本实用新型专利技术涉及信息安全技术领域,尤其涉及一种安全管理设备,用以安全地更新目标工业控制系统的配置文件。该安全管理设备包括:管理装置(101)、安全检查装置(102)、接口管理装置(103)、网络配置装置(104)以及第一网络接口(1051);管理装置(101)从资源(20)处接收配置文件(30);安全检查装置(102)检查配置文件(30)是否安全;网络配置装置响应于第一网络接口(1051)与第一网络(401)的连接,对第一网络接口(1051)进行配置以使安全管理设备(10)接入第一网络(401);接口管理装置(103)通过第一网络接口(1051)向第一网络(401)下发配置文件(30)。
【技术实现步骤摘要】
安全管理设备
本技术涉及信息安全
,特别涉及一种安全管理设备。
技术介绍
在OT环境下,在工业控制系统(也称为“OT系统”)中部署了诸多安全解决方案。例如,自动补丁管理可用于更新工业控制系统中的工作站和服务器。而基于黑名单技术的反恶意软件系统可以用来保护设备不被病毒感染。这些安全解决方案可以提高工业控制系统的防御能力。但是,由于很多工业控制系统不能接入互联网,在OT环境下更新或配置这些安全解决方案在很多情况下都是不容易的。在许多工厂,不同生产线和设备的工业控制系统是孤立的,不在同一个网络中连接。在这些情况下,由一个中央管理中心进行的更新和配置不能很好地工作,因为许多系统不能由一个中央管理中心通过网络访问。传统上,即使这些安全解决方案部署在工业控制系统中,很长时间内都不会重新配置,更不用说定期更新到最新的修补程序或恶意软件特征库。在许多工厂中,安全管理人员必须通过手动导入更新补丁来进行更新,这不仅效率低下,而且可能对工业控制系统造成新的威胁。
技术实现思路
本技术实施例提供了安全管理设备,通过该安全管理设备,可安全地更新目标工业控制系统的配置文件,这些配置文件可包括但不限于:配置数据、白名单管理策略、白名单信任列表、病毒库、补丁、软件、固件等。该安全管理设备可以移动到不同的工业控制系统所在的网络进行配置和更新,这些工业控制系统包括但不限于:一个工厂、一个车间、一条生产线、一个或一组工业设备所对应的工业控制系统等。安全管理设备可集成不同的管理装置,对不同网络或子网中的工业控制系统进行更新和配置。安全管理设备在连接不同的工业控制系统时,可以自动配置自身的网络IP地址。本技术实施例提供的安全管理设备可包括:管理装置、安全检查装置、接口管理装置、网络配置装置以及第一网络接口;所述管理装置分别与所述安全检查装置、所述接口管理装置和所述网络配置装置相连,所述接口管理装置与所述网络接口相连,所述网络配置装置与所述第一网络接口相连;所述管理装置从资源处接收配置文件,并触发所述安全检查装置对所述配置文件进行安全检查;所述安全检查装置检查所述配置文件是否安全;所述网络配置装置检测所述第一网络接口与第一网络的连接,并响应于所述第一网络接口与所述第一网络的连接,对所述第一网络接口进行配置以使所述安全管理设备接入所述第一网络,并在所述安全管理设备接入所述第一网络后通知所述管理装置;所述管理装置响应于所述安全管理设备接入所述第一网络,触发所述接口管理装置将所述配置文件下发至所述第一网络;所述接口管理装置通过所述第一网络接口向所述第一网络下发所述配置文件。其中,安全管理设备可移动至不同的位置,便于对目的系统,比如工业控制系统中的设备进行配置文件更新。即使这些设备位于不同的相互独立的网络中,通过自动配置IP地址,也能够实现网络自动接入以及配置文件的下发与更新,极大降低了系统管理员的工作量。由于安全管理设备可自动检测和配置IP地址,使其自动接入目的系统中,即使缺乏网络知识,系统管理员也能够容易地进行配置文件的更新。由于能够进行安全检测,可提供配置文件更新过程中的安全性,避免目的系统受到安全威胁。通过安全管理设备获取配置文件,再由安全管理设备下发至目的系统,即使目的系统不支持在办公环境下的更新,也能够实现其自身配置文件的更新。可选地,所述资源位于第二网络中,所述安全管理设备还包括第二网络接口,所述网络配置装置检测所述第二网络接口与所述第二网络的连接,并响应于所述第二网络接口与所述第二网络的连接,对所述第二网络接口进行配置以使所述安全管理设备接入所述第二网络,并在所述安全管理设备接入所述第二网络后通知所述管理装置;所述管理装置通过所述第二网络接口从所述资源处接收所述配置文件。其中,安全管理设备可自动配置网络接口,当资源处有更新的配置文件时,安全管理设备可第一时间自动获取,无需系统管理员人工监视配置文件的更新,也无需其配置安全管理设备,手动从资源处获取配置文件。可选地,所述网络配置装置确定所述第一网络中是否包括DHCP服务器,若包括DHCP服务器,则所述网络配置装置获取所述第一网络中的DHCP服务器为所述安全管理设备分配的IP地址并配置所述第一网络接口;若不包括DHCP服务器,则从预先设置的IP地址库中获取IP地址并配置所述第一网络接口,其中,所述IP地址库中的IP地址是针对所述安全管理设备可能连接的不同网络而设定的。可选地,所述网络配置装置确定所述第二网络中是否包括DHCP服务器,若包括DHCP服务器,则所述网络配置装置获取所述第二网络中的DHCP服务器为所述安全管理设备分配的IP地址并配置所述第二网络接口;若不包括DHCP服务器,则从预先设置的IP地址库中获取IP地址并配置所述第二网络接口,其中,所述IP地址库中的IP地址是针对所述安全管理设备可能连接的不同网络而设定的。通过该方式可实现安全管理设备自行自动进行网络配置。可选地,所述安全检查装置检查如下项目中的至少一项以确定所述配置文件是否安全:所述资源是否为可信的资源、所述配置文件的数据完整性、所述配置文件的数字签名,所述安全检查装置还可对所述配置文件进行恶意软件扫描。实现了安全检查的功能。可选地,所述安全检查装置检查所述安全管理设备中的关键文件的数据完整性,以确定所述安全管理设备是否安全。这样,能够有效提高安全检查效率。可选地,所述管理装置获取所述第一网络的配置更新策略,所述管理装置触发所述接口管理装置按照所述配置更新策略向所述第一网络下发所述配置文件。这样,可按照目标系统的策略来更新配置文件,更符合客户的需求。可选地,所述安全管理设备还包括:配置文件管理装置的服务器端,与所述第一网络中所述配置文件管理装置的客户端交互,通过所述第一网络接口向所述第一网络下发所述配置文件。实现了和目标系统软件的接口。其中,所述配置文件管理装置为下述中的任一项:白名单管理装置、反恶意软件管理装置和补丁管理装置。可选地,所述第一网络为工业控制系统所在的网络,所述工业控制系统为下列系统中的任一种:工厂、车间、生产线和一个或一组工业设备。因此,本技术实施例提供的方案可适合任何目标工业控制系统的配置文件更新。附图说明为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出本技术一个实施例中工业控制系统的结构;图2示出本技术一个实施例中安全管理设备与包含配置文件的资源以及待更新的工业控制系统之间的连接关系。图3示出本技术一个实施例提供的安全管理设备的内部结构。图4示出本技术一个实施例中安全管理设备更新配置文件的过程。附图标记列表:50:工业控制系统5011:工业控制器5012:分布本文档来自技高网...
【技术保护点】
1.安全管理设备(10),其特征在于,包括:/n管理装置(101)、安全检查装置(102)、接口管理装置(103)、网络配置装置(104)以及第一网络接口(1051);/n所述管理装置(101)分别与所述安全检查装置(102)、所述接口管理装置(103)和所述网络配置装置(104)相连,所述接口管理装置(103)与所述网络接口(105)相连,所述网络配置装置(104)与所述第一网络接口(1051)相连;/n所述管理装置(101)从资源(20)处接收配置文件(30),并触发所述安全检查装置(102)对所述配置文件(30)进行安全检查;/n所述安全检查装置(102)检查所述配置文件(30)是否安全;/n所述网络配置装置(104)检测所述第一网络接口(1051)与第一网络(401)的连接,并响应于所述第一网络接口(1051)与所述第一网络(401)的连接,对所述第一网络接口(1051)进行配置以使所述安全管理设备(10)接入所述第一网络(401),并在所述安全管理设备(10)接入所述第一网络(401)后通知所述管理装置(101);/n所述管理装置(101)响应于所述安全管理设备(10)接入所述第一网络(401),触发所述接口管理装置(103)将所述配置文件(30)下发至所述第一网络(401);/n所述接口管理装置(103)通过所述第一网络接口(1051)向所述第一网络(401)下发所述配置文件(30)。/n...
【技术特征摘要】
1.安全管理设备(10),其特征在于,包括:
管理装置(101)、安全检查装置(102)、接口管理装置(103)、网络配置装置(104)以及第一网络接口(1051);
所述管理装置(101)分别与所述安全检查装置(102)、所述接口管理装置(103)和所述网络配置装置(104)相连,所述接口管理装置(103)与所述网络接口(105)相连,所述网络配置装置(104)与所述第一网络接口(1051)相连;
所述管理装置(101)从资源(20)处接收配置文件(30),并触发所述安全检查装置(102)对所述配置文件(30)进行安全检查;
所述安全检查装置(102)检查所述配置文件(30)是否安全;
所述网络配置装置(104)检测所述第一网络接口(1051)与第一网络(401)的连接,并响应于所述第一网络接口(1051)与所述第一网络(401)的连接,对所述第一网络接口(1051)进行配置以使所述安全管理设备(10)接入所述第一网络(401),并在所述安全管理设备(10)接入所述第一网络(401)后通知所述管理装置(101);
所述管理装置(101)响应于所述安全管理设备(10)接入所述第一网络(401),触发所述接口管理装置(103)将所述配置文件(30)下发至所述第一网络(401);
所述接口管理装置(103)通过所述第一网络接口(1051)向所述第一网络(401)下发所述配置文件(30)。
2.如权利要求1所述的安全管理设备(10),其特征在于,所述资源(20)位于第二网络(402)中,所述安全管理设备(10)还包括第二网络接口(1052),
所述网络配置装置(104)检测所述第二网络接口(1052)与所述第二网络(402)的连接,并响应于所述第二网络接口(1052)与所述第二网络(402)的连接,对所述第二网络接口(1052)进行配置以使所述安全管理设备(10)接入所述第二网络(402),并在所述安全管理设备(10)接入所述第二网络(402)后通知所述管理装置(101);
所述管理装置(101)通过所述第二网络接口(1052)从所述资源(20)处接收所述配置文件(30)。
3.如权利要求1所述的安全管理设备(10),其特征在于,所述网络配置装置(104)确定所述第一网络(401)中是否包括DHCP服务器,
若包括DHCP服务器,则所述网络配置装置(104)获取所述第一网络(401)中的DHCP服务器为所述安全管理设备(10)分配的IP地址并配置所述第一网络接口(1051);
若不包括DHCP服务器,则从预先设置的IP地址库中获取IP地址并配置所述第一网络接口(1...
【专利技术属性】
技术研发人员:郭代飞,
申请(专利权)人:西门子中国有限公司,
类型:新型
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。