一种可离线的工控安全防护能力评估方法与流程

本发明涉及工业控制安全风险评估领域，辅助管理部门定期组织评估小组，对工控企业的信息安全防护能力进行评估。

背景技术：

针对信息化和工业化融合的不断深入，工业控制系统从单机走向互联，从封闭走向开放，从自动化走向智能化。在生产力显著提高的同时，工业控制系统面临着日益严峻的信息安全威胁，需要对工业控制系统信息安全防护能力进行准确、有效的评估，及时发现存在问题和潜在隐患，提高工业控制系统的安全性。

现有的评估方式仍采用人工评估填报的方式，评估工作主要依靠于评估人员的专业性和可靠性，有些潜在风险和危险未能及时发现。虽然也有一些辅助评估的小工具，但是这些工具未做好为评估工作融合，特别是对于多个设备、多台终端仍需要多次操作，软件的检查结果仍然需要人工收集核对最终才能确认结果，没有做到自动化。整个评估流程无法追溯，证据存储链不完善，存在隐患。评估结果单一，数据没有实现汇总分析，无法直观展示。

原有的评估方法采用手动填报的方式，需要解决的技术问题是：复杂耗时且潜在风险较高，过程不可追溯，证据存储不安全，无法直观统计分析。

工控企业也可评估企业自身信息安全防护能力，做到早预防早解决，提高企业信息安全防护能力。

技术实现要素：

本发明的目的在于提供一种可离线的工控安全防护能力评估方法，解决了原有的评估方法采用手动填报的方式中不足的问题。

一种可离线的工控安全防护能力评估方法，搭建自动化风险评估平台，人性化操作方便快捷，过程可追溯，数据安全加密存储，结果汇总分类统计，报告清晰可视化强，以解决现有问题。

具体的该方法主要包含（1）评估准备阶段：评估人员管理、评估团队组建、制定评估工作计划、确认评估范围、任务、方案、日程、风险预案，进过双重身份认证，包括key及密码认证，登录核心主机操作，评估人员管理包括人员信息管理及人员权限管理，分配不同的角色，权限不同，评估团队关联人员，可组建不同的团队，团队则关联项目，可以是一对一或一对多的关系，评估工作计划等则需要与申请评估的企业确认；（2）知识库管理：录入被评估企业设备资产库、评估方法库、操作手册库、评分算法库、指纹管理库、漏洞库，企业设备资产库用于与辅助检测工具检测出来的资产进行匹配分析是否合规，不同的检测项，匹配方法不同，评估方法库适配多种工控系统安全风险评估规则，做到可升级，可扩展，同时操作手册与评分方法库也随之升级扩展，指纹管理库及漏洞库也是同步发布升级；（3）开展现场评估工作：评估项目管理、评估任务分配、评估结果填报、自动化导入智能填报、评估结果上传，在核心主机中操作评估项目关联评估团队人员及任务，任务分配包括手动分配及一键自动分配，任务分配结束后下发任务给团队成员，团队成员使用pad终端接收子任务，任务接收完成后，pad终端与核心主机可以保持在线模式填报结果，也可以离线的方式，pad终端独自离线到不同的工控企业部门去填报结果，必要时核心主机也可作为一个单独的终端进行操作使用，核心主机及pad终端都支持wifi及蓝牙，录音、拍照或视频拍摄均可调用后置摄像头进行证据获取，纸质文档的获取需要使用工具箱中配置的手持扫描仪，将文件扫描成电子档pdf或者图片存储，待结果填报完成后再次连接核心主机，将结果上报核心主机汇总，可离线的pad端，自带一个服务端及数据库，是个可独立的小型系统，在线离线切换自如，使用便捷；（4）辅助检测工具检测：辅助检测工具包括主机安全检查工具、系统配置核查工具、系统脆弱性扫描工具等，为光盘形态或u盘形态，检查主机评估项、结果导出，在填报过程中，pad终端或核心主机可利用辅助检测工具，辅助检测工具key在pad绑定认证，使用工具中自带的软件程序，将工控主机中的信息检查完成后，导出xml或者二维码的格式，xml以u盘或其他方式导入pad终端，或者使用平板直接扫描二维码，终端自动识别结果，智能关联勾选评估选项结论，并枚举出判断依据，做到检查工作自动化；（5）企业设备资产库匹配：自动化检测结果与资产库匹配、智能判断匹配结果、自动填报，企业资产库包括企业设备资产、软件白名单等，当自动化辅助检测工具将检测结果导入pad终端或核心主机时，需要和设备资产库中的设备或软件进行匹配，依据不同的判断方法，自动做出单项结果的判断，并智能勾选评估项结论；（6）现场评估情况反馈：评估结果确认、评估结果评分、结果可视化统计分析、不通过项汇总、整改意见，结果汇总到核心主机后，由组长进行评估结果确认，并排除修改存疑项，系统自动计算出评分，并进行结果汇总，组长填写整改意见；（7）复评估：确认整改问题、重新进行复评估流程，将不通过项进行整理，并可选择是否进行复评估，与原有项目及团队挂钩进行复评估工作；（8）评估结论：评估与复评估形成评估结论、生成可视化评估报告，结果报告自动化生产可视化评估结论报告，并可以多种格式导出，报告可使用工具箱中配置的微型打印机打印成纸质报告；（9）证据的存储：pad终端之间通过无线连接，为了防止泄密，数据传输时采用私有加密与aes加密结合的加密方式。保存至评估系统各终端的所有文档和音视频资料采用与aes加密结合的加密方式存储防止终端丢失，造成的文档资料泄密。

有益效果

1.搭建风险评估平台，人性化操作方便快捷；

2.检测全过程自动化，快速完成评估；

3.检查评估过程全程可回溯；

4.证据数据加密存储，安全可靠；

5.判断依据自动化获取，智能填报，消除主观性过强导致的潜在风险；

6.辅助检测工具可自动升级更新；

7.知识库、设备库、整改意见库可自动升级更新；

8.评估工具平台适配多种评估规则；

9.支持评估结果分类查询统计，数据可视化展示清晰明确；

10.在线检测与离线检测方式可随时切换，适配各种评估场景；

11.便携式一体化的评估工具平台，提高现场工作效率。

附图说明

图1为一种可离线的工控安全防护能力评估方法的流程图。

具体实施方式

以下将结合附图对本发明的构思和产生的技术效果进行清楚、完整的描述，以充分地理解本发明的目的、方案和效果。

参照图1，本发明公布了一种可离线的工控安全防护能力评估方法，其具体实施方式是：

步骤1、评估工作开始，成立评估小组，创建评估人员不同权限账号：评估人员管理、评估团队组建、制定评估工作计划、确认评估范围、任务、方案、日程、风险预案，进过双重身份认证，包括key及密码认证，登录核心主机操作，评估人员管理包括人员信息管理及人员权限管理，分配不同的角色，权限不同，评估团队关联人员，可组建不同的团队，团队则关联项目，可以是一对一或一对多的关系，评估工作计划等则需要与申请评估的企业确认；

步骤2、知识库管理：录入被评估企业设备资产库、评估方法库、操作手册库、评分算法库、指纹管理库、漏洞库，企业设备资产库用于与辅助检测工具检测出来的资产进行匹配分析是否合规，不同的检测项，匹配方法不同，评估方法库适配多种工控系统安全风险评估规则，做到可升级，可扩展，同时操作手册与评分方法库也随之升级扩展，指纹管理库及漏洞库也同步升级；

步骤3、创建评估项目，上传资料文件，分配评估子任务，领取子任务，填报子任务：评估项目管理、评估任务分配、评估结果填报、自动化导入智能填报、评估结果上传，在核心主机中操作评估项目关联评估团队人员及任务，任务分配包括手动分配及一键自动分配，任务分配结束后下发任务给团队成员，团队成员使用pad终端接收子任务，任务接收完成后，pad终端与核心主机可以保持在线模式填报结果，也可以离线的方式，pad终端独自离线到不同的工控企业部门去填报结果，必要时核心主机也可作为一个单独的终端进行操作使用，核心主机及pad终端都支持wifi及蓝牙，录音、拍照或视频拍摄均可调用后置摄像头进行证据获取，纸质文档的获取需要使用工具箱中配置的手持扫描仪，将文件扫描成电子档pdf或者图片存储，待结果填报完成后再次连接核心主机，将结果上报核心主机汇总，可离线的pad端，自带一个服务端及数据库，是个可独立的小型系统，在线离线切换自如，使用便捷；

步骤4、辅助检测工具检测：辅助检测工具包括主机安全检查工具、系统配置核查工具、系统脆弱性扫描工具等，为光盘形态或u盘形态，检查主机评估项、结果导出，在填报过程中，pad终端或核心主机可利用辅助检测工具，辅助检测工具key在pad绑定认证，使用工具中自带的软件程序，将工控主机中的信息检查完成后，导出xml或者二维码的格式，xml以u盘或其他方式导入pad终端，或者使用平板直接扫描二维码，终端自动识别结果，智能关联勾选评估选项结论，并枚举出判断依据，做到检查工作自动化；

步骤5、企业设备资产库匹配：自动化检测结果与资产库匹配、智能判断匹配结果、自动填报，企业资产库包括企业设备资产、软件白名单等，当自动化辅助检测工具将检测结果导入pad终端或核心主机时，需要和设备资产库中的设备或软件进行匹配，依据不同的判断方法，自动做出单项结果的判断，并智能勾选评估项结论；

步骤6、汇总子任务结果：评估结果确认、评估结果评分、结果可视化统计分析、不通过项汇总、整改意见，结果汇总到核心主机后，由组长进行评估结果确认，并排除修改存疑项，系统自动计算出评分，并进行结果汇总，组长填写整改意见；

步骤7、复评估：确认整改问题、重新进行复评估流程，将不通过项进行整理，并可选择是否进行复评估，与原有项目及团队挂钩进行复评估工作；

步骤8、生成总体评估报告：评估与复评估形成评估结论、生成可视化评估报告，结果报告自动化生产可视化评估结论报告，并可以多种格式导出，报告可使用工具箱中配置的微型打印机打印成纸质报告；

步骤9、证据的存储：pad终端之间通过无线连接，数据传输及所有文档和音视频资料时采用私有加密与aes加密结合的加密方式。

以上所述仅为本发明的实施例，应当指出，本发明并不局限于上述实施方式，只要其以相同的手段达到本发明的技术效果，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。在本发明的保护范围内其技术方案和/或实施方式可以有各种不同的修改和变化。