[发明专利]一种面向工业控制系统的网络安全监控方法

说明书

本发明公开了一种面向工业控制系统的网络安全监控方法，包括以下步骤：采集工业控制系统内部监测对象的相关信息；对采集到的相关信息进行安全分析；当分析发现有潜在异常行为时，生成相关安全管控命令，并下发到相关监测对象进行执行，阻断异常行为。本发明通过对工业控制系统的核心联网设备进行丰富的数据采集，实现了对外设接入、人员操作、网络外联等工业控制系统主要安全隐患行为的实时监视，同时，通过对各种行为进行分析处理，及时发现并阻断异常行为，真正实现了工业控制系统的主动防御。对于难以将传统安全防护措施有效应用到工业控制系统的现状，从监控预警的角度很好的解决了当前工业控制系统面临的主要安全威胁。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种面向工业控制系统的网络安全监控方法。

背景技术

以采集、监视、控制为主的工业控制系统广泛应用于电力、石化、交通、冶金等各个行业，实现了工业控制的自动化。典型的工业控制系统包括SCADA(Supervisory ControlAnd Data Acquisition，监视控制与数据采集)、DCS(Distributed Control System，分布式控制系统)、PLC(Programmable Logic Controller，可编程逻辑控制器)等。随着我国工业化、信息化的日益融合，计算机技术和网络通信技术在工业控制系统的广泛应用，传统工业控制系统逐步打破了以往的封闭性和专有性，标准、通用的通信协议及软硬件系统应用愈发广泛。工业控制系统在提升自动化、信息化水平的同时，也面临着越来越大的安全威胁。近年来频繁发生的工控安全事件为人们敲响了警钟。

与传统信息系统相比，工业控制系统由于对实时性、可靠性、工作连续性等方面的特殊要求，在设计之初很少考虑安全性，在使用时往往很少安装防病毒木马软件、很少进行系统漏洞补丁的升级，导致工业控制系统极易受病毒木马的感染。而在工业控制系统的日常运行与维护中，U盘、光盘等移动存储介质的使用，厂家运维笔记本的使用往往成为引入病毒木马的窗口。

针对这种情况，部分行业从管理上加强了对工业控制系统中移动存储介质及运维笔记本的使用，如拆除工业控制系统中不必要的USB接口、光驱，采用专门的运维笔记本进行安全运维等。这些管理措施的应用，起到了良好的效果，但也出现了日常运行和维护工作不方便，管理措施执行不到位，无法限制人为恶意违规操作等问题。

为此，有必要从技术上对工业控制系统的日常运行与维护进行全过程的监管，防止因违规使用移动存储介质、使用带毒运维笔记本而引入病毒木马，同时也需要为事后的审计回溯提出数据支撑。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提供一种面向工业控制系统的网络安全监控方法，以解决现有技术的不足。

本发明的一种面向工业控制系统的网络安全监控方法，包括以下几个步骤：

步骤一，采集工业控制系统内部监测对象的相关信息；

步骤二，对采集到的相关信息进行安全分析；

步骤三，当分析发现有潜在异常行为时，生成相关安全管控命令，下发到相关监测对象进行执行，阻断异常行为。

步骤一中，所述监测对象包括网络设备、安全设备、主机设备三类，所述网络设备包括工控交换机，所述安全设备包括防火墙、网闸隔离装置、VPN加密装置，所述主机设备包括监控主机、通信网关机、服务器、工作站。

步骤一中，所述相关信息从信息严重程度上由高到低分为紧急、重要、普通、一般四类。