本申请涉及一种工控设备运维审计系统、工控设备运维方法和计算机设备,其中,该工控设备运维审计系统包括:桥接终端、运维终端和工控设备;桥接终端包括第一网络适配器和第二网络适配器,运维终端与第一网络适配器连接,工控设备与第二网络适配器连接,桥接终端用于在第一网络适配器和第二网络适配器之间建立网桥连接,并通过网桥连接的网桥配置信息配置允许运维终端访问的工控设备。通过本申请,解决了相关技术中存在的工控设备的运维安全问题,提升了工控设备的运维安全性。
【技术实现步骤摘要】
工控设备运维审计系统、工控设备运维方法、计算机设备
本申请涉及工控设备运维领域,特别是涉及一种工控设备运维审计系统、工控设备运维方法以及计算机设备。
技术介绍
近些年来,网络安全管理平台在电网等传统工业行业中承担着越来越重要的任务。通过在调度主站台部署网络安全管理平台,加固调度数据网主站端设备的安全性,在内部调度数据网设备设置横向隔离、纵向加密、权限认证和访问控制等安全防护措施,实现对工控设备的维护安全的有效防护。目前,监控系统设备在进行运维作业时,通常采用监控系统专用的运维电脑直接连接站控网络层,进行维护操作,这其中存在运维作业事前无防护、事中无审计、事后无追踪的问题,而且运维方式过于陈旧,缺乏有效的网络安全防护手段。随着网络攻击事件的频繁发生,当前传统工业互联网方面的网络安全显得尤为重要。目前对工业网络内部进行检修作业时。经常需要直接登录监控主机进行检修作业,或者采用监控系统专用的运维电脑直接连接站内设备进行检修作业。两者都缺乏有效的网络安全防护手段,如果检修人员的错误操作,操作了本不应该是自己作业的设备或者操作了一些高危的端口,可能会造成网络安全事故。针对上述问题,相关技术提出了一种堡垒机技术。堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。然而,现有的堡垒机技术存在以下缺陷:堡垒机技术在实际应用中通常是作为跳板机来进行运维。在实际应用中,被运维设备通常处于某个局域网中,运维厂商在进行运维作业时,被运维设备严禁连接至该局域网外部的网络。堡垒机通常只留有一个备用IP供运维人员使用,因此,堡垒机相当于和运维电脑在同一网段。如果堡垒机部署在局域网外,则运维电脑将无法连接至运维设备,无法实施运维作业;如果堡垒机接入局域网内,则运维电脑可直接接入被运维设备,存在安全隐患。目前,针对相关技术中存在的工控设备的运维安全问题,尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种工控设备运维审计系统、工控设备运维方法和计算机设备,以至少解决相关技术中存在的工控设备的运维安全问题。第一方面,本申请实施例提供了一种工控设备运维审计系统,包括:桥接终端、运维终端和工控设备;所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,所述桥接终端用于在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,并通过所述网桥连接的网桥配置信息配置允许所述运维终端访问的工控设备。在其中一些实施例中,所述系统还包括:非易失性可读存储介质,用于获取所述网桥配置信息,以及将所述网桥配置信息拷贝至所述桥接终端。在其中一些实施例中,所述系统还包括:管理平台,所述管理平台用于生成所述网桥配置信息,其中,所述网桥配置信息包括:工控设备的IP地址信息和端口信息。第二方面,本申请实施例提供了一种工控设备运维方法,应用于工控设备运维审计系统,其中,所述工控设备运维审计系统包括桥接终端、运维终端和工控设备,所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,所述工控设备运维方法包括:所述桥接终端获取网桥配置信息,所述网桥配置信息包括允许所述运维终端访问的工控设备的地址信息;所述桥接终端根据所述网桥配置信息,在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,以使得所述运维终端通过所述网桥连接对所述工控设备进行运行维护。在其中一些实施例中,桥接终端获取网桥配置信息之后,所述方法还包括:所述桥接终端校验所述网桥配置信息是否正确;以及在校验到所述网桥配置信息正确的情况下,根据所述网桥配置信息配置所述第一网络适配器和所述第二网络适配器之间建立网桥连接。在其中一些实施例中,所述桥接终端根据所述网桥配置信息,配置允许所述运维终端访问的工控设备,以允许所述运维终端对所述工控设备进行运维操作包括:所述网桥配置信息包括所述工控设备的IP地址信息和端口信息,所述桥接终端根据所述工控设备的IP地址信息和端口信息,建立所述运维终端和所述工控设备之间的通讯链路。在其中一些实施例中,在所述桥接终端根据所述网桥配置信息,配置允许所述运维终端访问的工控设备之后,所述方法还包括:所述桥接终端从所述运维终端获取运维记录,其中,所述运维记录包括以下至少之一:所述运维终端的录屏信息、所述运维终端与所述工控设备之间的交互数据;所述桥接终端根据所述运维记录,识别所述运维记录中是否存在违规操作;所述桥接终端在识别到违规操作的情况下,中断所述运维终端至所述工控设备之间的通讯链路,并发出告警信息。在其中一些实施例中,在所述桥接终端从所述运维终端获取运维记录之后,所述方法还包括:所述桥接终端通过非易失性可读存储介质或通信网络将所述运维记录发送至管理平台。在其中一些实施例中,桥接终端获取网桥配置信息包括:所述桥接终端通过非易失性可读存储介质或通信网络从管理平台获取所述网桥配置信息。第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第二方面所述的工控设备运维方法。相比于相关技术,本申请实施例提供的工控设备运维审计系统、工控设备运维方法和计算机设备,通过桥接终端、运维终端和工控设备;桥接终端包括第一网络适配器和第二网络适配器,运维终端与第一网络适配器连接,工控设备与第二网络适配器连接,桥接终端用于在第一网络适配器和第二网络适配器之间建立网桥连接,并通过网桥连接的网桥配置信息配置允许运维终端访问的工控设备,解决了相关技术中存在的工控设备的运维安全问题,提升了工控设备的运维安全性。本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例的工控设备运维审计系统的结构框图;图2是根据本申请实施例的运维场景的示意图;图3是根据本申请实施例的工控设备运维方法的流程图;图4是根据本申请优选实施例的工控设备运维方法的时序图;图5是根据本申请实施例的计算机设备的硬件结构示意图。附图说明:101、桥接终端;102、运维终端;1011、第一网络适配器;1012、第二网络适配器;103、工控设备;1031、监控主机;1032、远动设备;1033、测控设备;201、第一局域网;202、第二局域网;300、移动设备;400、运维电脑;50、总线本文档来自技高网...
【技术保护点】
1.一种工控设备运维审计系统,其特征在于,包括:桥接终端、运维终端和工控设备;所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,所述桥接终端用于在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,并通过所述网桥连接的网桥配置信息配置允许所述运维终端访问的工控设备。/n
【技术特征摘要】
1.一种工控设备运维审计系统,其特征在于,包括:桥接终端、运维终端和工控设备;所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,所述桥接终端用于在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,并通过所述网桥连接的网桥配置信息配置允许所述运维终端访问的工控设备。
2.根据权利要求1所述的工控设备运维审计系统,其特征在于,所述系统还包括:
非易失性可读存储介质,用于获取所述网桥配置信息,以及将所述网桥配置信息拷贝至所述桥接终端。
3.根据权利要求2所述的工控设备运维审计系统,其特征在于,所述系统还包括:
管理平台,所述管理平台用于生成所述网桥配置信息,其中,所述网桥配置信息包括:工控设备的IP地址信息和端口信息。
4.一种工控设备运维方法,应用于工控设备运维审计系统,其中,所述工控设备运维审计系统包括桥接终端、运维终端和工控设备,所述桥接终端包括第一网络适配器和第二网络适配器,所述运维终端与所述第一网络适配器连接,所述工控设备与所述第二网络适配器连接,其特征在于,所述工控设备运维方法包括:
所述桥接终端获取网桥配置信息,所述网桥配置信息包括允许所述运维终端访问的工控设备的地址信息;
所述桥接终端根据所述网桥配置信息,在所述第一网络适配器和所述第二网络适配器之间建立网桥连接,以使得所述运维终端通过所述网桥连接对所述工控设备进行运行维护。
5.根据权利要求4所述的工控设备运维方法,其特征在于,桥接终端获取网桥配置信息之后,所述方法还包括:
所述桥接终端校验所述网桥配置信息是否正确;以及在校验到所述网桥配置信息正确的情况下,根据所述网桥配置信息...
【专利技术属性】
技术研发人员:王东海,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。