一种工业互联网安全能力编排方法,包括以下步骤;S1:调用系统级API接口获得开发态安全设备的操作句柄,通过操作句柄调用安全设备上运行的安全服务程序、安全系统的管理员权限、安全机制的配置权限、安全工具的使用权限,并将其开放成安全组件调用接口API;S2:将安全组件根据功能分为风险收集类、异常检测类、通知类、事件处置类;S3:对安全组件的输入内容以及输出数据内容进行标准化适配;S4:划定安全事件处置权限,对于涉及工业生产大区、办公大区、互联网区的不同安全事件设定不同的操作权限,本发明专利技术具有处置速度快、自动化程度高、对人工依赖小的优点。
【技术实现步骤摘要】
一种工业互联网安全能力编排方法
本专利技术涉及工业互联网安全
,特别涉及一种工业互联网安全能力编排方法。
技术介绍
工业互联网面临着严峻的安全考验,为了保证工业互联网不收网络攻击的影响,在各个大区都部署了非常多的安全设备,然而在实际使用中却面临着诸多问题,首先是由于工业的特殊性导致各安全设备误报率都非常高,无法区分真实的安全事件与虚警,其次运维人员较少,当发生安全报警时,往往需要逐个排查安全隐患,导致处理效率低下,对人工依赖大,处置效果较差的情形,最后各个安全设备之间能力交叠的现象十分严重,但却并没有规避自身缺陷,反而使网络拓扑更加冗余,更加剧了运维的工作量。
技术实现思路
为了加快工业互联网安全响应速度,简化处置流程,缩短处置事件,充分发挥各安全设备作用,减轻安全人员的运维压力,本专利技术提供一种工业互联网安全能力编排方法,具有处置速度快、自动化程度高、对人工依赖小的优点。一种工业互联网安全能力编排方法,包括以下步骤;S1:调用系统级API接口获得开发态安全设备的操作句柄,通过操作句柄调用安全设备上运行的安全服务程序、安全系统的管理员权限、安全机制的配置权限、安全工具的使用权限,并将其开放成安全组件调用接口API;S2:将安全组件根据功能分为风险收集类、异常检测类、通知类、事件处置类;S3:定义结构化数据格式,对S2分类后的安全组件的输入内容以及输出数据内容进行标准化适配;S4:划定安全事件处置权限,对于涉及工业生产大区、办公大区、互联网区的不同安全事件设定不同的操作权限,对于权限高的大区,应急处置流程需要人工审核并手动触发。所述S1中的安全组件通过API的方式被调用并在获取标准化输入后可以执行自身逻辑并产生输出数据。所述S1中的安全组件之间可以串行或者并行地完成运行过程。针对每一类在工业互联网空间可能发生的安全事件设定不同的威胁指数,威胁指数值越小,危险程度越高;针对安全事件库中的每一种安全行为,通过编排安全服务组件的形式构成应急处置方法或者资产管理策略。所述S2中风险收集类获取原始威胁信息,将原始威胁信息进行解析,并以标准化格式进行输出;异常检测类以风险收集类的输出信息作为输入,并通过关联分析、模式匹配的算法,排除虚警,获得真实攻击行为参数及设备状态信息,并以标准化格式进行输出;事件处置类以异常检测类的输出信息作为输入,通过将攻击信息与标准化安全事件库进行比对,运行相应的应急处置方法、资产管理策略;通知类接收其他各类组件的输出作为输入并以固定格式通过钉钉、QQ、微信、短信的方法通知运维人员。本专利技术的有益效果:本专利技术能够实现各安全设施之间的直接交互,减少了人员干预,提高了安全应急响应自动化程度;通过安全编排可以提高工业企业安全事件处置速度,简化应急响应处理流程,减少了人员投入;通过开放服务减小了安全设备能力之间的交叠,释放了安全设备潜力,增强了整个网络空间的安全防护能力。附图说明图1为本专利技术安全能力编排的整体框架步骤。图2为本专利技术实施例提供工业信息大区设备感染病毒的一种安全处置过程示意图。具体实施方式下面结合附图对本专利技术作进一步详细说明。图1为安全能力编排的整体框架步骤。S1:将工业网络拓扑中的安全工具、安全机制、管理系统等安全设施,通过调用系统级API,获得开发态操作句柄,不影响设备运行逻辑,根据功能以API的形式提供安全服务,汇总安全服务API形成安全服务API资源池。S2:对安全服务API资源池中的服务根据功能进行划分,分为风险收集类、异常检测类、通知类、事件处置类,其具体功能为:风险收集类感知外界疑似入侵行为,包括可疑的流量、外联设备、日志信息、病毒感染;异常检测类通过对历史数据库、外部共享风险库等信息进行收集、过滤、格式化、归并存储并通过模式匹配、关联分析等分析方法进行风险确认,此外,异常检测类周期性地对网络资产进行探测扫描,对资产进行安全性评估;通知类包括QQ、微信、短信和钉钉,用于向运维人员报告风险信息或处置信息;事件处置类用于对各类型的攻击行为或安全隐患进行处置,主要包括防火墙隔离、补丁管理、配置表修改、资产管理系统、应急响应服务器、杀毒软件;S3:对接口进行标准化,包括:制定标准化数据格式,统一格式化数据字段的必填字段及可选字段,制定字段范围、参数表;通过API调用服务,获取输入数据及输出数据,对各个服务的输入输出信息进行适配,将其转换为标准格式;通过标准化输入输出可以将各个安全服务连接起来,风险收集类服务输出可以作为异常检测类的输入,异常检测类输出可以作为事件处置类的输入,通知类以其他各类输出作为输入;各类安全服务获得输入数据后可以自动或者触发式地执行自身处理逻辑,当为触发式执行时,需要获取以通知类输出为输入并获取触发命令。S4:进行安全能力编排,包括:划分区域及权限,根据设备所在网络空间将其处理权限划分为1~3级,工业生产大区为1级,信息大区为2级,互联网大区为3级,其中1级为最高权限。根据安全事件将安全服务进行编排,形成一条完整的处置流程,每一个安全服务都是该条处置流程中的一个节点,后一个节点从前一个节点获取输入,所有节点可以串行或者并行地执行各自功能,完成整个处置流程。当安全事件发生在不同的大区时,采用不同的处置流程,当在互联网大区时自动执行所有的处置步骤,例如,当在信息大区时须先通知运维人员确认再执行剩余处置步骤,当在工业生产大区时需先保证生产活动不受影响,执行基本的隔离策略,当设备状态为停运检修时再执行深度的风险处置。一种安全剧本编排方法:接口调用模块:通过调用系统级API获得开发态安全设施操作句柄,进而调用其上运行的安全服务程序接口、安全中间件接口,并将其开放为API接口,通过调用API接口可以在代码端实现使用安全设备服务的能力、使用安全工具的能力、系统的高级操作权限、通知类APP的使用权限,从而忽略厂商、架构、编程语言的差异,形成具有特定安全功能的安全服务资源池。功能分类模块:将安全服务资源池中的组件根据功能划分为风险收集类、异常检测类、通知类、事件处置类,每一个大类中包含来自不同安全设施具有相近功能的安全服务,风险收集类用于获取原始安全事件,异常检测类用于剔除虚警信息并获取真实攻击参数,事件处置类用于应急处置及资产管理,通知类用于报告执行节点信息或获取运维人员命令。数据适配模块:制定标准化数据格式,制定标准安全事件库,包括对参数字段的必填参数、选填参数、数据范围规定进行统一界定,将安全服务的输入输出数据适配为标准化数据,且异常检测类以风险收集类输出数据作为输入数据执行,事件处置类以异常检测类输出数据作为输入数据执行,通知类可以接收其他三类的输出并能够从运维人员接受触发参数。安全编排模块:根据标准安全事件库,制定处置流程,根据工业互联网的工业生产大区、信息本文档来自技高网...
【技术保护点】
1.一种工业互联网安全能力编排方法,其特征在于,包括以下步骤;/nS1:调用系统级API接口获得开发态安全设备的操作句柄,通过操作句柄调用安全设备上运行的安全服务程序、安全系统的管理员权限、安全机制的配置权限、安全工具的使用权限,并将其开放成安全组件调用接口API;/nS2:将安全组件根据功能分为风险收集类、异常检测类、通知类、事件处置类;/nS3:定义结构化数据格式,对S2分类后的安全组件的输入内容以及输出数据内容进行标准化适配;/nS4:划定安全事件处置权限,对于涉及工业生产大区、办公大区、互联网区的不同安全事件设定不同的操作权限,对于权限高的大区,应急处置流程需要人工审核并手动触发。/n
【技术特征摘要】
1.一种工业互联网安全能力编排方法,其特征在于,包括以下步骤;
S1:调用系统级API接口获得开发态安全设备的操作句柄,通过操作句柄调用安全设备上运行的安全服务程序、安全系统的管理员权限、安全机制的配置权限、安全工具的使用权限,并将其开放成安全组件调用接口API;
S2:将安全组件根据功能分为风险收集类、异常检测类、通知类、事件处置类;
S3:定义结构化数据格式,对S2分类后的安全组件的输入内容以及输出数据内容进行标准化适配;
S4:划定安全事件处置权限,对于涉及工业生产大区、办公大区、互联网区的不同安全事件设定不同的操作权限,对于权限高的大区,应急处置流程需要人工审核并手动触发。
2.根据权利要求1所述的一种工业互联网安全能力编排方法,其特征在于,所述S1中的安全组件通过API的方式被调用并在获取标准化输入后可以执行自身逻辑并产生输出数据。
3.根据权利要求1所述的一种工业互联网安全能力编排方法,其特征在于,所述S...
【专利技术属性】
技术研发人员:董夏昕,毕玉冰,高原英,陈燕,宋润,邓楠轶,介银娟,朱博迪,刘超飞,王文庆,崔逸群,杨东,杨新民,
申请(专利权)人:华能国际电力股份有限公司,西安热工研究院有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。