CN107239705A

CN107239705A - 一种非接触式的工业控制系统或设备静态漏洞检测系统和检测方法

Info

Publication number: CN107239705A
Application number: CN201710380255.9A
Authority: CN
Inventors: 袁晓舒; 桑梓; 蒋发群
Original assignee: Dongfang Electric Corp
Current assignee: Beijing Venus Information Security Technology Co Ltd; Dongfang Electric Corp
Priority date: 2017-05-25
Filing date: 2017-05-25
Publication date: 2017-10-10
Anticipated expiration: 2037-05-25
Also published as: CN107239705B

Abstract

本发明公开了一种非接触式的工业控制系统或设备静态漏洞检测系统和检测方法，涉及工业控制系统信息安全技术领域，包括资产管理单元、漏洞检测引擎单元、漏洞库管理单元、报表管理单元和系统管理单元；资产管理单元将待检测资产的信息传送至漏洞检测引擎单元，漏洞检测引擎单元将待检测资产的信息与漏洞库管理单元中的漏洞信息进行比对检测漏洞，并将检测结果发送至报表管理单元进行记录，系统管理单元对系统各单元进行设置和升级管理，实现对工业控制系统进行非接触式的设备漏洞静态检查，满足工业控制系统信息安全检测不连入工业控制网络，不影响工业控制系统实际运行的需要。

Description

一种非接触式的工业控制系统或设备静态漏洞检测系统和检测方法

技术领域

本发明涉及工业控制系统信息安全技术领域，特别涉及一种非接触式的工业控制系统或设备静态漏洞检测系统和检测方法。

背景技术

我国的工业控制系统发展较为迅速，工业生产也从传统的人工巡视检查逐步发展为自动化的工业控制系统。工业控制系统广泛的应用在石油石化、水利电力、食品加工和污水处理等各个领域。工业的发展带来了工业设备的广泛应用，随时使用范围和数量的急剧增加，工业控制系统信息安全问题也日渐被更多的群体所关注，工业控制系统或设备信息安全漏洞所带来的潜在威胁也越来越被人们所重视。根据工业设备的特性，厂家和型号繁琐复杂，各式各样的设备安全漏洞也越来越多。随着工业设备安全行业的发展，各类工业控制系统或设备的漏洞信息也被一些专业的机构和网站收集发布在相关信息平台。通过学习和积累的已知漏洞库，对工业控制网络中控制设备和控制系统进行扫描来检测已知漏洞的方法成为了当前工业控制系统已知漏洞检查的普遍方法。为了实现对工业控制系中的设备和系统的扫描，漏洞检测装置或系统将不可避免地接入现有的工业控制网络中，实际接触被检测系统或设备。例如公开号为CN106230857A，公开时间为2016年12月14日，名称为“一种面向工控系统的主动式漏洞检测系统和检测方法”的中国发明专利文献，公开了一种面向工控系统的主动式漏洞检测系统和检测方法，涉及工业控制系统安全领域，漏洞检测系统采用客户机服务器模式，包括控制器、客户端、服务器、评估报告和数据中心，其中控制器与服务器相连，服务器与不同客户端相连，客户端可通过防火墙、路由器连接互联网，也可与数据中心连接进行数据交互，同时服务器与数据中心相连进行数据交互，根据数据中心提供的数据生成评估报告。本发明的优点在于提出的漏洞检测系统不需要开发攻击代码，与微软开发的MBSA漏洞检测系统相比，检测速度快，准确度高，能很好地满足工业控制系统的高稳定性、高实时性要求，适合于管理员评估整个工业控制系统的安全状况，且对工业控制系统的稳定运行无影响，这种技术方案通过接入被测试工业控制网络，检查被检测系统或设备的文件、应用软件、运行的服务、配置信息等特征实现已知漏洞的扫描和匹配，然而这种接触式的漏洞检测，不但会占用工业控制网络的带宽，影响网络内的实时通信，而且被检测系统需要对扫描进行响应，从而占用自身资源，造成信号采集和控制的延迟，因此，接触式的工业控制系统漏洞检测方法难以对在运行的工业控制系统进行漏洞检测，同时，漏洞检测装置和系统存在漏洞库定期更新的需要，因此，无论采用U盘方式还是接入互联网方式来更新漏洞库，都会增加漏洞检测装置或系统自身被非法入侵的概率，一旦接触式的漏洞检测装置或系统被植入恶意软件，通过连入工业控制网络，则网络内的工业控制系统和设备将面临极大的信息安全威胁。

发明内容

本发明的目的在于提供一种非接触式工业控制系统设备静态漏洞检测的方法、装置和系统，实现对工业控制系统进行非接触式的设备漏洞静态检查，满足工业控制系统信息安全检测不连入工业控制网络，不影响工业控制系统实际运行的需要。

本发明的目的是通过以下技术方案实现的：

一种非接触式的工业控制系统或设备静态漏洞检测装置，其特征在于：包括主控制模块、电源模块、HMI驱动模块、存储模块和以太网通信模块；控制模块控制HMI驱动模块、存储模块和以太网通信模块，通过电源模块为系统供电。

主控制模块承担了系统管理、工控资产管理、信息匹配检索、漏洞检测等功能；电源模块为主控制模块及其它附属电路提供电源；HMI模块提供了人机接口，主要实现装置各功能模块的界面显示功能，并接收对装置的操作控制指令；存储模块主要用于存储工控资产信息、已知工业控制系统漏洞库，同时也记录系统配置、系统日志等信息；以太网通信模块的主要功能是设备数据和状态的上传、设备调试指令的处理以及TCP/IP协议报文传输实现。

所述主控制模块采用低功耗ARM架构CPU；所述HMI驱动模块主要完成对液晶触摸屏的驱动和支持；所述存储模块采用FLASH存储配合SDRAM。

所述主控制模块采用INTEL架构CPU；所述HMI驱动模块实现对标准计算机显示器和便携式PAD显示的支持；所述存储模块为3.5英寸硬盘。

一种非接触式的工业控制系统或设备静态漏洞检测系统，其特征在于：包括资产管理单元、漏洞检测引擎单元、漏洞库管理单元、报表管理单元和系统管理单元；资产管理单元将待检测资产的信息传送至漏洞检测引擎单元，漏洞检测引擎单元将待检测资产的信息与漏洞库管理单元中的漏洞信息进行比对检测漏洞，并将检测结果发送至报表管理单元进行记录，系统管理单元对系统各单元进行设置和升级管理。

所述资产管理单元包括组织结构管理模块和工控资产管理模块，组织结构管理模块用于管理区域下辖工业控制系统和/或设备的组管理功能；工控资产管理模块用于对被控控制系统和/或设备的记录、显示和管理，实现对被控控制系统和/或设备信息的添加、删除、修改、查询。

被控控制系统和/或设备指的是成套的工业控制系统或者其组件设备，例如PLC，例如DCS里的现场控制站，工业交换机等等。

显示功能显示的是设备基本信息，包括设备厂商、型号、版本号、产品识别码、生产时间等等，以及设备的使用信息，包括设备所在厂区地理位置、网络地址(IP、端口)、运维信息(运维责任人、登录用户名、密码)等等。

此处的管理功能主要包括设备信息的添加、删除、修改、查询等等。

所述漏洞检测引擎单元包括资产信息匹配模块、漏洞检测模块、系统安全性评估模块和任务管理模块；资产信息匹配模块用于将工控资产的信息与已知漏洞库进行检索匹配；漏洞检测模块根据匹配函数和判断函数判断工控资产的信息安全静态漏洞是否存在；系统安全性评估模块检查发现的漏洞是否被修补来评测工业控制系统整体安全性；任务管理模块用于漏洞检测任务的建立、删除、执行、修改以及历史任务的记录、回溯。

上述工控资产的信息包括厂商名称、产品名称、产品型号和产品版本信息。

所述漏洞库管理单元包括漏洞库检索模块、漏洞库分类映射模块和漏洞库导入导出接口模块；漏洞库检索模块用于对已知漏洞数据库中各项记录的访问、搜索和显示；漏洞库分类映射模块将已知漏洞数据库记录对厂商名称数据表、产品名称数据表、产品型号数据表和产品版本数据表进行分类映射；漏洞库导入导出接口模块对已知漏洞数据库中漏洞信息的批量导入和导出。

所述报表管理单元包括漏洞分布统计模块、危害等级统计模块、系统安全水平模块和系统状态及日志模块；漏洞分布统计模块根据漏洞检测结果对录入的工控资产进行定量的分类统计，按漏洞数量对厂商和产品进行排名，并按组织结构统计各厂区工业控制系统信息安全漏洞的数量；危害等级统计模块根据漏洞的危害程度对检测结果进行定量统计，对危害进行分级；系统状态和日志模块显示系统自身运行状态和版本信息，同时生成用户操作、告警记录、历史访问的日志记录。

所述系统管理单元包括用户权限管理模块、基本设置模块、网络设置模块和系统升级管理模块；用户权限管理模块用于用户信息管理、用户角色分配、用户权限划分；基本设置模块用于系统应用配置、时间设置和磁盘空间管理；网络设置模块用于系统网卡配置和防火墙配置；系统升级管理模块用于用于对各模块和引擎的升级、漏洞库升级、应用升级以及系统自身补丁安装。

一种非接触式工业控制系统设备静态漏洞检测系统的检测方法，其特征在于，包括以下步骤

步骤1：工控资产录入，将厂级或上级信息管理系统中的数据导入待检测的工控资产；

步骤2：漏洞库检索，对录入的工控资产，按照厂商信息、产品名称、产品型号和产品版本分别在漏洞库对应的数据表中进行检索和匹配，计算匹配函数值；

步骤3：静态漏洞检测，根据步骤2计算出来的匹配函数值，计算漏洞判断函数的结果，根据漏洞判断函数的结果确定漏洞信息，并匹配漏洞库中的漏洞记录找出有漏洞的工控资产；

步骤4：漏洞修补确认，针对检测出的有漏洞的工控资产，对存在的每一个漏洞，复核确认漏洞是否得到修补。

所述步骤2，漏洞库检索的具体步骤如下

根据已知工业控制系统漏洞库(CVE、CNVD等)建立如下集合：

已知漏洞的厂商名称集合MF＝{mf₁，mf₂，…，mf_n}

已知漏洞的产品名称集合PN＝{pn₁，pn₂，…，pn_n}

已知漏洞的产品型号集合PT＝{pt₁，pt₂，…，pt_n}

已知漏洞的产品版本集合PV＝{pv₁，pv₂，…，pv_n}；

定义设备信息与漏洞库的匹配函数

其中，x表示待检测系统或设备的信息，Ω表示已知漏洞的系统或设备信息集，匹配函数的输出结果表示待检测的系统或设备信息是否与已知漏洞库中对应信息记录相匹配，若匹配则输出1，否则输出0；

定义系统或设备存在漏洞的判断函数

Vul(mf，pn，pt，pv)＝f_MF(mf)·f_PN(pn)·f_PT(pt)·f_PV(pv)

其中，mf表示待检测系统或设备的厂商信息，pn表示待检测系统或设备的名称，pt表示待检测系统或设备的型号，pv表示待检测系统或设备的版本号，判断函数输出的结果表示系统或设备是否存在漏洞，若输出为1，则表示系统或设备存在已知漏洞，若输出为0，表示系统或设备不存在已知漏洞。

所述步骤2，漏洞库对应的数据表包括厂商信息数据表、产品名称数据表、产品型号数据表和产品版本数据表。

本发明的有益效果如下：

一、本发明提供的一种非接触式的工业控制系统或设备静态漏洞检测系统，资产管理单元将待检测资产的信息传送至漏洞检测引擎单元，洞检测引擎单元采用厂商信息、产品名称、产品型号和产品版本4个特征作为判断基准与漏洞库管理单元中的漏洞信息进行比对检测漏洞，漏并将检测结果发送至报表管理单元进行记录，系统管理单元对系统各单元进行设置和升级管理，对待检测系统或设备做分类匹配，通过漏洞判断函数确定被测设备是否存在漏洞，实现了高效准确的检测方法，采用资产管理数据信息，不接触工业控制系统或设备的情况下对工业控制系统或设备进行静态漏洞检查，不干扰被检测设备的正常运行，实现对在运工业控制系统或设备的漏洞检测，通过静态漏洞检测结果，统计了被测试厂区的漏洞数量，给出了漏洞数和设备基本信息之间的关联关系，并通过确认设备漏洞是否已修补给出了被测试系统的安全性评估方法和流程，为辅助现场决策提供了可靠依据，并且可以采用多种不同的数据方式实现，如集成在PDA或服务器。

二、本发明提供的一种非接触式的工业控制系统或设备静态漏洞检测系统，资产管理单元统计管理被控系统的信息，漏洞检测引擎单元利用信息进行匹配检索，漏洞库管理单元管理离线漏洞数据库便于静态(离线)的对比检测，报表管理单元生成记录便于回溯，系统管理单元实现对整个系统的管理升级等以适应不同需求。

三、本发明提供的一种非接触式的工业控制系统或设备静态漏洞检测系统检测方法，通过工控资产录入、漏洞库检索、静态漏洞检测和漏洞修补确认的步骤，采用对待检测系统或设备收集的信息，对比漏洞库中的数据，经过匹配函数值计算进行静态的漏洞检测最后完成漏洞的修补，全程不接触工业控制系统或设备的情况下对工业控制系统或设备进行静态漏洞检查，不干扰被检测设备的正常运行，实现对在运工业控制系统或设备的漏洞检测，通过静态漏洞检测结果，统计了被测试厂区的漏洞数量，给出了漏洞数和设备基本信息之间的关联关系，并通过确认设备漏洞是否已修补给出了被测试系统的安全性评估方法和流程，为辅助现场决策提供了可靠依据，现在工业控制系统和设备多采用基于定制硬件的嵌入式软件设计开发，因此，大多数的工业控制系统和设备可以根据硬件型号和版本确定软件版本，例如像西门子SEMATIC系列PLC控制器S7-12002.x，其控制软件以固件(Firmware)的形式存在于控制器的片上存储中，基于以上设计形式，工业控制系统或设备的信息安全漏洞可以通过系统或设备的厂商、产品名称、型号和版本等信息来确定。

四、本发明提供的一种非接触式的工业控制系统或设备静态漏洞检测系统检测方法，建立系统漏洞库，便于及时更新数据，为离线检测提供了基础。

附图说明

图1是本发明一种优选方案的连接关系示意图；

图2是本发明一种优选方案的系统结构示意图；

具体实施方式

以下通过几个具体实施例来进一步说明实现本发明目的的技术方案，需要说明的是，本发明的技术方案包含但不限于以下实施例。

实施例1

如图1和图2，一种非接触式的工业控制系统或设备静态漏洞检测系统，包括资产管理单元、漏洞检测引擎单元、漏洞库管理单元、报表管理单元和系统管理单元；资产管理单元将待检测资产的信息传送至漏洞检测引擎单元，漏洞检测引擎单元将待检测资产的信息与漏洞库管理单元中的漏洞信息进行比对检测漏洞，并将检测结果发送至报表管理单元进行记录，系统管理单元对系统各单元进行设置和升级管理。

这是本发明一种非接触式的工业控制系统或设备静态漏洞检测系统最基本的实施方案。资产管理单元将待检测资产的信息传送至漏洞检测引擎单元，洞检测引擎单元采用厂商信息、产品名称、产品型号和产品版本4个特征作为判断基准与漏洞库管理单元中的漏洞信息进行比对检测漏洞，漏并将检测结果发送至报表管理单元进行记录，系统管理单元对系统各单元进行设置和升级管理，对待检测系统或设备做分类匹配，通过漏洞判断函数确定被测设备是否存在漏洞，实现了高效准确的检测方法，采用资产管理数据信息，不接触工业控制系统或设备的情况下对工业控制系统或设备进行静态漏洞检查，不干扰被检测设备的正常运行，实现对在运工业控制系统或设备的漏洞检测，通过静态漏洞检测结果，统计了被测试厂区的漏洞数量，给出了漏洞数和设备基本信息之间的关联关系，并通过确认设备漏洞是否已修补给出了被测试系统的安全性评估方法和流程，为辅助现场决策提供了可靠依据，并且可以采用多种不同的数据方式实现，如集成在PDA或服务器。

实施例2

如图1和图2，一种非接触式的工业控制系统或设备静态漏洞检测系统，包括资产管理单元、漏洞检测引擎单元、漏洞库管理单元、报表管理单元和系统管理单元；资产管理单元将待检测资产的信息传送至漏洞检测引擎单元，漏洞检测引擎单元将待检测资产的信息与漏洞库管理单元中的漏洞信息进行比对检测漏洞，并将检测结果发送至报表管理单元进行记录，系统管理单元对系统各单元进行设置和升级管理；所述资产管理单元包括组织结构管理模块和工控资产管理模块，组织结构管理模块用于管理区域下辖工业控制系统和/或设备的组管理功能；工控资产管理模块用于对被控控制系统和/或设备的记录、显示和管理，实现对被控控制系统和/或设备信息的添加、删除、修改、查询；被控控制系统和/或设备指的是成套的工业控制系统或者其组件设备，例如PLC，例如DCS里的现场控制站，工业交换机等等；显示功能显示的是设备基本信息，包括设备厂商、型号、版本号、产品识别码、生产时间等等，以及设备的使用信息，包括设备所在厂区地理位置、网络地址(IP、端口)、运维信息(运维责任人、登录用户名、密码)等等；此处的管理功能主要包括设备信息的添加、删除、修改、查询等等；所述漏洞检测引擎单元包括资产信息匹配模块、漏洞检测模块、系统安全性评估模块和任务管理模块；资产信息匹配模块用于将工控资产的信息与已知漏洞库进行检索匹配；漏洞检测模块根据匹配函数和判断函数判断工控资产的信息安全静态漏洞是否存在；系统安全性评估模块检查发现的漏洞是否被修补来评测工业控制系统整体安全性；任务管理模块用于漏洞检测任务的建立、删除、执行、修改以及历史任务的记录、回溯；上述工控资产的信息包括厂商名称、产品名称、产品型号和产品版本信息；所述漏洞库管理单元包括漏洞库检索模块、漏洞库分类映射模块和漏洞库导入导出接口模块；漏洞库检索模块用于对已知漏洞数据库中各项记录的访问、搜索和显示；漏洞库分类映射模块将已知漏洞数据库记录对厂商名称数据表、产品名称数据表、产品型号数据表和产品版本数据表进行分类映射；漏洞库导入导出接口模块对已知漏洞数据库中漏洞信息的批量导入和导出；所述报表管理单元包括漏洞分布统计模块、危害等级统计模块、系统安全水平模块和系统状态及日志模块；漏洞分布统计模块根据漏洞检测结果对录入的工控资产进行定量的分类统计，按漏洞数量对厂商和产品进行排名，并按组织结构统计各厂区工业控制系统信息安全漏洞的数量；危害等级统计模块根据漏洞的危害程度对检测结果进行定量统计，对危害进行分级；系统状态和日志模块显示系统自身运行状态和版本信息，同时生成用户操作、告警记录、历史访问的日志记录；所述系统管理单元包括用户权限管理模块、基本设置模块、网络设置模块和系统升级管理模块；用户权限管理模块用于用户信息管理、用户角色分配、用户权限划分；基本设置模块用于系统应用配置、时间设置和磁盘空间管理；网络设置模块用于系统网卡配置和防火墙配置；系统升级管理模块用于用于对各模块和引擎的升级、漏洞库升级、应用升级以及系统自身补丁安装。

这是本发明一种非接触式的工业控制系统或设备静态漏洞检测系统优选的实施方案。资产管理单元将待检测资产的信息传送至漏洞检测引擎单元，洞检测引擎单元采用厂商信息、产品名称、产品型号和产品版本4个特征作为判断基准与漏洞库管理单元中的漏洞信息进行比对检测漏洞，漏并将检测结果发送至报表管理单元进行记录，系统管理单元对系统各单元进行设置和升级管理，对待检测系统或设备做分类匹配，通过漏洞判断函数确定被测设备是否存在漏洞，实现了高效准确的检测方法，采用资产管理数据信息，不接触工业控制系统或设备的情况下对工业控制系统或设备进行静态漏洞检查，不干扰被检测设备的正常运行，实现对在运工业控制系统或设备的漏洞检测，通过静态漏洞检测结果，统计了被测试厂区的漏洞数量，给出了漏洞数和设备基本信息之间的关联关系，并通过确认设备漏洞是否已修补给出了被测试系统的安全性评估方法和流程，为辅助现场决策提供了可靠依据，并且可以采用多种不同的数据方式实现，如集成在PDA或服务器。

实施例3

如图1和图2，一种非接触式工业控制系统设备静态漏洞检测系统的检测方法，其特征在于，包括以下步骤

这是本发明一种非接触式的工业控制系统或设备静态漏洞检测方法最基本的实施方案。通过工控资产录入、漏洞库检索、静态漏洞检测和漏洞修补确认的步骤，采用对待检测系统或设备收集的信息，对比漏洞库中的数据，经过匹配函数值计算进行静态的漏洞检测最后完成漏洞的修补，全程不接触工业控制系统或设备的情况下对工业控制系统或设备进行静态漏洞检查，不干扰被检测设备的正常运行，实现对在运工业控制系统或设备的漏洞检测，通过静态漏洞检测结果，统计了被测试厂区的漏洞数量，给出了漏洞数和设备基本信息之间的关联关系，并通过确认设备漏洞是否已修补给出了被测试系统的安全性评估方法和流程，为辅助现场决策提供了可靠依据，现在工业控制系统和设备多采用基于定制硬件的嵌入式软件设计开发，因此，大多数的工业控制系统和设备可以根据硬件型号和版本确定软件版本，例如像西门子SEMATIC系列PLC控制器S7-12002.x，其控制软件以固件(Firmware)的形式存在于控制器的片上存储中，基于以上设计形式，工业控制系统或设备的信息安全漏洞可以通过系统或设备的厂商、产品名称、型号和版本等信息来确定。

实施例4

步骤4：漏洞修补确认，针对检测出的有漏洞的工控资产，对存在的每一个漏洞，复核确认漏洞是否得到修补；

所述步骤2，漏洞库检索的具体步骤如下

根据已知工业控制系统漏洞库(CVE、CNVD等)建立如下集合：

已知漏洞的厂商名称集合MF＝{mf₁，mf₂，…，mf_n}

已知漏洞的产品名称集合PN＝{pn₁，pn₂，…，pn_n}

已知漏洞的产品型号集合PT＝{pt₁，pt₂，…，pt_n}

已知漏洞的产品版本集合PV＝{pv₁，pv₂，…，pv_n}；

定义设备信息与漏洞库的匹配函数

定义系统或设备存在漏洞的判断函数

Vul(mf，pn，pt，pv)＝f_MF(mf)·f_PN(pn)·f_PT(pt)·f_PV(pv)

其中，mf表示待检测系统或设备的厂商信息，pn表示待检测系统或设备的名称，pt表示待检测系统或设备的型号，pv表示待检测系统或设备的版本号，判断函数输出的结果表示系统或设备是否存在漏洞，若输出为1，则表示系统或设备存在已知漏洞，若输出为0，表示系统或设备不存在已知漏洞；

这是本发明一种非接触式的工业控制系统或设备静态漏洞检测方法优选的的实施方案。通过工控资产录入、漏洞库检索、静态漏洞检测和漏洞修补确认的步骤，采用对待检测系统或设备收集的信息，对比漏洞库中的数据，经过匹配函数值计算进行静态的漏洞检测最后完成漏洞的修补，全程不接触工业控制系统或设备的情况下对工业控制系统或设备进行静态漏洞检查，不干扰被检测设备的正常运行，实现对在运工业控制系统或设备的漏洞检测，通过静态漏洞检测结果，统计了被测试厂区的漏洞数量，给出了漏洞数和设备基本信息之间的关联关系，并通过确认设备漏洞是否已修补给出了被测试系统的安全性评估方法和流程，为辅助现场决策提供了可靠依据，现在工业控制系统和设备多采用基于定制硬件的嵌入式软件设计开发，因此，大多数的工业控制系统和设备可以根据硬件型号和版本确定软件版本，例如像西门子SEMATIC系列PLC控制器S7-12002.x，其控制软件以固件(Firmware)的形式存在于控制器的片上存储中，基于以上设计形式，工业控制系统或设备的信息安全漏洞可以通过系统或设备的厂商、产品名称、型号和版本等信息来确定，建立系统漏洞库，便于及时更新数据，为离线检测提供了基础。

实施例5

如图1、2，本发明所述的一种非接触式工业控制系统设备静态漏洞检测系统，该系统硬件上采用静态漏洞检测装置，搭载漏洞检测软件的方式进行实现。

方式一：静态漏洞检测装置采用便携式PAD作为载体，主控制模块采用低功耗ARM架构CPU，HMI驱动模块主要完成对液晶触摸屏的驱动和支持，存储模块采用FLASH存储配合SDRAM的方式实现；漏洞检测软件直接部署在便携式PAD内，采用B/S架构，通过PAD上的浏览器进行访问；该实现方式的优点在于便于现场及时就地检测。

方式二：静态漏洞检测装置采用标准立式服务器作为载体，主控制模块采用INTEL架构CPU，HMI驱动模块实现对标准计算机显示器和便携式PAD显示的支持，存储模块为3.5英寸硬盘，漏洞检测软件部署于服务器上，支持通过网络远程访问，该实现方式的优点在于系统可远程访问。

非接触式静态漏洞检测的核心是通过工业控制系统或设备的厂商、产品名称、型号和版本等信息来确定被检测系统或设备是否存在信息安全漏洞。

以罗克韦尔MicroLogix 1100的拒绝服务漏洞(CVE-2016-9338)为例：

假设待检测工业控制设备的厂商信息mf＝″Rockwell Automation″，设备名称pn＝″MicroLogix 1100″,设备型号pt＝″1763-L16AWA″，设备版本pv＝″14.000″。根据匹配函数计算每条信息的匹配程度：

f_MF(″Rockwell Automation″)＝1；

f_MF(″MicroLogix 1100″)＝1；

f_MF(″1763-L16AWA″)＝1；

f_MF(″14.000″)＝1；

根据漏洞判断函数则有：

Vul(″Rockwell Automation，MicroLogix 1100，1763-L16AWA，14.000″)＝1

因此，该设备存在CVE ID为CVE-2016-9338的信息安全漏洞。

实施例6

非接触式工业控制系统设备静态漏洞检测系统运行的流程分以下步骤：

步骤1.工控资产录入

通过手工录入或表格导入的方式，导入待检测的工控资产。录入的表格来源于厂级或更上级信息管理系统中的数据，不接触现场的任何工业控制系统和设备。

步骤2.漏洞库检索

对录入的工控资产，按照厂商信息、产品名称、产品型号和产品版本分别在漏洞库对应的数据表(厂商信息数据表、产品名称数据表、产品型号数据表、产品版本数据表)中进行检索和匹配。计算匹配函数值。

步骤3.静态漏洞检测

根据计算出来的匹配函数值，计算漏洞判断函数的结果。根据计算结果确定漏洞信息，并匹配漏洞库中的漏洞记录。

步骤4.漏洞修补确认

针对检测出漏洞的工控资产，对存在的每一个漏洞，通过人工复核等方式确认漏洞是否得到修补。重复步骤2对下一条工控资产进行漏洞检测。

Claims

1.一种非接触式的工业控制系统或设备静态漏洞检测系统，其特征在于：包括资产管理单元、漏洞检测引擎单元、漏洞库管理单元、报表管理单元和系统管理单元；资产管理单元将待检测资产的信息传送至漏洞检测引擎单元，漏洞检测引擎单元将待检测资产的信息与漏洞库管理单元中的漏洞信息进行比对检测漏洞，并将检测结果发送至报表管理单元进行记录，系统管理单元对系统各单元进行设置和升级管理。

2.如权利要求1所述的一种非接触式的工业控制系统或设备静态漏洞检测系统，其特征在于：所述资产管理单元包括组织结构管理模块和工控资产管理模块，组织结构管理模块用于管理区域下辖工业控制系统和/或设备的组管理功能；工控资产管理模块用于对被控控制系统和/或设备的记录、显示和管理，实现对被控控制系统和/或设备信息的添加、删除、修改、查询。

3.如权利要求1所述的一种非接触式的工业控制系统或设备静态漏洞检测系统，其特征在于：所述漏洞检测引擎单元包括资产信息匹配模块、漏洞检测模块、系统安全性评估模块和任务管理模块；资产信息匹配模块用于将工控资产信息与已知漏洞库进行检索匹配；漏洞检测模块根据匹配函数和判断函数判断工控资产的信息安全静态漏洞是否存在；系统安全性评估模块检查发现的漏洞是否被修补来评测工业控制系统整体安全性；任务管理模块用于漏洞检测任务的建立、删除、执行、修改以及历史任务的记录、回溯。

4.如权利要求1所述的一种非接触式的工业控制系统或设备静态漏洞检测系统，其特征在于：所述漏洞库管理单元包括漏洞库检索模块、漏洞库分类映射模块和漏洞库导入导出接口模块；漏洞库检索模块用于对已知漏洞数据库中各项记录的访问、搜索和显示；漏洞库分类映射模块将已知漏洞数据库记录对厂商名称数据表、产品名称数据表、产品型号数据表和产品版本数据表进行分类映射；漏洞库导入导出接口模块对已知漏洞数据库中漏洞信息的批量导入和导出。

5.如权利要求1所述的一种非接触式的工业控制系统或设备静态漏洞检测系统，其特征在于：所述报表管理单元包括漏洞分布统计模块、危害等级统计模块、系统安全水平模块和系统状态及日志模块；漏洞分布统计模块根据漏洞检测结果对录入的工控资产进行定量的分类统计，按漏洞数量对厂商和产品进行排名，并按组织结构统计各厂区工业控制系统信息安全漏洞的数量；危害等级统计模块根据漏洞的危害程度对检测结果进行定量统计，对危害进行分级；系统状态和日志模块显示系统自身运行状态和版本信息，同时生成用户操作、告警记录、历史访问的日志记录。

6.如权利要求1所述的一种非接触式的工业控制系统或设备静态漏洞检测系统，其特征在于：所述系统管理单元包括用户权限管理模块、基本设置模块、网络设置模块和系统升级管理模块；用户权限管理模块用于用户信息管理、用户角色分配、用户权限划分；基本设置模块用于系统应用配置、时间设置和磁盘空间管理；网络设置模块用于系统网卡配置和防火墙配置；系统升级管理模块用于用于对各模块和引擎的升级、漏洞库升级、应用升级以及系统自身补丁安装。

7.如权利要求1所述的一种非接触式工业控制系统设备静态漏洞检测系统的检测方法，其特征在于，包括以下步骤

8.如权利要求1所述的一种非接触式工业控制系统设备静态漏洞检测系统的检测方法，其特征在于，所述步骤2，漏洞库检索的具体步骤如下：

根据已知工业控制系统漏洞库(CVE、CNVD等)建立如下集合

已知漏洞的厂商名称集合MF＝{mf₁，mf₂，…，mf_n}

已知漏洞的产品名称集合PN＝{pn₁，pn₂，…，pn_n}

已知漏洞的产品型号集合PT＝{pt₁，pt₂，…，pt_n}

已知漏洞的产品版本集合PV＝{pv₁，pv₂，…，pv_n}；

定义设备信息与漏洞库的匹配函数

<mrow> <msub> <mi>f</mi> <mi>&Omega;</mi> </msub> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <mn>1</mn> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <mi>x</mi> <mo>&Element;</mo> <mi>&Omega;</mi> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mn>0</mn> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <mi>x</mi> <mo>&NotElement;</mo> <mi>&Omega;</mi> </mrow> </mtd> </mtr> </mtable> </mfenced> </mrow>

定义系统或设备存在漏洞的判断函数

Vul(mf，pn，pt，pv)＝f_MF(mf)·f_PN(pn)·f_PT(pt)·f_PV(pv)

9.如权利要求1所述的一种非接触式工业控制系统设备静态漏洞检测系统的检测方法，其特征在于：所述步骤2，漏洞库对应的数据表包括厂商信息数据表、产品名称数据表、产品型号数据表和产品版本数据表。