企业级安全策略管理工具的方法和非暂态计算机可读介质与流程

本公开内容总体上涉及用于对操作一个或更多个操作技术(ot)网络的企业的安全策略进行管理的工具。

背景技术：

1、工业自动化系统可以用于提供对工业环境中的一个或更多个致动器的自动控制。ot网络可以用于通信地耦接工业自动化系统和/或工业自动化系统内的工业自动化部件。安全策略可以规定对ot网络内的ot资产的访问和使用。通常，在ot网络内(例如，通过实施点)手动创建和实现安全策略以及/或者由一个或更多个网络管理员将安全策略应用于工业自动化部件。因此，在操作许多ot网络的整个企业中实现新的安全策略或修改现有的安全策略可能是可能花费数周、数月或甚至数年的耗时且资源密集的过程。因此，期望用于高效地管理整个企业中的安全策略的技术。

2、本部分旨在向读者介绍可能与在下文中描述和/或要求保护的本公开内容的各个方面相关的技术的各方面。相信该讨论有助于向读者提供背景信息，以有助于更好地理解本公开内容的各个方面。因此，应当理解，这些陈述是从该角度来理解的，而不是作为对现有技术的认可。

技术实现思路

1、下面阐述了本文中公开的特定实施方式的概述。应当理解，介绍这些方面仅是为了向读者提供这些特定实施方式的简要概述，并且这些方面并不旨在限制本公开内容的范围。实际上，本公开内容可以涵盖下面可能未阐述的多个方面。

2、在实施方式中，非暂态计算机可读介质存储定义企业级安全策略管理工具的实例的指令，该指令在由处理器执行时，使处理器执行操作，该操作包括：通过图形用户界面(gui)接收定义安全策略的输入，该安全策略被配置成部署在操作一个或更多个操作技术(ot)网络的企业内；基于输入生成安全策略；以及将安全策略传送至运行企业级安全策略管理工具的相应其他实例的一个或更多个计算设备，其中，企业级安全策略管理工具的相应其他实例被配置成促进安全策略在由企业操作的一个或更多个ot网络内的实施。

3、在另一实施方式中，非暂态计算机可读介质存储定义安全策略管理工具的实例的指令，该指令在由处理器执行时，使处理器执行操作，该操作包括：将与由企业操作的操作技术(ot)网络的操作相关联的数据传送至运行安全策略管理工具的企业级实例的中心计算设备，其中，运行安全策略管理工具的企业级实例的中心计算设备被配置成管理包括ot网络的两个或更多个ot网络的安全策略；从运行安全策略管理工具的企业级实例的中心计算设备接收安全策略；以及促进安全策略在由企业操作的ot网络内的实施。

4、在另一实施方式中，方法包括：从布置在由企业操作的多个操作技术(ot)网络中的多个计算设备接收数据，其中，该数据与多个ot网络的操作相关联；生成gui，该gui被配置成显示关于多个ot网络内的部件、多个ot网络的操作或者多个ot网络内的部件和多个ot网络的操作二者的信息，其中，gui显示在安全策略管理工具的实例内；通过gui接收定义安全策略的输入，该安全策略被配置成部署在由企业操作的多个ot网络中的一个或更多个ot网络内；基于输入生成安全策略；以及将安全策略传送至运行安全策略管理工具的相应其他实例的多个计算设备中的一个或更多个计算设备，其中，安全策略管理工具的相应其他实例被配置成促进安全策略在由企业操作的多个ot网络中的一个或更多个ot网络内的实施。

5、可以存在与本公开内容的各个方面相关的以上所提出的特征的各种改进。其他特征也可以并入这些各个方面中。这些改进和附加特征可以单独地或以任何组合存在。例如，以下关于一个或更多个所示实施方式讨论的各种特征可以单独地或以任何组合并入本公开内容的任何上述方面中。以上呈现的简要概述仅旨在使读者熟悉本公开内容的实施方式的某些方面和上下文，而非对所要求保护的主题进行限制。

技术特征：

1.一种非暂态计算机可读介质，其存储定义企业级安全策略管理工具的实例的指令，所述指令在由处理器执行时使所述处理器执行操作，所述操作包括：

2.根据权利要求1所述的非暂态计算机可读介质，其中，定义所述安全策略的所述输入定义新的安全策略。

3.根据权利要求1所述的非暂态计算机可读介质，其中，定义所述安全策略的所述输入修改现有的安全策略。

4.根据权利要求1所述的非暂态计算机可读介质，其中，将所述安全策略传送至运行所述企业级安全策略管理工具的相应其他实例的一个或更多个计算设备包括：将所述安全策略传送至布置在所述一个或更多个ot网络中的ot网络内的边缘设备。

5.根据权利要求1所述的非暂态计算机可读介质，其中，将所述安全策略传送至运行所述企业级安全策略管理工具的相应其他实例的一个或更多个计算设备包括：将所述安全策略传送至布置在所述一个或更多个ot网络中的ot网络内的安全策略实施点。

6.根据权利要求1所述的非暂态计算机可读介质，其中，将所述安全策略传送至运行所述企业级安全策略管理工具的相应其他实例的一个或更多个计算设备包括：将所述安全策略传送至布置在所述一个或更多个ot网络中的ot网络内的工业自动化部件。

7.根据权利要求1所述的非暂态计算机可读介质，其中，所述安全策略包括一个或更多个规则，所述一个或更多个规则管理对由所述企业操作的一个或更多个ot资产的访问、对由所述企业操作的一个或更多个ot资产的使用、或者对由所述企业操作的一个或更多个ot资产的访问和对由所述企业操作的一个或更多个ot资产的使用二者。

8.根据权利要求7所述的非暂态计算机可读介质，其中，所述一个或更多个规则涉及反病毒管理、数据备份、灾难恢复、变更管理、加密使用、数据分类、资产分类、数据保留、数据使用、电子邮件保护策略、消息传送保护策略、用户身份、用户访问管理、事件响应、威胁保护、互联网使用限制、移动设备使用、ot网络安全、密码协议、凭证协议、固件管理、补丁管理、恶意软件检测、间谍软件检测、勒索软件检测、或无线网络访问，或者其任何组合。

9.根据权利要求1所述的非暂态计算机可读介质，其中，所述操作包括：

10.根据权利要求9所述的非暂态计算机可读介质，其中，所接收的数据与所述一个或更多个ot网络内的部件中的一个或更多个部件的操作相关联。

11.根据权利要求9所述的非暂态计算机可读介质，其中，所接收的数据是指示所述一个或更多个ot网络内的部件中的一个或更多个部件的一个或更多个特性的发现数据。

12.一种非暂态计算机可读介质，其存储定义安全策略管理工具的实例的指令，所述指令在由处理器执行时使所述处理器执行操作，所述操作包括：

13.根据权利要求12所述的非暂态计算机可读介质，其中，所述相应的安全策略包括一个或更多个规则，所述一个或更多个规则管理对由所述企业操作的一个或更多个ot资产的访问、对由所述企业操作的一个或更多个ot资产的使用、或者对由所述企业操作的一个或更多个ot资产的访问和对由所述企业操作的一个或更多个ot资产的使用二者。

14.根据权利要求13所述的非暂态计算机可读介质，其中，所述一个或更多个规则涉及反病毒管理、数据备份、灾难恢复、变更管理、加密使用、数据分类、资产分类、数据保留、数据使用、电子邮件保护策略、消息传送保护策略、用户身份、用户访问管理、事件响应、威胁保护、互联网使用限制、移动设备使用、ot网络安全、密码协议、凭证协议、固件管理、补丁管理、恶意软件检测、间谍软件检测、勒索软件检测、或无线网络访问，或者其任何组合。

15.根据权利要求12所述的非暂态计算机可读介质，其中，所述数据与所述ot网络内一个或更多个工业自动化部件的操作相关联。

16.根据权利要求12所述的非暂态计算机可读介质，其中，所述数据是指示所述ot网络内一个或更多个部件的一个或更多个特性的发现数据。

17.根据权利要求12所述的非暂态计算机可读介质，其中，所述中心计算设备是边缘设备。

18.一种用于企业级安全策略管理工具的方法，包括：

19.根据权利要求18所述的方法，其中，将所述安全策略传送至运行所述安全策略管理工具的相应其他实例的多个计算设备中的一个或更多个计算设备包括：将所述安全策略传送至布置在所述多个ot网络中的ot网络内的安全策略实施点。

20.根据权利要求18所述的方法，其中，将所述安全策略传送至运行所述安全策略管理工具的相应其他实例的多个计算设备中的一个或更多个计算设备包括：将所述安全策略传送至布置在所述多个ot网络中的ot网络内的工业自动化部件。

技术总结
公开了一种用于企业级安全策略管理工具的方法和非暂态计算机可读介质。企业级安全策略管理工具通过图形用户界面(GUI)接收定义安全策略的输入，该安全策略被配置成被部署在操作一个或更多个操作技术(OT)网络的企业内；基于输入生成安全策略；并且将安全策略传送至运行企业级安全策略管理工具的相应其他实例的一个或更多个计算设备，其中，企业级安全策略管理工具的相应其他实例被配置成促进安全策略在由企业操作的一个或更多个OT网络内的实施。

技术研发人员：达斯廷·A·莫尔松,塔里尔·J·贾斯帕,罗克·米科瓦伊奇克
受保护的技术使用者：罗克韦尔自动化技术公司
技术研发日：
技术公布日：2024/2/25