[发明专利]一种工业控制系统的安全控制系统和方法

说明书

本申请提供一种用于工业控制系统的安全控制方法和系统，包括：信息采集模块、安全控制模块、安全规则配置模块，其中，信息采集模块包括与工业控制系统中用于采集工控条目数据的数据采集装置；安全控制模块，用于获得工控条目的最终结果项并执行结果对应的动作；安全规则配置模块，用于接收用户设置的规则信息。通过本发明，用户可以自定义安全规则库，也可以使用统一的安全规则库，大大降低了各单位自行开发系统的成本，同时本发明适用于具有动态调整、数据计算量大的工业控制系统，能快速反应、及时报警。

技术领域

本发明涉及工业控制领域，更具体地，涉及一种工控系统的安全控制系统和方法。

背景技术

工业控制系统是我国重要基础设施自动化生产的基础组件，安全的重要性可见一斑，然而受到核心技术限制、系统结构复杂、缺乏安全与管理标准等诸多因素影响，运行在ICS(工业控制)系统中的数据及操作指令随时可能遭受外界的破坏。传统IT信息安全一般是要实现三个目标，即保密性、完整性和可用性，通常都将保密性放在首位，并配以必要的访问控制，以保护用户信息的安全，防止信息盗取事件的发生。完整性放在第二位，而可用性则放在最后。

对于工业自动化控制系统而言，目标优先级的顺序则正好相反。工控系统信息安全首要考虑的是所有系统部件的可用性。完整性则在第二位，保密性通常都在最后考虑。因为工业数据都是原始格式，需要配合有关使用环境进行分析才能获取其价值。而系统的可用性则直接影响到企业生产，生产线停机或者误动作都可能导致巨大经济损失，甚至是人员生命危险和环境的破坏。

通俗地说，传统的信息安全技术能够解决信息丢失/泄露、间谍软件、蠕虫病毒等安全问题，然而对如软件的设计缺陷、误操作、恶意使用等安全问题却显得无能为力，工控安全系统相关的防危技术的发展就是为了弥补信息安全技术在工控系统安全中的不足。

工业控制系统应用广泛涉及行业范围也很多，应用场景和环境千差万别，对于各系统采集的原始信号量不尽相同、作为系统判断依据的数据量也不可能一致。针对这种现状，如果每一种应用场景甚至是每一个行业单独开发一套有针对性的工控安全系统在短时间内都是不可能完成的任务，更何况还要投入巨大的人力、物力及财力。

发明内容

为克服现有技术的上述缺陷，根据本发明提出了一种用于工业控制系统的安全控制系统，包括：信息采集模块、安全控制模块和安全规则配置模块，其中，信息采集模块包括用于采集工业控制系统中工控条目数据的数据采集装置；安全控制模块，用于获得工控条目的最终结果并执行相应动作；安全规则配置模块，用于接收用户设置的规则信息。

进一步的，安全控制模块包括安全规则库创建单元、安全规则库、规则树和结果项中工控条目列表生成单元以及安全判断执行单元；安全规则库包含安全规则，安全规则包括条件项和结果项，条件项和结果项由元素构成；规则树和结果项中工控条目列表生成单元，用于根据安全规则库生成规则树和结果项中工控条目列表；安全判断执行单元用于接收信息采集模块发送的工控条目的信息数据，然后根据规则树和结果项中工控条目列表获得并执行最终结果。

进一步的，元素分为判断类、结果项预设类、结果项动作类。

进一步的，规则树和结果项中工控条目列表生成单元中，规则树的根节点为工控条目的编码，规则树的叶子节点为条件项中的元素，规则树的最底层叶子节点为结果项；结果项中工控条目列表包括工控条目的编码、规则树中叶子节点含有编码的叶子节点。

进一步的，安全判断执行单元将接收到的工控条目数据排序，查询规则树和结果项中工控条目列表，获得并执行工控条目的最终结果。

进一步的，安全规则库包括通用安全规则库、行业安全规则库或用户自定义安全规则库。

进一步的，安全规则配置模块包括用于向用户显示配置界面，并接收用户设置的规则信息，并将规则信息发送到安全控制模块以生成安全规则库。