;另外,还可以对运维过程中上传下载的数据进行病毒查杀;因此,本发明实施例可以适用于保证工业网络现场运维的安全需求,极大地减少在运维过程中的安全隐患。
[0119] 需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统或装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
[0120] 还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0121] 结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
[0122] 对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。