本发明专利技术提出一种基于安全基线的工控机安全防护系统及方法,根据工控网络中每台工控机终端的信息,为工控机终端建立安全基线;当有未知数据进入工控网络中时,检测未知数据安全性;根据未知数据的安全性检测结果对安全基线进行更新;且对于安全的未知数据,可在工控网络中放行,对于不安全的未知数据,不允许其在工控网络中运行。本发明专利技术能够通过封闭式安全基线维护工控网络中设备的安全;本发明专利技术可对设备安全基线进行动态更新;本发明专利技术对未知数据的检测以及安全基线的建立都在服务端进行,不占用工控机终端设备资源,不影响工控机终端设备的业务工作。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种基于安全基线的工控机安全防护系统及方法。
技术介绍
目前网络攻击从针对大众的无明确目的的恶意攻击转变为目标明确的以发动信息战为目的的高级威胁攻击,现有技术的反恶意程序软件采用的是黑名单机制,依靠单纯的特征码扫描技术作为核心技术,这种机制无法满足保护工控机安全的目的。
技术实现思路
针对上述现有技术中存在的问题,本专利技术提出一种基于安全基线的工控机安全防护系统及方法,根据工控网络中每台工控机终端的信息,为工控机终端建立安全基线;当有未知数据进入工控网络中时,检测未知数据安全性;根据未知数据的安全性检测结果对安全基线进行更新;且对于安全的未知数据,可在工控网络中放行,对于不安全的未知数据,不允许其在工控网络中运行。具体
技术实现思路
包括:一种工控安全基线管理服务端,包括:信息管理模块,用于管理工控网络内每台工控机终端的信息;安全基线管理模块,用于根据信息管理模块中的信息建立工控网络的安全基线,以及更新安全基线;安全防御模块,用于检测进入工控网络的未知数据的安全性;数据传输管理模块,用于与工控网络内的工控机终端建立数据传输关系。进一步地,所述工控机终端的信息包括:工控机磁盘中的文件信息、允许访问工控机终端的外设信息、工控机终端的硬件信息、工控机终端的系统环境信息。进一步地,所述未知数据包括:安全基线外的文件、安全基线外的外接设备信息。进一步地,所述建立工控网络的安全基线,具体为:根据工控网络内每台工控机终端的信息,分别为每台工控机终端建立不同的安全基线。进一步地,所述更新安全基线,具体为:当有未知数据进入工控网络后,根据安全防御模块得到的安全性检测结果,对安全基线进行更新;其中,更新过程具体为:根据未知数据具体进入的工控机终端设备,以相应工控机终端设备的安全基线为基准,通过安全防御模块对未知数据的安全性进行检测,判定相应未知数据相对于哪些工控机终端是安全的,以及相对于哪些工控机终端是不安全的,并将相应未知数据信息写入相对是安全的工控机终端的安全基线中,而相对是不安全的工控机终端的安全基线不做更新。进一步地,所述数据传输管理模块具体用于:接收工控网络内工控机终端上传的工控机终端信息,并发送给信息管理模块;接收工控网络内工控机终端上传的未知数据信息并发送给安全防御模块;向工控网内工控机终端下发安全基线,以及更新安全基线时向工控网络内相应的工控机终端下发更新的安全基线。一种安全工控机终端,包括:信息采集模块,用于采集工控机终端的信息,以及当有未知数据进入工控机终端时采集未知数据的信息;安全基线模块,用于存储并管理更新工控机终端的安全基线信息;数据传输模块,用于与服务端建立数据传输关系。进一步地,所述工控机终端的信息包括:工控机磁盘中的文件信息、允许访问工控机终端的外设信息、工控机终端的硬件信息、工控机终端的系统环境信息。进一步地,所述未知数据的信息包括:安全基线外的文件信息、安全基线外的外接设备信息。进一步地,所述数据传输模块具体用于:将工控机终端的信息以及未知数据信息上报给服务端,接收服务端下发的安全基线信息以及更新的安全基线信息。一种基于安全基线的工控机安全防护系统,包括所述的服务端,以及至少一个所述的工控机终端;其中,数据传输管理模块与数据传输模块在传输数据时,对待传输的数据进行加密处理,且通过http协议进行数据的传输。一种基于安全基线的工控机安全防护方法,包括:根据工控网络中每台工控机终端的信息,为工控机终端建立安全基线;当有未知数据进入工控网络中时,检测未知数据安全性;根据未知数据的安全性检测结果对安全基线进行更新。进一步地,所述工控机终端的信息包括:工控机磁盘中的文件信息、允许访问工控机终端的外设信息、工控机终端的硬件信息、工控机终端的系统环境信息。进一步地,所述未知数据包括:安全基线外的文件、安全基线外的外接设备信息。进一步地,所述为工控机终端建立安全基线,具体为:根据工控网络内每台工控机终端的信息,分别为每台工控机终端建立不同的安全基线。进一步地,所述检测未知数据安全性,具体为:根据未知数据具体进入的工控机终端设备,以相应工控机终端设备的安全基线为基准,对未知数据的安全性进行检测,判定相应未知数据相对于哪些工控机终端是安全的,以及相对于哪些工控机终端是不安全的。进一步地,所述对安全基线进行更新,具体为:根据未知数据的安全性检测结果,将相应未知数据信息写入其相对是安全的工控机终端的安全基线中,实现安全基线的更新,而相对其是不安全的工控机终端的安全基线不做更新。本专利技术的有益效果是:本专利技术能够通过封闭式安全基线维护工控网络中设备的安全;本专利技术可对设备安全基线进行动态更新;本专利技术对未知数据的检测以及安全基线的建立都在服务端进行,不占用工控机终端设备资源,不影响工控机终端设备的业务工作。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种工控安全基线管理服务端的结构图;图2为本专利技术一种安全工控机终端的结构图;图3为本专利技术一种基于安全基线的工控机安全防护系统的结构图;图4为本专利技术一种基于安全基线的工控机安全防护的方法流程图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术给出了一种工控安全基线管理服务端的实施例,如图1所述,包括:信息管理模块101,用于管理工控网络内每台工控机终端的信息;安全基线管理模块102,用于根据信息管理模块101中的信息建立工控网络的安全基线,以及更新安全基线;安全防御模块103,用于检测进入工控网络的未知数据的安全性;数据传输管理模块104,用于与工控网络内的工控机终端建立数据传输关系。优选地,所述工控机终端的信息包括:工控机磁盘中的文件信息、允许访问工控机终端的外设信息、工控机终端的硬件信息、工控机终端的系统环境信息。优选地,所述未知数据包括:安全基线外的文件、安全基线外的外接设备信息。优选地,所述建立工控网络的安全基线,具体为:根据工控网络内每台工控机终端的信息,分别为每台工控机终端建立不同的安全基线。优选地,所述更新安全基线,具体为:当有未知数据进入工控网络后,根据安全防御模块103得到的安全性检测结果,对安全基线进行更新;其中,更新过程具体为:根据未知数据具体进入的工控机终端设备,以相应工控机终端设备的安全基线为基准,通过安全防御模块103对未知数据的安全性进行检测,判定相应未知数据相对于哪些工控机终端是安全的,以及相对于哪些工控机终端是不安全的,并将相应未知数据信息写入相对是安全的工控机终端的安全基线中,而相对是不安全的工控机终端的安全基线不做更新。优选地,所述数据传输管理模块104具体用于:接收工控网络内工控机终端上传的工控机终端信息,并发送给信息管理模块101;接收工控网络内工控机终端上传的未知数据信息并发送给安全防御模块103;向工控网内工控机终端下发安全基线,以及更新安本文档来自技高网...
【技术保护点】
一种工控安全基线管理服务端,其特征在于,包括:信息管理模块,用于管理工控网络内每台工控机终端的信息;安全基线管理模块,用于根据信息管理模块中的信息建立工控网络的安全基线,以及更新安全基线;安全防御模块,用于检测进入工控网络的未知数据的安全性;数据传输管理模块,用于与工控网络内的工控机终端建立数据传输关系。
【技术特征摘要】
1.一种工控安全基线管理服务端,其特征在于,包括:信息管理模块,用于管理工控网络内每台工控机终端的信息;安全基线管理模块,用于根据信息管理模块中的信息建立工控网络的安全基线,以及更新安全基线;安全防御模块,用于检测进入工控网络的未知数据的安全性;数据传输管理模块,用于与工控网络内的工控机终端建立数据传输关系。2.如权利要求1所示的服务端,其特征在于,所述工控机终端的信息包括:工控机磁盘中的文件信息、允许访问工控机终端的外设信息、工控机终端的硬件信息、工控机终端的系统环境信息。3.如权利要求2所述的服务端,其特征在于,所述未知数据包括:安全基线外的文件、安全基线外的外接设备信息。4.如权利要求3所述的服务端,其特征在于,所述建立工控网络的安全基线,具体为:根据工控网络内每台工控机终端的信息,分别为每台工控机终端建立不同的安全基线。5.如权利要求4所述的服务端,其特征在于,所述更新安全基线,具体为:当有未知数据进入工控网络后,根据安全防御模块得到的安全性检测结果,对安全基线进行更新;其中,更新过程具体为:根据未知数据具体进入的工控机终端设备,以相应工控机终端设备的安全基线为基准,通过安全防御模块对未知数据的安全性进行检测,判定相应未知数据相对于哪些工控机终端是安全的,以及相对于哪些工控机终端是不安全的,并将相应未知数据信息写入相对是安全的工控机终端的安全基线中,而相对是不安全的工控机终端的安全基线不做更新。6.如权利要求5所述的服务端,其特征在于,所述数据传输管理模块具体用于:接收工控网络内工控机终端上传的工控机终端信息,并发送给信息管理模块;接收工控网络内工控机终端上传的未知数据信息并发送给安全防御模块;向工控网内工控机终端下发安全基线,以及更新安全基线时向工控网络内相应的工控机终端下发更新的安全基线。7.一种安全工控机终端,其特征在于,包括:信息采集模块,用于采集工控机终端的信息,以及当有未知数据进入工控机终端时采集未知数据的信息;安全基线模块,用于存储并管理更新工控机终端的安全基线信息;数据传输模块,用于与服务端建立数据传输关系。8.如权利要求7所述的工控机终端,其特征在于,所述工控机终...
【专利技术属性】
技术研发人员:匡贺,徐翰隆,肖新光,
申请(专利权)人:北京安天电子设备有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。