一種工業(yè)控制網(wǎng)絡(luò)中生成安全策略的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明是一種工業(yè)控制網(wǎng)絡(luò)中生成安全策略的系統(tǒng)和方法����,設(shè)及信息安全領(lǐng)域�, 設(shè)及安全應(yīng)用技術(shù)����,屬于工業(yè)控制信息安全技術(shù)范疇。
【背景技術(shù)】
[0002] 目前網(wǎng)絡(luò)安全產(chǎn)品中�����,采用基于規(guī)則的技術(shù)實(shí)現(xiàn)檢測��。比如���;在異常檢測系統(tǒng)中, 管理員會配置一批安全策略軟件����,通過安全策略來檢測出異常行為。安全策略作為一種行 之有效的通用技術(shù)手段�����,它存在著配置難�����,且極易失效的難點(diǎn)。無效的安全策略��,將會極大 的降低網(wǎng)絡(luò)安全設(shè)備的實(shí)用性����。
[0003] 網(wǎng)絡(luò)安全設(shè)備投入使用后,管理員面臨著極大的上線困難�。原因之一是工控網(wǎng)絡(luò) 系統(tǒng)復(fù)雜,分段管理�����,管理員無法從系統(tǒng)運(yùn)行流程的角度分析流量���,導(dǎo)致安全策略的完整性 無法保證�����。原因之二是工控網(wǎng)絡(luò)存在較多的冗余設(shè)備和安全保障設(shè)備����,該批設(shè)備平時(shí)極少 參與正常流程,同時(shí)工藝流程的轉(zhuǎn)換也會導(dǎo)致網(wǎng)絡(luò)流量的變化�����,導(dǎo)致最初完整的安全策略 不再能完全覆蓋網(wǎng)絡(luò)環(huán)境�����。
[0004] 鑒于上述問題��,本發(fā)明提出了一種工業(yè)控制網(wǎng)絡(luò)中生成安全策略的系統(tǒng)和方法����。 通過本系統(tǒng)輔助管理員掌握當(dāng)前網(wǎng)絡(luò)環(huán)境,產(chǎn)生有效的安全策略�,并通過告知的方式主動 進(jìn)行安全策略更新。它可W使管理員擺脫冗長�,復(fù)雜的安全策略配置工作。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明目的是����,提出一種工業(yè)控制網(wǎng)絡(luò)中生成安全策略的系統(tǒng)和方法�����,其應(yīng)用于 工業(yè)控制網(wǎng)絡(luò)安全產(chǎn)品。通過本系統(tǒng)輔助管理員掌握當(dāng)前網(wǎng)絡(luò)環(huán)境����,產(chǎn)生有效的安全策略, 并通過告知的方式主動進(jìn)行安全策略更新�����。使管理員擺脫冗長���,復(fù)雜的安全策略配置工作��。
[0006] 首先本發(fā)明提出了一種工業(yè)控制網(wǎng)絡(luò)中生成安全策略的系統(tǒng)��,該系統(tǒng)包括:一個(gè) 安全策略配置模塊�、一個(gè)網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊�、一個(gè)網(wǎng)絡(luò)環(huán)境監(jiān)測模塊和一個(gè)基礎(chǔ)模塊;安全 策略配置模塊�����,用于安全策略的定義和安全策略的修改�;網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊,用于發(fā)現(xiàn)網(wǎng)絡(luò) 中的訪問關(guān)系�,它根據(jù)IP地址、Mac地址及ID號,按照一定格式存儲在系統(tǒng)中�����;網(wǎng)絡(luò)環(huán)境 監(jiān)測模塊��,用于網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測��,它通過實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)環(huán)境來監(jiān)測已定義的安全策略����,并將安 全策略的不足主動提供給安全策略配置模塊。
[0007] 所述一定格式在實(shí)施例中已經(jīng)有說明格式的具體情況���,刷新后內(nèi)存中訪問關(guān)系信 息表如表1�。實(shí)施例中說的是數(shù)據(jù)分析模塊�。此模塊是屬于網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊的子模塊。
[0008] 安全策略配置模塊包括:
[0009] 一個(gè)安全策略修改模塊���;負(fù)責(zé)修改已經(jīng)定義的安全策略和刪除無效的安全策略�, 并將修改后的安全策略存儲在系統(tǒng)中��。
[0010] 一個(gè)安全策略定義模塊:負(fù)責(zé)定義新的安全策略���,并將修改后的安全策略存儲在 系統(tǒng)中���。
[0011] 網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊包括:
[0012] 一個(gè)數(shù)據(jù)包重組模塊:負(fù)責(zé)數(shù)據(jù)包解析,抽取對應(yīng)分析字段提供給數(shù)據(jù)分析模塊����。
[0013] 一個(gè)數(shù)據(jù)分析模塊;負(fù)責(zé)分析字段����,掌握網(wǎng)絡(luò)環(huán)境訪問關(guān)系信息,并完成去重�、歸 并和存儲,
[0014] 網(wǎng)絡(luò)環(huán)境監(jiān)測模塊包括:
[0015] 一個(gè)實(shí)時(shí)監(jiān)測模塊���;負(fù)責(zé)網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)監(jiān)測�。它監(jiān)測網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)流量���,并完 成已定義安全策略的檢查���。
[0016] 一個(gè)監(jiān)測日志模塊;負(fù)責(zé)詳細(xì)記錄實(shí)時(shí)監(jiān)測的完整信息�。
[0017] 基礎(chǔ)模塊包括�����;
[001引一個(gè)網(wǎng)絡(luò)10模塊���;負(fù)責(zé)系統(tǒng)中10數(shù)據(jù)交換。
[0019] 一個(gè)信息存儲模塊�;負(fù)責(zé)系統(tǒng)信息的格式化存儲。主要包含�;網(wǎng)絡(luò)環(huán)境中的訪問 關(guān)系信息;網(wǎng)絡(luò)環(huán)境監(jiān)測日志信息�;網(wǎng)絡(luò)環(huán)境監(jiān)測告警信息;安全策略信息���;
[0020] 其次本發(fā)明提出了一種工業(yè)控制網(wǎng)絡(luò)中生成安全策略的方法�。該方法的步驟為:
[0021] 第一步:完成網(wǎng)絡(luò)環(huán)境的發(fā)現(xiàn)�。
[0022] 通過對網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)流的分析,掌握網(wǎng)絡(luò)中負(fù)責(zé)的訪問關(guān)系�。
[0023] 其步驟又可分為:
[0024] 1A;網(wǎng)絡(luò)10模塊接收網(wǎng)絡(luò)數(shù)據(jù)包,并傳遞給數(shù)據(jù)包重組模塊�。
[0025]1B;數(shù)據(jù)包重組模塊完成分析數(shù)據(jù)的重組和預(yù)處理,組成預(yù)分析數(shù)據(jù)�����,并將預(yù)分析 數(shù)據(jù)傳遞給數(shù)據(jù)分析模塊。
[0026]1C;數(shù)據(jù)分析模塊完成數(shù)據(jù)分析����、去重和歸并工作�����。生成的網(wǎng)絡(luò)訪問關(guān)系信息表傳 遞給信息存儲模塊�。
[0027] 1D;信息存儲模塊完成訪問關(guān)系信息表的本地存儲。
[002引第二步����;完成初步安全策略的定義。
[0029] 針對工業(yè)控制網(wǎng)絡(luò)中業(yè)務(wù)情況分析掌握的網(wǎng)絡(luò)訪問關(guān)系�����,制訂工業(yè)控制網(wǎng)絡(luò)的安 全策略��。
[0030] 其步驟又可分為:
[0031] 2A;逐條分析存儲的網(wǎng)絡(luò)訪問關(guān)系信息表���。
[003引 2B;將符合工業(yè)控制網(wǎng)絡(luò)業(yè)務(wù)流程的訪問關(guān)系��,制訂為安全策略�����。
[0033] 2C;通過安全策略定義模塊將新制訂的一條安全策略輸入系統(tǒng)����。此步操作可W通 過拖拽訪問關(guān)系或手動輸入完成。
[0034] 2D;用戶針對每一條網(wǎng)絡(luò)訪問關(guān)系進(jìn)行步驟2B和2C���。最終完成對網(wǎng)絡(luò)訪問關(guān)系 信息表的處理����,形成安全策略信息集�����。
[0035] 2E;安全策略信息集通過信息存儲模塊完成本地存儲���。
[0036] 第S步:工業(yè)網(wǎng)絡(luò)環(huán)境中驗(yàn)證網(wǎng)絡(luò)安全策略信息集����,
[0037] 在工業(yè)網(wǎng)絡(luò)環(huán)境中驗(yàn)證安全策略信息集�,實(shí)際考查安全策略信息集的準(zhǔn)確性和有 效性。
[003引其步驟又可分為:
[0039] 3A;實(shí)時(shí)監(jiān)測模塊處理工業(yè)網(wǎng)絡(luò)中每一條訪問關(guān)系�����,按安全策略信息集要求執(zhí)行 對應(yīng)的動作(靜默或告警)。
[0040] 3B;實(shí)時(shí)監(jiān)測模塊將每一次操作情況提交給監(jiān)測日志模塊�。
[004U3C;監(jiān)測日志模塊根據(jù)操作情況產(chǎn)生各種類型日志,告警信息����。
[00創(chuàng) 3D;監(jiān)測日志模塊將各種類型的告警信息傳遞給網(wǎng)絡(luò)10模塊�。
[0043] 3E;監(jiān)測日志模塊將各種類型的日志信息傳遞給信息存儲模塊。
[0044] 第四步:網(wǎng)絡(luò)安全策略的調(diào)整�����。
[0045] 針對告警信息提示��,修改網(wǎng)絡(luò)安全策略信息集�����。主要操作有:刪除��、修改��、合并����。
[0046] 其步驟又可分為:
[0047] 4A;逐條分析網(wǎng)絡(luò)環(huán)境監(jiān)測告警信息����。
[0048] 4B;根據(jù)網(wǎng)絡(luò)環(huán)境監(jiān)測告警信息�,查詢網(wǎng)絡(luò)訪問關(guān)系信息表。
[0049] 4C;定位需要修改的一條網(wǎng)絡(luò)安全策略信息或一組網(wǎng)絡(luò)安全策略信息���。
[0化0] 4D;通過安全策略修改模塊完成網(wǎng)絡(luò)安全策略信息的更新���。
[0化^ 4E;用戶針對每一條網(wǎng)絡(luò)環(huán)境監(jiān)測告警信息進(jìn)行步驟4B、4C和4D��。
[0化引