基于配置核查的网络安全评估方法和装置与流程

本发明涉及信息安全技术领域，尤其涉及一种基于配置核查的网络安全评估方法和装置。

背景技术：

工业控制系统(industrialcontrolsystem，简称：ics)控制现代工业基础设施(例如电力系统、石油与天然气系统、化工业系统、水利系统、交通控制系统以及工业制造系统等)的运行。随着现代工业基础设施的发展，ics由封闭孤立式的系统向开放互联式的系统转变。上述转变过程给ics的信息安全带来风险性，一般需对ics进行风险评估，以对ics的安全性进行评价以及及时针对ics面临的风险采取补救措施。

一般大型工业客户的ics包括来自不同厂商的设备，不同的设备可能采用不同的上位机应用系统以及采用不同的工业控制通信协议(例如厂商的私有协议)。现有技术中的对ics的风险评时，针对于ics内的设备，根据待设备的信息不同(例如不同的设备采用的应用系统等)而分别进行风险评估，根据待风险评估设备的采用的工业控制通信协议对此待风险评估设备进行识别，并进一步对此待风险评估设备进行设备的资产价值进行评估，从而完成此待风险评估设备的风险评估，得到ics内每个进行上述风险评估的设备对应的风险值。

然而，现有的ics的风险评估方法直观性差。

技术实现要素：

本发明实施例提供了一种基于配置核查的网络安全评估方法和装置，以解决现有的ics的风险评估方法直观性差的问题。

本发明实施例第一方面提供的一种基于配置核查的网络安全评估方法，包括：

获取目标系统的m个目标设备的信息，其中，上述目标设备的信息包括：上述目标设备的类型和上述目标设备的网际协议(internetprotocol，简称：ip)，m为大于等于1的整数；其中，上述目标系统为ics；

针对每个上述目标设备，获取上述目标设备的类型对应的基线检查模板，上述基线检查模板中包含基线检查项和上述基线检查项对应的基线安全判别规则；根据上述目标设备的ip和上述基线检查模板中包含基线检查项，获取上述目标设备的基线待检查项的配置信息；根据上述基线待检查项的配置信息和上述基线安全判别规则，确定上述目标设备的风险值；

根据m个上述目标设备的风险值，确定上述目标系统的风险值。

可选的，上述基线检查模板中包含ni个基线检查项；上述ni为大于等于1的整数；

上述根据上述基线待检查项的配置信息和上述基线安全判别规则，确定上述目标设备的风险值，包括：

针对每个基线检查项，根据上述基线待检查项的配置信息和上述基线安全判别规则，获取上述基线检查项的检查结果；

根据ni个基线检查项的检查结果进行第一加权计算，获取上述目标设备的风险值。

可选的，上述根据m个上述目标设备的风险值，确定上述目标系统的风险值，包括：

根据上述m个上述目标设备的风险值进行第二加权计算，确定上述目标系统的风险值。

可选的，上述获取上述目标系统的m个目标设备的信息，包括：

通过将上述m个目标设备对应的指纹信息与预设的指纹库中的指纹信息进行比对，获得上述目标系统的m个目标设备的信息。

可选的，上述方法还包括：

对上述目标设备进行漏洞扫描，获得上述目标设备对应的漏洞扫描结果；

上述根据ni个基线检查项的检查结果进行第一加权计算，获取上述目标设备的风险值，包括：

根据上述ni个基线检查项的检查结果和上述漏洞扫描结果进行第一加权计算，获取上述目标设备的风险值。

本发明实施例第二方面提供一种基于配置核查的网络安全评估装置，包括：识别模块、任务设置模块和评估模块；

上述识别模块用于：获取上述目标系统的m个目标设备的信息，其中，上述目标设备的信息包括：上述目标设备的类型和上述目标设备的ip，m为大于等于1的整数；

上述任务设置模块用于：针对每个上述目标设备，获取上述目标设备的类型对应的基线检查模板，上述基线检查模板中包含基线检查项和上述基线检查项对应的基线安全判别规则；根据上述目标设备的ip和上述基线检查模板中包含基线检查项，获取上述目标设备的基线待检查项的配置信息；根据上述基线待检查项的配置信息和上述基线安全判别规则，确定上述目标设备的风险值；

上述评估模块用于：根据m个上述目标设备的风险值，确定上述目标系统的风险值。

可选的，上述任务设置模块包括：获取子模块、采集引擎和判别引擎；

上述获取子模块用于：针对每个上述目标设备，获取上述目标设备的类型对应的基线检查模板，上述基线检查模板中包含基线检查项和上述基线检查项对应的基线安全判别规则；

上述采集引擎用于：针对每个上述目标设备，根据上述目标设备的ip和上述基线检查模板中包含基线检查项，获取上述目标设备的基线待检查项的配置信息；

上述判别引擎用于：针对每个上述目标设备，根据上述基线待检查项的配置信息和上述基线安全判别规则，确定上述目标设备的风险值。

可选的，上述基线检查模板中包含ni个基线检查项；上述ni为大于等于1的整数；

上述判别引擎包括：判别单元和第一计算单元；

上述判别单元用于：针对每个基线检查项，根据上述基线待检查项的配置信息和上述基线安全判别规则，获取上述基线检查项的检查结果；

上述第一计算单元用于：针对每个基线检查项，根据ni个基线检查项的检查结果进行第一加权计算，获取上述目标设备的风险值。

可选的，上述评估模块包括：第二计算单元；

上述第二计算单元用于：根据上述m个上述目标设备的风险值进行第二加权计算，确定上述目标系统的风险值。

可选的，上述装置还包括：扫描模块；

上述扫描模块用于：对上述目标设备进行漏洞扫描，获得上述目标设备对应的漏洞扫描结果；

上述第一计算单元包括：第三计算子单元；

上述第三计算子单元用于根据上述ni个基线检查项的检查结果和上述漏洞扫描结果进行第一加权计算，获取上述目标设备的风险值。

本发明实施例提供的基于配置核查的网络安全评估方法，包括：获取目标系统的m个目标设备的信息，其中，目标设备的信息包括：目标设备的类型和目标设备的网际协议ip，m为大于等于1的整数；针对每个目标设备，获取目标设备的类型对应的基线检查模板，基线检查模板中包含基线检查项和基线检查项对应的基线安全判别规则；根据目标设备的ip和基线检查模板中包含基线检查项，获取目标设备的基线待检查项的配置信息；根据基线待检查项的配置信息和基线安全判别规则，确定目标设备的风险值；根据m个目标设备的风险值，确定目标系统的风险值。本发明实施例提供的基于配置核查的网络安全评估方法为通过检查目标系统中目标设备的基线的配置信息达到对目标系统风险评估的目的。进一步地，根据目标设备的不同类型设置不同的基线检查模板，并根据基线检查模板中的基线检查项采集对应的目标设备的基线待检测项的配置信息，又通过基线检查模板中的基线安全判别规则对基线检查项和基线待检查项的配置信息进行判别，得到对应目标设备的风险值，最后，根据目标系统中不同目标设备的风险值获得目标系统的风险值，完成对目标系统的风险评估。本发明实施例中基于配置核查的网络安全评估方法提供的目标系统的风险值具有直观获取目标系统的风险状态的效果。并且，本发明实施例中基于配置核查的网络安全评估方法可以提高对目标系统中的目标设备进行风险评估效率。另一方面，本发明实施例还提供基于配置核查的网络安全评估装置，用于完成上述基于配置核查的网络安全评估方法。本发明实施例提供的基于配置核查的网络安全评估方法和装置，可以解决现有的目标系统的风险评估方法直观性差的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的基于配置核查的网络安全评估方法和装置实施例一的流程示意图；

图2为本发明提供的基于配置核查的网络安全评估方法和装置实施例二的流程示意图；

图3为本发明提供的基于配置核查的网络安全评估方法和装置实施例三的流程示意图；

图4为本发明提供的基于配置核查的网络安全评估方法和装置实施例一的结构示意图；

图5为本发明提供的基于配置核查的网络安全评估方法和装置实施例二的结构示意图；

图6为本发明提供的基于配置核查的网络安全评估方法和装置实施例三的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和/或“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例，例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

现有技术中的对ics的风险评时，需对ics内的不同设备分别进行风险评估，并获得ics内不同设备各自的风险评估值，使得现有的ics的风险评估方法直观性差。

本发明实施例提供的基于配置核查的网络安全评估方法为通过检查目标系统(包括ics)中目标设备的基线的配置信息达到对目标系统风险评估的目的。进一步地，根据目标设备的不同类型设置不同的基线检查模板，并根据基线检查模板中的基线检查项采集对应的目标设备的基线待检测项的配置信息，又通过基线检查模板中的基线安全判别规则对基线检查项和基线待检查项的配置信息进行判别，得到对应目标设备的风险值，最后，根据目标系统中不同目标设备的风险值获得目标系统的风险值，完成对目标系统的风险评估。本发明实施例中基于配置核查的网络安全评估方法提供的目标系统的风险值具有直观获取目标系统的风险状态的效果。并且，本发明实施例中基于配置核查的网络安全评估方法可以提高对目标系统中的目标设备进行风险评估效率。另一方面，本发明实施例还提供的基于配置核查的网络安全评估装置，用于完成上述基于配置核查的网络安全评估方法。本发明实施例提供的基于配置核查的网络安全评估方法和装置，可以解决现有的ics的风险评估方法直观性差的问题。

本发明提供的下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图1为本发明提供的基于配置核查的网络安全评估方法和装置实施例一的流程示意图。本实施例提供的基于配置核查的网络安全评估方法的应用对象目标系统为ics系统，其中ics中包括至少一个资产设备可作为待评估的目标资产设备(本实施例中称为“目标设备”)。进一步地，本实施例提供的基于配置核查的网络安全评估方法是用于ics的风险评估，根据本发明提供的方法获得的所述ics的风险值用于评估所述ics的安全性或所述ics面临的风险性，以及时针对ics面临的风险采取补救措施。参考图1，本实施例提供的基于配置核查的网络安全评估方法包括以下内容。

步骤101：获取目标系统的m个目标设备的信息，其中，所述目标设备的信息包括：所述目标设备的类型和所述目标设备的网际协议ip，m为大于等于1的整数。

本实施例中，待风险评估的设备为目标设备，m个目标设备为用于基于配置核查的设备(即为待风险评估ics中的资产设备)，m个目标设可以为上述ics中的全部设备，也可以为上述ics中的一部分设备。

本实施例提供的基于配置核查的网络安全评估方法中，首先分别获取ics中m个目标设备的信息，其中，每个目标设备的信息均包括：目标设备的类型和目标设备的ip，上述m个目标设备的类型可以相同，也可以不同，具体地，目标设备的类型不同可以指目标设备的应用系统不同。根据获取的目标设备的类型获取对应的基线检查任务，其中，不同的目标设备的类型对应不同的基线检查模板。

可选的，作为一种可实施的方式，通过将上述m个目标设备对应的指纹信息与预设的指纹库中的指纹信息进行比对，可以获得所述ics的m个目标设备的信息。

可选的，作为另一种可实施的方式，提供用户输入界面，接收用户输入的待风险评估的目标设备的信息。

具体地，针对每个所述ics中的目标设备获取对应的基线检查任务的具体实施方式如步骤102至步骤104所述。

步骤102：针对每个所述目标设备，获取所述目标设备的类型对应的基线检查模板，所述基线检查模板中包含基线检查项和所述基线检查项对应的基线安全判别规则。

本实施例中以上述ics中的待目标设备a为例进行说明，首先通过步骤101中获得目标设备a的类型和目标设备a的ip，然后，根据目标设备a的类型获取其所对应的基线检查模板a，基线检查模板a中包含基线检查项和基线检查项对应的基线安全判别规则。

具体地，根据目标设备a的类型获取其所对应的基线检查模板a的一种可实现的方式为：预设置有信息库，所述信息库中包括所有目标设备的类型及其所对应的基线检查项，以及所述基线检查项对应的基线安全判别规则。确定目标设备a的类型后，便可以在上述信息库中获取目标设备a的类型对应的基线检查项以及对应的基线安全判别规则，并且，目标设备a的类型对应的基线检查项以及对应的基线安全判别规则形成目标设备a的类型对应的基线检查模板。

步骤103：针对每个所述目标设备，根据所述目标设备的ip和所述基线检查模板中包含基线检查项，获取所述目标设备的基线待检查项的配置信息。

获取目标设备a的类型对应的基线检查模板之后，根据步骤101中获取的目标设备a的ip可以实现远程采集目标设备a的基线的配置信息。

具体地，又根据步骤102中获取的目标设备a的类型对应的基线检查模板中的基线检查项，针对性的获取目标设备a的基线的配置信息(即为目标设备a的基线待检查项的配置信息)，以用于步骤104对其进行判别。

更为具体地，根据目标设备a的ip实现远程采集目标设备a的基线的配置信息的一种可实现的方式为：访问目标设备a的ip后获得其端口以及用户面与密码，进而登录目标设备a，从而实现远程采集目标设备a的基线的配置信息。

步骤104：针对每个所述目标设备，根据所述基线待检查项的配置信息和所述基线安全判别规则，确定所述目标设备的风险值。

通过步骤102获取目标设备a的类型对应的基线检查模板，又通过步骤103获取目标设备a的基线待检查项的配置信息之后，在步骤104中，对目标设备a的基线待检查项的配置信息进行判别，以获得目标设备a的风险值。

具体地，通过对目标设备a对应的基线检查模板a中的基线安全判别规则和目标设备a的基线待检查项的配置信息进行比对，得出判别结果，根据判别结果获得目标设备a的风险值。

上述ics中m个目标设备经过步骤102至步骤104后，均会获得对应的风险值。

步骤105：根据m个所述目标设备的风险值，确定所述目标系统的风险值。

利用上述ics中的m个所述目标设备的风险值，获得ics的风险值，完成对ics的风险评估。

本实施例提供的基于配置核查的网络安全评估方法为通过检查ics中目标设备的基线的配置信息达到对ics风险评估的目的。根据目标设备的不同类型设置不同的基线检查模板，并根据基线检查模板中的基线检查项采集对应的目标设备的基线待检测项的配置信息，又通过基线检查模板中的基线安全判别规则对基线检查项和基线待检查项的配置信息进行判别，得到对应目标设备的风险值，最后，根据ics中不同目标设备的风险值获得ics的风险值，完成对ics的风险评估。本实施例中基于配置核查的网络安全评估方法提供的ics的风险值具有直观获取ics的风险状态的效果。并且，本发明实施例中基于配置核查的网络安全评估方法可以提高对ics中的目标设备进行风险评估效率。本实施例提供的基于配置核查的网络安全评估方法和装置，可以解决现有的ics的风险评估方法直观性差的问题。

图2为本发明提供的基于配置核查的网络安全评估方法和装置实施例二的流程示意图，本实施例是在实施例一的基础上进行的。参考图2，本实施例包括以下内容。

其中，步骤201、步骤202和步骤203的内容以及具体实现过程分别与步骤101、步骤102和步骤103的内容以及具体实现过程相同，在此不再赘述。

步骤204：所述基线检查模板中包含ni个基线检查项；其中，ni为大于等于1的整数；针对每个基线检查项，根据所述基线待检查项的配置信息和所述基线安全判别规则，获取所述基线检查项的检查结果。

步骤205：针对每个基线检查项，根据ni个基线检查项的检查结果进行第一加权计算，获取所述目标设备的风险值。

其中，本实施例中步骤204和步骤205为实施例一中步骤104的一种实现方式。

具体地，上述ics中的m个目标设备对应m个基线检查模板，而第i个目标设备对应的基线检查模板包含ni个基线检查项。i为大于等于1且小于等于m的整数，ni为大于等于1的整数。

以实施例一中的目标设备a为例进行说明。目标设备a对应的基线检查模板a中包含s个基线检查项，其中，s为大于等于1的整数。则根据基线检查模板a中包含s个基线检查项，在目标设备a中采集对应的s个基线待检查项的配置信息，然后，将基线检查模板a中的基线安全判别规则和目标设备a的s个基线待检查项的配置信息进行比对，得出判别结果，即得到s个基线检查项的检查结果。

将目标设备a的s个基线检查项的检查结果进行第一加权计算，获取所述目标设备a的风险值。其中，上述第一加权计算可以为基线检查模板a对应的计算方式。

上述ics中m个目标设备经过步骤204和步骤205后，均会获得对应的风险值。

步骤206：根据所述m个所述目标设备的风险值进行第二加权计算，确定所述目标系统的风险值。

其中，本实施例中步骤206为实施例一中步骤105的一种实现方式。

具体地，将上述ics的m个目标设备的风险值进行第二加权计算，获取上述ics的风险值。其中，上述第二加权计算可以为根据上述ics的需要设置的一种加权计算方式。

本实施例提供了上述ics中每个目标设备的风险值的具体获取方式：根据基线检查模板中包含ni个基线检查项，在对应的目标设备中采集对应的ni个基线待检查项的配置信息，然后，将对应的基线检查模板中的基线安全判别规则和目标设备的ni个基线待检查项的配置信息进行比对，得出得到ni个基线检查项的检查结果，将ni个基线检查项的检查结果进行相应的第一加权后便获得目标设备的风险值。另外，本实施例提供了根据各个目标设备的风险值获取ics的风险值的方法。通过本实施提供的ics风险评估方法可以高效率地获得各个目标设备的类型对应的基线检查模板，进而获得各个目标设备的风险值。更进一步地，根据ics中的各个目标设备的风险值获取所述ics的风险值，可以直观地评估所述ics风险性。

图3为本发明提供的基于配置核查的网络安全评估方法和装置实施例三的流程示意图，本实施例是在实施例二的基础上进行的。参考图3，本实施例包括以下内容。

其中，步骤301、步骤302、步骤303和步骤304的内容以及具体实现过程分别与实施例二中步骤201、步骤202、步骤203和步骤204的内容以及具体实现过程相同，在此不再赘述。

步骤305：对所述目标设备进行漏洞扫描，获得所述目标设备对应的漏洞扫描结果。

步骤306：根据所述ni个基线检查项的检查结果和所述漏洞扫描结果进行第一加权计算，获取所述目标设备的风险值。

其中，步骤305和步骤306为对ics中目标设备进行漏洞扫描，并且将漏洞扫描结果计算入对应目标设备的风险值的实现方式。

具体地，以上述ics中目标设备a为例进行说明。本实施例提供的ics风险评估方法还对目标设备a进行漏洞扫描，获得扫描结果。然后，将目标设备a对应的s个基线检查项的检查结果和上述漏洞扫描结果进行第一加权计算，获取目标设备a的风险值。

需要注意的是步骤305和步骤306与步骤301至步骤304的执行顺序不分前后。

上述ics中m个目标设备经过步骤305和步骤306后，均会获得对应的风险值。

步骤307的内容以及具体实现过程分别与实施例二中的步骤206的内容以及具体实现过程相同，在此不再赘述。

本实施例提供的基于配置核查的网络安全评估方法中，除了实施例二提供的全部方法步骤外，还提供了对ics中的目标设备进行漏洞扫描的步骤，并提供了将扫描结果和基线检查项的检查结果均用于计算对应的目标设备的风险值的方法。本实施例提供的基于配置核查的网络安全评估方法进一步丰富了风险评估内容，使得运用本方法评估ics的风险值更加贴近于现实的风险值。

图4为本发明提供的基于配置核查的网络安全评估方法和装置实施例一的结构示意图。参考图4，本实施例中，基于配置核查的网络安全评估装置包括：识别模块11、任务设置模块12和评估模块13。其中，任务设置模块12包括：获取子模块121、采集引擎122和判别引擎123。

识别模块11用于：获取目标系统的m个目标设备的信息，其中，所述目标设备的信息包括：所述目标设备的类型和所述目标设备的ip，m为大于等于1的整数。

获取子模块121用于：针对每个所述目标设备，获取所述目标设备的类型对应的基线检查模板，所述基线检查模板中包含基线检查项和所述基线检查项对应的基线安全判别规则。

采集引擎122用于：针对每个所述目标设备，根据所述目标设备的ip和所述基线检查模板中包含基线检查项，获取所述目标设备的基线待检查项的配置信息。

判别引擎123用于：针对每个所述目标设备，根据所述基线待检查项的配置信息和所述基线安全判别规则，确定所述目标设备的风险值。

评估模块13用于：根据m个所述目标设备的风险值，确定所述目标系统的风险值。

上述基于配置核查的网络安全评估装置中的组成部分，对应地可执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，在此不再赘述。

图5为本发明提供的基于配置核查的网络安全评估方法和装置实施例二的结构示意图。本实施例中，在图4所示的基于配置核查的网络安全评估装置的基础上，参考图5，其中，判别引擎123包括：判别单元1231和第一计算单元1232；评估模块13包括：第二计算单元131。

判别单元1231用于：针对每个基线检查项，根据所述基线待检查项的配置信息和所述基线安全判别规则，获取所述基线检查项的检查结果。

所述第一计算单元1232用于：针对每个基线检查项，根据ni个基线检查项的检查结果进行第一加权计算，获取所述目标设备的风险值。

第二计算单元131用于：根据所述m个所述目标设备的风险值进行第二加权计算，确定所述目标系统的风险值。

上述基于配置核查的网络安全评估装置中的组成部分，对应地可执行图2所示方法实施例的技术方案，其实现原理和技术效果类似，在此不再赘述。

图6为本发明提供的基于配置核查的网络安全评估方法和装置实施例三的结构示意图。本实施例中，在图5所示的基于配置核查的网络安全评估装置的基础上，参考图6，还包括：扫描单元14，其中，第一计算单元1232包括：三计算子单元1233。

扫描模块14用于：对所述目标设备进行漏洞扫描，获得所述目标设备对应的漏洞扫描结果。

第三计算子单元1233用于：根据所述ni个基线检查项的检查结果和所述漏洞扫描结果进行第一加权计算，获取所述目标设备的风险值。

上述基于配置核查的网络安全评估装置中的组成部分，对应地可执行图3所示方法实施例的技术方案，其实现原理和技术效果类似，在此不再赘述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。