本发明专利技术提供一种工控终端策略控制系统和工控终端策略控制方法,其中工控终端策略控制系统,包括:多个PC终端以及与所述多个PC终端通信连接,用于向所述多个PC终端发送控制策略的配置审计端;所述PC终端具有采集控制模块,所述采集控制模块采集所述PC终端信息并将采集信息的数据上报给所述配置审计端,所述配置审计端根据所述数据计算得到控制策略发送给所述多个PC终端,所述采集控制模块接收并运行所述控制策略。根据本发明专利技术的工控终端策略控制系统可以根据各PC端的用户的操作进行实时监控,通过实时检测和计算可以及时鉴别和处理用户的误操作或者是违规操作,这样能够及时地对新型威胁和攻击进行有效应对,使得系统能够安全稳定地运行。
Industrial control terminal strategy control system and industrial control terminal strategy control method
【技术实现步骤摘要】
工控终端策略控制系统及工控终端策略控制方法
本专利技术涉及工业控制系统的安全防护领域,尤其涉及一种工控终端策略控制系统及该控制系统的控制方法。
技术介绍
随着网络、通信和计算机等技术的迅猛发展,工业控制系统朝着信息化、数字化的方向不断推进,打破了传统的“物理隔离神话”,使得工业控制系统已不再是信息的孤岛,终端设备安全及终端数据安全面临严重威胁,其中以APT攻击危害性最大。APT在攻击时,具有极强隐秘性,很难被检测到,传统的基于特征匹配的入侵检测系统、防火墙等网络安全防御设施无法抵御APT攻击。而新型的基于节点模型,流量监测,协议分析等新技术手段仍待完善。此外,工业控制系统自身演进也由集中控制、分布式控制到总线控制。如何有效监管各系统工作状态及对各组件进行有效控制成为应对新型威胁的重要检测手段。工控系统核心部件包括:安全管理区,服务器区、数据中继部件及其他辅助部件等。其中安全管理区进行数据采集,并通过数据中继部件将本地终端状态,任务执行情况等信息上报到控制服务中心,同时接收来自控制服务中心下放的控制策略并执行相关操作。控制服务区则接收来自安全管理部分上传数据,利用可视化计算将数据呈现出来,对结果进行监控,并记录日志等。同时利用数据中继部件将控制指令下发各终端,终端执行相关操作。服务器区在下放控制指令时,需要提供相关的控制策略及审计策略。控制策略、审计策略制定依赖于经验或保密要求,一经制定且很少改动。导致对新型威胁和攻击不能有效地应对。同时,没有有效利用审计日志进行回馈分析,不能及时更新策略。专利
技术实现思路
本专利技术的目的在于解决上述
技术介绍
中的至少一个问题,提供一种工控终端策略控制系统及工控终端策略控制方法。为实现上述目的,本专利技术提供一种工控终端策略控制系统,其特征在于,包括:多个PC终端以及与所述多个PC终端通信连接、用于向所述多个PC终端发送控制策略的配置审计端;所述PC终端具有采集控制模块,所述采集控制模块采集所述PC终端信息并将采集信息的数据上报给所述配置审计端,所述配置审计端根据所述数据计算得到控制策略发送给所述多个PC终端,所述采集控制模块接收并运行所述控制策略。根据本专利技术的一个方面,所述配置审计端包括:动态策略生成模块、静态策略池、动态策略池、策略下放模块、日志显示模块、日志解析模块、日志接收模块以及数据存储功能模块。根据本专利技术的一个方面,所述日志接收模块接收所述PC终端的上报数据;所述日志解析模块对所述日志接收模块中接收的上报数据进行解析还原并存储于所述数据存储功能模块,所述数据存储功能模块中的数据用于日志显示和日志回馈分析;所述动态策略生成模块通过将所述日志解析模块解析数据进行实时计算,并对所述PC终端的上报数据进行聚类分析,对所述PC终端的相关用户进行评分和分类,并根据用户分类数据生成相关控制策略;所述动态策略池记录所述动态策略生成模块中生成的控制策略;所述静态策略池为现有配置用户策略控制模块,其中包括外设控制策略、进程控制策略、刻录控制策略、文件监控控制策略、打印监控控制策略、服务监控控制策略和违规外联控制策略;所述策略下放模块将所述静态策略池和所述动态策略池中的策略做与运算,并将运算后的策略下放到所述PC终端。根据本专利技术的一个方面,所述采集控制模块采集所述PC终端信息包括终端ID、终端类型、终端名称、终端操作系统、终端所属部门名称、终端资产编号、资产所有人名称、用户名称、代理商版本、完整的IP地址、网关、MAC地址、关键字信息、终端状态、删除标志位、用户密级、网络状态、在线标志位、上线时间、下线时间、创建时间、最后修改时间、软硬件信息、账户信息、运行资源信息、启动项和计划任务。为实现上述目的,本专利技术还提供一种工控终端策略控制方法,其特征在于,包括以下步骤:所述采集控制模块将采集数据上报给所述配置审计端;所述配置审计端对所述采集数据进行实时计算并进行聚类分析,得到对应控制策略发送给所述PC终端;所述配置审计端对所述PC终端的用户的行为事件数据进行评分,根据所述控制策略判断数据对应的分数是否达到系统设定阈值,若是,则对所述PC终端的用户进行对应行为事件的审计处理。根据本专利技术的一个方面,所述配置审计端对所述采集数据进行实时计算为动态策略生成模块对日志解析模块解析后的数据进行实时计算,实时计算用户登录密码校验成功率、用户终端匹配率、用户权限使用率、用户资源访问率、运行资源匹配率、启动项匹配率和计划任务匹配率,然后通过所述数据存储功能模块对计算信息进行存储,并获得当前操作与历史操作之间的偏移率A。根据本专利技术的一个方面,所述当前操作包括误操作次数和正常操作次数,所述偏移率为误操作次数与所述历史操作总次数的比值。根据本专利技术的一个方面,通过所述动态策略生成模块对采集数据进行聚类分析,分析后将分析结果按用户数量由少到多进行等级划分,同时设定基准等级,判断当前误操作是否小于基准等级,若是,则提取与该误操作对应的控制策略,并将该策略在静态策略池内的细分类别形成新策略,同时将该策略计入动态策略池,将所述静态策略池和所述动态策略池中的策略做与运算,形成控制策略发送给所述PC终端。根据本专利技术的一个方面,通过所述动态策略生成模块对所述PC终端的用户的行为事件数据进行评分,评分式为:100-a*(1-A)*d-b*d,其中a为动态策略加权系数,b为静态策略加权系数,a+b=1,d为策略减分数。根据本专利技术的一个方面,还包括:评分后通过动态策略生成模块标记误操作的违规类别,并将包括所述违规类别在内的违规信息存入数据存储功能模块,同时生成告警信息下发给所述PC终端。根据本专利技术的一个方案,工控终端策略控制系统可以根据各PC端的用户的操作进行实时监控,通过实时检测和计算可以及时鉴别和处理用户的误操作或者是违规操作,这样能够及时地对新型威胁和攻击进行有效应对。不仅如此,本专利技术的工控终端策略控制系统还能够对PC端上报数据进行日志显示和日志回馈分析,这样就使得配置审计端能够及时更新策略,使得监测和控制更加及时精准。根据本专利技术的一个方案,审计策略为实时审计,对于违规用户及违规行为能够及时鉴别和处理,使得对新型威胁能够有效且及时地应对,能够及时更新应对控制策略。如此一来,在工业制造等过程中,能够实现实时采集和监测工业系统的运行状态并实现实时控制运行状态,使得系统能够安全稳定地运行,例如在工业、能源、交通、水利等领域中实现终端数据即便面临威胁,也使得系统能够有效应对,使得系统不会因为误操作或者违规操作而瘫痪,保证生产能够安全顺利地进行。附图说明图1示意性表示根据本专利技术的一种实施方式的工控终端策略控制系统的结构图;图2示意性表示根据本专利技术的一种实施方式的工控终端策略控制方法的流程图。具体实施方式下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本专利技术一部分实施例,而不是全部的实施例。基于本本文档来自技高网...
【技术保护点】
1.一种工控终端策略控制系统,其特征在于,包括:多个PC终端以及与所述多个PC终端通信连接、用于向所述多个PC终端发送控制策略的配置审计端;/n所述PC终端具有采集控制模块,所述采集控制模块采集所述PC终端信息并将采集信息的数据上报给所述配置审计端,所述配置审计端根据所述数据计算得到控制策略发送给所述多个PC终端,所述采集控制模块接收并运行所述控制策略。/n
【技术特征摘要】
1.一种工控终端策略控制系统,其特征在于,包括:多个PC终端以及与所述多个PC终端通信连接、用于向所述多个PC终端发送控制策略的配置审计端;
所述PC终端具有采集控制模块,所述采集控制模块采集所述PC终端信息并将采集信息的数据上报给所述配置审计端,所述配置审计端根据所述数据计算得到控制策略发送给所述多个PC终端,所述采集控制模块接收并运行所述控制策略。
2.根据权利要求1所述的工控终端策略控制系统,其特征在于,所述配置审计端包括:动态策略生成模块、静态策略池、动态策略池、策略下放模块、日志显示模块、日志解析模块、日志接收模块以及数据存储功能模块。
3.根据权利要求2所述的工控终端策略控制系统,其特征在于,
所述日志接收模块接收所述PC终端的上报数据;
所述日志解析模块对所述日志接收模块中接收的上报数据进行解析还原并存储于所述数据存储功能模块,所述数据存储功能模块中的数据用于日志显示和日志回馈分析;
所述动态策略生成模块通过将所述日志解析模块解析数据进行实时计算,并对所述PC终端的上报数据进行聚类分析,对所述PC终端的相关用户进行评分和分类,并根据用户分类数据生成相关控制策略;
所述动态策略池记录所述动态策略生成模块中生成的控制策略;
所述静态策略池为现有配置用户策略控制模块,其中包括外设控制策略、进程控制策略、刻录控制策略、文件监控控制策略、打印监控控制策略、服务监控控制策略和违规外联控制策略;
所述策略下放模块将所述静态策略池和所述动态策略池中的策略做与运算,并将运算后的策略下放到所述PC终端。
4.根据权利要求1所述的工控终端策略控制系统,其特征在于,所述采集控制模块采集所述PC终端信息包括终端ID、终端类型、终端名称、终端操作系统、终端所属部门名称、终端资产编号、资产所有人名称、用户名称、代理商版本、完整的IP地址、网关、MAC地址、关键字信息、终端状态、删除标志位、用户密级、网络状态、在线标志位、上线时间、下线时间、创建时间、最后修改时间、软硬件信息、账户信息、运行资源信息、启动项和计划任务。
5.一种如权利要...
【专利技术属性】
技术研发人员:周文,成龙,董贵山,彭伟伦,邹大均,刘波,刘志刚,
申请(专利权)人:中国航空油料集团有限公司,中国电子科技网络信息安全有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。