本發(fā)明涉及設備監(jiān)測領域,尤其涉及測試漏洞的方法及設備。
背景技術:
早期,工業(yè)控制系統(tǒng)被布置在與外界物理隔離的環(huán)境下中,并不涉及網(wǎng)絡安全問題。不過,隨著互聯(lián)網(wǎng)技術在工業(yè)控制系統(tǒng)中廣泛應用,工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題日益加劇。為了提高工業(yè)控制系統(tǒng)的穩(wěn)定性和安全性,設備漏洞測試是一個重要環(huán)節(jié)。
傳統(tǒng)的漏洞測試方案是建立在已知的控制系統(tǒng)環(huán)境,工作人員根據(jù)固定的流程對待測的控制設備進行測試,這樣的測試不能及時發(fā)現(xiàn)隱蔽的在線控制設備,同時測試過程公開進行不利于查找到由內(nèi)部人員造成的設備漏檢,因此本發(fā)明提供了一種能夠由外部操控的漏洞測試裝置,隨時隨地對控制網(wǎng)絡的所有在線設備進行漏洞掃描,同時這樣的遠程控制漏洞測試設備也豐富了安全審計的手段。
技術實現(xiàn)要素:
本發(fā)明提供了一種基于無線通信的遠程控制漏洞測試方法,用于隨時檢查控制網(wǎng)絡中的在線設備漏洞。根據(jù)本發(fā)明的一個方面,提供一種測試漏洞的方法,適于在計算設備中執(zhí)行。該方法包括下述步驟。識別控制網(wǎng)絡中設備,以獲取所識別每個設備的信息。確定所識別每個設備相關聯(lián)的測試例。將每個設備的信息和相關聯(lián)測試例的標識通過無線網(wǎng)絡發(fā)送至移動終端,以便移動終端根據(jù)用戶輸入選定要測試設備和選定測試例。接收來自移動終端的包含所選定設備的信息和選定測試例的標識的測試指令消息。根據(jù)該測試指令消息,對選定的設備執(zhí)行所選定的測試例,以獲取相應的測試結(jié)果。向移動終端發(fā)送包含測試結(jié)果的消息。
根據(jù)本發(fā)明的又一個方面,提供一種監(jiān)測設備安全的計算設備,包括處理器、存儲器和多個程序模塊。多個程序模塊,存儲在存儲器中并被配置為由處理器執(zhí)行。該多個程序模塊包括識別模塊、匹配模塊、通知模塊、接收模塊和測試模塊。其中,識別模塊適于識別控制網(wǎng)絡中設備,以獲取所識別的每個設備的信息。匹配模塊適于確定所識別的每個設備相關聯(lián)的測試例。通知模塊,適于將每個設備的信息、相關聯(lián)測試例的標識、和測試結(jié)果發(fā)送至移動終端,以便移動終端根據(jù)用戶輸入選定要測試的設備和選定測試例,以及獲得測試結(jié)果。接收模塊適于接收來自移動終端的包含選定的設備的信息和選定的測試例的標識的測試指令消息。測試模塊適于根據(jù)該測試指令消息,對選定的設備發(fā)送所選定的測試例的測試數(shù)據(jù)流,以獲取相應的測試結(jié)果。
本發(fā)明的優(yōu)點和有益效果:遠程控制漏洞測試裝置可以隨時向測試人員報告控制網(wǎng)絡在線設備資產(chǎn)狀況,隨時針對控制網(wǎng)絡進行測試遠程控制,同時測試人員的移動終端無需專用設備,普通移動終端就能夠輕松實現(xiàn)對漏洞測試的遠程控制,特別適用于安全審計的隨機檢查。
附圖說明
為了實現(xiàn)上述以及相關目的,本文結(jié)合下面的描述和附圖來描述某些說明性方面,這些方面指示了可以實踐本文所公開的原理的各種方式,并且所有方面及其等效方面旨在落入所要求保護的主題的范圍內(nèi)。通過結(jié)合附圖閱讀下面的詳細描述,本公開的上述以及其它目的、特征和優(yōu)勢將變得更加明顯。遍及本公開,相同的附圖標記通常指代相同的部件或元素。
圖1示出了根據(jù)本發(fā)明一些實施例的測試漏洞的方法的運行環(huán)境100的示意圖;
圖2示出了根據(jù)本發(fā)明一些實施例的測試漏洞的方法200的流程圖;以及
圖3示出了根據(jù)本發(fā)明一些實施例的測試漏洞的設備300的示意圖。
具體實施方式
下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應當理解,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達給本領域的技術人員。
首先說明的是,本發(fā)明中測試漏洞的基本原理是:將測試漏洞的設備連接在控制網(wǎng)絡中的網(wǎng)絡交換機上。這樣,該設備可以對所在控制網(wǎng)絡進行掃描獲得所有在線設備的ip地址、服務端口號和mac地址等信息。獲得mac地址后,該設備可以根據(jù)mac地址段與供應商和/或設備型號的映射關系,獲得設備提供商和/或設備型號。通過服務端口號,測試漏洞設備分析得出適用于檢測到的在線設備所有測試例,測試漏洞設備可以將在線設備的標識,包括但不限于ip地址、服務端口和設備商信息或設備型號以及所有適用的測試例標識通過短信或其它無線通信方式發(fā)送至移動終端。
從移動終端獲得控制網(wǎng)絡在線設備的信息后,測試人員通過短信或其它無線通信方式向遠程控制漏洞測試裝置發(fā)送測試指令。該測試指令包括被測設備識別號和選定的測試例的識別號。其中設備識別號包括但不限于ip地址、mac地址、設備編號等。測試例識別號可以標識單個測試例或一組測試例。
圖1示出了根據(jù)本發(fā)明一些實施例的測試漏洞的方法的運行環(huán)境100的示意圖。環(huán)境100包括一個典型的工業(yè)控制網(wǎng)絡。工業(yè)控制網(wǎng)絡包括進行現(xiàn)場作業(yè)的多個執(zhí)行設備110和控制設備120。工業(yè)控制網(wǎng)絡還包括數(shù)據(jù)服務器130、工作站140、打印機150和交換機160。這里,工業(yè)控制網(wǎng)絡中設備節(jié)點可以通過交換機160建立通信。交換機160還可以被替換為其他的路由設備,這里不再贅述。另外,環(huán)境100還包括測試漏洞的設備170和移動終端180。這里,計算設備180例如可以被布置物理獨立的計算設備或者分布式設備,本發(fā)明對此不做限制。取決于期望的配置,設備170響應于移動終端180對待測試設備和測試例的選定,執(zhí)行測試任務。下面結(jié)合圖2對本發(fā)明的測試漏洞的方法進行說明。
圖2示出了根據(jù)本發(fā)明一些實施例的測試漏洞的方法200的流程圖。方法200適于在計算設備(170)中執(zhí)行。
如圖2所示,方法200始于步驟s210。在步驟s210中,識別控制網(wǎng)絡中設備,以獲取所識別每臺在線設備的信息。根據(jù)本發(fā)明一個實施例,在步驟s210中,掃描控制網(wǎng)絡中在線設備,以獲取該控制網(wǎng)絡中每個在線設備的地址信息。設備的地址信息通常包括ip地址、mac地址和服務端口號?;诿總€在線設備的硬件地址信息,步驟s210還可以為每個在線設備匹配相應的設備型號和/或設備供應商信息。由上述說明可知,步驟s210中每個設備的信息可以包括設備地址信息、設備型號和/或設備供應商信息,但不限于此。
對于步驟s210中所獲取的每個設備的信息,方法200還可以執(zhí)行步驟s220。在步驟s220中,確定所識別的每個設備相關聯(lián)的測試例。這里,測試例為已存儲在計算設備或者通過網(wǎng)絡可獲取的備選用例。步驟s220可以根據(jù)掃描到的每個設備的服務端口信息,確定適于測試該設備的一組或多組測試例。關聯(lián)設備和測試例的方式例如為關聯(lián)設備的信息與測試例的標識。
為了便于測試人員遠程控制漏洞測試的過程,方法200還包括步驟s230。在步驟s230中,將每個設備的信息和相關聯(lián)測試例的標識通過無線方式發(fā)送至移動終端,以便移動終端根據(jù)用戶輸入選定要測試的設備的信息和選定測試例的標識。根據(jù)本發(fā)明一個實施例,在步驟s230中,首先對對每個設備的信息和相關聯(lián)測試例的標識進行標準化處理。然后,將包含標準化的每個設備的信息和相關聯(lián)測試例的標識的消息發(fā)送至移動終端。
移動終端可以根據(jù)用戶輸入,向執(zhí)行方法200的設備返回對待測試設備和測試例的選擇。相應地,方法200還可以包括步驟s240,接收來自移動終端的包含選定的設備的信息和選定的測試例的標識的測試指令消息。
根據(jù)步驟s240所接收的測試指令消息,方法200可以執(zhí)行步驟s250。在步驟s250中,對選定的設備執(zhí)行所選定的測試例,以獲取相應的測試結(jié)果。這里,測試結(jié)果的類型例如可以包括通過、失敗和意外中斷。具體而言,在步驟s250中,確定測試過程被中斷,生成意外中斷報告,即測試結(jié)果為意外中斷。在測試過程結(jié)束時,判斷結(jié)束的原因。例如,原因是測試失敗或者正常通過。
根據(jù)本發(fā)明一個實施例,步驟s250可以基于所選定的測試例,向所選定的設備發(fā)送測試數(shù)據(jù)流以獲取相應的測試結(jié)果。
可選地,方法200還可以包括步驟s260,向移動終端發(fā)送包含測試結(jié)果的消息。
綜上,根據(jù)本發(fā)明的測試漏洞的方法200實現(xiàn)了對設備漏洞測試的遠程控制。具體而言,本發(fā)明的測試漏洞的方法200可以對控制網(wǎng)絡中在線設備進行掃描,并建立設備與測試例的自動關聯(lián)。在此基礎上,方法200可以將設備信息和關聯(lián)的測試例發(fā)送到移動終端。這樣,測試人員可以通過普通移動終端設備對待測試的設備和測試例進行選擇,并遠程啟動測試過程和查看測試結(jié)果。
圖3示出了根據(jù)本發(fā)明一些實施例的測試漏洞的設備300的示意圖。如圖3所示,計算設備300可以包括至少一個處理器310、存儲器320和多個程序模塊。存儲器320存儲了硬件mac地址段和供應商以及設備的映射關系,存儲器320還存儲了各類服務端口代表的應用程序所對應的測試例程序和測試例標識,多個程序模塊存儲在存儲器320中并被配置為由處理器310執(zhí)行。該多個程序模塊包括:識別模塊321、匹配模塊322、通知模塊323、接收模塊324和測試模塊325。
識別模塊321適于識別控制網(wǎng)絡中設備,以獲取所識別的每個設備的信息。在一個實施例中,識別模塊321可以掃描控制網(wǎng)絡中在線設備,以獲取該控制網(wǎng)絡中每個在線設備的地址信息。這里,設備的地址信息通常包括ip地址、mac地址和服務端口號?;诿總€在線設備的地址信息,識別模塊321可以為每個在線設備自動映射相應的設備型號和/或設備供應商信息。這里,識別模塊321可以通過查詢映射表的方式確定每個在線設備的地址信息與設備描述信息的關聯(lián)。
匹配模塊322通過服務端口代表的應用程序和測試例的映射關系確定所識別的每個設備相關聯(lián)的測試例。通知模塊323適于將每個設備的信息和相關聯(lián)測試例的標識發(fā)送至移動終端,以便移動終端根據(jù)用戶輸入選定要測試的設備的信息和選定測試例的標識。在本發(fā)明一個實施例中,通知模塊323首先對每個設備的信息和相關聯(lián)測試例的標識進行標準化處理。然后,通知模塊323將包含標準化的每個設備的信息和相關聯(lián)測試例的標識的消息發(fā)送至移動終端,另外,通知模塊323還負責將測試結(jié)果發(fā)送至移動終端。
接收模塊324適于接收來自移動終端的包含選定的設備的信息和選定的測試例的標識的測試指令消息。
測試模塊325適于根據(jù)接收模塊324所接收測試指令消息,對選定的設備執(zhí)行所選定的測試例,以獲取相應的測試結(jié)果。這里,測試結(jié)果的類型例如可以包括通過、失敗和意外中斷。在一個實施例中,基于所選定的測試例,測試模塊325向所選定的設備發(fā)送測試數(shù)據(jù)流。測試模塊325將測試結(jié)果發(fā)送給通知模塊323。在此處所提供的說明書中,說明了大量具體細節(jié)。然而,能夠理解,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下被實踐。在一些實例中,并未詳細示出公知的方法、結(jié)構(gòu)和技術,以便不模糊對本說明書的理解。
類似地,應當理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而,并不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此,遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。
本領域那些技術人員應當理解在本文所公開的示例中的設備的模塊或單元或組件可以布置在如該實施例中所描述的設備中,或者可替換地可以定位在與該示例中的設備不同的一個或多個設備中。前述示例中的模塊可以組合為一個模塊或者此外可以分成多個子模塊。
本領域那些技術人員可以理解,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。
此外,本領域的技術人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如,在下面的權(quán)利要求書中,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
此外,所述實施例中的一些在此被描述成可以由計算機系統(tǒng)的處理器或者由執(zhí)行所述功能的其它裝置實施的方法或方法元素的組合。因此,具有用于實施所述方法或方法元素的必要指令的處理器形成用于實施該方法或方法元素的裝置。此外,裝置實施例的在此所述的元素是如下裝置的例子:該裝置用于實施由為了實施該發(fā)明的目的的元素所執(zhí)行的功能。
如在此所使用的那樣,除非另行規(guī)定,使用序數(shù)詞“第一”、“第二”、“第三”等等來描述普通對象僅僅表示涉及類似對象的不同實例,并且并不意圖暗示這樣被描述的對象必須具有時間上、空間上、排序方面或者以任意其它方式的給定順序。
盡管根據(jù)有限數(shù)量的實施例描述了本發(fā)明,但是受益于上面的描述,本技術領域內(nèi)的技術人員明白,在由此描述的本發(fā)明的范圍內(nèi),可以設想其它實施例。此外,應當注意,本說明書中使用的語言主要是為了可讀性和教導的目的而選擇的,而不是為了解釋或者限定本發(fā)明的主題而選擇的。因此,在不偏離所附權(quán)利要求書的范圍和精神的情況下,對于本技術領域的普通技術人員來說許多修改和變更都是顯而易見的。對于本發(fā)明的范圍,對本發(fā)明所做的公開是說明性的,而非限制性的,本發(fā)明的范圍由所附權(quán)利要求書限定。