一种工业互联网信息安全评估方法及装置

本发明涉及互联网信息技术领域，延伸至使用互联网技术的工业信息技术领域，具体为一种于工业互联网信息安全评估方法及装置。

随着互联网的日益发展，网络应用已经渗透到了各行各业。当我们享受互联网通讯带来便利的同时，一个问题也应运而生，即互联网信息安全，早期的互联网由于其特殊性，并没有过多的考虑传输数据包的安全性。导致一个稍微理解通讯协议的人员，就可以通过网络通讯协议的一个小漏洞就可以获取、篡改和利用传输数据，而病毒、木马和黑客的猖獗也在不断威胁着我们。作为数字信息化的今天，往往这些企业的核心数据把握着公司的命脉，一旦这些数据被窃取和利用，对公司造成的损失是无法估量的。

经检索，公开号为CN112637193A的中国专利于2021年4月9日公开了基于SDN的工业互联网安全态势感知系统，该系统括流数据提取模块、流数据异常检测模块、态势要素提取模块、态势评估模块、态势评估要素库、网络安全数据采集模块、安全感知处理模块、安全预警模块、第一信息处理模块；提出了基于网络中的网络流进行安全态势感知。

目前，关于从业务本身出发，针对数据产生的主体进行信息安全风险评估，以具体风险等级评定结果来指导数据产生主体的信息安全加固工作的研究甚少。因此，本发明提出针对连接至云平台的工业设备或为工业生产提供信息化服务的服务资源主机进行安全风险评估，对其进行风险评定，以支撑主体属主进行安全决策和相关终端风险加固。

为解决上述现有技术存在的问题，本发明提供一种工业互联网信息安全评估方法和装置，其从业务本身出发，针对数据产生的主体进行信息安全风险评估，以具体风险等级评定结果来指导数据产生主体的信息安全加固工作。

根据本发明说明书的一方面，提供一种工业互联网信息安全评估方法，具体包括：

响应于安全检测申请，输入检测对象；

响应于检测对象生成检测命令；

响应于检测命令进行端口检测和漏洞检测，形成检测结果；

识别检测结果并出具检测报告；

响应于安全评定申请，对检测结果进行风险评级并出具评级报告。

在上述方法中，根据用户要求对工业互联网的进行设备端口检测和漏洞检测，准确掌控工业互联网信息安全状况；并根据检测结果对工业互联网安全进行评级，为工业互联网信息安全加固工作提供有效准确的信息支撑。

具体地，所述检测对象包括连接至云平台的工业设备和/或为工业生产提供信息化服务的服务资源主机。针对工业设备和服务资源主机进行检测使用户能准确掌握设备的信息安全状况。

具体地，所述方法进一步包括：对提交安全检测申请的主体进行网络连通性判断，若网络连通性符合要求，则添加结果目录，若不符合要求，则提示网络不可达。

具体地，所述端口检测采用NAMP扫描和Masscan扫描实现。Masscan扫描技术具有较快的检测速度，先使用Masscan对目标IP进行全端口扫描，然后再使用namp对存活主机的开放端口描，增加了扫描效率和扫描的准确性。

具体地，所述漏洞检测采用Openvas扫描和Skipfish扫描实现。采用Openvas作为主要技术，采用skipfish补充部分web层面的漏洞，提高了漏洞扫描的全面性。

具体地，识别检测结果进一步包括：高危端口拆检、常规端口梳理及私有端口记录。

具体地，对检测结果进行风险评级进一步包括：

判断高危端口数是否大于等于3，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

判断是否存在一票否决制漏洞，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

判断高危漏洞数是否大于等于2，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

判断中危漏洞数是否大于等于2，判定为否，则进行下一步，判定为是，则直接评定为中危评级；

判断漏洞数是否为零，判定为否，则直接评定为良好评级，判定为是，则直接评定为极好评级。

同时基于漏洞检测结果和端口检测结果进行风险评级，提高了风险评级结果的准确性。

根据本发明说明书的一个方面，提供一种工业互联网信息安全评估装置，包括：

输入模块，用于响应于安全检测申请，输入检测对象；

命令生成模块，用于响应于检测对象生成检测命令；

检测模块，用于响应于检测命令进行端口检测和漏洞检测，并形成检测结果；

识别模块，用于识别检测结果并出具检测报告；

评级模块，用于响应于安全评定申请，对检测结果进行风险评级并出具评级报告。

与现有技术相比，本发明的有益效果在于：

本发明提供的一种工业互联网信息安全评估方法基于用户的安全检测申请，针对用户输入的检测对象生成检测命令，通过端口检测和漏洞检测形成检测结果并出具检测报告，根据工业互联网具体情况，针对性的制定评级标准，对检测结果进行风险评级并出具评级报告，实现用户对工业互联网信息安全情况的精准把控。

本发明借助于安全检测技术，用户可以发现网络和主机存在的对外开放的端口和已知的安全漏洞等，从而想方设法对这些薄弱点进行修复以加强网络和主机的安全性。通过一系列的风险评估方式，确定评估对象的安全风险，为进一步加固处置提供相应的技术支撑，为评估对象的整体安全状态结论提供有力佐证，以促使威胁和风险加固达到最优的处置效果。

图1为本发明实施例公开的一种工业互联网信息安全评估装置检测模块流程图；

图2为本发明实施例公开的一种工业互联网信息安全评估装置评级模块接口流程图；

图3为本发明实施例公开的一种工业互联网信息安全评估方法技术架构图；

图4为本发明实施例公开的一种工业互联网信息安全评估方法整体业务架构图；

图5为本发明实施例公开的一种工业互联网信息安全评估方法研发时序架构图。

以下将结合附图对本发明各实施例的技术方案进行清楚、完整的描述，显然，所描述发实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例，都属于本发明所保护的范围。

实施例1

如图1-3所示，本实施例提供一种工业互联网新型安全评估方法，具体包括为：

步骤1：用户提交检测申请，并输入检测对象，本实施例中检测对象包括连接至云平台的工业设备和为工业生产提供信息化服务的服务资源主机；云平台收到包含检测对象的检测申请后测试网络连通性并判断网络连通性是否完好，若判定结果为否，则向用户提示网络不可达，若判定结果为是，则添加结果目录；

步骤2：云平台根据用户提交的检测申请生成检测命令，检测后台开始执行检测命令，利用服务层的nmap或Masscan基于存储层的端口及nse库进行端口扫描，利用服务层的Openvas和skipfish基于存储层的漏洞库和Web漏洞特征进行漏洞扫描，并同时向平台返回等待时间，用户获取等待提示；若检测失败，则重新生成检测命令，重新执行检测，若检测成功，则保存检测结果至云平台，并将检测结果建表存档，同时检测后台释放后台检测文件，用户获取检测结果提示；

步骤3：用户提交查看结果申请，云平台对所述检测结果进行识别，识别内容包括高危端口拆检、常规端口梳理、私有端口记录，然后出具详细的识别报告，并在云平台存档，用户可获取并下载报告；

步骤4：用户提交评定申请，云平台获取到评定申请，判断是否完成完成全部检测，若判定结果为否，则向管理模块的用户反馈检测提醒，若判定结果为是，则获取端口检测结果和漏洞检测结果；

步骤5：在传参层通过Java或Shell构建的判断函数，根据以下规则算法基于端口检测结果和漏洞检测结果进行安全评级：

步骤51：判断高危端口数是否大于等于3，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

步骤52：判断是否存在一票否决制漏洞，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

步骤53：判断高危漏洞数是否大于等于2，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

步骤54：判断中危漏洞数是否大于等于2，判定为否，则进行下一步，判定为是，则直接评定为中危评级；

步骤55：判断漏洞数是否为零，判定为否，则直接评定为良好评级，判定为是，则直接评定为极好评级。

上述评级方法中，同时兼顾了端口风险和漏洞风险，使得评级结果更加准确且全面，有利于用户精准掌握工业互联网信息安全的具体情况，为网络安全的加固工作提供强有力的支撑。

用户块根据评级结果提交查看结果申请，云平台根据关键字识别获取端口漏洞检测结果，经翻译和排版后形成详细报告，报告中包含主机风险的详情和整改措施，报告存档与云平台，用户可以获取并下载报告。

实施例2

本实施例提供一种工业互联网信息安全评估装置，包括输入模块、命令生成模块、检测模块、识别模块和评级模块，所述一种工业互联网信息安全评估装置用于实施实施例1中的一种工业互联网信息安全评估方法，具体为：

输入模块用于中提交检测申请，并输入检测对象，本实施例中检测对象包括连接至云平台的工业设备和为工业生产提供信息化服务的服务资源主机；云平台收到包含检测对象的检测申请后测试网络连通性并判断网络连通性是否完好，若判定结果为否，则向用户提示网络不可达，若判定结果为是，则添加结果目录。

命令生成模块根据用户提交的检测申请生成检测命令，检测后台开始执行检测命令。

检测模块利用服务层的nmap或Masscan基于存储层的端口及nse库进行端口扫描，利用服务层的Openvas和skipfish基于存储层的漏洞库和Web漏洞特征进行漏洞扫描，并同时向平台返回等待时间，用户获取等待提示；若检测失败，则命令生成模块重新生成检测命令，重新执行检测，若检测成功，则保存检测结果至云平台，并将检测结果建表存档，同时检测后台释放后台检测文件，用户获取检测结果提示。

用户通过输入模块提交查看结果申请，识别模块对所述检测结果进行识别，识别内容包括高危端口拆检、常规端口梳理、私有端口记录，然后出具详细的识别报告，并在云平台存档，用户可获取并下载报告。

评级模块在传参层通过Java或Shell构建的判断函数，根据以下规则算法基于端口检测结果和漏洞检测结果进行安全评级，具体包括：

判断高危端口数是否大于等于3，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

判断是否存在一票否决制漏洞，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

判断高危漏洞数是否大于等于2，判定为否，则进行下一步，判定为是，则直接评定为高危评级；

判断中危漏洞数是否大于等于2，判定为否，则进行下一步，判定为是，则直接评定为中危评级；

判断漏洞数是否为零，判定为否，则直接评定为良好评级，判定为是，则直接评定为极好评级；

用户块根据评级结果在输入模块提交查看结果申请，云平台根据关键字识别获取端口漏洞检测结果，经翻译和排版后形成详细报告，报告中包含主机风险的详情和整改措施，报告存档与云平台，用户可以获取并下载报告。

上述实施例阐明的方法和装置，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法和装置的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。在一个典型的配置中，计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案。