CN116962090A - 一种工业互联网安全控制方法和系统 - Google Patents
一种工业互联网安全控制方法和系统 Download PDFInfo
- Publication number
- CN116962090A CN116962090A CN202311220483.1A CN202311220483A CN116962090A CN 116962090 A CN116962090 A CN 116962090A CN 202311220483 A CN202311220483 A CN 202311220483A CN 116962090 A CN116962090 A CN 116962090A
- Authority
- CN
- China
- Prior art keywords
- industrial
- data
- value
- functional
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 109
- 230000008569 process Effects 0.000 claims abstract description 79
- 238000009776 industrial production Methods 0.000 claims abstract description 48
- 238000012545 processing Methods 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims description 20
- 238000004519 manufacturing process Methods 0.000 claims description 17
- 230000003993 interaction Effects 0.000 claims description 7
- 238000005457 optimization Methods 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 claims description 4
- 238000012502 risk assessment Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 230000000737 periodic effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种工业互联网安全控制方法和系统,涉及数据处理技术领域,包括并建立目标工业业务流程,通过目标工业业务流程确定功能粒度;以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域;并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划;基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据;基于资产信息设置每个工业功能区域的安全防护策略。提高数据获取的适应性,并保证了工业互联网数据的时延性要求。提高了工业互联网安全控制的适应性,保证了工业网络的安全防护性能。
Description
技术领域
本申请涉及数据处理技术领域,更具体地,涉及一种工业互联网安全控制方法和系统。
背景技术
工业互联网的兴起为工业生产带来了无限的可能性,但与此同时,也引发了诸多安全挑战。为了确保工业系统的稳定性、机密性和完整性,工业互联网安全控制成为关键任务。在这个背景下,采用多层次的安全策略和技术,以保障工业环境免受恶意活动和威胁。这包括通过网络分割和隔离实现区域保护,以及强制身份认证和访问控制机制,以防止未经授权的访问。数据加密和隐私保护确保敏感信息的安全传输和处理,而威胁检测和入侵防御技术则监测异常活动并提供实时响应。
现有技术中,安全防护控制仅仅根据工业网络自身进行防护,并未与工业流程相联系,导致安全控制的防护性差、适应性低。
因此,如何提高工业互联网安全控制的适应性和防护性,是目前有待解决的技术问题。
发明内容
本发明提供一种工业互联网安全控制方法,用以解决现有技术中工业互联网安全控制的适应性和防护性低的技术问题。所述方法包括:
获取工业业务流程,并建立目标工业业务流程,通过目标工业业务流程确定功能粒度;
获取目标工业业务流程对应的工业网络,以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域;
获取工业生产计划,并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划;
基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据;
依据收集的对应数据评估每个工业功能区域的资产信息,基于资产信息设置每个工业功能区域的安全防护策略。
本申请一些实施例中,获取工业业务流程,并建立目标工业业务流程,包括:
在工业业务流程中确定各个步骤之间的顺序以及步骤类型;
收集每个步骤的流程数据,根据流程数据和流程逻辑确定关键步骤以及最终步骤;
通过价值流方法绘制整个工业业务流程的价值流图,标识出每个步骤对关键步骤和最终步骤的价值,分别记作第一价值和第二价值;
基于流程逻辑、第一价值和第二价值对工业业务流程进行优化,得到目标工业业务流程。
本申请一些实施例中,基于流程逻辑、第一价值和第二价值对工业业务流程进行优化,包括:
第一价值的计算为:
;
其中,V为该步骤的第一价值,为第一转化系数,n为该步骤之前关键步骤的数量,/>为第i个之前关键步骤对应的价值权重,/>为第i个之前关键对应的价值,/>为第二转化系数,m为该步骤之后关键步骤的数量,/>为第j个之后关键步骤对应的价值权重,/>为第j个之后关键步骤对应的价值;
将第一价值不超过第一阈值,第二价值不超过第二阈值,且流程逻辑为非必要的步骤进行优化处理;
否则,不进行优化处理。
本申请一些实施例中,通过目标工业业务流程确定功能粒度,包括:
确定目标工业业务流程中每个步骤的类型以及对应数量,计算每个步骤类型所对应的安全防护难度;
根据每个步骤的类型所对应的数量和安全防护难度确定工业流程安全防护难度;
基于工业流程安全防护难度确定功能粒度。
本申请一些实施例中,并根据多个工业功能区域之间的数据流动调整工业功能区域,包括:
计算每个通讯的两两工业功能区域之间的数据通讯频率和数据通讯量,并确定两个工业功能区域中各自对应的交互步骤,分别记作第一步骤和第二步骤;
分别计算第一步骤和第二步骤在各自工业功能区域内的控制占比,分别记作第一控制占比和第二控制占比;
若数据通讯频率大于通讯频率阈值,则根据数据通讯量确定第一差值;判断第一控制占比和第二控制占比之差与第一差值、第二差值的关系;
若第一控制占比和第二控制占比之差大于第一差值,则将第一控制占比和第二控制占比中较小的一方所对应的步骤划分到较大的一方所对应的工业功能区域内;
若第一控制占比和第二控制占比之差大于第二差值,且不大于第一差值,则基于第一控制占比和第二控制占比之差与第二差值的差值确定第三控制占比,将第一控制占比和第二控制占比中更远离第三控制占比的一方所对应的步骤划分到第一控制占比和第二控制占比中更接近第三控制占比的一方所对应的功能区域内;
若第一控制占比和第二控制占比之差不大于第二差值,则不调整工业功能区域。
本申请一些实施例中,在基于分工业生产计划调整每个工业功能区域的数据实时性要求之前,所述方法还包括:
确定每个工业功能区域的数据更新速度,定义工业功能区域内每个步骤所对应的绩效指标;
基于工业功能区域内每个步骤所对应的绩效指标确定区域绩效指标,在预设周期内计算区域绩效指标变化量,从而确定工业功能区域状态变化程度;
根据工业功能区域的数据更新速度和状态变化程度确定工业功能区域的数据实时性要求。
本申请一些实施例中,基于分工业生产计划调整每个工业功能区域的数据实时性要求,包括:
筛选分工业生产计划中的关键指标,将生产计划分成不同阶段;
确定每个阶段生产计划中数据需求,根据不同阶段的数据需求,定义目标数据实时性要求;
基于数据实时性要求和目标数据实时性要求两者的效果偏差确定调整系数,通过调整系数对数据实时性要求进行调整。
本申请一些实施例中,依据收集的对应数据评估每个工业功能区域的资产信息,包括:
计算资产价值,从而建立每个工业功能区域的资产清单,基于资产清单进行每个资产的漏洞评估;
审查每个资产的安全配置以及在目标工业业务流程中的连续性影响,针对资产的漏洞、安全位置和连续性影响进行风险评估,得到风险等级;
将资产价值、风险等级、资产的漏洞、安全位置和连续性影响归入资产信息。
本申请一些实施例中,基于资产信息设置每个工业功能区域的安全防护策略,包括:
根据资产价值和风险等级确定资产级别,计算每个工业功能区域内所有资产的资产级别;
确定每个工业功能区域内资产级别排名前三的资产,分别将各自对应资产级别记作第一级别、第二级别和第三级别;
若第一级别和第二级别之差大于第一级别差值,且第二级别与第三级别之差大于第二级别差值,则根据第二级别确定对应的访问控制级别、数据加密级别和认证级别;
否则,将根据第一级别确定对应的访问控制级别、数据加密级别和认证级别。
对应的,本申请还提供了一种工业互联网安全控制系统,所述系统包括:
确定模块,用于获取工业业务流程,并建立目标工业业务流程,通过目标工业业务流程确定功能粒度;
划分模块,用于获取目标工业业务流程对应的工业网络,以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域;
拆分模块,用于获取工业生产计划,并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划;
收集模块,用于基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据;
防护模块,用于依据收集的对应数据评估每个工业功能区域的资产信息,基于资产信息设置每个工业功能区域的安全防护策略。
通过应用以上技术方案,获取工业业务流程,并建立目标工业业务流程,通过目标工业业务流程确定功能粒度;获取目标工业业务流程对应的工业网络,以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域;获取工业生产计划,并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划;基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据;依据收集的对应数据评估每个工业功能区域的资产信息,基于资产信息设置每个工业功能区域的安全防护策略。本申请通过建立目标工业业务流程,来简化工业流程。通过功能粒度为尺度对工业网络进行划分,并基于分工业生产计划调整每个工业功能区域的数据实时性要求,提高数据获取的适应性,并保证了工业互联网数据的时延性要求。基于资产信息设置每个工业功能区域的安全防护策略,提高了工业互联网安全控制的适应性,保证了工业网络的安全防护性能。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提出的一种工业互联网安全控制方法的流程示意图;
图2示出了本发明实施例提出的一种工业互联网安全控制系统的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种工业互联网安全控制方法,如图1所示,该方法包括以下步骤:
步骤S101,获取工业业务流程,并建立目标工业业务流程,通过目标工业业务流程确定功能粒度。
本实施例中,目标工业业务流程为精简后的工业流程,保证后续处理的可靠性。
本申请一些实施例中,获取工业业务流程,并建立目标工业业务流程,包括:
在工业业务流程中确定各个步骤之间的顺序以及步骤类型;
收集每个步骤的流程数据,根据流程数据和流程逻辑确定关键步骤以及最终步骤;
通过价值流方法绘制整个工业业务流程的价值流图,标识出每个步骤对关键步骤和最终步骤的价值,分别记作第一价值和第二价值;
基于流程逻辑、第一价值和第二价值对工业业务流程进行优化,得到目标工业业务流程。
本实施例中,流程数据为流程相关的数据,包括时间、成本、资源消耗等。流程逻辑为工业实际意义上具有物理科学关系的各个流程物理关系逻辑。流程逻辑包括非必要、必要等,证明该步骤在流程的重要性。
本实施例中,步骤类型包括:
1.循环流程:循环流程是一种在特定条件下重复执行的流程。它通常用于周期性或重复性任务,如定期维护、报告生成等。循环流程可以在特定的时间间隔内多次执行,以保证任务的持续进行。
2.串行流程:串行流程是指各个阶段按照固定的顺序依次执行,前一个阶段的完成是下一个阶段的开始。与递进流程不同,串行流程强调的是流程的严格顺序性,不允许并行执行。
3.并行流程:并行流程是指各个阶段可以同时执行,不需要等待前一个阶段的完成。并行流程通常用于可以同时处理的任务,以提高效率。与并列流程不同,并行流程可能涉及到不同的操作单元,而不仅仅是业务流程。
4.并发流程:并发流程是指多个阶段在同一时间段内同时执行,不必等待其他阶段的完成。与并行流程类似,但并发流程可能涉及到在同一时间段内同时处理多个任务。
5.自适应流程:自适应流程是根据不同的条件和变化来自动调整流程的执行方式。它根据环境变化和实时数据,动态地选择执行的路径或阶段,以适应不同情况。
6.平行流程:平行流程是指多个流程在同一时间段内独立运行,相互之间没有直接的关联。这些流程可能处理不同的任务或业务,但它们不必相互等待或协同。
7.交叉流程:交叉流程是指不同业务流程之间可能存在相互关联或交互的情况。这种情况下,流程之间的执行顺序可能会受到彼此之间的影响。
本申请一些实施例中,基于流程逻辑、第一价值和第二价值对工业业务流程进行优化,包括:
第一价值的计算为:
;
其中,V为该步骤的第一价值,为第一转化系数,n为该步骤之前关键步骤的数量,/>为第i个之前关键步骤对应的价值权重,/>为第i个之前关键对应的价值,/>为第二转化系数,m为该步骤之后关键步骤的数量,/>为第j个之后关键步骤对应的价值权重,/>为第j个之后关键步骤对应的价值;
将第一价值不超过第一阈值,第二价值不超过第二阈值,且流程逻辑为非必要的步骤进行优化处理;
否则,不进行优化处理。
本实施例中,第一价值为该步骤对之前关键步骤的价值和对之后关键步骤的价值之和。
本实施例中,优化处理包括删除冗余或重复步骤、合并等。
本申请一些实施例中,通过目标工业业务流程确定功能粒度,包括:
确定目标工业业务流程中每个步骤的类型以及对应数量,计算每个步骤类型所对应的安全防护难度;
根据每个步骤的类型所对应的数量和安全防护难度确定工业流程安全防护难度;
基于工业流程安全防护难度确定功能粒度。
本实施例中,不同的工业流程安全防护难度对应有不同的功能粒度大小。
步骤S102,获取目标工业业务流程对应的工业网络,以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域。
本实施例中,多个工业功能区域是按照初始的功能粒度对工业网络划分的结果。后续根据数据流动调整工业功能区域。
本申请一些实施例中,并根据多个工业功能区域之间的数据流动调整工业功能区域,包括:
计算每个通讯的两两工业功能区域之间的数据通讯频率和数据通讯量,并确定两个工业功能区域中各自对应的交互步骤,分别记作第一步骤和第二步骤;
分别计算第一步骤和第二步骤在各自工业功能区域内的控制占比,分别记作第一控制占比和第二控制占比;
若数据通讯频率大于通讯频率阈值,则根据数据通讯量确定第一差值;判断第一控制占比和第二控制占比之差与第一差值、第二差值的关系;
若第一控制占比和第二控制占比之差大于第一差值,则将第一控制占比和第二控制占比中较小的一方所对应的步骤划分到较大的一方所对应的工业功能区域内;
若第一控制占比和第二控制占比之差大于第二差值,且不大于第一差值,则基于第一控制占比和第二控制占比之差与第二差值的差值确定第三控制占比,将第一控制占比和第二控制占比中更远离第三控制占比的一方所对应的步骤划分到第一控制占比和第二控制占比中更接近第三控制占比的一方所对应的功能区域内;
若第一控制占比和第二控制占比之差不大于第二差值,则不调整工业功能区域。
本实施例中,第一控制占比和第二控制占比为该步骤在区域内的操作量占比。
本实施例中,数据通讯频率和数据通讯量会对区域的功能粒度产生影响。据此根据两项因素对区域进行调整。
本实施例中,根据数据通讯量确定第一差值,不同的数据通讯量对应有不同的第一差值。基于第一控制占比和第二控制占比之差与第二差值的差值确定第三控制占比,不同的差值对应有不同的第三控制占比。
步骤S103,获取工业生产计划,并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划。
本实施例中,不同的工业生产计划,对数据实时性要求不同,工业互联网中低时延性是较为重要的性质。
本申请一些实施例中,在基于分工业生产计划调整每个工业功能区域的数据实时性要求之前,所述方法还包括:
确定每个工业功能区域的数据更新速度,定义工业功能区域内每个步骤所对应的绩效指标;
基于工业功能区域内每个步骤所对应的绩效指标确定区域绩效指标,在预设周期内计算区域绩效指标变化量,从而确定工业功能区域状态变化程度;
根据工业功能区域的数据更新速度和状态变化程度确定工业功能区域的数据实时性要求。
本实施例中,根据工业功能区域的数据更新速度和状态变化程度确定工业功能区域的数据实时性要求,两者共同对应有一个工业功能区域的数据实时性要求。
步骤S104,基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据。
本实施例中,合理调整以及控制每个工业功能区域的数据实时性要求,以使工业互联网的资源得到合理分配。
本申请一些实施例中,基于分工业生产计划调整每个工业功能区域的数据实时性要求,包括:
筛选分工业生产计划中的关键指标,将生产计划分成不同阶段;
确定每个阶段生产计划中数据需求,根据不同阶段的数据需求,定义目标数据实时性要求;
基于数据实时性要求和目标数据实时性要求两者的效果偏差确定调整系数,通过调整系数对数据实时性要求进行调整。
本实施例中,将数据实时性要求和目标数据实时性进行量化处理,从而确定两者的效果偏差,不同的偏差对应有不同的调整系数,通过调整系数*数据实时性要求,以此完成调整。
步骤S105,依据收集的对应数据评估每个工业功能区域的资产信息,基于资产信息设置每个工业功能区域的安全防护策略。
本实施例中,根据不同区域内的资产情况,选择合适的安全防护策略。
本申请一些实施例中,依据收集的对应数据评估每个工业功能区域的资产信息,包括:
计算资产价值,从而建立每个工业功能区域的资产清单,基于资产清单进行每个资产的漏洞评估;
审查每个资产的安全配置以及在目标工业业务流程中的连续性影响,针对资产的漏洞、安全位置和连续性影响进行风险评估,得到风险等级;
将资产价值、风险等级、资产的漏洞、安全位置和连续性影响归入资产信息。
本申请一些实施例中,基于资产信息设置每个工业功能区域的安全防护策略,包括:
根据资产价值和风险等级确定资产级别,计算每个工业功能区域内所有资产的资产级别;
确定每个工业功能区域内资产级别排名前三的资产,分别将各自对应资产级别记作第一级别、第二级别和第三级别;
若第一级别和第二级别之差大于第一级别差值,且第二级别与第三级别之差大于第二级别差值,则根据第二级别确定对应的访问控制级别、数据加密级别和认证级别;
否则,将根据第一级别确定对应的访问控制级别、数据加密级别和认证级别。
本实施例中,第一级别、第二级别和第三级别分别为排名第一、第二、第三的资产,这个排名越靠前,说明资产价值越大、风险越高。
本实施例中,不同资产级别对应有不同的访问控制级别、数据加密级别和认证级别。
本实施例中,访问控制级别、数据加密级别和认证级别,级别越高安全防护程度越高,保证与资产的适应性。
通过应用以上技术方案,获取工业业务流程,并建立目标工业业务流程,通过目标工业业务流程确定功能粒度;获取目标工业业务流程对应的工业网络,以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域;获取工业生产计划,并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划;基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据;依据收集的对应数据评估每个工业功能区域的资产信息,基于资产信息设置每个工业功能区域的安全防护策略。本申请通过建立目标工业业务流程,来简化工业流程。通过功能粒度为尺度对工业网络进行划分,并基于分工业生产计划调整每个工业功能区域的数据实时性要求,提高数据获取的适应性,并保证了工业互联网数据的时延性要求。基于资产信息设置每个工业功能区域的安全防护策略,提高了工业互联网安全控制的适应性,保证了工业网络的安全防护性能。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
对应的,本申请还提供了一种工业互联网安全控制系统,如图2所示,所述系统包括:
确定模块201,用于获取工业业务流程,并建立目标工业业务流程,通过目标工业业务流程确定功能粒度;
划分模块202,用于获取目标工业业务流程对应的工业网络,以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域;
拆分模块203,用于获取工业生产计划,并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划;
收集模块204,用于基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据;
防护模块205,用于依据收集的对应数据评估每个工业功能区域的资产信息,基于资产信息设置每个工业功能区域的安全防护策略。
本领域技术人员可以理解实施场景中的系统中的模块可以按照实施场景描述进行分布于实施场景的系统中,也可以进行相应变化位于不同于本实施场景的一个或多个系统中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种工业互联网安全控制方法,其特征在于,所述方法包括:
获取工业业务流程,并建立目标工业业务流程,通过目标工业业务流程确定功能粒度;
获取目标工业业务流程对应的工业网络,以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域;
获取工业生产计划,并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划;
基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据;
依据收集的对应数据评估每个工业功能区域的资产信息,基于资产信息设置每个工业功能区域的安全防护策略。
2.如权利要求1所述的工业互联网安全控制方法,其特征在于,获取工业业务流程,并建立目标工业业务流程,包括:
在工业业务流程中确定各个步骤之间的顺序以及步骤类型;
收集每个步骤的流程数据,根据流程数据和流程逻辑确定关键步骤以及最终步骤;
通过价值流方法绘制整个工业业务流程的价值流图,标识出每个步骤对关键步骤和最终步骤的价值,分别记作第一价值和第二价值;
基于流程逻辑、第一价值和第二价值对工业业务流程进行优化,得到目标工业业务流程。
3.如权利要求2所述的工业互联网安全控制方法,其特征在于,基于流程逻辑、第一价值和第二价值对工业业务流程进行优化,包括:
第一价值的计算为:
;
其中,V为该步骤的第一价值,为第一转化系数,n为该步骤之前关键步骤的数量,/>为第i个之前关键步骤对应的价值权重,/>为第i个之前关键对应的价值,/>为第二转化系数,m为该步骤之后关键步骤的数量,/>为第j个之后关键步骤对应的价值权重,/>为第j个之后关键步骤对应的价值;
将第一价值不超过第一阈值,第二价值不超过第二阈值,且流程逻辑为非必要的步骤进行优化处理;
否则,不进行优化处理。
4.如权利要求3所述的工业互联网安全控制方法,其特征在于,通过目标工业业务流程确定功能粒度,包括:
确定目标工业业务流程中每个步骤的类型以及对应数量,计算每个步骤类型所对应的安全防护难度;
根据每个步骤的类型所对应的数量和安全防护难度确定工业流程安全防护难度;
基于工业流程安全防护难度确定功能粒度。
5.如权利要求2所述的工业互联网安全控制方法,其特征在于,并根据多个工业功能区域之间的数据流动调整工业功能区域,包括:
计算每个通讯的两两工业功能区域之间的数据通讯频率和数据通讯量,并确定两个工业功能区域中各自对应的交互步骤,分别记作第一步骤和第二步骤;
分别计算第一步骤和第二步骤在各自工业功能区域内的控制占比,分别记作第一控制占比和第二控制占比;
若数据通讯频率大于通讯频率阈值,则根据数据通讯量确定第一差值;判断第一控制占比和第二控制占比之差与第一差值、第二差值的关系;
若第一控制占比和第二控制占比之差大于第一差值,则将第一控制占比和第二控制占比中较小的一方所对应的步骤划分到较大的一方所对应的工业功能区域内;
若第一控制占比和第二控制占比之差大于第二差值,且不大于第一差值,则基于第一控制占比和第二控制占比之差与第二差值的差值确定第三控制占比,将第一控制占比和第二控制占比中更远离第三控制占比的一方所对应的步骤划分到第一控制占比和第二控制占比中更接近第三控制占比的一方所对应的功能区域内;
若第一控制占比和第二控制占比之差不大于第二差值,则不调整工业功能区域。
6.如权利要求1所述的工业互联网安全控制方法,其特征在于,在基于分工业生产计划调整每个工业功能区域的数据实时性要求之前,所述方法还包括:
确定每个工业功能区域的数据更新速度,定义工业功能区域内每个步骤所对应的绩效指标;
基于工业功能区域内每个步骤所对应的绩效指标确定区域绩效指标,在预设周期内计算区域绩效指标变化量,从而确定工业功能区域状态变化程度;
根据工业功能区域的数据更新速度和状态变化程度确定工业功能区域的数据实时性要求。
7.如权利要求6所述的工业互联网安全控制方法,其特征在于,基于分工业生产计划调整每个工业功能区域的数据实时性要求,包括:
筛选分工业生产计划中的关键指标,将生产计划分成不同阶段;
确定每个阶段生产计划中数据需求,根据不同阶段的数据需求,定义目标数据实时性要求;
基于数据实时性要求和目标数据实时性要求两者的效果偏差确定调整系数,通过调整系数对数据实时性要求进行调整。
8.如权利要求1所述的工业互联网安全控制方法,其特征在于,依据收集的对应数据评估每个工业功能区域的资产信息,包括:
计算资产价值,从而建立每个工业功能区域的资产清单,基于资产清单进行每个资产的漏洞评估;
审查每个资产的安全配置以及在目标工业业务流程中的连续性影响,针对资产的漏洞、安全位置和连续性影响进行风险评估,得到风险等级;
将资产价值、风险等级、资产的漏洞、安全位置和连续性影响归入资产信息。
9.如权利要求8所述的工业互联网安全控制方法,其特征在于,基于资产信息设置每个工业功能区域的安全防护策略,包括:
根据资产价值和风险等级确定资产级别,计算每个工业功能区域内所有资产的资产级别;
确定每个工业功能区域内资产级别排名前三的资产,分别将各自对应资产级别记作第一级别、第二级别和第三级别;
若第一级别和第二级别之差大于第一级别差值,且第二级别与第三级别之差大于第二级别差值,则根据第二级别确定对应的访问控制级别、数据加密级别和认证级别;
否则,将根据第一级别确定对应的访问控制级别、数据加密级别和认证级别。
10.一种工业互联网安全控制系统,其特征在于,所述系统包括:
确定模块,用于获取工业业务流程,并建立目标工业业务流程,通过目标工业业务流程确定功能粒度;
划分模块,用于获取目标工业业务流程对应的工业网络,以功能粒度为尺度对工业网络进行划分,得到多个工业功能区域,并根据多个工业功能区域之间的数据流动调整工业功能区域;
拆分模块,用于获取工业生产计划,并将工业生产计划拆分成与多个工业功能区域对应的分工业生产计划;
收集模块,用于基于分工业生产计划调整每个工业功能区域的数据实时性要求,并通过数据实时性要求收集对应数据;
防护模块,用于依据收集的对应数据评估每个工业功能区域的资产信息,基于资产信息设置每个工业功能区域的安全防护策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311220483.1A CN116962090B (zh) | 2023-09-21 | 2023-09-21 | 一种工业互联网安全控制方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311220483.1A CN116962090B (zh) | 2023-09-21 | 2023-09-21 | 一种工业互联网安全控制方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116962090A true CN116962090A (zh) | 2023-10-27 |
| CN116962090B CN116962090B (zh) | 2024-02-13 |
Family
ID=88462440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311220483.1A Active CN116962090B (zh) | 2023-09-21 | 2023-09-21 | 一种工业互联网安全控制方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116962090B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117421758A (zh) * | 2023-12-19 | 2024-01-19 | 华能信息技术有限公司 | 一种日常操作数据隔离方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050006554A (ko) * | 2003-07-09 | 2005-01-17 | 주영지 | 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템 |
| US20200106801A1 (en) * | 2018-09-27 | 2020-04-02 | Cyber Innovative Technologies | Digital asset based cyber risk algorithmic engine, integrated cyber risk methodology and automated cyber risk management system |
| CN111563254A (zh) * | 2020-05-07 | 2020-08-21 | 中国工商银行股份有限公司 | 用于产品的威胁风险处理方法和装置、计算机系统和介质 |
| CN114398623A (zh) * | 2021-11-04 | 2022-04-26 | 华能信息技术有限公司 | 一种安全策略的确定方法 |
| CN115001792A (zh) * | 2022-05-27 | 2022-09-02 | 北京双湃智安科技有限公司 | 一种学习工业互联网安全感知体系的准确性评估方法 |
| WO2022198580A1 (zh) * | 2021-03-25 | 2022-09-29 | 西门子股份公司 | 一种工控网络的异常检测方法及装置 |
| CN115860471A (zh) * | 2022-12-01 | 2023-03-28 | 贵州电网有限责任公司 | 一种网络安全风险评估方法 |
-
2023
- 2023-09-21 CN CN202311220483.1A patent/CN116962090B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050006554A (ko) * | 2003-07-09 | 2005-01-17 | 주영지 | 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템 |
| US20200106801A1 (en) * | 2018-09-27 | 2020-04-02 | Cyber Innovative Technologies | Digital asset based cyber risk algorithmic engine, integrated cyber risk methodology and automated cyber risk management system |
| CN111563254A (zh) * | 2020-05-07 | 2020-08-21 | 中国工商银行股份有限公司 | 用于产品的威胁风险处理方法和装置、计算机系统和介质 |
| WO2022198580A1 (zh) * | 2021-03-25 | 2022-09-29 | 西门子股份公司 | 一种工控网络的异常检测方法及装置 |
| CN114398623A (zh) * | 2021-11-04 | 2022-04-26 | 华能信息技术有限公司 | 一种安全策略的确定方法 |
| CN115001792A (zh) * | 2022-05-27 | 2022-09-02 | 北京双湃智安科技有限公司 | 一种学习工业互联网安全感知体系的准确性评估方法 |
| CN115860471A (zh) * | 2022-12-01 | 2023-03-28 | 贵州电网有限责任公司 | 一种网络安全风险评估方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张帅;: "工业控制系统安全现状与风险分析――ICS工业控制系统安全风险分析之一", 计算机安全 * |
| 韩硕祥;张洪光;: "信息安全管理体系中的资产管理", 中国标准化, no. 04 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117421758A (zh) * | 2023-12-19 | 2024-01-19 | 华能信息技术有限公司 | 一种日常操作数据隔离方法 |
| CN117421758B (zh) * | 2023-12-19 | 2024-03-22 | 华能信息技术有限公司 | 一种日常操作数据隔离方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116962090B (zh) | 2024-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lee | Cybersecurity: Risk management framework and investment cost analysis | |
| EP3731489B1 (en) | Improved network anomaly detection | |
| EP3837627B1 (en) | Transaction system and method of operation thereof | |
| Butler | Security attribute evaluation method: a cost-benefit approach | |
| US10237298B1 (en) | Session management | |
| CN116962090B (zh) | 一种工业互联网安全控制方法和系统 | |
| US11424993B1 (en) | Artificial intelligence system for network traffic flow based detection of service usage policy violations | |
| CN101894239A (zh) | 基于演化策略的敏感数据审计分发方法及系统 | |
| Edu et al. | Digital security vulnerabilities and threats implications for financial institutions deploying digital technology platforms and application: FMEA and FTOPSIS analysis | |
| Hofstetter et al. | Applications of AI in cybersecurity | |
| Trifonov et al. | Artificial intelligence methods suitable for incident handling automation | |
| US11651313B1 (en) | Insider threat detection using access behavior analysis | |
| Meriah et al. | A survey of quantitative security risk analysis models for computer systems | |
| Reddy | Machine Learning Models for Anomaly Detection in Cloud Infrastructure Security | |
| Sathya et al. | Network activity classification schema in IDS and log audit for cloud computing | |
| Romancheva | Duality of artificial intelligence technologies in assessing cyber security risk | |
| Chatterjee | Critical success factors to create 5G networks in the smart cities of India from the security and privacy perspectives | |
| KR101872406B1 (ko) | 악성코드들의 위험도를 정량적으로 결정하는 장치 및 방법 | |
| Howes et al. | Enabling trustworthy spaces via orchestrated analytical security | |
| Bellini et al. | Cyber-resilience | |
| Jaber | Model for Preventing DDoS Attacks Using a Hypervisor | |
| Kambhampaty | Detecting insider and masquerade attacks by identifying malicious user behavior and evaluating trust in cloud computing and IoT devices | |
| Sharma et al. | Abusive Adversaries in 5G and beyond IoT | |
| Khoo | Enterprise information systems in the cloud: implications for risk management | |
| Yang et al. | Exploiting Dynamic Platform Protection Technique for Increasing Service MTTF |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |