本發(fā)明涉及工業(yè)控制安全領(lǐng)域,尤其涉及一種工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法及裝置。
背景技術(shù):
工控系統(tǒng)中,各智能電子設(shè)備(Intelligent Electronic Device縮寫為IED)之間通過(guò)通信協(xié)議進(jìn)行通信。為了實(shí)現(xiàn)工控系統(tǒng)行為可追溯,識(shí)別危險(xiǎn)操作,保證工控系統(tǒng)安全,需要對(duì)工控系統(tǒng)中的通信數(shù)據(jù)進(jìn)行安全審計(jì)。
傳統(tǒng)的安全審計(jì)按照通信協(xié)議對(duì)通信數(shù)據(jù)進(jìn)行分析,記錄其中的字段信息,形成對(duì)通信行為的審計(jì)記錄。傳統(tǒng)的安全審計(jì)方法并不考慮工控系統(tǒng)的業(yè)務(wù)功能,只按照通信協(xié)議里的通信原語(yǔ)識(shí)別出通信行為,無(wú)法識(shí)別通信行為代表工控系統(tǒng)的哪種業(yè)務(wù)功能,即無(wú)法識(shí)別通信行為代表的業(yè)務(wù)行為。傳統(tǒng)的安全審計(jì)方法也不考慮工控系統(tǒng)的業(yè)務(wù)規(guī)則,無(wú)法對(duì)通信行為代表的業(yè)務(wù)行為按照業(yè)務(wù)規(guī)則進(jìn)行審計(jì)分析。
由于以上問(wèn)題的存在,傳統(tǒng)安全審計(jì)方法只能對(duì)工控系統(tǒng)中的通信行為進(jìn)行審計(jì),不能識(shí)別業(yè)務(wù)行為,更不能對(duì)業(yè)務(wù)行為是否符合業(yè)務(wù)規(guī)則進(jìn)行審計(jì),無(wú)法滿足工控系統(tǒng)的安全審計(jì)需求。因?yàn)楝F(xiàn)有技術(shù)就是簡(jiǎn)單的通過(guò)通信原語(yǔ)的識(shí)別確定通信數(shù)據(jù)的通信行為。例如,確定通信數(shù)據(jù)用于對(duì)某一個(gè)節(jié)點(diǎn)(IED)進(jìn)行數(shù)據(jù)的讀取或者寫入。當(dāng)工控系統(tǒng)出現(xiàn)問(wèn)題后,只能逐一地判斷審計(jì)所記錄的所有的通信數(shù)據(jù)以確定造成問(wèn)題的通信數(shù)據(jù),故障或威脅排除效率低。這對(duì)于實(shí)時(shí)性要求極高的工控系統(tǒng)來(lái)說(shuō)將會(huì)導(dǎo)致巨大的損失。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明實(shí)施例提供一種工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法及裝置,用于至少解決上述技術(shù)問(wèn)題之一。
第一方面,本發(fā)明實(shí)施例提供一種工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法,其包括:解析獲取的通信數(shù)據(jù)以確定所述通信數(shù)據(jù)所包含的業(yè)務(wù)行為數(shù)據(jù);根據(jù)所述業(yè)務(wù)行為數(shù)據(jù)確定執(zhí)行所述業(yè)務(wù)行為工控系統(tǒng)所需滿足的業(yè)務(wù)規(guī)則集;判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述業(yè)務(wù)規(guī)則集,并進(jìn)行相應(yīng)的記錄。
第二方面,本發(fā)明實(shí)施例還提供一種工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置,所述裝置包括:
數(shù)據(jù)解析模塊,用于解析獲取的通信數(shù)據(jù)以確定所述通信數(shù)據(jù)所包含的業(yè)務(wù)行為數(shù)據(jù);
業(yè)務(wù)規(guī)則集確定模塊,用于根據(jù)所述業(yè)務(wù)行為數(shù)據(jù)確定執(zhí)行所述業(yè)務(wù)行為工控系統(tǒng)所需滿足的業(yè)務(wù)規(guī)則集;
判斷記錄模塊,用于判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述業(yè)務(wù)規(guī)則集,并進(jìn)行相應(yīng)的記錄。
第三方面,本發(fā)明實(shí)施例提供一種非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述存儲(chǔ)介質(zhì)中存儲(chǔ)有一個(gè)或多個(gè)包括執(zhí)行指令的程序,所述執(zhí)行指令能夠被電子設(shè)備(包括但不限于計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)讀取并執(zhí)行,以用于執(zhí)行本發(fā)明上述任一項(xiàng)工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法。
第四方面,提供一種電子設(shè)備,其包括:至少一個(gè)處理器,以及與所述至少一個(gè)處理器通信連接的存儲(chǔ)器,其中,所述存儲(chǔ)器存儲(chǔ)有可被所述至少一個(gè)處理器執(zhí)行的指令,所述指令被所述至少一個(gè)處理器執(zhí)行,以使所述至少一個(gè)處理器能夠執(zhí)行本發(fā)明上述任一項(xiàng)工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法。
第五方面,本發(fā)明實(shí)施例還提供一種計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī)程序產(chǎn)品包括存儲(chǔ)在非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算程序,所述計(jì)算機(jī)程序包括程序指令,當(dāng)所述程序指令被計(jì)算機(jī)執(zhí)行時(shí),使所述計(jì)算機(jī)執(zhí)行上述任一項(xiàng)工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法。
本發(fā)明實(shí)施例的有益效果在于:在審查通信數(shù)據(jù)時(shí)不僅要確定通信數(shù)據(jù)的通信行為,還要確定通信行為所代表的業(yè)務(wù)行為。從而判斷該業(yè)務(wù)行為是否符合對(duì)應(yīng)的業(yè)務(wù)規(guī)則集,并進(jìn)行記錄。從而,當(dāng)工控系統(tǒng)出現(xiàn)問(wèn)題后,只需要從記錄的不符合業(yè)務(wù)規(guī)則的通信數(shù)據(jù)中就能確定導(dǎo)致問(wèn)題出現(xiàn)的通信數(shù)據(jù)。減少了故障或者威脅導(dǎo)致因素的確定時(shí)間,提升了故障或者威脅排查的效率,為盡快恢復(fù)工控系統(tǒng)節(jié)省了時(shí)間。
附圖說(shuō)明
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法一實(shí)施例的流程圖;
圖2為圖1中步驟S12的一實(shí)施例的流程圖;
圖3為本發(fā)明一實(shí)施例中的業(yè)務(wù)功能模型的結(jié)構(gòu)示意圖;
圖4為本發(fā)明一實(shí)施例中的業(yè)務(wù)功能模型的示例的結(jié)構(gòu)示意圖;
圖5為本發(fā)明一實(shí)施例中的業(yè)務(wù)規(guī)則模型的結(jié)構(gòu)示意圖;
圖6為本發(fā)明一實(shí)施例中的業(yè)務(wù)規(guī)則模型的示例的結(jié)構(gòu)示意圖;
圖7為圖1中步驟S13的一實(shí)施例的流程圖;
圖8為本發(fā)明的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置的一實(shí)施例的結(jié)構(gòu)框圖;
圖9為本發(fā)明的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置的業(yè)務(wù)規(guī)則確定模塊一實(shí)施例的結(jié)構(gòu)框圖;
圖10為本發(fā)明的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置的判斷記錄模塊一實(shí)施例的結(jié)構(gòu)框圖;
圖11為本發(fā)明的電子設(shè)備的一實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施方式
為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
需要說(shuō)明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。
本發(fā)明可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中描述,例如程序模塊。一般地,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、程序、對(duì)象、元件、數(shù)據(jù)結(jié)構(gòu)等等。也可以在分布式計(jì)算環(huán)境中實(shí)踐本發(fā)明,在這些分布式計(jì)算環(huán)境中,由通過(guò)通信網(wǎng)絡(luò)而被連接的遠(yuǎn)程處理設(shè)備來(lái)執(zhí)行任務(wù)。在分布式計(jì)算環(huán)境中,程序模塊可以位于包括存儲(chǔ)設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中。
在本發(fā)明中,“模塊”、“裝置”、“系統(tǒng)”等等指應(yīng)用于計(jì)算機(jī)的相關(guān)實(shí)體,如硬件、硬件和軟件的組合、軟件或執(zhí)行中的軟件等。詳細(xì)地說(shuō),例如,元件可以、但不限于是運(yùn)行于處理器的過(guò)程、處理器、對(duì)象、可執(zhí)行元件、執(zhí)行線程、程序和/或計(jì)算機(jī)。還有,運(yùn)行于服務(wù)器上的應(yīng)用程序或腳本程序、服務(wù)器都可以是元件。一個(gè)或多個(gè)元件可在執(zhí)行的過(guò)程和/或線程中,并且元件可以在一臺(tái)計(jì)算機(jī)上本地化和/或分布在兩臺(tái)或多臺(tái)計(jì)算機(jī)之間,并可以由各種計(jì)算機(jī)可讀介質(zhì)運(yùn)行。元件還可以根據(jù)具有一個(gè)或多個(gè)數(shù)據(jù)包的信號(hào),例如,來(lái)自一個(gè)與本地系統(tǒng)、分布式系統(tǒng)中另一元件交互的,和/或在因特網(wǎng)的網(wǎng)絡(luò)通過(guò)信號(hào)與其它系統(tǒng)交互的數(shù)據(jù)的信號(hào)通過(guò)本地和/或遠(yuǎn)程過(guò)程來(lái)進(jìn)行通信。
最后,還需要說(shuō)明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái),而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語(yǔ)“包括”、“包含”,不僅包括那些要素,而且還包括沒(méi)有明確列出的其他要素,或者是還包括為這種過(guò)程、方法、物品或者設(shè)備所固有的要素。在沒(méi)有更多限制的情況下,由語(yǔ)句“包括……”限定的要素,并不排除在包括所述要素的過(guò)程、方法、物品或者設(shè)備中還存在另外的相同要素。
如圖1所示,本發(fā)明的一實(shí)施例的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法,包括:
S11、解析獲取的通信數(shù)據(jù)以確定所述通信數(shù)據(jù)所包含的業(yè)務(wù)行為數(shù)據(jù);
S12、根據(jù)所述業(yè)務(wù)行為數(shù)據(jù)確定執(zhí)行所述業(yè)務(wù)行為工控系統(tǒng)所需滿足的業(yè)務(wù)規(guī)則集;
S13、判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述業(yè)務(wù)規(guī)則集,并進(jìn)行相應(yīng)的記錄。
本實(shí)施例的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法可以由一種數(shù)據(jù)安全審計(jì)設(shè)備執(zhí)行。步驟S11中是通過(guò)將數(shù)據(jù)安全審計(jì)設(shè)備于工控系統(tǒng)中的交換機(jī)進(jìn)行并聯(lián)設(shè)置的方式來(lái)獲取工控系統(tǒng)中的通信數(shù)據(jù)的。本實(shí)施例方法在審查通信數(shù)據(jù)時(shí)不僅要確定通信數(shù)據(jù)的通信行為,還要確定通信行為所代表的業(yè)務(wù)行為。從而判斷該業(yè)務(wù)行為是否符合對(duì)應(yīng)的業(yè)務(wù)規(guī)則集,并進(jìn)行記錄(包括符合和不符合業(yè)務(wù)規(guī)則集的情況的記錄)。從而,當(dāng)工控系統(tǒng)出現(xiàn)問(wèn)題后,只需要從記錄的不符合業(yè)務(wù)規(guī)則集的通信數(shù)據(jù)中就能確定導(dǎo)致問(wèn)題出現(xiàn)的通信數(shù)據(jù)。減小了故障或者威脅導(dǎo)致因素確定的時(shí)間,為盡快恢復(fù)工控系統(tǒng)節(jié)省了時(shí)間。
如圖2所示,在一些實(shí)施例中,所述業(yè)務(wù)行為數(shù)據(jù)至少包括目標(biāo)智能電子設(shè)備標(biāo)識(shí)、操作行為標(biāo)識(shí);步驟S12所述根據(jù)所述業(yè)務(wù)行為數(shù)據(jù)確定執(zhí)行所述業(yè)務(wù)行為工控系統(tǒng)所需滿足的業(yè)務(wù)規(guī)則集包括:
S121、根據(jù)所述目標(biāo)智能電子設(shè)備標(biāo)識(shí)和操作行為標(biāo)識(shí)確定所述業(yè)務(wù)行為;
S122、根據(jù)預(yù)先建立的業(yè)務(wù)規(guī)則模型確定相應(yīng)于所述業(yè)務(wù)行為的業(yè)務(wù)規(guī)則集。
本實(shí)施例中步驟S121中根據(jù)所述目標(biāo)智能電子設(shè)備標(biāo)識(shí)和操作行為標(biāo)識(shí)確定所述業(yè)務(wù)行為包括:根據(jù)獲取的目標(biāo)智能電子設(shè)備標(biāo)識(shí)和操作行為標(biāo)識(shí)從預(yù)先生成的業(yè)務(wù)功能模型中確定業(yè)務(wù)行為。
如圖3所示為預(yù)先建立的業(yè)務(wù)功能模型的結(jié)構(gòu)示意圖。工控系統(tǒng)由若干個(gè)IED組成,每個(gè)IED包含特定的屬性和方法,將工控系統(tǒng)中的IED及其屬性和方法組織起來(lái),構(gòu)成工控系統(tǒng)的業(yè)務(wù)功能模型。圖3所示的業(yè)務(wù)功能模型包括了多個(gè)智能電子設(shè)備IED-1、IED-2……IED-N(或者IED1、IED2……IEDN),并且對(duì)應(yīng)于每一個(gè)智能電子設(shè)備都包含有多種屬性及方法。
如圖4所述為業(yè)務(wù)功能模型的一種實(shí)施例的結(jié)構(gòu)示意圖。該示例圖表示的工控系統(tǒng)的業(yè)務(wù)功能模型中包含IED-1和IED-2兩個(gè)智能電子設(shè)備(IED-1和IED-2分別為對(duì)應(yīng)智能電子設(shè)備的唯一標(biāo)識(shí),即目標(biāo)智能電子設(shè)備標(biāo)識(shí)),每個(gè)IED包含若干個(gè)屬性和方法。業(yè)務(wù)功能模型對(duì)其中的屬性和方法定義唯一標(biāo)識(shí)(即,操作行為標(biāo)識(shí))。
上述實(shí)施例中通過(guò)解析獲取通信數(shù)據(jù)所包含的目標(biāo)智能電子設(shè)備標(biāo)識(shí)和操作行為標(biāo)識(shí)來(lái)確定通信數(shù)據(jù)所代表的業(yè)務(wù)行為。例如,當(dāng)解析某一通信數(shù)據(jù)包得到的目標(biāo)智能電子設(shè)備標(biāo)識(shí)為IED-1,操作行為標(biāo)識(shí)為YX1時(shí),代表此通信數(shù)據(jù)包所代表的業(yè)務(wù)行為為訪問(wèn)智能電子設(shè)備IED-1的遙信1,IED-1、YC1標(biāo)識(shí)IED1的遙測(cè)1,IED-1、YK1標(biāo)識(shí)IED1的遙控1等。屬性狀態(tài)(值)和方法狀態(tài)(執(zhí)行結(jié)果)存儲(chǔ)在業(yè)務(wù)功能模型中。因此,本實(shí)施例通過(guò)將解析得到的目標(biāo)智能電子設(shè)備標(biāo)識(shí)和操作行為標(biāo)識(shí)與預(yù)先生成的業(yè)務(wù)功能模型進(jìn)行對(duì)比以確定通信數(shù)據(jù)包所對(duì)應(yīng)的業(yè)務(wù)行為的方式,極大的提升了確定通信數(shù)據(jù)業(yè)務(wù)行為的效率。并且,由于每一個(gè)智能電子設(shè)備都對(duì)應(yīng)有唯一標(biāo)識(shí),相應(yīng)的每一個(gè)智能電子設(shè)備又都對(duì)應(yīng)有唯一標(biāo)識(shí)的操作行為標(biāo)識(shí),所以也保證了確定通信數(shù)據(jù)的業(yè)務(wù)行為的準(zhǔn)確性。
如圖5所示為本發(fā)明實(shí)施例中的業(yè)務(wù)規(guī)則模型的一種實(shí)施例的結(jié)構(gòu)圖。上述實(shí)施例的步驟S122中的業(yè)務(wù)規(guī)則模型為通過(guò)將工控系統(tǒng)中所有的業(yè)務(wù)行為及其對(duì)應(yīng)的業(yè)務(wù)規(guī)則建立對(duì)應(yīng)關(guān)系而構(gòu)成的。圖5所示的工控系統(tǒng)業(yè)務(wù)規(guī)則模型包括了多種業(yè)務(wù)行為:業(yè)務(wù)行為1、業(yè)務(wù)行為2……業(yè)務(wù)行為N,并且對(duì)應(yīng)于每一種業(yè)務(wù)行為又包含有多種業(yè)務(wù)規(guī)則組,每一個(gè)業(yè)務(wù)規(guī)則組進(jìn)一步包括多條業(yè)務(wù)規(guī)則。
如圖6所示為業(yè)務(wù)規(guī)則模型的一種具體實(shí)施例的結(jié)構(gòu)示意圖。
業(yè)務(wù)行為:業(yè)務(wù)行為是指對(duì)業(yè)務(wù)功能模型中IED屬性或方法的訪問(wèn),例如圖6中的IED1遙控1、IED2遙控2選擇、IED2遙控2執(zhí)行等。
業(yè)務(wù)規(guī)則:業(yè)務(wù)規(guī)則是執(zhí)行某一業(yè)務(wù)行為必須滿足的條件,一條業(yè)務(wù)規(guī)則可以用一個(gè)邏輯表達(dá)式表示,在該表達(dá)式中可以包含以下內(nèi)容:邏輯運(yùn)算符、數(shù)字或字符串常量、數(shù)學(xué)運(yùn)算符或函數(shù)、當(dāng)前日期或時(shí)間、業(yè)務(wù)功能模型中定義的屬性或方法標(biāo)識(shí)等。
業(yè)務(wù)規(guī)則模型可以通過(guò)引用業(yè)務(wù)功能模型中定義的屬性或方法標(biāo)識(shí)來(lái)引用業(yè)務(wù)功能模型相關(guān)狀態(tài)。上述實(shí)施例中針對(duì)工控系統(tǒng)的安全審計(jì)需求,設(shè)計(jì)了上述的業(yè)務(wù)功能模型和業(yè)務(wù)規(guī)則模型以進(jìn)行工控系統(tǒng)安全審計(jì)。本實(shí)施例預(yù)先建立工控系統(tǒng)的業(yè)務(wù)功能模型和業(yè)務(wù)規(guī)則模型,在對(duì)工控系統(tǒng)中的通信數(shù)據(jù)進(jìn)行審計(jì)分析時(shí),根據(jù)通信協(xié)議識(shí)別出通信原語(yǔ)(至少包括了目標(biāo)智能電子設(shè)備標(biāo)識(shí)和操作行為標(biāo)識(shí)),并基于業(yè)務(wù)功能模型,識(shí)別出業(yè)務(wù)行為。然后再基于業(yè)務(wù)規(guī)則模型對(duì)業(yè)務(wù)行為的合理性進(jìn)行審計(jì),得出審計(jì)結(jié)果。因此,本發(fā)明實(shí)施例不僅實(shí)現(xiàn)了對(duì)通信數(shù)據(jù)所對(duì)應(yīng)通信行為的審計(jì)與記錄,還實(shí)現(xiàn)了對(duì)通信數(shù)據(jù)所對(duì)應(yīng)的業(yè)務(wù)行為以及業(yè)務(wù)行為是否符合對(duì)應(yīng)的業(yè)務(wù)規(guī)則的審計(jì)與記錄。從而實(shí)現(xiàn)了工控系統(tǒng)行為的可追溯性,提升了排查識(shí)別危險(xiǎn)操作的效率與準(zhǔn)確性,保證工控系統(tǒng)的安全。
在一些實(shí)施例中,所述業(yè)務(wù)規(guī)則集包括多個(gè)業(yè)務(wù)規(guī)則組,所述業(yè)務(wù)規(guī)則組包括多條業(yè)務(wù)規(guī)則。業(yè)務(wù)規(guī)則組下面所有的業(yè)務(wù)規(guī)則都為真時(shí),才可判定該業(yè)務(wù)規(guī)則組為真;任意一個(gè)業(yè)務(wù)規(guī)則為假,則判定該業(yè)務(wù)規(guī)則組為假。
在對(duì)業(yè)務(wù)行為進(jìn)行審計(jì)時(shí),只要其對(duì)應(yīng)的任意一個(gè)業(yè)務(wù)規(guī)則組判定結(jié)果為真,即可認(rèn)為該業(yè)務(wù)行為合理;所有業(yè)務(wù)規(guī)則組判定結(jié)果都為假,則認(rèn)為該業(yè)務(wù)行為不合理。
如圖7所示,在一些實(shí)施例中所述判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述業(yè)務(wù)規(guī)則集,并進(jìn)行相應(yīng)的記錄包括:
S131、判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述多個(gè)業(yè)務(wù)規(guī)則組;
S132、當(dāng)判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)滿足任意一個(gè)業(yè)務(wù)規(guī)則組時(shí),確定所述工控系統(tǒng)的當(dāng)前狀態(tài)滿足所述業(yè)務(wù)規(guī)則集,并記錄;
S133、當(dāng)判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)不滿足所有的業(yè)務(wù)規(guī)則組時(shí),確定所述工控系統(tǒng)的當(dāng)前狀態(tài)不滿足所述業(yè)務(wù)規(guī)則集,并記錄。
在圖6所示的業(yè)務(wù)規(guī)則模型示例中,定義了三個(gè)業(yè)務(wù)行為,每個(gè)業(yè)務(wù)行為對(duì)應(yīng)兩個(gè)業(yè)務(wù)規(guī)則組,每個(gè)業(yè)務(wù)規(guī)則組包含若干條業(yè)務(wù)規(guī)則。業(yè)務(wù)行為IED-1遙控1的業(yè)務(wù)規(guī)則組1包含兩條業(yè)務(wù)規(guī)則,其中的規(guī)則1邏輯表達(dá)式為YX1=1,表示的條件是IED1遙信1處于合位;其中的規(guī)則2邏輯表達(dá)式為YX2=0,表示的條件是IED1遙信2處于分位。在對(duì)業(yè)務(wù)行為IED1遙控1進(jìn)行審計(jì)時(shí),先判定業(yè)務(wù)規(guī)則組1是否為真,如果不為真,再對(duì)業(yè)務(wù)規(guī)則組2進(jìn)行判定。判定業(yè)務(wù)規(guī)則組1時(shí),先判定業(yè)務(wù)規(guī)則1,如果業(yè)務(wù)規(guī)則1為真,再判定業(yè)務(wù)規(guī)則2,如果業(yè)務(wù)規(guī)則2也為真,則判定業(yè)務(wù)規(guī)則組1為真;否則,判定業(yè)務(wù)規(guī)則組1為假。然后再按上面的過(guò)程對(duì)業(yè)務(wù)規(guī)則組2進(jìn)行判定。只要業(yè)務(wù)規(guī)則組1為真或業(yè)務(wù)規(guī)則組2為真,即可判定IED1遙控1業(yè)務(wù)行為合理,否則判定該業(yè)務(wù)行為不合理。
在一些實(shí)施例中,所述業(yè)務(wù)行為的執(zhí)行結(jié)果為另一業(yè)務(wù)行為所需要滿足的多個(gè)業(yè)務(wù)規(guī)則之一。如圖6所示,業(yè)務(wù)行為IED-2遙控2選擇的執(zhí)行結(jié)果就是業(yè)務(wù)行為IED-2遙控2執(zhí)行所對(duì)應(yīng)的業(yè)務(wù)規(guī)則組5和業(yè)務(wù)規(guī)則組6所包含的業(yè)務(wù)規(guī)則(分別為規(guī)則9和規(guī)則12)。
本實(shí)施例中實(shí)現(xiàn)了對(duì)相關(guān)聯(lián)的業(yè)務(wù)行為的合理性的審計(jì)。從而實(shí)現(xiàn)了對(duì)相互關(guān)聯(lián)的通信數(shù)據(jù)包的合理性的審計(jì),避免了簡(jiǎn)單審計(jì)通信數(shù)據(jù)的通信行為而無(wú)法審計(jì)出相關(guān)聯(lián)通信數(shù)據(jù)存在威脅的弊端。例如,當(dāng)IED-2遙控2選擇操作失敗時(shí),如果進(jìn)行IED-2遙控2執(zhí)行操作,則業(yè)務(wù)行為IED-2遙控2執(zhí)行是不符合業(yè)務(wù)規(guī)則的,但只依據(jù)通信行為進(jìn)行審計(jì),將無(wú)法審計(jì)出該威脅。而本發(fā)明實(shí)施例正是由于在業(yè)務(wù)規(guī)則層面對(duì)通信數(shù)據(jù)所對(duì)應(yīng)的業(yè)務(wù)行為進(jìn)行了審計(jì)與記錄,從而發(fā)現(xiàn)并記錄下了通信數(shù)據(jù)之間存在的關(guān)聯(lián)性,并能發(fā)現(xiàn)單純通信行為審計(jì)無(wú)法識(shí)別的威脅。
需要說(shuō)明的是,對(duì)于前述的各方法實(shí)施例,為了簡(jiǎn)單描述,故將其都表述為一系列的動(dòng)作合并,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉,本發(fā)明并不受所描述的動(dòng)作順序的限制,因?yàn)橐罁?jù)本發(fā)明,某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次,本領(lǐng)域技術(shù)人員也應(yīng)該知悉,說(shuō)明書(shū)中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例,所涉及的動(dòng)作和模塊并不一定是本發(fā)明所必須的。
在上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重,某個(gè)實(shí)施例中沒(méi)有詳述的部分,可以參見(jiàn)其他實(shí)施例的相關(guān)描述。
如圖8所示,本發(fā)明實(shí)施例還提供一種工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置800,包括:
數(shù)據(jù)解析模塊810,用于解析獲取的通信數(shù)據(jù)以確定所述通信數(shù)據(jù)所包含的業(yè)務(wù)行為數(shù)據(jù);
業(yè)務(wù)規(guī)則集確定模塊820,用于根據(jù)所述業(yè)務(wù)行為數(shù)據(jù)確定執(zhí)行所述業(yè)務(wù)行為工控系統(tǒng)所需滿足的業(yè)務(wù)規(guī)則集;
判斷記錄模塊830,用于判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述業(yè)務(wù)規(guī)則集,并進(jìn)行相應(yīng)的記錄。
本實(shí)施例的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置可以執(zhí)行本發(fā)明上述實(shí)施例中的方法。數(shù)據(jù)解析模塊810是通過(guò)將數(shù)據(jù)安全審計(jì)設(shè)備與工控系統(tǒng)中的交換機(jī)進(jìn)行并聯(lián)設(shè)置的方式來(lái)獲取工控系統(tǒng)中的通信數(shù)據(jù)的。本實(shí)施例裝置在審查通信數(shù)據(jù)時(shí)不僅要確定通信數(shù)據(jù)的通信行為,還要確定通信行為所代表的業(yè)務(wù)行為。從而判斷該業(yè)務(wù)行為是否符合對(duì)應(yīng)的業(yè)務(wù)規(guī)則,并進(jìn)行記錄(包括符合和不符合業(yè)務(wù)規(guī)則的情況的記錄)。從而,當(dāng)工控系統(tǒng)出現(xiàn)問(wèn)題后,只需要從記錄的不符合業(yè)務(wù)規(guī)則的通信數(shù)據(jù)中就能確定導(dǎo)致問(wèn)題出現(xiàn)的通信數(shù)據(jù)。減少了故障或者威脅導(dǎo)致因素確定的時(shí)間,為盡快恢復(fù)工控系統(tǒng)節(jié)省了時(shí)間。
如圖9所示,在一些實(shí)施例中,所述業(yè)務(wù)行為數(shù)據(jù)至少包括目標(biāo)智能電子設(shè)備標(biāo)識(shí)、操作行為標(biāo)識(shí);
所述業(yè)務(wù)規(guī)則集確定模塊820包括:
業(yè)務(wù)行為確定單元821,用于根據(jù)所述目標(biāo)智能電子設(shè)備標(biāo)識(shí)和操作行為標(biāo)識(shí)確定所述業(yè)務(wù)行為;
業(yè)務(wù)規(guī)則確定單元822,用于根據(jù)預(yù)先建立的業(yè)務(wù)規(guī)則模型確定相應(yīng)于所述業(yè)務(wù)行為的業(yè)務(wù)規(guī)則集。
在一些實(shí)施例中,所述業(yè)務(wù)規(guī)則集包括多個(gè)業(yè)務(wù)規(guī)則組,所述業(yè)務(wù)規(guī)則組包括多條業(yè)務(wù)規(guī)則。
在一些實(shí)施例中,所述業(yè)務(wù)行為的執(zhí)行結(jié)果為另一業(yè)務(wù)行為所需要滿足的多條業(yè)務(wù)規(guī)則之一。
如圖10所示,在一些實(shí)施例中,所述判斷記錄模塊830包括:
合規(guī)判斷單元831,判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述多個(gè)業(yè)務(wù)規(guī)則組;
第一執(zhí)行單元832,用于當(dāng)判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)滿足任意一個(gè)業(yè)務(wù)規(guī)則組時(shí),確定所述工控系統(tǒng)的當(dāng)前狀態(tài)滿足所述業(yè)務(wù)規(guī)則集,并記錄;
第二執(zhí)行單元833,用于當(dāng)判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)不滿足所有的業(yè)務(wù)規(guī)則組時(shí),確定所述工控系統(tǒng)的當(dāng)前狀態(tài)不滿足所述業(yè)務(wù)規(guī)則集,并記錄。
上述本發(fā)明實(shí)施例的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置可用于執(zhí)行本發(fā)明實(shí)施例的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法,每一實(shí)施例的審計(jì)裝置一一對(duì)應(yīng)于每一實(shí)施例所述的審計(jì)方法,并相應(yīng)的達(dá)到上述本發(fā)明實(shí)施例的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法所達(dá)到的技術(shù)效果,這里不再贅述。
本發(fā)明實(shí)施例中可以通過(guò)硬件處理器(hardware processor)來(lái)實(shí)現(xiàn)相關(guān)功能模塊。
另一方面,本發(fā)明實(shí)施例提供一種非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述存儲(chǔ)介質(zhì)中存儲(chǔ)有一個(gè)或多個(gè)包括執(zhí)行指令的程序,所述執(zhí)行指令能夠被電子設(shè)備(包括但不限于計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)讀取并執(zhí)行,以用于執(zhí)行上述方法實(shí)施例中的相關(guān)步驟,例如:
解析獲取的通信數(shù)據(jù)以確定所述通信數(shù)據(jù)所包含的業(yè)務(wù)行為數(shù)據(jù);
根據(jù)所述業(yè)務(wù)行為數(shù)據(jù)確定執(zhí)行所述業(yè)務(wù)行為工控系統(tǒng)所需滿足的業(yè)務(wù)規(guī)則;
判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述業(yè)務(wù)規(guī)則,并進(jìn)行相應(yīng)的記錄。
另一方面,本發(fā)明實(shí)施例還公開(kāi)一種電子設(shè)備,其包括:
至少一個(gè)處理器,以及
與所述至少一個(gè)處理器通信連接的存儲(chǔ)器,其中,所述存儲(chǔ)器存儲(chǔ)有可被所述至少一個(gè)處理器執(zhí)行的指令,所述指令被所述至少一個(gè)處理器執(zhí)行,以使所述至少一個(gè)處理器能夠執(zhí)行:
解析獲取的通信數(shù)據(jù)以確定所述通信數(shù)據(jù)所包含的業(yè)務(wù)行為數(shù)據(jù);
根據(jù)所述業(yè)務(wù)行為數(shù)據(jù)確定執(zhí)行所述業(yè)務(wù)行為工控系統(tǒng)所需滿足的業(yè)務(wù)規(guī)則;
判斷所述工控系統(tǒng)的當(dāng)前狀態(tài)是否滿足所述業(yè)務(wù)規(guī)則,并進(jìn)行相應(yīng)的記錄。
圖11是本申請(qǐng)另一實(shí)施例提供的執(zhí)行工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法的電子設(shè)備的硬件結(jié)構(gòu)示意圖,如圖11所示,該設(shè)備包括:
一個(gè)或多個(gè)處理器1110以及存儲(chǔ)器1120,圖11中以一個(gè)處理器1110為例。
執(zhí)行工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法的設(shè)備還可以包括:輸入裝置1130和輸出裝置1140。
處理器1110、存儲(chǔ)器1120、輸入裝置1130和輸出裝置1140可以通過(guò)總線或者其他方式連接,圖11中以通過(guò)總線連接為例。
存儲(chǔ)器1120作為一種非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),可用于存儲(chǔ)非易失性軟件程序、非易失性計(jì)算機(jī)可執(zhí)行程序以及模塊,如本申請(qǐng)實(shí)施例中的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法對(duì)應(yīng)的程序指令/模塊。處理器1110通過(guò)運(yùn)行存儲(chǔ)在存儲(chǔ)器1120中的非易失性軟件程序、指令以及模塊,從而執(zhí)行服務(wù)器的各種功能應(yīng)用以及數(shù)據(jù)處理,即實(shí)現(xiàn)上述方法實(shí)施例工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法。
存儲(chǔ)器1120可以包括存儲(chǔ)程序區(qū)和存儲(chǔ)數(shù)據(jù)區(qū),其中,存儲(chǔ)程序區(qū)可存儲(chǔ)操作系統(tǒng)、至少一個(gè)功能所需要的應(yīng)用程序;存儲(chǔ)數(shù)據(jù)區(qū)可存儲(chǔ)根據(jù)工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置的使用所創(chuàng)建的數(shù)據(jù)等。此外,存儲(chǔ)器1120可以包括高速隨機(jī)存取存儲(chǔ)器,還可以包括非易失性存儲(chǔ)器,例如至少一個(gè)磁盤存儲(chǔ)器件、閃存器件、或其他非易失性固態(tài)存儲(chǔ)器件。在一些實(shí)施例中,存儲(chǔ)器1120可選包括相對(duì)于處理器1110遠(yuǎn)程設(shè)置的存儲(chǔ)器,這些遠(yuǎn)程存儲(chǔ)器可以通過(guò)網(wǎng)絡(luò)連接至工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動(dòng)通信網(wǎng)及其組合。
輸入裝置1130可接收輸入的數(shù)字或字符信息,以及產(chǎn)生與工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)裝置的用戶設(shè)置以及功能控制有關(guān)的信號(hào)。輸出裝置1140可包括顯示屏等顯示設(shè)備。
所述一個(gè)或者多個(gè)模塊存儲(chǔ)在所述存儲(chǔ)器1120中,當(dāng)被所述一個(gè)或者多個(gè)處理器1110執(zhí)行時(shí),執(zhí)行上述任意方法實(shí)施例中的工控系統(tǒng)的通信數(shù)據(jù)安全審計(jì)方法。
上述產(chǎn)品可執(zhí)行本申請(qǐng)實(shí)施例所提供的方法,具備執(zhí)行方法相應(yīng)的功能模塊和有益效果。未在本實(shí)施例中詳盡描述的技術(shù)細(xì)節(jié),可參見(jiàn)本申請(qǐng)實(shí)施例所提供的方法。
本申請(qǐng)實(shí)施例的電子設(shè)備以多種形式存在,包括但不限于:
(1)移動(dòng)通信設(shè)備:這類設(shè)備的特點(diǎn)是具備移動(dòng)通信功能,并且以提供話音、數(shù)據(jù)通信為主要目標(biāo)。這類終端包括:智能手機(jī)(例如iPhone)、多媒體手機(jī)、功能性手機(jī),以及低端手機(jī)等。
(2)超移動(dòng)個(gè)人計(jì)算機(jī)設(shè)備:這類設(shè)備屬于個(gè)人計(jì)算機(jī)的范疇,有計(jì)算和處理功能,一般也具備移動(dòng)上網(wǎng)特性。這類終端包括:PDA、MID和UMPC設(shè)備等,例如iPad。
(3)便攜式娛樂(lè)設(shè)備:這類設(shè)備可以顯示和播放多媒體內(nèi)容。該類設(shè)備包括:音頻、視頻播放器(例如iPod),掌上游戲機(jī),電子書(shū),以及智能玩具和便攜式車載導(dǎo)航設(shè)備。
(4)服務(wù)器:提供計(jì)算服務(wù)的設(shè)備,服務(wù)器的構(gòu)成包括處理器、硬盤、內(nèi)存、系統(tǒng)總線等,服務(wù)器和通用的計(jì)算機(jī)架構(gòu)類似,但是由于需要提供高可靠的服務(wù),因此在處理能力、穩(wěn)定性、可靠性、安全性、可擴(kuò)展性、可管理性等方面要求較高。
(5)其他具有數(shù)據(jù)交互功能的電子裝置。
以上所描述的裝置實(shí)施例僅僅是示意性的,其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。
通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到各實(shí)施方式可借助軟件加通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn),當(dāng)然也可以通過(guò)硬件?;谶@樣的理解,上述技術(shù)方案本質(zhì)上或者說(shuō)對(duì)相關(guān)技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,如ROM/RAM、磁碟、光盤等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。
最后應(yīng)說(shuō)明的是:以上實(shí)施例僅用以說(shuō)明本申請(qǐng)的技術(shù)方案,而非對(duì)其限制;盡管參照前述實(shí)施例對(duì)本申請(qǐng)進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本申請(qǐng)各實(shí)施例技術(shù)方案的精神和范圍。