[发明专利]一种工控系统的网络审计方法和装置

权利要求书

1.一种工控系统的网络审计方法，包括如下步骤：

经由工业防火墙设备以及工控监测终端识别告警，并且将识别到的告警放入过滤表；

由统一安全管理平台接收所述过滤表中的每一条告警，并且对于所述每一条告警，根据统一安全管理平台中预存的威胁值列表，获取每一条告警的威胁总值；以及

基于所获取的每一条告警的威胁总值的大小来确定每一条告警的威胁等级，并且根据所确定的威胁等级来确定该条告警的显示。

2.根据权利要求1所述的网络审计方法，其中，基于每一条告警的源IP、目的IP、目的端口、工业协议和工业协议功能码的对应威胁值来获取每一条告警的威胁总值。

3.根据权利要求1所述的网络审计方法，其中，根据所确定的威胁等级将告警存储到与该威胁等级对应的表格中，以在对应的表格中进行告警的显示。

4.根据权利要求3的网络设计方法，其中，所述表格包括过滤告警表和告警表，过滤告警表中存储的告警的威胁等级与告警表中存储的告警的威胁等级不同。

5.根据权利要求1-4的任意一项所述的网络审计方法，

其中，经由所述工业防火墙设备以及所述工控监测终端识别的所述告警包括白名单告警和访问控制列表告警，

其中，将所有经过工业防火墙设备和工控监测终端的流量与由统一安全管理平台下发的白名单规则进行匹配，与所述白名单规则不匹配的流量产生所述白名单告警，并且

其中，由统一安全管理平台下发访问控制列表规则到工业防火墙设备，所有违反所述访问控制列表规则的流量产生所述访问控制列表告警。

6.根据权利要求1-4的任意一项所述的网络审计方法，其中，

所述威胁值列表中记载如下内容：

(1)根据源IP是否为外网IP以及是否为已知资产而定义的源IP威胁值；

(2)根据目的IP是否为外网IP以及是否为已知资产而定义的目的IP威胁值；

(3)根据目的端口是否为高危端口而定义的目的端口威胁值；

(4)根据是否为工业协议而定义的工业协议威胁值；以及

(5)根据工业协议功能码为写类操作或读类操作而定义的工业协议功能码威胁值。

7.根据权利要求6所述的网络审计方法，其中，

在获取所述威胁总值时，根据所述统一安全管理平台所预设的工业现场内部资产列表确定告警中的源IP和目的IP是否为已知资产并且根据源IP和目的IP的IP地址确定是否为外网IP，从而参考所述威胁值列表获取对应的源IP威胁值和目的IP威胁值；根据所述统一安全管理平台内置的高危端口列表确定告警的目的端口是否为高危端口，从而参考所述威胁值列表获取对应的目的端口威胁值；基于所述统一安全管理平台内置的工业协议端口列表确定告警是否为工业协议，从而参考所述威胁值列表获取对应的工业协议威胁值；以及基于所述统一安全管理平台内置的工业协议功能码列表确定告警是读类操作或写类操作，从而参考所述威胁值列表确定对应的工业协议功能码威胁值；并且

通过将所确定的相对应的源IP威胁值、目的IP威胁值、目的端口威胁值、工业协议威胁值和工业协议功能码威胁值相加，计算告警的所述威胁总值。

8.根据权利要求7所述的网络审计方法，其中，

在计算出告警的所述威胁总值后，提取出该告警的包括源IP、目的IP、目的端口、工业协议、工业协议功能码以及威胁总值的六元组信息，并且将所述六元组信息存入告警威胁表中，并且

对于由统一安全管理平台所接收到的每一条告警，首先提取告警中的包括源IP、目的IP、目的端口、工业协议、工业协议功能码的五元组信息，并且判断在所述告警威胁表中是否存在与所述五元组信息相同的数据，当判断存在相同的数据时，直接获取所述告警威胁表中的相对应的所述威胁总值；当判断不存在相同的数据时，计算出威胁总值。