本發(fā)明屬于核電，具體涉及一種面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制系統(tǒng)、方法及裝置。

背景技術(shù)：

1、隨著核安保領(lǐng)域各項(xiàng)技術(shù)的迅速發(fā)展，核電廠所使用的不同廠家、不同型號(hào)的網(wǎng)絡(luò)終端設(shè)備數(shù)量日益增多，進(jìn)而出現(xiàn)了設(shè)備泛ip化的現(xiàn)象。由于網(wǎng)絡(luò)終端設(shè)備是從邊緣端接入，并延伸到整個(gè)實(shí)體保衛(wèi)和管理區(qū)邊界的，而且各網(wǎng)絡(luò)終端設(shè)備均不具備物理防護(hù)，這一點(diǎn)很容易被不法分子利用，從而對(duì)網(wǎng)絡(luò)、實(shí)物保護(hù)系統(tǒng)進(jìn)行攻擊、入侵、破壞，最終導(dǎo)致核安保系統(tǒng)失效。因此在網(wǎng)絡(luò)終端設(shè)備接入核安保領(lǐng)域內(nèi)的網(wǎng)絡(luò)時(shí)，需要進(jìn)行安全準(zhǔn)入，以保障安保系統(tǒng)的安全性。

2、目前，核安保系統(tǒng)所使用傳統(tǒng)防火墻的方法無(wú)法適應(yīng)分布式網(wǎng)絡(luò)架構(gòu)，也存在網(wǎng)絡(luò)終端設(shè)備接入數(shù)量受限制、處理速度較慢等問(wèn)題，因此亟需有效的核設(shè)施安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制。

技術(shù)實(shí)現(xiàn)思路

1、為克服相關(guān)技術(shù)中存在的問(wèn)題，提供了一種面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制系統(tǒng)、方法及裝置。

2、根據(jù)本公開實(shí)施例的一方面，提供一種面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制系統(tǒng)，所述系統(tǒng)包括：邊緣控制器和核安保網(wǎng)絡(luò)；

3、所述邊緣控制器提供物理接口用于實(shí)現(xiàn)預(yù)接入設(shè)備及核安保網(wǎng)絡(luò)的物理連接，所述邊緣控制器包括：設(shè)備白名單預(yù)設(shè)模塊、行為安全基線模塊、設(shè)備識(shí)別模塊、設(shè)備比對(duì)模塊、行為分析模塊、行為比對(duì)模塊；

4、所述設(shè)備白名單預(yù)設(shè)模塊，用于獲取已知能夠安全接入核安保網(wǎng)絡(luò)的安全設(shè)備的數(shù)據(jù)，形成設(shè)備白名單；

5、所述行為安全基線模塊，用于獲取已知安全設(shè)備所執(zhí)行的安全行為，形成行為安全基線；

6、所述設(shè)備識(shí)別模塊，用于根據(jù)向邊緣控制器提交鑒權(quán)的預(yù)接入設(shè)備的信息上報(bào)、設(shè)備數(shù)據(jù)特征進(jìn)行設(shè)備識(shí)別，若能夠識(shí)別得到設(shè)備信息，則將識(shí)別得到的設(shè)備信息推送至設(shè)備比對(duì)模塊，與設(shè)備白名單進(jìn)行信息比對(duì)，若未能識(shí)別得到設(shè)備信息，則將該預(yù)接入設(shè)備的信息推送至行為分析模塊進(jìn)行行為分析；

7、所述設(shè)備比對(duì)模塊，用于將能夠被識(shí)別的預(yù)接入設(shè)備的設(shè)備信息與設(shè)備白名單內(nèi)的設(shè)備信息進(jìn)行比對(duì)，若該預(yù)接入設(shè)備的設(shè)備信息與設(shè)備白名單相匹配，則準(zhǔn)許該預(yù)接入設(shè)備通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，若該預(yù)接入設(shè)備的設(shè)備信息與設(shè)備白名單不匹配，則將該預(yù)接入設(shè)備的信息推送至行為分析模塊進(jìn)行行為分析；

8、所述行為分析模塊，用于對(duì)接收到的預(yù)接入設(shè)備的行為信息進(jìn)行行為分析，針對(duì)該預(yù)接入設(shè)備在預(yù)設(shè)周期內(nèi)所發(fā)生的行為進(jìn)行分析、拆分、識(shí)別得到行為分析結(jié)果，并將行為分析結(jié)果發(fā)送至行為比對(duì)模塊，行為分析結(jié)果包括多項(xiàng)拆分行為；

9、所述行為比對(duì)模塊，用于將接收到的行為分析結(jié)果，與行為安全基線進(jìn)行比對(duì)，若該行為分析結(jié)果包含的各拆分行為完全通過(guò)行為安全基線檢測(cè)，則準(zhǔn)許該行為分析結(jié)果對(duì)應(yīng)的預(yù)接入設(shè)備通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，若該行為分析結(jié)果包含的一項(xiàng)或多項(xiàng)拆分行為未能通過(guò)行為安全基線檢測(cè)時(shí)，則拒絕該行為分析結(jié)果對(duì)應(yīng)的預(yù)接入設(shè)備接入核安保網(wǎng)絡(luò)。

10、在一種可能的實(shí)現(xiàn)方式中，所述系統(tǒng)還包括：設(shè)備白名單更新模塊；

11、所述設(shè)備白名單更新模塊，用于在預(yù)接入設(shè)備被判定能夠通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，且設(shè)備白名單未包含該預(yù)接入設(shè)備的設(shè)備信息的情況下，將該預(yù)接入設(shè)備的設(shè)備信息添加至設(shè)備白名單中。

12、根據(jù)本公開實(shí)施例的另一方面，提供一種面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制系統(tǒng)，所述系統(tǒng)包括：多個(gè)邊緣控制器、中心服務(wù)器和核安保網(wǎng)絡(luò)；

13、每個(gè)邊緣控制器提供物理接口，用于實(shí)現(xiàn)預(yù)接入設(shè)備及核安保網(wǎng)絡(luò)的物理連接；所述中心服務(wù)器分別與多個(gè)邊緣控制器連接，每個(gè)邊緣控制器包括：第一設(shè)備白名單預(yù)設(shè)模塊、第一設(shè)備識(shí)別模塊、第一設(shè)備比對(duì)模塊、第一設(shè)備白名單更新模塊；所述中心服務(wù)器包括：第二設(shè)備白名單預(yù)設(shè)模塊、第二設(shè)備識(shí)別模塊、第二設(shè)備比對(duì)模塊、行為安全基線模塊、行為分析模塊、行為比對(duì)模塊、第二設(shè)備白名單更新模塊；

14、每個(gè)邊緣控制器的第一設(shè)備白名單預(yù)設(shè)模塊，用于獲取由該邊緣控制器已知安全接入核安保網(wǎng)絡(luò)的安全設(shè)備的數(shù)據(jù)，形成局部設(shè)備白名單；

15、第二設(shè)備白名單預(yù)設(shè)模塊，用于獲取已知能夠安全接入核安保網(wǎng)絡(luò)的安全設(shè)備的數(shù)據(jù)，形成全局設(shè)備白名單；

16、所述行為安全基線模塊，用于獲取已知安全設(shè)備所執(zhí)行的安全行為，形成行為安全基線；

17、每個(gè)邊緣控制器的第一設(shè)備識(shí)別模塊，用于根據(jù)向該邊緣控制器提交鑒權(quán)的預(yù)接入設(shè)備的信息上報(bào)、設(shè)備數(shù)據(jù)特征進(jìn)行設(shè)備識(shí)別，若能夠識(shí)別得到設(shè)備信息，則將識(shí)別得到的設(shè)備信息推送至第一設(shè)備比對(duì)模塊，與局部設(shè)備白名單進(jìn)行信息比對(duì)；若未能識(shí)別得到設(shè)備信息，則將該預(yù)接入設(shè)備的信息推送至所述中心服務(wù)器的設(shè)備識(shí)別模塊進(jìn)行設(shè)備識(shí)別；

18、每個(gè)邊緣控制器的第一設(shè)備比對(duì)模塊，用于將接收到的預(yù)接入設(shè)備的設(shè)備信息與局部設(shè)備白名單進(jìn)行比對(duì)，若該預(yù)接入設(shè)備的設(shè)備信息與局部設(shè)備白名單相匹配，則使該預(yù)接入設(shè)備通過(guò)該邊緣控制器接入核安保網(wǎng)絡(luò)，若該預(yù)接入設(shè)備的設(shè)備信息與局部設(shè)備白名單不匹配，則將該預(yù)接入設(shè)備的信息推送至第二設(shè)備對(duì)比模塊；

19、所述中心服務(wù)器的設(shè)備識(shí)別模塊，用于對(duì)邊緣控制器無(wú)法識(shí)別的預(yù)接入設(shè)備的信息上報(bào)、設(shè)備數(shù)據(jù)特征進(jìn)行設(shè)備識(shí)別，若能夠識(shí)別得到設(shè)備信息，則將識(shí)別得到的設(shè)備信息推送至所述中心服務(wù)器的設(shè)備比對(duì)模塊，與全局設(shè)備白名單進(jìn)行信息比對(duì)；若未能識(shí)別得到設(shè)備信息，則將該預(yù)接入設(shè)備的信息推送至所述行為分析模塊進(jìn)行行為分析；

20、所述第二設(shè)備比對(duì)模塊，用于將能夠被識(shí)別的預(yù)接入設(shè)備的設(shè)備信息與全局設(shè)備白名單內(nèi)的設(shè)備信息進(jìn)行比對(duì)，若該預(yù)接入設(shè)備的設(shè)備信息與全局設(shè)備白名單相匹配，使該預(yù)接入設(shè)備通過(guò)該邊緣控制器接入核安保網(wǎng)絡(luò)，若該預(yù)接入設(shè)備的設(shè)備信息與全局設(shè)備白名單不匹配，則將該預(yù)接入設(shè)備的信息推送至行為分析模塊進(jìn)行行為分析；

21、所述行為分析模塊，用于對(duì)接收到的預(yù)接入設(shè)備的行為信息進(jìn)行行為分析，針對(duì)該預(yù)接入設(shè)備在預(yù)設(shè)周期內(nèi)所發(fā)生的行為進(jìn)行分析、拆分、識(shí)別得到行為分析結(jié)果，并將行為分析結(jié)果發(fā)送至行為比對(duì)模塊，行為分析結(jié)果包括多項(xiàng)拆分行為；

22、所述行為比對(duì)模塊，用于將接收到的行為分析結(jié)果，與行為安全基線進(jìn)行比對(duì)，若該行為分析結(jié)果包含的各拆分行為完全通過(guò)行為安全基線檢測(cè)，使該行為分析結(jié)果對(duì)應(yīng)的預(yù)接入設(shè)備通過(guò)該預(yù)接入設(shè)備提交鑒權(quán)的邊緣控制器接入核安保網(wǎng)絡(luò)，若該行為分析結(jié)果包含的一項(xiàng)或多項(xiàng)拆分行為未能通過(guò)行為安全基線檢測(cè)時(shí)，則拒絕該行為分析結(jié)果對(duì)應(yīng)的預(yù)接入設(shè)備接入核安保網(wǎng)絡(luò)。

23、在一種可能的實(shí)現(xiàn)方式中，所述系統(tǒng)中每個(gè)邊緣控制器還包括第一設(shè)備白名單更新模塊，所述中心服務(wù)器還包括第二設(shè)備白名單更新模塊；

24、第一設(shè)備白名單更新模塊，用于在預(yù)接入設(shè)備被判定能夠通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，且該預(yù)接入設(shè)備申請(qǐng)鑒權(quán)的邊緣控制器的局部設(shè)備白名單未包含該預(yù)接入設(shè)備的設(shè)備信息的情況下，將該預(yù)接入設(shè)備的設(shè)備信息添加至該局部設(shè)備白名單中；

25、第二設(shè)備白名單更新模塊，用于在預(yù)接入設(shè)備被判定能夠通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，且全局設(shè)備白名單未包含該預(yù)接入設(shè)備的設(shè)備信息的情況下，將該預(yù)接入設(shè)備的設(shè)備信息添加至該全局設(shè)備白名單中。

26、根據(jù)本公開實(shí)施例的另一方面，提供一種面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制方法，所述方法基于權(quán)利要求1或2所述的系統(tǒng)實(shí)現(xiàn)，所述方法包括：

27、步驟11，獲取已知能夠安全接入核安保網(wǎng)絡(luò)的安全設(shè)備的數(shù)據(jù)，形成設(shè)備白名單；

28、步驟12，獲取已知安全設(shè)備所執(zhí)行的安全行為，形成行為安全基線；

29、步驟13，根據(jù)預(yù)接入設(shè)備的信息上報(bào)、設(shè)備數(shù)據(jù)特征進(jìn)行設(shè)備識(shí)別，若能夠識(shí)別得到設(shè)備信息，則將識(shí)別得到的設(shè)備信息與設(shè)備白名單進(jìn)行信息比對(duì)，若未能識(shí)別得到設(shè)備信息，則對(duì)該預(yù)接入設(shè)備的行為信息進(jìn)行行為分析；

30、步驟14，將能夠被識(shí)別的預(yù)接入設(shè)備的設(shè)備信息與設(shè)備白名單內(nèi)的設(shè)備信息進(jìn)行比對(duì)，若該預(yù)接入設(shè)備的設(shè)備信息與設(shè)備白名單相匹配，則準(zhǔn)許該預(yù)接入設(shè)備通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，若該預(yù)接入設(shè)備的設(shè)備信息與設(shè)備白名單不匹配，則對(duì)該預(yù)接入設(shè)備的行為信息進(jìn)行行為分析；

31、步驟15，對(duì)接收到的預(yù)接入設(shè)備的行為信息進(jìn)行行為分析，針對(duì)該預(yù)接入設(shè)備在預(yù)設(shè)周期內(nèi)所發(fā)生的行為進(jìn)行分析、拆分、識(shí)別得到行為分析結(jié)果，并將行為分析結(jié)果發(fā)送至行為比對(duì)模塊，行為分析結(jié)果包括多項(xiàng)拆分行為；

32、步驟16，將接收到的行為分析結(jié)果，與行為安全基線進(jìn)行比對(duì)，若該行為分析結(jié)果包含的各拆分行為完全通過(guò)行為安全基線檢測(cè)，則準(zhǔn)許該行為分析結(jié)果對(duì)應(yīng)的預(yù)接入設(shè)備通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，若該行為分析結(jié)果包含的一項(xiàng)或多項(xiàng)拆分行為未能通過(guò)行為安全基線檢測(cè)時(shí)，則拒絕該行為分析結(jié)果對(duì)應(yīng)的預(yù)接入設(shè)備接入核安保網(wǎng)絡(luò)。

33、在一種可能的實(shí)現(xiàn)方式中，所述方法還包括：

34、步驟17，在預(yù)接入設(shè)備被判定能夠通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，且設(shè)備白名單未包含該預(yù)接入設(shè)備的設(shè)備信息的情況下，將該預(yù)接入設(shè)備的設(shè)備信息添加至設(shè)備白名單中。

35、根據(jù)本公開實(shí)施例的另一方面，提供一種面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制方法，所述方法基于權(quán)利要求3或4所述系統(tǒng)中的每個(gè)邊緣控制器實(shí)現(xiàn)，所述方法包括：

36、步驟21，邊緣控制器獲取由該邊緣控制器已知安全接入核安保網(wǎng)絡(luò)的安全設(shè)備的數(shù)據(jù)，形成局部設(shè)備白名單；

37、步驟22，邊緣控制器根據(jù)向該邊緣控制器提交鑒權(quán)的預(yù)接入設(shè)備的信息上報(bào)、設(shè)備數(shù)據(jù)特征進(jìn)行設(shè)備識(shí)別，若能夠識(shí)別得到設(shè)備信息，則將識(shí)別得到的設(shè)備信息與局部設(shè)備白名單進(jìn)行信息比對(duì)；若未能識(shí)別得到設(shè)備信息，則將該預(yù)接入設(shè)備的信息推送至所述中心服務(wù)器進(jìn)行設(shè)備識(shí)別；

38、步驟23，每個(gè)邊緣控制器將接收到的預(yù)接入設(shè)備的設(shè)備信息與局部設(shè)備白名單進(jìn)行比對(duì)，若該預(yù)接入設(shè)備的設(shè)備信息與局部設(shè)備白名單相匹配，則使該預(yù)接入設(shè)備通過(guò)該邊緣控制器接入核安保網(wǎng)絡(luò)，若該預(yù)接入設(shè)備的設(shè)備信息與局部設(shè)備白名單不匹配，則將該預(yù)接入設(shè)備的信息推送至中心服務(wù)器。

39、在一種可能的實(shí)現(xiàn)方式中，所述方法還包括：

40、步驟24，邊緣控制器在預(yù)接入設(shè)備被判定能夠通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，且該預(yù)接入設(shè)備申請(qǐng)鑒權(quán)的邊緣控制器的局部設(shè)備白名單未包含該預(yù)接入設(shè)備的設(shè)備信息的情況下，將該預(yù)接入設(shè)備的設(shè)備信息添加至該局部設(shè)備白名單中。

41、根據(jù)本公開實(shí)施例的另一方面，提供一種面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制方法，所述方法基于權(quán)利要求3或4所述系統(tǒng)中的中心服務(wù)器實(shí)現(xiàn)，所述方法包括：

42、步驟31，中心服務(wù)器獲取已知能夠安全接入核安保網(wǎng)絡(luò)的安全設(shè)備的數(shù)據(jù)，形成全局設(shè)備白名單；

43、步驟32，中心服務(wù)器獲取已知安全設(shè)備所執(zhí)行的安全行為，形成行為安全基線；

44、步驟33，中心服務(wù)器對(duì)邊緣控制器無(wú)法識(shí)別的預(yù)接入設(shè)備的信息上報(bào)、設(shè)備數(shù)據(jù)特征進(jìn)行設(shè)備識(shí)別，若能夠識(shí)別得到設(shè)備信息，則將識(shí)別得到的設(shè)備信息與全局設(shè)備白名單進(jìn)行信息比對(duì)；若未能識(shí)別得到設(shè)備信息，則對(duì)該預(yù)接入設(shè)備的行為信息進(jìn)行行為分析；

45、步驟34，中心服務(wù)器將能夠被識(shí)別的預(yù)接入設(shè)備的設(shè)備信息與全局設(shè)備白名單內(nèi)的設(shè)備信息進(jìn)行比對(duì)，若該預(yù)接入設(shè)備的設(shè)備信息與全局設(shè)備白名單相匹配，則使該預(yù)接入設(shè)備通過(guò)該邊緣控制器接入核安保網(wǎng)絡(luò)，若該預(yù)接入設(shè)備的設(shè)備信息與全局設(shè)備白名單不匹配，則對(duì)該預(yù)接入設(shè)備的信息的行為信息行為分析；

46、步驟35，所述中心服務(wù)器對(duì)無(wú)法與全局設(shè)備白名單的預(yù)接入設(shè)備的行為信息進(jìn)行行為分析，針對(duì)該預(yù)接入設(shè)備在預(yù)設(shè)周期內(nèi)所發(fā)生的行為進(jìn)行分析、拆分、識(shí)別得到行為分析結(jié)果，并將行為分析結(jié)果發(fā)送至行為比對(duì)模塊，行為分析結(jié)果包括多項(xiàng)拆分行為；

47、步驟36，將接收到的行為分析結(jié)果，與行為安全基線進(jìn)行比對(duì)，若該行為分析結(jié)果包含的各拆分行為完全通過(guò)行為安全基線檢測(cè)，使該行為分析結(jié)果對(duì)應(yīng)的預(yù)接入設(shè)備通過(guò)該預(yù)接入設(shè)備提交鑒權(quán)的邊緣控制器接入核安保網(wǎng)絡(luò)，若該行為分析結(jié)果包含的一項(xiàng)或多項(xiàng)拆分行為未能通過(guò)行為安全基線檢測(cè)時(shí)，則拒絕該行為分析結(jié)果對(duì)應(yīng)的預(yù)接入設(shè)備接入核安保網(wǎng)絡(luò)。

48、在一種可能的實(shí)現(xiàn)方式中，所述方法還包括：

49、步驟37，中心服務(wù)器在預(yù)接入設(shè)備被判定能夠通過(guò)邊緣控制器接入核安保網(wǎng)絡(luò)，且全局設(shè)備白名單未包含該預(yù)接入設(shè)備的設(shè)備信息的情況下，將該預(yù)接入設(shè)備的設(shè)備信息添加至該全局設(shè)備白名單中。

50、根據(jù)本公開實(shí)施例的另一方面，提供一種面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制裝置，所述裝置包括：

51、處理器；

52、用于存儲(chǔ)處理器可執(zhí)行指令的存儲(chǔ)器；

53、其中，所述處理器被配置為執(zhí)行上述的方法。

54、根據(jù)本公開實(shí)施例的另一方面，提供一種非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序指令，所述計(jì)算機(jī)程序指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述方法。

55、本公開的有益效果在于：本公開的面向核設(shè)施的安保網(wǎng)絡(luò)終端安全準(zhǔn)入控制方法，面向如核電站等核設(shè)施范圍較廣且設(shè)備部署較分散的場(chǎng)景，通過(guò)對(duì)邊緣控制器進(jìn)行分布式部署的方式，解決傳統(tǒng)使用防火墻方法無(wú)法適應(yīng)分布式網(wǎng)絡(luò)架構(gòu)，存在設(shè)備接入數(shù)量受限制、處理速度較慢等問(wèn)題。針對(duì)邊緣端預(yù)接入設(shè)備品種多，品牌多，數(shù)量多的特點(diǎn)，在邊緣端，將預(yù)接入設(shè)備先經(jīng)過(guò)邊緣控制器的安全準(zhǔn)入檢查通過(guò)后，再準(zhǔn)許其接入核安保網(wǎng)絡(luò)，可以解決在核安保相關(guān)設(shè)備泛ip化現(xiàn)象日益普遍情況下，網(wǎng)絡(luò)終端設(shè)備從邊緣端接入延伸到整個(gè)實(shí)體保衛(wèi)邊界，易被不法分子利用，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行攻擊、入侵、破壞，導(dǎo)致核安保系統(tǒng)失效的問(wèn)題。