[发明专利]一种工业互联网安全能力编排方法

说明书

一种工业互联网安全能力编排方法，包括以下步骤；S1：调用系统级API接口获得开发态安全设备的操作句柄，通过操作句柄调用安全设备上运行的安全服务程序、安全系统的管理员权限、安全机制的配置权限、安全工具的使用权限，并将其开放成安全组件调用接口API；S2：将安全组件根据功能分为风险收集类、异常检测类、通知类、事件处置类；S3：对安全组件的输入内容以及输出数据内容进行标准化适配；S4：划定安全事件处置权限，对于涉及工业生产大区、办公大区、互联网区的不同安全事件设定不同的操作权限，本发明具有处置速度快、自动化程度高、对人工依赖小的优点。

技术领域

本发明涉及工业互联网安全技术领域，特别涉及一种工业互联网安全能力编排方法。

背景技术

工业互联网面临着严峻的安全考验，为了保证工业互联网不收网络攻击的影响，在各个大区都部署了非常多的安全设备，然而在实际使用中却面临着诸多问题，首先是由于工业的特殊性导致各安全设备误报率都非常高，无法区分真实的安全事件与虚警，其次运维人员较少，当发生安全报警时，往往需要逐个排查安全隐患，导致处理效率低下，对人工依赖大，处置效果较差的情形，最后各个安全设备之间能力交叠的现象十分严重，但却并没有规避自身缺陷，反而使网络拓扑更加冗余，更加剧了运维的工作量。

发明内容

为了加快工业互联网安全响应速度，简化处置流程，缩短处置事件，充分发挥各安全设备作用，减轻安全人员的运维压力，本发明提供一种工业互联网安全能力编排方法，具有处置速度快、自动化程度高、对人工依赖小的优点。

一种工业互联网安全能力编排方法，包括以下步骤；

S1：调用系统级API接口获得开发态安全设备的操作句柄，通过操作句柄调用安全设备上运行的安全服务程序、安全系统的管理员权限、安全机制的配置权限、安全工具的使用权限，并将其开放成安全组件调用接口API；

S2：将安全组件根据功能分为风险收集类、异常检测类、通知类、事件处置类；

S3：定义结构化数据格式，对S2分类后的安全组件的输入内容以及输出数据内容进行标准化适配；

S4：划定安全事件处置权限，对于涉及工业生产大区、办公大区、互联网区的不同安全事件设定不同的操作权限，对于权限高的大区，应急处置流程需要人工审核并手动触发。

所述S1中的安全组件通过API的方式被调用并在获取标准化输入后可以执行自身逻辑并产生输出数据。

所述S1中的安全组件之间可以串行或者并行地完成运行过程。

针对每一类在工业互联网空间可能发生的安全事件设定不同的威胁指数，威胁指数值越小，危险程度越高；

针对安全事件库中的每一种安全行为，通过编排安全服务组件的形式构成应急处置方法或者资产管理策略。

所述S2中风险收集类获取原始威胁信息，将原始威胁信息进行解析，并以标准化格式进行输出；

异常检测类以风险收集类的输出信息作为输入，并通过关联分析、模式匹配的算法，排除虚警，获得真实攻击行为参数及设备状态信息，并以标准化格式进行输出；

事件处置类以异常检测类的输出信息作为输入，通过将攻击信息与标准化安全事件库进行比对，运行相应的应急处置方法、资产管理策略；

通知类接收其他各类组件的输出作为输入并以固定格式通过钉钉、QQ、微信、短信的方法通知运维人员。

本发明的有益效果：

本发明能够实现各安全设施之间的直接交互，减少了人员干预，提高了安全应急响应自动化程度；通过安全编排可以提高工业企业安全事件处置速度，简化应急响应处理流程，减少了人员投入；通过开放服务减小了安全设备能力之间的交叠，释放了安全设备潜力，增强了整个网络空间的安全防护能力。