CN112631222B - 互联网工业控制系统的处理方法、系统及计算设备 - Google Patents
互联网工业控制系统的处理方法、系统及计算设备 Download PDFInfo
- Publication number
- CN112631222B CN112631222B CN202011491868.8A CN202011491868A CN112631222B CN 112631222 B CN112631222 B CN 112631222B CN 202011491868 A CN202011491868 A CN 202011491868A CN 112631222 B CN112631222 B CN 112631222B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control system
- target
- information
- map
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 15
- 230000004044 response Effects 0.000 claims abstract description 34
- 238000000034 method Methods 0.000 claims description 40
- 238000004590 computer program Methods 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 12
- 238000003860 storage Methods 0.000 claims description 9
- 230000004048 modification Effects 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 5
- 239000000523 sample Substances 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000004519 manufacturing process Methods 0.000 description 6
- 238000012038 vulnerability analysis Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004083 survival effect Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000002737 fuel gas Substances 0.000 description 1
- 239000000295 fuel oil Substances 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33139—Design of industrial communication system with expert system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请适用于工业互联网技术领域,提供一种互联网工业控制系统的处理方法、系统及计算设备,包括:获取工业控制系统识别任务;从所述工业控制系统识别任务中提取指纹插件以及目标工业控制系统的目标IP和目标端口;运行所述指纹插件,并加载所述目标IP和所述目标端口,以向所述目标工业控制系统发起socket连接请求;响应于若socket连接成功,则向所述目标工业控制系统发送指定报文;接收所述目标工业控制系统基于所述指定报文返回的响应报文;从所述响应报文中获取所述目标工业控制系统的详细信息。本申请的实施例能提高运行效率。
Description
技术领域
本申请属于工业互联网技术领域,尤其涉及一种互联网工业控制系统的处理方法、系统及计算设备。
背景技术
工业控制系统是重要的基础战略资源,应用于超过80%的关键基础设施,有着控制诸如水电展开管、检测电网状态或控制燃油燃气管道压力等的能力,在基础建设的舞台中扮演着重要的角色。随着“互联网+”概念的兴起,在继“工业4.0”与“工业互联网”之后,关于工业制造的战略也相继提出,工业化与信息化各方面的融合也在持续的深化发展中。在工业化与信息化不断深入融合的进程中,传统工业体系正逐步从过去的物理隔离式的控制系统向互联网多维控制的方向发展。工业设备与相关人员之间的联系与互动类型也变得越来越丰富,操作与管理也变得越来越简洁方便,互联网正深刻地改变着工业生产的方方面面。与此同时,尚未完善的网络安防体系也给这种管理方式带来巨大的安全隐患,也将把互联网中存在的通信安全威胁带给工业控制系统。
工业控制系统在互联网上的暴露问题是工业互联网安全的一个基本问题。所谓“暴露”是指可以通过互联网直接对某些与工业控制系统相关的工业组件,如工控设备、协议、软件、系统等进行远程访问。工业控制系统作为工业领域“神经中枢”,呈现互联互通趋势,越来越多的工业控制系统直接暴露在互联网中。造成工业控制系统暴露的主要原因之一是“商业网络(IT,信息技术)”与“工业网络(OT,运营技术)”的不断融合。IT与OT网络的连通在拓展了工业控制系统发展空间的同时,也带来了工业控制系统的网络安全问题。近年来,企业为了管理与控制的一体化,实现生产和管理的高效率、高效益,普遍推进生产执行系统,实现管理信息网络与控制网络之间的数据交换,实现工业控制系统和管理信息系统的集成。如此一来,如果未能做好必要的分隔管控工作,就会导致原本封闭的OT系统,通过管理系统与互联网互通、互联后,面临从互联网侧传播进来的各类网络攻击风险,没有充分的做好必要的隔离工作,系统遭遇攻击和入侵的风险也越大。
做好隔离工作的前提是发现互联网上的工业控制系统,然而目前在互联网上探测工业控制系统的方法的处理量较小,运行效率较低。
发明内容
本申请的实施例提供一种互联网工业控制系统的处理方法、系统及计算设备,能提高运行效率。
第一方面,本申请的实施例提供一种互联网工业控制系统的处理方法,包括:
获取工业控制系统识别任务;
从所述工业控制系统识别任务中提取指纹插件以及目标工业控制系统的目标IP和目标端口;
运行所述指纹插件,并加载所述目标IP和所述目标端口,以向所述目标工业控制系统发起socket连接请求;
若socket连接成功,则向所述目标工业控制系统发送指定报文;
接收所述目标工业控制系统基于所述指定报文返回的响应报文;
从所述响应报文中获取所述目标工业控制系统的详细信息。
在第一方面的一种可能的实现方式中,在从所述响应报文中获取所述目标工业控制系统的详细信息后,还包括:
根据所述工业控制系统的详细信息为识别到的所述目标工业控制系统建立地图;
接收选中所述地图的指定区域的选中信号;
获取所述选中信号对应的用户信息;
响应于接收到的所述选中信号,在所述地图的所述指定区域内显示与所述用户信息关联在一起的所述目标工业控制系统的信息。
第二方面,本申请的实施例提供一种互联网工业控制系统的处理系统,包括:
探测扫描单元,用于:获取工业控制系统识别任务;从所述工业控制系统识别任务中提取指纹插件以及目标工业控制系统的目标IP和目标端口;运行所述指纹插件,并加载所述目标IP和所述目标端口,以向所述目标工业控制系统发起socket连接请求;若socket连接成功,则向所述目标工业控制系统发送指定报文;接收所述目标工业控制系统基于所述指定报文返回的响应报文;从所述响应报文中获取所述目标工业控制系统的详细信息。
第三方面,本申请的实施例提供一种计算设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中任一项所述方法。
第四方面,本申请的实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一项所述方法。
第五方面,本申请的实施例提供一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项所述**方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
本申请的实施例与现有技术相比存在的有益效果是:
从获取到的工业控制系统识别任务中提取指纹插件以及目标工业控制系统的目标IP和目标端口,运行指纹插件,并加载目标IP和目标端口,对指定范围内的IP进行扫描,通过socket连接向目标工业控制系统发送指定报文;基于接收到的响应报文中完成解析目标工业控制系统的详细信息;整个过程主要为网络I/O(Input/Output)操作(输入输出操作),具有较高的并发数,能提高运行效率。
本申请的实施例的一些可能的实现方式具有如下有益效果:
根据工业控制系统的详细信息对识别到的工业控制系统建立地图;接收选中地图的指定区域的选中信号以及获取选中信号对应的用户信息;响应于接收到的选中信号,在地图的指定区域内显示与用户信息关联在一起的工业控制系统的信息;如此,能通过圈选的方式使得用户的所有工业控制系统的信息显示出来,使得信息的查询简单且直观,能提高用户查询信息的体验。
附图说明
为了更清楚地说明本申请的实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的互联网工业控制系统的处理方法的流程示意图;
图2是本申请一实施例提供的互联网工业控制系统的处理方法的变型方式的流程示意图;
图3是本申请一实施例提供的联网工业控制系统的处理系统的结构示意图;
图4是本申请一实施例提供的联网工业控制系统的处理系统的变型方式的结构示意图;
图5是本申请一实施例提供的联网工业控制系统的处理系统的架构图;
图6是本申请一实施例提供的联网工业控制系统的处理系统的处理流程图;
图7是本申请一实施例提供的计算设备的结构示意图。
具体实施方式
为了使本申请所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图1至7及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请的实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
工业控制系统包括SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制)系统、分布式控制系统(DCS,Distributed Control System)、可编程逻辑控制器(PLC,Programmable Logic Controller)、以及远程终端(RTU,Remote TerminalUnit)。
大多数工业系统资产承载着企业关键生产业务正常运行的责任,若未对互联网上的工业资产进行妥善管理,将为恶意攻击者带来巨大便利,使企业正常生产运行面临严重安全隐患。
为此,本实施例提供一种互联网工业控制系统的处理方法,能解决暴露在互联网上的工业控制系统的管理问题,主要包括解决工业控制系统品类多、识别管理难度大和风险威胁影响广之类的问题。
本实施例的互联网工业控制系统的处理方法能应用于各种计算设备,比如服务器或者个人计算机。该方法的一种表现形式为软件工具,应用于工业控制系统信息安全领域。其中,互联网工业控制系统是指连接到互联网的工业控制系统。
图1示出本实施例提供的互联网工业控制系统的处理方法的示意性流程图,作为示例而非限定,该方法可以应用于上述计算设备中。
本实施例的互联网工业控制系统的处理方法包括步骤S1至步骤S7。
步骤S1,获取工业控制系统识别任务。
在本实施例中,从消息队列中获取工业控制系统识别任务;该工业控制系统识别任务由用户触发。
步骤S2,从工业控制系统识别任务中提取指纹插件以及目标工业控制系统的目标IP和目标端口。
获取到工业控制系统识别任务后,从工业控制系统识别任务中提取目标工业控制系统的目标IP和目标端口,以及提取指纹插件。其中,提取到的指纹插件、目标IP和目标端口是与该工业控制系统识别任务对应的。
目标IP可以是多个,比如多个目标IP以IP列表的形式存在,代表指定范围的目标工业控制系统。其中,IP列表可以是根据地理区域划分形成的IP地址库,也可以是从用户自定义的IP列表库导入。
步骤S3,运行指纹插件,并加载目标IP和目标端口,以向目标工业控制系统发起socket连接请求。
指纹插件用于加载目标IP和目标端口,对指定范围内的IP进行扫描,向目标IP对应的工业控制系统的端口发起socket连接请求。
socket连接是利用socket建立网络连接。其中,socket是应用层与TCP/IP协议族通信的中间软件抽象层,是一组接口。
步骤S4,若socket连接成功,则向目标工业控制系统发送指定报文。
socket连接请求发出之后,如果连接失败或超时,则判定对应的目标工业控制系统不存在,继续下一工业控制系统识别任务;如果socket连接成功,则向对应的目标工业控制系统发送指定报文,比如由指纹插件继续向对应的目标工业控制系统发送指定报文。
步骤S5,接收目标工业控制系统基于指定报文返回的响应报文。
发送的指定报文能让对应的目标工业控制系统返回响应报文。步骤S6,从响应报文中获取目标工业控制系统的详细信息。
指定报文含有期望目标工业控制系统返回预期信息的信息。目标工业控制系统基于接收到的指定报文,发送含有预期信息的响应报文作为回应。
收到响应报文后,检查是否存在预期信息;如果不存在预期信息(或者说不匹配),则认为该目标工业控制系统未识别,继续下一工业控制系统识别任务;如果收到预期信息,则对预期信息进行记录。
系统从预期信息提取工业控制系统详细信息。
目标工业控制系统返回的预期信息含有诸多信息,需要从中提取工业控制系统的详细信息。需要提取的工业控制系统详细信息包括但不限于IP、运营商、系统类型、端口数、端口、风险数、风险、所属公司、所属行业、省份、城市、国家。提取到工业控制系统的详细信息,则判定为成功识别工业控制系统。将提取到的工业控制系统详细信息放入消息队列后,继续下一工业控制系统识别任务。其中,以列表的形式显示识别到的每个工业控制系统,形成工业控制系统列表。
根据上述可知,从获取到的工业控制系统识别任务中提取指纹插件以及目标工业控制系统的目标IP和目标端口,运行指纹插件并加载目标IP和目标端口,对指定范围内的IP进行扫描,通过socket连接向目标工业控制系统发送指定报文;基于接收到的响应报文中完成解析目标工业控制系统的详细信息;整个过程主要为网络I/O(Input/Output,输入输出)操作(或者I/O相关操作),具有较高的并发数,能提高系统的运行效率。
参考图2,本实施例的互联网工业控制系统的处理方法还包括步骤S7至步骤S10。
步骤S7,根据详细信息对识别到的目标工业控制系统建立地图。
具体而言,步骤S7是根据工业控制系统的详细信息中的位置信息对各个工业控制系统建立地图;比如,一个工业控制系统在地图中对应有一个坐标。
步骤S8,接收选中地图的指定区域的选中信号。
企业用户通过联网核查界面进入地图操作页面后,点击圆圈按钮发出选中信号,圈选地图范围(圈选半径最大为5km),实现选中工业控制系统拓扑图的指定区域。相应的,系统则接收该选中信号。
步骤S9,获取选中信号对应的用户信息。
企业用户通过用户信息比如账号和密码登录到系统,因此,企业用户在系统操作产生的选中信号与企业用户的用户信息是对应的;系统能获取到该用户信息。
步骤S10,响应于接收到的选中信号,在地图的指定区域内显示与用户信息关联在一起的目标工业控制系统的信息。
用户在计算设备的显示单元比如屏幕上进行操作,发出选中信号;系统在接收到选中信号后,在计算设备的显示单元上显示圈选范围(指定区域)内当前企业下所有的历史互联网工业控制系统和潜在工业控制系统;示例的,使用范围圈来选择地图范围,可在范围圈中显示工业控制系统IP、运营商等详细信息。
潜在工业控制系统是由系统识别到的但未匹配到企业的工业控制系统,在用户圈选范围内可以显示这些工业控制系统(比如显示未匹配之类的待处理信息),然后由用户自行确认是否是属于自己企业的工业控制系统;系统则根据用户对潜在工业控制系统的操作信号将潜在工业控制系统与用户信息关联,完成匹配;如此,能在指定范围内方便地完成工业控制系统的匹配,能提高用户体验。
此外,通过功能按钮查看工业控制系统的地图定位,可编辑、删除和增加工业控制系统及工业控制系统信息。可点击单个工业控制系统下拉按钮查看工业控制系统的详细信息、以及实现工业控制系统存活检测、工业控制系统审核等操作。其中,存活状态用于表示在一次扫描过程中该工业控制系统处于运行状态;工业控制系统不同于传统设备,不一定活跃于网络中,而是偶尔与网络进行连接,因此要求的安全层级更高。
根据上述可知,根据工业控制系统的详细信息对识别到的工业控制系统建立地图;接收选中地图的指定区域的选中信号以及获取选中信号对应的用户信息;响应于接收到的选中信号,在地图的指定区域内显示与用户信息关联在一起的工业控制系统的信息;如此,能通过圈选的方式使得用户的所有工业控制系统的信息显示出来,使得信息的查询简单且直观,能提高用户查询信息的体验。
还可以根据详细信息为识别到的目标工业控制系统搭建拓扑图。
具体而言,根据工业控制系统详细信息中的信息比如所属公司和所属行业,对识别到的工业控制系统建立拓扑图。拓扑图具体可以是工业控制系统组织树形结构,其中,树形结构的层数可以是不少于一层。
系统内置网络拓扑与工业控制系统管理功能,也支持自定义网络拓扑,更能够存储自定义网络拓扑图;示例的,用户可以自定义网络拓扑,系统则存储自定义网络拓扑图以供后续根据自定义网络拓扑图对识别到的工业控制系统搭建工业控制系统拓扑图。系统还支持在拓扑图中自定义创建工业控制系统,创建的拓扑工业控制系统可在前述工业控制系统列表中显示以供查看。此外,用户现有的工业控制系统支持手动或自动添加至当前拓扑图中。
还可以在工业控制系统的拓扑图中建立区域,其中,区域中包含至少一个工业控制系统。
工业控制系统拓扑图(或称为工业控制系统拓扑视图)搭建完成之后,用户可自定义区域,将一个或多个工业控制系统划入一个区域(比如生产区域或业务区域);其中,区域的内容包括:当前区域、工业控制系统IP、工业控制系统名称、工业控制系统类型、工业控制系统厂商、系列名、工业控制系统型号、重要性、并支持修改和删除操作。自定义区域之后可以按照需求将发现的工业控制系统关联到相关区域。在定义区域的内容时,支持工业控制系统输入联想功能:系统内置可选工业控制系统(比如不少于5000个可选资产),能根据用户输入补全工业控制系统的属性信息。
建立区域之后可以对区域添加区域信息,例如:区域名称、区域描述、区域重要性、区域负责人以及联系电话等。相应的,系统基于用户的输入对相应区域添加区域信息。其中,区域具有用于用户管理的管理内容,区域的管理内容包括区域描述、区域重要性、区域负责人和联系电话。
在获取到工业控制系统的详细信息之后,基于详细信息生成漏洞信息。
示例的,详细信息中包含工业控制系统所存在的漏洞,对这些漏洞进行统计,形成漏洞信息。其中,以列表的形式显示漏洞信息,以方便查询。
此外,针对工业控制系统比如离线工业控制系统所属的区域信息进行潜在漏洞分析,可查看潜在漏洞详情。系统具有漏洞库;漏洞库的漏洞数量不少于1500个,可根据用户输入的工业控制系统详细信息自动离线关联工业控制系统漏洞;比如根据工业控制系统的型号自动关联该型号所对应的潜在漏洞。工业控制系统漏洞分析支持按照工业控制系统罗列显示,显示工业控制系统名称、工业控制系统IP、工业控制系统区域、工业控制系统系列名、工业控制系统漏洞信息,其中漏洞信息可按颜色分为高危和中危,支持查看不同威胁等级下的漏洞详细信息。
系统若接收到用户输入的区域信息修改指令,则对工业控制系统所属的区域的信息进行修改。
基于用户通过对系统进行操作而输入的区域信息修改指令,系统能针对工业控制系统所属区域信息进行增、删、改、查操作,比如对离线的工业控制系统或者在线的工业控制系统进行前述操作。系统支持设置和修改区域名称、区域描述、区域重要性、区域负责人、联系电话。在工业控制系统列表中可选择工业控制系统对应的区域。
新增或修改工业控制系统时,选择工业控制系统的类型,系统会自动根据内置工业控制系统自动补全相应工业控制系统信息。工业控制系统列表支持按照区域显示工业控制系统,新增工业控制系统支持选择工业控制系统所属区域、工业控制系统IP、工业控制系统名、工业控制系统类型、工业控制系统厂商、工业控制系统系列名、工业控制系统型号、工业控制系统重要性。
对应于上文实施例的方法,图3示出了本申请的实施例提供的互联网工业控制系统的处理系统的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参考图3,本实施例的互联网工业控制系统的处理系统包括探测扫描单元1、拓扑管理单元2、区域管理单元3、列表管理单元4、反查单元5和漏洞分析单元6。
探测扫描单元1用于实现上述步骤S1至步骤S6。
拓扑管理单元2用于根据详细信息对识别到的目标工业控制系统搭建拓扑图。
由探测扫描单元1探测出来的工业控制系统,拓扑管理单元2将对其自动生成拓扑图。值得说明的是,系统支持用户手动添加设备工业控制系统;示例的,系统为用户提供常见工业控制系统的图标,通过拖拽、连线的方式实现工业控制系统的新增并与区域关联;在一侧的工具栏中选择工业控制系统、区域、连线,能实现随意拖动图标以及将图标拖到拓扑图中,在另一侧输入框内输入工业控制系统信息或区域信息。
区域管理单元3用于在工业控制系统的拓扑图中建立区域。完成添加区域之后,用户可在工业控制系统列表中选择工业控制系统关联的区域,关联完成的工业控制系统可按照区域进行显示。
列表管理单元4用于以列表的形式显示工业控制系统。
列表管理单元4的列表页面用于查看工业控制系统信息并实现对工业控制系统搜索、新增、删除、修改的功能。如前所述,工业控制系统信息包含区域名称、工业控制系统IP、工业控制系统名、工业控制系统类型、工业控制系统厂商、工业控制系统系列名、工业控制系统型号、区域重要性以及工业控制系统漏洞页面;其中,工业控制系统漏洞页面用于查看每条工业控制系统下面对应的工业控制系统漏洞基本信息。
反查单元5用于为用户提供自定义空间范围(前述指定区域)内的工业控制系统查看手段。用户使用反查单元5在地图中圈选范围,被选中范围内就会显示关联的工业控制系统、潜在的工业控制系统、取消关联的工业控制系统等。
漏洞分析单元6用于对探测到的工业控制系统进行自动漏洞分析形成列表页面;其中,列表页面展示工业控制系统对应的工业控制系统漏洞基本信息,也可查看漏洞详情。
参考图4,本实施例的互联网工业控制系统的处理系统还包括地图建立单元17、信号接收单元18、信息获取单元19和响应单元20。
地图建立单元17用于实现前述步骤S7;信号接收单元18用于实现前述步骤S8;信息获取单元19用于实现前述步骤S9;响应单元20用于实现前述步骤S20。
本实施例支持指定协议,能设置任务周期和扫描速度,还能对工业控制系统设置区域,具备指定网络空间范围内对工业控制系统的发现和识别能力能够识别并以列表的形式展示该网络空间范围内联网的工业控制系统。
本实施例可以确定出暴露在互联网上的设备资产,并协助企业人员去主动发现一些疏于管理的工业控制系统。参考图5和图6,探测扫描单元1可探测指定区域网络空间中的联网工业控制系统,达到帮助企业或监管单位实时监测联网工业控制系统信息的作用;支持资产拓扑管理功能,通过该功能以拓扑图的形式使用户对工业控制系统进行有效管理,清晰呈现工业控制系统的数量及关系;具备区域管理功能,用户可自定义相关区域并可对工业控制系统进行区域关联,通过建立区域的方法高效协助用户管理工业控制系统;反查单元5可自定义反查范围,在地图中显示自定范围内所有历史互联网资产和潜在资产,为用户精确确定指定范围内的各类工业控制系统提供便利。
图7为本申请一实施例提供的计算设备的结构示意图。如图7所示,该实施例的计算设备10包括:至少一个处理器100(图7中仅示出一个)处理器、存储器101以及存储在存储器101中并可在至少一个处理器100上运行的计算机程序102;处理器100执行计算机程序102时实现上述任意各个互联网工业控制系统的处理方法实施例中的步骤。
计算设备10可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。该计算设备可包括,但不仅限于,处理器100和存储器101。本领域技术人员可以理解,图7仅仅是计算设备10的举例,并不构成对计算设备10的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备、总线等。
处理器100可以是中央处理单元(Central Processing Unit,CPU),该处理器100还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器101在一些实施例中可以是计算设备10的内部存储单元,例如计算设备10的硬盘或内存。存储器101在另一些实施例中也可以是计算设备10的外部存储设备,例如计算设备10上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器101还可以既包括计算设备10的内部存储单元也包括外部存储设备。存储器101用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如计算机程序的程序代码等。存储器101还可以用于暂时地存储已经输出或者将要输出的数据。
示例性的,计算机程序102可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器101中,并由处理器100执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序102在终端设备6中的执行过程。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
前述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于计算机可读存储介质中;该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质包括:能够将计算机程序代码携带到装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
本申请的实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请的实施例提供一种计算机程序产品,当计算机程序产品在终端设备比如移动终端上运行时,使得移动终端执行时实现可实现上述各个方法实施例中的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
前述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (9)
1.一种互联网工业控制系统的处理方法,其特征在于,包括:
获取工业控制系统识别任务;
从所述工业控制系统识别任务中提取指纹插件以及目标工业控制系统的目标IP和目标端口;
运行所述指纹插件,并加载所述目标IP和所述目标端口,以向所述目标工业控制系统发起socket连接请求;
若socket连接成功,则向所述目标工业控制系统发送指定报文;
接收所述目标工业控制系统基于所述指定报文返回的响应报文;
从所述响应报文中获取所述目标工业控制系统的详细信息;
根据所述详细信息为识别到的所述目标工业控制系统建立地图,其中,一个工业控制系统在地图中对应有一个坐标;
接收选中所述地图的指定区域的选中信号;
获取所述选中信号对应的用户信息;
响应于接收到的所述选中信号,在所述地图的所述指定区域内显示与所述用户信息关联在一起的所述目标工业控制系统的信息。
2.如权利要求1所述的方法,其特征在于,在从所述响应报文中获取所述目标工业控制系统的详细信息后,还包括:
根据所述详细信息为识别到的所述目标工业控制系统搭建拓扑图。
3.如权利要求2所述的方法,其特征在于,还包括:
在所述拓扑图中建立区域,其中,所述区域包含至少一个工业控制系统。
4.如权利要求3所述的方法,其特征在于,还包括:
若接收到输入的区域信息修改指令,则对所述目标工业控制系统所属的所述区域的信息进行修改。
5.如权利要求1所述的方法,其特征在于,在从所述响应报文中获取所述目标工业控制系统的详细信息后,还包括:
基于所述详细信息生成所述目标工业控制系统的漏洞信息;
执行下一个工业控制系统识别任务。
6.如权利要求1至5任一项所述的方法,其特征在于,还包括:
以列表的形式显示识别到的每个工业控制系统。
7.一种互联网工业控制系统的处理系统,其特征在于,包括:
探测扫描单元,用于:获取工业控制系统识别任务;从所述工业控制系统识别任务中提取指纹插件以及目标工业控制系统的目标IP和目标端口;运行所述指纹插件,并加载所述目标IP和所述目标端口,以向所述目标工业控制系统发起socket连接请求;若socket连接成功,则向所述目标工业控制系统发送指定报文;接收所述目标工业控制系统基于所述指定报文返回的响应报文;从所述响应报文中获取所述目标工业控制系统的详细信息;
地图建立单元,用于根据所述详细信息为识别到的所述目标工业控制系统建立地图,其中,一个工业控制系统在地图中对应有一个坐标;
信号接收单元,用于接收选中所述地图的指定区域的选中信号;
信息获取单元,用于获取所述选中信号对应的用户信息;
响应单元,用于响应于接收到的所述选中信号,在所述地图的所述指定区域内显示与所述用户信息关联在一起的所述目标工业控制系统的信息。
8.一种计算设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的方法。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011491868.8A CN112631222B (zh) | 2020-12-17 | 2020-12-17 | 互联网工业控制系统的处理方法、系统及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011491868.8A CN112631222B (zh) | 2020-12-17 | 2020-12-17 | 互联网工业控制系统的处理方法、系统及计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112631222A CN112631222A (zh) | 2021-04-09 |
| CN112631222B true CN112631222B (zh) | 2022-05-10 |
Family
ID=75314072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011491868.8A Active CN112631222B (zh) | 2020-12-17 | 2020-12-17 | 互联网工业控制系统的处理方法、系统及计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112631222B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377740A (zh) * | 2010-08-12 | 2012-03-14 | 西门子公司 | 一种工业访问控制方法及装置 |
| CN106164789A (zh) * | 2014-01-16 | 2016-11-23 | Abb瑞士股份有限公司 | 供在与工业控制系统的连接中使用的方法和系统 |
| CN107861485A (zh) * | 2017-11-29 | 2018-03-30 | 西门子工厂自动化工程有限公司 | 数据采集与监视控制方法、客户端、服务器及系统 |
| CN108810034A (zh) * | 2018-08-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息资产的安全防护方法 |
| CN109274551A (zh) * | 2018-09-14 | 2019-01-25 | 江苏博智软件科技股份有限公司 | 一种精确高效的工控资源定位方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040260404A1 (en) * | 2003-06-23 | 2004-12-23 | Russell Thomas C. | Method and apparatus for self-configuring supervisory control and data acquisition (SCADA) system for distributed control |
| CN103401880B (zh) * | 2013-08-15 | 2016-03-23 | 西南大学 | 一种工业控制网络自动登录的系统及方法 |
| CN104683332A (zh) * | 2015-02-10 | 2015-06-03 | 杭州优稳自动化系统有限公司 | 一种工业控制网络中的安全隔离网关及其安全隔离方法 |
| CN111988404B (zh) * | 2020-08-20 | 2023-05-12 | 上海明华电力科技有限公司 | 一种智能生产运营一体化数字平台 |
-
2020
- 2020-12-17 CN CN202011491868.8A patent/CN112631222B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377740A (zh) * | 2010-08-12 | 2012-03-14 | 西门子公司 | 一种工业访问控制方法及装置 |
| CN106164789A (zh) * | 2014-01-16 | 2016-11-23 | Abb瑞士股份有限公司 | 供在与工业控制系统的连接中使用的方法和系统 |
| CN107861485A (zh) * | 2017-11-29 | 2018-03-30 | 西门子工厂自动化工程有限公司 | 数据采集与监视控制方法、客户端、服务器及系统 |
| CN108810034A (zh) * | 2018-08-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息资产的安全防护方法 |
| CN109274551A (zh) * | 2018-09-14 | 2019-01-25 | 江苏博智软件科技股份有限公司 | 一种精确高效的工控资源定位方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112631222A (zh) | 2021-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2015267387B2 (en) | Method and apparatus for automating the building of threat models for the public cloud | |
| TW550913B (en) | System and method for assessing the security posture of a network | |
| CN110611651B (zh) | 网络监控方法、网络监控装置和电子设备 | |
| CN107015895A (zh) | 对分布式应用的合规的以数据为中心的监测 | |
| JP2003523030A (ja) | ネットワークのセキュリティ態勢を評価し、グラフィカルユーザインタフェースを有するシステム及び方法 | |
| CN112671887B (zh) | 一种资产识别方法、装置、电子设备及计算机存储介质 | |
| CN111915143B (zh) | 一种基于智能合约的复杂产品装配管控系统 | |
| CN109086182A (zh) | 数据库自动告警的方法及终端设备 | |
| CN107733863A (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
| CN112351031A (zh) | 攻击行为画像的生成方法、装置、电子设备和存储介质 | |
| CN115630374B (zh) | 可信数控系统的测试方法、装置、计算机设备和存储介质 | |
| CN112738138A (zh) | 云安全托管方法、装置、设备及存储介质 | |
| CN111340404A (zh) | 构建指标体系的方法、装置及计算机存储介质 | |
| CN112528295B (zh) | 工业控制系统的漏洞修复方法及装置 | |
| CN113918954A (zh) | 自动化漏洞扫描集成方法、装置、设备及存储介质 | |
| CN112631222B (zh) | 互联网工业控制系统的处理方法、系统及计算设备 | |
| CN113179267A (zh) | 一种网络安全事件关联分析方法和系统 | |
| CN114363026B (zh) | 一种基于白名单的工控网络智能控制管理方法及系统 | |
| CN115696337A (zh) | 一种移动终端安全监测分析方法及装置 | |
| CN114372078A (zh) | 一种数据安全防护方法和装置 | |
| CN113934604A (zh) | 一种服务状态监控方法、装置、设备及存储介质 | |
| CN109412861B (zh) | 一种终端网络建立安全关联展示方法 | |
| CN113271315A (zh) | 虚拟专用网络异常使用检测方法、装置和电子设备 | |
| CN113421052A (zh) | 数据共享管理方法、系统、及计算机可读存储介质 | |
| CN114070768B (zh) | 渗透测试方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |