一种工业控制网络安全防护方法和系统

摘要

本发明公开了一种工业控制网络安全防护方法和系统，该工业控制网络被划分为至少两个子网络层；其中，该工业控制网络与外部网络之间设置有防火墙，工业控制网络内设置有控制子网络层间数据传输的安全防护模块，该方法包括：安全防护模块截获所述子网络层之间传输的数据报文；安全防护模块判断所述数据报文所请求的操作是否满足预设条件；当所述安全防护模块判断出所述操作不满足预设条件时，阻断所述数据报文的传输；当所述安全防护模块判断出所述操作满足所述预设条件时，滤除所述数据报文中存在安全隐患的数据，并将滤除后的数据报文向所述数据报文对应的目的子网络层传输。通过该方法可以提高工业控制网络的安全性以及可靠性。

主权项

一种工业控制网络安全防护方法，其特征在于，所述工业控制网络被划分为至少两个子网络层，所述至少两个子网络层包括：企业管理网络层、制造执行系统网络层、过程监控网络层和现场控制网络层，其中，所述企业管理网络层通过网络与所述制造执行系统网络层连接，所述制造执行系统网络层通过网络与所述过程监控网络层连接，所述过程监控网络层与所述现场控制网络层连接；其中，所述工业控制网络与外部网络之间设置有防火墙，所述工业控制网络内设置有控制所述子网络层间数据传输的安全防护模块，所述方法包括：所述安全防护模块截获所述子网络层之间传输的数据报文；所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件；当所述安全防护模块判断出所述操作不满足预设条件时，阻断所述数据报文的传输；当所述安全防护模块判断出所述操作满足所述预设条件时，滤除所述数据报文中存在安全隐患的数据，并将滤除后的数据报文向所述数据报文对应的目的子网络层传输；其中，所述数据报文中存在安全隐患的数据至少包括：恶意代码以及不满足预设的访问控制规则的数据报文，其中，所述不满足预设的访问控制规则的数据报文至少包括：能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文；其中，所述现场控制网络层的控制器通过现场总线与现场设备层的现场设备相连，在所述现场总线上连接有控制网络层与所述现场设备网络层之间设置有现场入侵感知模块；所述方法还包括：所述现场入侵感知模块对接入现场总线上所有设备进行安全分析，对现场设备的状态进行在线检测，并对现场设备的数据资源、操作系统或者应用平台进行检测，同时，对基于工业控制系统现场设备层通信协议传输的所有数据进行检测，当检测到异常时，输出提示信息。