工业信息安全保障体系建设的方法及装置

摘要

本申请提供了一种工业信息安全保障体系建设的方法及装置，该方法包括：确定目标区域，获取目标区域的M个告警事件，并获取M个告警事件对应的M组通信数据，目标区域包含至少一个工控设备；获取每一个工控设备对应的设备类型；根据每一个工控设备的设备类型，确定目标区域中的关键设备及关键设备的重要性的权重；确定M组通信数据的被访问次数；根据M组通信数据的被访问次数、M个告警事件、目标区域中的关键设备的重要性的权重，确定目标区域的风险参数，并判断风险参数是否满足预设条件；当风险参数不满足预设条件时，基于风险参数确定与目标区域相关的信息。该方法能够提高工控设备的监测效率，提高工业生产体系的安全性。

说明书

技术领域

本申请涉及工控网络安全技术领域，并且更具体地，涉及一种工业信息安全保障体系建设的方法及装置。

背景技术

随着互联网技术的不断成熟，科学技术也得到了快速的发展。互联网技术在工控网络安全领域的应用，使工控设备的运行及生产更加智能化。工控设备在生产运行过程中可能会出现一些问题，例如工控设备运行故障、某一个生产环节的参数超过阈值、生产过程中有毒有害气体超标以及工控设备受到病毒(例如木马)的攻击等。在工控设备生产运行过程中，为了及时有效解决上述可能出现的问题，保证生产运行过程不受影响，通常需要及时生成相应的生产事故的告警事件并且反馈至运维人员。进一步，运维人员可以根据接收的告警事件制定相应的应急方案，有效避免工业生产事故的发生。

一种可能的场景中，生产事故的告警事件可以基于采集的工控设备的运行数据，将工控设备的运行数据与其对应的预设条件进行匹配。对于不同的工控设备，运行过程中产生的数据类型可能也有所不同。例如，当工控设备为安全设备(例如防火墙、隔离网闸等)和网络设备(例如路由器、防火墙、虚拟专用网络(Virtual Private Network，VPN))时，可以基于简单网络管理协议(Simple Network Management Protocol，SNMP)方式采集工控数据；当工控设备为工控主机(例如Windows XP，Windows 7，Windows server 2000)时，可以通过安装采集器的形式采集工控数据。不同的数据类型，对应的预设条件也有所差别。当工控设备的运行数据与其对应的预设条件不匹配时，生成对应的告警事件上报至运维人员，从而工控设备对应的运维人员可以根据告警事件及时制定对应的维修策略，保障工业生产运行过程中每一个工控设备的安全，为工业生产提供安全稳定的运行体系。

在上述过程中，生成的告警事件可能只关联直接产生该告警事件的工控设备。而在实际工控网络安全领域，由于不同的工控设备之间通过互联网通信连接，不同的工控设备之间具有关联性，因此与一种告警事件相关的工控设备数量可能不止一个。此外，运维人员在根据告警信息排查工控设备时，可能需要了解多种工控设备的历史数据、运行状况等相关参数，单一的告警事件不足以反馈上述工控设备的历史数据、运行状况等参数。

因此，如何快速有效地将工控设备的生产事故推送至运维人员，提高工控设备的故障排查与故障解决效率，建立安全的工业生产体系和生产环境，成为了亟需解决的问题。

发明内容

本申请提供了一种工业信息安全保障体系建设的方法及装置，该方法能够在获取的目标区域中的告警事件的基础上，进一步计算目标区域中的风险系数，并在风险系数不满足预设条件的情况下，将目标区域相关的信息发送至对应的运维人员，提高了目标区域中的工控设备的监测效率，有效减轻了运维人员的工作量，提高了运维人员的工作效率，进一步通过运维人员高效的排查和维修，实现了工业生产过程中的每一种数据信息的安全运行和传输，完善了工控设备的生产安全体系。

第一方面，提供了一种工业信息安全保障体系建设的方法，其特征在于，该方法包括：从多个区域中确定目标区域，获取该目标区域的M个告警事件，并获取传输该M个告警事件的过程中对应的M组通信数据，该目标区域包含至少一个工控设备，M为大于或等于1的整数；获取每一个工控设备对应的设备类型，该设备类型包括关键设备、核心设备、重要设备、普通设备；根据该每一个工控设备的设备类型，确定该目标区域中的关键设备及该关键设备的重要性的权重；根据该M组通信数据，确定该M组通信数据的被访问次数；根据该M组通信数据的该被访问次数、该M个告警事件、该关键设备的重要性的权重，确定该目标区域的风险参数，并判断该风险参数是否满足预设条件；当该风险参数不满足该预设条件时，基于该风险参数确定与该目标区域相关的信息。

上述技术方案中，在生成单一的告警事件不足以用来判断工控设备的故障信息时，提出了一种工业信息安全保障体系建设的方法，主要是通过获取目标区域的告警事件的前提下，通过获取传输告警事件过程中对应的通信数据，在此基础上，进一步确定目标区域中的关键设备以及关键设备的重要性的权重和通信数据的被访问次数，通过上述几种参数，计算目标区域中的风险参数，并将该风险参数与其对应的预设条件进行比较，在不满足预设条件的情况下，进一步计算与目标区域相关的信息。该过程通过动态计算目标区域的风险参数，并根据风险参数计算目标区域的关联信息，使运维人员能够快速且详细地了解目标区域中的故障信息，同时可以根据故障信息制定更加完善的解决方案，减少了运维人员的工作量，有效提高了目标区域中工控设备的安全监测效率，为维护和完善工业生产的安全体系提供了良好的基础，保障了工业生产过程中的数据信息的安全传输。

结合第一方面，在某些可能的实现方式中，该风险参数包括传播风险参数、安全风险参数和危害风险参数，根据该M组通信数据的该被访问次数、该M个告警事件、该目标区域中的该关键设备的重要性的权重，确定该目标区域的风险参数，包括：将该M组通信数据的该被访问次数、该M个告警事件、该目标区域中的该关键设备的重要性的权重的乘积，确定为该传播风险参数；获取该M个告警事件中的每一个告警事件的危险等级，确定每一个危险等级对应的告警事件占该M个告警事件的占比系数；将该每一个危险等级对应的告警事件占该M个告警事件的占比系数、目标区域的作业风险等级的权重、该传播风险参数的乘积，确定为该安全风险参数；确定该传播风险参数和该安全风险参数之和，将该传播风险参数和该安全风险参数之和、该目标区域的作业风险等级的权重、该M个告警事件的乘积，确定为该危害风险参数。

结合第一方面和上述实现方式，在某些可能的实现方式中，确定每一个危险等级对应的告警事件占该M个告警事件的占比系数，包括：获取该每一个危险等级对应的告警事件和该每一个危险等级的权重；确定该每一个危险等级对应的告警事件占该M个告警事件的比值；将该比值与该每一个危险等级的权重的乘积确定为该每一个危险等级对应的告警事件占该M个告警事件中的占比系数。

结合第一方面和上述实现方式，在某些可能的实现方式中，当该风险参数不满足该预设条件时，基于该风险参数确定与该目标区域相关的信息，包括：当该传播风险参数大于第一阈值时，和/或，当该安全风险参数大于第二阈值时，和/或，当该危害风险参数大于第三阈值时，确定为该风险参数不满足该预设条件；确定该目标区域中的关键设备的运行状况、该每一个告警事件在预设周期内的发生频率和该每一个告警事件在该预设周期内的历史数据。

上述过程中，在风险参数不满足预设条件的情况下，进一步计算目标区域相关联的参数，例如目标区域内关键设备的运行状况、M个告警事件中每一个告警事件的影响、每一个告警事件在某一周期内的发生频率和每一个告警事件在该周期内的历史数据，根据每一个告警事件的影响，可以有效确定每一个告警事件的危害范围，通过分析每一个告警事件对应的历史数据，可以进一步更加确定每一个告警事件对应的数据的浮动和变化趋势，根据每一个告警事件对应的数据的变化趋势，可以分析和确定每一个告警事件的溯源，准确地定位故障位置，提高了确定故障的效率，很大程度上减小了工控设备故障对周围环境的影响。

结合第一方面和上述实现方式，在某些可能的实现方式中，根据该M组通信数据，确定该M组通信数据的该被访问次数，包括：根据该M组通信数据中的每一组通信数据，确定该每一组通信数据对应的五元组信息；基于该每一组通信数据对应的五元组信息，确定该每一组通信数据的该被访问次数；将该每一组通信数据的该被访问次数之和确定为该M组通信数据的该被访问次数。

结合第一方面和上述实现方式，在某些可能的实现方式中，基于该每一组通信数据对应的五元组信息，确定该每一组通信数据的该被访问次数，包括：获取该多个区域中的每一个区域的IP地址；根据该每一个区域的IP地址，确定该每一个区域的IP范围；根据该每一个区域的IP范围和该每一组通信数据对应的五元组信息，确定该每一组通信数据的该被访问次数。

结合第一方面和上述实现方式，在某些可能的实现方式中，该方法还包括：根据该每一个区域的作业特征和作业环境，确定该每一个区域的作业风险等级；基于该每一个区域的作业风险等级，确定该目标区域的作业风险等级及该目标区域的作业风险等级的权重。

综上，本申请实施例在生成单一的告警事件不足以用来判断工控设备的故障信息时，提出了一种工业信息安全保障体系建设的方法，主要是通过获取目标区域的告警事件的前提下，通过获取传输告警事件过程中对应的通信数据，在此基础上，进一步确定目标区域中的关键设备以及关键设备的重要性的权重和通信数据的被访问次数，通过上述几种参数，计算目标区域中的风险参数，并将该风险参数与其对应的预设条件进行比较，在不满足预设条件的情况下，进一步计算与目标区域相关的信息。该过程通过动态计算目标区域的风险参数，并根据风险参数计算目标区域的关联信息，使运维人员能够快速且详细地了解目标区域中的故障信息，同时可以根据故障信息制定更加完善的解决方案，减少了运维人员的工作量，有效提高了目标区域中工控设备的安全监测效率，为维护和完善工业生产的安全体系提供了良好的基础，保障了工业生产过程中的数据信息的安全传输。进一步，在风险参数不满足预设条件的情况下，进一步计算目标区域相关联的参数，例如目标区域内关键设备的运行状况、M个告警事件中每一个告警事件的影响、每一个告警事件在某一周期内的发生频率和每一个告警事件在该周期内的历史数据，根据每一个告警事件的影响，可以有效确定每一个告警事件的危害范围，通过分析每一个告警事件对应的历史数据，可以进一步更加确定每一个告警事件对应的数据的浮动和变化趋势，根据每一个告警事件对应的数据的变化趋势，可以分析和确定每一个告警事件的溯源，准确地定位故障位置，提高了确定故障的效率，很大程度上减小了工控设备故障对周围环境的影响。

第二方面，提供了一种工业信息安全保障体系建设的装置，其特征在于，该装置包括：第一获取模块，用于从多个区域中确定目标区域，获取该目标区域的M个告警事件，并获取传输该M个告警事件的过程中对应的M组通信数据，该目标区域包含至少一个工控设备，M为大于或等于1的整数；第二获取模块，用于获取每一个工控设备对应的设备类型，该设备类型包括关键设备、核心设备、重要设备、普通设备；第一确定模块，用于根据该每一个工控设备的设备类型，确定该目标区域中的关键设备及该关键设备的重要性的权重；第二确定模块，用于根据该M组通信数据，确定该M组通信数据的被访问次数；处理模块，用于根据该M组通信数据的该被访问次数、该M个告警事件、该关键设备的重要性的权重，确定该目标区域的风险参数，并判断该风险参数是否满足预设条件；第三确定模块，用于当该风险参数不满足该预设条件时，基于该风险参数确定与该目标区域相关的信息。

结合第二方面，在某些可能的实现方式中，该风险参数包括传播风险参数、安全风险参数和危害风险参数，该第一处理模块具体用于：将该M组通信数据的该被访问次数、该M个告警事件、该目标区域中的该关键设备的重要性的权重的乘积，确定为该传播风险参数；获取该M个告警事件中的每一个告警事件的危险等级，确定每一个危险等级对应的告警事件占该M个告警事件的占比系数；将该每一个危险等级对应的告警事件占该M个告警事件的占比系数、目标区域的作业风险等级的权重、该传播风险参数的乘积，确定为该安全风险参数；确定该传播风险参数和该安全风险参数之和，将该传播风险参数和该安全风险参数之和、该目标区域的作业风险等级的权重、该M个告警事件的乘积，确定为该危害风险参数。

结合第二方面和上述实现方式，在某些可能的实现方式中，该第一处理模块还用于：获取该每一个危险等级对应的告警事件和该每一个危险等级的权重；确定该每一个危险等级对应的告警事件占该M个告警事件的比值；将该比值与该每一个危险等级的权重的乘积确定为该每一个危险等级对应的告警事件占该M个告警事件的占比系数。

结合第二方面和上述实现方式，在某些可能的实现方式中，该第三确定模块具体用于：当该传播风险参数大于第一阈值时，和/或，当该安全风险参数大于第二阈值时，和/或，当该危害风险参数大于第三阈值时，确定为该风险参数不满足该预设条件；确定该目标区域中的关键设备的运行状况、该每一个告警事件在预设周期内的发生频率和该每一个告警事件在该预设周期内的历史数据。

结合第二方面和上述实现方式，在某些可能的实现方式中，该第二确定模块具体用于：根据该M组通信数据中的每一组通信数据，确定该每一组通信数据对应的五元组信息；基于该每一组通信数据对应的五元组信息，确定该每一组通信数据的该被访问次数；将该每一组通信数据的该被访问次数之和确定为该M组通信数据的该被访问次数。

结合第二方面和上述实现方式，在某些可能的实现方式中，该第二确定模块还用于：获取该多个区域中的每一个区域的IP地址；根据该每一个区域的IP地址，确定该每一个区域的IP范围；根据该每一个区域的IP范围和该每一组通信数据对应的五元组信息，确定该每一组通信数据的该被访问次数。

结合第二方面和上述实现方式，在某些可能的实现方式中，该装置还包括：第四确定模块，用于根据该每一个区域的作业特征和作业环境，确定该每一个区域的作业风险等级；基于该每一个区域的作业风险等级，确定该目标区域的作业风险等级及该目标区域的作业风险等级的权重。

第三方面，提供一种电子设备，包括存储器和处理器。该存储器用于存储计算机程序，该处理器用于从该存储器中调用并运行该计算机程序，使得该电子设备执行上述第一方面或第一方面任意一种可能的实现方式中的方法。

第四方面，提供了一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行上述第一方面或第一方面任意一种可能实现的方式中的方法。

第五方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行上述第一方面或第一方面任意一种可能实现的方式中的方法。

附图说明

图1是本申请实施例提供的一种工业信息安全保障体系建设的方法的示意性流程图；

图2是本申请实施例提供的一种根据告警事件确定通信数据的场景示意图；

图3是本申请实施例提供的一种工业信息安全保障体系建设的装置的结构示意图；

图4是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行清楚、详尽地描述。其中，在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B：文本中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，另外，在本申请实施例的描述中，“多个”是指两个或多于两个。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为暗示或暗示相对重要性或隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者多个该特征。

图1是本申请实施例提供的一种工业信息安全保障体系建设的方法的示意性流程图。

101，从多个区域中确定目标区域，获取目标区域的M个告警事件，并获取传输M个告警事件的过程中对应的M组通信数据，目标区域包含至少一个工控设备，M为大于或等于1的整数。

应理解，工控设备在生产运行过程中，可以按照作业类型、作业环境或者维修需求，将作业区域分为多个不同的区域，每一个区域中都包括至少一个工控设备。当需要对多个区域中的某一个区域进行监测时，可以将该区域看作“目标区域”，首先需要获取目标区域的告警事件。

具体的，获取目标区域的告警事件的步骤可以概括为：先采集目标区域内，至少一个工控设备中的每一个工控设备当前的数据，进一步根据每一个工控设备当前的数据的具体类型，确定每一个工控设备的当前数据对应的预设条件，判断每一个工控设备当前的数据是否与其对应的预设条件匹配，如果某一个工控设备当前的数据与其对应的预设条件不匹配，那么根据该工控设备的数据类型，生成与该工控设备的数据类型相对应的告警事件。

其中，工控设备的属性可以包括工控主机、网络设备、安全设备、控制设备、传感器等，基于不同属性的工控设备，对应的数据类型以及数据的采集方式也有所不同。

示例性的，对于可编程控制器(Programmable Logic Controller，PLC)、分散控制系统(Distributed Control System，DCS)、远程终端单元(Remote Terminal Unit，RTU))，可以基于推荐标准(Recommendation Standard，RS)485、对象链接与嵌入的过程控制(OLEfor Process Control，OPC)协议、modbus协议采集工控设备的数据；对于传感器类(例如温度传感器、压力传感器、速度传感器、气体传感器)，可以基于现场总线方式采集工控设备的数据。针对上述按照工控设备的属性的差异，将每一种工控设备的数据类型和每一种工控设备的数据采集方式在表1进行了详细的介绍。

表1为不同属性的工控设备对应的数据类型以及数据的采集方式

基于上述不同属性的工控设备对应的采集方式，可以采集目标区域中的至少一个工控设备的数据，采集至少一个工控设备的数据之后，需要先对数据进行预处理，预处理过程具体为：将数据与对应的工控设备关联，准确建立每一种数据与其对应的工控设备的对应关系，并将上述对应关系进行存储，以便于后续的数据处理。同时采集每一种工控设备的数据的过程中，可能出现重复采集数据的操作，若采集的数据中是否存在相同的数据，还需要将重复的数据进行剔除。

进一步，根据至少一组数据中的每一组数据的类型，确定每一组数据对应的预设规则。例如，对于工控主机的运作状态、网络连接、网络服务等数据，可以根据内置规则库，提取出特征元数据，基于特征元数据类型与内置规则进行匹配，通过匹配判断主机是否感染木马病毒、异常行为、网络攻击等告警事件，对于传感器测量的温度、压力、气体等数据通过与预先设定的阈值比较，判断生产现场是否存在有害气体物质浓度超出阈值的告警事件。

通过上述判断比对过程，在目标区域内，可以生成不同类型的告警事件，其中，告警事件的总数为M，M为大于或等于1的整数。

基于M个告警事件，可以确定M个告警事件中传输每一个告警事件过程中的通信数据，其中，告警事件与通信数据之间是一对一的关系，也就是说，根据M个告警事件，可以确定M组通信数据。

102，获取每一个工控设备对应的设备类型，设备类型包括关键设备、核心设备、重要设备、普通设备。

应理解，在一个目标区域中，至少可能包含一个工控设备。并且，在监测之前，每一个工控设备的类型是提前预设好的，也就是说，设备类型在使用该设备之前可能已经根据设备的类型提前进行标识。其中，设备的类型主要可以分为关键设备、核心设备、重要设备、普通设备。

可选地，对于工控设备，可以按照设备对应的作业类型对目标区域可能产生的影响，对工控设备的类型预先分类。

可选地，还可以根据工控设备在发生故障和维修时，对目标区域的生产以及生产作业的成本、安全、质量等方面的影响程度与造成损失的大小，对工控设备的类型进行划分，本申请实施例对工控设备类型的具体划分方式不作具体限定。

103，根据每一个工控设备的设备类型，确定目标区域中的关键设备及关键设备的重要性的权重。

应理解，关键设备一般包括交换机、控制设备、操作站主机等设备，并且一个区域至少包括一个关键设备，因为关键设备对每一个区域的生产起着重要作用，所以一个区域中关键设备是必不可少的。同时，每一种设备类型都会预先设置好一个权重值，用来衡量每一类型的设备的重要性指标。

在102中，已经预先获取了目标区域中每一个工控设备的设备类型，在此基础上，可以进一步确定出目标区域中的关键设备以及关键设备的权重。

104，根据M组通信数据，确定M组通信数据的被访问次数。

在101中，通过M个告警事件获取传输M个告警事件过程中的M组通信数据，进一步，需要确定M组通信数据的被访问次数，以便于动态计算目标区域的风险参数。

具体的，在根据M组通信数据，确定M组通信数据的被访问次数时，可以分为以下步骤：

(1)根据M组通信数据中的每一组通信数据，确定每一组通信数据对应的五元组信息；

(2)基于每一组通信数据对应的五元组信息，确定每一组通信数据的被访问次数；

(3)将每一组通信数据的被访问次数之和确定为M组通信数据的被访问次数。

应理解，数据在设备之间相互通信的过程中，每一组通信数据都对应一组五元组信息，五元组信息包括源IP地址、目的IP地址、源端口、目的端口、传输层协议。

在上述基于每一组通信数据对应的五元组信息，确定每一组通信数据的被访问次数时，可以分为以下步骤：

(1)获取多个区域中的每一个区域的IP地址；

(2)根据每一个区域的IP地址，确定每一个区域的IP范围；

(3)根据每一个区域的IP范围和每一组通信数据对应的五元组信息，确定每一组通信数据的被访问次数。

应理解，工控设备在安全生产的过程中，总的生产区域可能包含多个IP地址，可以根据多个IP地址，预先将总的生产区域划分为多个区域，多个区域中的每一个区域都对应一个唯一的IP地址，同时根据每一个IP地址，可以简单计算得到每一个区域的IP范围。

还应理解，对于每一组通信数据来说，源IP地址一定是属于目标区域的IP范围内的，但是目的IP地址可能会不在目标区域的IP范围内。因此在计算M组通信数据的时候，需要基于每一组通信数据的五元组信息，结合每一个区域的IP范围而不单单只是根据目标区域的IP范围，确定每一组通信数据的被访问次数。进一步，对每一组通信数据的被访问次数求和，即可得到M组通信数据的被访问次数。

当通信数据的源IP地址和目的IP地址在同一个区域的IP范围，即均在目标区域的IP范围时，这种通信可以看作“非跨域通信”，相反，当通信数据的源IP地址和目的IP地址不在同一个区域的IP范围，即通信数据的源IP地址在目标区域的IP范围内，目的IP地址不在目标区域的IP范围，这种通信可以看作“跨域通信”。

应理解，一般需要借助于网络连接进行通信的数据才可能存在跨域通信的情况，对于传感器这类的工控设备，采集的数据都是来源于实体的生产设备的，不存在跨域通信的情况。

还应理解，无论是非跨域通信和跨域通信的通信方式，在计算通信数据的被访问次数过程中，计算方式并无差别。一般来说，每一个区域都存在关键设备，区域内部是可以实现通信的，跨域通信通常是不允许的，因此跨域通信相对于非跨域通信，生成安全告警信息的可能性更高一点。

图2是本申请实施例提供的一种根据告警事件确定通信数据的场景示意图。

示例性的，如图2所示，当前正在监测的目标区域为区域201，其中，区域201的IP地址为：192.168.1.0/24，根据计算得到区域201的IP范围为：192.168.1.1-192.168.1.254，区域201中包括一台温度传感器202、路由器203和工控主机204，温度传感器202与区域201中的生产设备相连接，用于采集生产设备的温度数据(例如加热炉的加热温度)，假设加热炉在加热时温度区间为700℃-900℃范围，可以根据温度区间，预先设置目标温度(即温度阈值)为900℃。在加热炉工作过程中，实时或者定时接收温度传感器202的温度数值并与其对应的预设条件(即温度阈值)进行比较。当某一时刻，接收到温度传感器202的数值为950℃，通过与温度传感器202的温度阈值比较，结果表明已经超出温度阈值，此时可以生成温度过高的告警事件，将该告警事件看作“告警事件1”。此外，还可以接收工控主机204上报的生产运行状态、用户操作行为、网络连接、网络服务等数据信息以及路由器203的内存、吞吐量等数据信息，通过预先设置与工控主机204相关的预设条件以及与路由器203相关的预设条件(例如内存阈值)当接收来自工控主机204的数据信息时，将该数据信息与对应的预设条件进行比较，具体是基于上报的生产运行状态、网络连接、用户操作行为、网络服务等数据信息，提取出特征元数据，基于特征元数据与预设条件进行匹配。同样，还可以来自路由器203的数据信息，与预设条件进行比较。当某一时刻，根据工控主机204的数据与对应的预设条件比较，判断工控主机204感染木马病毒，此时可以生成与该判断结果相对应的工控主机204受到病毒攻击的告警事件，将该告警事件看作“告警事件2”。

根据告警事件1，可以确定传输告警事件1的一组通信数据，定义为“通信数据A”。根据之前的描述可以得知，通信数据A对应的通信方式一定为非跨域访问，此处不再详细说明。根据与工控主机204相关的告警事件2，确定出对应的一组通信数据，定义为“通信数据B”。如图2所示，工控主机204与路由器203连接，并且在区域205中，也包含一个路由器206和工控主机207。其中，工控主机204可以通过路由器203和路由器206，与工控主机207相互通信。其中，区域205的IP地址为192.168.2.0/24，根据计算得出区域205的IP范围为：192.168.2.1-192.168.2.254，假设解析通信数据B的五元组信息得到通信数据B的源IP地址为192.168.1.1，目的IP地址为192.168.2.1。由此可见，传输告警事件2的过程中，通信数据B的目的IP地址是被包含于区域205的IP范围内的，因此对于通信数据B而言，源IP地址和目的IP地址所属的区域并不是同一个区域，因此该通信数据B的通信方式为跨域通信，通过确定通信数据A在区域201内的被访问次数、通信数据B在区域201和区域205之间的被访问次数，得到两组通信数据的被访问次数总和。

105，根据M组通信数据的被访问次数、M个告警事件、目标区域中的关键设备的重要性的权重，确定目标区域的风险参数，并判断风险参数是否满足预设条件。

应理解，关键设备相比较于其他类型的设备，在区域的生产运行过程中起着至关重要的作用。因此，可以基于关键设备的重要性的权重，同时结合通信数据的被访问次数、区域告警事件的总数，计算区域的风险参数。其中，区域的风险参数包括三个参数指标，分别为：传播风险参数、安全风险参数和危害风险参数。具体的，在计算传播风险参数、安全风险参数和危害风险参数的过程中，可以分为一下步骤：

(1)将M组通信数据的被访问次数、M个告警事件、目标区域中的关键设备的重要性的权重的乘积，确定为传播风险参数；

(2)获取M个告警事件中的每一个告警事件的危险等级，确定每一个危险等级对应的告警事件占M个告警事件的占比系数；

(3)将每一个危险等级对应的告警事件占M个告警事件的占比系数、目标区域的作业风险等级的权重、传播风险参数的乘积，确定为安全风险参数；

(4)确定传播风险参数和安全风险参数之和，将传播风险参数和安全风险参数之和、目标区域的作业风险等级的权重、M个告警事件的乘积，确定为危害风险参数。

示例性的，如图2所示，假设获取到通信数据A在区域201内的被访问次数为20次，通信数据B在区域201和区域102之间的被访问次数为40次，区域201中的告警事件总数为2个，区域201中的关键设备为工控主机204，其重要性的权重为0.5，那么可以计算得到区域201的传播风险参数＝(通信数据A的被访问次数+通信数据B的被访问次数)*告警事件总数*关键设备的重要性的权重＝60*2*0.5＝60。

基于传播风险参数，可以进一步计算安全风险参数，可以通过公式(1)具体计算安全风险系数：

安全风险系数＝区域的作业风险等级*阈值告警事件占比系数*高高危告警事件占比系数*高危告警事件占比系数*危险告警事件占比系数 公式(1)

对公式(1)的详细解释如下：区域的作业风险等级是根据区域的作业强度、作业难度以及作业环境等因素提前划分的，区域的作业风险等级对区域的安全风险起着重要的作用，区域的作业风险等级可以分为高作业风险等级、中作业风险等级、低作业风险等级。例如，一个区域中的作业类型包含高温、高压、易燃易爆、井下等比较危险的作业过程，那么该区域的作业风险等级为高风险等级作业；一个区域中的作业类型为集中计量、运输等一些风险比较低的作业类型，那么该区域的作业风险等级为低作业风险等级，每一个作业风险等级都对应唯一的权重值。

具体的，获取目标区域的作业风险等级，可以分为以下步骤：

(1)根据每一个区域的作业特征和作业环境，确定每一个区域的作业风险等级；

(2)基于每一个区域的作业风险等级，确定目标区域的作业风险等级及目标区域的作业风险等级的权重。

应理解，阈值告警事件对应的告警数据类型为数值，此类告警事件的判断过程比较简单，只需要与预设的阈值进行比较即可，因此可以将告警事件分为阈值告警事件和其他告警事件。在阈值告警事件中，可以根据数据在作业环境中的重要程度以及影响程度，将阈值告警事件对应的划分为：阈值高高危告警事件、阈值高危告警事件、阈值危险告警事件；其他类型的告警事件也同样可以根据影响程度及重要性，分为高高危告警事件、高危告警事件、危险告警事件。基于上述描述，也就是说，所有的告警事件种类包括：阈值高高危告警事件、阈值高危告警事件、阈值危险告警事件、高高危告警事件、高危告警事件、危险告警事件，对应的，危险等级也总共分为6种。

针对于每一种告警事件，可以计算其在区域内的告警事件总数中的占比系数。公式(1)中，阈值告警事件的占比系数的实际含义是：每一种阈值告警事件的占比系数的乘积。

在本申请实施例中，目标区域对应M个告警事件，每一个告警事件都会对应唯一的危险等级，但是可以理解的是：每一个危险等级对应的告警事件可能不止一个，例如：一个区域内的告警事件总共有5个，分别为告警事件A、告警事件B、告警事件C、告警事件D、告警事件E，其中，告警事件A的危险等级为阈值高高危、告警事件B的危险等级为高危、告警事件C的危险等级为高高危、告警事件D的危险等级为高危、告警事件E的危险等级为危险，可以看出：危险等级为高高危时，对应的告警事件为告警事件C和告警事件D两个。

公式(1)中的各个占比系数即为每一个危险等级对应的告警事件占M个告警事件的占比系数，对于每一个危险等级对应的告警事件占M个告警事件的占比系数，具体的：

(1)获取每一个危险等级对应的告警事件和每一个危险等级的权重；

(2)确定每一个危险等级对应的告警事件占M个告警事件的比值；

(3)将比值与每一个危险等级的权重的乘积确定为每一个危险等级对应的告警事件占M个告警事件的占比系数。

应理解，每一个危险等级也会根据其产生的影响，对应一个权重值，这个权重值也是根据危险等级的划分预先设置好的。针对于以上获取每一个危险等级对应的告警事件在M个告警事件中的占比系数，下面本申请实施例以“阈值告警事件占比系数”这一参数为例，对每一个危险等级对应的告警事件占M个告警事件的占比系数的确定过程进行详细的说明。

示例性的，目标区域对应4个告警事件，通过确定每一个告警事件的危险等级，得到4个告警事件的危险等级为：阈值高高危、高危、危险、阈值高危，其中，阈值高高危在阈值告警事件对应的所有危险等级中的权重为0.6，阈值高危在阈值告警事件对应的所有危险等级中的权重为0.3，阈值高危等级对应的告警事件为1个，阈值高高危等级对应的告警事件为1个，那么基于上述参数，可以计算出：阈值高危等级对应的告警事件占总告警事件的比值为：1/4＝0.25，同理，阈值高高危等级对应的告警事件占总告警事件的比值为：1/4＝0.25。基于上述两个比值和两个阈值危险等级的权重，可以分别得到每一个危险等级对应的告警事件在总告警事件中的占比系数，阈值高高危的告警事件在总告警事件中的占比系数为：阈值高高危等级下的告警事件占总告警事件的比值*阈值高高危的权重＝0.25*0.6＝0.15，同理可以计算：阈值高危等级对应的告警事件占总告警事件的占比系数＝0.25*0.3＝0.075。因此，阈值告警事件占比系数＝阈值高危等级对应的告警事件占总告警事件的占比系数*阈值高高危等级对应的告警事件在总告警事件中的占比系数＝0.15*0.075＝0.01125。

最后，在获得了传播风险参数和安全风险参数的基础上，可以通过公式(2)进一步得到危害风险参数。

危害风险参数＝区域作业风险等级的权重*区域内告警事件总数*(传播风险参数+安全风险参数) 公式(2)

可选地，对于目标区域内其他类型的设备，例如：重要设备、核心设备，也可以计算风险参数，其计算的具体方式与上述过程相似，此处不再重复说明。

106，当风险参数不满足预设条件时，基于风险参数确定与目标区域相关的信息。

在105中，计算出所有的目标区域的风险参数之后，需要进一步将目标区域的风险参数与预设条件进行比较。具体的，在将目标区域的风险参数与预设条件进行比较时，每一种风险参数对应一个阈值，只要其中任意一种风险参数大于其对应的阈值，就可以确定风险参数不满足预设条件。具体的：

当传播风险参数大于第一阈值时，和/或，当安全风险参数大于第二阈值时，和/或，当危害风险参数大于第三阈值时，确定为风险参数不满足预设条件；

确定目标区域中的关键设备的运行状况、每一个告警事件在预设周期内的发生频率和每一个告警事件在预设周期内的历史数据。

当判断风险参数不满足预设条件时，需要计算目标区域的关联范围内所有事件的影响，即确定目标区域中关键设备的运行状况、每一个告警事件在某一时间段内的历史数据、每一个告警事件在某一时间段内的发生频率。

示例性的，当风险参数不满足预设条件时，可以获取目标区域中关键设备当前的运行状况，以24小时为周期，当前的时间为截止时间，获取24小时范围内每一个告警事件对应的运行数据，分析历史运行数据的上下浮动趋势。此外，还可以统计每一种告警事件24小时内发生的频率，根据该频率的高低和历史数据的上下浮动趋势进一步分析每一种告警事件将来可能发生的概率，根据关键设备当前的运行状况分析预测其可能对相关联的设备的影响。

上述过程中，在风险参数不满足预设条件的情况下，进一步计算目标区域相关联的参数，例如目标区域内关键设备的运行状况、M个告警事件中每一种告警事件在预设时段内的和每一个告警事件在预设时段内的历史数据，根据每一个告警事件的影响，可以有效确定每一个告警事件的危害范围，通过分析每一个告警事件对应的历史数据，可以进一步更加确定每一个告警事件对应的数据的浮动和变化趋势，根据每一个告警事件对应的数据的变化趋势，可以分析和确定每一个告警事件的溯源，准确地定位故障位置，提高了确定故障的效率，很大程度上减小了工控设备故障对周围环境的影响。

进一步地，当确定出与目标区域相关的信息之后，可以进一步转发至目标区域的运维人员。

可选地，可以通过发送邮件的方式将信息发送至运维人员的终端设备，也可以通过短信的形式将信息发送至运维人员的终端设备，其中，终端设备可以为智能手机、平板、可穿戴设备、计算机中的任意一种或多种，本申请实施例对信息的发送方式、终端设备的类型和数量不作具体限定。

运维人员接收到目标区域相关的信息之后，可以根据信息的具体内容，及时确定目标区域的故障排查和维修方案，相较于传统的故障排查和维修过程，更加高效准确，保障了工业生产过程中数据信息的安全运行，完善了工业生产的数据安全体系和工业生产制度，加强了工业生产体系的安全性和稳定性，节约了工业生产的成本。

综上，本申请实施例在生成单一的告警事件不足以用来判断工控设备的故障信息时，提出了一种工业信息安全保障体系建设的方法，主要是通过获取目标区域的告警事件的前提下，通过获取传输告警事件过程中对应的通信数据，在此基础上，进一步确定目标区域中的关键设备以及关键设备的重要性的权重和通信数据的被访问次数，通过上述几种参数，计算目标区域中的风险参数，并将该风险参数与其对应的预设条件进行比较，在不满足预设条件的情况下，进一步计算与目标区域相关的信息。该过程通过动态计算目标区域的风险参数，并根据风险参数计算目标区域的关联信息，使运维人员能够快速且详细地了解目标区域中的故障信息，同时可以根据故障信息制定更加完善的解决方案，减少了运维人员的工作量，有效提高了目标区域中工控设备的安全监测效率，为维护和完善工业生产的安全体系提供了良好的基础，保障了工业生产过程中的数据信息的安全传输。进一步，在风险参数不满足预设条件的情况下，进一步计算目标区域相关联的参数，例如目标区域内关键设备的运行状况、M个告警事件中每一种告警事件在预设周期内的发生频率和每一个告警事件在预设周期内的历史数据，根据每一个告警事件的影响，可以有效确定每一个告警事件的危害范围，通过分析每一个告警事件对应的历史数据，可以进一步更加确定每一个告警事件对应的数据的浮动和变化趋势，根据每一个告警事件对应的数据的变化趋势，可以分析和确定每一个告警事件的溯源，准确地定位故障位置，提高了确定故障的效率，很大程度上减小了工控设备故障对周围环境的影响。

图3是本申请实施例提供的一种工业信息安全保障体系建设的装置的结构示意图。

示例性的，如图3所示，该装置300包括：

第一获取模块301，用于从多个区域中确定目标区域，获取该目标区域的M个告警事件，并获取传输该M个告警事件的过程中对应的M组通信数据，该目标区域包含至少一个工控设备，M为大于或等于1的整数；

第二获取模块302，用于获取每一个工控设备对应的设备类型，该设备类型包括关键设备、核心设备、重要设备、普通设备；

第一确定模块303，用于根据该每一个工控设备的设备类型，确定该目标区域中的关键设备及关键设备的重要性的权重；

第二确定模块304，用于根据该M组通信数据，确定该M组通信数据的被访问次数；

处理模块305，用于根据该M组通信数据的该被访问次数、该M个告警事件、该目标区域中的该关键设备的重要性的权重，确定该目标区域的风险参数，并判断该风险参数是否满足预设条件；

第三确定模块306，用于当该风险参数不满足该预设条件时，基于该风险参数确定与该目标区域相关的信息。

一种可能的实现方式中，该风险参数包括传播风险参数、安全风险参数和危害风险参数，该第一处理模块305具体用于：将该M组通信数据的该被访问次数、该M个告警事件、该目标区域中的该关键设备的重要性的权重的乘积，确定为该传播风险参数；获取M个告警事件中的每一个告警事件的危险等级，确定每一个危险等级对应的告警事件占该M个告警事件的占比系数；将该每一个危险等级对应的告警事件占该M个告警事件的占比系数、目标区域的作业风险等级的权重、该传播风险参数的乘积，确定为该安全风险参数；确定该传播风险参数和该安全风险参数之和，根据该传播风险参数和该安全风险参数之和、该目标区域的作业风险等级的权重、该M个告警事件的乘积，确定为该危害风险参数。

一种可能的实现方式中，该第一处理模块305还用于：获取该每一个危险等级对应的告警事件和该每一个危险等级的权重；确定该每一个危险等级对应的告警事件占该M个告警事件的比值；将该比值与该每一个危险等级的权重的乘积确定为该每一个危险等级对应的告警事件占该M个告警事件的占比系数。

一种可能的实现方式中，该第三确定模块306具体用于：当该传播风险参数大于第一阈值时，和/或，当该安全风险参数大于第二阈值时，和/或，当该危害风险参数大于第三阈值时，确定为该风险参数不满足该预设条件；确定该目标区域中的关键设备的运行状况、该每一个告警事件在预设周期内的发生频率和该每一个告警事件在该预设周期内的历史数据。

一种可能的实现方式中，该第二确定模块304具体用于：根据该M组通信数据中的每一组通信数据，确定该每一组通信数据对应的五元组信息；基于该每一组通信数据对应的五元组信息，确定该每一组通信数据的该被访问次数；将该每一组通信数据的被访问次数之和确定为该M组通信数据的该被访问次数。

一种可能的实现方式中，该第二确定模块304还用于：获取该多个区域中的每一个区域的IP地址；根据该每一个区域的IP地址，确定该每一个区域的IP范围；根据该每一个区域的IP范围和该每一组通信数据对应的五元组信息，确定该每一组通信数据的该被访问次数。

可选地，该装置还包括：第四确定模块，用于根据该每一个区域的作业特征和作业环境，确定该每一个区域的作业风险等级；基于该每一个区域的作业风险等级，确定该目标区域的作业风险等级及该目标区域的作业风险等级的权重。

需要说明的是，本申请实施例提供的第一获取模块、第二获取模块，可能都是同一个获取模块下的多个获取单元。第一确定处理模块、第二确定模块、第三确定模块，可能都是同一个确定模块下的多个确定单元。

图4是本申请实施例提供的一种电子设备的结构示意图。

示例性的，如图4所示，该电子设备400包括：存储器401和处理器402。

一种可能的实现方式中，存储器401用于存储计算机程序4011；处理器402用于从该存储器401中调用并运行该计算机程序4011实现一种工业信息安全保障体系建设的方法，例如图1中的101至106。

本实施例可以根据上述方法示例对电子设备进行功能模块的划分，例如，可以对应各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中，上述集成的模块可以采用硬件的形式实现。需要说明的是，本实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，该电子设备可以包括：第一获取模块、第二获取模块、第一确定模块、第二确定模块、处理模块、第三确定模块等。需要说明的是，上述方法实施例涉及的各个步骤的所有相关内容的可以援引到对应功能模块的功能描述，在此不再赘述。

本实施例提供的电子设备，用于执行上述一种工业信息安全保障体系建设的方法，因此可以达到与上述实现方法相同的效果。

在采用集成的单元的情况下，电子设备可以包括处理模块、存储模块。其中，处理模块可以用于对电子设备的动作进行控制管理。存储模块可以用于支持电子设备执行相互程序代码和数据等。

其中，处理模块可以是处理器或控制器，其可以实现或执行结合本申请公开内容所藐视的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，数字信号处理(digital signal processing，DSP)和微处理器的组合等等，存储模块可以是存储器。

本实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序代码，当该计算机程序代码在计算机上运行时，使得计算机执行上述相关方法步骤实现上述实施例中的一种工业信息安全保障体系建设的方法。

本实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关步骤，以实现上述实施例中的一种工业信息安全保障体系建设的方法。

另外，本申请的实施例还提供一种装置，该装置具体可以是芯片，组件或模块，该装置可包括相连的处理器和存储器；其中，存储器用于存储指令，当装置运行时，处理器可调用并执行指令，以使芯片执行上述实施例中的一种工业信息安全保障体系建设的方法。

其中，本实施例提供的装置、计算机可读存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

以上内容，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。