CN105117821A - 一种基于分区分域的工控系统信息安全资产识别方法 - Google Patents
一种基于分区分域的工控系统信息安全资产识别方法 Download PDFInfo
- Publication number
- CN105117821A CN105117821A CN201510459623.XA CN201510459623A CN105117821A CN 105117821 A CN105117821 A CN 105117821A CN 201510459623 A CN201510459623 A CN 201510459623A CN 105117821 A CN105117821 A CN 105117821A
- Authority
- CN
- China
- Prior art keywords
- control system
- industrial control
- factory
- region
- product
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- General Factory Administration (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于分区分域的工控系统信息安全资产识别方法,包括以下步骤将一个工厂划分成多个区域,列出区域清单及所含设备,列出区域间的管道清单,针对每个已列出的区域,并参考相连的管道,列出所有的硬件、软件、集成配置数据和生产数据四类信息资产,完成每个区域内对信息资产的识别。本发明的有益效果为:通过分区分域方法,既降低了整个工厂工控系统的复杂度,又保留了特定系统的关联属性。相较于传统方法,本发明的基于分区分域所展开的工控系统资产识别方法,更切合工控系统的实际情况,所得到的资产识别结果更具有系统性和条理性,适用于进一步开展对工控系统的信息安全工作。
Description
技术领域
本发明涉及一种工控系统资产识别方法,具体涉及一种基于分区分域的工控系统信息安全资产识别方法。
背景技术
工业控制系统广泛应用于石化、轨交、核电、钢铁等国家关键行业及基础设施中。随着工业化和信息化进程的加快,越来越多的计算机技术以及网络通信技术应用到工业控制系统中。在这些技术提高了企业管理水平和生产效率的同时,也使得工业控制系统面临的信息安全威胁不断增多。近年来从层出不穷的工控系统信息安全事件表明,加强工控系统的信息安全保护工作已迫在眉睫,而对于工控系统的风险评估研究是信息安全工作的重要基础。
信息安全风险评估主要包括对资产、威胁、脆弱性、风险等要素的识别、分析和评估等工作,其中资产识别是信息安全风险评估过程的首要环节,资产是风险的核心要素,资产识别的正确性和准确性对后续的各风险要素及其综合评估的导向至关重要。
在当前的工控系统资产识别工作中,一般采用与传统IT系统一样的方式,将资产简单分为硬件、软件、信息等几个大类。传统IT系统采用这种分类识别方式是基于采用了相对简单的两层结构(客户机/服务器,C/S)或是三层架构(展示、业务处理、数据库)而进行的。但是,工业控制系统与传统IT系统有着很大的不同,尽管也主要采用这两种结构,但是整个工厂或一个产品线的控制系统群上,呈现出较为复杂的结构关系,即多个控制系统单元的工作集合才能完成整个产品的生产。因此在工业控制系统进行信息安全风险评估时,需要特别要重视这点,应采用更系统更完善的方式对工控系统的资产进行识别。
发明内容
本发明针对现行的工控系统信息安全资产识别方法的不足,进一步根据工控系统资产类别及数量较多、相互之间关联度也将较大的特点,提出了一种基于分区分域的工控系统信息安全资产识别方法,既通过分区分域地划分,降解整个系统的复杂度,又重构了其关联关系,保证特定系统的关联属性在最终结果中得到体现,是一种适合工控系统资产识别的方法,可以为工控系统信息安全风险评估后续工作打下坚实的基础。
为实现上述目的,本发明采用以下技术方案:
一种基于分区分域的工控系统信息安全资产识别方法,所述工控系统信息安全资产识别方法包括以下步骤:
(1)工厂的分区分域
1.1将一个工厂根据其产品划分成多个产品功能组;
1.2将每个产品功能组划分成多个单一产品生产线;
1.3将产品生产线再向下划分成多个控制系统,部分控制系统可能会服务于多个产品生产线,甚至跨越多个产品功能组,此类系统先分别计入各产品功能组或产品生产线,在最后列出的工厂区域表后进行归纳整理;
1.4将一个业务功能相对一致、处于同一网络、处于同一物理空间的所有控制系统设备的集合划分为一个区域;
(2)区域的识别
2.1罗列出一个工厂的所有区域,并列出区域中的设备;
2.2相同区域进行归纳,整理出区域清单表;
(3)管道的识别
3.1域清单表,制作区域矩阵,识别出所有的区域间管道;
3.2载管道的设备进行归纳,整理出管道清单;
(4)区域资产的识别
4.1针对每个已列出的区域,并参考相连的管道,列出所有的硬件、软件、集成配置数据和生产数据四类信息资产;
本发明所述的基于分区分域的工控系统信息安全资产识别方法的有益效果为:充分考虑了工控系统相较于传统IT系统的不同点,对于工控系统各部分关系较为复杂、相互之间关联度也将较大的特点,通过分区分域方法,既降低了整个工厂工控系统的复杂度,又保留了特定系统的关联属性。相较于传统方法,本发明的基于分区分域所展开的工控系统资产识别方法,更切合工控系统的实际情况,所得到的资产识别结果更具有系统性和条理性,适用于进一步开展对工控系统的信息安全工作。
附图说明
图1为本发明的工控系统信息安全资产识别方法的流程;
图2为工厂分区分域方法;
图3为区域和管道的对应关系。
具体实施方式
如图1所示为本发明公开的一种基于分区分域的工控系统信息安全资产识别方法包括如下步骤
(1)工厂的分区分域:
1.1将一个工厂根据其产品划分成多个产品功能组;
1.2将每个产品功能组划分成多个单一产品生产线;
1.3将产品生产线再向下划分成多个控制系统;
1.4将一个业务功能相对一致、处于同一网络、处于同一物理空间的所有控制系统设备的集合划分为一个区域。
相应的,如图2所示,按照工业控制系统不同逻辑位置或工业现场不同物理位置完成了分区分域,将一个工厂划分成了多个区域。对于部分服务于多个产品生产线,甚至跨越多个产品功能组控制系统,先分别计入各产品功能组或产品生产线。
(2)区域的识别
2.1罗列出一个工厂的所有区域并进行编号,同时列出区域中的设备
相应地,所述需要列出的设备包括:本区域计算或存储装置:PC、控制设备等;本区域网络设备:交换机、路由器等;直接连接到本区域的生产执行装置或监测装置;管辖本区域的信息安全保护装置:防火墙等。
2.2对相同区域进行归纳,最后整理出区域清单表。
(3)管道的识别
3.1如图3所示,根据区域矩阵识别出所有区域间管道,列出区域与管道的对应关系;
3.2列出所有的管道清单
相应地,所述管道包括以下要素:管道两端区域;承载管道的设备或设备组;管道通信内容;管道通信协议;管道通信场景。
(4)区域资产的识别
4.1针对每个已列出的区域,并参考相连的管道,列出所有的硬件、软件、集成配置数据和生产数据四类信息资产;
相应地,所述硬件即在区域识别中已列出的设备;所述软件是直接采购的,运行于硬件产品上的必要的应用软件;所述集成配置数据是建设和生产过程中产生的,对控制过程有影响的数据,包括文档、开发成果、配置信息等;所述生产数据是在生产过程中产生的数据,包括历史数据、生产过程文档等。
由此,对工厂完成了基于分区分域的工控系统信息安全资产识别。
以上实施例是本发明较优选具体实施方式的一种,本领域技术人员在本技术方案范围内进行的通常变化和替换应包含在本发明的保护范围内。
Claims (1)
1.一种基于分区分域的工控系统信息安全资产识别方法,其特征在于:所述工控系统信息安全资产识别方法包括一下步骤:
(1)工厂的分区分域
1.1将一个工厂根据其产品划分成多个产品功能组;
1.2将每个产品功能组划分成多个单一产品生产线;
1.3将产品生产线再向下划分成多个控制系统,部分控制系统可能会服务于多个产品生产线,甚至跨越多个产品功能组,此类系统先分别计入各产品功能组或产品生产线,在最后列出的工厂区域表后进行归纳整理;
1.4将一个业务功能相对一致、处于同一网络、处于同一物理空间的所有控制系统设备的集合划分为一个区域;
(2)区域的识别
2.1罗列出一个工厂的所有区域,并列出区域中的设备;
2.2相同区域进行归纳,整理出区域清单表;
(3)管道的识别
3.1域清单表,制作区域矩阵,识别出所有的区域间管道;
3.2载管道的设备进行归纳,整理出管道清单;
(4)区域资产的识别
4.1针对每个已列出的区域,并参考相连的管道,列出所有的硬件、软件、集成配置数据和生产数据四类信息资产。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510459623.XA CN105117821A (zh) | 2015-07-31 | 2015-07-31 | 一种基于分区分域的工控系统信息安全资产识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510459623.XA CN105117821A (zh) | 2015-07-31 | 2015-07-31 | 一种基于分区分域的工控系统信息安全资产识别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105117821A true CN105117821A (zh) | 2015-12-02 |
Family
ID=54665803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510459623.XA Pending CN105117821A (zh) | 2015-07-31 | 2015-07-31 | 一种基于分区分域的工控系统信息安全资产识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105117821A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109768870A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
| CN110717645A (zh) * | 2019-09-02 | 2020-01-21 | 北京航空航天大学 | 基于分域分业务的智能网联汽车信息安全资产识别方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1771512A (zh) * | 2003-04-01 | 2006-05-10 | 麦思敏士顾问(私人)有限公司 | 风险控制系统 |
| CN102780636A (zh) * | 2012-08-13 | 2012-11-14 | 烽火通信科技股份有限公司 | 一种基于嵌套管道的交叉连接统一描述方法 |
| CN103425089A (zh) * | 2012-05-23 | 2013-12-04 | 中国石油大学(华东) | 一种石油天然气管道行业设备可靠性数据采集方法及系统 |
| CN103488838A (zh) * | 2013-09-27 | 2014-01-01 | 无锡华光锅炉股份有限公司 | 一种余热锅炉管道计算机辅助出图方法 |
-
2015
- 2015-07-31 CN CN201510459623.XA patent/CN105117821A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1771512A (zh) * | 2003-04-01 | 2006-05-10 | 麦思敏士顾问(私人)有限公司 | 风险控制系统 |
| CN103425089A (zh) * | 2012-05-23 | 2013-12-04 | 中国石油大学(华东) | 一种石油天然气管道行业设备可靠性数据采集方法及系统 |
| CN102780636A (zh) * | 2012-08-13 | 2012-11-14 | 烽火通信科技股份有限公司 | 一种基于嵌套管道的交叉连接统一描述方法 |
| CN103488838A (zh) * | 2013-09-27 | 2014-01-01 | 无锡华光锅炉股份有限公司 | 一种余热锅炉管道计算机辅助出图方法 |
Non-Patent Citations (3)
| Title |
|---|
| DEWER201: "工业控制系统信息安全", 《HTTPS://WENKU.BAIDU.COM/VIEW/C566CAB183C4BB4CF6ECD14F.HTML》 * |
| OUJIANJUN: "工业控制系统安全管理—管理方法", 《HTTP://BLOG.51CTO.COM/OUJIANJUN/313175》 * |
| 祁国成等: "基于设备的"图模库一体化"油气管道模型", 《天然气工业》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109768870A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
| CN110717645A (zh) * | 2019-09-02 | 2020-01-21 | 北京航空航天大学 | 基于分域分业务的智能网联汽车信息安全资产识别方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109816397B (zh) | 一种欺诈判别方法、装置及存储介质 | |
| CN101614781B (zh) | 一种基于空间规则索引的广电设备故障智能诊断方法 | |
| CN102881125B (zh) | 基于多信息融合集中处理平台的报警监控系统 | |
| CN105095048B (zh) | 一种基于业务规则的监控系统告警关联处理方法 | |
| DE102016119084A1 (de) | Verteilte Leistungsüberwachung und Analyse industrieller Anlagen | |
| DE102016119066A1 (de) | Verteilte Leistungsüberwachung und Analyseplattform für industrielle Anlagen | |
| CN105721193A (zh) | 一种系统信息监控的方法和设备 | |
| WO2020181152A1 (en) | Utility network project modeling & management | |
| CN109120428B (zh) | 一种用于风控分析的方法及系统 | |
| CN102043702A (zh) | 监控事件的方法、规则引擎装置和规则引擎系统 | |
| CN107798541B (zh) | 一种用于在线业务的监控方法及系统 | |
| CN103605651A (zh) | 一种基于olap多维分析的数据处理展现方法 | |
| CN110388315B (zh) | 基于多源信息融合的输油泵故障识别方法、装置及系统 | |
| CN104392297A (zh) | 大数据环境下实现非业务流程违规行为检测的方法及系统 | |
| Tyuleneva | Problems and prospects of regional mining industry digitalization | |
| CN105677332A (zh) | 软件开发需求管理系统 | |
| CN105303469A (zh) | 线损异常原因数据挖掘分析的方法与系统 | |
| CN114237466B (zh) | 一种巡检点配置方法及装置 | |
| CN112182077A (zh) | 一种基于数据中台技术的智能运维系统 | |
| CN104574141A (zh) | 一种业务影响度分析方法 | |
| CN104182846A (zh) | 一种客户管理系统 | |
| CN112488877A (zh) | 一种用于能源服务平台的工业能耗可视化系统 | |
| CN104579771B (zh) | 一种对用户登录登出应用系统的行为轨迹的分析方法 | |
| CN107548087A (zh) | 一种告警关联分析的方法及装置 | |
| CN105117821A (zh) | 一种基于分区分域的工控系统信息安全资产识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151202 |
|
| RJ01 | Rejection of invention patent application after publication |