[发明专利]工控系统的通信数据安全审计方法及装置

说明书

技术领域

本发明涉及工业控制安全领域，尤其涉及一种工控系统的通信数据安全审计方法及装置。

背景技术

工控系统中，各智能电子设备(Intelligent Electronic Device缩写为IED)之间通过通信协议进行通信。为了实现工控系统行为可追溯，识别危险操作，保证工控系统安全，需要对工控系统中的通信数据进行安全审计。

传统的安全审计按照通信协议对通信数据进行分析，记录其中的字段信息，形成对通信行为的审计记录。传统的安全审计方法并不考虑工控系统的业务功能，只按照通信协议里的通信原语识别出通信行为，无法识别通信行为代表工控系统的哪种业务功能，即无法识别通信行为代表的业务行为。传统的安全审计方法也不考虑工控系统的业务规则，无法对通信行为代表的业务行为按照业务规则进行审计分析。

由于以上问题的存在，传统安全审计方法只能对工控系统中的通信行为进行审计，不能识别业务行为，更不能对业务行为是否符合业务规则进行审计，无法满足工控系统的安全审计需求。因为现有技术就是简单的通过通信原语的识别确定通信数据的通信行为。例如，确定通信数据用于对某一个节点(IED)进行数据的读取或者写入。当工控系统出现问题后，只能逐一地判断审计所记录的所有的通信数据以确定造成问题的通信数据，故障或威胁排除效率低。这对于实时性要求极高的工控系统来说将会导致巨大的损失。

发明内容

本发明实施例提供一种工控系统的通信数据安全审计方法及装置，用于至少解决上述技术问题之一。

第一方面，本发明实施例提供一种工控系统的通信数据安全审计方法，其包括：解析获取的通信数据以确定所述通信数据所包含的业务行为数据；根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则集；判断所述工控系统的当前状态是否满足所述业务规则集，并进行相应的记录。

第二方面，本发明实施例还提供一种工控系统的通信数据安全审计装置，所述装置包括：

数据解析模块，用于解析获取的通信数据以确定所述通信数据所包含的业务行为数据；

业务规则集确定模块，用于根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则集；

判断记录模块，用于判断所述工控系统的当前状态是否满足所述业务规则集，并进行相应的记录。

第三方面，本发明实施例提供一种非易失性计算机可读存储介质，所述存储介质中存储有一个或多个包括执行指令的程序，所述执行指令能够被电子设备(包括但不限于计算机，服务器，或者网络设备等)读取并执行，以用于执行本发明上述任一项工控系统的通信数据安全审计方法。

第四方面，提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明上述任一项工控系统的通信数据安全审计方法。

第五方面，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任一项工控系统的通信数据安全审计方法。

本发明实施例的有益效果在于：在审查通信数据时不仅要确定通信数据的通信行为，还要确定通信行为所代表的业务行为。从而判断该业务行为是否符合对应的业务规则集，并进行记录。从而，当工控系统出现问题后，只需要从记录的不符合业务规则的通信数据中就能确定导致问题出现的通信数据。减少了故障或者威胁导致因素的确定时间，提升了故障或者威胁排查的效率，为尽快恢复工控系统节省了时间。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的工控系统的通信数据安全审计方法一实施例的流程图；

图2为图1中步骤S12的一实施例的流程图；

图3为本发明一实施例中的业务功能模型的结构示意图；

图4为本发明一实施例中的业务功能模型的示例的结构示意图；

图5为本发明一实施例中的业务规则模型的结构示意图；

图6为本发明一实施例中的业务规则模型的示例的结构示意图；

图7为图1中步骤S13的一实施例的流程图；