安全管理设备的制作方法

本实用新型涉及信息安全
技术领域：
，特别涉及一种安全管理设备。
背景技术：
：在ot环境下，在工业控制系统(也称为“ot系统”)中部署了诸多安全解决方案。例如，自动补丁管理可用于更新工业控制系统中的工作站和服务器。而基于黑名单技术的反恶意软件系统可以用来保护设备不被病毒感染。这些安全解决方案可以提高工业控制系统的防御能力。但是，由于很多工业控制系统不能接入互联网，在ot环境下更新或配置这些安全解决方案在很多情况下都是不容易的。在许多工厂，不同生产线和设备的工业控制系统是孤立的，不在同一个网络中连接。在这些情况下，由一个中央管理中心进行的更新和配置不能很好地工作，因为许多系统不能由一个中央管理中心通过网络访问。传统上，即使这些安全解决方案部署在工业控制系统中，很长时间内都不会重新配置，更不用说定期更新到最新的修补程序或恶意软件特征库。在许多工厂中，安全管理人员必须通过手动导入更新补丁来进行更新，这不仅效率低下，而且可能对工业控制系统造成新的威胁。技术实现要素：本实用新型实施例提供了安全管理设备，通过该安全管理设备，可安全地更新目标工业控制系统的配置文件，这些配置文件可包括但不限于：配置数据、白名单管理策略、白名单信任列表、病毒库、补丁、软件、固件等。该安全管理设备可以移动到不同的工业控制系统所在的网络进行配置和更新，这些工业控制系统包括但不限于：一个工厂、一个车间、一条生产线、一个或一组工业设备所对应的工业控制系统等。安全管理设备可集成不同的管理装置，对不同网络或子网中的工业控制系统进行更新和配置。安全管理设备在连接不同的工业控制系统时，可以自动配置自身的网络ip地址。本实用新型实施例提供的安全管理设备可包括：管理装置、安全检查装置、接口管理装置、网络配置装置以及第一网络接口；所述管理装置分别与所述安全检查装置、所述接口管理装置和所述网络配置装置相连，所述接口管理装置与所述网络接口相连，所述网络配置装置与所述第一网络接口相连；所述管理装置从资源处接收配置文件，并触发所述安全检查装置对所述配置文件进行安全检查；所述安全检查装置检查所述配置文件是否安全；所述网络配置装置检测所述第一网络接口与第一网络的连接，并响应于所述第一网络接口与所述第一网络的连接，对所述第一网络接口进行配置以使所述安全管理设备接入所述第一网络，并在所述安全管理设备接入所述第一网络后通知所述管理装置；所述管理装置响应于所述安全管理设备接入所述第一网络，触发所述接口管理装置将所述配置文件下发至所述第一网络；所述接口管理装置通过所述第一网络接口向所述第一网络下发所述配置文件。其中，安全管理设备可移动至不同的位置，便于对目的系统，比如工业控制系统中的设备进行配置文件更新。即使这些设备位于不同的相互独立的网络中，通过自动配置ip地址，也能够实现网络自动接入以及配置文件的下发与更新，极大降低了系统管理员的工作量。由于安全管理设备可自动检测和配置ip地址，使其自动接入目的系统中，即使缺乏网络知识，系统管理员也能够容易地进行配置文件的更新。由于能够进行安全检测，可提供配置文件更新过程中的安全性，避免目的系统受到安全威胁。通过安全管理设备获取配置文件，再由安全管理设备下发至目的系统，即使目的系统不支持在办公环境下的更新，也能够实现其自身配置文件的更新。可选地，所述资源位于第二网络中，所述安全管理设备还包括第二网络接口，所述网络配置装置检测所述第二网络接口与所述第二网络的连接，并响应于所述第二网络接口与所述第二网络的连接，对所述第二网络接口进行配置以使所述安全管理设备接入所述第二网络，并在所述安全管理设备接入所述第二网络后通知所述管理装置；所述管理装置通过所述第二网络接口从所述资源处接收所述配置文件。其中，安全管理设备可自动配置网络接口，当资源处有更新的配置文件时，安全管理设备可第一时间自动获取，无需系统管理员人工监视配置文件的更新，也无需其配置安全管理设备，手动从资源处获取配置文件。可选地，所述网络配置装置确定所述第一网络中是否包括dhcp服务器，若包括dhcp服务器，则所述网络配置装置获取所述第一网络中的dhcp服务器为所述安全管理设备分配的ip地址并配置所述第一网络接口；若不包括dhcp服务器，则从预先设置的ip地址库中获取ip地址并配置所述第一网络接口，其中，所述ip地址库中的ip地址是针对所述安全管理设备可能连接的不同网络而设定的。可选地，所述网络配置装置确定所述第二网络中是否包括dhcp服务器，若包括dhcp服务器，则所述网络配置装置获取所述第二网络中的dhcp服务器为所述安全管理设备分配的ip地址并配置所述第二网络接口；若不包括dhcp服务器，则从预先设置的ip地址库中获取ip地址并配置所述第二网络接口，其中，所述ip地址库中的ip地址是针对所述安全管理设备可能连接的不同网络而设定的。通过该方式可实现安全管理设备自行自动进行网络配置。可选地，所述安全检查装置检查如下项目中的至少一项以确定所述配置文件是否安全：所述资源是否为可信的资源、所述配置文件的数据完整性、所述配置文件的数字签名，所述安全检查装置还可对所述配置文件进行恶意软件扫描。实现了安全检查的功能。可选地，所述安全检查装置检查所述安全管理设备中的关键文件的数据完整性，以确定所述安全管理设备是否安全。这样，能够有效提高安全检查效率。可选地，所述管理装置获取所述第一网络的配置更新策略，所述管理装置触发所述接口管理装置按照所述配置更新策略向所述第一网络下发所述配置文件。这样，可按照目标系统的策略来更新配置文件，更符合客户的需求。可选地，所述安全管理设备还包括：配置文件管理装置的服务器端，与所述第一网络中所述配置文件管理装置的客户端交互，通过所述第一网络接口向所述第一网络下发所述配置文件。实现了和目标系统软件的接口。其中，所述配置文件管理装置为下述中的任一项：白名单管理装置、反恶意软件管理装置和补丁管理装置。可选地，所述第一网络为工业控制系统所在的网络，所述工业控制系统为下列系统中的任一种：工厂、车间、生产线和一个或一组工业设备。因此，本实用新型实施例提供的方案可适合任何目标工业控制系统的配置文件更新。附图说明为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1示出本实用新型一个实施例中工业控制系统的结构；图2示出本实用新型一个实施例中安全管理设备与包含配置文件的资源以及待更新的工业控制系统之间的连接关系。图3示出本实用新型一个实施例提供的安全管理设备的内部结构。图4示出本实用新型一个实施例中安全管理设备更新配置文件的过程。附图标记列表：50：工业控制系统5011：工业控制器5012：分布式输入/输出设备5013a：工程师站5013b：操作员站5013c：服务器5013d：人机界面5014：工业以太网502：现场设备500：控制单元5014a：dhcp服务器10：安全管理设备20：资源30：配置文件101：管理装置102：安全检查装置103：接口管理装置104：网络配置装置1051：第一网络接口1052：第二网络接口401：第一网络402：第二网络106：配置文件管理装置的服务器端400：配置文件更新流程s401～s405：流程步骤具体实施方式为使本实用新型实施例的目的、技术方案和优点更加清楚，下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本实用新型一部分实施例，而不是全部的实施例，基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本实用新型保护的范围。首先，介绍工业控制系统。需要说明的是，虽然本实用新型实施例以工业控制系统作为欲配置的目标系统的例子，但本实用新型实施例的方案不仅可以适用于工业控制系统，还可适用于其他类型的系统。按照gartner公司的定义，运营技术ot利用硬件和软件，通过直接的监视和或控制一个企业中的物理设备(physicaldevice)、过程和事件而实现检测或控制。一个ot系统使用计算机来监视或改变一个系统的物理状态。工业控制系统(industrialcontrolsystem)可视为ot系统的一个例子。ics可基于计算机实现，用于远程监视和/或控制诸如一个工厂内的关键过程和物理功能。ics系统的例子有：数据采集与监视控制(supervisorycontrolanddataacquisition，scada)系统、分布式控制系统(distributedcontrolsystem，dcs)、计算机数字控制(computernumericalcontrol，cnc)系统(包括计算机化的机械工具)，以及科学设备(比如：数字示波器)。图1示出了工业控制系统的示例性结构。如图1所示，工业控制系统50中可包括但不限于如下设备：1)至少一个工业控制器5011工业控制器5011可为可编程逻辑控制器(programmablelogicalcontroller，plc)、dcs控制器、rtu等。至少一个工业控制器5011可连接分布式i/o设备5012或自身集成分布式i/o接口，以控制数据的输入输出。工业控制器5011还可连接现场设备502，用于控制现场设备502的操作。大部分的工业控制器5011是专用的嵌入式设备，基于嵌入式操作系统(比如：vxworks，嵌入式linux，eos、uclinux、以及各种私有操作系统等)实现。工业控制器5011用于实现可靠、实时的工业控制，通常缺少访问控制(比如识别、鉴权、授权等)等安全特性。其中，一个控制单元500中可包括至少一个工业控制器5011。2)至少一个分布式输入/输出(input/output，i/o)设备50123)至少一个工业主机工业主机可包括基于个人电脑(personalcomputer，pc)实现的各种工作站或服务器等上位机。比如工程师站5013a、操作员站5013b、服务器5013c和人机界面(humanmachineinterface，hmi)5013d等。工业控制系统50中，工业主机可通过工业以太网5014监测和控制工业控制器5011，比如：控制工业控制器5011从现场设备502处读取数据(例如从传感器读取现场设备的状态参数)，将数据保存到历史数据库中，按照操作员的指令或按照预设的控制程序或逻辑，向工业控制器5011发送控制命令等。其中，工程师站5013a也可对工业控制器5011进行配置。工业主机带有移动存储设备的接口，是恶意软件在工业控制系统50中传播的主要途径。4)工业控制网络5014工业控制网络5014中可包括至少一个网络设备，用于连接各个工业控制器5011和工业主机。目前，越来越多的工业控制网络5014基于工业以太网实现。工业控制网络5014内的通信可基于传输控制协议(transmissioncontrolprotocol，tcp)、用户数据报协议(userdatagramprotocol，udp)、互联网协议(internetprotocol，ip)、以及基于以太网(ethernet)等，其中的网络设备可包括但不限于：路由器、交换机等。工业控制网络5014还可连接其他网络，比如工厂的网络、办公网络等。可选地，工业控制网络5014中可包括动态主机配置协议(dynamichostconfigurationprotocol，dhcp)服务器5014a，用于为工业控制网络5014中的各个网络设备分配ip地址。下面，结合图2说明本实用新型实施例提供的安全管理设备、包含配置文件的资源以及待更新的工业控制系统之间的连接关系。安全管理设备10与资源20相连。资源20可以是一台服务器，其中含有配置文件30。安全管理设备10从资源20处获取配置文件30，并检查所述配置文件30是否安全，若所述配置文件30安全，则保留该配置文件30，否则丢弃该配置文件30。安全管理设备10具有第一网络接口1051，获取了配置文件30的安全管理设备10可通过第一网络接口1051连接至目的系统，比如工业控制系统50，对目的系统中的一个或多个设备，比如：工业控制系统50中的一台主机、几个工业控制器等进行配置文件的更新。并且，安全管理设备10可根据所连接的目的系统自动配置自身的ip地址，接入目的系统中。比如：目的系统中可包括dhcp服务器，安全管理设备10可通过dhcp服务器获取ip地址并据此配置第一网络接口1051。网络配置完成后，安全管理设备10可将配置文件30下发至目的系统中。下面，结合图3说明安全管理设备10的内部结构。如图3所示，安全管理设备10可包括：管理装置101、安全检查装置102、接口管理装置103、网络配置装置104以及第一网络接口1051。其中，管理装置101分别与安全检查装置102、接口管理装置103和网络配置装置104、第一网络接口1051相连，网络配置装置104与第一网络接口1051相连。管理装置101从资源20处接收配置文件30。其中，资源20可以是可信资源，当资源20中有更新的配置文件30时，管理装置101从资源20处获取配置文件30。管理装置101在获取配置文件30后，触发安全检查装置102检查配置文件30。可选地，管理装置101可将配置文件30存储在缓存或临时文件夹中，安全检查装置102找到配置文件30并对其进行安全检查。比如：安全检查装置102可检查资源20是否为可信的资源，安全检查装置102可对资源20中的密钥文件的完整性进行检验，以确定资源20是否被篡改；安全检查装置102还可维护一个可信的资源列表，若资源20在该列表中，则确定其为可信的资源。安全检查装置102还可检查配置文件30的数据完整性，比如：可基于校验和或者开启了哈希功能的消息摘要，比如：md5，sha-1等；安全检查装置102还可检查配置文件30的数字签名，比如：使用供应商的证书来检验该数字签名。安全检查装置102还可对配置文件30进行恶意软件扫描，比如安全检查装置102可具备反恶意软件功能和白名单控制功能，可有效防御恶意攻击并防止配置文件30被破坏。此外，安全检查装置102还可对安全管理设备10自身的安全性进行验证，比如：检查安全管理设备10中的关键文件的数据完整性(其中，哪些文件是关键文件可预先设定)。实现上，安全检查装置102和管理装置101可以为分开的两个装置，或者安全检查装置102集成在管理装置101中。安全检查装置102告知管理装置101安全检查的结果。若安全，则管理装置101可将配置文件30存储在数据库中以待后续使用；若配置文件30不安全，则管理装置101拒绝该配置文件30，比如丢弃该配置文件30。当安全管理设备10被连接到一个网络中时(这里，将诸如工业控制系统50等待进行配置文件更新的系统所在网络称为“第一网络401”)，网络配置装置104可检测到第一网络接口1051与第一网络401的连接，并响应于第一网络接口1051与第一网络401的连接，对第一网络接口105进行配置以使安全管理设备10接入第一网络401。网络配置装置104可首先确定第一网络401中是否包括dhcp服务器，若包括dhcp服务器，则网络配置装置104获取dhcp服务器为安全管理设备10分配的ip地址并配置第一网络接口1051；若第一网络401中不包括dhcp服务器，则网络配置装置104可从预先设置的ip地址库(该ip地址库可以配置在数据库中，也可配置在文件中)中获取ip地址并配置第一网络接口1051，其中，ip地址库中的ip地址是针对安全管理设备10可能连接的不同网络而设定的，比如针对第一网络401，ip地址目录中可预先设置安全管理设备10接入第一网络401时可以使用的ip地址。同理，ip地址库中还可预先设置安全管理设备10在接入其他网络时可以使用的ip地址，这样当安全管理设备10与对应的网络连接时，可直接从ip地址库中获得ip地址并据此配置第一网络接口1051，进而实现安全管理设备10的自动配置和自动接入网络。可选地，网络配置装置104可采用轮询的方式，尝试ip地址库中的每一个ip地址，一旦可以实现第一网络接口1051与第一网络401之间的通信，则将第一网络接口1051固定配置该ip地址。此外，还可以由管理员手动配置第一网络接口1051。可选地，可信资源20可位于第二网络402中，网络配置装置104可检测第二网络接口1052与第二网络402的连接，并响应于第二网络接口1052与第二网络402的连接，对第二网络接口1052进行配置以使安全管理设备10接入第二网络402，并在安全管理设备10接入第二网络402后通知管理装置101；管理装置101通过第二网络接口1052从资源20处接收配置文件30。这里，网络配置装置104对第二网络接口1052的配置方式与安全管理设备10接入第一网络401的原理相同，不再赘述。网络配置装置104在安全管理设备10接入第一网络401后通知管理装置101；管理装置101响应于安全管理设备10接入第一网络401，触发接口管理装置103将配置文件30下发至第一网络401；继而接口管理装置103通过第一网络接口105向第一网络401下发配置文件30。图3中，第一网络接口1051和第二网络接口1052作为两个不同的接口实现。另一种可选的实现方式时，两个网络接口可以是同一个网络接口。可选地，管理装置101可通过第一网络接口1051获取第一网络401的配置更新策略，比如：对第一网络401中的某一些设备的病毒库进行更新，或者对所有病毒库进行更新等。管理装置101在获取配置更新策略后，可触发接口管理装置103按照该配置更新策略向第一网络401下发配置文件30。比如：配置更新策略中可包括目标系统中要更新配置文件的设备的目的ip地址，那么管理装置101可触发接口管理装置103向该目的ip地址下发配置文件30。再比如：配置更新策略中可包括用于指示目的系统是否支持推送更新方式(pushupdatingmethod)的信息，如果目的系统不支持推送更新方式，则管理装置101可采用轮询方式在目的系统中下发配置文件30。接口管理装置103在下发配置文件时，可通过不同的配置文件管理装置的服务器端106来下发。这些配置文件管理装置可包括但不限于：白名单管理装置、反恶意软件管理装置、补丁管理装置等。安全管理设备10中可集成各种配置文件管理装置的服务器端106，而在目的系统中，安装有对应的客户端。这样，通过服务器端和客户端之间的交互，比如：通过命令行或者脚本的方式，实现配置文件30的下发。由于安全管理设备10中集成了各种不同的配置文件管理装置的服务器端，因此，安全管理设备10可实现对各种不同的配置文件进行更新。此外，接口管理装置103可提供图形用户界面，供管理员手动配置更新策略，比如：针对目的系统的补丁下发策略、恶意软件的定义等。图4示出了本实用新型一个实施例中安全管理设备更新配置文件的过程400。如图4所示，过程400可包括如下步骤：s401：安全管理设备10从资源20处接收配置文件30。s402：安全管理设备10检查配置文件30是否安全，可选地，还可检查安全管理设备10自身是否安全；若不安全，则执行s403，否则，执行s404。s403：安全管理设备10拒绝该配置文件30。s404：安全管理设备10检测第一网络接口1051与第一网络401的连接，并响应于所述第一网络接口1051与所述第一网络401的连接，对所述第一网络接口1051进行配置以使所述安全管理设备10接入所述第一网络401。s405：安全管理设备10将配置文件30通过第一网络接口1051下发至所述第一网络401。可选地，资源20位于第二网络402中，安全管理设备10还包括第二网络接口1052，在步骤s401中，安全管理设备10检测第二网络接口1052与第二网络402的连接，并响应于第二网络接口1052与第二网络402的连接，对第二网络接口1052进行配置以使安全管理设备10接入第二网络402，继而通过第二网络接口1052从资源20处接收配置文件30。可选地，在步骤s404中，安全管理设备10确定第一网络401中是否包括dhcp服务器，若包括dhcp服务器，则获取第一网络401中的dhcp服务器为安全管理设备10分配的ip地址并配置第一网络接口1051；若不包括dhcp服务器，则从预先设置的ip地址库中获取ip地址并配置第一网络接口1051，其中，ip地址库中的ip地址是针对安全管理设备10可能连接的不同网络而设定的。可选地，在步骤s401中，安全管理设备10确定第二网络402中是否包括dhcp服务器，若包括dhcp服务器，则获取第二网络402中的dhcp服务器为安全管理设备10分配的ip地址并配置第二网络接口1052；若不包括dhcp服务器，则从预先设置的ip地址库中获取ip地址并配置第二网络接口1052，其中，ip地址库中的ip地址是针对安全管理设备10可能连接的不同网络而设定的。可选地，在步骤s402中，安全管理设备10检查如下项目中的至少一项以确定配置文件30是否安全：检查资源20是否为可信的资源；检查配置文件30的数据完整性；检查配置文件30的数字签名；对配置文件30进行恶意软件扫描。可选地，安全管理设备10可检查所述安全管理设备(10)中的关键文件的数据完整性，以确定所述安全管理设备(10)是否安全。可选地，在步骤s404之后，还包括s404’，在步骤s404’中，安全管理设备10获取第一网络401的配置更新策略，并在步骤s405中按照配置更新策略向第一网络401下发配置文件30。可选地，安全管理设备10中可集成各种配置文件管理装置的服务器端，而在第一网络401中，配置有对应的客户端。在步骤s405中，安全管理设备10通过配置文件管理装置的服务器端与第一网络401中配置文件管理装置的客户端交互，来向第一网络401下发配置文件。其中，配置文件管理装置可包括但不限于白名单管理装置、反恶意软件管理装置和补丁管理装置。示例一安全管理设备10在接入互联网时从微软更新网络中下载要更新的补丁文件。安全管理设备10检查该补丁文件的完整性和数字签名，确定其安全性后，将补丁文件导入windows服务器更新服务(windowsserverupdateservices，wsus)服务器(配置文件管理装置的服务器端106)。安全管理设备10对自身进行安全验证和检测，比如：检查安全管理设备10的关键文件的数据完整性。安全管理设备10还可使用反恶意软件和白名单控制功能来阻止恶意攻击以及对配置文件30的破坏。当安全管理设备10连到ot环境中的一个网络中时，安全管理设备10自动检查该网络的ip地址并配置网络ip地址。如果ip地址配置成功，则wsus服务器会将补丁文件下发到目的系统中，进而完成工程师站和操作员站的更新。本实用新型实施例具有如下有益效果：安全管理设备可移动至不同的位置，便于对目的系统，比如工业控制系统中的设备进行配置文件更新。即使这些设备位于不同的相互独立的网络中，通过自动配置ip地址，也能够实现网络自动接入以及配置文件的下发与更新，极大降低了系统管理员的工作量。由于安全管理设备可自动检测和配置ip地址，使其自动接入目的系统中，即使缺乏网络知识，系统管理员也能够容易地进行配置文件的更新。由于能够进行安全检测，可提供配置文件更新过程中的安全性，避免目的系统受到安全威胁。通过安全管理设备获取配置文件，再由安全管理设备下发至目的系统，即使目的系统不支持在办公环境下的更新，也能够实现其自身配置文件的更新。需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。最后需要说明的是：以上所述仅为本实用新型的较佳实施例，仅用于说明本实用新型的技术方案，并非用于限定本实用新型的保护范围。凡在本实用新型的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本实用新型的保护范围内。当前第1页12