技術領域

本發明屬于工業過程控制領域，并涉及信息安全技術，尤其實現了一種多維度的系統安全管理方法。

背景技術

隨著工業控制系統逐漸向多級化、異地化發展，工控系統的安全管理成為工控系統使用中的重點問題。在系統的實際使用中，從人力安排、生產及操作安全等角度出發，工作人員通常按其級別和職責，負責系統中某一特定區域的某部分工作。這些根據系統管理要求、功能屬性及用戶操作需求等劃分的邏輯區域就稱為責任區。同時，根據工種不同，工作人員對系統的關注角度及所需的功能也不盡相同。也就是說，在系統中各級用戶需要的信息和操作不僅按照工種和管理級別分類，同時也是按照區域劃分的。因此，工控系統的安全機制也應根據以上多個角度制定，才能保證系統安全。

但目前，工控系統的安全管理體系一般與信息系統相同，采用權限的方式進行單一角度的安全管理。此類方法用權限表示系統中進行信息獲取與操作的權利，系統運行時為用戶分配權限并進行限制。權限方式僅從系統操作角度管理，未考慮分區操作及監視的要求，缺乏區域、設備整體、用戶工種等方面的安全管理機制設置，造成安全管理及系統監視方面的漏洞。與此同時，權限的控制方式固定并增大了訪問控制顆粒度，向用戶開放了不屬于其職責內的操作許可，導致系統中的實體管理過于碎片化，缺乏整體的安全保證。

發明內容

本發明，針對工業控制系統的上述問題，提供一種多維度的控制系統安全管理方法。

本發明解決如下問題：提供一種工控系統安全管理方法，從系統運行及使用的多個角度出發進行多維安全管理。此方法從系統功能及用戶職責角度對系統進行分區安全管理、依照用戶等級及工種進行操作權限管理、可依照實體功能與系統的關聯關系進行實體控制權管理，使工控系統的安全管理體系擴展到系統的各個層級和部分。使用本方法可多角度限定用戶可訪問區域，自由劃分系統訪問控制顆粒度，提高訪問控制的精確性及準確性，最終達到分區監視、分級操作、隔離信息的目的。

本發明的技術方案如下。

一種多維度的工業控制系統安全管理方法，其特征在于，所述安全管理方法包括以下步驟：

（1）安全策略配置

1.1在所述工業控制系統設置責任區的數據定義，作為系統安全管理的基本單元；

1.2根據責任區的管理范圍和特點定制用戶組，一個責任區中設置多個用戶組；

1.3在工業控制系統中設置實體的數據定義，實體設置所屬責任區屬性，標識實體所屬的責任區，其中，所述實體為工業控制系統中所有設備、上位機以及其它可管理的設備和資源；

（2）運行時安全管理

2.1在所述工業控制系統的服務器上設置安全中心應用模塊，安全中心應用模塊按照責任區標識分類形成配置信息，將所述配置信息發送至與其責任區標識一致的實體；

2.2工業控制系統運行中的操作信息均發送至安全中心應用模塊進行驗證；

2.3安全中心應用模塊負責工業控制系統的信息審計，根據信息審計結果將操作所針對的責任區對相應的管理用戶組開放。

本發明進一步包括以下優選技術方案：

在所述步驟1.1中，所述責任區是指按照工業控制系統的管理要求、功能屬性及用戶操作需求劃分的邏輯區域，用于工業控制系統分區管理，由用戶自行規劃。所述責任區包含標識、名稱、用戶組、等級屬性，其中，標識屬性具有唯一性。

在步驟1.2中，用戶組有標識、權限集屬性，其中權限集是所述工業控制系統中操作權限的集合，標識用戶組內用戶可進行的操作；用戶設置所屬用戶組屬性，標識用戶所在的用戶組。

在步驟1.3中，實體還設置有控制權屬性，其屬性值為責任區標識，控制權用于實體管理和執行關鍵操作，擁有實體控制權的責任區成為該實體的控制權責任區。

在步驟2.2中，首先驗證責任區，提取用戶所屬用戶組的責任區標識與被操作實體的責任區標識進行運算，如屬于同一責任區則繼續判斷權限，反之認為操作非法不予執行；提取操作權限標識與用戶組權限集進行計算，如用戶組擁有權限則此操作進入執行狀態，反之操作終止。

所述安全中心應用模塊所進行的驗證還進一步包括：在操作執行前，檢驗此操作是否為控制權責任區的操作，如是則操作立即執行，反之則等待其他操作執行完畢；

如果操作涉及單個責任區內實體，安全中心應用模塊按照操作信息的責任區標識分類記錄；對于跨責任區的管理信息和其他安全配置信息則記錄所涉及的責任區及操作頻率。