发明名称 |
采用S7协议的工控系统安全防护方法及系统 |
摘要 |
本发明提供一种采用S7协议的工控系统安全防护方法,包括:对来自客户端的外部访问请求进行TCP/IP层协议解析,确定客户端IP地址和端口号以根据客户端地址白名单确定所述外部访问请求的合法性;对所述外部访问请求进行组包,并检测组成的帧的完整性;根据应用功能白名单确定所述外部访问请求的合法性,并确定所述外部访问请求的应用功能是否为读写功能;当所述外部访问请求的应用功能是读写功能时,根据第二预设白名单确定所述外部访问请求的合法性。本发明还提供了相应的安全防护系统。本发明在TCP/IP层和应用层进行了多级安全防护,可以有效地抵御针对采用S7协议的工控设备或系统的各种攻击,有效地避免了现有技术中不具备安全防范机制导致的安全风险。 |
申请公布号 |
CN105847251A |
申请公布日期 |
2016.08.10 |
申请号 |
CN201610165078.8 |
申请日期 |
2016.03.22 |
申请人 |
英赛克科技(北京)有限公司 |
发明人 |
陈惠欣 |
分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京商专永信知识产权代理事务所(普通合伙) 11400 |
代理人 |
方挺;时寅 |
主权项 |
一种采用S7协议的工控系统安全防护方法,包括:对外部访问请求进行TCP/IP层协议解析,根据第一预设白名单确定所述外部访问请求中的合法外部访问请求;对所述合法外部访问请求进行组包并进行帧完整性检测,以确定所述合法外部访问请求中通过帧完整性检测的帧完整外部访问请求;根据应用功能白名单确定所述帧完整外部访问请求的应用功能的合法性,并确定所述帧完整外部访问请求的应用功能是否为读写功能;当所述帧完整外部访问请求的应用功能不是读写功能时,允许所述帧完整外部访问请求根据TCP/IP协议组包并转发至内部通讯端口;否则根据第二预设白名单确定所述帧完整外部访问请求的读/写合法性。 |
地址 |
100085 北京市海淀区上地信息产业基地开拓路7号1幢二层2201室 |