[发明专利]一种工业控制系统运维系统及方法

说明书

本发明涉及控制系统运维领域，提供了一种工业控制系统运维系统及方法，均包括虚拟专用网关、便携式终端、运维网关、安全网关、跳板机服务器和产线服务器。运维人员通过便携式终端发送请求数据，在请求数据传输过程中，通过虚拟专用网络隧道和安全网关对请求数据进行两次加密以及通过安全网关和运维网关进行两次安全认证，减少网络安全隐患，实现更加安全地进行远程运维。此外，运维人员通过便携式终端访问运维网关，运维网关通过安全网关访问跳板机服务器，借助于跳板机服务器实现对多个产线服务器的运维，从而方便了运维人员的运维工作。

技术领域

本发明涉及工业控制系统运维领域，具体涉及一种工业控制系统运维系统及方法。

背景技术

工业控制系统与传统的IT网络是物理隔离的，这种隔离可以避免大部分的病毒或攻击直接进入工业控制系统，所以工业控制厂商在设计产品时也没有过多的考虑安全因素，很多控制器设备无需认证即可直接登录，中间传输的数据也是以明文显示，现场各设备离散分布，如有故障，运维人员必须跑到现场进行维护。

随着智能制造的快速发展，集中办公、远程办公成为发展趋势，工业控制系统中所需要运维的终端设备越来越多，对于工业控制系统来说，安全运维是一件非常重要的事情。安全运维是工业控系统运行面临的一个关键问题。安全运维工作直接关系到企业业务的运行情况。

目前比较成熟的运维方式主要有第三方软件。但第三方软件直接连接互联网，如软件存在漏洞组件，会给工业控制系统带来较大网络安全隐患。此外，工业控制系统中终端设备位置分散，网络独立，难以统一管理。因此研发一种工业控制系统运维系统及方法，该系统和方法能够减少网络安全隐患，使得运维更加安全，且让运维人员更方便地进行运维工作是急需解决的问题。

发明内容

针对上述现有运维方式存在网络隐患的问题，本发明提供了一种工业控制系统运维系统及方法，用于减少网络安全隐患，实现更加安全地进行远程运维工作，并用于方便运维人员进行运维工作。

一方面，本发明提供了一种工业控制系统运维系统，包括互联网和工业控制网络，该工业控制系统运维系统还包括虚拟专用网关和接入互联网的便携式终端；便携式终端用于供用户发送访问请求数据；互联网和虚拟专用网关之间构建有具有加密功能的虚拟专用网络隧道；互联网通过虚拟专用网络隧道与虚拟专用网关连接；虚拟专用网络隧道用于对访问请求数据进行加密，并用于将加密后的访问请求数据发送至虚拟专用网关；虚拟专用网关连有运维网关；虚拟专用网关用于解密所述加密后的访问请求数据，并对解密得到的访问请求数据进行第一次认证，并用于在认证成功后，对解密后的访问请求数据进行再次加密，还用于将再次加密后的访问请求数据发送至运维网关；运维网关连接所述的工业控制网络；运维网关用于解密所述再次加密后的访问请求数据，并对所述的解密后的访问请求数据进行第二次认证，并用于在第二次认证通过后将其解密得到的访问请求数据发送给工业控制网络；工业控制网络连有安全网关；工业控制网络用于将运维网关发送来的访问请求数据转发给安全网关；安全网关连有一组跳板机服务器，每个跳板机服务器连有一组产线服务器；安全网关用于基于工业控制网络转发来的访问请求数据访问相应跳板机服务器，通过访问的跳板机服务器实现对跳板机服务器连接的产线服务器的访问。

进一步地，访问请求数据包括运维账号和所要访问的跳板机服务器的IP地址。

进一步地，虚拟专用网关内预先设置有第一访问控制策略，第一访问控制策略用于提供运维账号对应的访问权限；虚拟专用网关内配设有第一预设模块，第一预设模块用于重置所述的第一访问控制策略。

进一步地，运维网关内预先设置有第二访问控制策略，第二访问控制策略用于按照最小化原则，提供细颗粒度权限控制；运维网关内配设有第二预设模块，第二预设模块用于重置所述的第二访问控制策略。

进一步地，各跳板机服务器配设有不同的IP地址；安全网关内预先存储有各跳板机服务器对应的IP地址。

另一方面，本发明提供了一种基于以上各方面所述的运维系统的工业控制系统运维方法，包括：