CN111786826A - 工控设备运维审计系统、工控设备运维方法、计算机设备 - Google Patents
工控设备运维审计系统、工控设备运维方法、计算机设备 Download PDFInfo
- Publication number
- CN111786826A CN111786826A CN202010602543.6A CN202010602543A CN111786826A CN 111786826 A CN111786826 A CN 111786826A CN 202010602543 A CN202010602543 A CN 202010602543A CN 111786826 A CN111786826 A CN 111786826A
- Authority
- CN
- China
- Prior art keywords
- maintenance
- industrial control
- bridge
- terminal
- control equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种工控设备运维审计系统、工控设备运维方法和计算机设备,其中,该工控设备运维审计系统包括:桥接终端、运维终端和工控设备;桥接终端包括第一网络适配器和第二网络适配器,运维终端与第一网络适配器连接,工控设备与第二网络适配器连接,桥接终端用于在第一网络适配器和第二网络适配器之间建立网桥连接,并通过网桥连接的网桥配置信息配置允许运维终端访问的工控设备。通过本申请,解决了相关技术中存在的工控设备的运维安全问题,提升了工控设备的运维安全性。
Description
技术领域
本申请涉及工控设备运维领域,特别是涉及一种工控设备运维审计系统、工控设备运维方法以及计算机设备。
背景技术
近些年来,网络安全管理平台在电网等传统工业行业中承担着越来越重要的任务。通过在调度主站台部署网络安全管理平台,加固调度数据网主站端设备的安全性,在内部调度数据网设备设置横向隔离、纵向加密、权限认证和访问控制等安全防护措施,实现对工控设备的维护安全的有效防护。
目前,监控系统设备在进行运维作业时,通常采用监控系统专用的运维电脑直接连接站控网络层,进行维护操作,这其中存在运维作业事前无防护、事中无审计、事后无追踪的问题,而且运维方式过于陈旧,缺乏有效的网络安全防护手段。随着网络攻击事件的频繁发生,当前传统工业互联网方面的网络安全显得尤为重要。目前对工业网络内部进行检修作业时。经常需要直接登录监控主机进行检修作业,或者采用监控系统专用的运维电脑直接连接站内设备进行检修作业。两者都缺乏有效的网络安全防护手段,如果检修人员的错误操作,操作了本不应该是自己作业的设备或者操作了一些高危的端口,可能会造成网络安全事故。
针对上述问题,相关技术提出了一种堡垒机技术。堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。然而,现有的堡垒机技术存在以下缺陷:
堡垒机技术在实际应用中通常是作为跳板机来进行运维。在实际应用中,被运维设备通常处于某个局域网中,运维厂商在进行运维作业时,被运维设备严禁连接至该局域网外部的网络。堡垒机通常只留有一个备用IP供运维人员使用,因此,堡垒机相当于和运维电脑在同一网段。如果堡垒机部署在局域网外,则运维电脑将无法连接至运维设备,无法实施运维作业;如果堡垒机接入局域网内,则运维电脑可直接接入被运维设备,存在安全隐患。
目前,针对相关技术中存在的工控设备的运维安全问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种工控设备运维审计系统、工控设备运维方法和计算机设备,以至少解决相关技术中存在的工控设备的运维安全问题。
第一方面,本申请实施例提供了一种工控设备运维审计系统,包括:桥接终端、运维终端和工控设备;所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,所述桥接终端用于在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,并通过所述网桥连接的网桥配置信息配置允许所述运维终端访问的工控设备。
在其中一些实施例中,所述系统还包括:
非易失性可读存储介质,用于获取所述网桥配置信息,以及将所述网桥配置信息拷贝至所述桥接终端。
在其中一些实施例中,所述系统还包括:
管理平台,所述管理平台用于生成所述网桥配置信息,其中,所述网桥配置信息包括:工控设备的IP地址信息和端口信息。
第二方面,本申请实施例提供了一种工控设备运维方法,应用于工控设备运维审计系统,其中,所述工控设备运维审计系统包括桥接终端、运维终端和工控设备,所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,所述工控设备运维方法包括:
所述桥接终端获取网桥配置信息,所述网桥配置信息包括允许所述运维终端访问的工控设备的地址信息;
所述桥接终端根据所述网桥配置信息,在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,以使得所述运维终端通过所述网桥连接对所述工控设备进行运行维护。
在其中一些实施例中,桥接终端获取网桥配置信息之后,所述方法还包括:
所述桥接终端校验所述网桥配置信息是否正确;以及在校验到所述网桥配置信息正确的情况下,根据所述网桥配置信息配置所述第一网络适配器和所述第二网络适配器之间建立网桥连接。
在其中一些实施例中,所述桥接终端根据所述网桥配置信息,配置允许所述运维终端访问的工控设备,以允许所述运维终端对所述工控设备进行运维操作包括:
所述网桥配置信息包括所述工控设备的IP地址信息和端口信息,所述桥接终端根据所述工控设备的IP地址信息和端口信息,建立所述运维终端和所述工控设备之间的通讯链路。
在其中一些实施例中,在所述桥接终端根据所述网桥配置信息,配置允许所述运维终端访问的工控设备之后,所述方法还包括:
所述桥接终端从所述运维终端获取运维记录,其中,所述运维记录包括以下至少之一:所述运维终端的录屏信息、所述运维终端与所述工控设备之间的交互数据;
所述桥接终端根据所述运维记录,识别所述运维记录中是否存在违规操作;
所述桥接终端在识别到违规操作的情况下,中断所述运维终端至所述工控设备之间的通讯链路,并发出告警信息。
在其中一些实施例中,在所述桥接终端从所述运维终端获取运维记录之后,所述方法还包括:
所述桥接终端通过非易失性可读存储介质或通信网络将所述运维记录发送至管理平台。
在其中一些实施例中,桥接终端获取网桥配置信息包括:
所述桥接终端通过非易失性可读存储介质或通信网络从管理平台获取所述网桥配置信息。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第二方面所述的工控设备运维方法。
相比于相关技术,本申请实施例提供的工控设备运维审计系统、工控设备运维方法和计算机设备,通过桥接终端、运维终端和工控设备;桥接终端包括第一网络适配器和第二网络适配器,运维终端与第一网络适配器连接,工控设备与第二网络适配器连接,桥接终端用于在第一网络适配器和第二网络适配器之间建立网桥连接,并通过网桥连接的网桥配置信息配置允许运维终端访问的工控设备,解决了相关技术中存在的工控设备的运维安全问题,提升了工控设备的运维安全性。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的工控设备运维审计系统的结构框图;
图2是根据本申请实施例的运维场景的示意图;
图3是根据本申请实施例的工控设备运维方法的流程图;
图4是根据本申请优选实施例的工控设备运维方法的时序图;
图5是根据本申请实施例的计算机设备的硬件结构示意图。
附图说明:
101、桥接终端;102、运维终端;1011、第一网络适配器;1012、第二网络适配器;103、工控设备;1031、监控主机;1032、远动设备;1033、测控设备;201、第一局域网;202、第二局域网;300、移动设备;400、运维电脑;50、总线;51、处理器;52、存储器;53、通信接口。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所做出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供了一种工控设备运维审计系统。图1是根据本申请实施例的工控设备运维审计系统的结构框图,如图1所示,该工控设备运维审计系统包括:
桥接终端101、运维终端102和工控设备103;桥接终端101包括第一网络适配器1011和第二网络适配器1012,运维终端102与第一网络适配器1011连接,工控设备103与第二网络适配器1012连接,桥接终端101用于在第一网络适配器1011和第二网络适配器1012之间建立网桥连接,并通过网桥连接的网桥配置信息配置允许运维终端102访问的工控设备。
在本实施例中,桥接终端101包括移动计算机设备,该移动计算设备包括两个网络适配器,例如第一网络适配器1011和第二网络适配器1012。第一网络适配器1011和第二网络适配器1012可以分别设置成单口网卡,安装于桥接终端101,也可以集成在一张双口网卡上,安装于桥接终端101。第一网络适配器1011通过其中一个网络连接接口和运维终端102连接,第二网络适配器1012通过另一个网络连接接口和工控设备103连接。在其中一些实施例中,桥接终端101优选为双网口笔记本。
运维终端102包括专用于运维作业的运维计算机设备,比如运维电脑。
图2是根据本申请实施例的运维场景的示意图,如图2所示,工控设备103包括诸如监控主机1031、远动设备1032、测控设备1033等被运维设备。这些被运维设备处于第一局域网201中,其中,监控主机通过第一局域网201与其他被运维设备建立网络连接,以监控其他被运维设备的运行状况。移动设备300的一端与运维电脑400连接,另一端通过第二局域网202与工控设备103连接,其中,移动设备300可以直接和允许运维电脑400访问的被运维设备建立网络连接。
参考图1,网桥配置信息用于配置运维终端102的网段和工控设备103的网段,以在运维终端102和工控设备103之间建立通讯链路。为了避免运维终端直接接入工控设备所在的网络并能够访问所有的工控设备导致的权限过大的问题,在本申请实施例中通过在网桥配置信息中配置本次运维操作的目标工控设备的信息,以允许运维终端对这些目标工控设备的访问;没有被配置在网桥配置信息中的工控设备则运维终端无访问权限,实现了运维终端的权限控制,解决了相关技术中存在的工控设备的运维安全问题,提升了工控设备的运维安全性。
此外,传统的堡垒机技术中,运维终端通过跳板技术访问被运维设备,而使用跳板技术实现的访问只能够实现单向访问,即运维终端对被运维设备的访问。如果要实现被运维设备对运维设备的访问或者信息传输,则传统的堡垒机技术无法实现。在本申请实施例中,基于网桥的透明代理方式,工控设备103也可以访问运维终端102,向运维终端102发送运维交互数据,实现运维终端102和工控设备103的双向访问和信息互传。
在其中一些实施例中,工控设备运维审计系统还包括非易失性可读存储介质,用于获取网桥配置信息,以及将网桥配置信息拷贝至桥接终端。非易失性可读存储介质包括U盘。U盘可以插入桥接终端中,将网桥配置信息拷贝至桥接终端中,桥接终端根据网桥配置信息配置允许运维终端访问的工控设备。U盘和桥接终端具有移动便携的特性,方便运维人员将U盘和桥接终端携带去往运维现场。
在其中一些实施例中,工控设备运维审计系统还包括管理平台,管理平台用于生成网桥配置信息,其中,网桥配置信息包括工控设备的IP地址信息和端口信息。在本实施例中,管理平台的功能包括以下至少之一:负责工控设备以及工控设备端口的录入,扫描病毒的范围的新建和下发,运维记录的保存。管理平台可以将生成的网桥配置信息编辑成配置文件,并将配置文件下发至桥接终端。其中,管理平台下发配置文件的方式可以是通过U盘拷贝至桥接终端,也可以是通过与桥接终端建立网络连接,将配置文件发送至桥接终端。
本实施例还提供了一种工控设备运维方法,应用于工控设备运维审计系统,其中,工控设备运维审计系统包括桥接终端、运维终端和工控设备,桥接终端包括第一网络适配器和第二网络适配器,运维终端与第一网络适配器连接,工控设备与第二网络适配器连接。图3是根据本申请实施例的工控设备运维方法的流程图,如图3所示,该流程包括如下步骤:
步骤S301,桥接终端获取网桥配置信息,网桥配置信息包括允许运维终端访问的工控设备的地址信息。
步骤S302,桥接终端根据网桥配置信息,在第一网络适配器和第二网络适配器之间建立网桥连接,以使得运维终端通过网桥连接对工控设备进行运行维护。
本实施例通过桥接终端,把第一网络适配器和第二网络适配器绑定在一起,形成网桥功能,并将允许运维终端访问的工控设备的地址信息配置为网桥配置信息,使得被配置的工控设备能够与运维终端互访,而未被配置的工控设备不能够被运维终端访问,从而解决了相关技术中存在的工控设备的运维安全问题,提升了工控设备的运维安全性。同时,本实施例基于网桥的透明代理方式,工控设备也可以访问运维终端,向运维终端102发送运维交互数据,实现运维终端和工控设备的双向访问和数据互传。
在其中一些实施例中,为了加强运维操作的安全性,在其中一些实施例中,桥接终端获取网桥配置信息之后,桥接终端校验网桥配置信息是否正确;以及在校验到网桥配置信息正确的情况下,根据网桥配置信息配置第一网络适配器和第二网络适配器之间建立网桥连接。如此设置,可以为运维操作的安全性提供双重保障。其中,桥接终端校验网桥配置信息是否正确的具体实施方案如下所示:
桥接终端从配置文件中获取网桥配置信息,通过消息摘要算法(Message-DigestAlgorithm,简称MD)将网桥配置信息编辑成散列值,根据预设散列值,校验当前的散列值。若校验成功,则代表配置文件正确,否则,配置文件有错误。其中,消息摘要算法包括但不限于MD1算法、MD2算法、MD3算法、MD4算法以及MD5算法。
在其中一些实施例中,网桥配置信息包括工控设备的IP地址信息和端口信息,桥接终端根据工控设备的IP地址信息和端口信息,建立运维终端和工控设备之间的通讯链路。比如,在待运维的工控设备的网段为10.50.21.X的情况下,可以把桥接终端面向于工控设备的第一IP地址设置在10.50.21.X之内,把桥接终端面向于运维终端的第二IP地址设置在10.50.21.X之外,并在10.50.21.X内外建立网桥连接,以此建立运维终端和工控设备的通讯链路,实现运维终端和工控设备之间的相互访问。
在运维过程中,运维终端可能因病毒入侵或者接收运维人员的错误操作,导致违反常规的操作,对工控设备造成损害。针对该问题,在其中一些实施例中,在桥接终端根据网桥配置信息,配置允许运维终端访问的工控设备之后,桥接终端可以实时地从运维终端获取运维记录,其中,运维记录包括以下至少之一:运维终端的录屏信息、运维终端与工控设备之间的交互数据;桥接终端根据运维记录,识别运维记录中是否存在违规操作;桥接终端在识别到违规操作的情况下,中断运维终端至工控设备之间的通讯链路,并发出告警信息。如此设置,可以通过桥接终端实时监控运维过程,在运维终端存在违规操作时及时中断,避免造成更大损失。
其中,运维终端可以安装屏幕捕捉功能的软件,捕捉运维终端的界面操作,并生成录屏信息,将录屏信息实时传输到桥接终端上,通过桥接终端,可以实时监控运维终端的运维操作。
通过获取的运维记录,可以识别是否存在违规操作。若存在违规操作,桥接终端中断运维终端至工控设备之间的通讯链路,并发出告警信息。
在其中一些实施例中,桥接终端可以通过非易失性可读存储介质或通信网络将运维记录发送至管理平台。比如,桥接终端将运维记录存储至U盘中,通过U盘将运维记录拷贝至管理平台。或者,桥接终端与管理平台建立网络连接,通过网络传输的方式将运维记录发送至管理平台。
在其中一些实施例中,桥接终端可以通过非易失性可读存储介质或通信网络从管理平台获取网桥配置信息。基于将运维记录发送至管理平台相同的原理,管理平台可以将网桥配置信息编辑成配置文件,U盘从管理平台获取该配置文件,拷贝配置文件至桥接终端。或者,桥接终端与管理平台建立网络连接,从而通过网络传输的方式将配置文件发送至桥接终端。
在一些实施例中,可以通过在管理平台预先配置工控设备的IP地址信息、端口信息、病毒的扫描范围信息,然后把这些信息进行加密,把加密数据通过网络或者硬件拷贝的方式同步到桥接终端上。通过网桥配置的方式来访问在管理平台上配置的工控设备的IP和端口,而那些没有配置的则是严禁被访问的。
以下将通过优选实施例对本申请提供的工控设备运维方法进行描述。
图4是根据本申请优选实施例的工控设备运维方法的时序图,如图4所示,使用到的运维工具包括:管理平台笔记本(相当于上述的管理平台)、移动设备(相当于上述的桥接终端)、运维电脑(相当于上述的运维终端)以及U盘(相当于上述的非易失性可读存储介质),其中,移动设备含有双网卡。
本优选实施例提供的工控设备运维方法包括:对运维人员访问的设备进行管理和控制;在运维过程中如果发现不合规的操作可以随时中断运维且记录到日志中;同时可以做到工控设备访问运维电脑。
如图4所示,本申请优选实施例提供的工控设备运维方法包括如下步骤:
步骤1,运维人员携带U盘去管理平台获取带有此次运维所需的配置文件。
步骤2,步骤运维人员携带U盘和移动设备去往运维现场。运维人员将U盘插入到移动设备,U盘文件中含有移动设备的信息。
步骤3,移动设备将U盘文件中含有的移动设备的信息和自身信息进行匹配。
步骤4,如果匹配失败则代表配置文件不正确,不允许继续执行。如果匹配成功,则代表配置文件正确,并根据网桥配置信息,配置移动设备的IP和工控设备的IP保持在内网网段,配置移动设备的IP和运维电脑的IP保持在外网网段,并在内外网之间建立网桥连接,以使得运维电脑通过网桥连接对工控设备进行运行维护。移动设备和运维电脑之间可以使用交互的方式决定是否允许此次运维操作。
步骤5,通过U盘将运维后的数据传回到管理平台,作为日后的数据审计和违规追责的依据。
在其中一些实施例中,为保障运维操作的安全性,在运维前会对运维工具进行杀毒。在运维过程中,运维电脑会录屏和存储实时交互的数据,并存储录屏信息和实时交互的数据至U盘。
上述优选实施例相对于传统的运维审计方案的优势包括:
(1)考虑到运维电脑直接接入内网造成权限过大访问事故,上述优选实施例通过下发本次操作的目标设备的信息并将信息配置在移动设备建立的网桥的网桥配置信息中,从而可以在移动设备上进行运维电脑的访问权限控制。
(2)针对对运维审计后造成的事故难以定位和追责的问题,本申请实施例在运维过程中采用了运维电脑全程录屏且对运维电脑杀毒以防病毒传入内网中的方式。
(3)相关技术难以做到工控设备和运维电脑的相互访问,而只能通过运维电脑端口映射访问工控设备,工控设备无法访问运维电脑,本申请实施例通过在工控设备和运维电脑之间建立网桥连接,实现了工控设备和运维电脑的相互访问。
另外,结合图1描述的本申请实施例的工控设备运维方法可以由计算机设备来实现。图5为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器51以及存储有计算机程序指令的存储器52。
具体地,上述处理器51可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器52可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器52可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器52可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器52可在数据处理装置的内部或外部。在特定实施例中,存储器52是非易失性(Non-Volatile)存储器。在特定实施例中,存储器52包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器52可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器51所执行的可能的计算机程序指令。
处理器51通过读取并执行存储器52中存储的计算机程序指令,以实现上述实施例中的任意一种工控设备运维方法。
在其中一些实施例中,计算机设备还可包括通信接口53和总线50。其中,如图5所示,处理器51、存储器52、通信接口53通过总线50连接并完成相互间的通信。
通信接口53用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口53还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线50包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线50包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线50可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线50可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
另外,结合上述实施例中的工控设备运维方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种工控设备运维方法。
综上,本申请实施例提供的工控设备运维审计系统、工控设备运维方法和计算机设备包括以下优势:
(1)本申请实施例配置简单,只需要在管理平台上配置允许放行的工控设备的IP或者端口就能够实现运维终端的访问权限控制。
(2)本申请实施例通过桥接终端实现了网桥的功能,网桥的一端连接运维终端,网桥的另一端连接工控设备,可以避免运维终端直接接入工控设备而造成的安全隐患。
(3)本申请实施例能够解决相关技术中无法实现运维终端和工控设备无法相互访问的问题。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种工控设备运维审计系统,其特征在于,包括:桥接终端、运维终端和工控设备;所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,所述桥接终端用于在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,并通过所述网桥连接的网桥配置信息配置允许所述运维终端访问的工控设备。
2.根据权利要求1所述的工控设备运维审计系统,其特征在于,所述系统还包括:
非易失性可读存储介质,用于获取所述网桥配置信息,以及将所述网桥配置信息拷贝至所述桥接终端。
3.根据权利要求2所述的工控设备运维审计系统,其特征在于,所述系统还包括:
管理平台,所述管理平台用于生成所述网桥配置信息,其中,所述网桥配置信息包括:工控设备的IP地址信息和端口信息。
4.一种工控设备运维方法,应用于工控设备运维审计系统,其中,所述工控设备运维审计系统包括桥接终端、运维终端和工控设备,所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,其特征在于,所述工控设备运维方法包括:
所述桥接终端获取网桥配置信息,所述网桥配置信息包括允许所述运维终端访问的工控设备的地址信息;
所述桥接终端根据所述网桥配置信息,在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,以使得所述运维终端通过所述网桥连接对所述工控设备进行运行维护。
5.根据权利要求4所述的工控设备运维方法,其特征在于,桥接终端获取网桥配置信息之后,所述方法还包括:
所述桥接终端校验所述网桥配置信息是否正确;以及在校验到所述网桥配置信息正确的情况下,根据所述网桥配置信息配置所述第一网络适配器和所述第二网络适配器之间建立网桥连接。
6.根据权利要求5所述的工控设备运维方法,其特征在于,所述桥接终端根据所述网桥配置信息,配置允许所述运维终端访问的工控设备,以允许所述运维终端对所述工控设备进行运维操作包括:
所述网桥配置信息包括所述工控设备的IP地址信息和端口信息,所述桥接终端根据所述工控设备的IP地址信息和端口信息,建立所述运维终端和所述工控设备之间的通讯链路。
7.根据权利要求6所述的工控设备运维方法,其特征在于,在所述桥接终端根据所述网桥配置信息,配置允许所述运维终端访问的工控设备之后,所述方法还包括:
所述桥接终端从所述运维终端获取运维记录,其中,所述运维记录包括以下至少之一:所述运维终端的录屏信息、所述运维终端与所述工控设备之间的交互数据;
所述桥接终端根据所述运维记录,识别所述运维记录中是否存在违规操作;
所述桥接终端在识别到违规操作的情况下,中断所述运维终端至所述工控设备之间的通讯链路,并发出告警信息。
8.根据权利要求7所述的工控设备运维方法,其特征在于,在所述桥接终端从所述运维终端获取运维记录之后,所述方法还包括:
所述桥接终端通过非易失性可读存储介质或通信网络将所述运维记录发送至管理平台。
9.根据权利要求8所述的工控设备运维方法,其特征在于,桥接终端获取网桥配置信息包括:
所述桥接终端通过非易失性可读存储介质或通信网络从管理平台获取所述网桥配置信息。
10.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求4至9中任一项所述的工控设备运维方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010602543.6A CN111786826A (zh) | 2020-06-29 | 2020-06-29 | 工控设备运维审计系统、工控设备运维方法、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010602543.6A CN111786826A (zh) | 2020-06-29 | 2020-06-29 | 工控设备运维审计系统、工控设备运维方法、计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111786826A true CN111786826A (zh) | 2020-10-16 |
Family
ID=72761348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010602543.6A Withdrawn CN111786826A (zh) | 2020-06-29 | 2020-06-29 | 工控设备运维审计系统、工控设备运维方法、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111786826A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769808A (zh) * | 2020-12-31 | 2021-05-07 | 章和技术(广州)有限公司 | 用于工业局域网的移动堡垒机及其运维方法、计算机设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202818335U (zh) * | 2011-12-31 | 2013-03-20 | 北京市国路安信息技术有限公司 | 一种运维管理系统 |
| CN106302839A (zh) * | 2015-05-12 | 2017-01-04 | 中兴通讯股份有限公司 | 互联网协议ip地址的分配方法及装置 |
| CN108494607A (zh) * | 2018-04-19 | 2018-09-04 | 云家园网络技术有限公司 | 基于容器的大二层网络架构的设计方法及系统 |
| CN108521347A (zh) * | 2018-04-10 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 工控运维行为审计方法、装置及系统 |
| CN108984379A (zh) * | 2018-07-10 | 2018-12-11 | 湖南人文科技学院 | 一种调度数据网远程访问加固及集中监控的系统及方法 |
-
2020
- 2020-06-29 CN CN202010602543.6A patent/CN111786826A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202818335U (zh) * | 2011-12-31 | 2013-03-20 | 北京市国路安信息技术有限公司 | 一种运维管理系统 |
| CN106302839A (zh) * | 2015-05-12 | 2017-01-04 | 中兴通讯股份有限公司 | 互联网协议ip地址的分配方法及装置 |
| CN108521347A (zh) * | 2018-04-10 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 工控运维行为审计方法、装置及系统 |
| CN108494607A (zh) * | 2018-04-19 | 2018-09-04 | 云家园网络技术有限公司 | 基于容器的大二层网络架构的设计方法及系统 |
| CN108984379A (zh) * | 2018-07-10 | 2018-12-11 | 湖南人文科技学院 | 一种调度数据网远程访问加固及集中监控的系统及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769808A (zh) * | 2020-12-31 | 2021-05-07 | 章和技术(广州)有限公司 | 用于工业局域网的移动堡垒机及其运维方法、计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10356044B2 (en) | Security information and event management | |
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| US11223639B2 (en) | Endpoint network traffic analysis | |
| CN110011848B (zh) | 一种移动运维审计系统 | |
| CN105493060A (zh) | 蜜端主动网络安全 | |
| US10073980B1 (en) | System for assuring security of sensitive data on a host | |
| CN105099705B (zh) | 一种基于usb协议的安全通信方法及其系统 | |
| CN109189749B (zh) | 文件同步方法及终端设备 | |
| CN111857965A (zh) | 内网威胁检测方法、装置、设备和计算机设备 | |
| CN112615858B (zh) | 物联网设备监控方法、装置与系统 | |
| CN112163198B (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
| CN110162978A (zh) | 一种终端安全风险评估管理方法、装置及系统 | |
| EP3292498A1 (en) | Using trusted platform module to build real time indicators of attack information | |
| CN111901418A (zh) | 基于单向文件传输协议的外接式终端防护设备及系统 | |
| KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| CN111669371A (zh) | 一种适用于电力网络的网络攻击还原系统及方法 | |
| CN111786826A (zh) | 工控设备运维审计系统、工控设备运维方法、计算机设备 | |
| CN114629677A (zh) | 一种用于火电机组电量计费系统的安全防护系统及方法 | |
| CN114625074A (zh) | 一种用于火电机组dcs系统的安全防护系统及方法 | |
| CN110351130B (zh) | 一种设备信息的管理方法、装置及系统 | |
| CN113132310A (zh) | 一种配电终端与配电主站的安全接入方法及系统 | |
| CN114710360B (zh) | 基于审计的从内到外数据安全传输方法、系统及电子设备 | |
| US20130263258A1 (en) | Information Security Management | |
| US10819614B2 (en) | Network monitoring apparatus and network monitoring method | |
| CN117544960B (zh) | 一种基于生成的自动化Wi-Fi协议模糊测试方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20201016 |