CN110008706B - 主机安全状态管理方法、装置及终端设备 - Google Patents
主机安全状态管理方法、装置及终端设备 Download PDFInfo
- Publication number
- CN110008706B CN110008706B CN201910164291.0A CN201910164291A CN110008706B CN 110008706 B CN110008706 B CN 110008706B CN 201910164291 A CN201910164291 A CN 201910164291A CN 110008706 B CN110008706 B CN 110008706B
- Authority
- CN
- China
- Prior art keywords
- host
- data
- safety
- safety state
- state evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明适用于工业控制技术领域,提供了主机安全状态管理方法、装置、终端设备及计算机可读存储介质,包括:获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息;根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。通过上述方法,能够有效减少了运维人员的工作量,降低了工业企业的人力成本。
Description
技术领域
本发明属于工业控制技术领域,尤其涉及一种主机安全状态管理方法、装置、终端设备及计算机可读存储介质。
背景技术
随着国家对于信息安全的日益重视,在“没有网络安全,就没有国家安全”的大前提下,工业企业已经逐渐意识到工业控制系统信息安全的重要性。一般工业控制系统包括许多的主机,现有技术中,运维人员需要根据各个主机在工业控制系统的重要性,确定需要重点维护的主机,采集需要重点维护的主机的安全信息,从而人为判定主机的安全状态,这造成运维人员巨大的工作量,导致工业企业所付出的人力成本过高。
发明内容
有鉴于此,本发明实施例提供了一种主机安全状态管理方法、装置、终端设备及计算机可读存储介质,以解决现有技术运维人员维护工业控制系统中主机的工作量大,导致工业企业付出的人力成本过高的问题。
本发明实施例的第一方面提供了一种主机安全状态管理方法,包括:
获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息;
根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。
本发明实施例的第二方面提供了一种主机安全状态管理装置,包括:
运行数据获取单元,用于获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息;
安全状态评估数据获取单元,用于根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。
本发明实施例的第三方面提供了一种终端设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如所述主机安全状态管理方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如所述主机安全状态管理方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:通过获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息,再根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。由于能够根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据,不需要运维人员去采集工业控制系统中主机的安全信息,也不需要运维人员根据安全信息去判断主机的安全状态,有效减少了运维人员的工作量,降低了工业企业的人力成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的第一种主机安全状态管理方法的流程示意图;
图2是本发明实施例提供的第二种主机安全状态管理方法的流程示意图;
图3是本发明实施例提供的一种主机安全状态管理装置的结构示意图;
图4是本发明实施例提供的终端设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
具体实现中,本申请实施例中描述的移动终端包括但不限于诸如具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是,在某些实施例中,上述设备并非便携式通信设备,而是具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的台式计算机。
在接下来的讨论中,描述了包括显示器和触摸敏感表面的移动终端。然而,应当理解的是,移动终端可以包括诸如物理键盘、鼠标和/或控制杆的一个或多个其它物理用户接口设备。
移动终端支持各种应用程序,例如以下中的一个或多个:绘图应用程序、演示应用程序、文字处理应用程序、网站创建应用程序、盘刻录应用程序、电子表格应用程序、游戏应用程序、电话应用程序、视频会议应用程序、电子邮件应用程序、即时消息收发应用程序、锻炼支持应用程序、照片管理应用程序、数码相机应用程序、数字摄影机应用程序、web浏览应用程序、数字音乐播放器应用程序和/或数字视频播放器应用程序。
可以在移动终端上执行的各种应用程序可以使用诸如触摸敏感表面的至少一个公共物理用户接口设备。可以在应用程序之间和/或相应应用程序内调整和/或改变触摸敏感表面的一个或多个功能以及终端上显示的相应信息。这样,终端的公共物理架构(例如,触摸敏感表面)可以支持具有对用户而言直观且透明的用户界面的各种应用程序。
实施例一:
图1示出了本申请实施例提供的第一种主机安全状态管理方法的流程示意图,详述如下:
步骤S11,获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息。
所述工业控制系统的主机包括:运行数据采集与监视控制(Supervisory ControlAnd Data Acquisition,SCADA)软件的主机,或/和常规主机,或/和可编程逻辑控制器(Programmable Logic Controller,PLC)代理主机,所述常规主机表示工业控制系统中既不运行SCADA软件,又不是PLC代理主机的主机。
可选地,所述运行数据还包括:所述主机的主机资源使用信息,所述主机资源使用信息包括:中央处理器(Central Processing Unit,CPU)使用信息、内存使用信息、硬盘使用信息,所述内存使用信息包括内存使用率,所述硬盘使用信息包括硬盘使用率。
可选地,若所述工业控制系统的主机包括运行SCADA软件的主机,则所述步骤S11包括:通过安装在所述运行SCADA软件的主机上的SCADA插件,获取SCADA软件运行信息或/和所述运行SCADA软件的主机的主机资源使用信息。
可选地,若所述工业控制系统的主机包括PLC代理主机,则所述步骤S11包括:通过安装在PLC代理主机上的PLC插件,获取所述PLC代理主机的日志信息或/和所述PLC代理主机的主机资源使用信息。
可选地,若所述工业控制系统的主机包括常规主机,则所述步骤S11包括:通过安装在所述常规主机上的个人计算机(personal computer,PC)插件,获取所述常规主机的主机资源使用信息或/和所述常规主机的日志信息或/和所述常规主机的协议开放信息。
可选地,所述步骤S11包括:获取工业控制系统中处于安全基线内的主机的运行数据,所述处于安全基线内的主机包括工业控制系统中实现指定功能的主机。
所述安全基线表示保持工业控制系统安全的机密性、完整性、可用性的最基本的安全要求。
由于能获取工业控制系统中处于安全基线内的主机的运行数据,既有效地保证了工业控制系统的安全,又提高了工业控制系统的安全核查效率。
步骤S12,根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。
可选地,在所述步骤S12之前,包括:根据所述运行数据的内容确定所述运行数据对应的标识位;将所述运行数据处理成具有所述标识位的运行数据;对应地,所述步骤S12具体为:根据所述运行数据的标识位和所述预设运行数据分析规则,确定所述运行数据对应的安全状态分析程序,所述预设运行数据分析规则包括不同的标识位对应不同的安全状态分析程序,所述安全状态分析程序包括:SCADA软件运行信息标识位对应的安全状态分析程序,或/和协议开放信息标识位对应的安全状态分析程序,或/和日志信息标识位对应的安全状态分析程序;根据所述运行数据和所述运行数据对应的安全状态分析程序,获取所述主机的安全状态评估数据。
可选地,所述安全状态分析程序还可包括:主机资源使用信息标识位对应的安全状态分析程序。
所述安全状态评估数据包括:所述安全状态评估数据对应的主机的网际协议地址,或/和安全问题,或/和安全问题发生的具体原因,或/和安全状态评估分数,或/和安全状态评估等级。
可选地,若所述运行数据对应的标识位包括两个或者两个以上不同的标识位,且至少有两个不同的标识位对应同一台主机,则将对应至少有两个不同的标识位的主机确定为多标识位主机,对应地,所述根据所述运行数据和所述运行数据对应的安全状态分析程序,获取所述主机的安全状态评估数据包括:根据所述运行数据和所述运行数据对应的安全状态分析程序,获取所述多标识位主机的每个标识位对应的安全状态评估局部数据,根据所有所述安全状态评估局部数据和预设局部数据融合规则,获取所有所述安全状态评估局部数据融合后的数据,将所述融合后的数据作为所述多标识位主机的安全状态评估数据。
可选地,所述将所述运行数据处理成具有所述标识位的运行数据,包括:将所述运行数据处理成具有所述标识位的系统日志报文,所述系统日志报文的数据类型为字符串,所述标识位位于所述系统日志报文对应的字符串的首位。
可选地,在所述将所述运行数据处理成具有所述标识位的运行数据之后,包括:将所述运行数据存入数据库。
由于能够将所述运行数据存入数据库,防止所述运行数据丢失,便于后期对历史运行数据的分析。
可选地,所述标识位包括:SCADA软件运行信息标识位或/和协议开放信息标识位或/和日志信息标识位或/和主机资源使用信息标识位。
例如,假设所述运行数据包括:常规主机A的协议开放信息、所述PLC代理主机B的日志信息以及所述PLC代理主机B的主机资源使用信息,根据所述运行数据的内容,确定所述常规主机A的协议开放信息对应的标识位为协议开放信息标识位,所述PLC代理主机B的日志信息对应的标识位为日志信息标识位,所述PLC代理主机B的主机资源使用信息对应的标识位为主机资源使用信息标识位,根据所述协议开放信息标识位、日志信息标识位、主机资源使用信息标识位和所述预设运行数据分析规则,确定所述运行数据对应的安全状态分析程序包括:所述协议开放信息标识位对应的安全状态分析程序、所述日志信息标识位对应的安全状态分析程序、所述主机资源使用信息标识位对应的安全状态分析程序。以所述协议开放信息标识位对应的安全状态分析程序处理所述协议开放信息的过程为例,通过所述协议开放信息标识位对应的安全状态分析程序提取所述协议开放信息标识位对应的协议开放信息,假设所述协议开放信息为:常规主机A开放了远程终端协议(TELNET)协议,没有开放安全外壳协议(Secure Shell,SSH)协议,根据提取后的协议开放信息,获取安全问题发生的具体原因和安全状态评估分数。所述日志信息标识位对应的安全状态分析程序处理所述日志信息、所述主机资源使用信息标识位对应的安全状态分析程序处理所述主机资源使用信息的过程以此类推。
可选地,在所述步骤S12之后,包括:接收安全状态评估数据查看指令;根据所述安全状态评估数据查看指令,发送所述安全状态评估数据至第二客户端,所述第二客户端包括:发送安全状态评估数据查看指令的客户端。
具体地,接收安全状态评估数据查看指令,根据所述安全状态评估数据查看指令获取第二客户端的互联网协议地址,根据所述第二客户端的互联网协议地址,将所述安全状态评估数据发送至所述第二客户端。
可选地,在所述步骤S12之后,包括:根据所述安全状态评估数据获取主机维护建议。
可选地,所述根据所述安全状态评估数据获取主机维护建议包括:根据所述安全状态评估数据获取主机危险问题码,根据所述主机危险问题码获取所述主机危险问题码对应的主机维护建议。
由于能根据所述安全状态评估数据获取主机维护建议,减少运维人员排除安全问题的时间,同时无需运维人员掌握非常专业的知识,降低了运维人员的主机安全维护方面的知识储备门槛,减少了工业企业的人力成本。
本发明实施例中,通过获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息,再根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。由于能够根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据,不需要运维人员去采集工业控制系统中主机的安全信息,也不需要运维人员根据安全信息去判断主机的安全状态,有效减少了运维人员的工作量,降低了工业企业的人力成本。
实施例二:
图2示出了本申请实施例提供的第二种主机安全状态管理方法的流程示意图,本实施例的步骤S22与实施例一的步骤S11相同,此处不再赘述:
步骤S21,获取工业控制系统中处于安全基线内的主机的运行数据,所述处于安全基线内的主机包括工业控制系统中实现指定功能的主机。
可选地,在所述步骤S21之前,扫描整个工业控制系统,确定所述工业控制系统中存活的主机;根据所述存活的主机的功能确定安全基线;根据所述安全基线确定处于所述安全基线内的主机。
可选地,所述扫描整个工业控制系统,确定所述工业控制系统中存活的主机包括:发送探测包至整个工业控制系统的所有主机,将对所述探测包做出回应的主机确定为所述工业控制系统中存活的主机。
可选地,在所述将对所述探测包做出回应的主机确定为所述工业控制系统中存活的主机之后,发送主机属性获取指令至所述存活的主机,若所述存活的主机包括属性不能被获取的存活的主机,则配置所述属性不能被获取的存活的主机的属性。
由于能够配置所述属性不能被获取的存活的主机的属性,便于监控所述属性不能被获取的存活的主机。
可选地,所述根据所述存活的主机的功能确定安全基线包括:根据所述存活的主机的功能确定所述存活的主机对应的安全性优先级,根据所述安全性优先级确定安全基线。
步骤S22,根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。
步骤S23,根据安全状态评估数据获取主机维护建议。
可选地,在所述步骤S23之后,包括:发送所述主机维护建议对应的维护指令至所述主机,以实现所述主机的维护,或者/且根据主机维护建议查看指令将所述主机维护建议发送至第一客户端,所述第一客户端包括:发送主机维护建议查看指令的客户端。
可选地,所述发送所述主机维护建议对应的维护指令至所述主机包括:获取所述主机的互联网协议地址号,根据所述主机的互联网协议地址号,将所述主机维护建议对应的维护指令发送至所述主机。
本发明实施例中,通过获取工业控制系统中处于安全基线内的主机的运行数据,所述处于安全基线内的主机包括工业控制系统中实现指定功能的主机,根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据,再根据安全状态评估数据获取主机维护建议。由于能够获取所述主机的安全状态评估数据,再根据安全状态评估数据获取主机维护建议,便于需要维护的主机进行自我维护,或/且便于运维人员有目的性、针对性地对需要维护的主机采取维护措施,有效减少了运维人员的工作量,降低了工业企业的人力成本。
实施例三:
与上述实施例一、实施例二对应,图3示出了本申请实施例提供的一种主机安全状态管理装置的结构示意图,为了便于说明,仅示出了与本申请实施例相关的部分。
该主机安全状态管理装置包括:运行数据获取单元31、安全状态评估数据获取单元32。
运行数据获取单元31,用于获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息。
可选地,所述运行数据还包括:所述主机的主机资源使用信息,所述主机资源使用信息包括:中央处理器(Central Processing Unit,CPU)使用信息、内存使用信息、硬盘使用信息,所述内存使用信息包括内存使用率,所述硬盘使用信息包括硬盘使用率。
可选地,若所述工业控制系统的主机包括运行SCADA软件的主机,则运行数据获取单元31用于:通过安装在所述运行SCADA软件的主机上的SCADA插件,获取SCADA软件运行信息或/和所述运行SCADA软件的主机的主机资源使用信息。
可选地,若所述工业控制系统的主机包括PLC代理主机,则运行数据获取单元31用于:通过安装在PLC代理主机上的PLC插件,获取所述PLC代理主机的日志信息或/和所述PLC代理主机的主机资源使用信息。
可选地,若所述工业控制系统的主机包括常规主机,则运行数据获取单元31用于:通过安装在所述常规主机上的个人计算机(personal computer,PC)插件,获取所述常规主机的主机资源使用信息或/和所述常规主机的日志信息或/和所述常规主机的协议开放信息。
可选地,运行数据获取单元31用于:获取工业控制系统中处于安全基线内的主机的运行数据,所述处于安全基线内的主机包括工业控制系统中实现指定功能的主机。
所述安全基线表示保持工业控制系统安全的机密性、完整性、可用性的最基本的安全要求。
由于运行数据获取单元31能获取工业控制系统中处于安全基线内的主机的运行数据,既有效地保证了工业控制系统的安全,又提高了工业控制系统的安全核查效率。
可选地,该主机安全状态管理装置还包括:安全基线内的主机确定单元。
所述安全基线内的主机确定单元用于:在运行数据获取单元31执行所述获取工业控制系统中处于安全基线内的主机的运行数据之前,扫描整个工业控制系统,确定所述工业控制系统中存活的主机;根据所述存活的主机的功能确定安全基线;根据所述安全基线确定处于所述安全基线内的主机。
可选地,所述扫描整个工业控制系统,确定所述工业控制系统中存活的主机包括:发送探测包至整个工业控制系统的所有主机,将对所述探测包做出回应的主机确定为所述工业控制系统中存活的主机。
可选地,该主机安全状态管理装置还包括:属性配置单元。
所述属性配置单元,用于在所述安全基线内的主机确定单元执行所述将对所述探测包做出回应的主机确定为所述工业控制系统中存活的主机之后,发送主机属性获取指令至所述存活的主机,若所述存活的主机包括属性不能被获取的存活的主机,则配置所述属性不能被获取的存活的主机的属性。
由于属性配置单元能够配置所述属性不能被获取的存活的主机的属性,便于监控所述属性不能被获取的存活的主机。
安全状态评估数据获取单元32,用于根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。
可选地,该主机安全状态管理装置还包括:标识位处理单元。
所述标识位处理单元用于:在安全状态评估数据获取单元32执行所述根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据之前,根据所述运行数据的内容确定所述运行数据对应的标识位;将所述运行数据处理成具有所述标识位的运行数据。对应地,安全状态评估数据获取单元32具体用于:根据所述运行数据的标识位和所述预设运行数据分析规则,确定所述运行数据对应的安全状态分析程序,所述预设运行数据分析规则包括不同的标识位对应不同的安全状态分析程序,所述安全状态分析程序包括:SCADA软件运行信息标识位对应的安全状态分析程序,或/和协议开放信息标识位对应的安全状态分析程序,或/和日志信息标识位对应的安全状态分析程序;根据所述运行数据和所述运行数据对应的安全状态分析程序,获取所述主机的安全状态评估数据。
可选地,所述安全状态分析程序还可包括:主机资源使用信息标识位对应的安全状态分析程序。
所述安全状态评估数据包括:所述安全状态评估数据对应的主机的网际协议地址,或/和安全问题,或/和安全问题发生的具体原因,或/和安全状态评估分数,或/和安全状态评估等级。
可选地,若所述运行数据对应的标识位包括两个或者两个以上不同的标识位,且至少有两个不同的标识位对应同一台主机,则将对应至少有两个不同的标识位的主机确定为多标识位主机,对应地,所述根据所述运行数据和所述运行数据对应的安全状态分析程序,获取所述主机的安全状态评估数据包括:根据所述运行数据和所述运行数据对应的安全状态分析程序,获取所述多标识位主机的每个标识位对应的安全状态评估局部数据,根据所有所述安全状态评估局部数据和预设局部数据融合规则,获取所有所述安全状态评估局部数据融合后的数据,将所述融合后的数据作为所述多标识位主机的安全状态评估数据。
可选地,所述将所述运行数据处理成具有所述标识位的运行数据,包括:将所述运行数据处理成具有所述标识位的系统日志报文,所述系统日志报文的数据类型为字符串,所述标识位位于所述系统日志报文对应的字符串的首位。
可选地,所述标识位处理单元还可用于:在所述将所述运行数据处理成具有所述标识位的运行数据之后,将所述运行数据存入数据库。
由于所述标识位处理单元能够将所述运行数据存入数据库,防止所述运行数据丢失,便于后期对历史运行数据的分析。
可选地,所述标识位包括:SCADA软件运行信息标识位或/和协议开放信息标识位或/和日志信息标识位或/和主机资源使用信息标识位。
可选地,该主机安全状态管理装置还包括:安全状态评估数据查看单元。
所述安全状态评估数据查看单元,用于接收安全状态评估数据查看指令;根据所述安全状态评估数据查看指令,发送所述安全状态评估数据至第二客户端,所述第二客户端包括:发送安全状态评估数据查看指令的客户端。
可选地,该主机安全状态管理装置还包括:主机维护建议获取单元。
所述主机维护建议获取单元,用于根据所述安全状态评估数据获取主机维护建议。
可选地,所述根据所述安全状态评估数据获取主机维护建议包括:根据所述安全状态评估数据获取主机危险问题码,根据所述主机危险问题码获取所述主机危险问题码对应的主机维护建议。
由于所述主机维护建议获取单元能根据所述安全状态评估数据获取主机维护建议,减少运维人员排除安全问题的时间,同时无需运维人员掌握非常专业的知识,降低了运维人员的主机安全维护方面的知识储备门槛,减少了工业企业的人力成本。
可选地,该主机安全状态管理装置还包括:主机维护建议查看单元。
所述主机维护建议查看单元,用于在主机维护建议获取单元执行所述根据所述安全状态评估数据获取主机维护建议之后,发送所述主机维护建议对应的维护指令至所述主机,以实现所述主机的维护,或者/且根据主机维护建议查看指令将所述主机维护建议发送至第一客户端,所述第一客户端包括:发送主机维护建议查看指令的客户端。
可选地,所述发送所述主机维护建议对应的维护指令至所述主机包括:获取所述主机的互联网协议地址号,根据所述主机的互联网协议地址号,将所述主机维护建议对应的维护指令发送至所述主机。
本发明实施例中,通过获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息;根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。由于能够根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据,不需要运维人员去采集工业控制系统中主机的安全信息,也不需要运维人员根据安全信息去判断主机的安全状态,有效减少了运维人员的工作量,降低了工业企业的人力成本。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
实施例四:
图4是本发明一实施例提供的终端设备的示意图。如图4所示,该实施例的终端设备4包括:处理器40、存储器41以及存储在所述存储器41中并可在所述处理器40上运行的计算机程序42。所述处理器40执行所述计算机程序42时实现上述各个主机安全状态管理方法实施例中的步骤,例如图1所示的步骤S11至S12。或者,所述处理器40执行所述计算机程序42时实现上述各装置实施例中各单元的功能,例如图3所示单元31至32的功能。
示例性的,所述计算机程序42可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器41中,并由所述处理器40执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序42在所述终端设备4中的执行过程。例如,所述计算机程序42可以被分割成运行数据获取单元、安全状态评估数据获取单元,各单元具体功能如下:
运行数据获取单元,用于获取工业控制系统中主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和所述主机的协议开放信息或/和所述主机的日志信息。
安全状态评估数据获取单元,用于根据所述运行数据和预设运行数据分析规则,获取所述主机的安全状态评估数据。
所述终端设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图4仅仅是终端设备4的示例,并不构成对终端设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器40可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41可以是所述终端设备4的内部存储单元,例如终端设备4的硬盘或内存。所述存储器41也可以是所述终端设备4的外部存储设备,例如所述终端设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述终端设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (8)
1.一种主机安全状态管理方法,其特征在于,包括:
发送探测包至整个工业控制系统的所有主机,将对所述探测包做出回应的主机确定为所述工业控制系统中存活的主机;
根据所述存活的主机的功能确定安全基线;
根据所述安全基线确定处于所述安全基线内的主机,处于所述安全基线内的主机包括所述工业控制系统中实现指定功能的主机;
获取处于所述安全基线内的主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和协议开放信息或/和日志信息;
根据所述运行数据的内容确定所述运行数据对应的标识位,将所述运行数据处理成具有所述标识位的运行数据;
根据所述运行数据和预设运行数据分析规则,获取处于所述安全基线内的主机的安全状态评估数据,所述根据所述运行数据和预设运行数据分析规则,获取处于所述安全基线内的主机的安全状态评估数据具体为:根据所述运行数据的标识位和所述预设运行数据分析规则,确定所述运行数据对应的安全状态分析程序,若所述运行数据对应的标识位包括两个或者两个以上不同的标识位,且至少有两个不同的标识位对应同一台主机,则将对应至少有两个不同的标识位的主机确定为多标识位主机,根据所述运行数据和所述运行数据对应的安全状态分析程序,获取所述多标识位主机的每个标识位对应的安全状态评估局部数据,根据所有所述安全状态评估局部数据和预设局部数据融合规则,获取所有所述安全状态评估局部数据融合后的数据,将所述融合后的数据作为所述多标识位主机的安全状态评估数据,所述安全状态评估数据包括:所述安全状态评估数据对应的主机的网际协议地址,或/和安全状态评估分数,或/和安全状态评估等级。
2.如权利要求1所述的主机安全状态管理方法,其特征在于,所述预设运行数据分析规则包括不同的标识位对应不同的安全状态分析程序,所述安全状态分析程序包括:SCADA软件运行信息标识位对应的安全状态分析程序,或/和协议开放信息标识位对应的安全状态分析程序,或/和日志信息标识位对应的安全状态分析程序。
3.如权利要求1所述的主机安全状态管理方法,其特征在于,在所述根据所述运行数据和预设运行数据分析规则,获取处于所述安全基线内的主机的安全状态评估数据之后,包括:
根据所述安全状态评估数据获取主机维护建议。
4.如权利要求3所述的主机安全状态管理方法,其特征在于,在所述根据安全状态评估数据获取主机维护建议之后,包括:
发送所述主机维护建议对应的维护指令至处于所述安全基线内的主机,以实现处于所述安全基线内的主机的维护,或者/且根据主机维护建议查看指令将所述主机维护建议发送至第一客户端,所述第一客户端包括:发送主机维护建议查看指令的客户端。
5.如权利要求1所述的主机安全状态管理方法,其特征在于,在所述根据所述运行数据和预设运行数据分析规则,获取处于所述安全基线内的主机的安全状态评估数据之后,包括:
接收安全状态评估数据查看指令;
根据所述安全状态评估数据查看指令,发送所述安全状态评估数据至第二客户端,所述第二客户端包括:发送安全状态评估数据查看指令的客户端。
6.一种主机安全状态管理装置,其特征在于,包括:
安全基线内的主机确定单元,用于发送探测包至整个工业控制系统的所有主机,将对所述探测包做出回应的主机确定为所述工业控制系统中存活的主机,根据所述存活的主机的功能确定安全基线,根据所述安全基线确定处于所述安全基线内的主机,处于所述安全基线内的主机包括所述工业控制系统中实现指定功能的主机;
运行数据获取单元,用于获取处于所述安全基线内的主机的运行数据,所述运行数据包括:SCADA软件运行信息或/和协议开放信息或/和日志信息;
标识位处理单元,用于根据所述运行数据的内容确定所述运行数据对应的标识位,将所述运行数据处理成具有所述标识位的运行数据;
安全状态评估数据获取单元,用于根据所述运行数据和预设运行数据分析规则,获取处于所述安全基线内的主机的安全状态评估数据,所述安全状态评估数据获取单元在根据所述运行数据和预设运行数据分析规则,获取处于所述安全基线内的主机的安全状态评估数据时,具体用于:根据所述运行数据的标识位和所述预设运行数据分析规则,确定所述运行数据对应的安全状态分析程序,若所述运行数据对应的标识位包括两个或者两个以上不同的标识位,且至少有两个不同的标识位对应同一台主机,则将对应至少有两个不同的标识位的主机确定为多标识位主机,根据所述运行数据和所述运行数据对应的安全状态分析程序,获取所述多标识位主机的每个标识位对应的安全状态评估局部数据,根据所有所述安全状态评估局部数据和预设局部数据融合规则,获取所有所述安全状态评估局部数据融合后的数据,将所述融合后的数据作为所述多标识位主机的安全状态评估数据,所述安全状态评估数据包括:所述安全状态评估数据对应的主机的网际协议地址,或/和安全状态评估分数,或/和安全状态评估等级。
7.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910164291.0A CN110008706B (zh) | 2019-03-05 | 2019-03-05 | 主机安全状态管理方法、装置及终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910164291.0A CN110008706B (zh) | 2019-03-05 | 2019-03-05 | 主机安全状态管理方法、装置及终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110008706A CN110008706A (zh) | 2019-07-12 |
CN110008706B true CN110008706B (zh) | 2021-03-23 |
Family
ID=67166344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910164291.0A Active CN110008706B (zh) | 2019-03-05 | 2019-03-05 | 主机安全状态管理方法、装置及终端设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110008706B (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7873430B1 (en) * | 2006-06-14 | 2011-01-18 | Rockwell Automation Technologies, Inc. | System that can schedule operations that are performed on industrial control devices |
CN103518359B (zh) * | 2013-02-08 | 2017-10-10 | 华为技术有限公司 | 实现云计算网络防攻击的方法、设备和网络 |
CN107748555A (zh) * | 2016-09-12 | 2018-03-02 | 研祥智能科技股份有限公司 | 工控机远程监控和故障诊断系统 |
CN106651183B (zh) * | 2016-12-26 | 2020-04-10 | 英赛克科技(北京)有限公司 | 工控系统的通信数据安全审计方法及装置 |
-
2019
- 2019-03-05 CN CN201910164291.0A patent/CN110008706B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110008706A (zh) | 2019-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2825764C (en) | Systems, methods, apparatuses, and computer program products for forensic monitoring | |
CN111338901A (zh) | 一种Redis监控方法、Redis监控装置及终端 | |
CN110225104B (zh) | 数据获取方法、装置及终端设备 | |
US10756959B1 (en) | Integration of application performance monitoring with logs and infrastructure | |
CN110874324A (zh) | 一种测试结果数据保存方法、装置、终端设备及存储介质 | |
CN112688806A (zh) | 一种网络资产呈现的方法及系统 | |
CN112612853A (zh) | 基于数据库集群的数据处理方法、装置及电子设备 | |
CN112306802A (zh) | 系统的数据获取方法、装置、介质和电子设备 | |
US9559920B1 (en) | Management of decommissioned server assets in a shared data environment | |
CN110244963B (zh) | 数据更新方法、装置及终端设备 | |
CN112506798A (zh) | 一种区块链平台的性能测试方法、装置、终端及存储介质 | |
CN110879701B (zh) | 工作流可视化配置方法、服务器、系统及介质 | |
CN110008706B (zh) | 主机安全状态管理方法、装置及终端设备 | |
CN108520063B (zh) | 事件日志的处理方法、装置及终端设备 | |
CN107294766B (zh) | 一种集中管控的方法及系统 | |
CN115688112A (zh) | 工控风险评估方法、装置、设备及存储介质 | |
CN113765924A (zh) | 基于用户跨服务器访问的安全监测方法、终端及设备 | |
CN114218000A (zh) | 日志管理方法、装置、电子设备及计算机可读存储介质 | |
US20140281755A1 (en) | Identify Failed Components During Data Collection | |
CN114265759A (zh) | 一种数据信息泄露后的溯源方法、系统及电子设备 | |
CN110245016B (zh) | 数据处理方法、系统、装置及终端设备 | |
CN113656378A (zh) | 一种服务器管理方法、装置、介质 | |
CN111431764A (zh) | 节点确定方法、设备、系统及介质 | |
CN113923000B (zh) | 一种安全处理方法、装置、电子设备、及存储介质 | |
US11853173B1 (en) | Log file manipulation detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |