一种工控网络文件强制访问控制策略配置的方法及装置制造方法及图纸

本发明专利技术公开了一种工控网络文件强制访问控制策略配置的方法及装置，该方法包括：接收客户端上报的文件强制访问控制策略；根据文件强制访问控制策略向数据库调取相应的文件强制访问控制策略模板；向客户端发送文件强制访问控制策略模板，以使客户端根据文件强制访问控制策略模板进行配置；接收客户端发送的策略配置回执信息，根据策略配置回执信息更新数据库中的策略数据。通过设置文件强制访问控制策略模板，能够对客户端进行文件强制访问控制策略的差异化配置与升级，同时通过实时监听客户端文件强制访问控制策略的变化，更新数据库中的策略数据，可以生成或不断更新对应的文件强制访问控制策略模板。

A Configuration Method and Device of Mandatory Access Control Strategy for Industrial Control Network Files

The invention discloses a method and device for configuring a file mandatory access control strategy for industrial control network. The method includes: receiving the file mandatory access control strategy reported by the client; fetching the corresponding file mandatory access control strategy template from the database according to the file mandatory access control strategy; and sending the file mandatory access control strategy template to the client so that the client can follow the file mandatory access control strategy template according to the file mandatory access control strategy. The file mandatory access control strategy template is configured; the policy configuration receipt information sent by the client is received, and the policy data in the database is updated according to the policy configuration receipt information. By setting the file mandatory access control strategy template, the client can differentiate and upgrade the file mandatory access control strategy. At the same time, by monitoring the changes of the client's file mandatory access control strategy in real time and updating the policy data in the database, the corresponding file mandatory access control strategy template can be generated or continuously updated.

【技术实现步骤摘要】
一种工控网络文件强制访问控制策略配置的方法及装置
本专利技术涉及工控网络安全等级保护策略分析及配置的
，具体涉及一种工控网络文件强制访问控制策略配置的方法及装置。
技术介绍
访问控制在信息安全领域是一个比较重要的技术，国家等保标准规范《信息安全等级保护安全设计技术要求》(GB/T25070－2010)的四级要求分别在“安全计算环境”和“网络区域边界”中阐述了访问控制的要求。工业控制网络现场实施环境中，为了满足等保要求，在计算环境部署主机卫士后，客户机会同管理中心相连接。根据国家信息安全等级保护的要求，需要保障整个网络的计算环境安全，因此需要对接入管理中心的各个客户机上的文件进行访问控制。
技术实现思路
有鉴于此，本专利技术实施例提供了一种工控网络文件强制访问控制策略配置的方法及装置，以实现管理中心对客户机上的文件进行强制访问控制策略的自动化配置及动态更新。根据第一方面，本专利技术实施例提供了一种工控网络文件强制访问控制策略配置的方法，包括：接收客户端上报的文件强制访问控制策略；根据文件强制访问控制策略向数据库调取相应的文件强制访问控制策略模板；向客户端发送文件强制访问控制策略模板，以使客户端根据文件强制访问控制策略模板进行配置；接收客户端发送的策略配置回执信息，根据策略配置回执信息更新数据库中的策略数据。可选地，通过以下步骤构建文件强制访问控制策略模板：获取采样客户端及其配置策略情况；通过归并算法将采样客户端的配置策略情况进行汇总排序；根据汇总排序结果及安全等级保护要求生成对应的文件强制访问控制策略模板。可选地，根据策略配置回执信息更新数据库中的策略数据，包括：当回执信息为成功信息时，更新客户端的策略数据至数据库。可选地，根据策略配置回执信息更新数据库中的策略数据，包括：当回执信息为失败信息时，生成策略配置失败标记信息，反馈至数据库；获取客户端上报的新的配置策略，根据新的配置策略更新客户端的策略数据至数据库。可选地，工控网络文件强制访问控制策略配置的方法还包括：判断是否接收到客户端上报的文件强制访问控制策略变更消息；当接收到文件强制访问控制策略变更消息时，根据文件强制访问控制策略变更消息，更新文件强制访问控制策略模板；向上报文件强制访问控制策略变更消息的客户端发送更新后的文件强制访问控制策略模板。可选地，在接收客户端上报的文件强制访问控制策略之前，工控网络文件强制访问控制策略配置的方法还包括：接收客户端注册信息；发送授权信息至客户端；存储客户端信息。根据第二方面，本专利技术实施例提供了一种工控网络文件强制访问控制策略配置的装置，包括：接收模块，用于接收客户端上报的文件强制访问控制策略；调取模块，用于根据文件强制访问控制策略向数据库调取相应的文件强制访问控制策略模板；发送模块，用于向客户端发送文件强制访问控制策略模板，以使客户端根据文件强制访问控制策略模板进行配置；更新模块，用于接收客户端发送的策略配置回执信息，根据策略配置回执信息更新数据库中的策略数据。根据第三方面，本专利技术实施例还提供了一种控制器，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器执行上述任意实施例的工控网络文件强制访问控制策略配置的方法。根据第四方面，本专利技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，计算机指令用于使计算机执行上述任意实施例的工控网络文件强制访问控制策略配置的方法。本专利技术实施例提供了一种工控网络文件强制访问控制策略配置的方法及装置，通过设置文件强制访问控制策略模板，能够对客户端进行文件强制访问控制策略的差异化配置与升级，同时通过实时监听客户端文件强制访问控制策略的变化，更新数据库中的策略数据，可以生成或不断更新对应的文件强制访问控制策略模板。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1示出了本专利技术实施例工控网络文件强制访问控制策略配置的方法示意图；图2示出了本专利技术实施例客户端策略配置占比线性回归图；图3示出了本专利技术实施例USM与客户端的交互序列图；图4示出了本专利技术实施例工控网络文件强制访问控制策略配置的装置结构示意图；图5示出了本专利技术实施例控制器结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例提供了一种工控网络文件强制访问控制策略配置的方法，如图1所示，包括：S101.接收客户端上报的文件强制访问控制策略。具体的，工控系统上连接有不同的客户端，不同的客户端所配置的文件强制访问控制策略可能会有所不同，为了实现工控系统对客户端文件强制访问控制策略统一配置，客户端需要将本地的文件强制访问控制策略上报给工控系统。S102.根据文件强制访问控制策略向数据库调取相应的文件强制访问控制策略模板。在本实施例中，可以通过以下步骤构建文件强制访问控制策略模板：获取采样客户端及其配置策略情况；通过归并算法将采样客户端的配置策略情况进行汇总排序；根据汇总排序结果及安全等级保护要求生成对应的文件强制访问控制策略模板。具体的，工控系统将客户端上报的文件强制访问控制策略信息加载到系统缓存中，同时对客户端配置的每个策略编号进行计数，并更新缓存信息，并对这些信息进行映射及存储，映射规则为：安全域配置的主客体及访问规则一致为一个编号，映射结果如表1所示。表1计算要素策略编号安全域规则11安全域规则22……安全域规则NN假定工控系统已配置了100台客户端的文件强制访问控制的策略，通过归并算法将这些客户端的配置策略情况进行汇总排序结果如表2所示。表2策略编号客户端数量配置百分比1100100％29999％99999％58989％38080％47070％86060％65959％74040％………NNN％安全等级保护要求分为基础级策略配置、重要级策略配置和专业级策略配置。基础级策略配置表示客户端为了满足等级保护要求对文件强制访问控制策略的基础配置。重要级策略配置表示客户端为了满足等级保护要求对文件强制访问控制策略的重要配置。专业级策略配置表示客户端为了满足等级保护要求对文件强制访问控制策略的专业配置。工控系统在构建文件强制访问控制策略模板时需要设定学习参数，学习参数为各等级保护要求的客户端数量采样占比，基础级策略配置客户端数量采样百分比表示为满足基础配置要求的客户端数量采样占比。重要级策略配置客户端数量采样百分比表示为满足重要配置要求的客户端数量采样占比。专业级策略配置客户端数量采样百分比表示为满足专业配置要求的客户端数量采样占比。假定基础级策略配置客户端数量采样百分比为99％，重要级策略配置客户端数量采样百分比为80％，本文档来自技高网...

【技术保护点】
1.一种工控网络文件强制访问控制策略配置的方法，其特征在于，包括：接收客户端上报的文件强制访问控制策略；根据所述文件强制访问控制策略向数据库调取相应的文件强制访问控制策略模板；向所述客户端发送所述文件强制访问控制策略模板，以使所述客户端根据所述文件强制访问控制策略模板进行配置；接收客户端发送的策略配置回执信息，根据所述策略配置回执信息更新所述数据库中的策略数据。

【技术特征摘要】
1.一种工控网络文件强制访问控制策略配置的方法，其特征在于，包括：接收客户端上报的文件强制访问控制策略；根据所述文件强制访问控制策略向数据库调取相应的文件强制访问控制策略模板；向所述客户端发送所述文件强制访问控制策略模板，以使所述客户端根据所述文件强制访问控制策略模板进行配置；接收客户端发送的策略配置回执信息，根据所述策略配置回执信息更新所述数据库中的策略数据。2.根据权利要求1所述的工控网络文件强制访问控制策略配置的方法，其特征在于，通过以下步骤构建所述文件强制访问控制策略模板：获取采样客户端及其配置策略情况；通过归并算法将所述采样客户端的配置策略情况进行汇总排序；根据汇总排序结果及安全等级保护要求生成对应的所述文件强制访问控制策略模板。3.根据权利要求1所述的工控网络文件强制访问控制策略统置的方法，其特征在于，根据所述策略配置回执信息更新所述数据库中的策略数据，包括：当回执信息为成功信息时，更新所述客户端的策略数据至所述数据库。4.根据权利要求1或3所述的工控网络文件强制访问控制策略配置的方法，其特征在于，根据所述策略配置回执信息更新所述数据库中的策略数据，包括：当回执信息为失败信息时，生成策略配置失败标记信息，反馈至所述数据库；获取所述客户端上报的新的配置策略，根据所述新的配置策略更新所述客户端的策略数据至所述数据库。5.根据权利要求1－4中任一项所述的工控网络文件强制访问控制策略配置的方法，其特征在于，还包括：判断是否接收到所述客户端上报的文件强制访问控制策略变更消息...

【专利技术属性】
技术研发人员：蒋红刚，杨建平，李飞，
申请(专利权)人：北京威努特技术有限公司，
类型：发明
国别省市：北京,11