[发明专利]一种离心工厂工控安全防护系统及其安全防护运行方法

权利要求书

1.一种离心工厂工控安全防护系统，其特征在于，包括：系统控制模块、实时进程采集模块、进程库数据采集模块、进程管控模块、外联管控模块、日志报警模块、日志查询模块和白名单配置模块；所述系统控制模块与实时进程采集模块和进程库数据采集模块相连接，所述实时进程采集模块还分别连接进程库数据采集模块、进程管控模块和外联管控模块；所述进程管控模块和外联管控模块上还分别连接有日志报警模块；所述日志报警模块与日志查询模块连接；所述日志查询模块还有和白名单配置模块连接；所述实时进程采集模块内还包括：进程监视模块、外联监视模块和进程数据分析模块。

2.一种如权利要求1所述的离心工厂工控安全防护系统的安全防护运行方法，其特征在于，包括如下步骤：

步骤一：系统控制模块接收到进程启动事件及外联接入事件指令，实时进程采集模块接收系统控制模块启动/停止命令；

步骤二：进程库数据采集模块接收系统控制模块启动/停止命令，以判断是否运行进程库数据采集及进程数据分析；

步骤三：当步骤二中进程库数据采集模块接收系统控制模块启动命令时；实时进程采集模块内的进程监视模块调用白名单策略并启动进程管控模块进行进程管控；实时进程采集模块内的外联监视模块启动，并进行外联接入识别和外联策略判断，以启动外联管控模块进行外联管控；

步骤四：进程管控模块和外联管控模块对事件进行判断，同时启动日志报警模块与日志查询模块，并显示在工控系统界面上；

步骤五：在日志报警模块与日志查询模块中将工控系统的进程及外联接入情况进行报告和记录并发送给白名单配置模块并生成白名单列表。

3.如权利要求2所述的一种离心工厂工控安全防护系统的安全防护运行方法，其特征在于，所述步骤二还包括：当进程库数据采集模块接收系统控制模块启动命令，系统运行进程库数据采集及进程数据分析操作；所述进程库数据采集包括：对所有运行进程的信息抓取工作，包括进程名称，进程ID，进程路径以及用户等信息，以供及时获取实时的进程信息；

所述进程数据分析包括：进程在内核启动时的进程信息判别，并根据相关配置进行数据分析，保证进程在未调用系统资源之前，可根据配置进行控制，使其无法对主机内正常运行的程序造成破坏，并有效防止信息泄露以及病毒的传播；对已存在于主机但并未启动运行的程序进行发现，并以白名单进程库的形式进行保存，保证由于系统中部分未运行进程在需要运行时，可正常运行而不被管控功能所阻止。

4.如权利要求3所述的一种离心工厂工控安全防护系统的安全防护运行方法，其特征在于，所述步骤四中进程管控模块和外联管控模块对事件进行判断包括：将事件与进程管控策略和外联管控策略进行匹配和比对的方法进行进程危害评估、进程启动处理，外联危害评估、和外联接入处理；

所述进程管控策略包括：基于Windows系统的进程黑白名单控制方法，采用PsSetCreateProcessNotifyRoutine注册进程通知回调，对NtCreateSection、NtClose、NtCreateProcess函数进行挂钩，用于拦截和监控进程创建过程，同时还需拦截在创建进程时执行的函数NtCreateProcess、NtCreateProcessEx，用于判断被创建的进程是否允许运行，对非法的进程创建进行拦截，当系统调用“进程通知回调函数”时，则会对正在创建的进程再次进行判断控制进程是否允许运行；

所述外联管控策略包括：基于Windows系统的WMI机制，首先获取WINDOWS监控硬件设备的API函数，使用SetupDiGetClassDevs接口获取GUID并过滤设备，在使用SetupDiEnumDeviceInterfaces接口获取设备后，使用SetupDiGetDeviceInterfaceDetail截取外联接口相应的设备接入所发送的windows消息，并获取设备接口的详细信息。由于外联接入时是按照文件加载形式接入的，因此还需要通过CreateFile和ReadFile接口，获取设备文件以及设备路径；在通过WndProc监测到有外联设备接入的WINDOWS消息，并获取相应的设备信息后，根据需要通过调用DeviceIOControl方法，将外联设备锁定或移除。

5.如权利要求4所述的一种离心工厂工控安全防护系统的安全防护运行方法，其特征在于，所述步骤五中日志报警模块与日志查询模块中工控系统的进程及外联接入情况记录还包括实时监测。