[发明专利]一种工控系统网络拓扑安全重构方法、装置及存储介质

说明书

本发明涉及一种工控系统网络拓扑安全重构方法、装置及存储介质，该方法包括：基于预置工控网络拓扑重构方案进行工控设备拓扑重构，确定第一工控设备的第一重构拓扑；根据第一重构拓扑和拓扑重构参量，得到第一拓扑校验向量；将第一拓扑校验向量在工控系统中进行遍历发送，并接收第二拓扑校验向量；对第二拓扑校验向量执行拓扑结构校验，确定第二重构拓扑；若确定得到的第二重构拓扑与接收到的第二拓扑校验向量中的第二重构拓扑匹配，则记录第二拓扑校验向量；基于预设校验规则确定第一重构拓扑为目标拓扑，将第一拓扑校验向量记录在第一工控设备，解决了工控系统治理中网络拓扑固化，不能及时有效对网络拓扑有效、安全地进行重构的问题。

技术领域

本发明涉及网络领域，尤其涉及一种工控系统网络拓扑安全重构方法、装置及存储介质。

背景技术

当工控系统在运行过程中遭遇网络故障或受到网络攻击时，部分工控网络节点无法正常通讯，影响了工控网络的数据传输，造成工控网络中工控设备间连接关系的变化，相当于从网络中移除相应的工控网络节点，导致本来连通的网络不再连通，引起网络边界的变化。

在工控网络中的部分节点受到攻击失陷后，攻击者将会继续对工控系统网络拓扑中的连接关系造成进一步的破坏，使得工控网络中各工控设备认知的网络拓扑不一致或者网络拓扑有误，导致工控网络的连通性受到影响或者网络资源利用率较低，进而造成巨大的损失。因此，在部分节点功能异常的情况下，如何有效地、安全地对工控系统网络的拓扑进行有效的重构是亟待解决的问题。

发明内容

为克服相关技术中存在的问题，本发明提供一种工控系统网络拓扑安全重构方法、装置及存储介质。

根据本发明实施例的第一方面，提供一种工控系统网络拓扑安全重构方法，所述方法包括：

当接收到拓扑重构指令时，基于预置工控网络拓扑重构方案进行工控设备拓扑重构，确定第一工控设备的第一重构拓扑；

根据所述第一重构拓扑和与所述拓扑重构指令对应的拓扑重构参量，得到第一拓扑校验向量；

将所述第一拓扑校验向量，在工控系统中进行遍历发送，并接收所述工控系统中第二工控设备的第二拓扑校验向量；

基于预置工控网络拓扑校验协议，对第二工控设备的第二拓扑校验向量执行拓扑结构校验，确定第二工控设备的第二重构拓扑；

若确定得到的第二工控设备的第二重构拓扑与接收到的第二工控设备的第二拓扑校验向量中的第二重构拓扑匹配，则记录第二工控设备的第二拓扑校验向量；

基于预设校验规则确定所述第一重构拓扑为目标拓扑，将所述第一拓扑校验向量记录在第一工控设备。

根据本发明实施例的第二方面，提供一种工控系统网络拓扑安全重构装置，所述装置包括：

第一确定模块，用于当接收到拓扑重构指令时，基于预置工控网络拓扑重构方案进行工控设备拓扑重构，确定第一工控设备的第一重构拓扑；

第二确定模块，用于根据所述第一重构拓扑和与所述拓扑重构指令对应的拓扑重构参量，得到第一拓扑校验向量；

遍历发送模块，用于将所述第一拓扑校验向量，在工控系统中进行遍历发送，并接收所述工控系统中第二工控设备的第二拓扑校验向量；

校验模块，用于基于预置工控网络拓扑校验协议，对第二工控设备的第二拓扑校验向量执行拓扑结构校验，确定第二工控设备的第二重构拓扑；

第一纪录模块，用于若确定得到的第二工控设备的第二重构拓扑与接收到的第二工控设备的第二拓扑校验向量中的第二重构拓扑匹配，则记录第二工控设备的第二拓扑校验向量；

第二纪录模块，用于基于预设校验规则确定所述第一重构拓扑为目标拓扑，将所述第一拓扑校验向量记录在第一工控设备。