[发明专利]一种多维度的控制系统安全管理方法

权利要求书

1.一种多维度的工业控制系统安全管理方法，其特征在于，所述安全管理方法包括以下步骤：

（1）安全策略配置

1.1在所述工业控制系统设置责任区的数据定义，作为系统安全管理的基本单元；

1.2根据责任区的管理范围和特点定制用户组，一个责任区中设置多个用户组，用户组属于某个责任区；

1.3在工业控制系统中设置实体的数据定义，实体设置所属责任区属性，标识实体所属的责任区，其中，所述实体为工业控制系统中所有设备、上位机以及其它可管理的设备和资源。

（2）运行时安全管理

2.1在所述工业控制系统的服务器上设置安全中心应用模块，安全中心应用模块按照责任区标识分区形成配置信息，将所述配置信息发送至与其责任区标识一致的实体；

2.2工业控制系统运行中的操作信息均发送至安全中心应用模块进行验证；

2.3安全中心应用模块负责工业控制系统的信息审计，信息审计结果按照操作的责任区对其具有管理权限的用户组开放。

2.根据权利要求1所述的多维度的工业控制系统安全管理方法，其特征在于：

在所述步骤1.1中，所述责任区是指按照工业控制系统的管理要求、功能属性及用户操作需求划分的逻辑区域，用于工业控制系统分区管理，由用户自行规划。

3.根据权利要求2所述的多维度的工业控制系统安全管理方法，其特征在于：

所述责任区包含标识、名称、用户组、等级属性，其中，标识属性具有唯一性。

4.根据权利要求1所述的多维度的工业控制系统安全管理方法，其特征在于：

在步骤1.2中，用户组有标识、权限集属性，其中权限集是所述工业控制系统中操作权限的集合，标识用户组内用户可进行的操作；用户设置所属用户组属性，标识用户所在的用户组。

5.根据权利要求1所述的多维度的工业控制系统安全管理方法，其特征在于：

在步骤1.3中，实体还设置有控制权属性，其属性值为责任区标识，控制权用于实体管理和执行关键操作，拥有实体控制权的责任区成为该实体的控制权责任区。

6.根据权利要求1所述的多维度的工业控制系统安全管理方法，其特征在于：

在步骤2.2中，首先验证责任区，提取用户所属用户组的责任区标识与被操作实体的责任区标识进行运算，如属于同一责任区则继续判断权限，反之认为操作非法不予执行；提取操作权限标识与用户组权限集进行计算，如用户组拥有权限则此操作进入执行状态，反之操作终止。

7.根据权利要求6所述的多维度的工业控制系统安全管理方法，其特征在于：

所述安全中心应用模块所进行的验证还进一步包括：在操作执行前，检验此操作是否为控制权责任区的操作，如是则操作立即执行，反之则等待其他操作执行完毕；

如果操作涉及单个责任区内实体，安全中心应用模块按照操作信息的责任区标识分类记录；对于跨责任区的管理信息和其他安全配置信息则记录所涉及的责任区及操作频率。

8.根据权利要求1所述的多维度的工业控制系统安全管理方法，其特征在于：

在步骤2.3中，所述审计包括两部分，其一是按操作的责任区标识进行汇总，审计结果仅对相应责任区具有管理权限的用户组开放；另外一部分部分针对工业控制系统整体进行，统计所述工业控制系统中所有跨责任区的信息，统计信息发放的范围和频率，仅对整个控制系统管理级的用户组开放。

9.根据权利1所述的多维度的工业控制系统安全管理方法，其特征在于：

责任区标识、用户组标识、操作权标识均为二进制位表示；实体的责任区属性值为多个责任区标识之和；

安全中心应用模块验证操作信息时，将所述责任区属性值与目标责任区标识进行位运算得到验证结果。