工业控制系统配置项信息的收集方法、装置及存储介质与流程

1.本技术属于工业控制系统技术领域，具体涉及一种工业控制系统配置项信息的收集方法、装置及存储介质。


背景技术：

2.随着信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，网络威胁正在由传统it领域向工业控制系统扩散，工业控制系统信息安全问题日益突出，对工业生产运行，乃至国家经济安全造成重大隐患。
3.为了避免工业控制系统遭到非授权意外的访问、篡改、破坏，需要对工业控制系统信息安全防护能力进行评估，通过运用科学的方法和手段，系统地分析和诊断工业控制系统所面临的威胁及其存在的脆弱性，评估企业工业控制系统安全防护水平，并提出有针对性的抵御威胁的防护对策和整改措施，为最大限度地保障信息安全提供科学依据。
4.为了实现对工业控制系统信息安全防护能力进行评估，需要根据工业控制网络、工业主机和工业控制等设备的安全配置建立工业控制系统配置清单，该系统配置清单满足企业工业控制系统安全可靠运行的需要。
5.现有技术中利用防护评估工具对系统配置清单进行审计，然而，现有的防护评估工具存在检查系统配置检查项不全面、速度不快、效率不高、有些配置核查项需要人工核查、花的时间长、容易漏查等情况，这些情形将对工业控制系统的运行造成影响并可能产生安全隐患。
6.因此，有必要提出一种技术方案解决工业控制系统信息安全防护能力评估时，检查系统配置检查项不全面、速度不快、效率不高的问题。


技术实现要素：

7.本技术目的是提供一种技术方案解决现有技术中存在的工业控制系统信息安全防护能力评估时，检查系统配置检查项不全面、速度不快、效率不高的问题。
8.针对以上技术问题，本技术提供一种工业控制系统配置项信息的收集方法，应用于工业控制系统的运维审计，所述工业控制系统包括不同类型的被运维设备，所述方法包括：基于至少两种配置项信息提取方式对每一种类型的被运维设备进行配置项信息收集，得到每种配置项信息提取方式对任一类型的被运维设备中每一配置项信息的信息收集效率；针对任一类型的被运维设备的任一配置项信息，比较每种配置项信息提取方式对所述配置项信息的信息收集效率，选择其中信息收集效率最高的配置项信息提取方式作为该种类型被运维设备的该配置项信息的最优配置项信息提取方式；将任一类型的被运维设备的任一配置项信息的最优配置项信息提取方式保存至
一优化策略库；获取当前被运维设备的类型，根据所述当前被运维设备的类型在所述优化策略库中查询各个配置项信息对应的最优配置项信息提取方式，并以所查询得到的最优配置项信息提取方式对当前被运维设备进行配置项信息收集。
9.进一步的，所述配置项信息提取方式包括wmi、系统api、系统信息查询命令正则表达式匹配。
10.进一步的，采用多线程并发收集所述配置项信息。
11.进一步的，设置配置项信息量阈值，对于每个所述配置项信息，若所述配置项信息包含的信息量大小超出所述配置项信息量阈值，则将所述配置项信息进行分段处理，对于每段配置项信息分别创建线程，所述线程并发收集所述配置项信息的各个分段。
12.进一步的，设置本轮并发收集所述配置项信息的线程数量，按照所述最优配置项信息提取方式，以设置的线程数量并发收集所述被运维设备所有配置项信息，计算收集所有配置项信息的总收集时长，将该总收集时长与预设的被运维设备的收集时间阈值进行比较，当所述总收集时长超出所述收集时间阈值时，优化并发收集所述被运维设备的所有配置项信息的线程数量，将被优化线程数量记录在所述优化策略库中，其中，所述被优化线程数量通过本轮设置的线程数量累加一预设值获得；在下轮收集配置项信息时，获取当前被运维设备的类型，根据当前被运维设备的类型在所述优化策略库中查询收集该类型的被运维设备的被优化线程数量，根据所述被优化线程数量的线程并发收集所述被运维设备的所有配置项信息，计算收集所有配置项信息的总收集时长，将该总收集时长与预设的被运维设备的收集时间阈值进行比较，当所述总收集时长低于所述收集时间阈值时，将所述被优化线程数量作为该类型被运维设备的最佳线程数量，后续收集同类型被运维设备的配置项信息时依照该最佳线程数量进行收集。
13.进一步的，所述配置项信息包括以下信息的一种或多种：系统信息、磁盘、共享目录、启动项、多余服务、密码策略、用户、审核策略、已安装补丁、已安装软件、杀毒软件、进程、活动端口、用户权限分配、安全选项、组策略、防火墙、服务信息、主板、网卡、内存、显卡、cpu、屏幕保护、ddos攻击保护、操作系统日志、远程桌面。
14.本技术还提供一种工业控制系统配置项信息的收集装置，所述收集装置包括：配置项信息提取模块，基于至少两种配置项信息提取方式对每一种类型的被运维设备进行配置项信息收集，得到每种配置项信息提取方式对任一类型的被运维设备中每一配置项信息的信息收集效率；配置项信息提取策略优化模块，针对任一类型的被运维设备的任一配置项信息，比较每种配置项信息提取方式对所述配置项信息的信息收集效率，选择其中信息收集效率最高的配置项信息提取方式作为该种类型被运维设备的该配置项信息的最优配置项信息提取方式；优化策略存储模块，用于保存任一类型的被运维设备的任一配置项信息的最优配置项信息提取方式；获取当前被运维设备的类型，根据所述当前被运维设备的类型在所述优化策略库中查询各个配置项信息对应的最优配置项信息提取方式，并以所查询得到的最优配置项信
息提取方式对当前被运维设备进行配置项信息收集。
15.进一步的，所述收集装置还包括：配置项信息存储模块，以json格式将所述配置项信息导入所述配置项信息存储模块保存。
16.进一步的，所述收集装置还包括：配置项信息展示模块，用于将所述json格式的配置项信息解析成html网页。
17.本技术还提供一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现本技术提供的工业控制系统配置项信息的收集方法。
18.本技术通过使用多种配置项信息提取方式进行配置项信息提取，自动分析各个配置项信息提取方式对不同种类设备的配置项信息提取效率，选择效率最高的配置项信息提取方式，提高了工业控制系统的配置项信息收集效率。
附图说明
19.图1为一种工业控制系统示意图；图2为本技术提供一种工业控制系统配置项信息的收集方法的流程图；图3为利用ukey实现本技术提供的工业控制系统配置项信息的收集方法的流程图；图4为本技术利用ukey实现工业控制系统配置项信息收集的流程图；图5为本技术生成html网页示意图。
具体实施方式
20.以下将结合附图所示的具体实施方式对本技术进行详细描述，但这些实施方式并不限制本技术，本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本技术的保护范围内。
21.本技术提供的工业控制系统配置项信息的收集方法应用于工业控制系统的运维审计场景。如图1所示，工业控制系统包括监控主机以及其它被运维设备。作为一种可选的实现方式，监控主机以及其它被运维设备可以处于第一局域网中，监控主机可以通过第一局域网与其它被运维设备建立网络连接，监控主机用于监控其它被运维设备的运行状况。值得注意的是，监控主机也属于一种被运维设备。被运维设备处于局域网中，在进行运维时，被运维设备严禁连接至该局域网外部的网络。为了保障网络和数据不受来自外部和\或内部用户的入侵和\或破坏，需要实时收集和监控网络环境中每个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。
22.为了解决现有技术中存在的工业控制系统信息安全防护能力评估时，检查系统配置检查项不全面、速度不快、效率不高、有些配置核查项需要人工核查、花的时间长、容易漏查的问题。如图2所示，本技术提供一种工业控制系统配置项信息的收集方法，方法包括：s101、基于至少两种配置项信息提取方式对每一种类型的被运维设备进行配置项信息收集，得到每种配置项信息提取方式对任一类型的被运维设备中每一配置项信息的信息收集效率。
23.s102、针对任一类型的被运维设备的任一配置项信息，比较每种配置项信息提取方式对配置项信息的信息收集效率，选择其中信息收集效率最高的配置项信息提取方式作
为该种类型被运维设备的该配置项信息的最优配置项信息提取方式。将任一类型的被运维设备的任一配置项信息的最优配置项信息提取方式保存至一优化策略库。
24.s103、获取当前被运维设备的类型，根据当前被运维设备的类型在优化策略库中查询各个配置项信息对应的最优配置项信息提取方式，并以所查询得到的最优配置项信息提取方式对当前被运维设备进行配置项信息收集。
25.在对工业控制系统进行运维时，首先需要收集工业控制系统中各个被运维设备的配置项信息。在一个工业控制系统中，存在多个被运维设备，在所有被运维设备中，可以根据被运维设备的种类进行区分。并且，在工业控制系统中，可能存在多个同种类型的被运维设备。从配置项信息收集方式的角度来看，由于被运维设备种类上的差异，针对任一类型的被运维设备的任意一种配置项信息，使用不同的配置项信息收集方式对该种类的被运维设备的任一配置项信息进行收集时，配置项信息的收集效率有所差异。从被运维设备的角度来看，对于一种被运维设备，使用不同的配置项信息收集方式进行配置项信息收集会存在效率上的差异。因此，单一的配置项信息收集方式难以满足种类繁多的被运维设备的配置项信息收集需求。
26.作为一种可选的实现方式，本技术提供的工业系统配置项信息收集方法，通过至少两种配置项信息提取方式收集被运维设备的所有配置项信息，具体的，可以通过第一配置项信息提取方式随机提取工业控制系统中一部分被运维设备的配置项信息，通过第二配置项信息提取方式提取剩余部分的被运维设备的配置项信息。
27.作为一种可选的实现方式，对于配置项信息可以在后台多次进行收集。例如，在第一时间间隔内，通过至少两种配置项信息收集方式收集工业控制系统中所有被运维设备的所有配置项信息，并在第二时间间隔内，再度通过至少两种配置项信息收集方式收集工业控制系统中所有被运维设备的所有配置项信息。每次收集配置项信息时，可以通过第一配置项信息提取方式随机提取工业控制系统中一部分被运维设备的配置项信息，通过第二配置项信息提取方式提取剩余部分的被运维设备的配置项信息。记录使用各个配置项信息提取方式提取任一被运维设备的任一配置项信息的提取效率。
28.作为一种可选的实现方式，可以根据硬件信息识别被运维设备，其中，硬件信息可以包括该运维设备的序列号。检查在后台多次进行配置项信息收集的过程中，针对同种被运维设备，是否存在利用不同配置项信息提取方式进行配置项信息提取的经历，若存在，则比较不同的配置项信息提取方式对该种被运维设备中任一配置项信息的收集效率。选择其中配置项信息收集效率最高的配置项信息提取方式作为该类型的被运维设备中该配置项的最优配置项信息提取方式，将该最优配置项信息提取方式保存至优化策略库。
29.例如，在工业控制系统中存在多台第一类型被运维设备，第一类型被运维设备具有多项需要被收集的配置项信息。在某一时刻采用第一配置项信息提取方式收集第一类型被运维设备的配置项信息，在另一时刻采用第二配置项信息提取方式收集第一类型被运维设备的配置项信息。那么可以比较使用不同配置项信息提取方式收集第一类型被运维设备中任一配置项信息的收集效率。假设，第一类型被运维设备中存在第一配置项信息，若第一配置项信息提取方式收集第一配置项信息的效率高于第二配置项信息提取方式，则将第一配置项信息提取方式作为第一类型被运维设备的第一配置项信息的最优配置项信息提取方式，最优配置项信息提取方式保存至优化策略库。
30.以上过程为本技术优化配置项信息收集效率的学习过程。在后续的配置项信息收集过程中，识别被运维设备，若优化策略中存在关于该种被运维设备各个配置项信息对应的最优配置项信息提取方式，则利用各个配置项对应的最优配置项信息提取方式进行配置项信息收集。
31.通过以上方式，可以针对每种被运维设备，分别采用最优的配置项信息提取方式，由此可以显著提高配置项信息的收集效率。
32.作为一种可选的实现方式，本技术提供的工业控制系统配置项信息的收集方法采用三种配置项信息提取方式，其中，配置项信息提取方式可以包括wmi（windows management instrumentation，windows 管理工具）、系统api（application programming interface，应用程序接口）、系统信息查询命令正则表达式匹配。三种方式都会在收集系统配置项信息时，自动在后台多次收集系统配置项信息，记录三种方式对于不同系统和不同设备的配置项信息收集效率。在进行多次收集配置项信息后，对于同种被运维设备，可能存在使用不同配置项信息收集方法进行配置项信息提取的经历。例如，假设存在第一种类被运维设备，可能存在第一种类被运维设备中，一部份被运维设备曾经使用wmi方式进行配置项信息收集，一部份被运维设备曾经使用系统api方式进行配置项信息收集，可能还存在一部分被运维设备曾经使用系统正则表达式匹配的方式进行收集。对于这些同种类的被运维设备，可以比较使用不同配置项信息提取方式收集该类型被运维设备中任一配置项信息的收集效率，自动选择收集效率最高的方式作为最优配置项信息提取方式。在后续的配置项信息提取工作中，对于该种类的被运维设备的任一配置项信息，自动选择最优配置项信息提取方式。
33.作为一种可选的实现方式，可以通过hashmap形式将配置项信息保存在工业控制系统的监控主机的内存中。通过hashmap形式保存收集的配置项信息，可以实现对配置项信息查询和导出的快速定位。
34.作为一种可选的实现方式，可以采用多线程并发收集配置项信息，具体的，在每个配置项信息收集时，自动分配一个工作线程，多个工作线程并发收集所有配置项信息。采用多线程并发收集配置项信息的方式可以进一步提高配置项信息的收集效率。
35.对于单个配置项信息，可能存在配置项信息的信息量过大导致收集效率低下的问题。作为一种可选的实现方式，可以设置配置项信息量阈值，对于每个配置项信息，若配置项信息包含的信息量大小超出配置项信息量阈值，则将配置项信息进行分段处理，对于每段配置项信息分别创建线程，线程并发收集配置项信息的各个分段。具体的，例如，对于某一配置项信息，存在1000条记录，则可以将该1000条记录分成10段，再针对这10段配置项信息创建10个工作线程，10项工作线程并发收集，以此来提高单个配置项信息的收集效率。
36.作为一种可选的实现方式，设置本轮并发收集配置项信息的线程数量，按照最优配置项信息提取方式，以设置的线程数量并发收集被运维设备所有配置项信息。
37.计算收集所有配置项信息的总收集时长，将该总收集时长与预设的被运维设备的收集时间阈值进行比较，当总收集时长超出收集时间阈值时，优化并发收集被运维设备的所有配置项信息的线程数量，将被优化线程数量记录在优化策略库中，其中，被优化线程数量通过本轮设置的线程数量累加一预设值获得。
38.在下轮收集配置项信息时，获取当前被运维设备的类型，根据当前被运维设备的
类型在优化策略库中查询收集该类型的被运维设备的被优化线程数量，根据被优化线程数量的线程并发收集被运维设备的所有配置项信息，计算收集所有配置项信息的总收集时长，将该总收集时长与预设的被运维设备的收集时间阈值进行比较，当总收集时长低于收集时间阈值时，将被优化线程数量作为该类型被运维设备的最佳线程数量，后续收集同类型被运维设备的配置项信息时依照该最佳线程数量进行收集。若总收集时长超出收集时间阈值时，可以按照以上方法再度增加线程数量，提高配置项信息的收集效率。
39.作为一种可选的实现方式，收集时间阈值可以设定为10秒，累加的预设值可以设定为一。例如，本轮设置的线程数量为10，但最终获得的总收集时长高于预设值10秒，则被优化线程数量在本轮设置的线程数量的基础上加一，即，在下轮中以11个线程并发收集被运维设备的所有配置项信息，若下轮的总收集时长仍然超出收集时间阈值，则在再下轮以12个线程并发收集。通过这个方式，可以有效提高线程的收集效率而不会因线程数量过多而占用过多的系统资源。
40.作为一种可选的实现方式，配置项信息包括以下信息的一种或多种：系统信息、磁盘、共享目录、启动项、多余服务、密码策略、用户、审核策略、已安装补丁、已安装软件、杀毒软件、进程、活动端口、用户权限分配、安全选项、组策略、防火墙、服务信息、主板、网卡、内存、显卡、cpu、屏幕保护、ddos攻击保护、操作系统日志、远程桌面。
41.本技术还提供一种工业控制系统配置项信息的收集装置，应用于工业控制系统的运维审计，其中，工业控制系统包括监控主机，监控主机与其它被运维设备建立网络连接，监控主机用于监控其它被运维设备的运行状况，装置包括：配置项信息提取模块，基于至少两种配置项信息提取方式对每一种类型的被运维设备进行配置项信息收集，得到每种配置项信息提取方式对任一类型的被运维设备中每一配置项信息的信息收集效率。
42.配置项信息提取策略优化模块，针对任一类型的被运维设备的任一配置项信息，比较每种配置项信息提取方式对配置项信息的信息收集效率，选择其中信息收集效率最高的配置项信息提取方式作为该种类型被运维设备的该配置项信息的最优配置项信息提取方式。
43.优化策略存储模块，用于保存任一类型的被运维设备的任一配置项信息的最优配置项信息提取方式。
44.获取当前被运维设备的类型，根据当前被运维设备的类型在优化策略库中查询各个配置项信息对应的最优配置项信息提取方式，并以所查询得到的最优配置项信息提取方式对当前被运维设备进行配置项信息收集。
45.作为一种可选的实现方式，本技术提供的工业控制系统配置项信息的收集装置还包括：配置项信息存储模块，以json格式将配置项信息导入配置项信息存储模块保存。
46.作为一种可选的实现方式，本技术提供的工业控制系统配置项信息的收集装置还包括：配置项信息展示模块，用于将json格式的配置项信息解析成html网页。
47.本技术还提供一种存储介质，存储介质上存储有计算机程序，计算机程序被处理器执行时实现本技术提供的工业控制系统配置项信息的收集方法。
48.作为一种可选的实现方式，存储介质可以为ukey。ukey是一种通过usb（通用串行总线接口）直接与计算机连接，具有密码验证功能的小型存储设备。
49.作为一种可选的实现方式，可以在ukey中存储有计算机程序，计算机程序被处理器执行时实现本技术提供的工业控制系统配置项信息的收集方法。
50.如图3所示，作为一种可选的实现方式，利用ukey实现本技术提供的工业控制系统配置项信息的收集方法包括如下步骤：s201、将ukey与监控主机连接，加载ukey中预装的计算机程序。
51.s202、启动计算机程序，基于至少两种配置项信息提取方式对每一种类型的被运维设备进行配置项信息收集，得到每种配置项信息提取方式对任一类型的被运维设备中每一配置项信息的信息收集效率。
52.s203、针对任一类型的被运维设备的任一配置项信息，比较每种配置项信息提取方式对配置项信息的信息收集效率，选择其中信息收集效率最高的配置项信息提取方式作为该种类型被运维设备的该配置项信息的最优配置项信息提取方式，将任一类型的被运维设备的任一配置项信息的最优配置项信息提取方式保存至一优化策略库。
53.s204、获取当前被运维设备的类型，根据当前被运维设备的类型在优化策略库中查询各个配置项信息对应的最优配置项信息提取方式，并以所查询得到的最优配置项信息提取方式对当前被运维设备进行配置项信息收集。
54.其中，步骤s202包括：采用多线程并发收集所有配置项信息，对于单个配置项信息，可以通过将配置项信息分段并针对各个分段创建线程，多个线程并发的方式实现提高单个配置项信息的收集效率。
55.作为一种可选的实现方式，收集的配置项信息存储在ukey中，因此，进行运维审计时不会在工业控制系统中生成任何数据和文件，确保不对工业控制系统运行造成任何影响。
56.如图4所示，为本技术利用ukey实现工业控制系统配置项信息收集的流程图。其中，启用检查优化策略表示：比较对于同种被运维设备的任一配置项信息使用不同的配置项信息提取方式的配置项信息收集效率，选择其中配置项信息收集效率最高的配置项信息提取方式作为该类型的被运维设备的该配置项信息的最优配置项信息提取方式。自动存储优化策略表示：将该最优配置项信息提取方式保存至优化策略库。
57.作为一种可选的实现方式，可以在ukey的内存中事先定义html格式存储。将收集到的配置项信息依照json格式导入ukey中，并将json格式的配置项信息进行解析，按照html格式将所有收集完成的配置项信息数据动态填入html中，完成后直接使用内存中动态生成的html网页，以网页浏览器形式展现出来。使用这种方式，可以快速方便地提取配置项信息收集结果。
58.作为一种可选的实现方式，本技术生成的html网页如图5所示。
59.以上所揭露的仅为本技术的较佳实施例而已，然其并非用以限定本技术之权利范围，本领域普通技术人员可以理解：在不脱离本技术及所附的权利要求的精神和范围内，改变、修饰、替代、组合、简化，均应为等效的置换方式，仍属于发明所涵盖的范围。