本发明专利技术涉及工业控制系统安全安全风险评估和配置核查领域技术领域,特别涉及一种基于配置表的工控系统安全风险评估的方法,采用如下步骤:步骤一:构建核心调度引擎,建立数据库组、引擎库、工控资产信息库,形成工业安全配置基线检查工具;步骤二:步骤一中的数据库组由工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库组成;它针对构成工业控制系统的工控设备、网络设备、工控应用、服务、组件等,以及工控系统普遍采用的IT设备、操作系统、数据库等组件进行资产探测、配置安全基线核查、漏洞检测,实现快速检测,发现漏洞,从而能够快速得到检测结果,发现基线配置存在的安全风险。
【技术实现步骤摘要】
一种基于配置表的工控系统安全风险评估的方法
本专利技术涉及工业控制系统安全安全风险评估和配置核查领域,涉及一种基于配置表的工控系统安全风险评估的方法。
技术介绍
现代工业基础设施包括电力、石油与天然气、化工、水利、工业制造及交通控制等重点行业,构成了我国国民经济、现代社会以及国家安全的重要基础。工业基础设施中关键应用、系统的故障可能导致人员伤亡、严重的经济损失、基础设施被破坏、环境灾难、危及公众生活及国家安全等。工业控制系统构成了现代工业基础设施的神经系统。传统上,工业控制系统多为采用专用技术的封闭网络,对外没有互联互通,其面临的信息安全威胁不突出。相应地,各种工业控制设备、应用、系统、通信协议都主要针对专有的封闭环境而设计。由于没有现实的信息安全威胁,工业自动化控制系统在设计、实现与部署过程中,其主要指标是可用性、功能、性能、(物理)安全性、实时性等,而无须过多考虑网络攻击、信息安全等问题。近几十年来,各种工业控制系统正快速地从封闭、孤立的系统走向开放、互联(包括与传统IT系统互联),日益广泛地采用以太网/IP/TCP网络作为通信基础设施,将工业控制协议迁移到TCP/IP协议栈的应用层;采用包括IWLAN、GPRS等在内的各种无线网络;广泛采用标准的Windows等商用操作系统、设备、软件、中间件与各种通用技术。典型的工业自动化控制系统,包括SCADA(数据采集与监控系统)、DCS(分布式控制系统)、PLC(可编程逻辑控制器)等,正日益变得开放、通用和标准化。工业控制系统在享受开放、互联技术带来的进步、效率与利益的同时,也面临着日益严重的安全威胁。由于长期缺乏安全需求的推动,对采用TCP/IP等通用技术的网络环境下广泛存在的安全威胁缺乏充分认识,现有工业控制系统过去在设计、研发中几乎完全没有考虑信息安全的问题,在部署、运维中又缺乏安全意识、管理、流程、策略与相关专业技术的支撑,导致许多工业控制系统中存在着这样或那样的安全问题,一旦被无意或恶意利用,就会造成各种严重的安全事件。本司经过多年的实践与探索,世界各国或多或少都已意识到针对工业控制系统开展全面的安全测评,摸清、掌握工业控制系统潜在的安全风险与面临的安全威胁,有助于以此为起点推动工业控制领域各相关机构、客户与厂商等各方共同参与、相互配合,改进和完善现有工业控制系统,并研发更安全、可靠的新的工业控制系统。能够实现针对IT设备及工控设备配置基线的安全检查,分析重要IT设备、工控设备、网络设备安全配置情况,发现基线配置存在的安全风险。
技术实现思路
本专利技术的目的在于针对现有技术的缺陷和不足,提供一种基于配置表的工控系统安全风险评估的方法,它具有远程和本地对IT设备和工控设备进行安全配置检查的能力,并且符合相应安全规范,同时具有友好的人机界面和报表系统,实现基线检查工作的智能化、自动化。为实现上述目的,本专利技术采用的技术方案是:本专利技术所述的一种基于配置表的工控系统安全风险评估的方法,采用如下步骤:步骤一:构建核心调度引擎,建立数据库组、引擎库、工控资产信息库,形成工业安全配置基线检查工具;步骤二:步骤一中的数据库组由工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库组成;步骤三:步骤一中的引擎库由扫描策略引擎,发包引擎,采集引擎,判别引擎组成;步骤四:步骤二中的工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库,为核心调度引擎提供数据源一;步骤五:步骤一中的工控资产信息库为核心调度引擎提供数据源二;步骤六:步骤四中的数据源一和步骤五中的数据源二,形成数据源库;步骤六:核心调度引擎通过发包引擎来对工控设备/软件进行检查,扫描引擎来对待检查的工控设备/软件,通过调用步骤五中的数据源二,来制定检查策略,然后采集引擎来采集工控设备/软件中的检查的数据,将收集到的数据送至判别引擎,判别引擎调用步骤四中的数据源一,利用工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库,来判别检查得到检查结果数据,判别引擎再将检查结果数据送至核心调度引擎,核心调度引擎再将检查结果进行显示。进一步地,步骤一中的工业安全配置基线检查工具由展示层、核心业务层、数据采集层、外部系统层和评估对象层组成;其中:(1)展示层包括资产分类分布层、资产漏洞分布层、任务执行维护层组成,通过资产分类分布层、资产漏洞分布层、任务执行维护层,利用工具能够得到资产合规分析结果,资产漏洞分析结果和全网不合规指标分布;其中:(2)核心业务层由任务管理、资产管理,配置管理,漏洞核查、评分系统、报表管理、系统管理、知识库管理组成;任务管理由任务配置、任务执行、任务合并、任务比较和手动任务组成;资产管理由资产探测、资产识别、资产维护、资产统计组成;配置管理由联网设备核查、本地配置核查、核查策略管理、核查分析统计组成;漏洞核查由脆弱性核查、漏洞分析、漏洞加固建议组成;评分系统由评分规则管理、评分计算、评分统计组成;报表管理由报表模板管理、报表分类管理、报表生成管理组成;系统管理由用记管理、角色管理、系统审计、备份与恢复组成;知识库管理由指纹库管理、漏洞库管理、资产信息库组成;其中:数据采集层由在线采集和离线采集组成;数据采集层由采集脚本管理、采集调度管理、采集协议管理组成;离线采集由离线采集引擎管理、离线脚本管理、离线结果管理组成;其中:(3)评估对象层由工控设备、网络设备、安全设备、Web中间件、数据库和操作系统组成;其中:(4)外部系统层由风险测评工具系统、资产系统、漏洞信息系统组成。采用上述结构后,本专利技术有益效果为:本专利技术所述的一种基于配置表的工控系统安全风险评估的方法,它针对构成工业控制系统的工控设备、网络设备、工控应用、服务、组件等,以及工控系统普遍采用的IT设备、操作系统、数据库等组件进行资产探测、配置安全基线核查、漏洞检测,实现快速检测,发现漏洞,从而能够快速得到检测结果,发现基线配置存在的安全风险。附图说明图1是本专利技术的拓扑框架结构图;图2是本专利技术的风险评估工具系统架构图;图3是本专利技术的与工控系统设备之间的部署方式的拓扑图;图4是本专利技术的目标资产的风险程度检测的拓扑图;图5是本专利技术的漏洞发现检测的拓扑图;图6是本专利技术的工控漏洞发现的流程示意图;图7是本专利技术的快速资产发现的流程示意图。具体实施方式下面结合附图对本专利技术作进一步的说明。如图1所示,本专利技术所述的一种基于配置表的工控系统安全风险评估的方法,采用如下步骤:步骤一:构建核心调度引擎,建立数据库组、引擎库、工控资产信息库,形成工业安全配置基线检查工具;步骤二:步骤一中的数据库组由工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库组成;步骤三:步骤一中的引擎库由扫描策略引擎,发包引擎,采集引擎,判别引擎组成;步骤四:步骤二中的工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库,为核心调度引擎提供数据源一;步骤五:步骤一中的工控资产信息库为核心调度引擎提供数据源二;步骤六:步骤四中的数据源一和步骤五中的数据源二,形成数据源库;步骤六:核心调度引擎通过发包引擎来对工控设备/软件进行检查,扫描引擎来对待检查的工控设备/软件,通过调用步骤五中的数据源二,来制定检查策略,然后采集引擎来采集工控设备/软件本文档来自技高网...
【技术保护点】
1.一种基于配置表的工控系统安全风险评估的方法,其特征在于:采用如下步骤:步骤一:构建核心调度引擎,建立数据库组、引擎库、工控资产信息库,形成工业安全配置基线检查工具;步骤二:步骤一中的数据库组由工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库组成;步骤三:步骤一中的引擎库由扫描策略引擎,发包引擎,采集引擎,判别引擎组成;步骤四:步骤二中的工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库,为核心调度引擎提供数据源一;步骤五:步骤一中的工控资产信息库为核心调度引擎提供数据源二;步骤六:步骤四中的数据源一和步骤五中的数据源二,形成数据源库;步骤六:核心调度引擎通过发包引擎来对工控设备/软件进行检查,扫描引擎来对待检查的工控设备/软件,通过调用步骤五中的数据源二,来制定检查策略,然后采集引擎来采集工控设备/软件中的检查的数据,将收集到的数据送至判别引擎,判别引擎调用步骤四中的数据源一,利用工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库,来判别检查得到检查结果数据,判别引擎再将检查结果数据送至核心调度引擎,核心调度引擎再将检查结果进行显示。
【技术特征摘要】
1.一种基于配置表的工控系统安全风险评估的方法,其特征在于:采用如下步骤:步骤一:构建核心调度引擎,建立数据库组、引擎库、工控资产信息库,形成工业安全配置基线检查工具;步骤二:步骤一中的数据库组由工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库组成;步骤三:步骤一中的引擎库由扫描策略引擎,发包引擎,采集引擎,判别引擎组成;步骤四:步骤二中的工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库,为核心调度引擎提供数据源一;步骤五:步骤一中的工控资产信息库为核心调度引擎提供数据源二;步骤六:步骤四中的数据源一和步骤五中的数据源二,形成数据源库;步骤六:核心调度引擎通过发包引擎来对工控设备/软件进行检查,扫描引擎来对待检查的工控设备/软件,通过调用步骤五中的数据源二,来制定检查策略,然后采集引擎来采集工控设备/软件中的检查的数据,将收集到的数据送至判别引擎,判别引擎调用步骤四中的数据源一,利用工控协议、设备、软件数据库,工控漏洞数据库,关键扫描指令数据库,来判别检查得到检查结果数据,判别引擎再将检查结果数据送至核心调度引擎,核心调度引擎再将检查结果进行显示。2.根据权利要求1所述的一种基于配置表的工控系统安全风险评估的方法,其特征在于:步骤一中的工业安全配置基线检查工具由展示层、核心业务...
【专利技术属性】
技术研发人员:王进,孙帅,何跃鹰,邹潇湘,林冠洲,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。