w.w88优德电脑版登录平台
  咨询电话:13617306325

优德体育w88官网手机版

网络安全设备

网络安全设备

一种网络安全设备,该设备通过将业务透明地桥接至终端装置来给工业环境中的装置提供安全。安全设备与管理服务器进行安全地通信,以通过加密的通信为安全设备中的安全模块的操作接收配置数据。当与管理服务器进行通信时,安全设备利用工业装置的网络地址,管理服务器通过采用与该安全设备相关联的被保护装置中的一个的地址对该安全设备进行寻址。安全设备将获知的装置特征提供给管理服务器,管理服务器使软件和安全规则适合装置和控制协议的特定网络漏洞。安全设备采用装置的网络地址将周期性的心跳消息发送给管理服务器。心跳消息还可以报告异常事件,这种异常事件要求管理服务器将另外的软件提供给该节点。

最后,操作和维护这些SCADA系统的工作人员必然是进行了高度培训的控制系统专家,而不是信息技术或安全专家。因此,这些安全系统的管理需要基于控制技术人员能够理解的新范例,而不是传统的关注于网络系统的管理和配置的网络技术。如果没有针对控制技术人员和控制产品的解决方案,则可能在任何安全解决方案的建立和管理中出现严重缺陷。

图I至4描述了多个网络安全设备的部署拓扑。如图I所示,各种终端装置102、、104和106与网络10连接。计算机150和152或其它管理或监控装置通过网络10从终端装置发送和接收数据。网络10可以是利用诸如Internet协议(IP)的各种网络路由协议的控制网络、内部网络或Internet。如在图中和描述中所示,安全节点103和105代表网络安全设备,网络安全设备为与网络连接的终端装置提供安全和防火墙类型的功能。如图I所示,装置102是一个暴露于潜在攻击的未被保护装置,而装置104和106具有在通信路径上与它们分别串联的安全节点103和105。因此所有到达装置和来自装置的通信必须经过相关联的安全节点,的安全节点在基础水平上用作从装置到网络的桥接器。

本发明的另一方面提供一种数据网络,该数据网络包括多个网络工业装置;多个安全设备,每个设备与多个工业设备中的一个或多个相关联,安全设备透明地将工业装置桥接到数据网络,并且基于相关联的工业装置的识别特征来对传送到工业装置的和来自工业装置的数据提供管理;管理服务器,用于管理多个安全设备;其中管理服务器通过利用相关联的工业装置中的一个工业装置的地址与多个安全设备进行通信,多个安全设备利用相关联的装置的地址信息作为心跳消息源将加密心跳信息周期地发送给管理服务器。 在参考附图对本发明的特定实施例进行如下描述后,本发明的其它方面和特点对于本领域的普通技术人员来说是显见的。

Description

图12图示了操作阶段的消息流;

安全节点(网络安全设备)和管理服务器之间的通信操作基于“心跳”信令和“异常报告”的原则。采用心跳信令以将节点的当前状态条件发送给管理服务器。异常报告通信用于将发生在节点上的异常条件发送信号到管理服务器。采用加密可以保护从节点到管理服务器通信的这两个原则。

在对诸如发电和配电、石油生产、运输、制造和健康服务之类的关键工业系统进行管理时使用的监视控制和数据采集(SCADA)和自动控制设备通过使用诸如Ethernet、TCP/IP和web服务之类的流行通信技术日益互连起来。虽然SCADA和自动控制设备的联网以改进的信息流和效率的形式带来相当多的优点,但是一旦从世界各地都可以访问分离的装置和网络时,这些系统也有可能受到病毒、黑客和恐怖分子的威胁。当前,存在大量的保护不充分的控制装置遍布世界各地。这些控制装置负责诸如电力传输变电所、气体管线、制造工厂等等的关键系统和基础设施的安全操作,然而同时很大程度上未对它们进行保护以避免它们成为恶意攻击的目标。

设置诸如TCP(传输控制协议)的面向连接协议连接拦截机制,以仅接收来自管理服务器IP地址和在MCR中规定的源端口的业务,以及将业务引导至目标IP地址和在MCR中规定的目的地端口。这种连接拦截系统将连接业务传递给一个在安全节点上运行的控制软件,并且与管理服务器20建立诸如安全套接层(SSL)连接的加密连接。

安全节点(网络安全设备)和管理服务器之间的通信操作基于“心跳”信令和“异常报告”的原则。采用心跳信令以将节点的当前状态条件发送给管理服务器。异常报告通信用于将发生在节点上的异常条件发送信号到管理服务器。采用加密可以保护从节点到管理服务器通信的这两个原则。

图11是安全节点103的初始化阶段的流程图。图12示出在操作阶段中的安全节点103和管理服务器20之间的消息流。在步骤1102,安全节点103拦截可能是网络10上的包而不管其目的地地址。在步骤1104,对该包进行分析以确定它是否是MCR包。如果该包不包含MCR信息(在步骤1104中为否),则在步骤1122将其转发。如果该包包含MCR信息(在步骤1104中为是),则在步骤1106检查该包的密码以确定该包是否可以被解密。如果MCR可以被解密(在步骤1106中为是),然后在步骤1108对管理通信链路捕获进行准备。如果解密失败(在步骤1106为否),则在步骤1122释放该包以将其转发。

图14图示了安全节点更新过程的方法;

·允许来自PLC编程站的MODBUS固件加载消息

图9图示了在网络侧的安全设备中的获知模式的方法;

因此,需要用于SCADA和自动控制设备的网络安全设备,该网络安全设备易于配置并且可被远程可控,并且有助于保护广泛分布工业环境中的具备网络功能的控制设备。

背景技术

联系我们

联系人:

手 机:18866472816

邮 箱:6bqlj@qq.com

公 司:w.w88优德电脑版登录平台

地 址:锦州市义县小七里河路东