(19)中华人民共和国国家知识产权局
(12)发明专利说明书 | ||
(10)申请公布号 CN 102984170 A (43)申请公布日 2013.03.20 | ||
(21)申请号 CN201210534023.1
(22)申请日 2012.12.11
(71)申请人 清华大学
地址 100084 北京市海淀区清华园北京市100084-82信箱
(72)发明人 陈震 姜欣 曹军威
(74)专利代理机构 北京路浩知识产权代理有限公司
代理人 王莹
(51)Int.CI
H04L29/06
权利要求说明书 说明书 幅图 |
(54)发明名称
一种工业控制网络安全过滤系统及方法 | |
(57)摘要
本发明提供一种工业控制网络安全过滤系统及方法,该系统包括顺序连接的模块扩展坞、协议处理模块、用户接口子系统;所述模块扩展坞与网络接口相连,用于实现网络通信、模块监控管理和通信协议的底层预处理;所述协议处理模块,用于对基于TCP/IP的工控协议进行解封、分析、过滤和封装;所述用户接口子系统,用于实现模块的管理配置和状态显示。通过本发明可在不改变工业企业网络结构和不影响日常生产的前提下,为用户提供可以灵活定制、在线扩展、实时管理和维护的安全防护措施,根据企业策略需要阻断潜在威胁,从而以较低的成本大大提高工业控制系统的网络安全水平。 | |
法律状态
法律状态公告日 | 法律状态信息 | 法律状态 |
权 利 要 求 说 明 书
1.一种工业控制网络安全过滤系统,其特征在于,该系统包括顺 序连接的模块扩展坞、协议处理模块和用户接口子系统;
所述模块扩展坞与网络接口相连,用于实现网络通信、模块监控 管理和通信协议的底层预处理;
所述协议处理模块,用于对基于TCP/IP的工控协议进行解封、分 析、封装和过滤;
所述用户接口子系统,用于实现系统模块的管理配置和状态显示。
2.如权利要求1所述系统,其特征在于,所述模块扩展坞为基于 Debian操作系统的微系统。
3.如权利要求1所述系统,其特征在于,所述协议处理模块包括 协议解封、分析、过滤和封装子模块。
4.如权利要求1所述系统,其特征在于,该系统还包括日志记录 模块和相关安全模块:
所述日志记录模块和相关安全模块分别与模块扩展坞和用户接口 子系统连接;所述日志记录模块用于完成安全事件的记录和报告,所 述相关安全模块用于访问控制、身份认证和安全审计。
5.如权利要求1所述系统,其特征在于,该系统还包括:存储模 块和流量统计模块;
所述存储模块和流量统计模块分别与模块扩展坞和用户接口子系 统连接,所述存储模块用于流量存储查询,所述流量统计模块用于流 量统计。
6.一种工业控制网络安全过滤方法,其特征在于,该方法包括:
S1、模块扩展坞通过网络接口收到外部网络发起的TCP/IP请求数 据包,对TCP/IP协议进行预处理并调度给协议处理模块;
非传统安全包括哪些内容S2、协议处理模块对TCP/IP请求数据包进行解封、分析、过滤和 封装,构建新的TCP/IP请求数据包发送到内网目标;
S3、内网目标接收到新的TCP/IP请求数据包,发送TCP/IP应答 数据包;
S4、协议处理模接收TCP/IP应答数据包,并进行解封、分析、过 滤和封装,构建新的TCP/IP应答数据包发送到外部网络。
7.如权利要求6述方法,其特征在于,所述步骤S2具体包括:
S21、解封子模块将TCP/IP请求数据包解包并重组成工控协议数 据包;
S22、分析子模块对工控协议数据包进行分析,提取关键字段;
S23、过滤子模块基于过滤规则和策略对关键字段进行匹配,实现 对“读”、“写”和“控制”指令的过滤;
S24、封装子模块将允许通过的工控协议数据包重新封装,构建新 的TCP/IP请求数据包发送到内网目标。
8.如权利要求6所述方法,其特征在于,所述步骤S4具体包括:
S41、解封子模块将TCP/IP应答数据包解包并重组成工控协议数 据包;
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论