[发明专利]一种基于协议深度分析的工控安全审计系统及其应用

说明书

本发明涉及一种基于协议深度分析的工控安全审计系统及其应用，所述系统包括：用于对工控系统进行直接控制操作的前端展现层和用于对运维操作指令审计与控制的后端处理层，前端展现模块与后端处理层之间通过中端通信连接；运行时，前端展现层发起报文同步数据，并通过中端通信与后端处理层进行连接并通过后端处理层接收并解析报文信息，根据结果进行日志记录，并关闭同服务的连接，通知前端展现层协议通信结果。本发明具备灵活的适应性和良好的扩展性，通过电力专用协议深度解析、业务行为管控、特定攻击防御等功能，实时发现并阻断电力工控系统中存在的安全风险，保障企业生产业务应用在工控网络环境下的可控、能控、在控，对工控系统形成有效的安全。

技术领域

本发明涉及工业控制系统安全防御技术领域，具体涉及一种基于协议深度分析的工控安全审计系统及其应用。

背景技术

近年来，随着工业以太网的逐步推广与应用，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络间接连接，传统IT信息网中的安全威胁已逐步渗透到生产控制网络中。为了提升电力行业的安全防护能力，加强电力监控系统安全防护，2014年国家发改委发布了14号令《电力监控系统安全防护规定》，2015年国家能源局发布《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2015〕36号)，简称36号文，进一步明确了安全管理责任，完善了电力监控系统安全防护方案，切实落实安全防护措施，积极开展电力监控系统和信息系统安全评估和安全等级保护测评，并按照文件要求及时完成现场评估和测评。

现代信息技术与现代控制技术的深度结合，在为控制技术带来新的创新机会、为企业带来新的商业模式的同时，也将信息网络中的信息安全问题一起带入了现代工业控制系统中。从2010年众所周知的“震网病毒”事件，2011年“Duqu病毒”，2012年的“火焰病毒”和2015年的乌克兰电网遭遇攻击停电事件，再到今天互联网上随处可见的黑客攻击工具，处处展现的是工控系统遭受攻击的“战况”，充分显示了工业控制系统信息安全问题的现实迫切性。因此，以美国为代表的“工业互联网”、以德国为代表的“工业4.0”，都将信息安全作为重中之重。在工业控制智能化推进过程中，信息安全保障工作却进展缓慢，体现在如下几个方面：

信息安全空白：借助信息化手段提高生产效率的同时，并没有考虑信息安全防护措施，有些工业控制系统甚至与互联网保持“亲密接触”。

信息安全浅表化：部分企业为了满足生产联动，将原来相互独立的工业控制系统互联，或者将生产控制网接入到企业管理网；为了满足信息安全需求，虽然增加了信息安全防护设备，但使用的却是信息系统常用的防火墙。

信息安全僵化：个别企业认识到工业控制系统信息安全的重要性，在工业控制系统改造过程中，主动增加了安全防护措施，例如工业防火墙、工控网络监控系统，但由于工业控制系统对高可靠运行生产的要求，作为使用方，在信息安全运维过程中，相应的信息安全策略并没有随着外界攻击技术的发展而调整，导致在实际运行过程中，信息安全问题依然时有发生。

攻击工具层出不穷：两化融合中，信息安全保障不到位，但是针对工业控制系统的攻击技术却呈现出日新月异的发展趋势，针对工业控制系统的攻击工具，被黑客制作并散布在互联网上，使得攻击成本越来越低。

攻击范围迅速扩大：早期针对部署在关键基础设施的工业控制系统进行攻击，需要较强的攻击能力；但随着工业控制系统信息安全问题公众化后，许多黑客开始利用互联网上轻易得到的攻击工具，瞄准很多基本不具备信息安全防护能力的行业或企业进行攻击，虽然没有严重的恶性事件，却造成严重经济损失。

发明内容

为此，本发明提供了一种基于协议深度分析的工控安全审计系统，通过采用私有工控控制协议的逆向分析技术，可信运维管理技术，以满足电力工控网络环境下的业务处理、安全审计、入侵检测的需要。

为达到上述目的，本发明采用如下技术方案：