CN109005198A - 一种控制器防攻击安全策略生成方法及系统 - Google Patents
一种控制器防攻击安全策略生成方法及系统 Download PDFInfo
- Publication number
- CN109005198A CN109005198A CN201811061671.3A CN201811061671A CN109005198A CN 109005198 A CN109005198 A CN 109005198A CN 201811061671 A CN201811061671 A CN 201811061671A CN 109005198 A CN109005198 A CN 109005198A
- Authority
- CN
- China
- Prior art keywords
- controller
- security strategy
- security
- network terminal
- attribute information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种控制器防攻击安全策略生成方法,应用于控制器,包括:解析接收到的组态工程文件中的安全配置信息,形成网络结构图;对网络结构图进行遍历,建立控制器与目标网络终端之间的联通关系;利用联通关系获取目标网络终端的属性信息;根据属性信息,生成安全策略。可见,控制器自身生成安全策略,安全防护粒度更小即安全细化程度高,进而提高控制器的安全防护可靠性,避免存在安全漏洞。而且,可以无需现有技术中的设备对控制器进行防护,减小了成本。本申请还提供一种控制器防攻击安全策略生成系统、控制器及计算机可读存储介质,均具有上述有益效果。
Description
技术领域
本申请涉及工控网络安全防护领域,特别涉及一种控制器防攻击安全策略生成方法、控制器防攻击安全策略生成系统、控制器及计算机可读存储介质。
背景技术
分布控制系统应用范围十分广泛,主要应用于钢铁、石油、化工、电力、建材、机械制造、汽车、轻纺、交通运输、环保等各个行业。分布控制系统对程序的确定性执行时间提出了严格的要求。而且在任何情况下都应保证控制器IO输入、IEC运算、IO输出周期的准确。
控制器是分布控制系统的核心,一旦遭遇故障,将会造成重大的生命财产损失。因此如何防止网络的攻击是一个必须考虑的因素。但是控制器自身网络防攻击能力比较薄弱。一个强度仅6000pps(Packet Per Second)的攻击会在几百毫秒之内就使某些控制器复位。
为了保证控制器的安全,故对控制器进行防护,大部分厂家通常在现场部署了防火墙、网管型交换机或路由器等设备,利用这些设备中的安全策略以区域为单位对控制器进行边界防御,由于每个区域有多个控制器,导致安全防护粒度大,安全防护可靠性低,容易存在安全漏洞。
因此,如何减小控制器的安全防护粒度,进而提高安全防护可靠性,避免存在安全漏洞是本领域技术人员需要解决的技术问题。
发明内容
本申请的目的是提供一种控制器防攻击安全策略生成方法、控制器防攻击安全策略生成系统、控制器及计算机可读存储介质,能够减小控制器的安全防护粒度,进而提高安全防护可靠性,避免存在安全漏洞。
为解决上述技术问题,本申请提供一种控制器防攻击安全策略生成方法,应用于控制器,包括:
解析接收到的组态工程文件中的安全配置信息,形成网络结构图;
对所述网络结构图进行遍历,建立所述控制器与目标网络终端之间的联通关系;
利用所述联通关系获取所述目标网络终端的属性信息;
根据所述属性信息,生成安全策略。
优选地,根据所述属性信息,生成安全策略之后,还包括:
运行所述组态工程文件对应的组态工程,得到运行结果;
根据所述运行结果判断是否需要更改所述安全策略;
若是,则更改所述安全策略。
优选地,根据所述属性信息,生成安全策略之后,还包括:
保存所述安全策略至非易失存储器。
优选地,所述对所述网络结构图进行遍历,建立所述控制器与目标网络终端之间的联通关系,包括:
通过DFS算法对所述网络结构图进行遍历,建立所述联通关系。
优选地,所述属性信息具体为所述目标网络终端的MAC地址信息、协议信息及端口信息中的至少一种。
优选地,根据所述属性信息,生成安全策略之后,还包括:
接收网络终端发送的通信请求;
根据所述通信请求的数据内容特征判断所述通信请求是否符合所述安全策略;
若是,则执行所述通信请求。
优选地,接收网络终端发送的通信请求之前,还包括:
对所述网络终端进行身份识别。
本申请还提供一种控制器防攻击安全策略生成系统,应用于控制器,包括:
安全配置信息解析模块,用于解析接收到的组态工程文件中的安全配置信息,形成网络结构图;
遍历模块,用于对所述网络结构图进行遍历,建立所述控制器与目标网络终端之间的联通关系;
属性信息获取模块,用于利用所述联通关系获取所述目标网络终端的属性信息;
安全策略生成模块,用于根据所述属性信息,生成安全策略。
本申请还提供一种控制器,包括:
存储器和处理器;其中,所述存储器用于存储计算机程序,所述处理器用于执行所述计算机程序时实现上述所述的控制器防攻击安全策略生成方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述所述的控制器防攻击安全策略生成方法的步骤。
本申请所提供的一种控制器防攻击安全策略生成方法,应用于控制器,包括:解析接收到的组态工程文件中的安全配置信息,形成网络结构图;对所述网络结构图进行遍历,建立所述控制器与目标网络终端之间的联通关系;利用所述联通关系获取所述目标网络终端的属性信息;根据所述属性信息,生成安全策略。
该方法中控制器通过对安全配置信息进行解析,形成网络结构图,再通过对网络结构图的遍历与目标网络终端建立联通关系,最后根据目标网络终端的属性信息,生成安全策略。可见,控制器自身生成安全策略,安全防护粒度更小即安全细化程度高,进而提高控制器的安全防护可靠性,避免存在安全漏洞,不容易被窃听或假冒。而且,可以无需现有技术中的设备对控制器进行防护,减小了成本。本申请还提供一种控制器防攻击安全策略生成系统、控制器及计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种控制器防攻击安全策略生成方法的流程图;
图2为本申请实施例所提供的控制器结构示意图;
图3为本申请实施例所提供的网络安全模块结构示意图;
图4为本申请实施例所提供的安全策略定制中心结构示意图;
图5为本申请实施例所提供的目标网络终端及对应属性信息结构示意图;
图6为本申请实施例所提供的安全策略线性表结构示意图;
图7为本申请实施例所提供的一种控制器防攻击安全策略更改方法的流程图;
图8为本申请实施例所提供的一种控制器防攻击安全策略执行流程图;
图9为本申请实施例所提供的一种控制器防攻击安全策略生成系统的结构框图。
具体实施方式
本申请的核心是提供一种控制器防攻击安全策略生成方法,能够减小控制器的安全防护粒度,进而提高安全防护可靠性,避免存在安全漏洞。本申请的另一核心是提供一种控制器防攻击安全策略生成系统、控制器及计算机可读存储介质。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有技术是利用防火墙等设备中的安全策略以区域为单位对控制器进行边界防御,由于每个区域有多个控制器,导致安全防护粒度大,安全防护可靠性低,容易存在安全漏洞。而本申请是控制器自身生成安全策略,安全防护粒度更小,安全防护可靠性更高,故本申请实施例的执行主体为控制器。具体请参考图1,图1为本申请实施例所提供的一种控制器防攻击安全策略生成方法的流程图,该控制器防攻击安全策略生成方法具体包括:
S101、解析接收到的组态工程文件中的安全配置信息,形成网络结构图
控制器提供网络安全指令库以及相应的编程接口,该接口遵循IEC61131-3编程语言标准。控制器在接收到组态工程文件后,对组态工程文件中的安全配置信息进行解析,形成网络结构图。控制器的总体结构如图2所示,图2为本申请实施例所提供的控制器结构示意图,主要包括运算控制模块和网络通信模块两大模块。其中,运算控制模块主要由IO采集模块、逻辑运算模块和IO输出模块组成,网络通信模块主要由通信协议模块和网络安全模块组成。进一步地,网络安全模块可划分为安全策略定制中心、安全策略层、安全算法层和安全策略加密硬件层,如图3所示,图3为本申请实施例所提供的网络安全模块结构示意图。其中,安全策略层主要由检测扫描模块、加解密模块和身份识别模块组成,安全算法层主要由策略规则库和密钥算法库组成,安全策略加密硬件层主要由加解密芯片和数据过滤芯片组成。如图4所示,图4为本申请实施例所提供的安全策略定制中心结构示意图,安全策略定制中心主要由动态策略配置模块、静态策略配置模块和通信策略管理模块组成,通信策略管理模块主要由过滤策略管理模块和加密策略管理模块组成。在此对安全配置信息内容不作具体限定,应由本领域技术人员根据实际情况作出相应的设定,通常安全配置信息包括各网络终端之间的关系信息、控制器和各网络终端之间的通信特征信息。此外,控制器对安全配置信息的解析过程也不作具体限定,通常为先获取安全配置信息对应的地址,再读取安全配置信息。控制器在解析安全配置信息后形成网络结构图,该网络结构图显示着控制器和网路终端之间的联通关系。在此对网路终端也不作具体限定,可以为工程师站、操作员站、服务器和控制站。
S102、对网络结构图进行遍历,建立控制器与目标网络终端之间的联通关系。
控制器在形成网络结构图后对网络结构图进行遍历,目的是为了建立与目标网络终端之间的联通关系,对于其中的遍历过程和联通关系建立过程均不作具体限定。通常控制器通过预设的算法从控制器自身开始对网络结构图进行遍历,形成该网络结构图的一棵生成树,该生成树的树根代表控制器,树干代表了控制器与目标网络终端之间的联通关系。在此对上述预设的算法不作具体限定,应由本领域技术人员根据实际情况作出相应的设定,例如可以为DFS(Depth-first search,深度优先搜索)算法,该算法能尽可能深的搜索树的分支,整个进程反复进行直到所有目标网络终端都被访问。此外,上述预设的算法还可以为BFS(Breadth-First-Search,广度优先搜索)算法,对于预设的算法的选择应根据实际需求。上述的目标网络终端为网络终端的子集,故建立控制器与目标网络终端之间的联通关系即根据实际情况选择相应的网络终端与控制器建立联通关系,目标网络终端也不作具体限定,例如可以为工程师站、操作员站。
S103、利用联通关系获取目标网络终端的属性信息。
控制器在建立与目标网络终端之间的联通关系后,利用联通关系获取目标网络终端的属性信息。在此对属性信息的具体内容不作限定,应由本领域技术人员根据实际情况作出相应的设定,通常属性信息为目标网络终端的MAC地址(Media Access Control或者Medium Access Control,物理地址),协议信息及端口信息中的至少一种,此外根据实际情况还包括一些其他的信息,例如数据标志信息。如图5所示,图5为本申请实施例所提供的目标网络终端及对应属性信息结构示意图,由图可知目标网络终端为工程师站、操作员站、服务器以及控制站,每个目标网络终端对应着各自的属性信息,例如当目标网络终端为工程师站时,属性信息包括端口A信息、协议信息和IP地址信息等。
S104、根据属性信息,生成安全策略。
控制器在获取目标网络终端的属性信息后,根据属性信息生成安全策略。在此对安全策略的内容不作具体限定,应由本领域技术人员根据实际情况作出相应的设定。此外,对安全策略的存在形式也不作具体限定,例如可以以安全策略线性表形式存在,也可以二叉树形式存在。其中,安全策略线性表如图6所示,图6为本申请实施例所提供的安全策略线性表结构示意图。由图可知,安全策略线性表由各个策略表项组成,每个策略表项是由目标网络终端的属性信息组成。例如,对于策略表项1包括的属性信息有:协议A、MAC源地址_A、MAC目标地址_A、IP源地址_A、IP目标地址_A、源端口号_A、数据标志_A、流量_A、加密算法_A。
本实施例中控制器通过对安全配置信息进行解析,形成网络结构图,再通过对网络结构图的遍历与目标网络终端建立联通关系,最后根据目标网络终端的属性信息,生成安全策略,这是安全策略的静态配置方式。可见,控制器自身生成安全策略,安全防护粒度更小即安全细化程度高,进而提高控制器的安全防护可靠性,避免存在安全漏洞,不容易被窃听或假冒。而且,可以无需现有技术中的设备对控制器进行防护,减小了成本。
基于上述实施例,本实施例中在根据属性信息,生成安全策略之后,通常还包括:运行组态工程文件对应的组态工程,得到运行结果;根据运行结果判断是否需要更改安全策略;若是,则更改安全策略;若否,可以直接结束或出现提示信息,并不对其作具体限定。将该方法用流程图表示出来如图7所示,图7为本申请实施例所提供的一种控制器防攻击安全策略更改方法的流程图。上述在控制器运行过程中更改安全策略的方式为安全策略的动态配置方式,目的是为了更改安全策略,对于其中更改安全策略的过程不作具体限定,大致过程可以为控制器运行组态文件对应的组态工程得到运行结果,根据运行结果判断是否需要更改安全策略,若需要更改,则利用预设的程序逻辑更改安全策略。具体过程可以为网络安全组态逻辑程序运行单元(POU)以二进制代码的形式下发到控制器,控制器逻辑运算模块接收到这些指令文件之后进行解析并动态加载运行。当运行到网络安全指令时,逻辑运算模块会将该指令执行请求投递到安全策略服务中心服务处理队列,安全策略服务中心会按照先来先服务算法去处理队列中的服务请求,根据请求内容增加、删除、修改安全策略线性表并使新的安全策略生效,执行完成后,向逻辑运算模块返回执行结果。
可见,控制器中安全策略的配置方式共有两种,分别为静态配置方式和动态配置方式,相比于现有技术中防火墙等设备的人为手动配置方式,本申请中的安全策略的配置更加灵活,而且配置完之后也不需重新启动才能生效,更加方便。在此对运行结果及程序逻辑的内容均不作具体限定,应由本领域技术人员根据实际情况作出相应的设定,通常运行结果的内容可以为网络终端的数量,也可为通讯网络负荷情况。例如,工程师在安全组态文件中预设了这样一种程序逻辑:当控制器通讯网络负荷高于10%时,将初始的安全策略更改为安全策略A,当控制器通讯网络负荷低于10%时,将初始的安全策略更改为安全策略B。可见,控制器在运行过程中,可以自动分析、判断网络环境,进而更改为与之相适应的安全策略。
基于上述实施例,本实施例中在根据属性信息,生成安全策略之后,通常还包括:保存安全策略至非易失存储器。将安全策略保存至非易失存储器的好处在于即使断电了,安全策略也不会消失。在此对非易失存储器的类型也不作具体限定,应由本领域技术人员根据实际情况进行相应的设定,通常为只读存储器(Read-OnlyMemory,ROM),也可为快闪存储器(flash memory)。
基于上述任意实施例,本实施例中在根据属性信息,生成安全策略之后,如图8所示,图8为本申请实施例所提供的一种控制器防攻击安全策略执行流程图,通常还包括:接收网络终端发送的通信请求;其中,网络终端包括目标网络终端;根据通信请求的数据内容特征判断通信请求是否符合安全策略;若符合安全策略,则执行通信请求。若不符合安全策略,则执行相应的操作,在此不作具体限定,可以丢弃数据,再次接收网络终端发送的通信请求。在此对通信请求的数据内容特征的内容不作具体限定,应由本领域技术人员根据实际情况作出相应的设定,通常该数据内容特征的内容包括端口号、协议以及MAC地址。本申请实施例中,安全策略的执行主要由协议栈软件和数据过滤芯片共同配合完成,当然也可将过滤芯片去掉,通过软件来实现数据过滤芯片的功能。这种替代方案可以降低硬件设计的复杂度,也可降低控制器生产成本。
进一步地,本实施例中在接收网络终端发送的通信请求之前,通常还包括:对网络终端进行身份识别。下装到控制器的组态工程文件包含访问控制站的三种身份秘钥。这三种身份分别是:监视员、操作员、工程师;每种身份对应着不同的秘钥,该秘钥保存在组态工程文件之中。控制站接收网络终端发送的通信请求之前,首先要通过秘钥进行身份识别,权限审核。这三种身份对应的权限如下:监视员具备监视权限,无权修改工程数据,无修改工程权限;操作员具备监视权限,修改工程数据权限,无修改工程权限;工程师具备监视权限,修改工程数据权限,修改该工程权限。
下面对本申请实施例提供的一种控制器防攻击安全策略生成系统、控制器及计算机可读存储介质进行介绍,下文描述的控制器防攻击安全策略生成系统、控制器及计算机可读存储介质与上文描述的控制器防攻击安全策略生成方法可相互对应参照。
请参考图9,图9为本申请实施例所提供的一种控制器防攻击安全策略生成系统的结构框图;该控制器防攻击安全策略生成系统包括:
安全配置信息解析模块901,用于解析接收到的组态工程文件中的安全配置信息,形成网络结构图;
遍历模块902,用于对网络结构图进行遍历,建立控制器与目标网络终端之间的联通关系;
属性信息获取模块903,用于利用联通关系获取目标网络终端的属性信息;
安全策略生成模块904,用于根据属性信息,生成安全策略。
基于上述实施例,该控制器防攻击安全策略生成系统通常还包括:
运行模块,用于运行组态工程文件对应的组态工程,得到运行结果;
安全策略更改判断模块,用于根据运行结果判断是否需要更改安全策略;
安全策略更改模块,用于若需要更改安全策略,则更改安全策略。
基于上述实施例,该控制器防攻击安全策略生成系统通常还包括:
保存模块,用于保存安全策略至非易失存储器。
基于上述实施例,该控制器防攻击安全策略生成系统通常还包括:
通信请求接收模块,用于接收网络终端发送的通信请求;
安全策略符合判断模块,用于根据通信请求的数据内容特征判断通信请求是否符合安全策略;
通信请求执行模块,用于若通信请求符合安全策略,则执行通信请求。
基于上述实施例,该控制器防攻击安全策略生成系统通常还包括:
身份识别模块,用于对网络终端进行身份识别。
本申请还提供一种控制器,包括:
存储器和处理器;其中,存储器用于存储计算机程序,处理器用于执行计算机程序时实现上述任意实施例的控制器防攻击安全策略生成方法的步骤。
本申请还提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的控制器防攻击安全策略生成方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例提供的系统而言,由于其与实施例提供的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种控制器防攻击安全策略生成方法、控制器防攻击安全策略生成系统、控制器以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种控制器防攻击安全策略生成方法,应用于控制器,其特征在于,包括:
解析接收到的组态工程文件中的安全配置信息,形成网络结构图;
对所述网络结构图进行遍历,建立所述控制器与目标网络终端之间的联通关系;
利用所述联通关系获取所述目标网络终端的属性信息;
根据所述属性信息,生成安全策略。
2.根据权利要求1所述的控制器防攻击安全策略生成方法,其特征在于,根据所述属性信息,生成安全策略之后,还包括:
运行所述组态工程文件对应的组态工程,得到运行结果;
根据所述运行结果判断是否需要更改所述安全策略;
若是,则更改所述安全策略。
3.根据权利要求1所述的控制器防攻击安全策略生成方法,其特征在于,根据所述属性信息,生成安全策略之后,还包括:
保存所述安全策略至非易失存储器。
4.根据权利要求1所述的控制器防攻击安全策略生成方法,其特征在于,所述对所述网络结构图进行遍历,建立所述控制器与目标网络终端之间的联通关系,包括:
通过DFS算法对所述网络结构图进行遍历,建立所述联通关系。
5.根据权利要求1所述的控制器防攻击安全策略生成方法,其特征在于,所述属性信息具体为所述目标网络终端的MAC地址信息、协议信息及端口信息中的至少一种。
6.根据权利要求1至5任一项所述的控制器防攻击安全策略生成方法,其特征在于,根据所述属性信息,生成安全策略之后,还包括:
接收网络终端发送的通信请求;
根据所述通信请求的数据内容特征判断所述通信请求是否符合所述安全策略;
若是,则执行所述通信请求。
7.根据权利要求6所述的控制器防攻击安全策略生成方法,其特征在于,接收网络终端发送的通信请求之前,还包括:
对所述网络终端进行身份识别。
8.一种控制器防攻击安全策略生成系统,应用于控制器,其特征在于,包括:
安全配置信息解析模块,用于解析接收到的组态工程文件中的安全配置信息,形成网络结构图;
遍历模块,用于对所述网络结构图进行遍历,建立所述控制器与目标网络终端之间的联通关系;
属性信息获取模块,用于利用所述联通关系获取所述目标网络终端的属性信息;
安全策略生成模块,用于根据所述属性信息,生成安全策略。
9.一种控制器,其特征在于,包括:
存储器和处理器;其中,所述存储器用于存储计算机程序,所述处理器用于执行所述计算机程序时实现如权利要求1至7任一项所述的控制器防攻击安全策略生成方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的控制器防攻击安全策略生成方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811061671.3A CN109005198B (zh) | 2018-09-12 | 2018-09-12 | 一种控制器防攻击安全策略生成方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811061671.3A CN109005198B (zh) | 2018-09-12 | 2018-09-12 | 一种控制器防攻击安全策略生成方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109005198A true CN109005198A (zh) | 2018-12-14 |
| CN109005198B CN109005198B (zh) | 2021-06-11 |
Family
ID=64591108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811061671.3A Active CN109005198B (zh) | 2018-09-12 | 2018-09-12 | 一种控制器防攻击安全策略生成方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109005198B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
| CN111131477A (zh) * | 2019-12-28 | 2020-05-08 | 杭州和利时自动化有限公司 | 一种数据处理方法、装置及设备 |
| CN113179252A (zh) * | 2021-03-30 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
| CN113194105A (zh) * | 2021-07-01 | 2021-07-30 | 智道网联科技(北京)有限公司 | 车载设备的网络安全防护方法、装置、电子设备及介质 |
| CN113726813A (zh) * | 2021-09-09 | 2021-11-30 | 海尔数字科技(青岛)有限公司 | 网络安全配置方法、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006067973A1 (ja) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | アクセス制御装置 |
| CN101216696A (zh) * | 2008-01-03 | 2008-07-09 | 浙江中控技术股份有限公司 | 控制系统组态的增量式在线下载方法 |
| CN101853165A (zh) * | 2010-06-01 | 2010-10-06 | 杭州和利时自动化有限公司 | 一种用于组态软件中库的管理方法及系统 |
| CN102608947A (zh) * | 2012-03-23 | 2012-07-25 | 浙江大学 | 一种可编程控制系统及组态程序控制方法 |
| CN103376766A (zh) * | 2012-04-30 | 2013-10-30 | 通用电气公司 | 用于工业控制器的安全工作的系统和方法 |
| CN107544470A (zh) * | 2017-09-29 | 2018-01-05 | 杭州安恒信息技术有限公司 | 一种基于白名单的控制器防护技术 |
| CN107844099A (zh) * | 2016-09-18 | 2018-03-27 | 南京南瑞继保电气有限公司 | 一种基于元数据模型的功能块图在线调试方法 |
-
2018
- 2018-09-12 CN CN201811061671.3A patent/CN109005198B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006067973A1 (ja) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | アクセス制御装置 |
| CN101216696A (zh) * | 2008-01-03 | 2008-07-09 | 浙江中控技术股份有限公司 | 控制系统组态的增量式在线下载方法 |
| CN101853165A (zh) * | 2010-06-01 | 2010-10-06 | 杭州和利时自动化有限公司 | 一种用于组态软件中库的管理方法及系统 |
| CN102608947A (zh) * | 2012-03-23 | 2012-07-25 | 浙江大学 | 一种可编程控制系统及组态程序控制方法 |
| CN103376766A (zh) * | 2012-04-30 | 2013-10-30 | 通用电气公司 | 用于工业控制器的安全工作的系统和方法 |
| CN107844099A (zh) * | 2016-09-18 | 2018-03-27 | 南京南瑞继保电气有限公司 | 一种基于元数据模型的功能块图在线调试方法 |
| CN107544470A (zh) * | 2017-09-29 | 2018-01-05 | 杭州安恒信息技术有限公司 | 一种基于白名单的控制器防护技术 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
| CN110535748B (zh) * | 2019-09-09 | 2021-03-26 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
| CN111131477A (zh) * | 2019-12-28 | 2020-05-08 | 杭州和利时自动化有限公司 | 一种数据处理方法、装置及设备 |
| CN111131477B (zh) * | 2019-12-28 | 2022-01-11 | 杭州和利时自动化有限公司 | 一种数据处理方法、装置及设备 |
| CN113179252A (zh) * | 2021-03-30 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
| CN113179252B (zh) * | 2021-03-30 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
| CN113194105A (zh) * | 2021-07-01 | 2021-07-30 | 智道网联科技(北京)有限公司 | 车载设备的网络安全防护方法、装置、电子设备及介质 |
| CN113194105B (zh) * | 2021-07-01 | 2021-10-29 | 智道网联科技(北京)有限公司 | 车载设备的网络安全防护方法、装置、电子设备及介质 |
| CN113726813A (zh) * | 2021-09-09 | 2021-11-30 | 海尔数字科技(青岛)有限公司 | 网络安全配置方法、设备及存储介质 |
| CN113726813B (zh) * | 2021-09-09 | 2023-08-15 | 海尔数字科技(青岛)有限公司 | 网络安全配置方法、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109005198B (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109005198A (zh) | 一种控制器防攻击安全策略生成方法及系统 | |
| US10601666B2 (en) | Network functions virtualization management and orchestration policy descriptor management method and apparatus | |
| CN111049695A (zh) | 云网关配置方法和系统 | |
| CN106034054B (zh) | 冗余访问控制列表acl规则文件检测方法和装置 | |
| CN104639650A (zh) | 一种细粒度分布式接口访问控制方法及装置 | |
| CN107465650A (zh) | 一种访问控制方法及装置 | |
| US20230336421A1 (en) | Virtualized Network Functions | |
| EP3211851B1 (en) | Method for accessing switch external memory | |
| CN105739956A (zh) | 计算机系统的构建智能规则模型的方法及系统 | |
| CN110390184A (zh) | 用于在云中执行应用的方法、装置和计算机程序产品 | |
| CN101047701B (zh) | 保证应用程序安全运行的系统和方法 | |
| CN110889132A (zh) | 分布式应用权限校验方法及装置 | |
| CN114357498A (zh) | 一种数据脱敏方法及装置 | |
| CN104079437B (zh) | 实现权限管理控制的方法及终端 | |
| CN117150534B (zh) | 基于权限管理的可信dcs上位机应用访问控制方法及系统 | |
| CN109858285B (zh) | 区块链数据的处理方法、装置、设备和介质 | |
| CN102377589B (zh) | 实现权限管理控制的方法及终端 | |
| CN105447384B (zh) | 一种反监控的方法、系统及移动终端 | |
| CN113010897A (zh) | 云计算安全管理方法及其系统 | |
| CN110011971B (zh) | 一种网络安全策略的手动配置方法 | |
| CN105988785A (zh) | 一种rpc服务开发方法及装置 | |
| CN112651039A (zh) | 一种融合业务场景的电力数据差异化脱敏方法及装置 | |
| CN106357704A (zh) | 一种基于开发环境的服务调用方法及装置 | |
| CN115941171A (zh) | 网络密钥交换协商方法、装置及网络设备 | |
| CN113285952B (zh) | 网络漏洞封堵方法、装置、存储介质及处理器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |