后处理厂的网络防护方法、装置和工业控制系统与流程

本发明属于后处理厂网络安全，具体涉及后处理厂的网络防护方法、装置和工业控制系统。

背景技术：

1、随着计算机技术和控制技术的飞速发展，后处理厂工业控制系统大多采用数字化技术。后处理厂工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与外部网络连接，病毒、木马等威胁正在向后处理厂扩散，后处理厂的网络安全问题日益突出，潜在风险越来越大。由于后处理厂工业控制系统的复杂性，导致网络安全防护存在较高难度。

技术实现思路

1、本发明要解决的技术问题是针对现有技术存在的上述不足，提供一种后处理厂的网络防护方法、装置和工业控制系统，使用该方法可以提高后处理厂工业控制系统的网络安全性，降低网络风险。

2、第一方面，本发明实施例提供一种后处理厂的网络防护方法，应用于工业控制系统，所述方法包括：

3、将所述工业控制系统中各子系统划分为n个网络等级，每个网络等级包括至少一个子系统，n为大于1的整数；

4、对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施。

5、可选地，所述对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施，包括：

6、第i网络等级的子系统向第i+1网络等级的子系统单向传输网络数据，

7、所述第i网络等级的子系统只接收第i-1网络等级的子系统传输的网络数据；

8、其中，2＜i≤n，i为整数，且所述第i网络等级为高于或等于第一预设等级的网络等级，第i网络等级高于第i+1网络等级。

9、可选地，所述第i网络等级的子系统向第i+1网络等级的子系统单向传输网络数据，包括：

10、所述第i网络等级的子系统与所述第i+1网络等级的子系统之间设置有第一边界防护层，所述第一边界防护层用于拦截低于所述第i网络等级的子系统传输的网络数据和外来网络数据。

11、可选地，所述对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施，包括：

12、仅允许第1网络等级的子系统向第2网络等级的子系统单向传输数据，并且禁止所述第1网络等级的子系统接收任何网络数据，所述第1网络等级为最高网络等级。

13、可选地，所述对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施，包括：

14、第p网络等级的子系统与第p+1网络等级的子系统双向传输网络数据，

15、其中，2＜p≤n，p为整数，且所述第p网络等级为低于所述第一预设等级的网络等级。

16、可选地，所述方法还包括：

17、将每个网络等级的子系统，划分为至少一个安全区域，每个安全区域包括至少一个子系统；

18、确定各所述安全区域的区域等级；

19、对于同一网络等级的不同区域等级的子系统之间的数据传输，执行与所述区域等级对应的网络安全防控措施。

20、可选地，所述对于同一网络等级的不同区域等级的子系统之间的数据传输，执行与所述区域等级对应的网络安全防控措施，包括：

21、同一网络等级的各安全区域之间设置有第二边界防护层，通过所述第二边界防护层对不同区域等级的子系统之间的网络数据传输执行与所述区域等级对应的网络安全防控措施。

22、可选地，所述n个网络等级包括第1网络等级、第2网络等级和第3网络等级，

23、所述第1网络等级的子系统包括安全级控制系统，所述第2网络等级的子系统包括非安全级控制系统，所述第3网络等级的子系统包括管理信息系统，所述第1网络等级为最高网络等级。

24、可选地，所述对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施，包括：

25、仅允许安全级控制系统向非安全级控制系统单向传输网络数据；

26、仅允许非安全级控制系统向管理信息系统单向传输网络数据。

27、可选地，所述第2网络等级包括第一安全区域和第二安全区域，所述非安全级子系包括第三方系统和非安全级dcs，所述第一安全区域包括第三方系统，所述第二安全区域包括所述非安全级dcs，

28、所述第三方系统和非安全级dcs之间设置有第二网络防护层，所述第三方系统和非安全级dcs通过所述第二网络防护层进行双向网络数据传输。

29、第二方面，本发明实施例还提供一种后处理厂的网络防护装置，其特征在于，应用于工业控制系统，所述装置包括：

30、划分模块，用于将所述工业控制系统中各子系统划分为n个网络等级，每个网络等级包括至少一个子系统，n为大于1的整数；

31、控制模块，用于对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施。

32、第三方面，本发明实施例还提供一种后处理厂的工业控制系统，其特征在于，

33、所述系统包括n个网络等级，每个网络等级包括至少一个子系统，n为大于1的整数；

34、每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施。

35、本申请的后处理厂的网络防护方法，将工业控制系统中各子系统划分为n个网络等级，每个网络等级包括至少一个子系统；对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施。由此，可以对工业控制系统进行多层防护，不同网络安全等级的子系统采用不同的网络安全防控措施，从而实现对工业控制系统的多重保护，避免后处理厂的工业控制系统被单一手段攻击，导致后处理厂发生安全事故，提高了工业控制系统网络的安全性。

技术特征：

1.一种后处理厂的网络防护方法，其特征在于，应用于工业控制系统，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施，包括：

3.根据权利要求2所述的方法，其特征在于，所述第i网络等级的子系统向第i+1网络等级的子系统单向传输网络数据，包括：

4.根据权利要求1所述的方法，其特征在于，所述对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施，包括：

5.根据权利要求2所述的方法，其特征在于，所述对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施，包括：

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

7.根据权利要求6所述的方法，其特征在于，所述对于同一网络等级的不同区域等级的子系统之间的数据传输，执行与所述区域等级对应的网络安全防控措施，包括：

8.根据权利要求1至7任意一项权利要求所述的方法，其特征在于，所述n个网络等级包括第1网络等级、第2网络等级和第3网络等级，

9.根据权利要求8所述的方法，其特征在于，所述对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施，包括：

10.根据权利要求9所述的方法，其特征在于，所述非安全级控制系统包括第一安全区域和第二安全区域，所述第一安全区域中包括第三方系统，所述第二安全区域中包括非安全级dcs，

11.一种后处理厂的网络防护装置，其特征在于，应用于工业控制系统，所述装置包括：

12.根据权利要求11所述的装置，其特征在于，所述执行模块包括：

13.根据权利要求12所述的装置，其特征在于，所述第一控制单元包括：

14.一种后处理厂的工业控制系统，其特征在于，所述系统包括n个网络等级，每个网络等级包括至少一个子系统，n为大于1的整数；

技术总结本发明公开了一种后处理厂的网络防护方法、装置和工业控制系统，其中，后处理厂的网络防护方法应用于工业控制系统，包括：将后处理厂工业控制系统中各子系统划分为N个网络等级，每个网络等级包括至少一个子系统；对于每个网络等级的子系统，执行与所述网络等级对应的网络安全防控措施。由此，可以对后处理厂工业控制系统进行多层防护，不同网络安全等级的子系统采用不同的网络安全防控措施，从而实现对后处理厂工业控制系统的多重保护，避免后处理厂的工业控制系统被单一手段攻击，导致后处理厂发生网络安全事故，提高了后处理厂工业控制系统网络的安全性。技术研发人员：杨庆彧,马敬,张博,李晓薇,崔国华,刘建伟,丁长富,刘泽辰,吕冬宝,宝音,冯存强,崔瑶,杨佳煜,刘宇,杨颖姝,赵利美,胡彦涛,武婧受保护的技术使用者：中国核电工程有限公司技术研发日：技术公布日：2024/7/29