[发明专利]一种工业控制系统信息资产的安全防护方法

权利要求书

1.一种工业控制系统信息资产的安全防护方法，其特征在于，具体包括下述步骤：

(1)工控软件的工程师站运行，在工程师站的控制器中部署漏洞检测软件；

(2)将控制器接入工控系统网络；

(3)按照设备类型及功能，对工控系统资产进行划分统计，显示统计结果；

(4)在控制器运行的过程中，漏洞检测软件能根据预先设定的规则，执行拓扑扫描；漏洞检测软件获取工控系统网络中各种设备的信息，信息包括设备的基本信息描述、ip、通信协议、端口号和运行信息，以及该设备的漏洞信息情况；

所述预先设定的规则是指扫描IP网段、设备类型、区域进行组合生成的规则，即拓扑扫描规则；

(5)漏洞检测软件针对获取的信息，进行比较、匹配和判断，以实现对工控系统网络设备的防护，具体为：

当获取到不合乎常规的操作行为时，提示用户异常操作，由用户判断是否是异常操作；

当获取到的信息匹配到漏洞库时，则说明检测到恶意代码攻击，进行拦截和提示；

(6)扫描结束后，利用拓扑图显示所有扫描的设备，并显示所有设备的在线数、离线数和存在的漏洞个数。

2.根据权利要求1所述的一种工业控制系统信息资产的安全防护方法，其特征在于，所述步骤(1)中，漏洞检测软件是基于协议解析原理嵌入在控制器应用层的软件。

3.根据权利要求1所述的一种工业控制系统信息资产的安全防护方法，其特征在于，所述步骤(4)中，设备的基本信息描述包括产品型号、生产厂家和设备描述，设备的运行信息是指设备运行时cup和内存的占有率。

4.根据权利要求1所述的一种工业控制系统信息资产的安全防护方法，其特征在于，所述步骤(4)中的拓扑扫描规则，用户能进行手动配置。

5.根据权利要求1所述的一种工业控制系统信息资产的安全防护方法，其特征在于，所述步骤(4)中，漏洞检测软件执行拓扑扫描时，通过SNMP协议访问底层的设备，底层引擎通过解析协议来获取设备信息。

6.根据权利要求1所述的一种工业控制系统信息资产的安全防护方法，其特征在于，所述步骤(5)中，不合乎常规的操作行为是指：

随着用户操作次数的增加，模拟出操作走势线，如果新的操作行为偏离操作线超过阈值，则认为该操作行为是不合乎常规的操作行为。

7.根据权利要求1所述的一种工业控制系统信息资产的安全防护方法，其特征在于，对于步骤(6)中用于展示扫描结果的拓扑图，通过单击来查看设备的详细信息，详细信息包括设备的基本信息描述、端口信息、漏洞信息、准入控制信息和网络监控信息。

8.根据权利要求1所述的一种工业控制系统信息资产的安全防护方法，其特征在于，步骤(6)中，通过拓扑图显示扫描结果后，能够选择跳到步骤(3)对对扫描出来的设备重新进行划分统计，再次执行后续步骤，以重新进行图谱发现。