一种工业控制网络中生成安全策略的系统和方法技术方案

一种工业控制网络中生成安全策略的系统，包括：一个安全策略配置模块、一个网络环境发现模块、一个网络环境监测模块和一个基础模块；安全策略配置模块，用于安全策略的定义和安全策略的修改；网络环境发现模块，用于发现网络中的访问关系，它根据IP地址、Mac地址及ID号,按照一定格式存储在系统中；网络环境监测模块，用于网络实时监测，它通过实时监测网络环境来监测已定义的安全策略，并将安全策略的不足主动提供给安全策略配置模块。

【技术实现步骤摘要】

本专利技术是，设及信息安全领域， 设及安全应用技术，属于工业控制信息安全技术范畴。
技术介绍
目前网络安全产品中，采用基于规则的技术实现检测。比如；在异常检测系统中， 管理员会配置一批安全策略软件，通过安全策略来检测出异常行为。安全策略作为一种行 之有效的通用技术手段，它存在着配置难，且极易失效的难点。无效的安全策略，将会极大 的降低网络安全设备的实用性。 网络安全设备投入使用后，管理员面临着极大的上线困难。原因之一是工控网络 系统复杂，分段管理，管理员无法从系统运行流程的角度分析流量，导致安全策略的完整性 无法保证。原因之二是工控网络存在较多的冗余设备和安全保障设备，该批设备平时极少 参与正常流程，同时工艺流程的转换也会导致网络流量的变化，导致最初完整的安全策略 不再能完全覆盖网络环境。 鉴于上述问题，本专利技术提出了。 通过本系统辅助管理员掌握当前网络环境，产生有效的安全策略，并通过告知的方式主动 进行安全策略更新。它可W使管理员摆脱冗长，复杂的安全策略配置工作。
技术实现思路
本专利技术目的是，提出，其应用于 工业控制网络安全产品。通过本系统辅助管理员掌握当前网络环境，产生有效的安全策略， 并通过告知的方式主动进行安全策略更新。使管理员摆脱冗长，复杂的安全策略配置工作。 首先本专利技术提出了一种工业控制网络中生成安全策略的系统，该系统包括：一个 安全策略配置模块、一个网络环境发现模块、一个网络环境监测模块和一个基础模块；安全 策略配置模块，用于安全策略的定义和安全策略的修改；网络环境发现模块，用于发现网络 中的访问关系，它根据IP地址、Mac地址及ID号，按照一定格式存储在系统中；网络环境 监测模块，用于网络实时监测，它通过实时监测网络环境来监测已定义的安全策略，并将安 全策略的不足主动提供给安全策略配置模块。 所述一定格式在实施例中已经有说明格式的具体情况，刷新后内存中访问关系信 息表如表1。实施例中说的是数据分析模块。此模块是属于网络环境发现模块的子模块。 安全策略配置模块包括： 一个安全策略修改模块；负责修改已经定义的安全策略和删除无效的安全策略， 并将修改后的安全策略存储在系统中。 一个安全策略定义模块：负责定义新的安全策略，并将修改后的安全策略存储在 系统中。 网络环境发现模块包括： 一个数据包重组模块：负责数据包解析，抽取对应分析字段提供给数据分析模块。 一个数据分析模块；负责分析字段，掌握网络环境访问关系信息，并完成去重、归 并和存储， 网络环境监测模块包括： 一个实时监测模块；负责网络环境的实时监测。它监测网络环境的实时流量，并完 成已定义安全策略的检查。 一个监测日志模块；负责详细记录实时监测的完整信息。 基础模块包括；[001引一个网络10模块；负责系统中10数据交换。 一个信息存储模块；负责系统信息的格式化存储。主要包含；网络环境中的访问 关系信息；网络环境监测日志信息；网络环境监测告警信息；安全策略信息； 其次本专利技术提出了一种工业控制网络中生成安全策略的方法。该方法的步骤为： 第一步：完成网络环境的发现。 通过对网络环境中数据流的分析，掌握网络中负责的访问关系。 其步骤又可分为： 1A;网络10模块接收网络数据包，并传递给数据包重组模块。1B;数据包重组模块完成分析数据的重组和预处理，组成预分析数据，并将预分析 数据传递给数据分析模块。1C;数据分析模块完成数据分析、去重和归并工作。生成的网络访问关系信息表传 递给信息存储模块。 1D;信息存储模块完成访问关系信息表的本地存储。[002引第二步；完成初步安全策略的定义。 针对工业控制网络中业务情况分析掌握的网络访问关系，制订工业控制网络的安 全策略。 其步骤又可分为： 2A;逐条分析存储的网络访问关系信息表。[003引 2B;将符合工业控制网络业务流程的访问关系，制订为安全策略。 2C;通过安全策略定义模块将新制订的一条安全策略输入系统。此步操作可W通 过拖拽访问关系或手动输入完成。 2D;用户针对每一条网络访问关系进行步骤2B和2C。最终完成对网络访问关系 信息表的处理，形成安全策略信息集。 2E;安全策略信息集通过信息存储模块完成本地存储。 第S步：工业网络环境中验证网络安全策略信息集， 在工业网络环境中验证安全策略信息集，实际考查安全策略信息集的准确性和有 效性。[003引其步骤又可分为： 3A;实时监测模块处理工业网络中每一条访问关系，按安全策略信息集要求执行 对应的动作（静默或告警）。 3B;实时监测模块将每一次操作情况提交给监测日志模块。[004U3C;监测日志模块根据操作情况产生各种类型日志，告警信息。[00创 3D;监测日志模块将各种类型的告警信息传递给网络10模块。 3E;监测日志模块将各种类型的日志信息传递给信息存储模块。 第四步：网络安全策略的调整。 针对告警信息提示，修改网络安全策略信息集。主要操作有：删除、修改、合并。 其步骤又可分为： 4A;逐条分析网络环境监测告警信息。 4B;根据网络环境监测告警信息，查询网络访问关系信息表。 4C;定位需要修改的一条网络安全策略信息或一组网络安全策略信息。 4D;通过安全策略修改模块完成网络安全策略信息的更新。[0化^ 4E;用户针对每一条网络环境监测告警信息进行步骤4B、4C和4D。[0化引 当前第1页1 2 本文档来自技高网...

【技术保护点】
一种工业控制网络中生成安全策略的系统，其特征是系统包括：一个安全策略配置模块、一个网络环境发现模块、一个网络环境监测模块和一个基础模块；安全策略配置模块，用于安全策略的定义和安全策略的修改；网络环境发现模块，用于发现网络中的访问关系，它根据IP地址、Mac地址及ID号,按照一定格式存储在系统中；网络环境监测模块，用于网络实时监测，它通过实时监测网络环境来监测已定义的安全策略，并将安全策略的不足主动提供给安全策略配置模块；安全策略配置模块包括：一个安全策略修改模块：负责修改已经定义的安全策略和删除无效的安全策略，并将修改后的安全策略存储在系统中；一个安全策略定义模块：负责定义新的安全策略，并将修改后的安全策略存储在系统中；网络环境发现模块包括：一个数据包重组模块：负责数据包解析，抽取对应分析字段提供给数据分析模块；一个数据分析模块：负责分析字段，掌握网络环境访问关系信息，并完成去重、归并和存储；网络环境监测模块包括：一个实时监测模块：负责网络环境的实时监测；它监测网络环境的实时流量，并完成已定义安全策略的检查；一个监测日志模块：详细记录实时监测的完整信息；基础模块包括：一个网络IO模块：负责系统中IO数据交换；一个信息存储模块：负责系统信息的格式化存储；系统信息主要包含：网络环境中的访问关系信息；网络环境监测日志信息；网络环境监测告警信息；安全策略信息。...

【技术特征摘要】

【专利技术属性】
技术研发人员：邵世海，姜晓冰，李佐民，
申请(专利权)人：南京麦伦思科技有限公司，
类型：发明
国别省市：江苏;32