[发明专利]一种基于配置表的工控系统安全风险评估的方法

说明书

本发明涉及工业控制系统安全安全风险评估和配置核查领域技术领域，特别涉及一种基于配置表的工控系统安全风险评估的方法，采用如下步骤：步骤一：构建核心调度引擎，建立数据库组、引擎库、工控资产信息库，形成工业安全配置基线检查工具；步骤二：步骤一中的数据库组由工控协议、设备、软件数据库，工控漏洞数据库，关键扫描指令数据库组成；它针对构成工业控制系统的工控设备、网络设备、工控应用、服务、组件等，以及工控系统普遍采用的IT设备、操作系统、数据库等组件进行资产探测、配置安全基线核查、漏洞检测，实现快速检测，发现漏洞，从而能够快速得到检测结果，发现基线配置存在的安全风险。

技术领域

本发明涉及工业控制系统安全安全风险评估和配置核查领域，涉及一种基于配置表的工控系统安全风险评估的方法。

背景技术

现代工业基础设施包括电力、石油与天然气、化工、水利、工业制造及交通控制等重点行业，构成了我国国民经济、现代社会以及国家安全的重要基础。工业基础设施中关键应用、系统的故障可能导致人员伤亡、严重的经济损失、基础设施被破坏、环境灾难、危及公众生活及国家安全等。

工业控制系统构成了现代工业基础设施的神经系统。传统上，工业控制系统多为采用专用技术的封闭网络，对外没有互联互通，其面临的信息安全威胁不突出。相应地，各种工业控制设备、应用、系统、通信协议都主要针对专有的封闭环境而设计。由于没有现实的信息安全威胁，工业自动化控制系统在设计、实现与部署过程中，其主要指标是可用性、功能、性能、(物理)安全性、实时性等，而无须过多考虑网络攻击、信息安全等问题。

近几十年来，各种工业控制系统正快速地从封闭、孤立的系统走向开放、互联(包括与传统IT系统互联)，日益广泛地采用以太网/IP/TCP网络作为通信基础设施，将工业控制协议迁移到TCP/IP协议栈的应用层；采用包括IWLAN、GPRS等在内的各种无线网络；广泛采用标准的Windows等商用操作系统、设备、软件、中间件与各种通用技术。典型的工业自动化控制系统，包括SCADA(数据采集与监控系统)、DCS(分布式控制系统)、PLC(可编程逻辑控制器)等，正日益变得开放、通用和标准化。

工业控制系统在享受开放、互联技术带来的进步、效率与利益的同时，也面临着日益严重的安全威胁。由于长期缺乏安全需求的推动，对采用TCP/IP等通用技术的网络环境下广泛存在的安全威胁缺乏充分认识，现有工业控制系统过去在设计、研发中几乎完全没有考虑信息安全的问题，在部署、运维中又缺乏安全意识、管理、流程、策略与相关专业技术的支撑，导致许多工业控制系统中存在着这样或那样的安全问题，一旦被无意或恶意利用，就会造成各种严重的安全事件。

本司经过多年的实践与探索，世界各国或多或少都已意识到针对工业控制系统开展全面的安全测评，摸清、掌握工业控制系统潜在的安全风险与面临的安全威胁，有助于以此为起点推动工业控制领域各相关机构、客户与厂商等各方共同参与、相互配合，改进和完善现有工业控制系统，并研发更安全、可靠的新的工业控制系统。能够实现针对IT设备及工控设备配置基线的安全检查，分析重要IT设备、工控设备、网络设备安全配置情况，发现基线配置存在的安全风险。

发明内容

本发明的目的在于针对现有技术的缺陷和不足，提供一种基于配置表的工控系统安全风险评估的方法，它具有远程和本地对IT设备和工控设备进行安全配置检查的能力，并且符合相应安全规范，同时具有友好的人机界面和报表系统，实现基线检查工作的智能化、自动化。

为实现上述目的，本发明采用的技术方案是：

本发明所述的一种基于配置表的工控系统安全风险评估的方法，采用如下步骤：

步骤一：构建核心调度引擎，建立数据库组、引擎库、工控资产信息库，形成工业安全配置基线检查工具；

步骤二：步骤一中的数据库组由工控协议、设备、软件数据库，工控漏洞数据库，关键扫描指令数据库组成；