一种安全管控系统及方法与流程

本发明涉及系统安防技术领域，尤其涉及一种安全管控系统及方法。

背景技术：

安全管控系统，指的是提供一种高度可靠的安全保护手段的系统，可以最大限度地避免相关设备的不安全状态，防止恶性事故的发生或在事故发生后尽可能地减少损失，保护生产装置及最重要的人身安全，安全管控系统在现代化工生产过程中已被广泛使用，在工业生产中的作用也就变得越来越重要。

外接设备，是指计算机系统中输入、输出设备(包括外存储器)的统称。对数据和信息起着传输、转送和存储的作用，是计算机系统中的重要组成部分。外围设备是附属的或辅助的与计算机连接起来的设备，能够扩充计算机系统。

然而，现有技术中的安全管控系统对于外接设备的管控粒度较为笼统，存在着管控效果较差的技术问题。

技术实现要素：

本发明提供了一种安全管控系统及方法，解决了现有技术中的安全管控系统对于外接设备的管控粒度较为笼统导致管控效果较差的技术问题。

本发明提供的一种安全管控系统，包括连接模块、识别模块、外接设备分类模块以及控制模块；

所述连接模块用于连接外接设备；

所述识别模块用于识别接入安全系统的设备、允许或禁止外接设备接入安全管控系统、发送允许接入安全管控系统的外接设备信息到外接设备分类模块；

所述外接设备分类模块用于区分允许接入的外接设备的总类、区分同一总类下的同类外接设备、区分同类外接设备的不同个体、发送区分信息至控制模块；

所述控制模块用于手动管控允许接入的外接设备、自动实时地根据预配置管控允许接入的外接设备。

优选的，所述识别模块包括识别单元与管控单元；

所述识别单元用于识别接入的外接设备，发送识别信息传输至管控单元；

所述管控单元用于根据识别单元的识别信息允许或禁止外接设备接入安全管控系统，并发送允许接入安全管控系统的外接设备信息到外接设备分类模块。

优选的，所述外接设备分类模块包括总类区分单元、同类区分单元以及个体区分单元；

所述总类区分单元用于区分允许接入的外接设备的总类；

所述同类区分单元用于区分同一总类下的同类外接设备；

所述个体区分单元用于区分同类外接设备的不同个体，并发送区分信息至控制模块中进行区分管控。

优选的，所述控制模块包括手动控制单元以及自动控制单元；

所述手动控制单元用于实现手动管控允许接入的外接设备；

所述自动控制单元用于自动实时地根据预配置对允许接入的外接设备进行检测管控。

优选的，所述安全管控系统还包括通信加密模块，所述通信加密模块用于对接入外接设备使用过程中的通信信息和数据进行加密以及解密。

优选的，所述通信加密模块包括通讯加密单元以及通讯解密单元；

所述通讯加密单元用于对与允许接入的外接设备发送的通信信息及数据进行加密；

所述通讯解密单元用于对经过加密的信息数据进行解密。

优选的，所述安全管控系统还包括定向审计模块，所述定向审计模块用于记录安全管控系统相关操作的操作足迹、配置审计规则、集中审计核心文件并统一上报。

优选的，所述定向审计模块包括操作足迹记录单元、规则配置单元、集中审计单元以及上报单元；

所述足迹记录单元用于记录安全管控系统相关操作的操作足迹；

所述规则配置单元用于配置安全管控系统的审计规则；

所述定向审计模块用于按照规则配置单元的配置规则进行审计工作；

所述集中审计单元用于对安全管控系统当前的系统日志与服务按照既定规则进行审计；

所述上报单元用于将审计到的内容统一上报。

优选的，所述足迹记录单元记录的元素包括可被审计的事件名称、事件成功或失败的状态以及安全信息，所述集中审计单元审计过程包括系统启动或关闭审计、进程启动或停止审计以及核心文件审计。

一种安全管控方法，所述方法基于上述的安全管控系统，包括以下步骤：

选择安全管控系统的控制模式；

将外接设备连接至安全管控系统之中；

对连接至安全管控系统的外接设备进行识别，判断是否允许或禁止外接设备接入安全管控系统；

对允许接入安全管控系统的外接设备的总类进行区分，对同一总类下的同类外接设备记性区分，对同类外接设备的不同个体进行区分；并允许接入的对外接设备进行管控；

对安全管控系统的操作进行定向审计，并将审计结果进行上报。

从以上技术方案可以看出，本发明具有以下优点：

本发明实施例通过设置控制模块对管控模式进行选择，并对接入的外接设备进行管控，通过外接设备分类模块对接入的外接设备进行总类的区分，再对同一总类的同类外接设备进行区分，然后对同类外接设备的个体进行区分，通过识别模块对接入的外接设备进行识别，实现外接设备的放行或禁用，通过连接模块将外接设备接入到系统中，整体使得本发明实施例的管控粒度更细，管控效果更好；

本发明提供的另一个实施例具有以下优点：

本发明实施例通过通信加密模块对接入外接设备使用过程中的通信信息和数据进行加密，同时能够对加密过的信息数据进行解密，保证数据输入输出时保持一致，有效提高系统的安全性，并且系统的支持的软硬件平台总类较多，使得系统的兼容性较强，具有良好的跨平台性；再者，本发明通过定向审计模块记录系统相关操作的操作足迹，并在用户违反系统安全法则时提供及时的警告信息，同时可对审计规则进行配置，对核心文件集中审计，并统一上报。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种安全管控系统及方法的系统框架图。

图2为本发明实施例提供的一种安全管控系统及方法的系统框架图。

图3为本发明实施例提供的一种安全管控系统及方法的系统内部框架图。

图4为本发明实施例提供的一种安全管控系统及方法的方法流程图。

附图标记为：1控制模块、2外接设备分类模块、3识别模块、4连接模块、5通信加密模块、6定向审计模块、7手动控制单元、8自动控制单元、9总类区分单元、10同类区分单元、11个体区分单元、12识别单元、13管控单元、14连接端口、15通讯加密单元、16通讯解密单元、17操作足迹记录单元、18规则配置单元、19上报单元、20集中审计单元。

具体实施方式

本发明实施例提供了一种安全管控系统及方法，用于解决现有技术中的安全管控系统对于外接设备的管控粒度较为笼统，存在着管控效果较差的技术问题。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，图1为本发明实施例提供的一种安全管控系统及方法的系统框架图。

本发明提供的一种安全管控系统，包括连接模块4、识别模块3、外接设备分类模块2以及控制模块1；

所述连接模块4用于连接外接设备至安全管控系统之中，连接模块4上设置有连接端口14，外接设备通过连接端口14与连接模块4相连接。

所述识别模块3识别接入安全系统的设备、允许或禁止外接设备接入安全管控系统、发送允许接入安全管控系统的外接设备信息到外接设备分类模块2；

所述外接设备分类模块2用于区分允许接入的外接设备的总类、区分同一总类下的同类外接设备、区分同类外接设备的不同个体、发送区分信息至控制模块；

所述控制模块1用于手动管控允许接入的外接设备、自动实时地根据预配置管控允许接入的外接设备。

作为一个优选的实施例，所述识别模块3包括识别单元12与管控单元13；

所述识别单元12用于对接入的外接设备进行识别，并将识别信息传输给管控单元13；

所述管控单元13用于根据识别单元的识别信息允许或禁止外接设备接入安全管控系统，并发送允许接入安全管控系统的外接设备信息到外接设备分类模块2。

进一步的，对安全管控系统的工作原理进行说明：

系统运行时，通过控制模块1对管控模式进行选择，并对接入的外接设备进行管控，通过外接设备分类模块2对接入的外接设备进行总类的区分，再对同一总类的同类外接设备进行区分，然后对同类外接设备的个体进行区分，通过识别模块3对接入的外接设备进行识别，实现外接设备的放行或禁用，通过连接模块4将外接设备接入到系统中，整体使得本发明的管控粒度更细，实时性更好。

作为一个优选的实施例，所述外接设备分类模块2包括总类区分单元9、同类区分单元10以及个体区分单元11；

所述总类区分单元9用于区分允许接入的外接设备的总类；

所述同类区分单元10用于区分同一总类下的同类外接设备；

所述个体区分单元11用于区分同类外接设备的不同个体，并发送区分信息至控制模块1中进行区分管控。

所述外接设备分类模块2具体用于通过总类区分单元9对连接模块4接入并被识别模块3成功放行的外接设备进行总类区分，通过同类区分单元10对同一总类下同类外接设备进行区分，通过个体区分单元11对同类外接设备的不同个体进行区分，并将区分信息传递给控制模块1进行区分管控。

作为一个优选的实施例，所述控制模块1包括手动控制单元7以及自动控制单元8；

所述手动控制单元7用于实现手动管控允许接入的外接设备；

所述自动控制单元8用于自动实时地根据预配置对允许接入的外接设备进行检测管控。

通过手动控制单元7选择手动管控模式，安全管理员通过集中式的管控界面对所需管控设备进行手动管控，管控操作后实时生效，通过自动控制单元8实现自动管控，安全管理员按照实际管控需求对所需管控的设备的类策略与个体进行预配置，外接设备管控平台主程序将根据配置库自动实时监控并管控待管控对象设备；

作为一个优选的实施例，所述安全管控系统还包括通信加密模块5，所述通信加密模块5用于对接入外接设备发送的通信信息和数据进行加密，同时对加密过的信息数据进行解密。

作为一个优选的实施例，所述通信加密模块5包括通讯加密单元15以及通讯解密单元16；

所述通讯加密单元15用于对接入外接设备传输的通信信息和数据进行加密；

所述通讯解密单元16对经过加密的信息数据进行解密。

具体实施方式为：控制模块1在对外接设备进行管控的过程中，通信加密模块5通过通讯加密单元15对接入外接设备的通信信息以及数据进行加密，通过通讯解密单元16对经过加密的信息数据进行解密，保证数据输入输出时保持一致，有效提高系统的安全性，并且系统的支持的软硬件平台总类较多，使得系统的兼容性较强，具有良好的跨平台性。

作为一个优选的实施例，所述安全管控系统还包括定向审计模块6，所述定向审计模块6用于记录安全管控系统相关操作的操作足迹，并在用户违反系统安全法则时提供及时的警告信息，同时配置审计规则，对核心文件集中审计，并统一上报。

作为一个优选的实施例，所述定向审计模块6包括操作足迹记录单元17、规则配置单元18、集中审计单元20以及上报单元19；

所述足迹记录单元17用于记录安全管控系统相关操作的操作足迹；

所述规则配置单元18用于对安全管控系统的审计规则进行配置；

所述定向审计模块6按照规则配置单元18的配置规则进行审计工作；

所述集中审计单元20用于对安全管控系统当前的系统日志与服务按照既定规则进行审计；

所述上报单元19将审计到的内容统一上报。

定向审计模块6具体用于通过操作足迹记录单元17记录系统相关操作的操作足迹，通过规则配置单元18对安全管控系统中审计规则进行配置，使定向审计模块6按照配置规则进行审计工作，通过集中审计单元20对安全管控系统进行当前系统日志与服务按照既定规则进行审计，并通过上报单元19将审计到的内容统一上报，定向审计模块6在审计过程中包括系统启动或关闭审计、进程启动或停止审计以及核心文件审计。

实施方式具体为：进行系统启动或关闭审计以及进程启动或停止审计，先通过规则配置单元18对安全管控系统中审计规则进行配置，默认在管理端提供配置文件进行配置，便于用户进行审计相关配置，使定向审计模块6按照配置规则进行审计工作，再通过操作足迹记录单元17记录系统相关操作的操作足迹，并且可对核心文件进行审计，同时可通过集中审计单元20对安全管控系统进行当前系统日志与服务按照既定规则进行审计，并通过上报单元19将审计到的内容统一上报，同时在用户违反系统安全法则时提供及时的警告信息，进一步提高系统安全性，审计范围广，可读性好。

作为一个优选的实施例，所述足迹记录单元记录的元素包括可被审计的事件名称、事件成功或失败的状态以及安全信息，所述集中审计单元20审计过程中包括系统启动或关闭审计、进程启动或停止审计以及核心文件审计。

实施例2

如图4所示，一种安全管控方法，所述方法基于上述的安全管控系统，包括以下步骤：

选择安全管控系统的控制模式；

将外接设备连接至安全管控系统之中；

对连接至安全管控系统的外接设备进行识别，判断是否允许或禁止外接设备接入安全管控系统；

对允许接入安全管控系统的外接设备的总类进行区分，对同一总类下的同类外接设备记性区分，对同类外接设备的不同个体进行区分；并允许接入的对外接设备进行管控；

对安全管控系统的操作进行定向审计，并将审计结果进行上报。

实施例3

如图2、图3所示，一种具有设备管控功能的安全管控系统，包括控制模块1，所述控制模块1连接端设有外接设备分类模块2，所述外接设备分类模块2连接端设有识别模块3，所述识别模块3连接端设有连接模块4，所述控制模块1包括手动控制单元7以及自动控制单元8，所述外接设备分类模块2包括总类区分单元9、同类区分单元10以及个体区分单元11，所述识别模块3包括识别单元12以及管控单元13，所述连接模块4包括连接端口14；

所述控制模块1用于对管控模式进行选择，并对接入的外接设备进行管控；

所述外接设备分类模块2用于对接入的外接设备进行总类的区分，再对同一总类的同类外接设备进行区分，然后对同类外接设备的个体进行区分；

所述识别模块3用于对接入的外接设备进行识别，实现外接设备的放行或禁用；

所述连接模块4用于将外接设备接入到系统中；

所述控制模块1具体用于通过手动控制单元7选择手动管控模式，安全管理员通过集中式的管控界面对所需管控设备进行手动管控，管控操作后实时生效，通过自动控制单元8实现自动管控，安全管理员按照实际管控需求对所需管控的设备的类策略与个体进行预配置，外接设备管控平台主程序将根据配置库自动实时监控并管控待管控对象设备；

所述外接设备分类模块2具体用于通过总类区分单元9对连接模块4接入并被识别模块3成功放行的外接设备进行总类区分，通过同类区分单元10对同一总类下同类外接设备进行区分，通过个体区分单元11对同类外接设备的不同个体进行区分，并将区分信息传递给控制模块1进行区分管控；

所述识别模块3具体用于通过识别单元12对连接模块4接入的设备进行识别，然后将识别信息传递给管控单元13，再通过管控单元13对接入的外接设备进行放行或禁用，并将放行的接入数据传递给外接设备分类模块2；

所述连接模块4具体用于通过连接端口14将外接设备接入到系统中，并将接入数据传递给识别模块4。

实施方式具体为：在使用本发明时，先对系统的控制模式进行选择，通过控制模块1中的手动控制单元7进行手动管控，安全管理员通过集中式的管控界面对所需管控设备进行手动管控，管控操作后实时生效，通过自动控制单元8实现自动管控，安全管理员按照实际管控需求对所需管控的设备的类策略与个体进行预配置，外接设备管控平台主程序将根据配置库自动实时监控并管控待管控对象设备；再将外部设备通过连接模块4中的连接端口14接入到系统中，并将外接设备的接入数据传递给识别模块3，识别模块3接收到接入数据后通过识别单元12对接入设备数据进行识别，再将识别信息传递给管控单元13，然后通过管控单元13对接入的外接设备进行放行或禁用，并将放行的接入数据传递给外接设备分类模块2，外接设备分类模块2通过总类区分单元9对连接模块4接入并被识别模块3成功放行的外接设备进行总类区分，例如usb/ethernet，通过同类区分单元10对同一总类下同类设备进行区分，例如usb总类下的存储类/打印机，通过个体区分单元11对同类设备的不同个体进行区分，例如单独的某个u盘/打印机，并将区分信息传递给控制模块1进行区分管控，整体使得本发明的管控粒度更细，实时性更好。

根据图2所示的一种具有设备管控功能的安全管控系统，还包括通信加密模块5，所述通信加密模块5设置在控制模块1的连接端，所述通信加密模块5包括通讯加密单元15以及通讯解密单元16；

所述通信加密模块5用于接入外接设备使用过程中的通信信息和数据进行加密，同时能够对加密过的信息数据进行解密；

所述通信加密模块5具体用于通过通讯加密单元15对接入外接设备使用过程中的通信信息和数据进行加密，通过通讯解密单元16对经过加密的信息数据进行解密；

所述系统cpu设置为inteli3以上cpu，所述系统内存不低于2g，所述系统分辨率不低于1024*768，所述系统的离线管控及存储容量不低于10000套变电站监控系统，所述系统支持软硬件平台包括intelx86_64、amd64、兆芯、龙芯、redhat、centos、ubuntu、freebsd。

实施方式具体为：在使用本发明时，控制模块1在对外接设备进行管控的过程中，通信加密模块5通过通讯加密单元15对接入外接设备的通信信息以及数据进行加密，通过通讯解密单元16对经过加密的信息数据进行解密，保证数据输入输出时保持一致，有效提高系统的安全性，并且系统的支持的软硬件平台总类较多，使得系统的兼容性较强，具有良好的跨平台性。

根据图2所示的一种具有设备管控功能的安全管控系统，还包括定向审计模块6，所述定向审计模块6设置在控制模块1的连接端，所述定向审计模块6包括操作足迹记录单元17、规则配置单元18、上报单元19以及集中审计单元20；

所述定向审计模块6用于记录系统相关操作的操作足迹，并在用户违反系统安全法则时提供及时的警告信息，同时可对审计规则进行配置，对核心文件集中审计，并统一上报；

所述定向审计模块6具体用于通过操作足迹记录单元17记录系统相关操作的操作足迹，记录的元素包括可被审计的事件名称、事件成功或失败的状态以及安全信息，通过规则配置单元18对待评测系统中审计规则进行配置，使定向审计模块6按照配置规则进行审计工作，通过集中审计单元20对待评测系统进行当前系统日志与服务按照既定规则进行审计，并通过上报单元19将审计到的内容统一上报，定向审计模块6在审计过程中包括系统启动或关闭审计、进程启动或停止审计以及核心文件审计。

实施方式具体为：在使用本发明时，可进行系统启动或关闭审计以及进程启动或停止审计，先通过规则配置单元18对待评测系统中审计规则进行配置，默认在管理端提供配置文件进行配置，便于用户进行审计相关配置，使定向审计模块6按照配置规则进行审计工作，再通过操作足迹记录单元17记录系统相关操作的操作足迹，记录的元素包括可被审计的事件名称、事件成功或失败的状态以及安全信息，并且可对核心文件进行审计，同时可通过集中审计单元20对待评测系统进行当前系统日志与服务按照既定规则进行审计，并通过上报单元19将审计到的内容统一上报，同时在用户违反系统安全法则时提供及时的警告信息，进一步提高系统安全性，审计范围广，可读性好。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。