CN111176202A - 工业控制网络的安全管理方法、装置、终端设备及介质 - Google Patents
工业控制网络的安全管理方法、装置、终端设备及介质 Download PDFInfo
- Publication number
- CN111176202A CN111176202A CN201911406279.2A CN201911406279A CN111176202A CN 111176202 A CN111176202 A CN 111176202A CN 201911406279 A CN201911406279 A CN 201911406279A CN 111176202 A CN111176202 A CN 111176202A
- Authority
- CN
- China
- Prior art keywords
- probe
- industrial control
- monitored
- network
- plc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请适用于工控安全技术领域,尤其涉及一种工业控制网络的安全管理方法、装置、终端设备及介质。该方法通过部署在工业控制网络的待监测对象中的主机探针、网络探针、PLC探针、远程探针和多源探针,获取待监测对象的状态信息;根据状态信息,获取工业控制网络的安全态势,并展示安全态势。通过本申请能够发现工业控制网络的安全漏洞和隐患,例如,主机探针获取工业控制网络中主机的状态信息,从而判断该主机是否存在安全漏洞,有效提高了工业控制网络的安全性,降低了因网络问题危害工控安全的可能性。
Description
技术领域
本申请属于工控安全技术领域,尤其涉及一种工业控制网络的安全管理方法、装置、终端设备及介质。
背景技术
随着工业控制系统的发展,越来越多的工业控制系统及设备接入互联网,由于工业控制系统中工业控制网络欠缺对安全性的考虑,安全漏洞、隐患较为严重,容易导致工控安全事件的发生,工业控制网络的安全性面临巨大的挑战。
发明内容
本申请实施例提供了一种工业控制网络的安全管理方法、装置、终端设备及介质,以提高工业控制网络的安全性。
第一方面,本申请实施例提供了一种工业控制网络的安全管理方法,所述工业控制网络的待监测对象中包括主机探针、网络探针、可编程逻辑控制器PLC探针、远程探针和多源探针,所述安全管理方法包括:
通过所述待监测对象中的所述主机探针、所述网络探针、所述PLC探针、所述远程探针和所述多源探针,获取所述待监测对象的状态信息;
根据所述状态信息,获取所述工业控制网络的安全态势;
展示所述安全态势。
第二方面,本申请实施例提供了一种工业控制网络的安全管理装置,所述工业控制网络的待监测对象中包括主机探针、网络探针、可编程逻辑控制器PLC探针、远程探针和多源探针,所述安全管理装置包括:
状态信息获取模块,用于通过所述待监测对象中的所述主机探针、所述网络探针、所述PLC探针、所述远程探针和所述多源探针,获取所述待监测对象的状态信息;
安全态势获取模块,用于根据所述状态信息,获取所述工业控制网络的安全态势;
安全态势展示模块,用于展示所述安全态势。
第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的工业控制网络的安全管理方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的工业控制网络的安全管理方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面所述的工业控制网络的安全管理方法。
本申请实施例与现有技术相比存在的有益效果是:本申请通过部署在工业控制网络的待监测对象中的主机探针、网络探针、PLC探针、远程探针和多源探针,获取待监测对象的状态信息,从而得到工业控制网络的安全态势,能够发现工业控制网络的安全漏洞和隐患,例如,主机探针获取工业控制网络中主机的状态信息,从而判断该主机是否存在安全漏洞,有效提高了工业控制网络的安全性,降低了因网络问题危害工控安全的可能性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例一提供的一种工业控制网络的安全管理方法的流程示意图;
图2是本申请实施例一提供的一种工业控制网络的示例图;
图3是本申请实施例二提供的一种工业控制网络的安全管理方法的流程示意图;
图4是本申请实施例三提供的一种工业控制网络的安全管理方法的流程示意图;
图5是本申请实施例四提供的一种工业控制网络的安全管理装置的结构示意图;
图6是本申请实施例五提供的一种终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例提供的一种工业控制网络的安全管理方法可以应用于掌上电脑、桌上型计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、云端服务器、个人数字助理(personal digital assistant,PDA)等终端设备上,本申请实施例对终端设备的具体类型不作任何限制。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
为了说明本申请所述的技术方案,下面通过具体实施例来进行说明。
参见图1,是本申请实施例一提供的一种工业控制网络的安全管理方法的流程示意图,该工业控制网络的安全管理方法可用于终端设备,其中,上述工业控制网络的待监测对象中包括主机探针、网络探针、可编程逻辑控制器(Programmable Logic Controller,PLC)探针、远程探针和多源探针,如图所示,该安全管理方法可以包括以下步骤:
步骤S101,通过待监测对象中的主机探针、网络探针、PLC探针、远程探针和多源探针,获取所述待监测对象的状态信息。
其中,如图2所示,为本申请实施例一提供的一种工业控制网络的示例图,本申请实施例的工业控制网络包括生产管理层、过程监控层和现场控制层,生产管理层可以包括生产管理主机、客户机、数据库服务器、数据采集与监视控制(Supervisory Control AndData Acquisition,SCADA)服务器、交换机和防火墙等,过程监控层可以包括工程师站、操作员站、接口机和交换机等,现场控制层可以包括PLC等,PLC用于控制现场设备层的现场仪表。
主机探针可以是部署在生产管理主机、客户机、工程师站等安装有windows系统的设备中,用于采集这类设备的状态信息;网络探针可以是部署在生产管理主机、服务器、交换机、防火墙等进行网络通信的设备中,用于采集这类设备的状态信息;远程探针通过简单网络管理协议(Simple Network Management Protocol,SNMP)、简单网络管理协议陷阱(Simple Network Management Protocol trap,SNMP trap)采集主机、交换机、防火墙、路由器等设备的状态信息;多源探针可以包括系统日志syslog协议、反向代理服务器Nginx协议、关系数据库管理MySQL协议等,获取操作系统、关系数据库系统、网络交换机、路由器等基础软件或硬件系统提供的日志数据等状态信息。
由于大多数的工业交换机不支持镜像模式,本申请实施例的终端设备经过核心交换机的镜像口旁路在待监测设备上部署上述各种探针。
可选的,所述待监测对象包括监管对象和PLC,
所述监管对象中包括主机探针、网络探针、远程探针和多源探针;
所述PLC中包括PLC探针;
相应的,通过所述待监测对象中的所述主机探针、所述网络探针、所述PLC探针、所述远程探针和所述多源探针,获取所述待监测对象的状态信息包括:
通过所述监管对象中的所述主机探针、所述网络探针、所述远程探针和所述多源探针,获取所述监管对象的状态信息;
通过所述PLC中的所述PLC探针,获取所述PLC的状态信息。
其中,将工业控制网络的生产管理层和过程监控层的待监测对象作为监管对象,待监测对象还包括工业控制网络的现场控制层的PLC;由于监管对象与PLC的类型差别较大,因此,将主机探针、网络探针、远程探针和多源探针部署在监管对象中,用于获取监管对象的状态信息,将PLC探针部署在PLC中,用于获取PLC的状态信息,避免在PLC中部署不必要的探针。
可选的,所述通过所述PLC探针,获取所述PLC的状态信息包括:
通过所述PLC探针,获取所述PLC的网际互连协议(Internet Protocol,IP)地址和型号;
根据所述PLC的IP地址和型号,向所述PLC发送读取请求信息;
获取应答数据,其中,所述应答数据是所述PLC接收到所述读取请求信息后反馈的;
根据所述应答数据,获取所述PLC的状态信息。
其中,根据PLC的IP地址和型号可以得到该PLC所采用的通信协议,进而可以向该PLC发送读取请求信息,获取对应读取请求信息的应答数据并分析可以得到PLC的状态信息,例如,PLC的CPU模块和网卡模块的运行状态信息,PLC故障诊断信息,CPU模块和网卡模块的状态寄存器值,网卡模块已建立通信连接数量,PLC的硬件基础配置信息,其中,PLC的硬件基础配置信息,例如型号、网卡MAC信息、CPU内存信息、系统时钟等。
可选的,所述通过所述监管对象中的所述主机探针、所述网络探针、所述远程探针和所述多源探针,获取所述监管对象的状态信息包括:
通过所述主机探针获取所述监管对象的运行参数信息;
通过所述网络探针获取所述监管对象的网络数据信息;
通过所述远程探针获取所述监管对象的网络管理信息;
通过所述多源探针获取所述监管对象的日志数据信息。
其中,主机探针的监管对象可以是Windows系统的主机,因此,主机探针可以获取该Windows系统主机的运行参数信息,例如当前用户数量、用户名、USB设备接入状态、CPU利用率、内存利用率、硬盘利用率、开机总运行时间等。其中,监管对象所采用的Windows系统可以是Windows XP、Windows Server 2003、Windows 7、Windows Server 2008等版本操作系统。为了降低主机探针运行导致的监管对象的运行资源消耗,本申请实施例将部分感兴趣的运行参数信息的获取功能以插件形式进行加载,例如,用户可以使用系统安全配置核查插件、集散控制系统(Distributed Control System,DCS)日志采集插件、DCS日志采集-数据转发插件、主程序扩展插件、文件监控插件等获取监管对象的运行参数信息。
网络探针用于抓取监管对象网络数据包,通过网络探针引擎分析网络数据包的内容,分析得到链接信息、网络协议信息、应用协议操作等网络数据信息。
远程探针通过SNMP、SNMP trap采集主机、交换机、防火墙、路由器等监管对象的网络管理信息,例如,路由器的网络配置参数信息、路由器的网络运行状态、路由器的网络故障信息等。
软件和设备为方便诊断问题或跟踪查看运行状态,一般都会生成诊断或运行日志,采用多源探针收集日志数据信息,多源探针是一种自定义协议方式的探针,可以根据需求设置多源探针中包括的协议,例如,若监管对象为Linux主机,则可以通过配置syslog协议方式获取该Linux主机的日志数据信息,另外,网络交换机、路由器、防火墙、入侵检测系统(Intrusion Detection System,IDS)等系统或设备,也能够通过syslog协议外发对应设备的日志数据信息;又如,若监管对象为Web服务器,如Apache、Ngnix,则通过配置Ngnix协议方式获取该Web服务器的日志数据信息;若监管对象为关系型数据库,如MySQL,则通过配置MySQL协议方式获取该关系型数据库的日志数据信息。
步骤S102,根据所述状态信息,获取工业控制网络的安全态势。
其中,工业控制网络的安全态势可以是指工业控制网络中任一待监测对象的安全评分、风险等级等,还可以是对工业控制网络中所有待监测对象的状态信息进行分析,得到整个工业控制网络的安全评分、风险等级等,例如,根据PLC的状态信息,获取运行中PLC和未运行的PLC,根据运行中PLC的故障诊断信息,获取该运行中PLC的故障程度,从而确定该运行中PLC的风险等级,将该运行中PLC的信息和风险等级展示。
又如,通过网络探针获取交换机的网络数据信息,通过远程探针获取该交换机的网络管理信息,通过多源探针获取该交换机的日志数据信息,将该交换机的网络数据信息、网络管理信息和日志数据信息进行分析,获取该交换机的漏洞信息,根据该漏洞信息生成该交换机的风险等级或者安全评分。
可选的,所述根据所述状态信息,获取所述工业控制网络的安全态势包括:
根据所述状态信息,获取所述待监测对象运行的通信协议;
根据预设条件检查所述通信协议,获取所述待监测对象的检查结果;
根据所述检查结果,获取所述工业控制网络的评分,并确定该评分为所述工业控制网络的安全态势。
其中,由于状态信息中含有对应待监测对象的运行参数信息、网络数据信息、网络管理信息、日志数据信息等,根据这些信息可以分析得到每个待监测对象运行的通信协议,例如,通过分析网络数据信息中的网络协议信息可以得到对应待监测对象的通信协议,同理,针对不同类型的待监测对象均可以获取对应的通信协议,通过对通信协议深度解析,得到对应该通信协议的内容和数据,对其内容和数据进行合规性检查,判断该通信协议是否符合预设条件的规定,得到该通信协议的检查结果,从而得到每个待检测设备的评分,例如,当通信协议完全符合预设条件的规定对应的检查结果为合格,根据检查结果与评分的对应关系获取合格对应的评分;进而可以获取整个工业控制网络的评分,该评分即是工业控制网络的安全态势。
可选的,所述安全管理方法还包括:
根据所述状态信息,获取所述工业控制网络的攻击信息和漏洞信息;
将所述攻击信息和所述漏洞信息存入预设知识库。
其中,对状态信息中对应待监测对象的运行参数信息、网络数据信息、网络管理信息、日志数据信息等进行分析,可以得到漏洞信息和攻击信息,例如对日志数据信息进行攻击检测,若在日志数据信息中检测到特定的字段,则认为该日志数据信息对应的待监测对象具有特定的漏洞;又如,对网络数据信息进行分析可以得到攻击的来源等信息;将攻击信息和漏洞信息作为一种知识加入预设知识库,便于相关用户的查询和使用,有利于工业控制网络的安全维护。
步骤S103,展示所述安全态势。
通过相应的设备将安全态势展示,以便用户直观观测,例如,分析上述各对象的状态信息,获取各对象的统计分析报表(如饼状图、柱形图等),又如,展示工业控制网络的评分,或者安全等级等,另外,还可以提供声音、邮件、短信等形式的告警展示,从而可以实现对工业控制网络的安全监管。
本申请通过部署在工业控制网络的待监测对象中的主机探针、网络探针、PLC探针、远程探针和多源探针,获取待监测对象的状态信息,从而得到工业控制网络的安全态势,能够发现工业控制网络的安全漏洞和隐患,例如,主机探针获取工业控制网络中主机的状态信息,从而判断该主机是否存在安全漏洞,有效提高了工业控制网络的安全性,降低了因网络问题危害工控安全的可能性。
参见图3,是本申请实施例二提供的一种工业控制网络的安全管理方法的流程示意图,该工业控制网络的安全管理方法可用于终端设备,该工业控制网络的待监测对象包括监管对象和PLC,监管对象的数量为N,其中,N为大于1的整数,在实施例一的基础上,该安全管理方法还可以包括以下步骤:
步骤S301,通过网络探针获取N个监管对象中每个监管对象的网络数据信息。
其中,网络探针用于抓取监管对象网络数据包,通过网络探针引擎分析网络数据包的内容,分析得到链接信息、网络协议信息、应用协议操作等网络数据信息,具体已在本申请实施例一中说明,在此不再赘述。
步骤S302,通过远程探针获取所述N个监管对象中每个监管对象的网络管理信息。
远程探针通过SNMP、SNMP trap采集主机、交换机、防火墙、路由器等监管对象的网络管理信息,例如,路由器的网络配置参数信息、路由器的网络运行状态、路由器的网络故障信息等。
步骤S303,根据所述N个监管对象中每个监管对象的网络数据信息和网络管理信息,检测所述N个监管对象中是否存在具有访问互联关系的至少两个监管对象。
根据一个监管对象的链接信息、网络协议信息、应用协议操作等网络数据信息,结合该监管对象的网络配置参数信息、网络故障信息等网络管理信息,确定与该监管对象具有访问互联关系的另一监管对象,找到存在具有访问互联关系的至少两个监管对象。
步骤S304,若存在具有访问互联关系的所述至少两个监管对象,则使用预设方式表示所述至少两个监管对象的访问互联关系,以获得工业控制网络的系统拓扑。
其中,预设方式可以是指根据需求设定的用于表示至少两个监管对象之间访问互联关系的表达方式,例如,箭头的方式,箭头在第一监管对象和第二监管对象之间,从第一监管对象指向第二监管对象,表明第一监管对象与第二监管对象有访问互联关系,且为第二监管对象访问第一监管对象。
根据上述预设方式,遍历整个工业控制网络中的监管对象,可以得到整个工业控制网络的系统拓扑,该系统拓扑用于表示整个工业控制网络中所有监管对象之间的访问互联关系。
步骤S305,展示所述系统拓扑。
与工业控制网络的安全态势的展示相类似,例如,将系统拓扑以图像的方式展示在响应的设备上,以供用户查看,若每个监测对象对应一个资产,则该系统拓扑是针对工业控制网络中的资产进行刻画的方式,可以表明各资产之间的访问互联关系,同时,该系统拓扑的展示便于用户对资产的统计、划分和管理。
本申请通过部署在工业控制网络的待监测对象中的网络探针和远程探针,获取监管对象的状态信息,从而得到两个监管对象之间访问互联关系的描述,进而得到工业控制网络的系统拓扑,便于用户清楚掌握监管对象之间的关系,以及便于用于对监管对象的统计、划分和管理。
参见图4,为本申请实施例三提供的一种工业控制网络的安全管理方法的流程示意图,该工业控制网络的安全管理方法可用于终端设备,其中,上述工业控制网络的待监测对象中包括主机探针、网络探针、PLC探针、远程探针和多源探针,如图所示,在实施例一和实施例二的基础上,该安全管理方法还可以包括以下步骤:
步骤S401,通过待监测对象中的主机探针、网络探针、PLC探针、远程探针和多源探针,获取所述待监测对象的状态信息。
步骤S401与步骤S101相同,详细内容可以参照步骤S101,在此不再赘述。
步骤S402,根据所述状态信息,获取所述待监测对象的网络风险信息。
其中,网络风险信息可以是指待监测对象的漏洞信息、弱口令等使得待监测对象具有安全隐患和攻击风险的信息,从待监测对象的状态信息中可以分析得到,例如,通过对日志数据信息的攻击检测,分析日志数据信息中是否存在特定的字段,当存在特定的字段时,判定该日志数据信息对应的待监测对象具有特定的漏洞或风险。
步骤S403,获取包含所述待监测对象的生产场景图。
其中,生产场景图可以是指一个生产厂区图像,在该生产厂区图像中包含有至少一个待监测对象,该生产场景图可以是二维平面的图像,也可以三维立体的图像,用户可以根据需求或者现有条件选择该生产场景图的格式。
步骤S404,在所述生产场景图中展示所述待监测对象的网络风险信息。
将生产场景图中的待监测对象与其网络风险信息对应,在生产场景图中标记出对应一个待监测对象的网络风险信息,使得用户可以直观的观测到生产场景中具有风险的待监测对象,以及待监测对象在生产场景中的位置。
本申请通过部署在工业控制网络的待监测对象中的探针,获取待监测对象的状态信息,从而获取待监测对象的网络风险信息,并通过与生产场景图相结合的方式,直观的展示出待监测对象的位置及其网络风险信息,便于用户直接找到风险点。
对应于上文实施例的工业控制网络的安全管理方法,图5示出了本申请实施例四提供的工业控制网络的安全管理装置的结构框图,该工业控制网络的待监测对象中包括主机探针、网络探针、PLC探针、远程探针和多源探针,为了便于说明,仅示出了与本申请实施例相关的部分。
参见图5,该安全管理装置包括:
状态信息获取模块51,用于通过所述待监测对象中的所述主机探针、所述网络探针、所述PLC探针、所述远程探针和所述多源探针,获取所述待监测对象的状态信息;
安全态势获取模块52,用于根据所述状态信息,获取所述工业控制网络的安全态势;
安全态势展示模块53,用于展示所述安全态势。
可选的,所述待监测对象包括监管对象和PLC,所述监管对象中包括主机探针、网络探针、远程探针和多源探针;
所述PLC中包括PLC探针;
相应的,该状态信息获取模块51包括:
监管信息获取单元,用于通过所述监管对象中的所述主机探针、所述网络探针、所述远程探针和所述多源探针,获取所述监管对象的状态信息;
PLC信息获取单元,用于通过所述PLC中的所述PLC探针,获取所述PLC的状态信息。
可选的,该PLC信息获取单元具体用于:
通过所述PLC探针,获取所述PLC的IP地址和型号;
根据所述PLC的IP地址和型号,向所述PLC发送读取请求信息;
获取应答数据,其中,所述应答数据是所述PLC接收到所述读取请求信息后反馈的;
根据所述应答数据,获取所述PLC的状态信息。
可选的,该监管信息获取单元具体用于:
通过所述主机探针获取所述监管对象的运行参数信息;
通过所述网络探针获取所述监管对象的网络数据信息;
通过所述远程探针获取所述监管对象的网络管理信息;
通过所述多源探针获取所述监管对象的日志数据信息。
可选的,所述安全管理装置还包括:
关系检测模块,用于若所述监管对象的数量为N,则根据N个监管对象中每个监管对象的网络数据信息和网络管理信息,检测所述N个监管对象中是否存在具有访问互联关系的至少两个监管对象,其中,N为大于1的整数;
拓扑获取模块,用于若存在具有访问互联关系的所述至少两个监管对象,则使用预设方式表示所述至少两个监管对象的访问互联关系,以获得所述工业控制网络的系统拓扑,并展示所述系统拓扑。
可选的,该安全态势获取模块52包括:
通信协议获取单元,用于根据所述状态信息,获取所述待监测对象运行的通信协议;
检查结果获取单元,用于根据预设条件检查所述通信协议,获取所述待监测对象的检查结果;
评分获取单元,用于根据所述检查结果,获取所述工业控制网络的评分,并确定该评分为所述工业控制网络的安全态势。
可选的,所述安全管理装置还包括:
风险信息获取模块,用于根据所述状态信息,获取所述待监测对象的网络风险信息;
生产场景获取模块,用于获取包含所述待监测对象的生产场景图;
风险信息展示模块,用于在所述生产场景图中展示所述待监测对象的网络风险信息。
需要说明的是,上述模块之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
图6为本申请实施例五提供的一种终端设备的结构示意图。如图4所示,该实施例的终端设备4包括:至少一个处理器60(图6中仅示出一个)处理器、存储器61以及存储在存储器61中并可在至少一个处理器60上运行的计算机程序62,处理器60执行计算机程序62时实现上述任意各个工业控制网络的安全管理方法实施例中的步骤。
该终端设备可包括,但不仅限于,处理器60、存储器61。本领域技术人员可以理解,图6仅仅是终端设备6的举例,并不构成对终端设备6的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器60可以是CPU,该处理器60还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器61在一些实施例中可以是终端设备6的内部存储单元,例如终端设备6的硬盘或内存。所述存储器61在另一些实施例中也可以是终端设备6的外部存储设备,例如终端设备6上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器61还可以既包括终端设备6的内部存储单元也包括外部存储设备。所述存储器61用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器61还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述装置中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
本申请实现上述实施例方法中的全部或部分流程,也可以通过一种计算机程序产品来完成,当所述计算机程序产品在终端设备上运行时,使得所述终端设备执行时实现可实现上述方法实施例中的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种工业控制网络的安全管理方法,其特征在于,所述工业控制网络的待监测对象中包括主机探针、网络探针、可编程逻辑控制器PLC探针、远程探针和多源探针,所述安全管理方法包括:
通过所述待监测对象中的所述主机探针、所述网络探针、所述PLC探针、所述远程探针和所述多源探针,获取所述待监测对象的状态信息;
根据所述状态信息,获取所述工业控制网络的安全态势;
展示所述安全态势。
2.如权利要求1所述的工业控制网络的安全管理方法,其特征在于,所述待监测对象包括监管对象和PLC,
所述监管对象中包括主机探针、网络探针、远程探针和多源探针;
所述PLC中包括PLC探针;
相应的,通过所述待监测对象中的所述主机探针、所述网络探针、所述PLC探针、所述远程探针和所述多源探针,获取所述待监测对象的状态信息包括:
通过所述监管对象中的所述主机探针、所述网络探针、所述远程探针和所述多源探针,获取所述监管对象的状态信息;
通过所述PLC中的所述PLC探针,获取所述PLC的状态信息。
3.如权利要求2所述的工业控制网络的安全管理方法,其特征在于,所述通过所述PLC探针,获取所述PLC的状态信息包括:
通过所述PLC探针,获取所述PLC的网际互连协议IP地址和型号;
根据所述PLC的IP地址和型号,向所述PLC发送读取请求信息;
获取应答数据,其中,所述应答数据是所述PLC接收到所述读取请求信息后反馈的;
根据所述应答数据,获取所述PLC的状态信息。
4.如权利要求2所述的工业控制网络的安全管理方法,其特征在于,所述通过所述监管对象中的所述主机探针、所述网络探针、所述远程探针和所述多源探针,获取所述监管对象的状态信息包括:
通过所述主机探针获取所述监管对象的运行参数信息;
通过所述网络探针获取所述监管对象的网络数据信息;
通过所述远程探针获取所述监管对象的网络管理信息;
通过所述多源探针获取所述监管对象的日志数据信息。
5.如权利要求4所述的工业控制网络的安全管理方法,其特征在于,所述安全管理方法还包括:
若所述监管对象的数量为N,则根据N个监管对象中每个监管对象的网络数据信息和网络管理信息,检测所述N个监管对象中是否存在具有访问互联关系的至少两个监管对象,其中,N为大于1的整数;
若存在具有访问互联关系的所述至少两个监管对象,则使用预设方式表示所述至少两个监管对象的访问互联关系,以获得所述工业控制网络的系统拓扑,并展示所述系统拓扑。
6.如权利要求1所述的工业控制网络的安全管理方法,其特征在于,所述根据所述状态信息,获取所述工业控制网络的安全态势包括:
根据所述状态信息,获取所述待监测对象运行的通信协议;
根据预设条件检查所述通信协议,获取所述待监测对象的检查结果;
根据所述检查结果,获取所述工业控制网络的评分,并确定该评分为所述工业控制网络的安全态势。
7.如权利要求1所述的工业控制网络的安全管理方法,其特征在于,所述安全管理方法还包括:
根据所述状态信息,获取所述待监测对象的网络风险信息;
获取包含所述待监测对象的生产场景图;
在所述生产场景图中展示所述待监测对象的网络风险信息。
8.一种工业控制网络的安全管理装置,其特征在于,所述工业控制网络的待监测对象中包括主机探针、网络探针、可编程逻辑控制器PLC探针、远程探针和多源探针,所述安全管理装置包括:
状态信息获取模块,用于通过所述待监测对象中的所述主机探针、所述网络探针、所述PLC探针、所述远程探针和所述多源探针,获取所述待监测对象的状态信息;
安全态势获取模块,用于根据所述状态信息,获取所述工业控制网络的安全态势;
安全态势展示模块,用于展示所述安全态势。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的工业控制网络的安全管理方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的工业控制网络的安全管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911406279.2A CN111176202A (zh) | 2019-12-31 | 2019-12-31 | 工业控制网络的安全管理方法、装置、终端设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911406279.2A CN111176202A (zh) | 2019-12-31 | 2019-12-31 | 工业控制网络的安全管理方法、装置、终端设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111176202A true CN111176202A (zh) | 2020-05-19 |
Family
ID=70649100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911406279.2A Pending CN111176202A (zh) | 2019-12-31 | 2019-12-31 | 工业控制网络的安全管理方法、装置、终端设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111176202A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111178760A (zh) * | 2019-12-30 | 2020-05-19 | 成都烽创科技有限公司 | 风险监测方法、装置、终端设备及计算机可读存储介质 |
| CN112230584A (zh) * | 2020-10-28 | 2021-01-15 | 浙江中烟工业有限责任公司 | 应用于工控领域的安全监视可视化系统及安全监视方法 |
| CN112650180A (zh) * | 2020-12-23 | 2021-04-13 | 烽台科技(北京)有限公司 | 安全告警方法、装置、终端设备及存储介质 |
| CN113671909A (zh) * | 2021-06-30 | 2021-11-19 | 云南昆钢电子信息科技有限公司 | 一种钢铁工控设备安全监测系统和方法 |
| CN114500247A (zh) * | 2022-02-28 | 2022-05-13 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 |
| CN115499286A (zh) * | 2022-11-17 | 2022-12-20 | 博智安全科技股份有限公司 | 工控网络资产的分层管理系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1414216A2 (en) * | 2002-10-21 | 2004-04-28 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security architecture in an industrial controller environment |
| CN103488150A (zh) * | 2013-09-27 | 2014-01-01 | 济钢集团有限公司 | 炼铁生产信息在线管理系统及管理方法 |
| CN105959144A (zh) * | 2016-06-02 | 2016-09-21 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
| CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
| US20180309724A1 (en) * | 2017-04-24 | 2018-10-25 | Radiflow Ltd. | Control plane network security |
| CN108712425A (zh) * | 2018-05-21 | 2018-10-26 | 南京南瑞集团公司 | 一种面向工业控制系统网络安全威胁事件的分析监管方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110460648A (zh) * | 2019-07-23 | 2019-11-15 | 安徽蓝麦通信股份有限公司 | 一种高安全性工业数据采集分析处理系统 |
-
2019
- 2019-12-31 CN CN201911406279.2A patent/CN111176202A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1414216A2 (en) * | 2002-10-21 | 2004-04-28 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security architecture in an industrial controller environment |
| CN103488150A (zh) * | 2013-09-27 | 2014-01-01 | 济钢集团有限公司 | 炼铁生产信息在线管理系统及管理方法 |
| CN105959144A (zh) * | 2016-06-02 | 2016-09-21 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
| US20180309724A1 (en) * | 2017-04-24 | 2018-10-25 | Radiflow Ltd. | Control plane network security |
| CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
| CN108712425A (zh) * | 2018-05-21 | 2018-10-26 | 南京南瑞集团公司 | 一种面向工业控制系统网络安全威胁事件的分析监管方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110460648A (zh) * | 2019-07-23 | 2019-11-15 | 安徽蓝麦通信股份有限公司 | 一种高安全性工业数据采集分析处理系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111178760A (zh) * | 2019-12-30 | 2020-05-19 | 成都烽创科技有限公司 | 风险监测方法、装置、终端设备及计算机可读存储介质 |
| CN111178760B (zh) * | 2019-12-30 | 2023-05-23 | 成都烽创科技有限公司 | 风险监测方法、装置、终端设备及计算机可读存储介质 |
| CN112230584A (zh) * | 2020-10-28 | 2021-01-15 | 浙江中烟工业有限责任公司 | 应用于工控领域的安全监视可视化系统及安全监视方法 |
| CN112650180A (zh) * | 2020-12-23 | 2021-04-13 | 烽台科技(北京)有限公司 | 安全告警方法、装置、终端设备及存储介质 |
| CN113671909A (zh) * | 2021-06-30 | 2021-11-19 | 云南昆钢电子信息科技有限公司 | 一种钢铁工控设备安全监测系统和方法 |
| CN114500247A (zh) * | 2022-02-28 | 2022-05-13 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 |
| CN114500247B (zh) * | 2022-02-28 | 2023-08-15 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 |
| CN115499286A (zh) * | 2022-11-17 | 2022-12-20 | 博智安全科技股份有限公司 | 工控网络资产的分层管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111176202A (zh) | 工业控制网络的安全管理方法、装置、终端设备及介质 | |
| CN108881294B (zh) | 基于网络攻击行为的攻击源ip画像生成方法以及装置 | |
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CN111178760B (zh) | 风险监测方法、装置、终端设备及计算机可读存储介质 | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN111262722A (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| CN108924084B (zh) | 一种网络设备安全评估方法及装置 | |
| CN108092854B (zh) | 基于iec61375协议的列车级以太网设备的测试方法及装置 | |
| CN112087462A (zh) | 一种工控系统的漏洞检测方法和装置 | |
| CN112688806A (zh) | 一种网络资产呈现的方法及系统 | |
| CN107168844B (zh) | 一种性能监控的方法及装置 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN111193727A (zh) | 运行监测系统及运行监测方法 | |
| CN112948224A (zh) | 一种数据处理方法、装置、终端及存储介质 | |
| CN114598506A (zh) | 工控网络安全风险溯源方法、装置、电子设备及存储介质 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| Kai et al. | Development of qualification of security status suitable for cloud computing system | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| CN112667501A (zh) | 基于自动化挡板的链路测试方法、装置及相关设备 | |
| CN110166421B (zh) | 基于日志监控的入侵控制方法、装置及终端设备 | |
| CN112069500A (zh) | 一种应用软件的检测方法、装置及介质 | |
| WO2019123449A1 (en) | A system and method for analyzing network traffic | |
| KR102403881B1 (ko) | 이벤트의 인과관계 가시화 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200519 |