一种工控防火墙策略分析方法及装置与流程

1.本技术涉及工控防火墙技术领域，具体涉及一种工控防火墙策略分析方法及装置。


背景技术：

2.请参阅图1，工控防火墙上一般存在两种策略：访问控制策略(acl)和白名单策略(或叫白名单规则)。由于工控防火墙在网络中的部署位置是在网关处，往往访问控制策略和白名单规则会多达几十甚至几百条，并且随着网络环境的变化，策略也需要跟着做相应的调整，因此，需要一种策略分析方法来帮助配置管理员快速、高效的分析定位哪些策略是冗余的、冲突的、有安全风险的。
3.目前的工控防火墙很少有策略分析功能，有些有此功能的工控防火墙是在各自策略模块里根据策略自带的信息(如五元组信息等)做策略冗余分析；有些是根据报文命中策略的次数做未匹配检测。
4.上述两种策略分析方法，只能根据策略的五元组等信息在策略模块内部进行分析，不能结合应用场景，且各个策略模块(访问控制策略和白名单策略)各自独立的做分析，不能做全局性的关联策略分析，也不能根据策略分析粒度，自动调整策略分析的精细度，策略分析后的结果只能够分析查看，不能快速部署。


技术实现要素：

5.为此，本技术提供一种工控防火墙策略分析方法及装置，以解决现有技术存在的不能结合应用场景做全局性的关联策略分析以及不能自动调整策略分析的精细度的问题。
6.为了实现上述目的，本技术提供如下技术方案：
7.第一方面，一种工控防火墙策略分析方法，包括：
8.获取流经工控防火墙的报文并进行分析，生成资产条目；
9.导入工艺流程文件进行解析，生成工艺流程条目；
10.设置策略分析粒度和策略宽限期；
11.根据所述资产条目和所述工艺流程条目对一级策略和二级策略做全局策略分析，生成策略分析报告并根据所述策略分析粒度和所述策略宽限期生成推荐策略；
12.部署所述推荐策略。
13.进一步的，所述做全局策略分析时包括未覆盖、冗余、冲突、不贴合场景和策略宽限期超时五个方面的策略分析。
14.进一步的，对于特定时间内未有报文匹配的策略，如果不在所述策略宽限期内，所述推荐策略生成后将被过滤掉。
15.进一步的，所述资产条目内容包括mac地址、ip地址、目的端口号和流入接口。
16.进一步的，所述分析粒度为离散地址型、网段型或地址范围型。
17.进一步的，所述分析粒度为网段型时需设置掩码。
18.进一步的，所述工艺流程文件为用户自定义的工艺操作流程和操作指令对照表。
19.进一步的，所述资产条目能够通过用户手动添加。
20.第二方面，一种工控防火墙策略分析装置，包括：
21.资产收集与存储模块，用于获取流经工控防火墙的流量并进行分析，生成资产条目；
22.工艺流程解析与存储模块模块，用于导入工艺流程文件进行解析，生成工艺流程条目；
23.策略智能分析模块，用于设置策略分析粒度和策略宽限期，根据所述资产条目和所述工艺流程条目对一级策略和二级策略做全局策略分析，生成策略分析报告并根据所述策略分析粒度和所述策略宽限期生成推荐策略；
24.策略分析结果存储模块，用于存储所述推荐策略；
25.部署模块，用于部署所述推荐策略。
26.进一步的，所述资产收集与存储模块包括：
27.资产自学习和自定义模块，用于对流经工控防火墙的报文进行自学习，生成mac地址、ip地址、目的端口号和流入接口数据在内的资产条目；
28.资产存储模块，用于存储生成的资产条目。
29.相比现有技术，本技术至少具有以下有益效果：
30.本技术提供一种工控防火墙策略分析方法及装置，包括：获取流经工控防火墙的报文并进行分析，生成资产条目；导入工艺流程文件进行解析，生成工艺流程条目；设置策略分析粒度和策略宽限期；根据资产条目和工艺流程条目对一级策略和二级策略做全局策略分析，生成策略分析报告并根据策略分析粒度和策略宽限期生成推荐策略；部署推荐策略。本技术提供的工控防火墙策略分析方法及装置，能够根据工控防火墙部署的网络环境和工艺流程做全局性关联策略分析，并能够根据预设的策略分析粒度，自动调整策略分析的精细度。
31.本技术还能够快速部署应用策略分析后的推荐策略。
附图说明
32.为了更直观地说明现有技术以及本技术，下面给出几个示例性的附图。应当理解，附图中所示的具体形状、构造，通常不应视为实现本技术时的限定条件；例如，本领域技术人员基于本技术揭示的技术构思和示例性的附图，有能力对某些单元(部件)的增/减/归属划分、具体形状、位置关系、连接方式、尺寸比例关系等容易作出常规的调整或进一步的优化。
33.图1为现有技术结构示意图；
34.图2为本技术实施例一提供的一种工控防火墙策略分析方法基本流程图；
35.图3为本技术实施例一提供的一种工控防火墙策略分析方法原理流程图；
36.图4为本技术实施例一提供的全局策略分析流程图。
具体实施方式
37.以下结合附图，通过具体实施例对本技术作进一步详述。
38.在本技术的描述中：除非另有说明，“多个”的含义是两个或两个以上。本技术中的术语“第一”、“第二”、“第三”等旨在区别指代的对象，而不具有技术内涵方面的特别意义(例如，不应理解为对重要程度或次序等的强调)。“包括”、“包含”、“具有”等表述方式，同时还意味着“不限于”(某些单元、部件、材料、步骤等)。
39.本技术中所引用的如“上”、“下”、“左”、“右”、“中间”等的用语，通常是为了便于对照附图直观理解，而并非对实际产品中位置关系的绝对限定。在未脱离本技术揭示的技术构思的情况下，这些相对位置关系的改变，当亦视为本技术表述的范畴。
40.实施例一
41.请参阅图2和图3，本实施例提供一种工控防火墙策略分析方法，包括：
42.s1：获取流经工控防火墙的报文并进行分析，生成资产条目；
43.因为工控生产环境下的流量(即报文)具有持续且内容比较固定的特点，所以本实施例根据这一特点，可以对经过工控防火墙的流量进行分析，生成资产条目，资产条目里的内容包括：mac地址、ip地址、目的端口号、流入工控墙的接口名称等。同时，用户也可以手动添加包含上述数据的资产条目。
44.s2：导入工艺流程文件进行解析，生成工艺流程条目；
45.因为工业生产的业务工艺流程通常是不会实时变化的，所以通过导入工艺流程文件可以将用户自定义的工艺操作流程和操作指令对照表导入工控防火墙，生成工艺流程条目。
46.s3：设置策略分析粒度和策略宽限期；
47.具体的，分析粒度可以是离散地址型、网段型或地址范围型；当分析粒度是网段型时需要设置掩码。
48.更具体的，地址范围型指的是特殊的网段，是地址为0.0.0.0掩码为0.0.0.0的网段。
49.s4：根据所述资产条目和所述工艺流程条目对一级策略和二级策略做全局策略分析，生成策略分析报告并根据所述策略分析粒度和所述策略宽限期生成推荐策略(新策略)；
50.具体的，因为工控防火墙的策略是有依赖关系的，可以分为一级策略(访问控制策略)和二级策略(白名单策略)，只有通过了一级策略才会进入到二级策略的匹配，可以将一级策略比喻为开了一道口子，二级策略相当于对通过这道口子进入的报文做更多维度的匹配过滤。
51.请参阅图4，在做全局策略分析时包括未覆盖、冗余、冲突、不贴合场景和策略宽限期超时五个方面的策略分析。
52.更具体的：
53.未覆盖：未覆盖指的是资产条目或工艺流程条目里面包含的ip、mac、操作指令等在已经存在的策略里没有找到，其策略防护范围里面不包含这些资产和工艺流程，这就属于策略防护高风险漏洞；
54.冗余：冗余指的是一条或多条策略与其他策略相同或者属于其他策略的真子集；
55.冲突：冲突指的是一些策略的五元组信息相同但是执行的动作不同；冲突还包括：一级策略防护了a网段，但是引用一级策略的二级策略防护了a、b两个网段，这也属于冲突
的一种；
56.不贴合场景：不贴合场景指的是策略的防护范围或部分防护范围不在资产条目或工艺流程里面；
57.策略宽限期超时：策略宽限期超时指的是策略的防护范围在资产条目或工艺流程内，但是该策略在一定时间内没有报文命中，属于未匹配策略(即无用策略)。
58.本实施例中，对于一段时间内未有报文匹配的策略，如果不在策略宽限期内那么策略分析后的新策略将过滤掉该策略。
59.s5：部署所述推荐策略。
60.本实施例提供的工控防火墙策略分析方法，能够根据工控防火墙部署的网络环境和业务工艺流程做全局性关联策略分析，并能够根据预设的策略分析粒度，自动调整策略分析的精细度，且能够快速部署应用策略分析后的新策略。
61.实施例二
62.本实施例提供了一种工控防火墙策略分析装置，包括：
63.资产收集与存储模块，用于获取流经工控防火墙的流量并进行分析，生成资产条目；
64.具体的，资产收集与存储模块包括：
65.资产自学习和自定义模块，用于对流经工控防火墙的报文进行自学习，生成mac地址、ip地址、目的端口号和流入接口数据在内的资产条目；
66.资产存储模块，用于存储生成的资产条目。
67.工艺流程解析与存储模块模块，用于导入工艺流程文件进行解析，生成工艺流程条目；
68.策略智能分析模块，用于设置策略分析粒度和策略宽限期，根据所述资产条目和所述工艺流程条目对一级策略和二级策略做全局策略分析，生成策略分析报告并根据所述策略分析粒度和所述策略宽限期生成推荐策略；
69.策略分析结果存储模块，用于存储所述推荐策略；
70.部署模块，用于部署所述推荐策略。
71.关于工控防火墙策略分析装置的具体限定可以参见上文中对于工控防火墙策略分析方法的限定，在此不再赘述。上述工控防火墙策略分析装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
72.以上实施例的各技术特征可以进行任意的组合(只要这些技术特征的组合不存在矛盾)，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述；这些未明确写出的实施例，也都应当认为是本说明书记载的范围。
73.上文中通过一般性说明及具体实施例对本技术作了较为具体和详细的描述。应当理解，基于本技术的技术构思，还可以对这些具体实施例作出若干常规的调整或进一步的创新；但只要未脱离本技术的技术构思，这些常规的调整或进一步的创新得到的技术方案也同样落入本技术的权利要求保护范围。