CN107431713A - 用于将系统相关特性和事件转换成网络安全风险评估值的规则引擎 - Google Patents

Abstract

本公开提供了一种用于将系统相关特性和事件转换为网络安全风险评估值的规则引擎，包括相关系统和方法。方法包括接收（305）信息，所述信息标识计算系统（100）中的多个设备（130，132，134）的特性以及与所述多个设备相关联的多个事件。方法包括使用多个规则集合（230）分析（310）所述信息。方法包括基于所述分析而生成（315）至少一个风险评估值，所述至少一个风险评估值标识所述多个设备的至少一个网络安全风险。所述至少一个风险评估值标识所述多个设备的至少一个网络安全风险。方法包括在用户接口（250）中显示（320）所述至少一个风险评估值。

Description

用于将系统相关特性和事件转换成网络安全风险评估值的规 则引擎

相关申请的交叉引用

本申请要求2015年2月6日提交的美国临时专利申请62/113,075的提交日期的权益，该美国临时专利申请通过引用并入本文。

技术领域

本公开总体上涉及网络安全。更具体地，本公开涉及一种用于将系统相关特性和事件转换成网络安全（cyber-security）风险评估值的规则引擎（rules engine）。

背景技术

经常使用工业过程控制和自动化系统来管理处理设施。常规控制和自动化系统惯常地包括多种联网设备，诸如服务器、工作站、交换机、路由器、防火墙、安全系统、专属实时控制器和工业现场设备。时常地，此装备来自多个不同的销售商。在工业环境中，网络安全具有越来越多的关注，并且这些部件中的任一个中未解决的安全脆弱性都可能被攻击者利用来破坏操作或者引起工业设施中的非安全状况。

发明内容

本公开提供了一种用于将系统相关特性和事件转换成网络安全风险评估值的规则引擎，包括相关系统和方法。方法包括接收信息，所述信息标识计算系统中的多个设备的特性以及与所述多个设备相关联的多个事件。方法包括使用多个规则集合来分析此信息。方法包括基于所述分析而生成至少一个风险评估值。所述至少一个风险评估值标识所述多个设备中的至少一个网络安全风险。方法包括在用户接口中显示所述至少一个风险评估值。

在一些实施例中，从源数据部件接收所述信息，所述源数据部件与所述多个设备相关联并且从所述多个设备收集数据。在一些实施例中，由归一化部件处理所述信息，所述归一化部件根据所述信息的类型而将所述信息格式化为公共格式。在一些实施例中，风险管理器系统还向一个或多个目标数据部件传输与所述分析对应的网络安全风险信息。在一些实施例中，风险管理器系统还将与所述分析对应的网络安全风险信息转换成可以由相应目标数据部件处理的格式。在一些实施例中，风险管理器系统还限定行为并且将该行为应用到所述多个规则集合，所述多个规则集合包括基于时间的规则、累积规则和影响规则中的至少一个。在一些实施例中，风险管理器系统还在所述多个设备的分级结构（hierarchy）之上聚集风险评估值。

根据下面各图、描述和权利要求，其它技术特征对于本领域技术人员而言可以是容易地显而易见的。

附图说明

为了更加完全地理解本公开，现在参照结合附图进行的以下描述，其中：

图1图示了根据本公开的示例工业过程控制和自动化系统；

图2图示了根据本公开的用于标识工业过程控制和自动化系统或者其它系统中的安全问题的示例规则处置基础设施；以及

图3图示了依照所公开的实施例的过程的流程图。

具体实施方式

以下讨论的各图以及用于在此专利文档中描述本发明的原理的各种实施例仅是作为说明并且不应当以任何方式解释为限制本发明的范围。本领域技术人员将理解到，本发明的原理可以在任何类型的适当布置的设备或者系统中实现。

在以下讨论中，“SIEM”是指“安全信息和事件管理”，其表示提供系统中的安全警报的实时分析的技术。而且，“SCOM”指的是系统中央操作管理器基础设施，其监视从微软公司可获得的软件工具。

图1图示了根据本公开的示例工业过程控制和自动化系统100。如图1中所示，系统100包括促进至少一个产品或其它材料的生产或处理的各种部件。例如，系统100在这里用于促进对一个或多个工厂101a-101n中的部件的控制。每一个工厂101a-101n表示一个或多个处理设施（或者其一个或多个部分），诸如用于生产至少一个产品或其它材料的一个或多个制造设施。一般地，每一个工厂101a-101n可以实现一个或多个过程并且可以单独地或者集体地称为过程系统。过程系统一般地表示配置为以某种方式处理一个或多个产品或其它材料的任何系统或其一部分。

在图1中，系统100使用过程控制的Purdue模型来实现。在Purdue模型中，“级别0”可以包括一个或多个传感器102a和一个或多个致动器102b。传感器102a和致动器102b表示可以执行各种各样的功能中的任一个的过程系统中的部件。例如，传感器102a可以测量过程系统中的各种各样的特性，诸如温度、压强（pressure）或者流速率。而且，致动器102b可以更改过程系统中的各种各样的特性。传感器102a和致动器102b可以表示任何适合的过程系统中的任何其它或者附加的部件。传感器102a中的每一个包括用于测量过程系统中的一个或多个特性的任何适合的结构。致动器102b中的每一个包括用于对过程系统中的一个或多个状况进行操作或者影响其的任何适合的结构。

至少一个网络104耦合到传感器102a和致动器102b。网络104促进与传感器102a和致动器102b的交互。例如，网络104可以输运来自传感器102a的测量数据并且将控制信号提供给致动器102b。网络104可以表示任何适合的网络或者网络的组合。作为特定示例，网络104可以表示以太网网络、电气信号网络（诸如HART或者FOUNDATION FIELDBUS网络）、气动控制信号网络、或者任何其它或者（多个）附加类型的（多个）网络。

在Purdue模型中，“级别1”可以包括耦合到网络104的一个或多个控制器106。除其它事物之外，每一个控制器106可以使用来自一个或多个传感器102a的测量结果来控制一个或多个致动器102b的操作。例如，控制器106可以从一个或多个传感器102a接收测量数据并且使用该测量数据来生成用于一个或多个致动器102b的控制信号。每一个控制器106包括用于与一个或多个传感器102a交互并且控制一个或多个致动器102b的任何适合的结构。每一个控制器106例如可以表示比例积分微分（PID）控制器或者多变量控制器，诸如鲁棒型多变量预测控制技术（RMPCT）控制器，或者实现模型预测控制（MPC）或其它高级预测控制（APC）的其它类型的控制器。作为特定示例，每一个控制器106可以表示运行实时操作系统的计算设备。

两个网络108耦合到控制器106。网络108促进与控制器106的交互，诸如通过向和从控制器106输运数据。网络108可以表示任何适合的网络或者网络的组合。作为特定示例，网络108可以表示以太网网络的冗余对，诸如来自霍尼韦尔国际公司的容错以太网（FTE）网络。

至少一个交换机/防火墙110将网络108耦合到两个网络112。交换机/防火墙110可以从一个网络向另一个网络输运业务（traffic）。交换机/防火墙110还可以阻挡一个网络上的业务到达另一个网络。交换机/防火墙110包括用于提供网络之间的通信的任何适合的结构，诸如霍尼韦尔控制防火墙（CF9）设备。网络112可以表示任何适合的网络，诸如FTE网络。

在Purdue模型中，“级别2”可以包括耦合到网络112的一个或多个机器级控制器114。机器级控制器114执行各种功能以支持可以与特定一台工业装备（诸如锅炉或其它机器）相关联的控制器106、传感器102a和致动器102b的操作和控制。例如，机器级控制器114可以记录（log）由控制器106收集或生成的信息，诸如来自传感器102a的测量数据或者用于致动器102b的控制信号。机器级控制器114还可以执行对控制器106的操作进行控制的应用，由此控制致动器102b的操作。此外，机器级控制器114可以提供对控制器106的安全访问。机器级控制器114中的每个包括用于提供对机器或者其它单个台装备的访问、控制或者与其有关的操作的任何适合的结构。机器级控制器114中的每个例如可以表示运行MICROSOFT WINDOWS操作系统的服务器计算设备。尽管没有示出，但是不同的机器级控制器114可以用来控制过程系统中的不同各台装备（其中每一台装备与一个或多个控制器106、传感器102a和致动器102b相关联）。

一个或多个操作员站116耦合到网络112。操作员站116表示提供对机器级控制器114的用户访问的计算或通信设备，机器级控制器114然后可以提供对控制器106（以及可能地，传感器102a和致动器102b）的用户访问。作为特定示例，操作员站116可以允许用户使用由控制器106和/或机器级控制器114收集的信息来回顾传感器102a和致动器102b的操作历史。操作员站116还可以允许用户调整传感器102a、致动器102b、控制器106或机器级控制器114的操作。此外，操作员站116可以接收和显示由控制器106或机器级控制器114生成的警告、警报、或者其它消息或显示。操作员站116中的每个包括用于支持系统100中的一个或多个部件的用户访问和控制的任何适合的结构。操作员站116中的每个例如可以表示运行MICROSOFT WINDOWS操作系统的计算设备。

至少一个路由器/防火墙118将网络112耦合到两个网络120。路由器/防火墙118包括用于提供网络之间的通信的任何适合的结构，诸如安全路由器或者组合路由器/防火墙。网络120可以表示任何适合的网络，诸如FTE网络。

在Purdue模型中，“级别3”可以包括耦合到网络120的一个或多个单元级控制器122。每一个单元级控制器122通常与过程系统中的单元相关联，所述单元表示一起操作以实现过程的至少一部分的不同机器的集合。单元级控制器122执行各种功能以支持较低级别中的部件的操作和控制。例如，单元级控制器122可以记录由较低级别中的部件收集或生成的信息，执行控制较低级别中的部件的应用，并且提供对较低级别中的部件的安全访问。单元级控制器122中的每个包括用于提供对过程单元中的一个或多个机器或者其它各台装备的访问、控制或者与其有关的操作的任何适合的结构。单元级控制器122中的每个例如可以表示运行MICROSOFT WINDOWS操作系统的服务器计算设备。尽管没有示出，但是可以使用不同的单元级控制器122来控制过程系统中的不同单元（其中每一个单元与一个或多个机器级控制器114、控制器106、传感器102a和致动器102b相关联）。

对单元级控制器122的访问可以由一个或多个操作员站124提供。操作员站124中的每个包括用于支持系统100中的一个或多个部件的用户访问和控制的任何适合的结构。操作员站124中的每个例如可以表示运行MICROSOFT WINDOWS操作系统的计算设备。

至少一个路由器/防火墙126将网络120耦合到网络128。路由器/防火墙126包括用于提供网络之间的通信的任何适合的结构，诸如安全路由器或组合路由器/防火墙。网络128可以表示任何适合的网络，诸如FTE网络。

在Purdue模型中，“级别4”可以包括耦合到网络128的一个或多个工厂级控制器130。每一个工厂级控制器130通常与工厂101a-101n中的一个相关联，所述工厂101a-101n可以包括实现相同、相似或不同过程的一个或多个过程单元。工厂级控制器130执行各种功能以支持较低级别中的部件的操作和控制。作为特定示例，工厂级控制器130可以执行一个或多个制造执行系统（MES）应用、调度应用、或者其它或附加的工厂或过程控制应用。工厂级控制器130中的每个包括用于提供对过程工厂中的一个或多个过程单元的访问、控制或者与其有关的操作的任何适合的结构。工厂级控制器130中的每个例如可以表示运行MICROSOFT WINDOWS操作系统的服务器计算设备。

对工厂级控制器130的访问可以由一个或多个操作员站132提供。操作员站132中的每个包括用于支持系统100中的一个或多个部件的用户访问和控制的任何适合的结构。操作员站132中的每一个例如可以表示运行MICROSOFT WINDOWS操作系统的计算设备。

至少一个路由器/防火墙134将网络128耦合到一个或多个网络136。路由器/防火墙134包括用于提供网络之间的通信的任何适合的结构，诸如安全路由器或者组合路由器/防火墙。网络136可以表示任何适合的网络，诸如全企业（enterprise-wide）以太网或者其它网络或者较大网络（诸如互联网）的一部分或全部。

在Purdue模型中，“级别5”可以包括耦合到网络136的一个或多个企业级控制器138。每一个企业级控制器138通常能够执行用于多个工厂101a-101n的规划操作并且控制工厂101a-101n的各种方面。企业级控制器138还可以执行各种功能以支持工厂101a-101n中的部件的操作和控制。作为特定示例，企业级控制器138可以执行一个或多个订单处理应用、企业资源规划（ERP）应用、高级规划和调度（APS）应用、或者任何其它或附加的企业控制应用。企业级控制器138中的每个包括用于提供对一个或多个工厂的访问、控制或者与其控制有关的操作的任何适合的结构。企业级控制器138中的每个例如可以表示运行MICROSOFTWINDOWS操作系统的服务器计算设备。在本文档中，术语“企业”是指具有要管理的一个或多个工厂或其它处理设施的组织。要指出，如果要管理单个工厂101a，则企业级控制器138的功能性可以并入到工厂级控制器130中。

对企业级控制器138的访问可以由一个或多个操作员站140提供。操作员站140中的每个包括用于支持系统100中的一个或多个部件的用户访问和控制的任何适合的结构。操作员站140中的每个例如可以表示运行MICROSOFT WINDOWS操作系统的计算设备。

Purdue模型的各种级别可以包括其它部件，诸如一个或多个数据库。与每一个级别相关联的（多个）数据库可以存储与那个级别或者系统100的一个或多个其它级别相关联的任何适合的信息。例如，历史学家141可以耦合到网络136。历史学家141可以表示存储关于系统100的各种信息的部件。历史学家141例如可以存储在生产调度和优化期间使用的信息。历史学家141表示用于存储和促进信息的检索的任何适合的结构。尽管示出为耦合到网络136的单个集中式部件，但是历史学家141可以位于系统100中的别处，或者多个历史学家可以分布在系统100中的不同位置中。

在特定实施例中，图1中的各种控制器和操作员站可以表示计算设备。例如，控制器106，114，122，130，138中的每一个可以包括一个或多个处理设备142，以及用于存储由（多个）处理设备142使用、生成或收集的指令和数据的一个或多个存储器144。控制器106，114，122，130，138中的每个还可以包括至少一个网络接口146，诸如一个或多个以太网接口或无线收发器。而且，操作员站116，124，132，140中的每一个可以包括一个或多个处理设备148，以及用于存储由（多个）处理设备148使用、生成或收集的指令和数据的一个或多个存储器150。操作员站116，124，132，140中的每一个还可以包括至少一个网络接口152，诸如一个或多个以太网接口或无线收发器。

如上文指出，就工业过程控制和自动化系统而言，网络安全具有越来越多的关注。系统100中的部件中的任一个中未解决的安全脆弱性都可以由攻击者利用来破坏操作或者引起工业设施中的非安全状况。然而，在许多实例中，操作员不具有对在特定工业地点处运行的所有装备的全面理解或清单（inventory）。因此，经常难以快速地确定对控制和自动化系统的潜在风险源。

本公开认识到对以下解决方案的需要：该解决方案理解各种系统中的潜在脆弱性，基于对整个系统的风险而使脆弱性优先化，并且引导用户缓解脆弱性。（除其它方式之外）这通过使用“规则处置基础设施”来完成，所述“规则处置基础设施”在图1中的示例中使用风险管理器154实现或支持。风险管理器154包括包含规则引擎的任何适合的结构，所述规则引擎用于将系统相关特性和事件转换为网络安全风险评估值。此处，风险管理器154包括一个或多个处理设备156；用于存储由（多个）处理设备156使用、生成或收集的指令和数据的一个或多个存储器158；以及至少一个网络接口160。每一个处理设备156可以表示微处理器、微控制器、数字信号过程、现场可编程门阵列、专用集成电路或者离散逻辑。每一个存储器158可以表示易失性或非易失性储存器和检索设备，诸如随机存取存储器或闪速存储器。每一个网络接口160可以表示以太网接口、无线收发器、或者促进外部通信的其它设备。风险管理器154的功能性可以使用任何适合的硬件或者硬件和软件/固件指令的组合来实现。

尽管图1图示了工业过程控制和自动化系统100的一个示例，但是可以对图1进行各种改变。例如，控制和自动化系统可以包括任何数目的传感器、致动器、控制器、服务器、操作员站、网络、风险管理器和其它部件。而且，图1中的系统100的构成和布置仅用于说明。可以根据特定需要以任何其它的适当配置来添加、省略、组合或放置部件。另外，已经将特定功能描述为由系统100的特定部件来执行。这仅用于说明。一般而言，控制和自动化系统高度可配置，并且可以根据特定需要而以任何适合的方式配置。此外，图1图示了其中可以使用风险管理器154的功能的示例环境。此功能性可以在任何其它适当的设备或系统中使用。

图2图示了根据本公开的用于标识工业过程控制和自动化系统中的安全问题的示例规则处置基础设施200。基础设施200可以使用风险管理器154或者配置成如本文所公开的那样来执行的其它处理设备而被支持或实现。此基础设施200分析所收集的风险数据并且基于针对各种风险项目的规则而动态地创建风险值。风险值与其中发生或存在风险的计算系统中的设备相关联。

多个风险值可以向上聚集到设备的分级结构中以帮助标识更加处于风险的区域。在各种实施例中，基础设施200配置为使得用户能够添加和移除安全产品（诸如MCAFEE或SYMANTEC产品）而不必修改规则基础设施。在各种实施例中，规则集合可以是通用的，使得针对相似类型产品（诸如抗病毒产品）的相同规则可以应用于该产品类型的任何产品而不必修改规则。

在图2中所示的示例中，规则处置基础设施200包括逻辑部件，其包括源数据部件210、目标数据部件220、终点规则集合230和规则引擎框架240。规则处置基础设施200还包括用于显示信息并且与用户交互的用户接口（GUI）250，如本文中所述。经由直接地与规则引擎框架240对接的设备或应用、通过作为目标数据部件220起作用或者连接到目标数据部件220的设备或应用、或者以其它方式，GUI 250可以显示如由规则处置基础设施200所产生的数据。

源数据部件210包括用于输入数据的各个输入处理单元（数据源提供商212）。输入数据可以包括信息，所述信息标识计算系统（诸如系统100）中的多个设备的特性以及与所述多个设备相关联的多个事件，每一个在图2中指定为数据源提供商212。源数据部件210例如可以与图1中所示的各种计算和联网部件相关联，并且从其收集数据。在不同实现中，可以存在或者可以不存在对可以被支持的数据源提供商的数目的理论限制。当然可以存在基于硬件存储器或处理器速度的物理限制，所述硬件存储器或处理器速度可能限制数据源提供商的总数。输入数据可以来自规则引擎能够访问的任何源，包括计算系统中的设备中的任一个。这可以包括（但不限于）来自以下各项的数据：

● 安全软件（抗病毒、白名单等）

● 数据采集子系统（SIEM、SCOM等）

● 设备（路由器、交换机等）

● 计算机（事件、性能等）

● 数据源（包括但不限于数据库和文件）

● 注入数据的应用（诸如用于测试、模拟等）

● Web应用（Web API）。

数据源提供商212可以关于它们正从其得到数据的设备、软件或其它输入源而是特定的。每一个可以包括自定义代码，所述自定义代码知晓如何从输入源得到数据。可以向归一化部件214传递数据并且由归一化部件214处理数据，所述归一化部件214取得输入数据并且将它格式化成与数据类型有关的公共格式。例如，来自不同抗病毒软件产品的数据可以被分组到类似数据项目中，并且可以将值格式化成公共值（抗病毒已安装、抗病毒已启用等）。此数据被使得可用于规则引擎框架240并且由终点规则集合230使用。

目标数据部件220可以与规则引擎框架240相关联并且将由规则引擎框架240生成的信息提供给各种设备或系统。例如，目标数据部件220可以用来与负责管理系统100中的安全的人员的移动或固定计算设备交互。目标数据部件220可以包括数据源适配器222，所述数据源适配器222将由规则引擎框架240生成的信息（诸如网络安全风险信息）转换成可以由相应目标数据部件220处理的格式。一般地，到规则引擎框架240的输入是来自数据源提供商212，并且将来自规则引擎框架240的输出提供给目标数据部件220。

终点规则集合230限定要应用到来自源数据部件210的数据的不同规则。终点规则集合230中的规则被用来分析不同设备的特性以及涉及设备（诸如图1中的各种设备）而发生的不同事件。规则还可以生成指示安全脆弱性或者与源数据部件210有关的其它问题的值。例如，规则可以被用来生成至少一个风险评估值，所述至少一个风险评估值标识设备的至少一个网络安全风险。

在各种实施例中，终点规则集合230得到经由用户限定的值而关联到规则的配置数据。如果它们期望的话，这允许特定地点实现来修改规则以适合其地点需要。例如，地点可能具有设备的不同的簇或区域，其中该区域中的设备对于工厂操作或其它功能不是关键的。在此情况下，将通常以高值排列的某些类型的风险可以修改成使得值并没有那么高。这将防止不大重要的区域遮蔽可能更加重要的其它区域。终点规则集合230可以包括权重因子或者其它用户可定义的配置数据来作为特定规则的一部分，其被应用以增加或者降低与任何特定设备或网络安全风险相关联的风险评估值。

规则引擎框架240是用于规则处置基础设施200的主要部件。它处置用于规则引擎的起始任务，所述起始任务可以包括：

● 加载终点规则集合230；

● 加载源数据部件210；

● 加载目标数据部件220；

● 得到针对每一个规则的配置项目；以及

● 初始化数据模型。

用于设备的数据模型可以包括分层树（hierarchy tree），所述分层树基于在设立系统时如何配置数据而对数据进行分组。这允许对风险项目进行分组并且在分层树内的其它项目上分配影响风险。一旦规则引擎被初始化，它就可以开始线程（thread），诸如以处置每一个独立的源数据部件210的处理。规则引擎框架240还包含公共数据适配器互操作部件，其标识传递给规则引擎中的各个部件的内部数据格式。这包括规则引擎框架240内部的数据，以及在数据源提供商、数据源适配器和终点规则集合之间传递的数据。

规则引擎框架240还包含用于在规则集合中所限定的规则上限定行为242的各个特征。这可以包括但不限于支持基于时间的规则、累积规则和影响规则的行为。基于时间的行为允许限定具有基于时间流逝（passage of time）的某些特殊处理的规则。基于累积的行为允许限定具有基于对规则的数据处理多少次而对数据的特殊处理的规则。影响规则允许限定影响规则正处理的设备的分层树中的其它设备上的风险的规则。

规则引擎框架240支持将来自风险区、PC、区域和地点的风险项目聚集到一个或多个聚集集合244中的能力。基于规则集合计算，它可以分配在特定级别处发现的最高风险，并且例如，使得其对例如在GUI 250中的显示可用。例如，区域聚集记录可以显示在区域内找到的PC和设备之中计算的最高风险项目。聚集体以及聚集集合244的计算可以在所有规则之中是公共的，所以它是使得终点规则集合230更简单和轻量（更不复杂）的规则引擎框架240的一部分。

规则引擎框架包括执行引擎246，其可以使用一个或多个处理器或控制器来实现，其执行如本文中描述的各种过程。这些可以在存储于机器可读介质中的可执行指令的控制之下执行。

除其它事物之外，此基础设施200可以包括多个唯一的特征。例如，在各种实施例中，源数据和目标数据部件210-220可以按需要被添加和移除，而不要求对规则引擎框架240或终点规则集合230的任何改变。在各种实施例中，终点规则集合230可以在不要求对规则引擎框架240的任何改变的情况下被添加或移除。在各种实施例中，规则引擎框架240限定可以应用到规则集合230的行为，所述规则集合230提供基于处置时间的规则、累积规则、影响规则等。

在一些实施例中，终点规则集合230可以是通用的，并且如果对于该数据源类型（诸如抗病毒）而言规则集合已经存在的话，添加新的源数据提供商不需要要求修改终点规则集合230。在各种实施例中，规则引擎框架240提供特征来计算聚集风险评估值，所述聚集风险评估值可以从底部级别（诸如PC或设备级别等）一路向上（区域、地点等）聚集。在各种实施例中，数据被分解成各个项目并且标识为风险项目。风险项目具有被应用到它们的单独风险因子，由此允许一些风险项目比其它的更加关键。

在一些实施例中，规则引擎还计算风险（除了仅收集数据之外）。在各种实施例中，风险计算可以是基于ISO 27005风险管理标准（ISO/IEC 27005:2011）或其它标准。

尽管图2图示了用于标识工业过程控制和自动化系统或者其它系统中的安全问题的规则处置基础设施200的一个示例，但是可以对图2进行各种变化。例如，部件210-250的功能划分以及每一个部件210-250内的功能划分仅用于说明。各种部件或子部件可以被组合、进一步细分、重新布置或者省略，并且可以根据特定需要添加附加的部件或者子部件。

图3图示了依照所公开的实施例的过程300的流程图，所述过程300可以例如由风险管理器154、规则处置基础设施200、或者配置成如所描述的那样执行的其它设备来执行，其一般性地在下文称为“风险管理器系统”。

风险管理器系统接收信息，所述信息标识计算系统中的多个设备的特性以及与所述多个设备相关联的多个事件（305）。在一些实施例中，从源数据部件接收信息，所述源数据部件与所述多个设备相关联并且从所述多个设备收集数据。在一些实施例中，由归一化部件处理该信息，所述归一化部件根据该信息的类型而将该信息格式化成公共格式。

风险管理器系统使用多个规则集合来分析该信息（310）。在一些实施例中，风险管理器系统还向一个或多个目标数据部件传输与分析对应的网络安全风险信息。在一些实施例中，风险管理器系统还将与所述分析对应的网络安全风险信息转换成可以由相应目标数据部件处理的格式。在一些实施例中，风险管理器系统还限定行为并且将该行为应用到所述多个规则集合，所述多个规则集合包括基于时间的规则、累积规则和影响规则中的至少一个。

风险管理器系统基于所述分析而生成至少一个风险评估值，所述至少一个风险评估值标识所述多个设备的至少一个网络安全风险（315）。在一些实施例中，风险管理器系统还在所述多个设备的分级结构之上聚集风险评估值。

风险管理器系统存储并且向用户显示所述至少一个风险评估值（320）。

要指出，这里示出的风险管理器154和/或规则处置基础设施200可以与在下面先前提交和同时提交的专利申请（其全部通过引用并入于此）中描述的各种特征的全部或任何组合结合地使用或操作：

• 美国专利申请号14/482,888，题为“DYNAMIC QUANTIFICATION OF CYBER-SECURITYRISKS IN A CONTROL SYSTEM”；

• 美国临时专利申请号62/036,920，题为“ANALYZING CYBER-SECURITY RISKS IN ANINDUSTRIAL CONTROL ENVIRONMENT”；

• 美国临时专利申请号62/113,221，题为“NOTIFICATION SUBSYSTEM FOR GENERATINGCONSOLIDATED， FILTERED， AND RELEVANT SECURITY RISK-BASED NOTIFICATIONS”，以及与其同时提交的类似标题的对应非临时美国专利申请14/871,521 (档案号H0048937-0115)；

• 美国临时专利申请号62/113,100，题为“TECHNIQUE FOR USING INFRASTRUCTUREMONITORING SOFTWARE TO COLLECT CYBER-SECURITY RISK DATA”，以及与其同时提交的类似标题的对应非临时美国专利申请14/871,855 (档案号H0048943-0115)；

• 美国临时专利申请号62/113,186，题为“INFRASTRUCTURE MONITORING TOOL FORCOLLECTING INDUSTRIAL PROCESS CONTROL AND AUTOMATION SYSTEM RISK DATA”，以及与其同时提交的类似标题的对应非临时美国专利申请14/871,732 (档案号H0048945-0115)；

• 美国临时专利申请号62/113,165，题为“PATCH MONITORING AND ANALYSIS”，以及与其同时提交的类似标题的对应非临时美国专利申请14/871,921 (档案号H0048973-0115)；

• 美国临时专利申请号62/113,152，题为“APPARATUS AND METHOD FOR AUTOMATICHANDLING OF CYBER-SECURITY RISK EVENTS”，以及与其同时提交的类似标题的对应非临时美国专利申请14/871,503 (档案号H0049067-0115)；

• 美国临时专利申请号62/114,928，题为“APPARATUS AND METHOD FOR DYNAMICCUSTOMIZATION OF CYBER-SECURITY RISK ITEM RULES”，以及与其同时提交的类似标题的对应非临时美国专利申请 14/871,605 (档案号H0049099-0115)；

• 美国临时专利申请号62/114,865，题为“APPARATUS AND METHOD FOR PROVIDINGPOSSIBLE CAUSES, RECOMMENDED ACTIONS, AND POTENTIAL IMPACTS RELATED TOIDENTIFIED CYBER-SECURITY RISK ITEMS”，以及与其同时提交的类似标题的对应非临时美国专利申请 14/871,814 (档案号H0049103-0115)；

• 美国临时专利申请号62/114,937，题为“APPARATUS AND METHOD FOR TYING CYBER-SECURITY RISK ANALYSIS TO COMMON RISK METHODOLOGIES AND RISK LEVELS”，以及与其同时提交的类似标题的对应非临时美国专利申请14/871,136 (档案号H0049104-0115)；以及

• 美国临时专利申请号62/116,245，题为“RISK MANAGEMENT IN AN AIR-GAPPEDENVIRONMENT”，以及与其同时提交的类似标题的对应非临时美国专利申请14/871,547 (档案号H0049081-0115)。

在一些实施例中，在本专利文档中描述的各种功能由计算机程序来实现或支持，所述计算机程序由计算机可读程序代码形成并且被包含在计算机可读介质中。短语“计算机可读程序代码”包括任何类型的计算机代码，包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够由计算机访问的任何类型的介质，诸如只读存储器（ROM）、随机存取存储器（RAM）、硬盘驱动器、压缩盘（CD）、数字视频盘（DVD）或者任何其它类型的存储器。“非暂时性”计算机可读介质排除了输运暂时性电气或其它信号的有线、无线、光学或其它通信链路。非暂时性计算机可读介质包括其中数据可以永久性存储的介质以及其中数据可以存储并且稍后被覆写的介质，诸如可再写光盘或者可擦除存储器设备。

可以有利的是阐述遍及本专利文档使用的某些词语和短语的定义。术语“应用”和“程序”是指适于在适合的计算机代码（包括源代码、目标代码或者可执行代码）中实现的一个或多个计算机程序、软件部件、指令集、程序、功能、对象、分类、实例、相关数据或其一部分。术语“通信”以及其衍生词涵盖直接和间接通信两者。术语“包括”和“包含”以及其衍生词意指没有限制的包括。术语“或”是包括性的，意指和/或。短语“与……相关联”以及其衍生词可以意指包括、被包括在……内、与……互连、包含、被包含在……内、连接到……或者与……连接、耦合到……或者与……耦合、与……可通信、与……协作、交错、并置、邻近于……、束缚到……或用……束缚、具有、具有……的性质、具有到或与……的关系等等。当与项目列表一起使用时，短语“……中的至少一个”意指可以使用所列项目中的一个或多个的不同组合，并且可能需要列表中的仅一个项目。例如，“A、B和C中的至少一个”包括以下组合中的任一个：A、B、C、A和B、A和C、B和C、以及A和B和C。

虽然本公开已经描述了某些实施例以及一般地相关联的方法，但是这些实施例和方法的更改和置换将对于本领域技术人员显而易见。因此，示例实施例的以上描述不限定或者约束本公开。其它变化、替换和变更也是可能的而不脱离如由以下权利要求限定的本公开的精神和范围。

Claims (15)

1.一种方法，包括：

接收（305）信息，所述信息标识计算系统（100）中的多个设备（130，132，134）的特性以及与所述多个设备相关联的多个事件；

使用多个规则集合（230）来分析（310）所述信息；

基于所述分析而生成（315）至少一个风险评估值，所述至少一个风险评估值标识所述多个设备的至少一个网络安全风险；以及

在用户接口（250）中显示（320）所述至少一个风险评估值。

2.权利要求1所述的方法，其中从源数据部件（210）接收所述信息，所述源数据部件（210）与所述多个设备相关联并且从所述多个设备收集数据。

3.权利要求1所述的方法，其中由归一化部件（214）处理所述信息，所述归一化部件（214）根据所述信息的类型而将所述信息格式化为公共格式。

4.权利要求1所述的方法，还包括向一个或多个目标数据部件（220）传输与所述分析对应的网络安全风险信息。

5.权利要求1所述的方法，还包括将与所述分析对应的网络安全风险信息转换成能够由相应目标数据部件（220）处理的格式。

6.权利要求1所述的方法，还包括限定行为并且将所述行为应用到多个规则集合（230），所述多个规则集合包括基于时间的规则、累积规则和影响规则中的至少一个。

7.权利要求1所述的方法，还包括在所述多个设备（130，132，134）的分级结构之上聚集风险评估值，并且其中根据用户可定义的配置数据对所述风险评估值进行加权。

8.一种风险管理器系统，包括：

控制器（156）；以及

显示器（250），所述风险管理器系统配置为：

接收（305）信息，所述信息标识计算系统（100）中的多个设备（130，132，134）的特性以及与所述多个设备相关联的多个事件；

使用多个规则集合（230）来分析（310）所述信息；

基于所述分析来生成（315）至少一个风险评估值，所述至少一个风险评估值标识所述多个设备的至少一个网络安全风险；以及

在用户接口（250）中显示（320）所述至少一个风险评估值。

9.权利要求8所述的风险管理器系统，其中从源数据部件（210）接收所述信息，所述源数据部件（210）与所述多个设备相关联并且从所述多个设备收集数据。

10.权利要求8所述的风险管理器系统，其中由归一化部件（214）处理所述信息，所述归一化部件（214）根据所述信息的类型而将所述信息格式化成公共格式。

11.权利要求8所述的风险管理器系统，其中所述风险管理器系统还向一个或多个目标数据部件（220）传输与所述分析对应的网络安全风险信息。

12.权利要求8所述的风险管理器系统，其中所述风险管理器系统还将与所述分析对应的网络安全风险信息转换成能够由相应目标数据部件（220）处理的格式。

13.权利要求8所述的风险管理器系统，其中所述风险管理器系统还限定行为并且将所述行为应用到所述多个规则集合（230），所述多个规则集合包括基于时间的规则、累积规则和影响规则中的至少一个。

14.权利要求8所述的风险管理器系统，其中所述风险管理器系统还在所述多个设备（130，132，134）的分级结构之上聚集风险评估值，并且其中根据用户可定义的配置数据对所述风险评估值进行加权。

15.一种用可执行指令编码的非暂时性机器可读介质（158），所述可执行指令在执行时引起风险管理器系统的一个或多个处理器：

接收（305）信息，所述信息标识计算系统（100）中的多个设备（130，132，134）的特性以及与所述多个设备相关联的多个事件；

使用多个规则集合（230）来分析（310）所述信息；

基于所述分析来生成（315）至少一个风险评估值，所述至少一个风险评估值标识所述多个设备的至少一个网络安全风险；以及

在用户接口（250）中显示（320）所述至少一个风险评估值。