[发明专利]针对IEC60870-5-101协议的安全防护方法及系统

说明书

本发明提供一种针对IEC60870‑5‑101协议的安全防护方法，包括：对接收到的外部访问请求进行组包；检测所述外部访问请求组成的帧的完整性；根据第一预设白名单确定所述外部访问请求的合法性，并确定所述外部访问请求的帧类型；当所述外部访问请求为固定格式帧或单字符帧时，允许所述外部访问请求通过并将所述外部访问请求转发至内部通讯端口；当所述外部访问请求为可变格式帧时，根据第二预设白名单确定所述外部访问请求的合法性。本发明还提供了相应的安全防护系统。本发明在链路层和应用层进行了多级安全防护，可以有效地抵御针对采用该协议的工控设备或系统的各种攻击，有效地避免了现有技术中不具备安全防范机制导致的安全风险。

技术领域

本发明涉及工业信息技术领域，特别涉及一种针对IEC60870-5-101协议的安全防护方法及系统。

背景技术

IEC60870-5-101协议(IEC101)是国际电工委员会TC-57技术委员会制定的一种远动通讯规约。IEC60870-5-101规定了电网数据采集和监控控制系统(SCADA)中主站和子站(远动终端)之间以问答方式进行数据传输的帧格式、链路层的传输规则、服务原语、应用数据结构、应用数据编码、应用功能和报文格式。为了提高通讯的实时性，IEC60870-5-101采用了只有物理层、数据链路层、应用层3层的增强性规约结构(EPA)。

目前，工业控制网络多采用传统的防火墙等设备对IEC60870-5-101协议传输进行安全防护。这些设备的基本原理是在链路层检测并隔离流经防护设备的异常信息流，防止已知病毒和攻击的入侵。但是这种方式无法对包含在合法数据流中的危险操作(如带有危险操作的控制命令)进行识别和阻止，即不能在应用层对异常信息流进行过滤，这可能会导致设备的运行出现异常甚至损毁。其主要特点是通过篡改正常工控协议参数达成破坏物理设备的目的。

发明内容

本发明的实施方式提供一种针对IEC60870-5-101协议的安全防护方法及系统，用于解决现有技术中基于IEC60870-5-101协议的工控系统通信时可靠性低的问题。

根据本发明的一个方面，提供了一种安全防护方法，所述方法包括：

接收外部访问请求；

对所述外部访问请求进行组包并检测所述外部访问请求的帧完整性；

根据第一预设白名单确定所述外部访问请求的合法性，并确定所述外部访问请求的帧类型，所述帧类型包括可变格式帧、固定格式帧和单字符帧；

当所述外部访问请求为固定格式帧或单字符帧时，允许所述外部访问请求通过并将所述外部访问请求转发至内部通讯端口；

当所述外部访问请求为可变格式帧时，根据第二预设白名单确定所述外部访问请求的合法性。

根据本发明的另一个方面，还提供了一种安全防护系统，包括：

访问请求接收端口，配置以接收外部访问请求；

组包/检测模块，配置以对所述外部访问请求进行组包并检测所述外部访问请求的帧完整性；

访问类型确定模块，配置以根据第一预设白名单确定所述外部访问请求的合法性，并确定所述外部访问请求的帧类型，所述帧类型包括可变格式帧、固定格式帧和单字符帧；

发送模块，配置以当所述外部访问请求为固定格式帧或单字符帧时，允许所述外部访问请求通过并将所述外部访问请求转发至内部通讯端口；

应用层确定模块，配置以当所述外部访问请求为可变格式帧时，根据第二预设白名单确定所述外部访问请求的合法性。