工控系统的通信数据安全审计方法及装置与流程

本发明涉及工业控制安全领域，尤其涉及一种工控系统的通信数据安全审计方法及装置。

背景技术：

工控系统中，各智能电子设备(Intelligent Electronic Device缩写为IED)之间通过通信协议进行通信。为了实现工控系统行为可追溯，识别危险操作，保证工控系统安全，需要对工控系统中的通信数据进行安全审计。

传统的安全审计按照通信协议对通信数据进行分析，记录其中的字段信息，形成对通信行为的审计记录。传统的安全审计方法并不考虑工控系统的业务功能，只按照通信协议里的通信原语识别出通信行为，无法识别通信行为代表工控系统的哪种业务功能，即无法识别通信行为代表的业务行为。传统的安全审计方法也不考虑工控系统的业务规则，无法对通信行为代表的业务行为按照业务规则进行审计分析。

由于以上问题的存在，传统安全审计方法只能对工控系统中的通信行为进行审计，不能识别业务行为，更不能对业务行为是否符合业务规则进行审计，无法满足工控系统的安全审计需求。因为现有技术就是简单的通过通信原语的识别确定通信数据的通信行为。例如，确定通信数据用于对某一个节点(IED)进行数据的读取或者写入。当工控系统出现问题后，只能逐一地判断审计所记录的所有的通信数据以确定造成问题的通信数据，故障或威胁排除效率低。这对于实时性要求极高的工控系统来说将会导致巨大的损失。

技术实现要素：

本发明实施例提供一种工控系统的通信数据安全审计方法及装置，用于至少解决上述技术问题之一。

第一方面，本发明实施例提供一种工控系统的通信数据安全审计方法，其包括：解析获取的通信数据以确定所述通信数据所包含的业务行为数据；根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则集；判断所述工控系统的当前状态是否满足所述业务规则集，并进行相应的记录。

第二方面，本发明实施例还提供一种工控系统的通信数据安全审计装置，所述装置包括：

数据解析模块，用于解析获取的通信数据以确定所述通信数据所包含的业务行为数据；

业务规则集确定模块，用于根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则集；

判断记录模块，用于判断所述工控系统的当前状态是否满足所述业务规则集，并进行相应的记录。

第三方面，本发明实施例提供一种非易失性计算机可读存储介质，所述存储介质中存储有一个或多个包括执行指令的程序，所述执行指令能够被电子设备(包括但不限于计算机，服务器，或者网络设备等)读取并执行，以用于执行本发明上述任一项工控系统的通信数据安全审计方法。

第四方面，提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明上述任一项工控系统的通信数据安全审计方法。

第五方面，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任一项工控系统的通信数据安全审计方法。

本发明实施例的有益效果在于：在审查通信数据时不仅要确定通信数据的通信行为，还要确定通信行为所代表的业务行为。从而判断该业务行为是否符合对应的业务规则集，并进行记录。从而，当工控系统出现问题后，只需要从记录的不符合业务规则的通信数据中就能确定导致问题出现的通信数据。减少了故障或者威胁导致因素的确定时间，提升了故障或者威胁排查的效率，为尽快恢复工控系统节省了时间。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的工控系统的通信数据安全审计方法一实施例的流程图；

图2为图1中步骤S12的一实施例的流程图；

图3为本发明一实施例中的业务功能模型的结构示意图；

图4为本发明一实施例中的业务功能模型的示例的结构示意图；

图5为本发明一实施例中的业务规则模型的结构示意图；

图6为本发明一实施例中的业务规则模型的示例的结构示意图；

图7为图1中步骤S13的一实施例的流程图；

图8为本发明的工控系统的通信数据安全审计装置的一实施例的结构框图；

图9为本发明的工控系统的通信数据安全审计装置的业务规则确定模块一实施例的结构框图；

图10为本发明的工控系统的通信数据安全审计装置的判断记录模块一实施例的结构框图；

图11为本发明的电子设备的一实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、元件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

在本发明中，“模块”、“装置”、“系统”等等指应用于计算机的相关实体，如硬件、硬件和软件的组合、软件或执行中的软件等。详细地说，例如，元件可以、但不限于是运行于处理器的过程、处理器、对象、可执行元件、执行线程、程序和/或计算机。还有，运行于服务器上的应用程序或脚本程序、服务器都可以是元件。一个或多个元件可在执行的过程和/或线程中，并且元件可以在一台计算机上本地化和/或分布在两台或多台计算机之间，并可以由各种计算机可读介质运行。元件还可以根据具有一个或多个数据包的信号，例如，来自一个与本地系统、分布式系统中另一元件交互的，和/或在因特网的网络通过信号与其它系统交互的数据的信号通过本地和/或远程过程来进行通信。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”，不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

如图1所示，本发明的一实施例的工控系统的通信数据安全审计方法，包括：

S11、解析获取的通信数据以确定所述通信数据所包含的业务行为数据；

S12、根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则集；

S13、判断所述工控系统的当前状态是否满足所述业务规则集，并进行相应的记录。

本实施例的工控系统的通信数据安全审计方法可以由一种数据安全审计设备执行。步骤S11中是通过将数据安全审计设备于工控系统中的交换机进行并联设置的方式来获取工控系统中的通信数据的。本实施例方法在审查通信数据时不仅要确定通信数据的通信行为，还要确定通信行为所代表的业务行为。从而判断该业务行为是否符合对应的业务规则集，并进行记录(包括符合和不符合业务规则集的情况的记录)。从而，当工控系统出现问题后，只需要从记录的不符合业务规则集的通信数据中就能确定导致问题出现的通信数据。减小了故障或者威胁导致因素确定的时间，为尽快恢复工控系统节省了时间。

如图2所示，在一些实施例中，所述业务行为数据至少包括目标智能电子设备标识、操作行为标识；步骤S12所述根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则集包括：

S121、根据所述目标智能电子设备标识和操作行为标识确定所述业务行为；

S122、根据预先建立的业务规则模型确定相应于所述业务行为的业务规则集。

本实施例中步骤S121中根据所述目标智能电子设备标识和操作行为标识确定所述业务行为包括：根据获取的目标智能电子设备标识和操作行为标识从预先生成的业务功能模型中确定业务行为。

如图3所示为预先建立的业务功能模型的结构示意图。工控系统由若干个IED组成，每个IED包含特定的属性和方法，将工控系统中的IED及其属性和方法组织起来，构成工控系统的业务功能模型。图3所示的业务功能模型包括了多个智能电子设备IED-1、IED-2……IED-N(或者IED1、IED2……IEDN)，并且对应于每一个智能电子设备都包含有多种属性及方法。

如图4所述为业务功能模型的一种实施例的结构示意图。该示例图表示的工控系统的业务功能模型中包含IED-1和IED-2两个智能电子设备(IED-1和IED-2分别为对应智能电子设备的唯一标识，即目标智能电子设备标识)，每个IED包含若干个属性和方法。业务功能模型对其中的属性和方法定义唯一标识(即，操作行为标识)。

上述实施例中通过解析获取通信数据所包含的目标智能电子设备标识和操作行为标识来确定通信数据所代表的业务行为。例如，当解析某一通信数据包得到的目标智能电子设备标识为IED-1，操作行为标识为YX1时，代表此通信数据包所代表的业务行为为访问智能电子设备IED-1的遥信1，IED-1、YC1标识IED1的遥测1，IED-1、YK1标识IED1的遥控1等。属性状态(值)和方法状态(执行结果)存储在业务功能模型中。因此，本实施例通过将解析得到的目标智能电子设备标识和操作行为标识与预先生成的业务功能模型进行对比以确定通信数据包所对应的业务行为的方式，极大的提升了确定通信数据业务行为的效率。并且，由于每一个智能电子设备都对应有唯一标识，相应的每一个智能电子设备又都对应有唯一标识的操作行为标识，所以也保证了确定通信数据的业务行为的准确性。

如图5所示为本发明实施例中的业务规则模型的一种实施例的结构图。上述实施例的步骤S122中的业务规则模型为通过将工控系统中所有的业务行为及其对应的业务规则建立对应关系而构成的。图5所示的工控系统业务规则模型包括了多种业务行为：业务行为1、业务行为2……业务行为N，并且对应于每一种业务行为又包含有多种业务规则组，每一个业务规则组进一步包括多条业务规则。

如图6所示为业务规则模型的一种具体实施例的结构示意图。

业务行为：业务行为是指对业务功能模型中IED属性或方法的访问，例如图6中的IED1遥控1、IED2遥控2选择、IED2遥控2执行等。

业务规则：业务规则是执行某一业务行为必须满足的条件，一条业务规则可以用一个逻辑表达式表示，在该表达式中可以包含以下内容：逻辑运算符、数字或字符串常量、数学运算符或函数、当前日期或时间、业务功能模型中定义的属性或方法标识等。

业务规则模型可以通过引用业务功能模型中定义的属性或方法标识来引用业务功能模型相关状态。上述实施例中针对工控系统的安全审计需求，设计了上述的业务功能模型和业务规则模型以进行工控系统安全审计。本实施例预先建立工控系统的业务功能模型和业务规则模型，在对工控系统中的通信数据进行审计分析时，根据通信协议识别出通信原语(至少包括了目标智能电子设备标识和操作行为标识)，并基于业务功能模型，识别出业务行为。然后再基于业务规则模型对业务行为的合理性进行审计，得出审计结果。因此，本发明实施例不仅实现了对通信数据所对应通信行为的审计与记录，还实现了对通信数据所对应的业务行为以及业务行为是否符合对应的业务规则的审计与记录。从而实现了工控系统行为的可追溯性，提升了排查识别危险操作的效率与准确性，保证工控系统的安全。

在一些实施例中，所述业务规则集包括多个业务规则组，所述业务规则组包括多条业务规则。业务规则组下面所有的业务规则都为真时，才可判定该业务规则组为真；任意一个业务规则为假，则判定该业务规则组为假。

在对业务行为进行审计时，只要其对应的任意一个业务规则组判定结果为真，即可认为该业务行为合理；所有业务规则组判定结果都为假，则认为该业务行为不合理。

如图7所示，在一些实施例中所述判断所述工控系统的当前状态是否满足所述业务规则集，并进行相应的记录包括：

S131、判断所述工控系统的当前状态是否满足所述多个业务规则组；

S132、当判断所述工控系统的当前状态满足任意一个业务规则组时，确定所述工控系统的当前状态满足所述业务规则集，并记录；

S133、当判断所述工控系统的当前状态不满足所有的业务规则组时，确定所述工控系统的当前状态不满足所述业务规则集，并记录。

在图6所示的业务规则模型示例中，定义了三个业务行为，每个业务行为对应两个业务规则组，每个业务规则组包含若干条业务规则。业务行为IED-1遥控1的业务规则组1包含两条业务规则，其中的规则1逻辑表达式为YX1＝1，表示的条件是IED1遥信1处于合位；其中的规则2逻辑表达式为YX2＝0，表示的条件是IED1遥信2处于分位。在对业务行为IED1遥控1进行审计时，先判定业务规则组1是否为真，如果不为真，再对业务规则组2进行判定。判定业务规则组1时，先判定业务规则1，如果业务规则1为真，再判定业务规则2，如果业务规则2也为真，则判定业务规则组1为真；否则，判定业务规则组1为假。然后再按上面的过程对业务规则组2进行判定。只要业务规则组1为真或业务规则组2为真，即可判定IED1遥控1业务行为合理，否则判定该业务行为不合理。

在一些实施例中，所述业务行为的执行结果为另一业务行为所需要满足的多个业务规则之一。如图6所示，业务行为IED-2遥控2选择的执行结果就是业务行为IED-2遥控2执行所对应的业务规则组5和业务规则组6所包含的业务规则(分别为规则9和规则12)。

本实施例中实现了对相关联的业务行为的合理性的审计。从而实现了对相互关联的通信数据包的合理性的审计，避免了简单审计通信数据的通信行为而无法审计出相关联通信数据存在威胁的弊端。例如，当IED-2遥控2选择操作失败时，如果进行IED-2遥控2执行操作，则业务行为IED-2遥控2执行是不符合业务规则的，但只依据通信行为进行审计，将无法审计出该威胁。而本发明实施例正是由于在业务规则层面对通信数据所对应的业务行为进行了审计与记录，从而发现并记录下了通信数据之间存在的关联性，并能发现单纯通信行为审计无法识别的威胁。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作合并，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

如图8所示，本发明实施例还提供一种工控系统的通信数据安全审计装置800，包括：

数据解析模块810，用于解析获取的通信数据以确定所述通信数据所包含的业务行为数据；

业务规则集确定模块820，用于根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则集；

判断记录模块830，用于判断所述工控系统的当前状态是否满足所述业务规则集，并进行相应的记录。

本实施例的工控系统的通信数据安全审计装置可以执行本发明上述实施例中的方法。数据解析模块810是通过将数据安全审计设备与工控系统中的交换机进行并联设置的方式来获取工控系统中的通信数据的。本实施例装置在审查通信数据时不仅要确定通信数据的通信行为，还要确定通信行为所代表的业务行为。从而判断该业务行为是否符合对应的业务规则，并进行记录(包括符合和不符合业务规则的情况的记录)。从而，当工控系统出现问题后，只需要从记录的不符合业务规则的通信数据中就能确定导致问题出现的通信数据。减少了故障或者威胁导致因素确定的时间，为尽快恢复工控系统节省了时间。

如图9所示，在一些实施例中，所述业务行为数据至少包括目标智能电子设备标识、操作行为标识；

所述业务规则集确定模块820包括：

业务行为确定单元821，用于根据所述目标智能电子设备标识和操作行为标识确定所述业务行为；

业务规则确定单元822，用于根据预先建立的业务规则模型确定相应于所述业务行为的业务规则集。

在一些实施例中，所述业务规则集包括多个业务规则组，所述业务规则组包括多条业务规则。

在一些实施例中，所述业务行为的执行结果为另一业务行为所需要满足的多条业务规则之一。

如图10所示，在一些实施例中，所述判断记录模块830包括：

合规判断单元831，判断所述工控系统的当前状态是否满足所述多个业务规则组；

第一执行单元832，用于当判断所述工控系统的当前状态满足任意一个业务规则组时，确定所述工控系统的当前状态满足所述业务规则集，并记录；

第二执行单元833，用于当判断所述工控系统的当前状态不满足所有的业务规则组时，确定所述工控系统的当前状态不满足所述业务规则集，并记录。

上述本发明实施例的工控系统的通信数据安全审计装置可用于执行本发明实施例的工控系统的通信数据安全审计方法，每一实施例的审计装置一一对应于每一实施例所述的审计方法，并相应的达到上述本发明实施例的工控系统的通信数据安全审计方法所达到的技术效果，这里不再赘述。

本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。

另一方面，本发明实施例提供一种非易失性计算机可读存储介质，所述存储介质中存储有一个或多个包括执行指令的程序，所述执行指令能够被电子设备(包括但不限于计算机，服务器，或者网络设备等)读取并执行，以用于执行上述方法实施例中的相关步骤，例如：

解析获取的通信数据以确定所述通信数据所包含的业务行为数据；

根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则；

判断所述工控系统的当前状态是否满足所述业务规则，并进行相应的记录。

另一方面，本发明实施例还公开一种电子设备，其包括：

至少一个处理器，以及

与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行：

解析获取的通信数据以确定所述通信数据所包含的业务行为数据；

根据所述业务行为数据确定执行所述业务行为工控系统所需满足的业务规则；

判断所述工控系统的当前状态是否满足所述业务规则，并进行相应的记录。

图11是本申请另一实施例提供的执行工控系统的通信数据安全审计方法的电子设备的硬件结构示意图，如图11所示，该设备包括：

一个或多个处理器1110以及存储器1120，图11中以一个处理器1110为例。

执行工控系统的通信数据安全审计方法的设备还可以包括：输入装置1130和输出装置1140。

处理器1110、存储器1120、输入装置1130和输出装置1140可以通过总线或者其他方式连接，图11中以通过总线连接为例。

存储器1120作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的工控系统的通信数据安全审计方法对应的程序指令/模块。处理器1110通过运行存储在存储器1120中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例工控系统的通信数据安全审计方法。

存储器1120可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据工控系统的通信数据安全审计装置的使用所创建的数据等。此外，存储器1120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器1120可选包括相对于处理器1110远程设置的存储器，这些远程存储器可以通过网络连接至工控系统的通信数据安全审计装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置1130可接收输入的数字或字符信息，以及产生与工控系统的通信数据安全审计装置的用户设置以及功能控制有关的信号。输出装置1140可包括显示屏等显示设备。

所述一个或者多个模块存储在所述存储器1120中，当被所述一个或者多个处理器1110执行时，执行上述任意方法实施例中的工控系统的通信数据安全审计方法。

上述产品可执行本申请实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本申请实施例所提供的方法。

本申请实施例的电子设备以多种形式存在，包括但不限于:

(1)移动通信设备:这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备:这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等，例如iPad。

(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器:提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子装置。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。