本实用新型实施例涉及网络安全技术领域,具体涉及一种工控网络安全检测装置。
背景技术:
工业控制网络(以下简称“工控网络”)安全漏洞是在其生命周期的各个阶段(设计、实现、运维等过程)中引入的某类问题。比如设计阶段引入的非常容易被破解的加密算法,实现阶段引入的一个代码缓冲区溢出问题,运维阶段的一个错误的安全配置。这些都有可能最终成为工控网络安全漏洞,这些漏洞会对工控网络的安全(可用性、完整性、机密性)产生严重影响。
近年来,工控系统强调开放性,在网络中大量引入通用的IT产品,如Windows操作系统、关系数据库等,并广泛使用以太网和TCP/IP协议,在降低成本和简化集成的同时将大量IT漏洞引入了工控网络。同时,大部分的工控网络应用层协议和现场总线协议,广泛使用MODBUS/TCP、CAN等明码传输协议,存在没有严格的身份识别,报文很容易被伪造等无法避免的脆弱性。因此,由相对封闭的专用计算机和网络体系发展而来的工控网络系统,安全的薄弱的环节几乎来自于各方各面,特别对于大型SCADA系统,设备分散安装,部分采用公网和无线网络,更容易受到利用漏洞的攻击,严重的攻击后果可以使系统网络完全瘫痪,造成工业过程失控或装置停机。
工控网络具有非常鲜明的特点,当前工控网络安全漏洞进行检测的手段是比较局限的,具体体现在:现有检测手段仅针对工控网络内的外围服务器和通用IT设备,无法触及亟待保护的核心工控设备;现有的端口服务扫描、漏洞特征扫描等技术对漏洞库的依赖较大,但公开的工控网络安全漏洞库信息很少,导致无法实现深入、全面的检测;
基于公开漏洞的扫描技术和机制无法有效发现未知漏洞,同时在时间上永远滞后于攻击者利用的未知漏洞。
技术实现要素:
要解决的技术问题,如何检测工控设备的安全性。
针对现有技术中的缺陷,本实用新型实施例提供一种工控网络安全检测装置,包括壳体,设置在壳体内的电源模块、处理器、安全扫描单元、存储器和通信单元;
所述电源模块分别与所述处理器、存储器和通信单元供电;
所述存储器中存储有网络安全检测漏洞数据库和检测规则数据库;
所述处理器控制所述安全扫描单元调用所述存储器中存储的检测规则通过所述通信单元向与所述通信单元连接的被测终端发送漏洞安全检测数据;
所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到所述存储器中。
可选地,还包括:
与所述通信单元连接的客户端装置;
所述客户端用于通过所述通信单元向所述处理器发送漏洞检测控制命令;
还用于通过所述通信单元接收所述处理器处理的漏洞信息并显示。
可选地,所述通信单元包括以太网接口、串口和/或总线接口。
可选地,还所述通信单元还包括存储扩展单元,所述存储扩展单元与所述处理器连接;
所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到存储扩展单元。
可选地,所述通过存储扩展单元是SD卡存读取装置。
可选地,所述被测设备包括工控安全设备、工控控制系统和工控设备。
可选地,还包括与所述处理器连接的显示装置,所述显示装置用时显示所述网络安全检测的状态信息。
由上述技术方案可知,本实用新型实施例提供的工控网络安全检测装置通,过对“疑似漏洞”的所有相关信息的细节进行深入分析,重复进行针对性的测试,明确“疑似漏洞”的真实性,最后在出错数据包中精确定位,并可以将发现的“疑似漏洞”保存至漏洞库中进行管理。通过漏洞库中发现的漏洞进行漏洞测试验证漏洞的真实性和可复现性。一方面可以用来检测工控网络的安全性,挖掘未知漏洞;另一方面可以作为模拟的恶意攻击方,检验保护设备能否起到作用。
附图说明
为了更清楚地说明本实用新型实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本实用新型实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本实用新型实施例一个实施例中一种工控网络安全检测装置的结构示意图;
图2为本实用新型实施例一个实施例中一种工控网络安全检测装置示意图;
图3为本实用新型实施例一个实施例中一种工控网络安全检测装置示意图;
图4为本实用新型实施例一个实施例中一种工控网络安全检测装置示意图。
具体实施方式
为使本实用新型实施例的目的、技术方案和优点更加清楚,下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。
本实用新型实施例提供一种工控网络安全检测装置,如图1-图3所示,本工控网络安全检测装置包括壳体,设置在壳体内的电源模块、处理器、安全扫描单元、存储器和通信单元;所述电源模块分别与所述处理器、存储器和通信单元供电;所述存储器中存储有网络安全检测漏洞数据库和检测规则数据库;所述处理器控制所述安全扫描单元调用所述存储器中存储的检测规则通过所述通信单元向与所述通信单元连接的被测终端发送漏洞安全检测数据;所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到所述存储器中。下面对本实用新型实施例和提供的工控网络安全检测装置展开详细的说明。
在本实用新型实施例中,如图2所示,为了进一步方便用户配置本工控网络安全检测装置,使本工控网络安全检测装置的安全检测过程可视化,工控网络安全检测装置,还包括:与所述通信单元连接的客户端装置;所述客户端用于通过所述通信单元向所述处理器发送漏洞检测控制命令;还用于通过所述通信单元接收所述处理器处理的漏洞信息并显示。在本实用新型实施例中,该客户端装置可以配置工控网络安全检测装置的检测参数。例如,该客户端装置可以通过点对点直连方式,将漏洞挖掘检测平台与被测设备或系统进行连接,可以对配置工控网络安全检测装置、选择用例、运行测试等操作。
如图3所示,本实用新型实施例提供的工控网络安全检测装置中,所述通信单元包括以太网接口、串口和/或总线接口。为了能保证同一个工控网络安全检测装置同时连接多个被测终端,通信单元的以太网端口为多个。多个以太网端口可以同时连接多台工控安全设备、工控控制系统和工控设备。实现了一台设备可以同时多人处理,检测多台工控安全设备、多个工控控制系统和多个工控设备,节约逐个检测的时间,也可以避免每个工控设备都配置一台工控网络安全检测装置,造成资源浪费的问题。
如图3所示,在本实用新型实施例中,工控网络安全检测装置中,通信单元还包括存储扩展单元,所述存储扩展单元与所述处理器连接;所述所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到存储扩展单元。通过存储扩展单元可以在对被检测设备检测结束后的漏洞信息存储并随时转移。存储扩展单元优选是SD卡存读取装置。
如图4所示,在本实用新型实施例中,工控网络安全检测装置中,还包括与所述处理器连接的显示装置,所述显示装置用时显示所述网络安全检测的状态信息。显示装置用于通过通信单元连接。
在本实用新型实施例中工控网络安全检测装置可以参考现有的平台以低成本开发实现,当然也可以为了提高用户体验单独开发。最后需要说明的是,在本实用新型实施例中如果涉及到计算机程序及相应的方法均是直接应用了现有的比较成熟的方法实现,不涉及计算机程序等方法的改进,例如本实用新型实施例中涉及到的编码、解码、加密解密、验证等方法均能通过现有的方法实现。
本工控网络安全检测装置提供了操作、监视、管理整个漏洞挖掘测试过程的功能。测试过程中,基于高效的智能模糊测试和攻击测试等自动化测试方法,自动生成测试用例列表,并在测试列表运行时可以实时监控和进行管理,能够高效的完成复杂测试。丰富的测试监视器,包含底层通信(ICMP、ARP、链路状态),高层通讯(TCP和UDP端口),控制信号(离散、模拟),能够随时监视测试用例执行情况和结果。测试完成即可生成“正常”、“疑似漏洞”、“其他”等测试结果,并可对“疑似漏洞”的测试结果进行漏洞标识,关联所有相关信息,并对漏洞名称、危险等级和描述等信息进行编辑,保存至本机漏洞库作为漏洞析的依据。
工控网络安全检测装置通过对“疑似漏洞”的所有相关信息的细节进行深入分析,重复进行针对性的测试,明确“疑似漏洞”的真实性,最后在出错数据包中精确定位,并可以将发现的“疑似漏洞”保存至漏洞库中进行管理。通过漏洞库中发现的漏洞进行漏洞测试验证漏洞的真实性和可复现性。
在这类应用场景里,本实用新型实施例可以起到多角色的作用,一方面可以用来检测工控网络的安全性,挖掘未知漏洞;另一方面可以作为模拟的恶意攻击方,检验保护设备能否起到作用。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本实用新型实施例和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本实用新型实施例的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本实用新型实施例中的具体含义。
本实用新型实施例的说明书中,说明了大量具体细节。然而能够理解的是,本实用新型实施例的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本实用新型实施例公开并帮助理解各个发明方面中的一个或多个,在上面对本实用新型实施例的示例性实施例的描述中,本实用新型实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本实用新型实施例要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本实用新型实施例的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本实用新型实施例并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本实用新型实施例的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本实用新型实施例的技术方案,而非对其限制;尽管参照前述各实施例对本实用新型实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本实用新型实施例各实施例技术方案的范围,其均应涵盖在本实用新型实施例的权利要求和说明书的范围当中。