CN110661761B - 一种访问控制设备、方法、计算机程序产品和计算机可读介质 - Google Patents

Abstract

涉及工业安全技术领域，尤其涉及一种访问控制设备和方法，可在系统的远程访问过程中提供有效的安全防护。一个访问控制设备(50)包括一个前端防火墙(501)，提供一个第一网络端口(51)以连接一台远程计算机(20)；与所述前端防火墙(501)连接的一个堡垒机(502)；与所述堡垒机(502)连接的一个后端防火墙(503)，提供一个第二网络端口(52)以连接所述系统(10)；所述后端防火墙(503)通过所述第二网络端口(52)扫描所述系统(10)中允许远程访问的资源并从中确定所述计算机(20)可远程访问的资源；所述堡垒机(502)，通过所述前端防火墙(501)，经由所述第一网络端口(51)向所述计算机(20)提供其可远程访问资源的信息。具有使用安全、简单、即插即用的优点。

Description

一种访问控制设备、方法、计算机程序产品和计算机可读介质

技术领域

本发明涉及工业安全技术领域，尤其涉及一种访问控制设备、方法、计算机程序产品和计算机可读介质。

背景技术

根据Gartner的定义，运营技术(Operational Technology，OT)集合了硬件和软件，通过直接地监视和/或控制物理设备，检测或触发企业中过程的变化或发生的事件。OT利用计算机监视或改变诸如工业控制系统(Industrial Control System，ICS)的物理状态。其中，工业控制系统是基于计算机实现的设施、系统和设备，用于远程监视和/或控制关键的工业过程，实现物理功能。“OT”这个词的叫法用于将工业控制系统和传统的信息技术(Information Technology，IT)系统在技术实现和功能上加以区分。采用OT技术的系统可包括：

·数据采集与监视控制(Supervisory Control And Data Acquisition，SCADA)系统；

●分布式控制系统(Distributed Control System，DCS)；

●计算机数字控制(Computer Numerical Control，CNC)系统，包括计算机化的机器工具；

●科学设备(比如：数字示波器等)等。

传统的OT系统是封闭的系统，设计之初主要考虑生产率、可操作性和可靠性，极少强调安全性。这些系统依赖于专用的网络和硬件，一直以来被认为可抵御网络攻击。但随着自动制造和过程控制技术的演进，保护ICS/OT计算机环境的需求逐年递增。随着IT技术的广泛采用，传统的封闭系统逐渐向开放系统演进，包括合资、服务外包等各种商业模式的出现使得传统的封闭系统与外部系统连接，而网络入侵事件的迅速增加、恶意软件的使用也进一步增加了ICS被外界攻击的风险。所有这些使得保护OT系统网络安全的需求日益迫切。

另一方面，在OT系统中，绝大多数的生产设备由其他公司提供。由于设备的复杂性，这些设备的拥有者可能无法对设备故障进行诊断和维护，在大多数情况下，需要依赖于设备提供商的技术支持，为了避免高额的现场支持费用，绝大多数的OT系统的运营者允许设备提供商通过互联网接入OT系统以提供远程技术支持。这样就会使得OT系统与外部系统相连，如果没有采取有效的安全防护措施，OT系统很可能面临如下的网络安全威胁：

●关键的、易被攻击的的OT系统、设备可能接受未授权的访问，甚至受到互联网攻击；

●远程接入OT系统的计算机如果感染了病毒，在工程师对OT系统进行远程维护时，病毒可能感染OT系统中的设备；

●远程接入的计算机与OT系统之间的通信可能会被窃听，受到中间人(man-in-the-middle，MITM)攻击等。

因此，如何在远程访问OT系统的过程中采取有效的安全防护措施，以提高OT系统的安全性是一个亟待解决的问题。

发明内容

有鉴于此，本发明提供一种访问控制设备和方法，可应用在一个系统的远程访问过程中，为系统提供有效的安全防护方法。该设备和方法充分考虑系统运营者的实践要求，具有使用简单、即插即用的优点，有效降低了系统的安全风险。该设备和方法不仅可用于OT系统中，也可为IT系统的远程访问过程提供安全防护措施。

第一方面，提供一种访问控制设备，用于在一个系统被远程访问时，为所述系统提供安全访问控制机制。该设备可包括：一个前端防火墙，提供一个第一网络端口，所述第一网络端口用于连接一台欲远程访问所述系统的计算机；一个堡垒机，与所述前端防火墙连接；一个后端防火墙，与所述堡垒机连接，提供一个第二网络端口，所述第二网络端口用于连接所述系统，所述后端防火墙用于通过所述第二网络端口确定所述系统中允许远程访问的资源，并按照预先配置的远程访问控制策略从所述系统可被远程访问的资源中确定所述计算机可远程访问的资源。其中，所述堡垒机，用于通过所述前端防火墙，经由所述第一网络端口向所述计算机提供所述后端防火墙提供的所述计算机可远程访问的资源的信息，以供所述计算机进行远程访问。

将防火墙、堡垒机的功能集成在了一个访问控制设备中，其具有即插即用、易于部署等有点，可有效降低成本，在保证远程访问安全的前提下，有效降低远程诊断和维护的复杂性。其可有效避免系统中的关键设备，比如工业控制器以及缺少安全能力而容易被攻击的设备直接暴露在互联网上。访问控制设备中的前端防火墙可阻止未授权的访问，后端防火墙可确定系统中允许远程访问的资源，并按照预先配置的策略限制远程的计算机访问系统中指定的资源。

可选地，所述访问控制设备还可包括一个管理模块，与所述后端防火墙连接，其中，所述管理模块提供一个第三网络端口，所述第三网络端口用于与所述系统的管理人员交互。

一种可选的实现方式中，所述管理模块用于：通过所述第三网络端口向所述系统的管理人员提供所述系统中允许远程访问的资源的信息，通过所述第三网络端口接收来自所述系统的管理人员的配置命令，所述配置命令用于配置所述系统中允许远程访问的资源的远程访问控制策略，以及按照收到的配置命令配置所述系统中允许远程访问的资源的远程访问控制策略。

其中，可由系统的管理人员预先配置远程访问控制策略，这样进一步保证该访问控制设备的即插即用性。使得该设备在部署后，可按照预先的配置而实现对系统有效的安全防护。

另一种可选的实现方式中，所述管理模块，用于按照预先设置的配置规则配置所述系统中允许远程访问的资源的远程访问控制策略。

这样进一步降低了该设备的配置难度。

可选地，所述系统为一个OT系统，所述后端防火墙具体用于：通过所述第二网络端口接收所述系统中传输的工业协议报文，并按照不同的工业协议，从接收到的工业协议报文中获取所述系统中允许远程访问的资源的信息。

这样就实现了通过该访问控制设备来自动获取系统中允许远程访问的资源的信息，实现了针对远程访问的计算机的访问控制。

进一步地，所述后端防火墙可通过所述第二网络端口向所述系统发送不同工业协议的探测报文，并接收所述系统响应于所述后端防火墙发送的探测报文而回复的报文。这样后端防火墙可以通过发送探测报文这样的主动探测的方式而获取工业协议报文，进而从工业协议报文中获取所述系统中允许远程访问的资源的信息。

可选地，所述前端防火墙限定仅由具有特定IP地址和/或特定端口的所述计算机访问所述系统，和/或通过所述第一网络端口提供所述访问控制设备与所述计算机之间的安全连接。这样就实现了更精细的访问控制。

可选地，所述堡垒机，用于对所述计算机进行用户鉴权；和/或提供所述计算机远程访问所述系统的远程桌面。远程工程师可以登录该远程桌面实现对所述系统的访问，比如访问所述系统中的设备和应用。

可选地，所述访问控制设备还可以包括一个审计模块，分别与所述前端防火墙、所述后端防火墙和所述堡垒机连接，用于审计下列信息中的至少一项：

所述前端防火墙的安全日志；

所述后端防火墙的安全日志；

所述堡垒机的安全日志；

所述前端防火墙与所述堡垒机之间的网络流和/或网络流量；

所述堡垒机和所述后端防火墙之间的网络流和/或网络流量。

其中，审计模块可从收集到的审计数据中，获得对所述系统的远程访问的记录，以实现在远程诊断、维护等访问过程中的安全监测。

第二方面，提供一种访问控制方法，用于在一个系统被远程访问时，为所述系统提供安全访问控制机制。该方法可包括如下步骤：连接在所述系统与一台欲远程访问所述系统的计算机之间访问控制设备确定所述系统中允许远程访问的资源；所述访问控制设备按照预先配置的远程访问控制策略从所述系统中允许远程访问的资源中确定所述计算机可远程访问的资源；所述访问控制设备向所述计算机提供所述计算机可远程访问的资源的信息，以供所述计算机进行远程访问。

该方法中，集成了防火墙、堡垒机的功能的访问控制设备具有即插即用、易于部署等有点，可有效降低成本，在保证远程访问安全的前提下，有效降低远程诊断和维护的复杂性。其可有效避免系统中的关键设备，比如工业控制器以及缺少安全能力而容易被攻击的设备直接暴露在互联网上。访问控制设备中的前端防火墙可阻止未授权的访问，后端防火墙可确定系统中允许远程访问的资源，并按照预先配置的策略限制远程的计算机访问系统中指定的资源。

可选地，所述访问控制设备进一步向所述系统的管理人员提供确定的所述系统中允许远程访问的资源的信息，接收来自所述系统的管理人员的配置命令，配置所述系统中允许远程访问的资源的远程访问控制策略，并按照收到的配置命令配置所述系统中允许远程访问的资源的远程访问控制策略。

其中，可由系统的管理人员预先配置远程访问控制策略，这样进一步保证该访问控制设备的即插即用性。使得该设备在部署后，可按照预先的配置而实现对系统有效的安全防护。

或者，所述访问控制设备按照预先设置的配置规则配置所述系统中允许远程访问的资源的远程访问控制策略。这样进一步降低了该设备的配置难度。

可选地，所述系统为一个OT系统，所述访问控制设备在确定所述系统中允许远程访问的资源时，可接收所述系统中传输的工业协议报文，并按照不同的工业协议，从接收到的工业协议报文中获取所述系统中允许远程访问的资源的信息。这样就实现了通过该访问控制设备来自动获取系统中允许远程访问的资源的信息，实现了针对远程访问的计算机的访问控制。

进一步地，在所述访问控制设备接收所述系统中传输的工业协议报文之前，还包括：所述访问控制设备向所述系统发送不同工业协议的探测报文；所述访问控制设备接收所述系统中传输的工业协议报文，包括：所述访问控制设备响应于所述后端防火墙503发送的探测报文而回复的报文。这样后端防火墙可以通过发送探测报文这样的主动探测的方式而获取工业协议报文，进而从工业协议报文中获取所述系统中允许远程访问的资源的信息。

可选地，该方法还包括：所述访问控制设备限定仅由具有特定IP地址和/或特定端口的所述计算机访问所述系统；和/或所述访问控制设备提供与所述计算机之间的安全连接。这样就实现了更精细的访问控制。

可选地，该方法还可包括：对所述计算机进行用户鉴权；和/或提供所述计算机远程访问所述系统的远程桌面。远程工程师可以登录该远程桌面实现对所述系统的访问，比如访问所述系统中的设备和应用。

可选地，所述访问控制设备包括：与所述计算机连接的一个前端防火墙，与所述前端防火墙连接的一个堡垒机以及与所述堡垒机和所述系统连接的一个后端防火墙，所述方法还包括：所述访问控制设备审计下列信息中的至少一项：

所述前端防火墙的安全日志；

所述后端防火墙的安全日志；

所述堡垒机的安全日志；

所述前端防火墙与所述堡垒机之间的网络流或网络流量；

所述堡垒机和所述后端防火墙之间的网络流或网络流量。

这样，可从收集到的审计数据中，获得对所述系统的远程访问的记录，以实现在远程诊断、维护等访问过程中的安全监测。

第三方面，提供一种访问控制设备，包括：至少一个存储器，用于存储计算机可读代码；至少一个处理器，用于调用所述计算机可读代码，执行如第二方面所述的方法。

第四方面，提供一种计算机程序产品，所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可执行指令，所述计算机可执行指令在被执行时使至少一个处理器执行根据第二方面所述的方法。

第五方面，提供一种计算机可读介质，所述计算机可读介质上存储有计算机可读指令，所述计算机可读指令在被处理器执行时，使所述处理器执行第二方面提供的方法。

附图说明

图1示出了一种远程访问OT系统的方式，以及一种OT系统的组成。

图2示出了本发明实施例提供的一种访问控制设备与一个被访问的系统以及一台欲远程访问该系统的计算机之间的连接关系。

图3为本发明实施例提供的访问控制设备的一种结构示意图。

图4为本发明实施例提供的访问控制方法的一个流程图。

图5为本发明实施例提供的访问控制设备的另一种结构示意图。

附图标记列表：

具体实施方式

如前所述，OT系统面临着网络攻击的风险，特别是在对OT系统进行远程访问时，可能由于没有采取有效的安全防护措施，而导致OT系统面临各种网络安全威胁。

本发明实施例提供一种访问控制方法和装置，应用在对一个系统，比如OT系统的远程访问过程中，为该系统提供有效的安全防护方法。该方法和装置充分考虑了系统运营者的实践要求，具有使用简单、即插即用的优点，有效降低了系统的安全风险。

以下，将采用了OT技术的系统称为“OT系统”，ICS、工业控制系统可视为OT系统的的例子。

下面结合附图对本发明实施例提供的方法和设备进行详细说明。

目前，通常采用了远程访问的方式对OT系统进行故障诊断等维护工作。一种对OT系统进行远程访问的方式可如图1所示。其中，远程访问计算机20通过互联网30连接至OT系统10。OT系统10中可包括但不限于如下设备：

1)至少一个工业控制器1011

工业控制器1011可为可编程逻辑控制器(Programmable Logical Controller，PLC)、DCS控制器、RTU等。至少一个工业控制器1011可连接分布式I/O设备1012或自身集成分布式I/O接口，以控制数据的输入输出。工业控制器1011还可连接现场设备40，用于控制现场设备40的操作。大部分的工业控制器1011是专用的嵌入式设备，基于嵌入式操作系统(比如：VxWorks，嵌入式Linux，EOS、ucLinux、以及各种私有操作系统等)实现。工业控制器1011用于实现可靠、实时的工业控制，通常缺少访问控制(比如识别、鉴权、授权等)等安全特性。其中，一个控制单元100中可包括至少一个工业控制器1011。

2)至少一个分布式输入/输出(Input/Output，I/O)设备1012

3)至少一个工业主机

工业主机可包括基于个人电脑(Personal Computer，PC)实现的各种工作站或服务器等上位机。比如工程师站1013a、操作员站1013b、服务器1013c和人机界面(HumanMachine Interface，HMI)1013d等。OT系统10中，工业主机可通过工业以太网1014监测和控制工业控制器1011，比如：控制工业控制器1011从现场设备40处读取数据(例如从传感器读取现场设备的状态参数)，将数据保存到历史数据库中，按照操作员的指令或按照预设的控制程序或逻辑，向工业控制器1011发送控制命令等。其中，工程师站1013a也可对工业控制器1011进行配置。相对于控制单元100，至少一个工业主机属于管理层。

4)工业控制网络1014

工业控制网络1014中可包括至少一个网络设备，用于连接各个工业控制器1011和工业主机。目前，越来越多的工业控制网络1014基于工业以太网实现。工业控制网络1014内的通信可基于传输控制协议(Transmission Control Protocol，TCP)、用户数据报协议(User Datagram Protocol，UDP)、互联网协议(Internet Protocol，IP)、以及基于以太网(Ethernet)等，其中的网络设备可包括但不限于：路由器、交换机等。工业控制网络1014还可连接其他网络，比如工厂的网络、办公网络等。

通常，远程访问计算机20一方面可通过互联网直接与OT系统10连接，另一方面，工程师也可通过互联网，或非对称数字用户线路(Asymmetric Digital Subscriber Line，ADSL)、第四代(4th Generation，4G)移动通信等广域网(Wide Area Network，WAN)登录到远程访问计算机20上，进而通过远程访问计算机20访问OT系统10。由于远程访问计算机20没有采用有效的安全防护措施，比如：仅允许通过虚拟专用网络(Virtual PrivateNetwork，VPN)连接进行远程访问等，因此远程访问可能为OT系统10带来安全风险。

本发明实施例中，将各种安全手段集成到一台设备中实现，提供了一种易用的、即插即用的安全解决方案，可有效防护一个系统被远程访问时可能面临的安全风险。该设备集成的安全手段可包括但不限于采用VPN连接、部署堡垒机(bastion host)、提供访问控制、进行日志、网络流监测等。如图2和图3所示，该设备50可部署在系统10一侧，位于系统10与远程访问计算机20之间。如图3所示，该设备50可包括：

一个前端防火墙501，提供一个第一网络端口51，第一网络端口51用于直接或间接(比如通过广域网)连接一台欲远程访问系统10的计算机20；

一个堡垒机502，与前端防火墙501连接，可实现如下功能：

1)对计算机20进行用户鉴权。

2)可用于提供计算机20远程访问系统10的远程桌面，包括但不限于：采用远程桌面协议(Remote Desktop Protocol，RDP)协议的远程桌面、TeamViewer远程桌面等。远程工程师可以登录该远程桌面实现对系统10的访问，比如访问系统10中的设备和应用。

3)集成基于主机的入侵检测系统(Intrusion Detection Systems，IDS)，以监视远程工程师的操作。

一个后端防火墙503，与堡垒机502连接，提供一个第二网络端口52，第二网络端口52用于连接系统10，后端防火墙503用于通过第二网络端口52探测系统10中允许远程访问的资源，比如：一个设备，或者是一个应用，并获取探测到的资源的信息，比如：IP地址、端口号、设备类型、应用类型等。

可选地，后端防火墙503可具体通过第二网络端口52接收系统10中传输的工业协议报文，并按照不同的工业协议，从接收到的工业协议报文中获取资源的信息。其中，后端防火墙503不仅可以通过被动监测获得OT系统10中传输的工业协议报文，进而从工业协议报文中获取资源的信息，还可对OT系统10进行主动探测，比如发送某一种或某几种工业协议的特定报文，根据对应的工业协议的规定，收到该特定报文的系统10中的设备会响应该特定报文而发送工业协议报文，后端防火墙503可从收到的响应报文中获取资源的信息。下面的例子对于被动和主动获取资源信息进行了描述。

比如：对于采用PROFINET协议的OT系统10，后端防火墙503可(被动)监听系统内各个设备周期广播的链路层发现协议(Link Layer Discovery Protocol，LLDP)报文，以获得各设备的媒体接入控制(Medium Access Control，MAC)地址、IP地址、主机名、硬件版本、固件/软件版本等信息。

再比如：对于采用PROFINET的OT系统10，后端防火墙503可(主动)在OT系统10中广播PROFINET设备发现和配置协议(PROFINET Device Discovery and ConfigurationProtocol，PN-DCP)的设备识别报文，从各设备回复的报文中获得MAC地址、IP地址、主机名、硬件版本、固件/软件版本等信息。

再比如：对于支持其他工控协议(比如：S7Comm/S7Comm+)的OT系统10，可以通过在OT系统10中主动发送轮询报文的方式获得设备的网络配置信息等。

此外，后端防火墙503在探测过程中也可以探测到应用的信息，比如：通过SNMP进行探测时，可以获得那些应用程序驻留在那个网络端口上等信息。

当远程的计算机20访问系统10时，后端防火墙503可提供计算机20可远程访问的资源的信息。通常，不同的计算机20上的不同用户具有不同的访问权限，以系统10为OT系统为例。比如：某些计算机20可远程访问该系统10中的工业控制器、工业主机，而另一些计算机20仅可远程访问工业主机。再比如：一台计算机20可访问系统10中的一部分工业主机，而另一台计算机20可访问系统10中的另一部分工业主机。后端防火墙503可按照预先配置的远程访问控制策略确定计算机20可远程访问系统10的哪些资源，以及这些资源的信息。而堡垒机502可通过前端防火墙501，经由第一网络端口51向计算机20提供后端防火墙503确定的计算机20可远程访问的资源的信息，以供计算机20进行远程访问。

可选地，该访问控制设备50还可包括一个管理模块504，该管理模块504可与后端防火墙503连接，用于配置后端防火墙503的远程访问控制策略。管理模块504在配置后端防火墙503的远程访问控制策略时，可采用如下三种方式：

方式一、由系统10的管理人员通过管理模块504配置策略

对于方式一，管理模块504提供一个第三网络端口53，该第三网络端口53用于与系统10的管理人员交互，系统10的管理人员通过管理模块504配置后端防火墙503的远程访问控制策略。其中，管理模块504可通过第三网络端口53向系统10的管理人员提供后端防火墙503探测到的系统10中允许远程访问的资源的信息，系统10的管理人员根据收到的信息配置远程访问控制策略。比如：管理人员在通过管理模块504配置后端防火墙503的远程访问控制策略，只需要选择对应的资源即可完成配置。

配置远程访问控制策略的方法包括但不限于：

方法1、针对每一个允许远程访问的资源分别配置对应的远程访问控制策略；

方法2、将允许远程访问的资源分类，针对每一类允许远程访问的资源分别配置对应的远程访问控制策略；

方法3、针对所有的允许远程访问的资源设置同样的远程访问控制策略。

对于上述方法1，以下表举例说明：

系统10的管理人员可通过第三网络端口53向管理模块504发送远程访问控制策略的配置命令来配置上述远程访问控制策略。

方式二、由管理模块504自行配置策略

对于方式二，管理模块504可按照预先设置的配置规则配置系统10中允许远程访问的资源的远程访问控制策略。这些预先设置的配置规则可包括但不限于：

仅允许远程访问的计算机20访问系统10中工业主机所提供的资源；

仅允许远程访问的计算机20访问系统10中IP地址在IP地址A～IP地址B范围内的资源；

允许远程访问的计算机20访问系统10中除了工业控制器1011之外的其他资源。

方式三、混合式配置

对于方式三，可预先设置多个可选的典型场景，对于每一种典型场景，管理模块504按照预先设置的配置规则配置远程访问控制策略(具体可参考方式二)。而系统10的管理人员需要做的是，从多个典型场景中选择其一，这样可大大降低配置的复杂性。管理人员无需深入了解访问控制设备50中各个模块的策略的配置规则，仅需从多套策略中选择一套并根据实际网络情况进行网络配置即可。

可选地，管理模块504也可实现对前端防火墙501和堡垒机502的远程访问控制策略的配置，类似地，可由管理人员配置，也可由管理模块504自行配置，再或者由管理模块504提供多个典型场景，管理人员从多个典型场景中择一。

可选地，管理人员可通过管理模块504提供的图形用户界面(Graphical UserInterface，GUI)进行访问控制设备50中各模块的配置，如前所述配置项目可包括但不限于：

1)前端防火墙501和后端防火墙503的安全策略，即远程访问控制策略；

2)堡垒机502的远程访问控制策略，比如：远程桌面策略和IDS的检测策略；

此外，管理模块504还可用于配置：

1)前端防火墙501、后端防火墙503和堡垒机502的安全日志的参数；

2)前端防火墙501和后端防火墙503上网络流和/或网络流量的转发参数；

3)接下来要介绍的审计模块505对审计数据的收集和存储的方法。

前端防火墙501、堡垒机502和后端防火墙503的远程访问控制策略的目标不同，其中，前端防火墙501主要是提供(来源)接入的认证，通过VPN、证书、IP地址等，限制只有指定厂商的计算机才能远程访问系统10；而堡垒机502主要限制远程的计算机20可以使用的软件、工具等；后端防火墙503则限制远程的计算机20通过堡垒机502所能访问的OT系统10中的资源(IP地址、端口号)。

此外，访问控制设备50还可包括一个审计模块505，分别与前端防火墙501、后端防火墙503和堡垒机502连接，用于对下列信息中的至少一项进行审计：

前端防火墙501的安全日志；

后端防火墙503的安全日志；

堡垒机502的安全日志；

前端防火墙501与堡垒机502之间的网络流或网络流量；

堡垒机502和后端防火墙503之间的网络流或网络流量。

其中，审计模块505从收集到的审计数据中，审计模块505可获得对系统10的远程访问的记录，以实现在远程诊断、维护等访问过程中的安全监测。在实现上，审计模块505可以与管理模块504为同一模块或不同模块。

以上介绍了访问控制设备50的模块组成、各个模块的功能，以及模块之间的相互配合。其中，访问控制设备50中的各个模块并不是独立的主机，而是集成在一个系统中，提供统一的简单的配置方式，可降低该设备的复杂性和成本，用以简单地实现远程诊断和维护的非军事化区(demilitarized zone，DMZ)。下面，介绍访问控制设备50中的网络端口。访问控制设备50中的各个模块可具有9个网络端口，但仅向用户提供3个网络端口，即：

1)互联网端口，即前述的第一网络端口51；

2)内网端口，即前述的第二网络端口52；

3)用于管理和审计的网络端口，即前述的第三网络端口53。

可选地，前端防火墙501可具有三个网络端口：

1)互联网端口，即前述的第一网络端口51，是前端防火墙501的外部网络接口，可以提供各种不同方式的互联网接入，包括但不限于：非对称数字用户线路(AsymmetricDigital Subscriber Line，ADSL)、超高速数字用户线路(Very High Speed DigitalSubscriber Line，VDSL)、电缆调制解调器(Cable Modem，CM)和局域网(Local AreaNetwork，LAN)等。前端防火墙501的远程访问控制策略可配置在该第一网络端口51上，比如：可限定仅由具有特定IP地址和/或特定端口的计算机20访问系统10等。可选地，前端防火墙501还可通过第一网络端口51提供访问控制设备50与计算机20之间的安全连接，比如虚拟专网(Virtual Private Network，VPN)连接。

2)内部网络端口54，是前端防火墙501的内部网络接口，与堡垒机502的输入端口56连接。

3)管理端口55，是前端防火墙501的内部网络接口，可与管理模块504连接，用户通过管理模块504可配置前端防火墙501的安全策略。前端防火墙501还可通过该管理端口55向审计模块505发送安全日志、网络流(NetFlow)(可包括网络报文的源目的IP地址、源目的端口、协议类型、报文长度以及应用层的摘要信息)、网络流量(network traffic)(完整的网络报文，包括应用层载荷在内)、交换机端口分析器(Switch Port Analyzer，SPAN)业务量等。

其中，堡垒机502可具有如下三个网络端口：

1)输入端口56，与前端防火墙501的内部网络端口54连接，远程工程师可以通过该输入端口56登录堡垒机502。

2)输出端口57，与后端防火墙503的内部网络端口59连接，远程工程是可以从堡垒机502上通过该输出端口57进一步访问系统10，比如访问系统10中的设备和应用。

3)管理端口58，可与管理模块504连接，用户通过管理模块504可配置堡垒机502和其中的IDS。堡垒机502还可通过该管理端口55向审计模块505发送安全日志等。

其中，后端防火墙503可具有如下三个网络端口：

1)内部网络端口59，是后端防火墙503的外部网络接口，与堡垒机502的输出端口57连接。

2)内网端口，即前述的第二网络端口52，与系统10连接。在该第二网络端口52上可配置相应的防火墙安全策略，以限制从堡垒机502上对系统10中特定的设备和/或应用提供的特定服务的访问。

3)管理端口60，是后端防火墙503的内部网络接口，可与管理模块504连接，用户通过管理模块504可配置后端防火墙503的安全策略。后端防火墙503还可通过该管理端口60向审计模块505发送安全日志、网络流(NetFlow)、网络流量(network traffic)、SPAN业务量等。

其中，管理模块504和审计模块505可作为一个网络实体实现，也可以分别作为单独的网络实体实现。当作为一个网络实体实现时，其可具有如下四个网络端口：

与前端防火墙501的管理端口自55连接的网络端口61；

与堡垒机502的管理端口58连接的网络端口62；

与后端防火墙503的管理端口59连接的网络端口63；以及

前述的第三网络端口53，用户可通过该第三网络端口53配置整个访问控制设备50，以及提取审计数据，包括前述的从前端防火墙501、堡垒机502和后端防火墙503获取的安全日志、网络流、网络流量、SPAN业务量等。

以上，介绍了访问控制设备50的内部组成、结构、模块功能划分、网络端口等。基于同样的发明构思，本发明实施例还提供一种访问控制方法，该方法可由访问控制设备50实现，用于在一个系统10被远程访问时，为系统10提供安全访问控制机制。如图4所示，该方法可包括如下步骤：

S401：网络连接、设备上电。

其中，访问控制设备50可按照图2所示的方式分别与计算机20和系统10连接。其中网络端口51与计算机20连接，网络端口52与系统10连接。网络端口53提供给系统10的管理人员，用于对访问控制设备50中的各个模块进行配置，比如配置远程访问控制策略等。

S402：管理模块504配置前端防火墙501的远程访问控制策略、安全日志的参数，以及网络流和/或网络流量的转发参数等。

S403：管理模块504配置堡垒机502的远程访问控制策略、安全日志的参数等。

S404：管理模块504配置后端防火墙503的远程访问控制策略、安全日志的参数，以及网络流和/或网络流量的转发参数等。

其中，步骤S402、S403和S404可并行执行，不区分先后顺序。

对于前述的管理模块504配置后端防火墙503的方式一，步骤S404可包括如下子步骤：

子步骤S4041：后端防火墙503自动确定系统10中允许远程访问的资源并提供给管理模块504。

子步骤S4042：管理模块504向系统10的管理人员提供后端防火墙503确定的系统10中允许远程访问的资源的信息。

子步骤S4043：管理模块504接收来自系统10的管理人员的配置命令。

子步骤S4044：管理模块504按照配置命令配置针对各资源的远程访问控制策略。

对于前述的管理模块504配置后端防火墙503的方式二，步骤S404可包括如下子步骤：

S4045：管理模块504按照预先设置的配置规则配置针对各资源的远程访问控制策略。

若各模块已经在本次上电之前预先配置完毕，则在本次上电(可步骤S401)之后，步骤S402～S404可不必再执行。当然，也可在访问控制设备50上电后，对各模块的配置进行修改。

S405：前端防火墙501提供安全的VPN接收来自计算机20的远程访问的请求。

S406：前端防火墙501按照配置的远程访问控制策略控制计算机20对系统10的远程访问，比如：根据计算机20的IP地址和/或端口号，对计算机20进行访问控制。

S407：堡垒机502按照配置的远程访问控制策略控制计算机20对系统10的远程访问，比如：对计算机20进行用户鉴权，提供计算机20远程访问系统10的远程桌面等。

S408：后端防火墙503按照配置的远程访问控制策略确定计算机20可远程访问的资源。

S409：堡垒机502在远程桌面上显示计算机20可远程访问的资源，并通过前端防火墙501实现与计算机20之间的通信。

S410：堡垒机502接收来自计算机20的在远程桌面上对系统10资源的远程访问，并将远程访问的信息发送至后端防火墙503。

S411：后端防火墙503按照针对计算机20所远程访问的资源的远程访问控制策略，对计算机20的远程访问进行访问控制，将计算机20远程访问的结果发送至堡垒机502。

S412：堡垒机502在远程桌面上向计算机20显示远程访问的结果，并通过前端防火墙501实现与计算机20之间的通信。

在访问控制设备50上电后，访问控制设备50还可执行如下步骤：

S413：审计模块505对前端防火墙501、后端防火墙503、堡垒机502进行审计。

该方法中各步骤的可选实现方式可参照前面对访问控制设备50的介绍中的描述，这里不再赘述。

如图5所示，本发明实施例提供的访问控制设备50在硬件实现上可包括：

至少一个存储器506，用于存储计算机可读代码；

至少一个处理器507，用于调用计算机可读代码，执行图4所示的访问控制方法。

其中至少一个存储器506和至少一个处理器507之前可通过总线连接，此外，访问控制设备50还可提供至少一个网络接口508，用于提供前述的各网络端口。网络接口508和存储器506以及处理器507之间也可通过总线通信。

其中，访问控制设备50中包括的各模块：前端防火墙501、后端防火墙503、堡垒机502、管理模块504等可视为图5所示的至少一个存储器506中存储的计算机可读代码中的程序模块，由至少一个处理器507调用以执行本发明实施例提供的访问控制方法。

此外，上述各模块也可视为由硬件和软件组合而实现的各个功能模块，访问控制设备50在执行访问控制方法时涉及的各种功能。上述各模块还也可视为由硬件实现的各个功能模块，用于实现访问控制设备50在执行访问控制方法时涉及的各种功能，比如预先将访问控制方法中涉及的各流程的控制逻辑烧制到诸如现场可编程门阵列(Field-Programmable Gate Array，FPGA)芯片或复杂可编程逻辑器件(Complex ProgrammableLogic Device，CPLD)中，而由这些芯片或器件执行上述各模块的功能，具体实现方式可依工程实践而定。

此外，本发明实施例还提供一种计算机可读介质，该计算机可读介质上存储有计算机可读指令，计算机可读指令在被处理器执行时，使处理器执行图4所示的访问控制方法。计算机可读介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选地，可以由通信网络从服务器计算机上或云上下载计算机可读指令。

下面，以一个工厂中的远程维护的例子进一步说明本发明实施例。

在一个工厂中，工厂的工程师可将访问控制设备50的第一网络端口51通过ADSL或其他互联网接入方式连接到互联网30上，而将访问控制设备50的第二网络端口52连接到工厂中。当需要进行远程诊断和维护时，工厂的工程师利用管理模块504提供的GUI建立与互联网30的连接。厂商(vendor)的工程师可利用RDP、TeamViewer或其他VPN保护的远程桌面登录到访问控制设备50的堡垒机502上。在前端防火墙501上，配置了对应的远程访问控制策略仅允许具有指定IP地址和指定端口号的厂商的计算机20访问堡垒机502。此外，堡垒机502可利用虚拟化技术为每一个远程访问的厂商的计算机20创建一个单独的虚拟机，以保证远程访问的计算机20与堡垒机502的主机操作系统相互隔离。在登录到堡垒机502上之后，厂商的计算机20可利用远程桌面或其他方式访问工厂中的设备、应用等可访问的资源，并进行远程诊断和维护。由于后端防火墙503上已配置了远程访问控制策略，厂商的计算机20仅能访问被授权访问的IP地址和端口号标识的资源，实现了更精细的访问控制。可选地，还可在堡垒机502上配置基于IDS的远程访问控制策略，以监视计算机20的行为和流量。在整个远程访问过程中，前端防火墙501、堡垒机502和后端防火墙503的安全日志以及网络流和/或网络流量可基于预先的配置被发送至审计模块505。审计模块505可存储收到的日志和流量，其中时间周期可依据厂商的要求而定，当发生安全攻击时，存储的数据可用于安全分析。

这样，可有效避免系统10中的关键设备，比如工业控制器1011以及缺少安全能力而容易被攻击的设备直接暴露在互联网上。访问控制设备50中的前端防火墙501可阻止未授权的访问，后端防火墙503可限制远程的计算机20访问系统10中指定的资源。堡垒机502可降低从远程的计算机20处散步恶意软件的风险。安全连接可提供加密和授权的通信。潜在的安全风险能够得到有效的监视，而审计模块505可提供用于安全分析的数据。

一方面防火墙、堡垒机和安全审计的功能被集成在了一个访问控制设备50中，其具有即插即用、易于部署等有点，可有效降低成本，在保证远程访问安全的前提下，有效降低远程诊断和维护的复杂性。另一方面，通过预先设置可选的典型场景，使得远程访问控制策略的配置变得简单，即使不具备防火墙、堡垒机配置的专业知识，也能够容易地实现各模块的配置。

综上，本发明实施例提供一种访问控制设备、访问控制方法，用于在一台计算机对一个系统进行远程访问时，为该系统提供安全访问控制机制。其中，针对系统远程诊断和维护的安全要求，提供一种集成的访问控制方法，具有简单易用、即插即用的特点，降低了系统的安全风险。

需要说明的是，上述各流程和各系统结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构，也可以是逻辑结构，即，有些模块可能由同一物理实体实现，或者，有些模块可能分由多个物理实体实现，或者，可以由多个独立设备中的某些部件共同实现。

Claims (15)

1.访问控制设备(50)，用于在一个系统(10)被远程访问时，为所述系统(10)提供安全访问控制机制，其特征在于，包括：

一个前端防火墙(501)，提供一个第一网络端口(51)，所述第一网络端口(51)用于连接一台欲远程访问所述系统(10)的计算机(20)；

一个堡垒机(502)，与所述前端防火墙(501)连接；

一个后端防火墙(503)，与所述堡垒机(502)连接，提供一个第二网络端口(52)，所述第二网络端口(52)用于连接所述系统(10)，所述后端防火墙(503)用于通过所述第二网络端口(52)确定所述系统(10)中允许远程访问的资源，并按照预先配置的远程访问控制策略从所述系统(10)可被远程访问的资源中确定所述计算机(20)可远程访问的资源；

所述堡垒机(502)，用于通过所述前端防火墙(501)，经由所述第一网络端口(51)向所述计算机(20)提供所述后端防火墙(503)提供的所述计算机(20)可远程访问的资源的信息，以供所述计算机(20)进行远程访问。

2.如权利要求1所述的访问控制设备(50)，其特征在于，所述访问控制设备(50)还包括一个管理模块(504)，与所述后端防火墙(503)连接，其中，

所述管理模块(504)提供一个第三网络端口(53)，所述第三网络端口(53)用于与所述系统(10)的管理人员交互，所述管理模块(504)用于：

通过所述第三网络端口(53)向所述系统(10)的管理人员提供所述系统(10)中允许远程访问的资源的信息；以及

通过所述第三网络端口(53)接收来自所述系统(10)的管理人员的配置命令，所述配置命令用于配置所述系统(10)中允许远程访问的资源的远程访问控制策略；

按照收到的配置命令配置所述系统(10)中允许远程访问的资源的远程访问控制策略；或者

所述管理模块(504)，用于按照预先设置的配置规则配置所述系统(10)中允许远程访问的资源的远程访问控制策略。

3.如权利要求1或2所述的访问控制设备(50)，其特征在于，所述系统(10)为一个OT系统(10)，所述后端防火墙(503)具体用于：

通过所述第二网络端口(52)接收所述系统(10)中传输的工业协议报文，并按照不同的工业协议，从接收到的工业协议报文中获取所述系统(10)中允许远程访问的资源的信息。

4.如权利要求3所述的访问控制设备(50)，其特征在于，

所述后端防火墙(503)还用于，通过所述第二网络端口(52)向所述系统(10)发送不同工业协议的探测报文；

所述后端防火墙(503)在接收所述系统(10)中传输的工业协议报文时，具体用于：接收所述系统(10)响应于所述后端防火墙503发送的探测报文而回复的报文。

5.如权利要求1或2所述的访问控制设备(50)，其特征在于，所述前端防火墙(501)，具体用于：

限定仅由具有特定IP地址和/或特定端口的所述计算机(20)访问所述系统(10)；和/或

通过所述第一网络端口(51)提供所述访问控制设备(50)与所述计算机(20)之间的安全连接。

6.如权利要求1或2所述的访问控制设备(50)，其特征在于，所述堡垒机(502)，用于实现下列功能中的至少一个：

对所述计算机(20)进行用户鉴权；和/或

提供所述计算机(20)远程访问所述系统(10)的远程桌面。

7.如权利要求1或2所述的访问控制设备(50)，其特征在于，还包括一个审计模块(505)，分别与所述前端防火墙(501)、所述后端防火墙(503)和所述堡垒机(502)连接，用于审计下列信息中的至少一项：

所述前端防火墙(501)的安全日志；

所述后端防火墙(503)的安全日志；

所述堡垒机(502)的安全日志；

所述前端防火墙(501)与所述堡垒机(502)之间的网络流和/或网络流量；

所述堡垒机(502)和所述后端防火墙(503)之间的网络流和/或网络流量。

8.访问控制方法，用于在一个系统(10)被远程访问时，为所述系统(10)提供安全访问控制机制，其特征在于，包括：

连接在所述系统(10)与一台欲远程访问所述系统(10)的计算机(20)之间访问控制设备(50)确定所述系统(10)中允许远程访问的资源；

所述访问控制设备(50)按照预先配置的远程访问控制策略从所述系统(10)中允许远程访问的资源中确定所述计算机(20)可远程访问的资源；

所述访问控制设备(50)向所述计算机(20)提供所述计算机(20)可远程访问的资源的信息，以供所述计算机(20)进行远程访问；

所述访问控制设备(50)包括：与所述计算机(20)连接的一个前端防火墙(501)，与所述前端防火墙(501)连接的一个堡垒机(502)以及与所述堡垒机(502)和所述系统(10)连接的一个后端防火墙(503)，所述方法还包括：

所述访问控制设备(50)审计下列信息中的至少一项：

所述前端防火墙(501)的安全日志；

所述后端防火墙(503)的安全日志；

所述堡垒机(502)的安全日志；

所述前端防火墙(501)与所述堡垒机(502)之间的网络流或网络流量；

所述堡垒机(502)和所述后端防火墙(503)之间的网络流或网络流量。

9.如权利要求8所述的方法，其特征在于，还包括：

所述访问控制设备(50)向所述系统(10)的管理人员提供确定的所述系统(10)中允许远程访问的资源的信息，接收来自所述系统(10)的管理人员的配置命令，配置所述系统(10)中允许远程访问的资源的远程访问控制策略，并按照收到的配置命令配置所述系统(10)中允许远程访问的资源的远程访问控制策略；或者

所述访问控制设备(50)按照预先设置的配置规则配置所述系统(10)中允许远程访问的资源的远程访问控制策略。

10.如权利要求8或9所述的方法，其特征在于，所述系统(10)为一个OT系统(10)，所述访问控制设备(50)确定所述系统(10)中允许远程访问的资源，包括：

所述访问控制设备(50)接收所述系统(10)中传输的工业协议报文，并按照不同的工业协议，从接收到的工业协议报文中获取所述系统(10)中允许远程访问的资源的信息。

11.如权利要求10所述的方法，其特征在于，

在所述访问控制设备(50)接收所述系统(10)中传输的工业协议报文之前，还包括：所述访问控制设备(50)向所述系统(10)发送不同工业协议的探测报文；

所述访问控制设备(50)接收所述系统(10)中传输的工业协议报文，包括：接收所述系统(10)响应于所述访问控制设备(50)发送的探测报文而回复的报文。

12.如权利要求8或9所述的方法，其特征在于，还包括：

所述访问控制设备(50)限定仅由具有特定IP地址和/或特定端口的所述计算机(20)访问所述系统(10)；和/或

所述访问控制设备(50)提供与所述计算机(20)之间的安全连接。

13.如权利要求8或9所述的方法，其特征在于，还包括：

对所述计算机(20)进行用户鉴权；和/或

提供所述计算机(20)远程访问所述系统(10)的远程桌面。

14.访问控制设备(50)，其特征在于，包括：

至少一个存储器(506)，用于存储计算机可读代码；

至少一个处理器(507)，用于调用所述计算机可读代码，执行如权利要求8～13任一项所述的方法。

15.一种计算机可读介质，其特征在于，所述计算机可读介质上存储有计算机可读指令，所述计算机可读指令在被处理器执行时，使所述处理器执行权利要求8～13中任一项所述的方法。

Images