一种工业控制防火墙中资产对象安全防护系统和方法
【技术领域】
[0001] 本发明是一种工业控制防火墙中资产对象安全防护系统和方法,涉及信息安全领 域,涉及安全应用技术,属于工业控制信息安全技术范畴。
【背景技术】
[000引 目前网络安全产品中,采用基于规则的技术实现边界防火。比如:在包过滤防火墙 中,管理员会配置一批规则部署在包过滤防火墙。当一个数据包规则被阻塞后,管理员只能 知道因为该条规则的原因,数据包被阻塞。管理员无法知道,为什么符合该条规则的数据要 被阻塞。管理员可能需要去查部署防火墙时的规划文档,了解某条规则的部署原因。迟缓 的响应速度无法满足工控网防护实时性要求。
[0003] 工业控制防火墙投入使用后。为了处理各种安全事件,不同的管理员会修改添加 规则。规则列表将会越来越兀长,且逐步与最初的规划文档不符,极难继续维护。当遇到紧 急安全事件需要处理时,缺乏全局规划,独立添加的规则往往不精练,甚至规则与规则之间 会出现相互冲突,隐含安全隐患。
[0004] 鉴于上述问题,本发明提出了一种工业控制防火墙中资产对象安全防护系统和方 法。它可W使工业控制操作员摆脱兀长,复杂的规则配置,及后续规则管理工作。从被防护 资产的角度及时得到攻击方和被攻击方的详细情况,明确提示规则冲突及推荐防护规则, 从而提高安全事件处理效率。
【发明内容】
[0005] 本发明阐述了一种资产对象安全防护系统和方法,其应用于工业防火墙产品。
[0006] 首先本发明提出了一种工业网络防火墙中资产对象安全防护系统,它包括作为宿 主的工业网络防火墙,中也服务器W及操作员站,该系统包括;一个资产发现模块、一个资 产管理模块、一个资产防护模块、一个资产统计模块和一个基础模块;资产发现模块,用于 发现网络中部署的资产,它根据资产的IP地址、资产的Mac地址及资产ID号,按照一定格 式存储在系统中;资产管理模块,用于管理被防护的资产,它管理资产发现模块提供的已发 现资产,并定义针对资产的防护规则;资产防护模块,用于执行资产的防护规则,完成资产 防护工作;资产统计模块,用于定制资产防护统计报告及生产资产防护规则建议;基础模 块,用于通用服务性任务。
[0007] 资产发现模块进一步包括:
[0008] -个数据包分析模块:负责数据包解析,抽取对应分析字段提供给资产分析模块。
[0009] -个资产分析模块;负责分析字段,资产发现信息去重和归并工作。
[0010] 资产管理模块进一步包括:
[0011] 一个网络设备信息导入模块:负责导入企业详细资产配置表,进一步将资产详细 信息补充完整。资产详细信息包括资产IP地址,资产Mac地址,资产ID号,资产位置,资产 类型,资产管理员,资产用途,资产上部署的软件情况;
[0012] -个资产信息修改模块:负责资产详细信息的增,删,改,查等操作。
[0013] 一个资产防护措施定义模块;负责定义本资产的防护措施,针对不同的资产类型, 系统推荐不同的防护措施。
[0014] 资产防护模块进一步包括:
[0015] 一个资产实时防护模块:负责处理资产相关联系,实时处理资产情况,按已定义规 则执行相对应的动作,动作包括允许或阻断。
[0016] 一个资产防护日志模块:负责根据资产实时防护模块运行情况,产生各种类型日 志、告警。负责将日志、告警提供给资产统计模块。
[0017] 资产统计模块进一步包括:
[0018] 一个资产统计设置模块:负责定义需要统计报告的资产,及报告内容模板。并提供 可选的几种综合性报告。
[0019] 一个资产防护分析模块:负责分析对应资产的防护日志。针对已有防护规则,产生 已有防护规则的调整建议。如;防护阔值的调整。针对新资产交互关系,产生资产防护规则 建议。
[0020] -个资产统计报告导出模块:负责将统计结果提供给用户。
[0021] 基础模块进一步包括:
[0022] 一个网络10模块;负责系统中分布式发现模块的10数据交换。
[0023] -个资产存储模块;负责系统信息的格式化存储。
[0024] 其次本发明提出了一种工业控制防火墙资产对象安全防护方法。该方法的步骤 为:
[00巧]第一步:完成网络资产发现。资产发现模块静默分析通过工业防火墙数据包情况, 并生产资产发现数据表。整个资产发现过程非其它系统采用的主动扫描,而是被动静默方 式。整个发现过程,对网路链路不产生新的开销,满足工业网络的实时性要求。
[0026] 其步骤又可分为:
[0027] 1A;数据包分析模块解析工业防火墙的数据包,并抽取IP地址或MAC地址或资产 ID信息。然后根据本地保存的历史发现信息表去重,将变化信息提供给网络10模块。
[0028] 1B;通过网络10模块,将分散的资产变化信息,传递到位于工业防火墙上资产分 析模块。
[0029] 1C;资产分析模块统一分析获取的资产发现信息,进行去重和归并工作。生成新的 资产发现信息表传递给网络10模块及工业防火墙上的资产存储模块。
[0030] 1D;网络10模块将新的资产发现信息表传递给资产存储模块。
[0031] 1E;存储模块完成资产发现信息表的本地存储。
[0032] 第二步:设置资产详细信息。定义被防护资产详细信息及防护规则。
[0033] 其步骤又可分为:
[0034] 2A;通过信息导入模块导入企业详细资产配置表。根据企业详细资产配置表,及资 产发现信息表,生成资产详细信息表传递给存储模块。
[003引 2B;存储模块完成资产详细信息表的本地存储。
[0036] 2C;用户操作资产信息修改模块,根据使用目的完成对资产详细信息的增,删,改, 查等操作。修改后的资产详细信息表通过资产存储模块完成本地存储。
[0037] 2D;用户设置某一资产的防护措施。资产防护措施定义模块根据资产的分类调用 防护措施库数据,并提供给用户。用户根据系统提供的防护措施进行简单设置。
[0038] 2E;设置后完整的防护措施作为资产详细信息的一部分插入资产详细信息表中。 通过资产存储模块完成本地存储。
[0039] 2F;用户针对每一个需要防护的资产进行步骤2D和2E。
[0040]第H步;实时防护资产对象安全。
[0041] 其步骤又可分为:
[0042] 3A;资产实时防护模块处理资产间每一条关联关系,按资产防护规则执行对应的 动作(允许或阻断)。
[0043] 3B;资产实时防护模块将每一次资产管理处理情况提交给资产防护日志模块。
[0044]C;资产防护日志模块根据资产关系处理情况产生各种类型日志,告警,数据流信 肩、。
[0045] 3D;资产防护日志模块将各种类型的日志,告警,数据流信息传递给网络10模块。
[004引 3E;网络10模块将各种类型的日志,告警,数据流信息传递给资产统计模块。
[0047]第四步:资产防护后处理。既包括防护数据的统计、防护效果的估计,也包括资产 防护进一步建议。
[0048] 其步骤又可分为:
[0049]A;在资产设置模块,用户根据系统提供功能完成报表模板的设置。用户从可选择 的设置条件中选择防护资产的统计信息,例如:阻塞数据流条数,信息;通过数据流条数; 和防护资产有联系的其它资产情况;防护资产对外提供的服务被什么资产,什么时间调用 等。用户从可选择的设置条件中选择统计信息报表布局,例如:报告标题,页眉,左右布局格 式,上下布局格式等。
[0050]B;不同的用户针对相同的资产定义不同的报表模板。
[0051]C;资产防护分析模块整体分析各级别的日志、告警、数据流信息。根据用户定义的 模板情况,抽取、统计需要的数据信息,填入报表模板。
[005引D;资产防护分析模块整体分析各级别的日志、告警、数据流信息,同时枚举分析当 前资产已经配置的防护规则情况。针对已有防护规则,产生调整建议。如;针对DDoS攻击 单位时间接收包的防护阔值调整。针对新发现资产交互关系,产生资产防护规则建议。例 女口 :新发现客户端防问资产上SqlServer数据库,请在资产防护规则中添加是否允许此客 户端访问资产。资产防护分析模块将此信息填入报表模板。
[0053]E;资产防护分析模块将资产统计报表(指定资产,指定用户)发送给资产统计报 告导出模块。
[0054]F;用户通过资产统计报告导出模块直接查看统计报表,并根据报表数据和规则调 整建议,调整对应资产的防护规则。
[005引G;用户通过资产统计报告导出模块,导出到其它系统进行数据归档。
[0056]本发明区别于现有