本發明專利技術公開了一種用于分布式控制系統的安全防護裝置,所述分布式控制系統包括設備層、控制層和網絡層,所述安全防護裝置包括安全檢測模塊和管理終端。所述安全檢測模塊可針對設備層數據進行安全檢測,所述管理終端用于接收和顯示檢測結果;所述安全防護裝置還包括漏洞掃描模塊,用于對網絡層設備進行漏洞掃描,并將掃描結果發送給所述管理終端處理;所述安全防護裝置還包括獨立的系統時鐘模塊,為系統提供安全可靠的授時服務。本發明專利技術提供的安全防護裝置具有集成度高、功能全面的優點,可以大大提高分布式控制系統的信息安全防護等級,具有重要的工程應用意義。具有重要的工程應用意義。具有重要的工程應用意義。
【技術實現步驟摘要】
一種用于分布式控制系統的安全防護裝置
[0001]本專利技術涉及工業控制
,特別涉及一種分布式控制系統的信息安全防護領域。
技術介紹
[0002]分布式控制系統廣泛應用于火電、核電、煤炭、石油、化工、交通、水利等領域,用于控制生產設備的運行。由于分布式控制系統大多采用通用的硬件、軟件和通用協議與公共網絡連接,木馬、病毒擴散等將對系統運行帶來巨大風險。而現有的信息安全防護主要是通過單向網關的數據傳輸方式進行防護,無法滿足雙向網絡數據交互的信息安全問題。特別是目前的分布式控制系統設備層與控制層數據傳輸采用Modbus Tcp通訊協議完成,而Modbus Tcp通訊協議存在缺乏身份認證機制、協議完整性機制和功能碼惡意修改等缺陷,易被攻擊者利用造成很大的安全隱患。另外,分布式控制系統普遍存在系統漏洞不能被及時檢測與修復的問題。一旦相關分布式控制系統的信息安全出現漏洞,將對工業生產運行和民生經濟造成重大危害。
技術實現思路
[0003]本專利技術要解決的技術問題是為了克服現有技術中分布式控制系統信息安全防護存在的缺陷,提供一種用于分布式控制系統的安全防護裝置,解決雙向數據交互帶來的信息安全風險,以保證分布式控制系統的正常運行。
[0004]本專利技術是通過下述技術方案來解決上述技術問題:
[0005]本專利技術一方面提供一種用于分布式控制系統的安全防護裝置,分布式控制系統包括設備層、控制層和網絡層,安全防護裝置包括安全檢測模塊和管理終端;
[0006]安全檢測模塊用于獲取設備層的設備數據,并將設備數據轉發至控制層;
[0007]控制層用于接收設備層數據,并基于設備層數據與網絡層進行數據交互;
[0008]安全檢測模塊還用于對設備層數據進行安全檢測,并將檢測結果發送至管理終端;
[0009]管理終端用于接收并顯示檢測結果。
[0010]較佳地,安全檢測模塊包括第一交換機和安全檢測單元;
[0011]第一交換機用于接收設備層發送的設備數據,并將設備數據轉發至控制層和安全檢測單元;
[0012]安全檢測單元用于對設備數據進行安全檢測。
[0013]進一步地,第一交換機設有第一端口、第二端口、第三端口、第四端口和第五端口,第一端口與設備層相連,第二端口與控制層相連,第三端口與安全檢測單元連接,第四端口與安全檢測單元連接,第五端口與管理終端相連;
[0014]第一交換機具體用于將第一端口的數據轉發至第二端口,將第一端口的數據鏡像至第三端口,以及將第四端口的數據轉發至第五端口。
[0015]較佳地,安全防護裝置還包括漏洞掃描模塊,漏洞掃描模塊用于對網絡層的網絡數據進行漏洞掃描,并將掃描結果發送至管理終端;
[0016]管理終端還用于接收并顯示漏洞掃描結果。
[0017]較佳地,漏洞掃描模塊包括第二交換機和漏洞掃描單元;
[0018]第二交換機用于接收網絡層發送的網絡數據,并將網絡數據轉發至漏洞掃描單元;
[0019]漏洞掃描單元用于對網絡數據進行漏洞掃描。
[0020]進一步地,第二交換機設有第六端口、第七端口、第八端口和第九端口,第六端口與網絡層相連,第七端口與漏洞掃描單元連接,第八端口與漏洞掃描單元連接,用于接收漏洞掃描單元的掃描結果,第九端口與管理終端相連;
[0021]第二交換機具體用于將第六端口的數據轉發至第七端口,以及將第八端口數據轉發至第九端口。
[0022]較佳地,安全防護裝置還包括獨立的系統時鐘模塊,系統時鐘模塊通過ETH0網口與第二交換機相連,為網絡層的設備進行授時。
[0023]較佳地,系統時鐘模塊可以通過SAT端口與GPS或者北斗衛星天線進行對時。
[0024]較佳地,系統時鐘模塊還可以通過外部的單向IRIG
?
B碼源進行對時。
[0025]本專利技術第二方面還提供一種安全防護系統,包括分布式控制系統以及第一方面所述的安全防護裝置。
[0026]本專利技術的積極進步效果在于,提供一種針對分布式控制系統的安全防護裝置,通過對設備層和控制層之間數據的安全檢測和對網絡層設備的漏洞掃描,在保證控制系統正常數據交換的同時,大大增加整個控制系統的信息安全防護能力。通過設置獨立的GPS或者北斗衛星天線對時或單向IRIG
?
B碼源對時,避免系統通過NTP協議獲取外部不安全時鐘源,進一步提高了整個分布式控制系統的信息安全等級。本專利技術通過集成的方式減少了信息安全解決方案的配置過程,整合了信息安全解決方案的外部接口,具有重要的工程應用意義。
附圖說明
[0027]圖1為本專利技術實施例1提供的一種安全防護裝置與分布式控制系統的連接示意圖。
[0028]圖2為本專利技術實施例1提供的一種用于分布式控制系統的安全防護裝置的內部結構示意圖。
具體實施方式
[0029]下面通過實施例的方式進一步說明本專利技術,但并不因此將本專利技術限制在所述的實施例范圍之中。
[0030]分布式控制系統包括設備層、控制層和網絡層,系統的數據交互在設備層與控制層之間以及控制層與網絡層之間進行,其數據運行方式如圖1所示。
[0031]具體地,設備層對應工業現場的過程數據采集設備,例如儀器儀表、傳感器等。控制層的功能是將接收到的設備層數據通過控制器轉換為網絡數據,并傳輸至網絡層,網絡層將數據提交給管理層,實現集中監控、操作和管理,管理層可通過人機接口對過程對象進行分析記錄和操作控制。
[0032]實施例1
[0033]本實施例提供一種分布式控制系統的安全防護裝置,該安全防護裝置包括安全檢測模塊和管理終端,如圖1所示。
[0034]安全檢測模塊用于獲取設備層的設備數據,并將設備數據轉發至控制層。控制層接收設備數據并基于設備數據與網絡層進行數據交互;
[0035]控制層用于接收設備數據,并基于設備數據與網絡層進行數據交互;
[0036]安全檢測模塊用于對設備數據進行安全檢測,并將檢測結果發送至管理終端;
[0037]管理終端用于接收并顯示檢測結果。
[0038]作為一種可選的實施例,安全檢測模塊包括第一交換機和安全檢測單元;第一交換機用于接收設備層發送的設備數據,并將設備數據轉發至控制層和安全檢測單元;安全檢測單元用于對設備數據進行安全檢測。
[0039]作為一種可選的實施例,第一交換機設有第一端口、第二端口、第三端口、第四端口和第五端口,第一端口與設備層相連,第二端口與控制層相連,第三端口與安全檢測單元連接,第四端口與安全檢測單元連接,第五端口與管理終端相連。第一交換機具體用于將第一端口的數據轉發至第二端口,將第一端口的數據鏡像至第三端口,以及將第四端口的數據轉發至第五端口。
[0040]在如圖2所示的例子中,該第一端口包括端口1
?
1~1
?
3和端口2
?
1~2
?
3,第二端口包括1
?
...
【技術保護點】
【技術特征摘要】
1.一種用于分布式控制系統的安全防護裝置,其特征在于,所述分布式控制系統包括設備層、控制層和網絡層,所述安全防護裝置包括安全檢測模塊和管理終端;所述安全檢測模塊用于獲取所述設備層的設備數據,并將所述設備數據轉發至所述控制層;所述控制層用于接收所述設備數據,并基于所述設備數據與所述網絡層進行數據交互;所述安全檢測模塊還用于對所述設備數據進行安全檢測,并將檢測結果發送至所述管理終端;所述管理終端用于接收并顯示所述檢測結果。2.如權利要求1所述的安全防護裝置,其特征在于,所述安全檢測模塊包括第一交換機和安全檢測單元;所述第一交換機用于接收所述設備層發送的設備數據,并將所述設備數據轉發至所述控制層和所述安全檢測單元;所述安全檢測單元用于對所述設備數據進行安全檢測。3.如權利要求2所述的安全防護裝置,其特征在于,所述第一交換機設有第一端口、第二端口、第三端口、第四端口和第五端口,所述第一端口與所述設備層相連,所述第二端口與所述控制層相連,所述第三端口與所述安全檢測單元連接,所述第四端口與所述安全檢測單元連接,所述第五端口與所述管理終端相連;所述第一交換機具體用于將所述第一端口的數據轉發至所述第二端口,將所述第一端口的數據鏡像至所述第三端口,以及將所述第四端口的數據轉發至第五端口。4.如權利要求1所述的安全防護裝置,其特征在于,所述安全防護裝置還包括漏洞掃描模塊,所述漏洞掃描模塊用于對所述網絡層的網絡數據進行漏洞掃描,并將掃描結果發送...
【專利技術屬性】
技術研發人員:王帆,陳體偉,代博,李建偉,張聰,王翔宇,楊蘇玥,薛立宗,徐國彬,杜玉剛,
申請(專利權)人:山東核電有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。