[发明专利]一种适用于各类DCS生产控制系统安全防护与安全审计的方法与装置

权利要求书

1.DCS生产控制系统身份验证方法：其特征在于，包括如下步骤：

(1)首先在该发明中安全防护与安全审计服务器上的采集及控制装置管理软件模块上注册该发明中的采集及控制装置，可以使用采集及控制装置的MAC地址或硬盘ID号进行注册；

(2)用户将该发明中的采集及控制装置按上述的连接方式连接后，开启装置，该装置通过网络向安全防护与安全审计服务器进行认证，认证通过后，该设备进入数据采集及控制工作状态；

(3)在该发明中安全防护与安全审计服务器上的用户管理软件模块对用户进行注册，为用户提供ID卡、RFID卡、身份证或密码的之中的任何一种或它们的任意组合进行用户身份注册；

(4)用户通过该发明中的采集及控制装置提供的ID卡、RFID卡、身份证读卡器或密码器其中的任何一项或它们的任意组合来读取用户身份，采集及控制装置将读取的用户身份上传到安全防护与安全审计服务器，安全防护与安全审计服务器对用户身份进行识别，如是合法用户，安全防护与安全审计服务器通知采集及控制装置接通键盘和鼠标与DCS的连接，因而用户有使用键盘和鼠标来操作DCS的权限。

2.DCS生产控制系统方行为采集方法：其特征在于，包括如下步骤：

(1)该发明中的采集及控制装置对D C S的键盘、鼠标和显示器进行数据采集、压缩、暂存以及通过网络向安全防护与安全审计服务器上传；

(2)该发明中安全防护与安全审计服务器的行为跟踪与回放审计软件模块可按照时间、人员、值次、班次和事件等方式回放画面和操作记录。

3.DCS生产控制系统移动存储介质管理方法：其特征在于，包括如下步骤：

(1)通过该发明中安全防护与安全审计服务器上的移动介质管理软件模块对用户的移动介质进行注册，通过移动介质管理软件模块向移动介质中写入只读不能复制的一个加密的移动介质识别文件，该加密文件中包含了该移动介质的编号、用户名、权限等；

(2)用户将移动介质插入该发明中的采集及控制装置后，采集及控制装置会将该移动介质的识别文件上传到该发明中的安全防护与安全审计服务器上，安全防护与安全审计服务器通过移动介质管理软件模块对移动介质识别文件进行解密并读出该移动介质的编号、用户名、权限与安全防护与安全审计服务器的注册信息核对移动介质为可信移动介质后，安全防护与安全审计服务器将移动介质的权限、移动介质数据文件内容数字签名密码回传到该发明中的采集及控制装置上；

(3)采集及控制装置接通同DCS的移动存储介质连接；

(4)采集及控制装置通过从安全防护与安全审计服务器上得到的密钥对移动介质数据文件内容解密和数字签名核对，DCS可以从采集及控制装置上的可信移动介质复制可信文件；

(5)同时DCS也可以将DCS上的文件复制到可信移动介质，DCS先将文件复制到采集及控制装置上，采集及控制装置将用从安全防护与安全审计服务器上得到的密钥对被复制文件加密和数字签名，然后将加密和数字签名后的文件复制到可信移动介质上。

4.DCS生产控制系统行为审计方法：其特征在于，包括如下步骤

(1)该发明中的采集及控制装置会将以上的任何操作连同时间戳上传到安全防护与安全审计服务器；安全防护与安全审计服务器将上传得信息进行处理存入数据库中，用户可以通过安全防护与安全审计服务器的软件对所有信息进行展现和查询；

(2)安全防护与安全审计服务器上的行为分析、异常告警、绩效评价及运行优化管理软件对身份验证记录、安全数据交换记录、键盘鼠标操作记录进行统计分析；设置异常报警参数，对异常操作进行告警提醒；结合SIS厂级监控信息系统对操作人员进行绩效评价，按照SIS系统耗差经济性分析的时段自动筛选操作记录，供回放和学习；结合SIS厂级监控信息系统生产实时数据库，预设提醒规则，当生产实时数据符合预设的提醒规则时向前端信息显示装置发送提醒信息，提醒操作人员及时调看相关画面，促进运行优化管理。