[发明专利]OPC服务器安全防护系统

说明书

技术领域

本发明属于网络信息安全领域，特别是涉及一种OPC服务器安全防护系统。

背景技术

在工业控制领域中，为了实现工业控制系统的应用软件和硬件产品之间的互操作性和可集成性，需要在应用层面上解决系统集成和数据通信问题。为此，国际上成立了一个称为OPC基金会的国际组织，制定了OPC标准，OPC是Object Linking and Embedding for Process Control的简称。现在，OPC基金会的会员已超过220家，包括世界上所有主要的自动化控制系统、仪器仪表及过程控制系统的公司，因此OPC标准成为事实上的国际标准。

OPC标准的核心是微软公司的组件对象模型COM和分布式组件对象模型DCOM技术，它是一种基于客户/服务器模式的通信协议，定义了OPC客户端与OPC服务器之间的通信协议和数据包格式，包括一整套相关的接口、属性和方法，在Windows应用程序和现场过程控制设备之间建立起一个桥梁，使两者很容易实现系统集成和数据通信。因此，OPC标准已成为工业控制系统集成和互连的首选方案，绝大多数的工业控制设备和应用软件都支持OPC标准，否则就会被淘汰。

随着工业和信息化的深度融合，在电力、能源、化工、水利、制药、污水处理、石油天然气、交通运输以及航空航天等工业企业中，通常建有企业信息网和工业控制网两种网络系统，通过OPC协议，实现企业信息网与工业控制网的互连互通，用户使用企业信息网中的计算机能够远程地监控工业控制网中的工业设备，并获取相应的生产数据。

另一方面，在企业信息网与工业控制网的互连中，也存在着一些安全风险，企业信息网中常见的安全威胁被引入到工业控制网中，如网络病毒、黑客攻击以及恶意操作等，给工业控制网带来严重的信息安全问题，“震网”病毒事件就是典型的例子。

由于OPC服务器在基于OPC协议的工业控制系统集成框架中起着桥梁作用，对于OPC服务器的安全防护十分重要，否则来自OPC客户端的恶意攻击就会通过OPC服务器危及工控设备及系统安全，造成严重的后果。因此，对OPC服务器的安全防护将直接关系到工业控制系统的安全。

发明内容

为了克服现有服务器以及工业控制系统安全性差的不足，本发明提供一种OPC服务器安全防护系统。该系统包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。根据OPC服务器网络通信系统结构，在OPC服务器的网络层、传输层和应用层上设置安全规则，对OPC服务器进入和外出的数据包进行深度安全检查和审计，识别和滤除恶意的访问行为及数据包，可以提高OPC服务器以及工业控制系统的安全防护能力。

本发明解决其技术问题所采用的技术方案是：一种OPC服务器安全防护系统，其特点是包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。

一、根据OPC服务器的安全策略设置网络层、传输层和应用层的安全规则。

(1)网络层：设置IP协议和ICMP协议的安全规则：

①将ICMP协议列入黑名单，表示禁止OPC服务器发送和接收ICMP数据包；ICMP协议未列入黑名单，表示允许OPC服务器使用ICMP协议进行通信。

②将特定的IP地址列入黑名单，表示禁止OPC服务器发送和接收这些特定目的IP地址或源IP地址的IP数据包；未列入黑名单的IP地址，表示允许OPC服务器发送和接收这些IP地址的IP数据包。

(2)传输层：设置TCP协议和UDP协议的安全规则：

①将特定的TCP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的TCP端口号或源TCP端口号的TCP数据包；未列入黑名单的TCP端口号，表示允许OPC服务器发送和接收这些TCP端口号的TCP数据包。

②将特定的UDP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的UDP端口号或源UDP端口号的UDP数据包；未列入黑名单的UDP端口号，表示允许OPC服务器发送和接收这些UDP端口号的UDP数据包。

(3)应用层：设置OPC协议的安全规则：

①将特定的OPC客户端及认证信息列入白名单，表示允许OPC服务器与这些特定的OPC客户端及用户名建立OPC连接进行通信；未列入白名单的OPC客户端，表示禁止OPC服务器与它们建立OPC连接。