本申請實施例公開了一種工控網絡安全風險溯源方法、裝置、電子設備及計算機可讀存儲介質，用于在出現安全事件時快速準確地定位出工控網絡中網絡風險位置。該方法包括：獲取工控網絡的網絡通訊數據、工控主機的日志數據以及網絡設備的狀態數據，工控網絡包括工控主機和網絡設備；根據網絡通訊數據、日志數據和狀態數據進行告警處理，得到告警事件信息，告警事件信息包括告警事件、以及告警事件關聯的設備資產；獲取溯源參數，溯源參數包括溯源時間范圍、設備資產以及告警事件的名稱；根據溯源參數，確定與告警事件關聯的目標設備資產、設備隱患被訪問通訊行為列表以及與告警事件關聯的安全事件列表。

技術領域

本申請屬于工控網絡技術領域，尤其涉及一種工控網絡安全風險溯源方法、裝置、電子設備及計算機可讀存儲介質。

背景技術

隨著工業互聯網的不斷普及和深入推進，工控網絡的結構日趨復雜，工控網絡的網絡設備類型日益繁多。工控網絡相對于IT網絡，其涉及網絡設備更多，網絡通訊協議更為復雜。

目前，在網絡安全事件(例如，病毒、外網工具、設備故障或生產異常等)產生時，由于工控網絡復雜結構等特性，難以定位或溯源出網絡風險位置。

發明內容

本申請實施例提供了一種工控網絡安全風險溯源方法、裝置、電子設備及計算機可讀存儲介質，可以快速準確地定位出工控網絡中網絡風險位置。

第一方面，本申請實施例提供了一種工控網絡安全風險溯源方法，包括：

獲取工控網絡的網絡通訊數據、工控主機的日志數據以及網絡設備的狀態數據，工控網絡包括工控主機和網絡設備；

根據網絡通訊數據、日志數據和狀態數據進行告警處理，得到告警事件信息，告警事件信息包括告警事件、以及告警事件關聯的設備資產；

獲取溯源參數，溯源參數包括溯源時間范圍、設備資產以及告警事件的名稱；

根據溯源參數，確定與告警事件關聯的目標設備資產、設備隱患被訪問通訊行為列表以及與告警事件關聯的安全事件列表。

由上可見，本申請實施例根據網絡通訊數據、日志數據和狀態數據進行告警處理，并在出現告警事件時，根據告警事件的相關信息進行溯源，定位出相關聯的設備資產和可能出現的安全事件。

在第一方面的一些可能的實現方式中，根據溯源參數，確定與告警事件關聯的目標設備資產、設備隱患被訪問通訊行為列表以及與告警事件關聯的安全事件列表，包括：

查找設備資產的網絡通訊行為和關聯的目標設備資產；

查找與告警事件的名稱關聯的安全事件，并生成安全事件列表；

根據網絡通訊行為、目標設備資產以及告警事件信息，計算設備資產的安全風險系數和目標設備資產的安全風險系數；

根據安全風險系數和溯源時間范圍，生成設備隱患被訪問通訊行為列表。

在第一方面的一些可能的實現方式中，根據網絡通訊行為、目標設備資產以及告警事件信息，計算設備資產的安全風險系數，包括：

根據告警事件的等級系數、事件發生總數、事件修復難度系數以及事件持續天數，計算設備資產的被扣除安全系數；

根據被扣除安全系數得到設備資產的安全系數；

根據安全系數、設備資產的重要等級、目標設備資產的重要等級、以及設備隱患事件總數，得到設備資產的安全風險系數；

其中，網絡通訊行為包括設備隱患事件總數，告警事件信息包括等級系數、事件發生總數、事件修復難度系數和事件持續天數。

在第一方面的一些可能的實現方式中，獲取工控網絡的網絡通訊數據、工控主機的日志數據以及網絡設備的狀態數據，包括：