一种工控网络的安全性控制方法、系统、设备及存储介质与流程

1.本发明属于工控安全技术领域，涉及一种工控网络的安全性控制方法、系统、设备及存储介质。


背景技术：

2.随着计算机技术在工业环境中的广泛应用，通用计算设备、通用操作系统开始用于工控网络的实现，工控协议也开始基于tcp/ip协议构建，传统的工控网络逐步打破了以往的封闭性和专有性，使得传统互联网系统所面临的威胁蔓延到工控网络环境当中；同时，由于系统兼容性问题，工控网络通常不升级、不打补丁，因此长时间运行的工控网络会积累大量的安全漏洞，这些缺陷使得工控网络在面对网络攻击非常脆弱。


技术实现要素：

3.本发明的目的在于克服上述现有技术的缺点，提供了一种工控网络的安全性控制方法、系统、设备及存储介质，该方法、系统、设备及存储介质能够及时修护工控网络中存在的安全漏洞。
4.为达到上述目的，本发明采用如下技术方案：
5.本发明一方面，本发明提供了一种工控网络的安全性控制方法，包括：
6.1)根据全文索引数据库中保存的数据，设定若干用于工控网络安全性评估的最小检查单元，并为各最小检查单元配置对应的评价函数及自检函数，利用所设定的各最小检查单元构造若干核心检查项目，对各核心检查项目配置对应的统计函数及其评估权重，其中，所述全文索引数据库中保存的数据包括工控网络中设备的属性、漏洞以及对应的漏洞修复方案；
7.2)执行所述最小检查单元，根据各最小检查单元对应的评价函数及自检函数，得到实际的评价分数及环境变量；同时根据最小检查单元记录的历史评价分数以及环境变量，预测本次的评估分数，并判断实际的评价分数与预测得到的本次评价分数之间的误差是否符合由历史误差确定的正态分布条件；当符合，则转至步骤3)，否则，则更新统计函数的评估权重；
8.3)根据各核心检查项目对应的统计函数，得到各核心检查项目对应的统计分数，同时根据各核心检查项目对应的统计分数及其评估权重，计算安全性评分；
9.4)当所述安全性评分低于设定阈值时，则加载相应漏洞对应的漏洞修复方案，以实现工控网络的安全性控制。
10.所述安全性评分越高，则对应核心检查项目的安全性强度越高。
11.还包括：
12.11)利用扫描工具探测设备开放的端口，并预测探测到的端口对应的所有服务；
13.12)遍历端口与服务的映射，识别端口对应的服务；
14.13)迭代识别出端口对应的服务到指纹的映射，以解析出设备属性；
15.14)根据解析出的设备属性，从漏洞专家库中匹配出相应的漏洞，并获取匹配的各漏洞对应的漏洞修复方案；
16.15)获取的设备的属性、漏洞以及对应的漏洞修复方案与地理位置关联，再以文档形式保存于全文索引数据库中。
17.步骤12)的具体操作为：
18.依次运行端口对应的所有可能的服务脚本，直至根据服务脚本的运行结果，识别出端口对应的服务，当所有服务脚本运行完毕后，仍未识别出端口对应的服务时，则以http协议和https协议运行web解析。
19.步骤13)的具体操作为：
20.根据具体协议包的定义构造请求包，并依照协议交互规则，模拟和设备通信的过程，同时收集设备的回复包，并从回复包中获取指纹特征信息，以解析设备属性。
21.所述设备属性包括设备厂商、类型及固件版本。
22.本发明二方面，本发明提供了一种工控网络的安全性控制系统，包括：
23.核查配置模块，用于根据全文索引数据库中保存的数据，设定若干用于工控网络安全性评估的最小检查单元，并为各最小检查单元配置对应的评价函数及自检函数，利用所设定的各最小检查单元构造若干核心检查项目，对各核心检查项目配置对应的统计函数及其评估权重，其中，所述全文索引数据库中保存的数据包括工控网络中设备的属性、漏洞以及对应的漏洞修复方案；
24.核查执行模块，用于执行所述最小检查单元，根据各最小检查单元对应的评价函数及自检函数，得到实际的评价分数及环境变量；同时根据最小检查单元记录的历史评价分数以及环境变量，预测本次的评估分数，并判断实际的评价分数与预测得到的本次评价分数之间的误差是否符合由历史误差确定的正态分布条件；当符合，则执行安全性评估模块，否则，则更新统计函数的评估权重；
25.安全性评估模块，用于根据各核心检查项目对应的统计函数，得到各核心检查项目对应的统计分数，同时根据各核心检查项目对应的统计分数及其评估权重，计算安全性评分；
26.漏洞修复模块，用于当所述安全性评分低于设定阈值时，则加载相应漏洞对应的漏洞修复方案，以实现工控网络的安全性控制。
27.还包括：
28.端口扫描模块，用于利用扫描工具探测设备开放的端口，并预测探测到的端口对应的所有服务；
29.服务识别模块，用于遍历端口与服务的映射，识别端口对应的服务；
30.指纹识别模块，用于迭代识别出端口对应的服务到指纹的映射，以解析出设备属性；
31.漏洞匹配模块，用于根据解析出的设备属性，从漏洞专家库中匹配出相应的漏洞，并获取匹配的各漏洞对应的漏洞修复方案；
32.数据存库模块，用于将获取的设备的属性、漏洞以及对应的漏洞修复方案与地理位置关联，再以文档形式保存于全文索引数据库中。
33.本发明三方面，本发明提供了一种计算机设备，包括存储器、处理器以及存储在所
述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述工控网络的安全性控制方法的步骤。
34.本发明四方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述工控网络的安全性控制方法的步骤。
35.本发明具有以下有益效果：
36.本发明所述的工控网络的安全性控制方法、系统、设备及存储介质在具体操作时，采用线性三层感知机的工作原理，通过设定若干用于工业控制系统安全性评估的最小检查单元，并为每个最小检查单元配置对应的评价函数及自检函数，以及利用所设定的最小检查单元构造成若干核心检查项目，并为各核心检查项目配置对应的统计函数和评估权重，通过执行所有最小检查单元以及对应的核心检查项目，实时评估工控网络中设备的安全性，及时修护工控网络中存在的安全漏洞，操作简单、方便，实时性较好。
附图说明
37.构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
38.图1为本发明的系统结构图；
39.图2为采用线性三层感知机的工作原理图。
具体实施方式
40.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
41.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
42.下面结合附图对本发明做进一步详细描述：
43.实施例一
44.本发明所述的工控网络的安全性控制方法包括：
45.1)利用扫描工具探测设备开放的端口，并预测探测到的端口对应的所有服务；
46.2)遍历端口与服务的映射，识别端口对应的服务；
47.具体的，依次运行端口对应所有可能的服务脚本，直至根据服务脚本的运行结果，识别出端口对应的服务。而且，所述服务识别模块，用于在所有服务脚本运行完毕仍未识别
出端口对应的服务时，以http和https协议去运行web解析。
48.3)迭代识别出端口对应的服务到指纹的映射，以解析出设备属性；
49.具体的，根据具体协议包的定义构造请求包，并依照协议交互规则，模拟和设备通信的过程，同时收集设备的回复包，并从回复包中获取指纹特征信息，以解析设备属性，所述设备属性至少包括设备厂商、类型、固件版本。
50.4)根据解析出的设备属性，从漏洞专家库中匹配出相应的漏洞，并获取匹配的各漏洞对应的漏洞修复方案；
51.5)获取的设备的属性、漏洞以及对应的漏洞修复方案与地理位置关联，再以文档形式保存于全文索引数据库中；
52.6)根据全文索引数据库中保存的数据，设定若干用于工控网络安全性评估的最小检查单元，并为每个最小检查单元配置对应的评价函数及自检函数，利用所设定的最小检查单元构造若干核心检查项目，对各核心检查项目配置对应的统计函数及其评估权重；
53.7)执行所述最小检查单元，根据各最小检查单元对应的评价函数及自检函数，得到实际的评价分数及环境变量；同时根据最小检查单元记录的历史评价分数以及环境变量，预测本次的评估分数，并判断实际的评价分数与预测得到的本次评价分数之间的误差是否符合由历史误差确定的正态分布条件；当符合，则转至步骤8)，否则，则更新统计函数的评估权重；
54.8)根据各核心检查项目对应的统计函数，得到各核心检查项目对应的统计分数；同时根据各核心检查项目对应的统计分数及其评估权重，计算安全性评分，其中，所述安全性评分越高，则对应核心检查项目的安全性强度越高；
55.9)当所述安全性评分低于设定阈值时，则加载相应漏洞对应的漏洞修复方案，以提升对工控网络的安全性。
56.实施例二
57.参考图2，本发明所述的工控网络的安全性控制系统包括：
58.端口扫描模块，用于利用扫描工具探测设备开放的端口，并预测探测到的端口对应的所有服务；
59.服务识别模块，用于遍历端口与服务的映射，识别端口对应的服务；
60.指纹识别模块，用于迭代识别出端口对应的服务到指纹的映射，以解析出设备属性；
61.漏洞匹配模块，用于根据解析出的设备属性，从漏洞专家库中匹配出相应的漏洞，并获取匹配的各漏洞对应的漏洞修复方案；
62.数据存库模块，用于将获取的设备的属性、漏洞以及对应的漏洞修复方案与地理位置关联，再以文档形式保存于全文索引数据库中；
63.核查配置模块，用于根据全文索引数据库中保存的数据，设定若干用于工控网络安全性评估的最小检查单元，并为各最小检查单元配置对应的评价函数及自检函数，利用所设定的各最小检查单元构造若干核心检查项目，对各核心检查项目配置对应的统计函数及其评估权重，其中，所述全文索引数据库中保存的数据包括工控网络中设备的属性、漏洞以及对应的漏洞修复方案；
64.核查执行模块，用于执行所述最小检查单元，根据各最小检查单元对应的评价函
数及自检函数，得到实际的评价分数及环境变量；同时根据最小检查单元记录的历史评价分数以及环境变量，预测本次的评估分数，并判断实际的评价分数与预测得到的本次评价分数之间的误差是否符合由历史误差确定的正态分布条件；当符合，则执行安全性评估模块，否则，则更新统计函数的评估权重；
65.安全性评估模块，用于根据各核心检查项目对应的统计函数，得到各核心检查项目对应的统计分数，同时根据各核心检查项目对应的统计分数及其评估权重，计算安全性评分；
66.漏洞修复模块，用于当所述安全性评分低于设定阈值时，则加载相应漏洞对应的漏洞修复方案，以实现工控网络的安全性控制。
67.需要说明的是，为加快海量设备节点的扫描探测，将工控网络资产识别系统中的各个模块分布式地部署到多个服务器上。但各模块到底分配多少节点，需要参考经典经验值，在综合评定扫描设备的物理性能、网络带宽之后确定。总之，要保证各个模块之间能达到消息生产和消息消费的平衡，避免在某个模块上有长时间的消息堆积。如果有消息堆积，说明扫描系统节点数配置不合理，没有充分流水线带来的性能提升，导致某些模块过度繁忙，而某些模块过分空闲。
68.在本实施例中，端口扫描、服务探测等会产生一定的副作用，为减少网络中的无关流量，尽可能小的影响网络中的设备，可以采用流量监听的方式辅助在控网络资产识别。正常的网络通信，可以tcpdump监听流量包，在数据链路层牵涉的mac信息，在网络层获取ip信息，在传输层获取端口信息，对于传输的信息，可以用来进行工控协议的分析。
69.tcpdump抓包是一种比较简单的被动识别方式，但是许多工控协议，往往会牵涉到多个网络交互过程，也即需要综合多个数据包才能识别一个工控设备，这时就需要专业的流量监控工具的介入，类似ips、ids类的工具(比如suricata)，者类工具可以用编程的方式处理在遇到具体特征时，执行对应的动作。
70.同样的，被动识别出来的工控指纹特征，也需要及时的添加到我们的指纹库中，方便系统能持续的进化自身，能更快更准确地识别工控资产设备。
71.因此，为了减少网络中的流量，尽可能小的影响网络中的设备，可以合理的采用主被结合的扫描方式进行工控资产识别。先用无影响的被动方式监听网络中的流量，判断存活的主机，识别的mac可以作为后续厂商判断的候选依据。如果监听的流量中正好有对应的工控交互包，并能在既有的指纹库中得到匹配，则记录发现的设备。对于剩下还未识别的设备，可以使用主动识别的方式处理。因为主动识别分多个步骤，如果某个步骤已在被动识别阶段取得结果，则主动识别阶段可以跳过此阶段的执行，继续进行后续阶段的处理。
72.在本发明的一个实施例中，最小检查单元是把一个功能模块细分到很多个可以评估分数的最小状态，它具有原子性，独立性。比如在漏洞扫描中，最小评估单元就是对扫描出来的单个漏洞详情进行独立评估。
73.正是考虑到由于简单的线性模型没有反馈机制就会造成误差被放大，而引用过于深入的网络模型对于系统的运算能力和运算时间都有很大的要求；因此，本发明通过为每个最小的检查单元配置一个相应的自检函数，并每通过评价分数，得到一个评价分数作为核心检查项目的输入时，也会产生一个由自检函数得到的环境变量。
74.假设系统运行100次后就会产生100次评价分数和环境变量的记录，系统会在空余
时间算出每个检查单元对应的输入和环境变量之间的线性回归方程，并用误差平方和来表示损失函数，误差的产生有很多种因素的影响，可以看作是这些因素(随机变量)之和共同作用而产生的，那么实际值和预测值之间的误差便服从正态分布。所以，如果发现不符合此分布条件的input，系统会对比它的环境变量进行自检，如果发现系统配置问题则会反馈到系统表现层；如果是参数问题，会根据模拟出的误差大小进行权重的加减自调节，通常而言，误差越大，对应的权重系数减小的程度越大。
75.具体的，判断实际的评价分数与本次预测的评价分数之间的误差是否符合由记录的历史误差确定的正态分布条件的方式包括：
76.获取记录的具有相同所述环境变量的历史误差，并以误差为自变量，构建一个正态分布函数；
77.将实际的评价分数与本次预测的评价分数之间的误差代入所述正态分布函数，计算出相应的概率值，若该概率值小于预设值，则不符合所述正态分布条件。
78.在本实施例中，每个检查单元对应的输入都有会这样一套记忆分析系统，或者定期自循环系统，保证了长时间以来系统运行不会因为一次人为配置或者系统参数误差而造成系统安全性分数抖动的问题，而且从最底层就保证了误差的范围，增加系统评估模型的鲁棒性。
79.此外，由于系统的复杂性和突然性，每一个最小检查单元处于最底层而且每一次误差调节是需要累计一定样本量进行的，所以对于系统调节的及时性有所不足，需要设计可互补的干预配置方案。
80.具体的，每个核心检查项目还配置对应的偏置量，一般设计都是通过w评估权重的结果即y＝x*w，是无人工干预的；而通过加入偏置量b使得最后结果为y＝x*w+b，如此可以有效加入人工决策，使误差进行系统和人工的互补性优化。
81.如图2所示，借鉴采用线性三层感知机的工作原理，通过设定若干个用于工业控制系统安全性评估的最小检查单元，并为每个最小检查单元配置对应的评价函数和自检函数，以及利用所设定的最小检查单元构造成至少两个核心检查项目，并为每个核心检查项目配置对应的统计函数和评估权重；通过执行所有最小检查单元以及对应的核心检查项目，并结合最小检测单元以前记录的数据，来判断误差是否符合正态分布，进而调整统计函数的权重参数。因此，本发明能够避免误差由深向表正向传播时，将误差放大，从而使最终的评估结果尽可能的准确。
82.实施例三
83.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述工控网络的安全性控制方法的步骤，其中，所述存储器可能包含内存，例如高速随机存储器，也可能还包括非易失性存储器，例如，至少一个磁盘存储器等；处理器、网络接口、存储器通过内部总线互相连接，该内部总线可以是工业标准体系结构总线、外设部件互连标准总线、扩展工业标准结构总线等，总线可以分为地址总线、数据总线、控制总线等。存储器用于存放程序，具体地，程序可以包括程序代码、所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。
84.实施例四
85.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述工控网络的安全性控制方法的步骤，具体地，所述计算机可读存储介质包括但不限于例如易失性存储器和/或非易失性存储器。所述易失性存储器可以包括随机存储存储器(ram)和/或高速缓冲存储器(cache)等。所述非易失性存储器可以包括只读存储器(rom)、硬盘、闪存、光盘、磁盘等。
86.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
87.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
88.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
89.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
90.最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

技术特征：
1.一种工控网络的安全性控制方法，其特征在于，包括：1)根据全文索引数据库中保存的数据，设定若干用于工控网络安全性评估的最小检查单元，并为各最小检查单元配置对应的评价函数及自检函数，利用所设定的各最小检查单元构造若干核心检查项目，对各核心检查项目配置对应的统计函数及其评估权重，其中，所述全文索引数据库中保存的数据包括工控网络中设备的属性、漏洞以及对应的漏洞修复方案；2)执行所述最小检查单元，根据各最小检查单元对应的评价函数及自检函数，得到实际的评价分数及环境变量；同时根据最小检查单元记录的历史评价分数以及环境变量，预测本次的评估分数，并判断实际的评价分数与预测得到的本次评价分数之间的误差是否符合由历史误差确定的正态分布条件；当符合，则转至步骤3)，否则，则更新统计函数的评估权重；3)根据各核心检查项目对应的统计函数，得到各核心检查项目对应的统计分数，同时根据各核心检查项目对应的统计分数及其评估权重，计算安全性评分；4)当所述安全性评分低于设定阈值时，则加载相应漏洞对应的漏洞修复方案，以实现工控网络的安全性控制。2.根据权利要求1所述的工控网络的安全性控制方法，其特征在于，所述安全性评分越高，则对应核心检查项目的安全性强度越高。3.根据权利要求1所述的工控网络的安全性控制方法，其特征在于，还包括：11)利用扫描工具探测设备开放的端口，并预测探测到的端口对应的所有服务；12)遍历端口与服务的映射，识别端口对应的服务；13)迭代识别出端口对应的服务到指纹的映射，以解析出设备属性；14)根据解析出的设备属性，从漏洞专家库中匹配出相应的漏洞，并获取匹配的各漏洞对应的漏洞修复方案；15)获取的设备的属性、漏洞以及对应的漏洞修复方案与地理位置关联，再以文档形式保存于全文索引数据库中。4.根据权利要求3所述的工控网络的安全性控制方法，其特征在于，步骤12)的具体操作为：依次运行端口对应的所有可能的服务脚本，直至根据服务脚本的运行结果，识别出端口对应的服务，当所有服务脚本运行完毕后，仍未识别出端口对应的服务时，则以http协议和https协议运行web解析。5.根据权利要求3所述的工控网络的安全性控制方法，其特征在于，步骤13)的具体操作为：根据具体协议包的定义构造请求包，并依照协议交互规则，模拟和设备通信的过程，同时收集设备的回复包，并从回复包中获取指纹特征信息，以解析设备属性。6.根据权利要求5所述的工控网络的安全性控制方法，其特征在于，所述设备属性包括设备厂商、类型及固件版本。7.一种工控网络的安全性控制系统，其特征在于，包括：核查配置模块，用于根据全文索引数据库中保存的数据，设定若干用于工控网络安全性评估的最小检查单元，并为各最小检查单元配置对应的评价函数及自检函数，利用所设
定的各最小检查单元构造若干核心检查项目，对各核心检查项目配置对应的统计函数及其评估权重，其中，所述全文索引数据库中保存的数据包括工控网络中设备的属性、漏洞以及对应的漏洞修复方案；核查执行模块，用于执行所述最小检查单元，根据各最小检查单元对应的评价函数及自检函数，得到实际的评价分数及环境变量；同时根据最小检查单元记录的历史评价分数以及环境变量，预测本次的评估分数，并判断实际的评价分数与预测得到的本次评价分数之间的误差是否符合由历史误差确定的正态分布条件；当符合，则执行安全性评估模块，否则，则更新统计函数的评估权重；安全性评估模块，用于根据各核心检查项目对应的统计函数，得到各核心检查项目对应的统计分数，同时根据各核心检查项目对应的统计分数及其评估权重，计算安全性评分；漏洞修复模块，用于当所述安全性评分低于设定阈值时，则加载相应漏洞对应的漏洞修复方案，以实现工控网络的安全性控制。8.根据权利要求7所述的工控网络的安全性控制系统，其特征在于，还包括：端口扫描模块，用于利用扫描工具探测设备开放的端口，并预测探测到的端口对应的所有服务；服务识别模块，用于遍历端口与服务的映射，识别端口对应的服务；指纹识别模块，用于迭代识别出端口对应的服务到指纹的映射，以解析出设备属性；漏洞匹配模块，用于根据解析出的设备属性，从漏洞专家库中匹配出相应的漏洞，并获取匹配的各漏洞对应的漏洞修复方案；数据存库模块，用于将获取的设备的属性、漏洞以及对应的漏洞修复方案与地理位置关联，再以文档形式保存于全文索引数据库中。9.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-6任一项所述工控网络的安全性控制方法的步骤。10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-6任一项所述工控网络的安全性控制方法的步骤。

技术总结
本发明公开了一种工控网络的安全性控制方法、系统、设备及存储介质，包括：执行所述最小检查单元，根据各最小检查单元对应的评价函数及自检函数，得到实际的评价分数及环境变量；同时根据最小检查单元记录的历史评价分数以及环境变量，预测本次的评估分数，并判断实际的评价分数与预测得到的本次评价分数之间的误差是否符合由历史误差确定的正态分布条件，当符合条件时，则根据各核心检查项目对应的统计函数，得到各核心检查项目对应的统计分数，同时根据各核心检查项目对应的统计分数及其评估权重，计算安全性评分；当所述安全性评分低于设定阈值时，则加载相应漏洞对应的漏洞修复方案，本发明能够及时修护工控网络中存在的安全漏洞。的安全漏洞。的安全漏洞。


技术研发人员：董夏昕 邓楠轶 杨东 王文庆 介银娟 崔鑫 王艺杰 朱召鹏 崔逸群 毕玉冰 刘超飞 朱博迪 李凯 刘鹏举 刘鹏飞 肖力炀 刘骁 刘迪
受保护的技术使用者：华能集团技术创新中心有限公司
技术研发日：2023.02.03
技术公布日：2023/7/19