1.本发明实施例涉及信息安全技术领域,特别涉及一种工控网络的网络安全管理系统和网络安全管理方法。
背景技术:
2.随着产业数字化的持续演进,工业互联网应用日趋复杂化,工控网络被迫与互联网连接,新型网络应用及网络通信协议不断涌现且日益增长,如何更好的满足用户对各类工控设备及系统运行过程及服务质量越来越精细的安全要求,以及保障数据安全,是目前面临的关键问题。
3.现有的网络管理中心和安全管理中心各自独立,分别进行网络结构、网络状态的监测和网络数据的安全隔离,没有形成整体的安全能力。并且长期以来,对网络管理中心的定位是解决网络的建设和运营为主,忽视信息安全。
4.并且,目前的安全管理中心大多从边界防护思想出发,通常是在工控网络的边界处部署的网络隔离产品(例如防火墙、网闸)、网络入侵检测产品和网络流量审计产品,该种方案需要在工控网络中额外部署更多的设备,造成通信链路上的结点增多、通信时延增大、设备故障的风险点增多;而且部署在边界的网络入侵检测产品和网络流量审计产品,不能覆盖网络中的全部通信数据流量,特别是工控网络内部设备之间的通信数据流量,完全无法被网络入侵检测产品和网络流量审计产品捕获和检查,由此形成了网络安全失管失控的区域,即所谓的“灯下黑”区域。
5.因此,亟需一种新的工控网络的网络安全管理系统和网络安全管理方法。
技术实现要素:
6.为了解决现有的网络管理和安全管理不紧密,导致处理安全问题的时间长,且安全管理中心大多是在工控网络的边界处部署的网络隔离产品,导致工控网络的通信时延增大、存在网络安全失管失控区域的问题,本发明实施例提供了一种工控网络的网络安全管理系统和网络安全管理方法。
7.第一方面,本发明实施例提供了一种工控网络的网络安全管理系统,系统包括:若干个控制设备、若干个接入交换机、核心交换机、至少一级的网络安全集中管理中心;每一个所述接入交换机通过控制网络接口分别与所述核心交换机、多个控制设备连接,用于形成工控网络;所述核心交换机通过控制网络接口与多个所述接入交换机连接;若干个最低级的网络安全集中管理中心的下行管理接口分别与所述核心交换机、所述接入交换机的管理接口连接,所述网络安全集中管理中心用于对工控网络进行安全访问控制,以及对工控网络进行网络连接状态、安全状态的集中监测;上一级的网络安全集中管理中心的下行管理接口分别与多个下一级的网络安全集中管理中心的上行管理接口连接。
8.第二方面,本发明实施例还提供了一种基于本说明书任一实施例所述系统的网络安全管理方法,方法包括:最低级的网络安全集中管理中心对所连接的接入交换机和核心交换机进行安全访问控制,以对接入交换机、核心交换机和控制设备相互连接形成的工控网络的网络连接状态和安全状态进行集中监测;上一级的网络安全集中管理中心分别与多个下一级的网络安全集中管理中心连接,以对下一级的网络安全集中管理中心进行集中管理。
9.本发明实施例提供了一种工控网络的网络安全管理系统和网络安全管理方法,通过将网络安全集中管理中心与工控网络中的接入交换机和核心交换机连接,可以对接入交换机、核心交换机以及控制设备形成的工控网络进行安全访问控制,以进一步对工控网络的连接状态和安全状态进行集中监测。而且,由于工控网络内部控制设备之间的通信数据流量只通过共同连接的接入交换机进行数据传递,普通的边界隔离产品大多部署在工控网络的边界,是无法捕获到内部控制设备之间的通信数据流量的。因此,本方案相较于现有的网络安全管理产品,可以实现集中化对工控网络的结构、网络状态、安全状态的连续管理,从而实现控制系统端到网到端的可信度,大幅提升工控网络的安全水平。
附图说明
10.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
11.图1是本发明一实施例提供的一种工控网络的网络安全管理系统示意图;图2是本发明一实施例提供的一种工控网络的网络安全管理方法流程图。
具体实施方式
12.为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
13.下面描述以上构思的具体实现方式。
14.请参考图1,本发明实施例提供了一种工控网络的网络安全管理系统,该系统包括:若干个控制设备、若干个接入交换机、核心交换机、至少一级的网络安全集中管理中心;每一个接入交换机通过控制网络接口分别与核心交换机、多个控制设备连接,用于形成工控网络;核心交换机通过控制网络接口与多个接入交换机连接;若干个最低级的网络安全集中管理中心的下行管理接口分别与核心交换机、接入交换机的管理接口连接,网络安全集中管理中心用于对工控网络进行安全访问控制,以及对工控网络进行网络连接状态、安
全状态的集中监测;上一级的网络安全集中管理中心的下行管理接口分别与多个下一级的网络安全集中管理中心的上行管理接口连接。
15.本发明实施例中,通过将网络安全集中管理中心与工控网络中的接入交换机和核心交换机连接,可以对接入交换机、核心交换机以及控制设备形成的工控网络进行安全访问控制,以进一步对工控网络的连接状态和安全状态进行集中监测。而且,由于工控网络内部控制设备之间的通信数据流量只通过共同连接的接入交换机进行数据传递,普通的边界隔离产品大多部署在工控网络的边界,是无法捕获到内部控制设备之间的通信数据流量的。因此,本方案相较于现有的网络安全管理产品,可以实现集中化对工控网络的结构、网络状态、安全状态的连续管理,从而实现控制系统端到网到端的可信度,大幅提升工控网络的安全水平。
16.在一些实施方式中,网络安全集中管理中心对工控网络进行安全访问控制至少包括端点身份加密认证、端点信息的统一管理;其中,端点为网络安全集中管理中心所连接的核心交换机和接入交换机;网络安全集中管理中心对工控网络进行网络连接状态、安全状态的集中监测,包括:网络安全集中管理中心对工控网络中各端点的网络连接状态进行监测;网络安全集中管理中心向所连接的端点下发安全策略,以使各端点按照监测得到的网络连接状态和安全策略向网络安全集中管理中心实时传输告警信息和日志数据;网络安全集中管理中心对告警信息和日志数据进行安全监测。
17.随着网络攻击和安全风险的不断增加,端点的安全问题变得越来越紧迫,所以为了保证端点的性能和可靠性,避免遭受网络攻击和数据泄露风险,网络安全集中管理中心需要对各端点的身份进行加密认证、端点信息进行统一管理,以防止其他恶意程序对端点信息和网络数据的窃取。
18.在进行身份加密认证和端点信息的统一管理下,实现对工控网络中各端点的网络连接状态的监测,并且,网络安全集中管理中心可以使各端点按照监测得到的网络连接状态和安全策略,从工控网络中各控制设备发送和接收的网络流量数据中生成告警信息和日志数据,然后,将告警信息和日志数据实时传输至网络安全集中管理中心,以对其进行深度安全监测。
19.在一些实施方式中,网络安全集中管理中心是通过如下方式进行端点身份加密认证的:身份密文是在端点中加密生成的,初始化配置时通过人工辅助方式将得到的端点身份密文导入到可信的安全集中管理中心,再由安全集中管理中心发送给指定的各端点;其中,各端点分别从发送数据包的包头信息中获取网络安全集中管理中心的地址,并且对其收到的身份密文进行解密,以判断解密后得到的身份信息以及网络安全集中管理中心的地址等与当前信息和地址是否相同;若相同,则网络安全集中管理中心与该端点身份认证成功。
20.在一些实施方式中,端点身份密文是通过如下方式进行加密的:
针对每一个端点,均执行:初始化配置时通过人工输入的方式将可信的安全集中管理中心地址输入到端点的配置界面,并由端点判断是否为有效地址格式;若是,则基于当前端点的各硬件模块序列号、设备唯一编号、即时生成的随机码以及输入的网络安全集中管理中心地址等,生成身份密文;若否,则通过配置界面反馈输入的网络安全集中管理中心地址无效。
21.在本实施例中,采用零信任架构,首先,每一个端点判断输入的网络安全集中管理中心地址是否为有效地址,若有效,则基于当前端点的各硬件模块序列号、设备唯一编号、即时生成的随机码以及网络安全集中管理中心地址,生成身份密文;并通过人工拷贝、u盘、或者照抄等方式将身份密文导入到网络安全集中管理中心,网络安全集中管理中心将每一个身份密文分发至所连接的每一个端点上,向端点请求认证,每一个端点从网络安全集中管理中心发送的数据包的包头信息中获取网络安全集中管理中心的地址,并且对对其收到的身份密文进行解密,得到网络安全集中管理中心地址、端点身份信息等,端点认证解密得到的网络安全集中管理中心地址及所收到的端点信息是否和自身信息、之前存储的网络安全集中管理中心地址一致,如果一致,则认证成功,如果不一致,则认证失败。
22.在一些实施方式中,网络安全集中管理中心是通过如下方式对端点信息进行统一管理的:网络安全集中管理中心通过注册的方式对各端点的本身信息进行统一管理;网络安全集中管理中心同步各端点注册的用户信息;其中,用户信息中含有账号密码;每隔设定时间,网络安全集中管理中心对各端点的账号密码进行统一重置,并利用原账号密码与各端点进行请求确认;当端点所存储的原账号密码与网络安全集中管理中心发来的原账号密码相同时,将重置的新密码同步至对应端点。
23.在本发明实施例中,在网络安全集中管理中心,集中以密文形式存储和管理各端点的本身信息和各端点注册的用户信息。
24.端点的本身信息包含以下信息:设备信息:sn、ip地址、mac地址、制造商等,附加信息:重要程度、地理位置、负责人等,系统信息:系统信息(如linux、windows)、系统版本,监控信息:cpu、内存、磁盘使用率,通过snmp协议获取数据。
25.网络安全集中管理中心对端点的用户信息管理,依赖两者之间的交互,交互过程为https协议,数据加密,且需要证书验证,保证通讯和数据的安全性。
26.端点注册用户信息,要通过接口上报到网络安全集中管理中心,包括端点添加、删除、修改用户信息时,均要通过接口上报到网络安全集中管理中心,完成用户信息的实时同步。
27.并且,为了提高安全性,网络安全集中管理中心每隔设定时间,会对各端点的账号密码进行统一重置,并利用原账号密码与各端点进行请求确认;当端点所存储的原账号密码与网络安全集中管理中心的原账号密码相同时,将重置的新密码同步至对应端点。
28.在一些实施方式中,网络安全集中管理中心是通过如下方式对安全策略进行下发的:
获取根据安全策略模板配置的各端点在不同网络连接状态下的若干个安全策略;基于私有协议通信机制建立安全通道,通过安全通道将每一个安全策略下发至一个或多个端点,以在各端点均配置有不同网络连接状态对应的安全策略。
29.在本实施例中,在网络安全集中管理中心提供安全策略模板,并将配置好的不同端点在不同网络连接状态下的安全策略集中存储在网络与安全管理中心。安全策略的下发采用单条单点下发、单条多点下发、多条多点下发等不同下发机制,实现灵活的安全策略配置和动态调整。安全策略下发通道采用基于https等ca(数字证书)的私有协议通信机制建立安全通道,通过安全通道完成策略下发,保护安全策略不被篡改。
30.在一些实施方式中,各端点按照监测得到的网络连接状态和安全策略向网络安全集中管理中心实时传输告警信息和日志数据,包括:针对每一个端点,均执行:网络安全集中管理中心根据当前端点在预设时间段内上报的网络连接状态,确定当前端点在当前时刻的网络连接状态;根据当前端点在当前时刻的网络连接状态,控制当前端点切换对应的安全策略,以使当前端点根据当前的安全策略生成告警信息和日志数据;将告警信息和日志数据传输至网络安全集中管理中心。
31.在本实施例中,相较于传统的网络管理中心和安全管理中心各自独立,跨部门的工作机制,导致处理安全问题无法考虑到网络连接状态,那么当某一端点由于网络状态较差而导致网络数据流量较少时,容易直接因为低于流量下线而产生告警信息,容易产生安全误判。因此,本技术会预先为每一个端点配置不同网络连接状态下的安全策略,以使网络管理中心和安全管理中心在对端点的连接状态进行监测的同时,根据监测到的网络连接状态及时切换对应的安全策略,以减少对工控网络的网络流量数据的误判率。
32.如图2所示,本发明实施例还提供了一种基于本说明书任一实施例所述系统的网络安全管理方法,包括:步骤200,最低级的网络安全集中管理中心对所连接的接入交换机和核心交换机进行安全访问控制,以对接入交换机、核心交换机和控制设备相互连接形成的工控网络的网络连接状态和安全状态进行集中监测;步骤202,上一级的网络安全集中管理中心分别与多个下一级的网络安全集中管理中心连接,以对下一级的网络安全集中管理中心进行集中管理。
33.上述方法的内容,由于与本发明系统实施例基于同一构思,具体内容可参见本发明系统实施例中的叙述,此处不再赘述。
34.需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
35.本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序
在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
36.最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。