[发明专利]一种工控系统漏洞探测方法及系统

说明书

本发明公开了一种新型工控系统漏洞探测方法及系统，其中方法包括以下步骤：S100，以旁路镜像的方式，对工控网络中的业务网络通讯进行嗅探，获得初步的资产信息；S200，以此信息为基础，漏洞探测装置通过主动探测方式，以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯，根据目标工控设备返回的结果，获得详细的资产信息；S300，将同一个目标工控设备获得的很多资产信息这些信息进行整合，区分优先级，给该工控设备做相应的资产标签；S400，根据该工控设备的资产标签，在工控漏洞库中进行分析匹配，得到该工控设备的相关漏洞，对该工控网络中的所有工控设备进行相应的漏洞探测，得到整个网络区域的漏洞结果。

技术领域

本发明属于工业控制技术领域，具体涉及一种工控系统漏洞探测方法及系统。

背景技术

工业控制系统是指由计算机与工业过程控制部件组成的自动控制系统。工业过程控制部件对实时数据进行采集、监测，在计算机的调配下，实现设备自动化运行以及对业务流程的管理与监控，其特点主要表现在数据传送的实时性、数据的事件驱动及数据源主动推送等。工业控制系统已经广泛运用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、军工、城市供水供气供热以及其他与国计民生紧密相关的领域。

随着我国“工业4.0”时代的来临，“互联网+”、“中国制造2025”的提出，越来越多的网络安全隐患被带入了工业控制领域，威胁不断加剧。对工业控制网络和系统的攻击，可能破坏企业重要装置的正常工艺流程，由此引发的后果是灾难性的。对此，国家极其重视。2011年，中华人民共和国国家质量监督检验检疫总局联合中国国家标准化管理委员会发布了《工业控制网络安全风险评估规范》GB/T 26333-2010。2014年，又发布了《工业控制系统信息安全第一部分：评估规范》GB/T 30976.1-2014，该标准明确了工业控制系统信息安全评估的目标、评估的内容、实施过程等。2015年2月，国家能源局发布国能安全第36号文件《电力监控系统安全防护总体方案》，其中规定了对于电力生产监控系统应该每年进行一次安全评估。2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》，2017年，工信部再度印发《工业控制系统信息安全防护能力评估工作管理办法》，明确了针对于工业控制系统的安全评估方案。2017年6月1日，《中华人民共和国网络安全法》正式施行，其中第38条明确了关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。在国家层面，对于工业控制系统的漏洞探测和风险评估越来越被重视。

现有技术中，主要采用的工控漏洞探测方法有两种：镜像嗅探方式和主动探测方式。图1所示为采用镜像嗅探方式的工控漏洞探测方法，DCS(Distributed ControlSystem，分布式控制系统)、PLC(Programmable Logic Controller，可编程逻辑控制器)、RTU(Remote Terminal Unit，远程终端单元)、SCADA(Supervisory Control And DataAcquisition，数据采集与监视控制系统)、工程师站和操作员站之间有大量的网络通讯。通过镜像交换机将这些网络通讯流量镜像给漏洞探测装置，漏洞探测装置不与上述设备进行网络通讯，由漏洞探测装置分析上述装置之间的网络通讯流量，获得工控资产信息，从而得到资产的漏洞信息。优点：因为漏洞探测装置不与其它设备进行网络通讯，所以这种方式对工控网络和工控设备的正常运行不会造成任何影响。缺点：被镜像的网络通讯大多承载的是业务数据(例如Ethemet/IP协议，DNP3协议)，并不包含工控设备的资产信息。