4F;最終生成工業(yè)控制網(wǎng)絡(luò)安全策略�。
[0化3] 本發(fā)明有益效果在于;
[0化4] 1��、區(qū)別于現(xiàn)有技術(shù)����,本發(fā)明能提高安全策略的正確性。通過(guò)幫助用戶掌握實(shí)際的 工業(yè)控制網(wǎng)絡(luò)環(huán)境���,網(wǎng)絡(luò)安全策略的制定不再是簡(jiǎn)單分析管理規(guī)定和軟件需求����,避免了理 解偏差而導(dǎo)致的錯(cuò)誤安全策略�����。
[0化5] 2��、本發(fā)明能提高安全策略的完整性��。通過(guò)系統(tǒng)在工業(yè)控制網(wǎng)絡(luò)環(huán)境中驗(yàn)證安全策 略,驗(yàn)證周期往往覆蓋一個(gè)工業(yè)生產(chǎn)周期����,并模擬異常情況,避免了手動(dòng)安全策略覆蓋面不 足的問(wèn)題��。
[0化6] 3��、本發(fā)明能降低生成安全策略的難度�����。系統(tǒng)提供了安全策略制定的參考信息��,用 戶在制定安全策略時(shí)能進(jìn)行充分的判斷���,從而提高安全策略制定的效率��,避免反復(fù)無(wú)效的 確認(rèn)過(guò)程���。
[0化7] 本發(fā)明通過(guò)分析工業(yè)控制網(wǎng)絡(luò)環(huán)境的方式來(lái)幫助用戶生產(chǎn)安全策略��。一是通過(guò)發(fā) 現(xiàn)的網(wǎng)絡(luò)環(huán)境���,用戶可W直接將訪問(wèn)關(guān)系轉(zhuǎn)換成安全策略����。二是通過(guò)告警的網(wǎng)絡(luò)異常,用戶 可W將異常告警信息反映到安全策略的修改上��。
【附圖說(shuō)明】
[0化引圖1為本發(fā)明系統(tǒng)架構(gòu)圖��;
[0化9]圖2為本發(fā)明系統(tǒng)部署圖��。
【具體實(shí)施方式】
[0060] 參見(jiàn)附圖2,本發(fā)明針對(duì)工業(yè)網(wǎng)絡(luò)要求��,提供的技術(shù)方案如下:
[0061] 一種工業(yè)網(wǎng)絡(luò)中生成安全策略的護(hù)系統(tǒng)�,包括工業(yè)網(wǎng)絡(luò)安全設(shè)備,中屯��、服務(wù)器W 及操作員站�。
[0062] 系統(tǒng)按圖示部署到工業(yè)控制網(wǎng)絡(luò)中,分別在操作員站����,中屯、服務(wù)器及工業(yè)網(wǎng)絡(luò)安 全設(shè)備��。也可W將中屯、服務(wù)器和工業(yè)網(wǎng)絡(luò)安全設(shè)備合并����,功能模塊都部署在工業(yè)網(wǎng)絡(luò)安全 設(shè)備上。本實(shí)施例使用=節(jié)點(diǎn)部署方式�����。
[0063] 工業(yè)網(wǎng)絡(luò)安全設(shè)備上部署的數(shù)據(jù)包重組模塊靜默的分析通過(guò)工業(yè)網(wǎng)絡(luò)防火墻的 數(shù)據(jù)包����,并把信息傳給數(shù)據(jù)分析模塊。
[0064] 數(shù)據(jù)分析模塊分析網(wǎng)絡(luò)訪問(wèn)關(guān)系����,刷新訪問(wèn)關(guān)系信息表。刷新后內(nèi)存中訪問(wèn)關(guān)系 信息表如表1 ;
[00化]表1[0066]
【主權(quán)項(xiàng)】
1. 一種工業(yè)控制網(wǎng)絡(luò)中生成安全策略的系統(tǒng)�,其特征是系統(tǒng)包括:一個(gè)安全策略配置 模塊、一個(gè)網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊����、一個(gè)網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)模塊和一個(gè)基礎(chǔ)模塊;安全策略配置模 塊���,用于安全策略的定義和安全策略的修改�����;網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊���,用于發(fā)現(xiàn)網(wǎng)絡(luò)中的訪問(wèn)關(guān) 系,它根據(jù)IP地址�、Mac地址及ID號(hào),按照一定格式存儲(chǔ)在系統(tǒng)中��;網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)模塊��,用 于網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)��,它通過(guò)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)環(huán)境來(lái)監(jiān)測(cè)已定義的安全策略�,并將安全策略的不 足主動(dòng)提供給安全策略配置模塊; 安全策略配置模塊包括: 一個(gè)安全策略修改模塊:負(fù)責(zé)修改已經(jīng)定義的安全策略和刪除無(wú)效的安全策略�����,并將 修改后的安全策略存儲(chǔ)在系統(tǒng)中����; 一個(gè)安全策略定義模塊:負(fù)責(zé)定義新的安全策略,并將修改后的安全策略存儲(chǔ)在系統(tǒng) 中�����; 網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊包括: 一個(gè)數(shù)據(jù)包重組模塊:負(fù)責(zé)數(shù)據(jù)包解析,抽取對(duì)應(yīng)分析字段提供給數(shù)據(jù)分析模塊����; 一個(gè)數(shù)據(jù)分析模塊:負(fù)責(zé)分析字段,掌握網(wǎng)絡(luò)環(huán)境訪問(wèn)關(guān)系信息��,并完成去重��、歸并和 存儲(chǔ)�����; 網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)模塊包括: 一個(gè)實(shí)時(shí)監(jiān)測(cè)模塊:負(fù)責(zé)網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)監(jiān)測(cè)��;它監(jiān)測(cè)網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)流量���,并完成 已定義安全策略的檢查����; 一個(gè)監(jiān)測(cè)日志模塊:詳細(xì)記錄實(shí)時(shí)監(jiān)測(cè)的完整信息�; 基礎(chǔ)模塊包括: 一個(gè)網(wǎng)絡(luò)IO模塊:負(fù)責(zé)系統(tǒng)中IO數(shù)據(jù)交換; 一個(gè)信息存儲(chǔ)模塊:負(fù)責(zé)系統(tǒng)信息的格式化存儲(chǔ)�����;系統(tǒng)信息主要包含:網(wǎng)絡(luò)環(huán)境中的 訪問(wèn)關(guān)系信息;網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)日志信息����;網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)告警信息�;安全策略信息。
2. 根據(jù)權(quán)利要求1所述的工業(yè)控制網(wǎng)絡(luò)中生成安全策略的方法���,其特征是步驟為: 步驟1):完成網(wǎng)絡(luò)環(huán)境的發(fā)現(xiàn)�����;通過(guò)對(duì)網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)流的分析�����,掌握網(wǎng)絡(luò)中負(fù)責(zé)的訪 問(wèn)關(guān)系�;具體包括: IA :網(wǎng)絡(luò)IO模塊接收網(wǎng)絡(luò)數(shù)據(jù)包��,并傳遞給數(shù)據(jù)包重組模塊��; IB :數(shù)據(jù)包重組模塊完成分析數(shù)據(jù)的重組和預(yù)處理���,組成預(yù)分析數(shù)據(jù)����,并將預(yù)分析數(shù)據(jù) 傳遞給數(shù)據(jù)分析模塊; 1C:數(shù)據(jù)分析模塊完成數(shù)據(jù)分析�����、去重和歸并工作����,生成的網(wǎng)絡(luò)訪問(wèn)關(guān)系信息表并傳遞 給信息存儲(chǔ)模塊; ID :信息存儲(chǔ)模塊完成訪問(wèn)關(guān)系信息表的本地存儲(chǔ)���; 步驟2):完成初步安全策略的定義��;根據(jù)上述工業(yè)控制網(wǎng)絡(luò)中業(yè)務(wù)情況分析掌握的網(wǎng) 絡(luò)訪問(wèn)關(guān)系����,制訂工業(yè)控制網(wǎng)絡(luò)的安全策略����;具體包括: 2A :逐條分析信息存儲(chǔ)模塊存儲(chǔ)的網(wǎng)絡(luò)訪問(wèn)關(guān)系信息表; 2B :將符合工業(yè)控制網(wǎng)絡(luò)業(yè)務(wù)流程的訪問(wèn)關(guān)系�,制訂為安全策略�����; 2C :通過(guò)安全策略定義模塊將2B制訂的一條安全策略輸入系統(tǒng)���;此步操作能通過(guò)拖拽 訪問(wèn)關(guān)系或手動(dòng)輸入完成; 2D :用戶針對(duì)每一條網(wǎng)絡(luò)訪問(wèn)關(guān)系進(jìn)行步驟2B和2C ;最終完成對(duì)網(wǎng)絡(luò)訪問(wèn)關(guān)系信息表 的處理�,形成安全策略信息集; 2E :安全策略信息集通過(guò)信息存儲(chǔ)模塊完成本地存儲(chǔ)���; 步驟3):在工業(yè)網(wǎng)絡(luò)環(huán)境中驗(yàn)證安全策略信息集,實(shí)際考查安全策略信息集的準(zhǔn)確性 和有效性��;具體包括: 3A:實(shí)時(shí)監(jiān)測(cè)模塊處理工業(yè)網(wǎng)絡(luò)中每一條訪問(wèn)關(guān)系���,按安全策略信息集要求執(zhí)行應(yīng)的 動(dòng)作(靜默或告警)�����; 3B :實(shí)時(shí)監(jiān)測(cè)模塊將每一次操作情況提交給監(jiān)測(cè)日志模塊�; 3C :監(jiān)測(cè)日志模塊根據(jù)操作情況產(chǎn)生各種類型日志�����,告警信息; 3D :監(jiān)測(cè)日志模塊將各種類型的告警信息傳遞給網(wǎng)絡(luò)IO模塊�����; 3E :監(jiān)測(cè)日志模塊將各種類型的日志信息傳遞給信息存儲(chǔ)模塊����; 步驟4):網(wǎng)絡(luò)安全策略的調(diào)整;針對(duì)告警信息提示�,修改網(wǎng)絡(luò)安全策略信息集;主要操 作有:刪除�、修改、合并�����;步驟4)具體為: 4A :逐條分析網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)告警信息��; 4B :根據(jù)網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)告警信息�����,查詢網(wǎng)絡(luò)訪問(wèn)關(guān)系信息表���; 4C :定位需要修改的一條網(wǎng)絡(luò)安全策略信息或一組網(wǎng)絡(luò)安全策略信息���; 4D :通過(guò)安全策略修改模塊完成網(wǎng)絡(luò)安全策略信息的更新��; 4E :用戶針對(duì)每一條網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)告警信息進(jìn)行步驟4B����、4C和4D ; 4F :最終生成工業(yè)控制網(wǎng)絡(luò)安全策略�����。
【專利摘要】一種工業(yè)控制網(wǎng)絡(luò)中生成安全策略的系統(tǒng)��,包括:一個(gè)安全策略配置模塊�、一個(gè)網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊���、一個(gè)網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)模塊和一個(gè)基礎(chǔ)模塊����;安全策略配置模塊���,用于安全策略的定義和安全策略的修改�����;網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)模塊��,用于發(fā)現(xiàn)網(wǎng)絡(luò)中的訪問(wèn)關(guān)系�����,它根據(jù)IP地址�����、Mac地址及ID號(hào),按照一定格式存儲(chǔ)在系統(tǒng)中���;網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)模塊�,用于網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)���,它通過(guò)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)環(huán)境來(lái)監(jiān)測(cè)已定義的安全策略���,并將安全策略的不足主動(dòng)提供給安全策略配置模塊。
【IPC分類】H04L29-06, H04L12-24
【公開(kāi)號(hào)】CN104811437
【申請(qǐng)?zhí)枴緾N201510113869
【發(fā)明人】邵世海, 姜曉冰, 李佐民
【申請(qǐng)人】南京麥倫思科技有限公司
【公開(kāi)日】2015年7月29日
【申請(qǐng)日】2015年3月16日