一种工业防火墙安全评估系统及方法与流程

1.本发明涉及防火墙估技术领域，尤其涉及一种工业防火墙安全评估系统及方法。


背景技术：

2.近几年，随着工业信息化进程的快速推进，工业控制系统逐渐打破其在物理环境上的封闭性，开始遭受传统的信息网络安全攻击的威胁，零日漏洞。高级持续性攻击等新一代攻击手段的不断涌现，工业防火墙作为一种有效的安全防护措施，被广泛应用于工控现场。
3.现有的工业防火墙安全评估时，主要是针对在工业防火墙研发或出厂阶段的对其测试，进行安全评估，然后工业防火墙最终是要运用到工业制造企业中，才能体现其价值。
4.工业防火墙运用到工业产业中能够起到有效的防护作用，跟制造企业中防火墙运维人员的技能水平有很大关系，水平较次的防火墙运维人员，在后期对工业防火墙维护过程中，可能会对防火墙安全区域设置不到位和相关安全配置不到位，使防火墙出现漏洞，容易被攻击者利用，造成企业重要资产遭到损失。


技术实现要素：

5.本发明针对现有技术的不足，提供了一种工业防火墙安全评估系统及方法。
6.本发明通过以下技术手段实现解决上述技术问题的：一种工业防火墙安全评估系统，包括：
7.测试模块，数量为n个，n为大于1的整数，测试模块运行在与工业防火墙连接端口连接的智能设备上；
8.安全等级设置模块，用于对运行测试模块的智能设备进行安全能等级赋值，赋值越高，对应安全等级越高；
9.关联模块，将测试模块与运行该测试模块的智能设备关联，将该智能设备对应的网络ip地址相关联、将该智能设备与该智能设备安全能等级赋值相关联；
10.获取模块，用于获取n个运行测试模块的智能设备网络ip地址，并将n个运行测试模块的智能设备网络ip地址发送至n个测试模块；
11.测试模块，根据n个智能设备网络ip地址去除该测试模块对应的网络ip地址生成访问请求列表，该智能设向除自己以外的智能设备发送测试访问请求包，测试模块还根据访问请求列表生成访问请求，向访问请求列表内的智能设备网络ip地址发送测试访问请求包，并监测访问的网络ip地址回包数据状态，根据回包数据生成反馈信息，反馈信息包括该测试模块对应的网络ip地址、访问的网络ip地址以及该访问的网络ip地址回包数据状态，回包数据状态包括有数据状态和无数据状态；
12.数据处理模块根据反馈信息内访问的网络ip地址，调取与该访问的网络ip地址相应的安全能等级赋值，将调取的安全能等级赋值标记该访问的网络ip地址，在反馈信息内筛选回包数据状态为有数据状态的数据项，生成第一筛选数据，再根据第一筛选数据筛选
出访问的网络ip地址安全能等级赋值大于测试模块对应的安全能等级赋值数据项，生成第二筛选数据，数据处理模块根据第二筛选数据输出防火墙安全评估报告。
13.优选的，在上述中，数据处理模块包括：
14.接收单元，接收反馈信息；
15.调取单元，根据反馈信息内访问的网络ip地址，调取与该访问的网络ip地址相应的安全能等级赋值；
16.标记单元，将调取的安全能等级赋值标记该访问的网络ip地址；
17.筛选单元，在反馈信息内筛选回包数据状态为有数据状态的数据项，生成第一筛选数据，再根据第一筛选数据筛选出访问的网络ip地址安全能等级赋值大于测试模块对应的安全能等级赋值数据项，生成第二筛选数据；
18.生成单元根据第二筛选数据输出防火墙安全评估报告。
19.优选的，在上述中，测试模块包括：
20.列表生成单元，根据n个智能设备网络ip地址去除该测试模块对应的网络ip地址生成访问请求列表；
21.发送单元，据访问请求列表生成访问请求，向访问请求列表内的智能设备网络ip地址发送测试访问请求包；
22.监测单元，监测访问的网络ip地址回包数据状态，根据回包数据生成反馈信息，反馈信息包括该测试模块对应的网络ip地址、访问的网络ip地址以及该访问的网络ip地址回包数据状态，回包数据状态包括有数据状态和无数据状态。
23.优选的，在上述中，数据处理模块还根据第二筛选数据调取安全能等级低赋值对应智能设备与防火墙连接端口ip地址，和调取安全能等级高赋值对应智能设备与防火墙连接端口ip地址。
24.优选的，在上述中，获取模块还用于获取测试访问请求包数据帧第一帧进入防火墙端口时刻k
进
、获取测试访问请求包数据帧最后一帧离开防火墙端口时刻k
出
，根据以下公式计算：
25.k＝k
出
―k
进
26.式中：k为防火墙延迟时间，k包括(k1、k2、k3...ky)，k1、k2、k3...ky分别对应，防火墙处理访问的网络ip地址回包数据状态为有数据状态对应的测试访问请求包延迟时间，y与反馈信息内筛选回包数据状态为有数据状态的数据项的数值一致；
[0027][0028]
取作为本次评估防火墙的防火墙延迟时间；
[0029]
相对现有技术中，防火墙延迟时间样本为：测试访问请求包单次重复测试取得多个防火墙延迟时间，本实施例是n个测试模块同时向防火墙发送测试访问请求包，在防火墙承受多任务的状态或极限状态下获得的多个有效样本，为防火墙处理回包数据状态为有数据状态对应的测试访问请求包延迟时间，根据本实施例取得的有效样本计算得到的防火墙延迟时间，本次评估防火墙的防火墙延迟时间，更能代表防火墙实际运行情况下对数据处理的延迟时间。
[0030]
一种工业防火墙安全评估方法，所述方法包括：
[0031]
将测试模块运行在与工业防火墙连接端口连接的智能设备上，测试模块，数量为n个，n为大于1的整数；
[0032]
用于对运行测试模块的智能设备进行安全能等级赋值，赋值越高，对应安全等级越高；
[0033]
将测试模块与运行该测试模块的智能设备关联，将该智能设备对应的网络ip地址相关联、将该智能设备与该智能设备安全能等级赋值相关联；
[0034]
获取n个运行测试模块的智能设备网络ip地址，并将n个运行测试模块的智能设备网络ip地址发送至n个测试模块；
[0035]
根据n个智能设备网络ip地址去除该测试模块对应的网络ip地址生成访问请求列表，该智能设向除自己以外的智能设备发送测试访问请求包，测试模块还根据访问请求列表生成访问请求，向访问请求列表内的智能设备网络ip地址发送测试访问请求包，并监测访问的网络ip地址回包数据状态，根据回包数据生成反馈信息，反馈信息包括该测试模块对应的网络ip地址、访问的网络ip地址以及该访问的网络ip地址回包数据状态，回包数据状态包括有数据状态和无数据状态；
[0036]
根据反馈信息内访问的网络ip地址，调取与该访问的网络ip地址相应的安全能等级赋值，将调取的安全能等级赋值标记该访问的网络ip地址，在反馈信息内筛选回包数据状态为有数据状态的数据项，生成第一筛选数据，再根据第一筛选数据筛选出访问的网络ip地址安全能等级赋值大于测试模块对应的安全能等级赋值数据项，生成第二筛选数据，数据处理模块根据第二筛选数据输出防火墙安全评估报告。
[0037]
优选的，在上述中，还根据第二筛选数据调取安全能等级低赋值对应智能设备与防火墙连接端口ip地址，和调取安全能等级高赋值对应智能设备与防火墙连接端口ip地址。
[0038]
优选的，在上述中，获取测试访问请求包数据帧第一帧进入防火墙端口时刻k
进
、获取测试访问请求包数据帧最后一帧离开防火墙端口时刻k
出
，根据以下公式计算：
[0039]
k＝k
出
―k
进
[0040]
式中：k为防火墙延迟时间，k包括(k1、k2、k3...ky)，k1、k2、k3...ky分别对应，防火墙处理访问的网络ip地址回包数据状态为有数据状态对应的测试访问请求包延迟时间，y与反馈信息内筛选回包数据状态为有数据状态的数据项的数值一致；
[0041][0042]
取作为本次评估防火墙的防火墙延迟时间；
[0043]
相对现有技术中，防火墙延迟时间样本为：测试访问请求包单次重复测试取得多个防火墙延迟时间，本实施例是n个测试模块同时向防火墙发送测试访问请求包，在防火墙承受多任务的状态或极限状态下获得的多个有效样本，为防火墙处理回包数据状态为有数据状态对应的测试访问请求包延迟时间，根据本实施例取得的有效样本计算得到的防火墙延迟时间，本次评估防火墙的防火墙延迟时间，更能代表防火墙实际运行情况下对数据处理的延迟时间。
[0044]
经由上述的技术方案可知，与现有技术相比，具有以下有益效果：
[0045]
(1)企业防火墙运维人员根据输出的防火墙安全评估报告，准确的定位风险项，及时切断位于安全能等级赋值低范围的智能设备向位于安全能等级赋值高范围的智能设备访问通道，即低赋值智能设备向高赋值智能设备的访问通道，重新配置智能设备与防火墙的连接端口，提升防火墙的防护能力，在运维人员对工业防火墙后期维护过程中，及时发现对防火墙设置失误，避免企业重要资产遭到损失。
[0046]
(2)在企业使用防火墙连接端口较多的情况下，防火墙运维人员可以根据防火墙安全评估报告，快速定位设置出错的防火墙连接端口，及时更改设置，避免再次出错。
[0047]
(3)本实施例是n个测试模块1同时向防火墙发送测试访问请求包，在防火墙承受多任务的状态或极限状态下获得的多个有效样本，为防火墙处理回包数据状态为有数据状态对应的测试访问请求包延迟时间，根据本实施例取得的有效样本计算得到的防火墙延迟时间，本次评估防火墙的防火墙延迟时间，更能代表防火墙实际运行情况下对数据处理的延迟时间。
附图说明
[0048]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0049]
图1附图为本发明的测试模块与智能设备连接示意图；
[0050]
图2附图为本发明的工业防火墙安全评估系统组成示意图；
[0051]
图3附图为本发明的数据处理模块组成示意图；
[0052]
图4附图为本发明的测试模块组成示意图。
[0053]
图中；1、测试模块；2、安全等级设置模块；3、关联模块；4、获取模块；5、数据处理模块；
[0054]
101、列表生成单元；102、发送单元；103、监测单元；
[0055]
501、接收单元；502、调取单元；503、标记单元；504、筛选单元；505、生成单元。
具体实施方式
[0056]
下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0057]
实施例一
[0058]
请参阅图2所示，本发明实施例公开了一种工业防火墙安全评估系统，包括测试模块1、安全等级设置模块2、关联模块3、获取模块4、数据处理模块5；测试模块1数量为n个，n为大于1的整数，测试模块1运行在与工业防火墙连接端口连接的智能设备上，如图1所示。
[0059]
安全等级设置模块2，用于对运行测试模块1的智能设备进行安全能等级赋值，赋值越高，对应安全等级越重要，即对应的相关数据对企业来说越重要，可以根据该智能设备
本身价值、使用该智能设备的操作人员的重要性、该智能设备存储数据价值、该智能设备的控制的加工设备产生的价值。
[0060]
上述智能设备本身价值，即该智能设备的购买价格；使用该智能设备的操作人员的重要性，操作人员例如研发人员，研发人员掌握的研发数据越多，安全程度越高，相应的增加该操作人员所使用的智能设备的安全等级，智能设备如电脑；该智能设备存储数据价值，存储数据价值如财务数据；该智能设备的控制的加工设备产生的价值，例如该智能设备为plc设备，加工设备为离心机，根据该离心机在工业生产中的重要程度，相应的对plc设备进行安全能级赋值，即对该智能设备进行安全能级赋值。
[0061]
上述安全能等级赋值由测试人员与该生产厂家负责人沟通了解，然后不同的智能设备进行相应的安全能等级赋值。
[0062]
关联模块3，将测试模块1与运行该测试模块1的智能设备关联，将该智能设备对应的网络ip地址相关联、将该智能设备与该智能设备安全能等级赋值相关联。
[0063]
获取模块4，用于获取n个运行测试模块1的智能设备网络ip地址，并将n个运行测试模块1的智能设备网络ip地址发送至n个测试模块1，智能设备网络ip地址与使用的测试模块1数量一致，即智能设备网络ip地址的数量为n个。
[0064]
测试模块1，根据n个智能设备网络ip地址去除该测试模块1对应的网络ip地址生成访问请求列表，即访问请求列表包含n-1个智能设备网络ip地址，减除一个智能设备网络ip地址为自身的智能设备网络ip地址，即该智能设向除自己以外的智能设备发送测试访问请求包，测试模块1还根据访问请求列表生成访问请求，向访问请求列表内的智能设备网络ip地址发送测试访问请求包，并监测访问的网络ip地址回包数据状态，根据回包数据生成反馈信息，将反馈信息发送至数据处理模块5，反馈信息包括该测试模块1对应的网络ip地址、访问的网络ip地址以及该访问的网络ip地址回包数据状态，回包数据状态包括有数据状态和无数据状态。
[0065]
数据处理模块5根据反馈信息内访问的网络ip地址，调取与该访问的网络ip地址相应的安全能等级赋值，将调取的安全能等级赋值标记该访问的网络ip地址，在反馈信息内筛选回包数据状态为有数据状态的数据项，生成第一筛选数据，再根据第一筛选数据筛选出访问的网络ip地址安全能等级赋值大于测试模块1对应的安全能等级赋值数据项，生成第二筛选数据，数据处理模块5根据第二筛选数据输出防火墙安全评估报告。
[0066]
企业防火墙运维人员根据输出的防火墙安全评估报告，准确的定位风险项，及时切断位于安全能等级赋值低范围的智能设备向位于安全能等级赋值高范围的智能设备访问通道，即低赋值智能设备向高赋值智能设备的访问通道，通过重新配置防火墙即可，具体重新配置智能设备与防火墙的连接端口即可，提升防火墙的防护能力，在运维人员对工业防火墙后期维护过程中，及时发现对防火墙设置失误，避免企业重要资产遭到损失。
[0067]
请参阅图3所示，数据处理模块5包括接收单元501、调取单元502、标记单元503、筛选单元504、生成单元505；接收单元501接收反馈信息；调取单元502根据反馈信息内访问的网络ip地址，调取与该访问的网络ip地址相应的安全能等级赋值；标记单元503将调取的安全能等级赋值标记该访问的网络ip地址；筛选单元504，在反馈信息内筛选回包数据状态为有数据状态的数据项，生成第一筛选数据，再根据第一筛选数据筛选出访问的网络ip地址安全能等级赋值大于测试模块1对应的安全能等级赋值数据项，生成第二筛选数据；生成单
元505根据第二筛选数据输出防火墙安全评估报告。
[0068]
请参阅图4所示，测试模块1包括列表生成单元101、发送单元102、监测单元103；列表生成单元101根据n个智能设备网络ip地址去除该测试模块1对应的网络ip地址生成访问请求列表；发送单元102据访问请求列表生成访问请求，向访问请求列表内的智能设备网络ip地址发送测试访问请求包；监测单元103监测访问的网络ip地址回包数据状态，根据回包数据生成反馈信息，将反馈信息发送至数据处理模块5，反馈信息包括该测试模块1对应的网络ip地址、访问的网络ip地址以及该访问的网络ip地址回包数据状态，回包数据状态包括有数据状态和无数据状态。
[0069]
实施例二
[0070]
为方便运维人员快速定位设置失误的防火墙连接端口，本实施例在实施例一基础上，进一步改进设计，数据处理模块5还根据第二筛选数据调取安全能等级低赋值对应智能设备与防火墙连接端口ip地址，和调取安全能等级高赋值对应智能设备与防火墙连接端口ip地址。
[0071]
在企业使用防火墙连接端口较多的情况下，防火墙运维人员可以根据防火墙安全评估报告，快速定位设置出错的防火墙连接端口，及时更改设置，避免再次出错。
[0072]
实施例三
[0073]
本实施例中，获取模块4还用于获取测试访问请求包数据帧第一帧进入防火墙端口时刻k
进
、获取测试访问请求包数据帧最后一帧离开防火墙端口时刻k
出
，根据以下公式计算：
[0074]
k＝k
出
―k
进
[0075]
式中：k为防火墙延迟时间，k包括k1、k2、k3...ky，k1、k2、k3...ky分别对应防火墙处理访问的网络ip地址回包数据状态为有数据状态对应的测试访问请求包延迟时间，y与反馈信息内筛选回包数据状态为有数据状态的数据项的数值一致，即回包数据状态为有数据状态对应的测试访问请求包，为有效通过防火墙，没有被防火墙拦截；回包数据状态为无数据状态，即被防火墙拦截，无测试访问请求包数据帧最后一帧离开防火墙端口时刻k
出
，应剔除。
[0076][0077]
取作为本次评估防火墙的防火墙延迟时间。
[0078]
相对现有技术中，防火墙延迟时间样本为：测试访问请求包单次重复测试取得多个防火墙延迟时间，本实施例是n个测试模块1同时向防火墙发送测试访问请求包，在防火墙承受多任务的状态或极限状态下获得的多个有效样本，为防火墙处理回包数据状态为有数据状态对应的测试访问请求包延迟时间，根据本实施例取得的有效样本计算得到的防火墙延迟时间，本次评估防火墙的防火墙延迟时间，更能代表防火墙实际运行情况下对数据处理的延迟时间。
[0079]
实施例四
[0080]
本发明提供了一种工业防火墙安全评估方法，方法包括：将测试模块1运行在与工业防火墙连接端口连接的智能设备上，测试模块1，数量为n个，n为大于1的整数；
[0081]
用于对运行测试模块1的智能设备进行安全能等级赋值，赋值越高，对应安全等级越高；
[0082]
将测试模块1与运行该测试模块1的智能设备关联，将该智能设备对应的网络ip地址相关联、将该智能设备与该智能设备安全能等级赋值相关联；
[0083]
获取n个运行测试模块1的智能设备网络ip地址，并将n个运行测试模块1的智能设备网络ip地址发送至n个测试模块1；
[0084]
根据n个智能设备网络ip地址去除该测试模块1对应的网络ip地址生成访问请求列表，该智能设向除自己以外的智能设备发送测试访问请求包，测试模块1还根据访问请求列表生成访问请求，向访问请求列表内的智能设备网络ip地址发送测试访问请求包，并监测访问的网络ip地址回包数据状态，根据回包数据生成反馈信息，反馈信息包括该测试模块1对应的网络ip地址、访问的网络ip地址以及该访问的网络ip地址回包数据状态，回包数据状态包括有数据状态和无数据状态；
[0085]
根据反馈信息内访问的网络ip地址，调取与该访问的网络ip地址相应的安全能等级赋值，将调取的安全能等级赋值标记该访问的网络ip地址，在反馈信息内筛选回包数据状态为有数据状态的数据项，生成第一筛选数据，再根据第一筛选数据筛选出访问的网络ip地址安全能等级赋值大于测试模块1对应的安全能等级赋值数据项，生成第二筛选数据，数据处理模块5根据第二筛选数据输出防火墙安全评估报告。
[0086]
为了进一步优化上述技术方案，还根据第二筛选数据调取安全能等级低赋值对应智能设备与防火墙连接端口ip地址，和调取安全能等级高赋值对应智能设备与防火墙连接端口ip地址。
[0087]
为了进一步优化上述技术方案，获取测试访问请求包数据帧第一帧进入防火墙端口时刻k
进
、获取测试访问请求包数据帧最后一帧离开防火墙端口时刻k
出
，根据以下公式计算：
[0088]
k＝k
出
―k
进
[0089]
式中：k为防火墙延迟时间，k包括k1、k2、k3...ky，k1、k2、k3...ky分别对应，防火墙处理访问的网络ip地址回包数据状态为有数据状态对应的测试访问请求包延迟时间，y与反馈信息内筛选回包数据状态为有数据状态的数据项的数值一致；
[0090][0091]
取作为本次评估防火墙的防火墙延迟时间；
[0092]
相对现有技术中，防火墙延迟时间样本为：测试访问请求包单次重复测试取得多个防火墙延迟时间，本实施例是n个测试模块1同时向防火墙发送测试访问请求包，在防火墙承受多任务的状态或极限状态下获得的多个有效样本，为防火墙处理回包数据状态为有数据状态对应的测试访问请求包延迟时间，根据本实施例取得的有效样本计算得到的防火墙延迟时间，本次评估防火墙的防火墙延迟时间，更能代表防火墙实际运行情况下对数据处理的延迟时间。
[0093]
本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。
[0094]
对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。