论文部分内容阅读
控制系统近年来遭受来自管理网络的病毒、入侵或攻击愈发频繁。现有的安全防护基本使用防火墙,采用基于协议的过滤。如何进一步提高控制系统的边界安全,成为当前网络信息安全领域研究的一个热点。本文研究并开发了一种基于双主板架构的控制系统边界安全网关,主要包括以下内容:在第一章介绍课题的研究背景、国内外研究现状以及拟解决的关键技术和问题之后,论文第二章设计了基于双主板架构的控制系统边界安全网关总体方案,从方案分析、功能结构和工作原理等方面对系统进行详细论证。给出了 X86主板以及ARM主板硬件架构,同时给出了系统软件架构设计,并介绍了相关软件模块。第三章介绍了基于深度数据过滤的网关设计,在协议过滤和数据白名单过滤的基础上,开发边界安全网关深度数据过滤功能。根据工业过程数据的特征设计深度数据过滤规则,包括报文data段数据名称比对、上传数据越限报警以及下发数据越限阻断等深度数据过滤技术;最后测试深度数据过滤功能,验证了方案的可行性。第四章介绍了基于Linux的OPC Client数据采集客户端软件设计,OPC Client基于ARM硬件架构,运行于Linux系统之上。在深入分析COM/DCOM通讯协议的基础上,利用Java语言、J-Interop和Utgard开源工程实现跨平台DCOM通讯,并开发了 OPCDA单点采集、批量采集等功能。第五章设计了基于OPC UA的网关软件。首先介绍OPC UA及其与传统OPC在协议栈方面的区别;进一步的,在深入分析OPCUA信息模型以及OPCUA服务的基础上,设计OPC UA软件功能结构框图,开发UA Client和UA Server应用程序;最后,在现有OPC应用基础上,提出了向OPC UA软件过渡的包装器和代理等方案设计。第六章进行了控制系统边界安全网关的调试和性能测试。针对若干典型问题,给出其详细描述、原因分析以及解决方案;重点测试了网关功能和安全性能等方面,测试结果满足控制系统边界安全相关指标要求,完全达到预期效果。基于双主板架构的控制系统边界安全网关,采用X86和ARM双主板架构、数据白名单以及深度数据过滤技术,实现控制系统与管理系统间的物理隔离,保护工业控制系统免遭来自企业管理信息系统的病毒、入侵或攻击,可大幅度提高工控系统的安全性。