一種工業控制系統安全管理方法,在工控系統中增加責任區的定義并將系統中的所有實體分配至相關責任區,以從系統功能及結構的角度,實現系統的分區訪問控制及信息管理。在責任區劃分的基礎上,設置操作權限對實體操作進行訪問控制,從用戶操作角度進行管理。設置用戶組從類型及等級角度區分用戶,實現用戶分組管理和操作權限分配。設置實體的控制權用于標識實體的歸屬,從擁有控制權的責任區發出的指令優先執行以保證關鍵操作的迅速、正確響應。系統中設置安全中心模塊進行安全機制的統一設置及分發,并在系統運行中執行訪問控制及審計功能。本發明專利技術增加安全管理的維度、縮小訪問控制顆粒度,從多角度多方面保證系統安全。
【技術實現步驟摘要】
【專利摘要】一種工業控制系統安全管理方法,在工控系統中增加責任區的定義并將系統中的所有實體分配至相關責任區,以從系統功能及結構的角度,實現系統的分區訪問控制及信息管理。在責任區劃分的基礎上,設置操作權限對實體操作進行訪問控制,從用戶操作角度進行管理。設置用戶組從類型及等級角度區分用戶,實現用戶分組管理和操作權限分配。設置實體的控制權用于標識實體的歸屬,從擁有控制權的責任區發出的指令優先執行以保證關鍵操作的迅速、正確響應。系統中設置安全中心模塊進行安全機制的統一設置及分發,并在系統運行中執行訪問控制及審計功能。本專利技術增加安全管理的維度、縮小訪問控制顆粒度,從多角度多方面保證系統安全。【專利說明】
本專利技術屬于工業過程控制領域,并涉及信息安全技術,尤其實現了一種多維度的系統安全管理方法。
技術介紹
隨著工業控制系統逐漸向多級化、異地化發展,工控系統的安全管理成為工控系統使用中的重點問題。在系統的實際使用中,從人力安排、生產及操作安全等角度出發,工作人員通常按其級別和職責,負責系統中某一特定區域的某部分工作。這些根據系統管理要求、功能屬性及用戶操作需求等劃分的邏輯區域就稱為責任區。同時,根據工種不同,工作人員對系統的關注角度及所需的功能也不盡相同。也就是說,在系統中各級用戶需要的信息和操作不僅按照工種和管理級別分類,同時也是按照區域劃分的。因此,工控系統的安全機制也應根據以上多個角度制定,才能保證系統安全。但目前,工控系統的安全管理體系一般與信息系統相同,采用權限的方式進行單一角度的安全管理。此類方法用權限表示系統中進行信息獲取與操作的權利,系統運行時為用戶分配權限并進行限制。權限方式僅從系統操作角度管理,未考慮分區操作及監視的要求,缺乏區域、設備整體、用戶工種等方面的安全管理機制設置,造成安全管理及系統監視方面的漏洞。與此同時,權限的控制方式固定并增大了訪問控制顆粒度,向用戶開放了不屬于其職責內的操作許可,導致系統中的實體管理過于碎片化,缺乏整體的安全保證。
技術實現思路
本專利技術,針對工業控制系統的上述問題,提供。本專利技術解決如下問題:提供一種工控系統安全管理方法,從系統運行及使用的多個角度出發進行多維安全管理。此方法從系統功能及用戶職責角度對系統進行分區安全管理、依照用戶等級及工種進行操作權限管理、可依照實體功能與系統的關聯關系進行實體控制權管理,使工控系統的安全管理體系擴展到系統的各個層級和部分。使用本方法可多角度限定用戶可訪問區域,自由劃分系統訪問控制顆粒度,提高訪問控制的精確性及準確性,最終達到分區監視、分級操作、隔離信息的目的。本專利技術的技術方案如下。一種多維度的工業控制系統安全管理方法,其特征在于,所述安全管理方法包括以下步驟:(I)安全策略配置1.1在所述工業控制系統設置責任區的數據定義,作為系統安全管理的基本單元;1.2根據責任區的管理范圍和特點定制用戶組,一個責任區中設置多個用戶組;1.3在工業控制系統中設置實體的數據定義,實體設置所屬責任區屬性,標識實體所屬的責任區,其中,所述實體為工業控制系統中所有設備、上位機以及其它可管理的設備和資源;(2)運行時安全管理2.1在所述工業控制系統的服務器上設置安全中心應用模塊,安全中心應用模塊按照責任區標識分類形成配置信息,將所述配置信息發送至與其責任區標識一致的實體;2.2工業控制系統運行中的操作信息均發送至安全中心應用模塊進行驗證;2.3安全中心應用模塊負責工業控制系統的信息審計,根據信息審計結果將操作所針對的責任區對相應的管理用戶組開放。本專利技術進一步包括以下優選技術方案:在所述步驟1.1中,所述責任區是指按照工業控制系統的管理要求、功能屬性及用戶操作需求劃分的邏輯區域,用于工業控制系統分區管理,由用戶自行規劃。所述責任區包含標識、名稱、用戶組、等級屬性,其中,標識屬性具有唯一性。在步驟1.2中,用戶組有標識、權限集屬性,其中權限集是所述工業控制系統中操作權限的集合,標識用戶組內用戶可進行的操作;用戶設置所屬用戶組屬性,標識用戶所在的用戶組。在步驟1.3中,實體還設置有控制權屬性,其屬性值為責任區標識,控制權用于實體管理和執行關鍵操作,擁有實體控制權的責任區成為該實體的控制權責任區。在步驟2.2中,首先驗證責任區,提取用戶所屬用戶組的責任區標識與被操作實體的責任區標識進行運算,如屬于同一責任區則繼續判斷權限,反之認為操作非法不予執行;提取操作權限標識與用戶組權限集進行計算,如用戶組擁有權限則此操作進入執行狀態,反之操作終止。所述安全中心應用模塊所進行的驗證還進一步包括:在操作執行前,檢驗此操作是否為控制權責任區的操作,如是則操作立即執行,反之則等待其他操作執行完畢;如果操作涉及單個責任區內實體,安全中心應用模塊按照操作信息的責任區標識分類記錄;對于跨責任區的管理信息和其他安全配置信息則記錄所涉及的責任區及操作頻率。在步驟2.3中,所述審計包括兩部分,其一是按操作的責任區標識進行匯總,審計結果僅對相應責任區具有管理權限的用戶組開放;另外一部分部分針對工業控制系統整體進行,統計所述工業控制系統中所有跨責任區的信息,統計信息發放的范圍和頻率,僅對整個控制系統管理級的用戶組開放。責任區標識、用戶組標識、操作權標識均為二進制位表示;實體的責任區屬性值為多個責任區標識之和;安全中心應用模塊驗證操作信息時,將所述責任區屬性值與目標責任區標識進行位運算得到驗證結果。本專利技術的特點及有益效果:本專利技術利用工控系統分區管理用戶分區操作及監視的特點,以責任區為基礎,建立多維的系統安全管理辦法,彌補了單一的權限安全管理方法的漏洞和不足。本專利技術具有以下三種功能,I)通過多維度的安全管理,從系統分區管理、操作分類控制、分組用戶管理等多方面進行安全保證,縮小訪問控制顆粒度、增大安全保護機制設置的自由度。2)通過責任區劃分控制,關鍵信息僅在責任區內傳輸,對于跨責任區的信息進行跟蹤監視,縮小信息傳播范圍、實現系統信息隔離。3)以責任區為單元進行安全管理、審計,降低了系統安全管理的復雜度,為整體的安全態勢評估提供了良好基礎。【專利附圖】【附圖說明】圖1:多維度控制系統安全管理流程示意圖;圖2:責任區劃分及實體分配示意圖;圖3:安全配置信息下發示意圖;圖:4:用戶操作行為序列圖;圖5:用戶操作操作執行流程圖。具體執行方式下面結合附圖以及優選實施方式對本專利技術的技術方案作進一步詳細說明。如附圖1所示為本專利技術公開的流程圖,本專利技術的控制系統安全管理方法包括如下步驟:I)步驟一:安全策略配置;1.1按照工控系統的整體功能及用戶的需求,設置和劃分系統的責任區;將系統分為多個主責任區,并將主責任區劃分為子責任區,同級責任區之間不設置區域交叉關系,責任區標識采用二進制位表示,并轉換為整數類型進行存儲。1.2根據各責任區的管理特點,為各責任區設置多個不同的用戶組,用戶組標識同樣采用二進制位表示。此步驟中由于尚未分配實體的操作權,用戶組的權限集為空。組內用戶的分配按照用戶的職責進行,配置用戶的所屬用戶組屬性。本責任區內同級別、同工種的用戶分配在同一組中。1.3將系統中的實體分配至責任區,即配置系統中所有實體的責任區屬性。按照實體功能和管理需要,配置實體的責任區屬性。此步驟中若實體功能涉及多本文檔來自技高網...
【技術保護點】
一種多維度的工業控制系統安全管理方法,其特征在于,所述安全管理方法包括以下步驟:(1)安全策略配置1.1在所述工業控制系統設置責任區的數據定義,作為系統安全管理的基本單元;1.2根據責任區的管理范圍和特點定制用戶組,一個責任區中設置多個用戶組,用戶組屬于某個責任區;1.3在工業控制系統中設置實體的數據定義,實體設置所屬責任區屬性,標識實體所屬的責任區,其中,所述實體為工業控制系統中所有設備、上位機以及其它可管理的設備和資源。(2)運行時安全管理2.1在所述工業控制系統的服務器上設置安全中心應用模塊,安全中心應用模塊按照責任區標識分區形成配置信息,將所述配置信息發送至與其責任區標識一致的實體;2.2工業控制系統運行中的操作信息均發送至安全中心應用模塊進行驗證;2.3安全中心應用模塊負責工業控制系統的信息審計,信息審計結果按照操作的責任區對其具有管理權限的用戶組開放。
【技術特征摘要】
【專利技術屬性】
技術研發人員:王喆昊,徐延明,黃磊,石磊,
申請(專利權)人:北京四方繼保自動化股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。