[发明专利]一种工业控制系统运维系统及方法

权利要求书

1.一种工业控制系统运维系统，包括互联网和工业控制网络，其特征在于，该工业控制系统运维系统还包括虚拟专用网关和接入互联网的便携式终端；

便携式终端用于供用户发送访问请求数据；

互联网和虚拟专用网关之间构建有具有加密功能的虚拟专用网络隧道；

互联网通过虚拟专用网络隧道与虚拟专用网关连接；

虚拟专用网络隧道用于对访问请求数据进行加密，并用于将加密后的访问请求数据发送至虚拟专用网关；

虚拟专用网关连有运维网关；

虚拟专用网关用于解密所述加密后的访问请求数据，并对解密得到的访问请求数据进行第一次认证，并用于在认证成功后，对解密后的访问请求数据进行再次加密，还用于将再次加密后的访问请求数据发送至运维网关；

运维网关连接所述的工业控制网络；

运维网关用于解密所述再次加密后的访问请求数据，并对所述的解密后的访问请求数据进行第二次认证，并用于在第二次认证通过后将其解密得到的访问请求数据发送给工业控制网络；

工业控制网络连有安全网关；

工业控制网络用于将运维网关发送来的访问请求数据转发给安全网关；

安全网关连有一组跳板机服务器，每个跳板机服务器连有一组产线服务器；

安全网关用于基于工业控制网络转发来的访问请求数据访问相应跳板机服务器，通过访问的跳板机服务器实现对跳板机服务器连接的产线服务器的访问。

2.根据权利要求1所述的工业控制系统运维系统，其特征在于，访问请求数据包括运维账号和所要访问的跳板机服务器的IP地址。

3.根据权利要求2所述的工业控制系统运维系统，其特征在于，虚拟专用网关内预先设置有第一访问控制策略，第一访问控制策略用于提供运维账号对应的访问权限；

虚拟专用网关内配设有第一预设模块，第一预设模块用于重置所述的第一访问控制策略。

4.根据权利要求2所述的工业控制系统运维系统，其特征在于，运维网关内预先设置有第二访问控制策略，第二访问控制策略用于按照最小化原则，提供细颗粒度权限控制；

运维网关内配设有第二预设模块，第二预设模块用于重置所述的第二访问控制策略。

5.根据权利要求1所述的工业控制系统运维系统，其特征在于，各跳板机服务器配设有不同的IP地址；安全网关内预先存储有各跳板机服务器对应的IP地址。

6.一种基于权利要求1-5任一项所述的运维系统的工业控制系统运维方法，其特征在于，包括：

S1.通过便携式终端发送访问请求数据至互联网，互联网通过虚拟专用网络隧道加密所述访问请求数据并将加密后的访问请求数据发送至虚拟专用网关；

S2.虚拟专用网关对接收到的访问请求数据进行解密，并对解密后的访问请求数据进行第一次认证，若认证成功，对其解密得到的访问请求数据进行再次加密，然后将加密后的访问请求数据发送至运维网关；

S3.运维网关对接收到的加密后的访问请求数据进行解密，并对解密后的访问请求数据进行第二次认证，若认证成功，将其解密得到的访问请求数据通过工业控制网络转发给安全网关；

S4.安全网关基于工业控制网络转发来的访问请求数据访问相应跳板机服务器，并通过访问的跳板机服务器实现对跳板机服务器连接的产线服务器的访问。

7.根据权利要求6所述的工业控制系统运维方法，其特征在于，方法还包括：设置至少一个运维账号，不同的运维账号对应不同的访问权限。

8.根据权利要求6所述的工业控制系统运维方法，其特征在于，步骤S1中，通过便携式终端发送访问请求数据至互联网包括：通过便携式终端输入运维账号登陆运维网页，登陆后通过运维网页发送访问请求数据至互联网；其中，访问请求数据包括运维账号和所要访问的跳板机服务器的IP地址。