[发明专利]一种工业控制系统信息资产的安全防护方法

说明书

本发明涉及工业控制系统，旨在提供一种工业控制系统信息资产的安全防护方法。该种工业控制系统信息资产的安全防护方法，包括步骤：在工程师站的控制器中部署漏洞检测软件；将控制器接入工控系统网络；在控制器运行的过程中，漏洞检测软件执行拓扑扫描，获取工控系统网络中各种设备的信息；漏洞检测软件针对获取的信息，进行比较、匹配和判断，实现对工控系统网络设备的防护；扫描结束后，利用拓扑图显示所有扫描的设备，并显示所有设备的在线数、离线数和存在的漏洞个数。本发明具有应用场景广、兼容性高、可扩展性强、部署简单等特点，能够满足市场百分之八十的漏洞扫描挖掘需求。

技术领域

本发明是关于工业控制系统领域，特别涉及一种工业控制系统信息资产的安全防护方法。

背景技术

随着物联网技术的逐渐成熟及工业4.0的到来，在全世界范围内掀起了一场新的革命，工业安全网络防护的技术革命，传统的工业控制系统网络安全(简称工控安全)问题已成为企业及国家安全面临的严峻挑战，受到越来越多的企业及政府关注，尤其是在世界范围内出现了几次大的工业设备攻击事件。我国工业控制系统由于历史上的原因相对处于封闭落后的环境，大多只重视工业系统的功能实现，对工业系统的安全防护相对缺乏技术和管理经验，我国工控安全的现状处于“先天不足、后天失养、未来堪忧”的状态。工业控制系统的协议和设计，在研发时即偏重于功能的实时性和可靠实现，对安全攻击缺乏前期设计和有效抵御方法。另外，工业控制系统由于担心系统兼容性问题，通常不升级补丁，甚至有的工作站供应商明确要求用户不得自行升级系统，因此系统长期运行后会积累大量的安全漏洞；再加上运维过程中缺乏科学的安全意识、管理和技术方案，这些缺陷使工控系统面对网络安全攻击时极其脆弱，给安全生产带来极大隐患。

目前国内大量运行中的工控设备系统(尤其是已经运行了一段时间的设备)，在当初设计时多重视系统的功能实现，并没有充分考虑到安全问题，或者拥有的安全机制无法应对现在不断涌现的各类安全威胁挑战。如何为这些工控系统控制器提供适当的安全防护，同时保障生产安全、系统可靠和可扩展性无疑是当前工控企业需要重点解决的问题。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种基于网络拓扑技术和SNMP协议解析来实现工控系统信息资产安全防护的方法。为解决上述技术问题，本发明的解决方案是：

提供一种工业控制系统信息资产的安全防护方法，具体包括下述步骤：

(1)工控软件的工程师站运行，在工程师站的控制器中部署漏洞检测软件；

所述工控软件具体是指工业安全管控平台软件，其中包括工厂设备站、控制监控站和工程师站；工程师站能进行工控软件的安装、部署、调试，工程师站的控制器是指安装工业安全管控平台软件的设备；

(2)将控制器接入工控系统网络；

(3)按照设备类型及功能，对工控系统资产进行划分统计(即对工控现场的设备，会按照设备类型或设备的功能职责被划分在不同的区域)，显示统计结果(方便后续的拓扑发现，以及方便用户查看)；

(4)在控制器运行的过程中，漏洞检测软件能根据预先设定的规则，执行拓扑扫描；漏洞检测软件获取工控系统网络中各种设备的信息，信息包括设备的基本信息描述、ip、通信协议、端口号和运行信息，以及该设备的漏洞信息情况(该设备比对漏洞库的漏洞信息情况)；

所述预先设定的规则是指扫描IP网段、设备类型、区域进行组合生成的规则，即拓扑扫描规则；

(5)漏洞检测软件针对获取的信息，进行比较、匹配和判断，以实现对工控系统网络设备的防护，具体为：

当获取到不合乎常规的操作行为时，提示用户异常操作，由用户判断是否是异常操作(以实现提前预警)；

当获取到的信息匹配到漏洞库(保存有国家发布的漏洞库)时，则说明检测到恶意代码攻击，进行拦截和提示；