一种工控网络的漏洞修复方法、装置及存储介质与流程

1.本发明涉及工控系统，尤其涉及一种工控网络的漏洞修复方法、装置及存储介质。


背景技术：

2.针对电力、冶金、石化等重点行业关键场景的工控系统通信协议、设备、操作系统等开展漏洞检测是非常重要的保证工控系统网络安全的行为。
3.安全漏洞会大范围影响工控系统中软硬件的安全性，例如影响系统本身及系统所支撑的软件、网络和服务等，为保证整个工控系统的正常运行，需要对检测到的漏洞修复，降低工控网络的安全风险。因此，如何有效地对检测到的漏洞进行处理，是目前亟需待解决的问题。


技术实现要素：

4.为克服相关技术中存在的问题，本发明提供一种工控网络的漏洞修复方法、装置及存储介质。
5.根据本发明实施例的第一方面，提供一种工控网络的漏洞修复方法，所述方法包括：
6.获取预先检测到的待修复漏洞；
7.确定目标漏洞的漏洞标识以及对应的目标工控设备，所述目标漏洞为所述待修复漏洞中的任意漏洞；
8.根据所述漏洞标识，查询预先配置的补丁库是否存在对应的补丁；
9.在确定所述补丁库存在与所述漏洞标识对应的补丁的情况下，将所述补丁发送至所述目标工控设备，并隔离所述目标工控设备；
10.在确定目标工控设备被隔离的情况下，根据所述补丁对所述目标漏洞进行修复。
11.可选地，所述方法还包括：
12.在确定所述补丁库不存在与所述漏洞标识对应的补丁的情况下，确定所述目标漏洞是否能够通过配置变更进行修复；
13.在确定所述目标漏洞能够通过配置变更进行修复的情况下，生成配置变更请求；
14.在确定所述配置变更请求审核通过的情况下，根据所述配置变更请求更新所述目标工控设备的配置，以对所述目标漏洞进行修复。
15.可选地，所述方法还包括：
16.确定所述配置变更请求对应的配置信息是否为已验证配置；
17.在确定所述配置变更请求对应的配置信息是已验证配置的情况下，确定所述配置变更请求审核通过。
18.可选地，所述方法还包括：
19.在确定所述配置变更请求对应的配置信息非已验证配置的情况下，对所述配置信息进行离线验证；
20.在所述离线验证表征验证通过的情况下，确定所述配置变更请求审核通过。
21.可选地，所述方法还包括：
22.在确定所述目标漏洞不能够通过配置变更进行修复的情况下，确定所述目标漏洞对应的目标软件是否可移除；
23.在确定所述目标软件可移除的情况下，移除所述目标软件；
24.在确定所述目标软件不可移除的情况下，对所述目标工控设备所在的子网络的边界安全文件进行修改，以隔离所述目标工控设备所在的子网络。
25.可选地，所述在确定所述目标软件不可移除的情况下，对所述工控网络的边界安全配置进行修改包括：
26.在确定所述目标软件不可移除的情况下，确定所述目标工控设备是否为关键设备；
27.在所述目标工控设备不为关键设备的情况下，移除所述目标工控设备；
28.在所述目标工控设备为关键设备的情况下，对所述目标工控设备所在的子网络的边界安全文件进行修改。
29.可选地，所述方法包括：
30.根据所述工控网络的网络拓扑结构以及所述工控网络中的各个工控设备的功能，确定所述工控网络中的子网络，并存储各个工控设备与各个子网络之间的对应关系；
31.对各个子网络构建边界防护，所述边界防护包括防火墙和/或网闸；
32.所述对所述目标工控设备所在的子网络的边界安全文件进行修改包括：
33.根据所述各个工控设备与各个子网络之间的对应关系，确定所述目标工控设备所在的子网络，并对所述目标工控设备所在的子网络的边界防护文件进行修改。
34.根据本发明实施例的第二方面，提供一种工控网络的漏洞修复装置，所述装置包括：
35.获取模块，用于获取预先检测到的待修复漏洞；
36.确定模块，用于确定目标漏洞的漏洞标识以及对应的目标工控设备，所述目标漏洞为所述待修复漏洞中的任意漏洞；
37.查询模块，用于根据所述漏洞标识，查询预先配置的补丁库是否存在对应的补丁；
38.隔离模块，用于在确定所述补丁库存在与所述漏洞标识对应的补丁的情况下，将所述补丁发送至所述目标工控设备，并隔离所述目标工控设备；
39.修复模块，用于在确定目标工况设备被隔离的情况下，根据所述补丁对所述目标漏洞进行修复。
40.根据本发明实施例的第三方面，一种工控网络的漏洞修复装置，所述装置包括：
41.处理器；
42.用于存储处理器可执行指令的存储器；
43.其中，所述处理器被配置为：
44.获取预先检测到的待修复漏洞；
45.确定目标漏洞的漏洞标识以及对应的目标工控设备，所述目标漏洞为所述待修复漏洞中的任意漏洞；
46.根据所述漏洞标识，查询预先配置的补丁库是否存在对应的补丁；
47.在确定所述补丁库存在与所述漏洞标识对应的补丁的情况下，将所述补丁发送至所述目标工控设备，并隔离所述目标工控设备；
48.在确定目标工况设备被隔离的情况下，根据所述补丁对所述目标漏洞进行修复。
49.根据本发明实施例的第四方面，一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本发明第一方面中任一项所述方法的步骤。
50.本发明的实施例提供的技术方案可以包括以下有益效果：
51.通过构建补丁库，在工控网络中检测到漏洞时，通过漏洞的漏洞标识检索预先配置的补丁库中是否存在对应的补丁，并在存在补丁时，将补丁发送至存在漏洞的设备，以进行漏洞的修复，有效地保证了漏洞能够及时的被修复，并且在修复之前将存在漏洞的设备进行隔离，有效地保证了漏洞修复的安全性，保障了工控网络的整体的网络安全。
52.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。
附图说明
53.结合附图并参考以下具体实施方式，本发明各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，原件和元素不一定按照比例绘制。在附图中：
54.图1是根据一示例性实施例示出的一种工控网络的漏洞修复方法的流程图。
55.图2是根据一示例性实施例示出的一种工控网络的漏洞修复方法的另一流程图。
56.图3是根据一示例性实施例示出的一种工控网络的漏洞修复装置的框图。
57.图4是根据一示例性实施例示出的另一种工控网络的漏洞修复装置的框图。
58.图5是根据一示例性实施例示出的又一种工控网络的漏洞修复装置的框图。
具体实施方式
59.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
60.需要说明的是，本技术中所有获取信号、信息或数据的动作都是在遵照所在地国家相应的数据保护法规政策的前提下，并获得由相应装置所有者给予授权的情况下进行的。本技术方案所涉及的数据(包括但不限于数据本身、数据的获取或使用)应当遵循相应法律法规及相关规定的要求。
61.应当理解，本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。
62.本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
63.需要注意，本发明中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
64.本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。
65.图1是根据一示例性实施例示出的一种工控网络的漏洞修复方法，其中，工控网络例如可以包括工程师站、设备控制器、操作员站、服务器等工控设备，该方法可以应用于工控网络，具体可以应用于工控网络中的中央控制设备，或者任意设备，本发明对此不作限定。
66.如图1所示，所述方法包括：
67.s101、获取预先检测到的待修复漏洞。
68.其中，本发明对漏洞的检测方式并不限定，待修复漏洞例如可以包括工控漏洞、通用漏洞、框架漏洞、中间件漏洞、cms漏洞、协议漏洞等等。
69.s102、确定目标漏洞的漏洞标识以及对应的目标工控设备，所述目标漏洞为所述待修复漏洞中的任意漏洞。
70.其中，漏洞的漏洞标识例如可以是通过查询漏洞库得到的cve、cwe编号，也可以是根据漏洞的描述信息确定的，本发明对此不作具体限定。
71.示例地，若待修复漏洞中存在一漏洞a，则可以确定该漏洞a的cve编号为cve-2019-2725作为漏洞标识，并确定存在该漏洞a的目标工控设备为工控网络中的工程师站。
72.s103、根据所述漏洞标识，查询预先配置的补丁库是否存在对应的补丁。
73.其中，补丁库可以是通过获取目标服务器发送的补丁信息构建的，例如，监测信息安全公开服务器，在确定该服务器公开新的补丁时，获取该服务器发送的补丁包，并根据对应的漏洞的漏洞标识关联存储于工控网络中的补丁库中，以得到该补丁库。
74.示例地，在监测到目标服务器公开编号为cve-2019-2725的漏洞对应的补丁时，从目标服务器下载该补丁包存储于补丁库中，响应于确定工控网络中的某个设备存在编号为cve-2019-2725的漏洞的情况下，则可以确定补丁库中存在该漏洞对应的补丁。
75.s104、在确定所述补丁库存在与所述漏洞标识对应的补丁的情况下，将所述补丁发送至所述目标工控设备，并隔离所述目标工控设备。
76.具体地，上述隔离所述目标工控设备可以是通过防火墙、工业网闸或者单向隔离设备等方式实现，本发明对此不作具体限定。
77.s105、在确定目标工控设备被隔离的情况下，根据所述补丁对所述目标漏洞进行修复。
78.可以理解的是，上述步骤s101至步骤s105的执行主体可以不是同一个工控设备，例如，步骤s101至步骤s104是工控网络中的中央控制设备执行的，步骤s105是工控网络中的目标工控设备执行的。
79.具体地，可以通过向目标工控设备发送隔离检测信息，并通过检测是否接收到反馈信息确定该目标工控设备是否被隔离的。
80.在本发明实施例中，通过构建补丁库，在工控网络中检测到漏洞时，通过漏洞的漏洞标识检索预先配置的补丁库中是否存在对应的补丁，并在存在补丁时，将补丁发送至存在漏洞的设备，并将该设备隔离后进行漏洞的修复，有效地保证了漏洞能够及时的被修复，
并在修复之前将存在漏洞的设备进行隔离，有效地保证了漏洞修复的安全性，保障了工控网络的整体的网络安全。
81.在一些可选地实施例中，所述方法还包括：
82.在确定所述补丁库不存在与所述漏洞标识对应的补丁的情况下，确定所述目标漏洞是否能够通过配置变更进行修复；在确定所述目标漏洞能够通过配置变更进行修复的情况下，生成配置变更请求；在确定所述配置变更请求审核通过的情况下，根据所述配置变更请求更新所述目标工控设备的配置，以对所述目标漏洞进行修复。
83.其中，配置变更请求可以包括配置清单，即各项配置的具体配置数据，以及配置变更时间，即进行配置变更的时间，在到达该配置变更时间时，才按照配置清单进行配置的变更。进一步，还可以包括变更负责人、变更审批以及变更验证等信息。
84.此外，配置变更可以实现工控网络的安全策略的增减、安全域的重新划分等，包括对目标工控设备的系统的直接调整，例如禁用不适用的服务、或者修改用户权限等，以及对工控网络中其他工控设备的外部配置的调整，例如修改防火墙或ips的策略、通过路由器访问控制列表限制访问等等。示例地，在相关技术中的勒索病毒和挖矿病毒，一般都利用445端口，若检测到存在对应的漏洞，则可以通过修改配置，将445端口封闭，则可以使得病毒无法利用该445端口对存在漏洞的工控设备进行攻击，以保证了工控网络的网络安全。
85.采用上述方案，在工控网络中未存储有对应的补丁是，检测漏洞是否能够通过配置变更进行修复，并在能够通过配置变更进行修复的情况下，生成配置变更请求，并在通过审核后进行配置变更，以避免目标工控设备因存在漏洞而导致工况网络的网络安全受到威胁，并且，通过对配置变更请求进行审核，能够保证配置变更不会对整体网络造成其他的影响，保证了工控系统的正常运行。
86.在又一些可选地实施例中，所述方法还包括：
87.确定所述配置变更请求对应的配置信息是否为已验证配置；在确定所述配置变更请求对应的配置信息是已验证配置的情况下，确定所述配置变更请求审核通过。
88.示例地，在配置变更请求对应的配置信息表征将445端口封闭的情况下，若此前以存在表征相同配置信息的配置变更请求且已经通过审核的情况下，则可以确定将445端口封闭是已验证的配置，该配置不会对造成该工控系统不能正常运行的问题，则无需进行再次的审核即可以通过审核。
89.采用上述方案，通过检测当前的配置变更请求是否为已验证配置，并在确定是已验证配置的情况下，直接通过审核，能够有效的降低工作人员的配置审核过程的工作量，不仅能够降低人力成本，还可以提高漏洞修复的整体效率，提高了工控网络的网络安全保障能力。
90.在另一些可选地实施例中，所述方法还包括：
91.在确定所述配置变更请求对应的配置信息非已验证配置的情况下，对所述配置信息进行离线验证；
92.在所述离线验证表征验证通过的情况下，确定所述配置变更请求审核通过。
93.其中，离线验证可以是在工控网络空闲的情况下，断开与其他网络例如互联网之间的连接，再将配置修改为配置变更请求对应的配置后进行安全性验证以明确配置变更对工业控制系统网络造成的影响，若经过检测该配置不会影响工控网络的正常运行，或对运
行的影响较小，且不存在安全漏洞的情况下，则可以确定该配置信息验证通过。或者，可以另行配置一断开外界网络连接的测试设备，在该测试设备上进行配置变更请求对应的配置变更，并进行安全检测，进而实现离线验证，以确保配置变更后的工控网络不会存在安全漏洞。
94.采用上述方案，在配置变更请求对应的配置信息在之前并未验证过的情况下，对该配置进行离线验证，不仅可以保证变更后的配置不存在安全风险，还能够确保验证的过程中不会因为配置存在安全漏洞，而对工控系统造成影响，保证了配置验证过程的安全性。
95.在一些实施例中，所述方法还包括：
96.在确定所述目标漏洞不能够通过配置变更进行修复的情况下，确定所述目标漏洞对应的目标软件是否可移除；在确定所述目标软件可移除的情况下，移除所述目标软件；在确定所述目标软件不可移除的情况下，对所述目标工控设备所在的子网络的边界安全文件进行修改，以隔离所述目标工控设备所在的子网络。
97.其中，各个子网络的划分可以是根据工控网络中的各个工控设备的功能进行划分的，例如子网络可以包括生产控制子网络、生产管理子网络、生产监控子网络等等。
98.示例地，若是系统软件存在漏洞，例如存在编号cnnvd-201106-355的linux kernel资源管理错误漏洞，则可以确定该漏洞对应的软件是不可移除的，例如存在编号为cnnvd-202204-1804的microsoft edge安全漏洞，将软件microsoft edge移除后，并不会对整体造成较大的影响，则可以在确定该软件卸载，以避免攻击方通过该软件存在的漏洞入侵该工控网络造成不可预知的后果。
99.此外，边界安全文件可以是防火墙、网闸的配置文件，可以理解的是，工业防火墙的工作原理为通过预先设置的访问控制规则，对工业生产网络中不同信任程度区域间传送的数据流进行筛选过滤，通过修改防火墙或者网闸的配置文件，能够有效地将存在漏洞的子网络与工控网络中的其他子网络进行隔离，避免存在漏洞的子网络收到攻击进而对工控网络中的其他子网络造成影响。
100.采用上述方案，在漏洞不能通过补丁以及修改配置的方式修复的情况下，判断漏洞对应的软件是否可以被移除，若可以移除则直接将存在漏洞的软件移除以避免漏洞被攻击方利用，若不可以移除，则可以将存在该漏洞的子网络的边界安全文件进行修改，以将该子网络与其他子网络进行隔离，进而有效地避免了其他子网络受到影响，降低了漏洞造成的安全风险。
101.在一些可选地实施例中，所述在确定所述目标软件不可移除的情况下，对所述工控网络的边界安全配置进行修改包括：
102.在确定所述目标软件不可移除的情况下，确定所述目标工控设备是否为关键设备；在所述目标工控设备不为关键设备的情况下，移除所述目标工控设备；在所述目标工控设备为关键设备的情况下，对所述目标工控设备所在的子网络的边界安全文件进行修改。
103.其中，是否为关键设备可以是根据管理员的预先标记的，例如，若管理员认为工控系统中的一安全监测设备为关键设备，一个组态服务器为非关键设备。若检测到安全监测设备中的存在系统软件的漏洞，软件无法移除，且该设备为关键设备也无法移除，则可以对安全监测设备所在的子网络的边界安全文件进行修改，以将该子网络与其他子网络进行隔离；若监测到该组态服务器中的存在系统软件的漏洞，软件无法移除，则可以自己将该组态
服务器暂时移出工控网络。
104.采用上述方案，通过对工控网络中的工控设备进行关键性标注，在确定工控设备为关键设备时，则仅将该工控设备所在的子网络进行隔离，在确定工控设备为非关键设备时，则可以直接将该工控设备移除工控网络，能够最大化地降低漏洞可能造成的影响，提高了工控网络的整体的安全性能。
105.在一些可选地实施例中，所述方法包括：
106.根据所述工控网络的网络拓扑结构以及所述工控网络中的各个工控设备的功能，确定所述工控网络中的子网络，并存储各个工控设备与各个子网络之间的对应关系；对各个子网络构建边界防护，所述边界防护包括防火墙和/或网闸；
107.所述对所述目标工控设备所在的子网络的边界安全文件进行修改包括：
108.根据所述各个工控设备与各个子网络之间的对应关系，确定所述目标工控设备所在的子网络，并对所述目标工控设备所在的子网络的边界防护文件进行修改。
109.其中，网络拓扑结构可以是指由计算机组成的网络之间设备的分布情况以及连接状态，可以是相关工作人员预先配置的。
110.上述根据所述工控网络的网络拓扑结构以及所述工控网络中的各个工控设备的功能，确定所述工控网络中的子网络可以是基于预设算法实现的，也可以是工作人员的操作实现的，本发明对此不作具体限定。
111.具体地，各个子网络的划分可以是根据工控网络中的各个工控设备的功能进行划分的，例如工控网络可以包括依次串联的生产控制子网络、生产监控子网络、生产管理子网络等，其中生产控制子网络可以包括多个生产控制机子网络，各个生产控制子网络分别与生产监控网络连接。
112.示例地，生产控制子网络可以包括仓储管理服务器、历史数据库，生产监控子网络可以包括监控中心，生产控制子网络可以包括工程师站、操作杨站、opc(ole for process control，用于过程控制的ole)服务器等等。构建边界防护可以是在各个子网络之间设置防火墙或者网闸，例如，在生产控制网络与生产监控网络之间设置一防火墙。
113.采用上述方式，根据工控网络的网络拓扑结构以及工控网络中的各个工控设备的功能，设置工控网络中的子网络并存储，并在各个子网络之间设置边界防护，可以在某一个子网络存在漏洞时，通过修改边界防护的配置文件即可快速地对子网络进行隔离，进而避免攻击方通过某一个子网络进而对其他子网络进行攻击，有效地提高了工控网络的整体安全性能。
114.为了使得本领域技术人员更加理解本发明提供的整体技术方案，本发明还提供如图2所示的根据一示例性实施例示出的一种工控系统的漏洞修复方法流程图，如图2所示，所述方法包括：
115.s201、构建补丁库，确定并存储确定所述工控网络中的子网络。
116.其中，补丁库可以是通过获取目标服务器发送的补丁信息构建的，例如，监测信息安全公开服务器，在确定该服务器公开新的补丁时，获取该服务器发送的补丁包，并根据对应的漏洞的漏洞标识关联存储于工控网络中的补丁库中，以得到该补丁库。
117.子网络可以是根据工控网络的网络拓扑结构以及工控网络中的各个工控设备的功能确定的，例如子网络可以包括生产控制子网络、生产管理子网络、生产监控子网络等
等。
118.s202、获取预先检测到的待修复漏洞。
119.s203、确定目标漏洞的漏洞标识以及对应的目标工控设备。
120.可以理解的是，目标漏洞未待修复漏洞中的任意漏洞，可以通过多次执行步骤s203以及其他步骤，以完成所有待修复漏洞的修复。漏洞的漏洞标识例如可以是通过查询漏洞库得到的cve、cwe编号，也可以是根据漏洞的描述信息确定的。
121.s204、根据漏洞标识，查询预先配置的补丁库是否存在对应的补丁。
122.在确定补丁库存在对应的补丁的情况下，执行步骤s205以及步骤s206；在确定补丁库不存在对应的补丁的情况下，执行步骤s207。
123.s205、将补丁发送至所述目标工控设备，并隔离所述目标工控设备。
124.s206、根据补丁对所述目标漏洞进行修复。
125.s207、判断目标漏洞是否能够通过配置变更进行修复。
126.在确定目标漏洞能够通过配置变更进行修复的情况下，执行步骤s208以及步骤s209；在判断目标漏洞不能够通过配置变更进行修复的情况下，执行步骤s211。
127.s208、生成配置变更请求。
128.s209、判断配置变更请求是否审核通过。
129.在确定配置变更请求审核通过的情况下，执行步骤s210。
130.具体地，可以通过确定配置变更请求对应的配置信息是否为已验证配置；在确定所述配置变更请求对应的配置信息是已验证配置的情况下，则可以确定所述配置变更请求审核通过。在确定配置变更请求对应的配置信息非已验证配置的情况下，对所述配置信息进行离线验证；在所述离线验证表征验证通过的情况下，确定配置变更请求审核通过。
131.s210、根据所述配置变更请求更新所述目标工控设备的配置。
132.s211、判断目标漏洞对应的目标软件是否可移除。
133.在确定目标漏洞对应的目标软件可移除的情况下，执行步骤s212；在确定目标漏洞对应的目标软件不可移除的情况下，执行步骤s213。
134.s212、移除目标软件。
135.s213、判断目标工控设备是否为关键设备。
136.在确定目标工控设备为关键设备的情况下，执行步骤s214；在确定目标工控设备不为关键设备的情况下，执行步骤s215。
137.s204、移除目标工控设备。
138.s215、对目标工控设备所在的子网络的边界安全文件进行修改。
139.在上述实施例中的方法的各个步骤的具体实施方式已经在有关该方法的另一实施例中进行了详细描述，此处将不做详细阐述说明。
140.图3是根据一示例性实施例示出的一种工控网络的漏洞修复装置30的框图，如图3所示，所述装置30包括：
141.获取模块31，用于获取预先检测到的待修复漏洞；
142.确定模块32，用于确定目标漏洞的漏洞标识以及对应的目标工控设备，所述目标漏洞为所述待修复漏洞中的任意漏洞；
143.查询模块33，用于根据所述漏洞标识，查询预先配置的补丁库是否存在对应的补
丁；
144.隔离模块34，用于在确定所述补丁库存在与所述漏洞标识对应的补丁的情况下，将所述补丁发送至所述目标工控设备，并隔离所述目标工控设备；
145.修复模块35，用于在确定目标工控设备被隔离的情况下，根据所述补丁对所述目标漏洞进行修复。
146.可选地，所述装置30还用于：
147.在确定所述补丁库不存在与所述漏洞标识对应的补丁的情况下，确定所述目标漏洞是否能够通过配置变更进行修复；
148.在确定所述目标漏洞能够通过配置变更进行修复的情况下，生成配置变更请求；
149.在确定所述配置变更请求审核通过的情况下，根据所述配置变更请求更新所述目标工控设备的配置，以对所述目标漏洞进行修复。
150.可选地，所述装置30还用于：
151.确定所述配置变更请求对应的配置信息是否为已验证配置；
152.在确定所述配置变更请求对应的配置信息是已验证配置的情况下，确定所述配置变更请求审核通过。
153.可选地，所述装置30还用于：
154.在确定所述配置变更请求对应的配置信息非已验证配置的情况下，对所述配置信息进行离线验证；
155.在所述离线验证表征验证通过的情况下，确定所述配置变更请求审核通过。
156.可选地，所述装置30还用于：
157.在确定所述目标漏洞不能够通过配置变更进行修复的情况下，确定所述目标漏洞对应的目标软件是否可移除；
158.在确定所述目标软件可移除的情况下，移除所述目标软件；
159.在确定所述目标软件不可移除的情况下，对所述目标工控设备所在的子网络的边界安全文件进行修改，以隔离所述目标工控设备所在的子网络。
160.可选地，所述装置30还用于：
161.在确定所述目标软件不可移除的情况下，确定所述目标工控设备是否为关键设备；
162.在所述目标工控设备不为关键设备的情况下，移除所述目标工控设备；
163.在所述目标工控设备为关键设备的情况下，对所述目标工控设备所在的子网络的边界安全文件进行修改。
164.可选地，所述装置30还用于：
165.根据所述工控网络的网络拓扑结构以及所述工控网络中的各个工控设备的功能，确定所述工控网络中的子网络，并存储各个工控设备与各个子网络之间的对应关系；
166.对各个子网络构建边界防护，所述边界防护包括防火墙和/或网闸；
167.根据所述各个工控设备与各个子网络之间的对应关系，确定所述目标工控设备所在的子网络，并对所述目标工控设备所在的子网络的边界防护文件进行修改。
168.关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
169.本发明还提供一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本发明提供的工控网络的漏洞修复方法的步骤。
170.图4是根据一示例性实施例示出的一种工控网络的漏洞修复装置400的框图。例如，装置400可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。
171.参照图4，装置400可以包括以下一个或多个组件：处理组件402，存储器404，电力组件406，多媒体组件408，音频组件410，输入/输出(i/o)的接口412，传感器组件414，以及通信组件416。
172.处理组件402通常控制装置400的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件402可以包括一个或多个处理器420来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件402可以包括一个或多个模块，便于处理组件402和其他组件之间的交互。例如，处理组件402可以包括多媒体模块，以方便多媒体组件408和处理组件402之间的交互。
173.存储器404被配置为存储各种类型的数据以支持在装置400的操作。这些数据的示例包括用于在装置400上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器404可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
174.电力组件406为装置400的各种组件提供电力。电力组件406可以包括电源管理系统，一个或多个电源，及其他与为装置400生成、管理和分配电力相关联的组件。
175.多媒体组件408包括在所述装置400和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件408包括一个前置摄像头和/或后置摄像头。当装置400处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
176.音频组件410被配置为输出和/或输入音频信号。例如，音频组件410包括一个麦克风(mic)，当装置400处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器404或经由通信组件416发送。在一些实施例中，音频组件410还包括一个扬声器，用于输出音频信号。
177.i/o接口412为处理组件402和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。
178.传感器组件414包括一个或多个传感器，用于为装置400提供各个方面的状态评估。例如，传感器组件414可以检测到装置400的打开/关闭状态，组件的相对定位，例如所述组件为装置400的显示器和小键盘，传感器组件414还可以检测装置400或装置400一个组件
的位置改变，用户与装置400接触的存在或不存在，装置400方位或加速/减速和装置400的温度变化。传感器组件414可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件414还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件414还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
179.通信组件416被配置为便于装置400和其他设备之间有线或无线方式的通信。装置400可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件416经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件416还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。
180.在示例性实施例中，装置400可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述工控网络的漏洞修复方法。
181.在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器404，上述指令可由装置400的处理器420执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
182.在另一示例性实施例中，还提供一种计算机程序产品，该计算机程序产品包含能够由可编程的装置执行的计算机程序，该计算机程序具有当由该可编程的装置执行时用于执行上述的工控网络的漏洞修复方法的代码部分。
183.图5是根据一示例性实施例示出的一种工控网络的漏洞修复装置500的框图。例如，装置500可以被提供为一服务器。参照图5，装置500包括处理组件522，其进一步包括一个或多个处理器，以及由存储器532所代表的存储器资源，用于存储可由处理组件522的执行的指令，例如应用程序。存储器532中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件522被配置为执行指令，以执行上述工控网络的漏洞修复方法。
184.装置500还可以包括一个电源组件526被配置为执行装置500的电源管理，一个有线或无线网络接口550被配置为将装置500连接到网络，和一个输入输出(i/o)接口558。装置500可以操作基于存储在存储器532的操作系统，例如windows server
tm
，mac os x
tm
，unix
tm
，linux
tm
，freebsd
tm
或类似。
185.以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本发明中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
186.此外，虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利
的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
187.尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。