[0001] 本发明主要涉及网络安全技术领域，具体涉及一种网络安全评价方法。

[0002] 随着计算机技术和Internet的迅速发展，和近几年网络信息安全事件的频繁发生，网络信息安全问题逐渐渗透到各个行业领域，成为人们关注的焦点。为了提前预防安全事件的发生，避免损失，网络信息安全评估成为了解网络安全性能的关键环节，信息安全风险评估，就是对信息系统和网络本身所具有的脆弱性以及系统面临的威胁进行系统的分析，对安全事件发生的可能性和安全事件一旦发生可能产生的影响进行预测，最后得到整个信息系统的安全等级，即安全状况，以此作为实施安全措施的参照，利用安全措施减少脆弱性，降低风险到可接受的程度，从而保障信息系统的安全。

[0003] 工业控制系统是由各种自控组件以及对实时数据进行采集、监测的过程控制组件组成的系统，现在的工业控制系统的网络检测方法不能准确的检测出工业控制系统的网络安全性能，也不能准确的了解当前工业控制系统的网络安全指数，一旦工业控制网络安全出现漏洞，将影响工业生产运行。

[0020] 以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

[0021] 图1为本发明实施例提供的一种网络安全评价方法的流程示意图。

[0022] 如图1所示，一种网络安全评价方法，包括如下步骤：

[0023] 导入网络安全测试数据；

[0024] 对所述网络安全测试数据进行评分，得到网络安全评分；

[0025] 将所述网络安全评分与预设网络安全对比值进行比较，并根据所述比较结果得到网络安全是否达到网络安全标准的结论。

[0026] 应理解地，获取所述网络安全测试的结果(即网络安全测试数据)，根据所述网络安全测试的结果(即网络安全测试数据)，计算所述网络安全测试的评分(即网络安全评分)。

[0027] 优选地，所述预设网络安全对比值可以为4。

[0028] 具体地，将所述网络安全测试的评分(即网络安全评分)与所述网络安全测试的评分预设值(即预设网络安全对比值)进行比对，根据比对结果判断所述工业控制系统的网络安全是否达到网络安全标准(即网络安全评价结果)。

[0029] 上述实施例中，通过导入网络安全测试数据，对网络安全测试数据进行评分得到网络安全评分，将网络安全评分与预设网络安全对比值进行比较，并根据比较结果得到网络安全是否达到网络安全标准的结论，能够准确的了解当前工业控制系统的网络安全指数，从而检测出工业控制的安全性能，保证了工业生产能够正常的生产运行。

[0030] 可选地，作为本发明的一个实施例，所述对所述网络安全测试数据进行评分，得到网络安全评分的过程包括：

[0031] 对所述网络安全测试数据进行防火墙测试的评分，得到防火墙评分；

[0032] 对所述网络安全测试数据进行网闸测试的评分，得到网闸评分；

[0033] 对所述网络安全测试数据进行网络流量审计测试的评分，得到网络流量审计评分；

[0034] 对所述网络安全测试数据进行运维堡垒机测试的评分，得到运维堡垒机评分；

[0035] 对所述网络安全测试数据进行主机安全防护测试的评分，得到主机安全防护评分；

[0036] 对所述网络安全测试数据进行光闸测试的评分，得到光闸评分；

[0037] 对所述网络安全测试数据进行USB安全防御测试的评分，得到USB安全防御机评分；

[0038] 判断所述防火墙评分是否大于预设防火墙对比值，若是，则根据第一预设值对所述防火墙评分进行更新，得到更新后防火墙评分；若否，则根据第二预设值对所述防火墙评分进行更新，得到所述更新后防火墙评分；

[0039] 判断所述网闸评分是否大于预设网闸对比值，若是，则根据所述第一预设值对所述网闸评分进行更新，得到更新后网闸评分；若否，则根据所述第二预设值对所述网闸评分进行更新，得到所述更新后网闸评分；

[0040] 判断所述网络流量审计评分是否大于预设网络流量审计对比值，若是，则根据所述第一预设值对所述网络流量审计评分进行更新，得到更新后网络流量审计评分；若否，则根据所述第二预设值对所述网络流量审计评分进行更新，得到所述更新后网络流量审计评分；

[0041] 判断所述运维堡垒机评分是否大于预设运维堡垒机对比值，若是，则根据所述第一预设值对所述运维堡垒机评分进行更新，得到更新后运维堡垒机评分；若否，则根据所述第二预设值对所述运维堡垒机评分进行更新，得到所述更新后运维堡垒机评分；

[0042] 判断所述主机安全防护评分是否大于预设主机安全防护对比值，若是，则根据所述第一预设值对所述主机安全防护评分进行更新，得到更新后主机安全防护评分；若否，则根据所述第二预设值对所述主机安全防护评分进行更新，得到所述更新后主机安全防护评分；

[0043] 判断所述光闸评分是否大于预设光闸对比值，若是，则根据所述第一预设值对所述光闸评分进行更新，得到更新后光闸评分；若否，则根据所述第二预设值对所述光闸评分进行更新，得到所述更新后光闸评分；

[0044] 判断所述USB安全防御机评分是否大于预设USB安全防御机对比值，若是，则根据所述第一预设值对所述USB安全防御机评分进行更新，得到更新后USB安全防御机评分；若否，则根据所述第二预设值对所述USB安全防御机评分进行更新，得到所述更新后USB安全防御机评分；

[0045] 将所述更新后防火墙评分、所述更新后网闸评分、所述更新后网络流量审计评分、所述更新后运维堡垒机评分、所述更新后主机安全防护评分、所述更新后光闸评分以及所述更新后USB安全防御机评分进行求和，得到网络安全评分。

[0046] 优选地，所述预设防火墙对比值、所述预设网闸对比值、所述预设网络流量审计对比值、所述预设运维堡垒机对比值、所述预设主机安全防护对比值、所述预设光闸对比值以及所述预设USB安全防御机对比值可以为60，所述第一预设值可以为1，所述第二预设值可以为0。

[0047] 应理解地，网络安全测试包括：防火墙测试、网闸测试、网络流量审计测试、运维堡垒机测试、主机安全防护测试、光闸测试和USB安全防御测试。

[0048] 具体地，根据防火墙测试、网闸测试、网络流量审计测试、运维堡垒机测试、主机安全防护测试、光闸测试和USB安全防御测试分别获得：防火墙测试的评分(即防火墙评分)、网闸测试的评分(即网闸评分)、网络流量审计测试的评分(即网络流量审计评分)、运维堡垒机测试的评分(即运维堡垒机评分)、主机安全防护测试的评分(即主机安全防护评分)、光闸测试的评分(即光闸评分)和USB安全防御测试的评分(即USB安全防御机评分)。

[0049] 具体地，分别判断防火墙测试的评分(即防火墙评分)、网闸测试的评分(即网闸评分)、网络流量审计测试的评分(即网络流量审计评分)、运维堡垒机测试的评分(即运维堡垒机评分)、主机安全防护测试的评分(即主机安全防护评分)、光闸测试的评分(即光闸评分)和USB安全防御测试的评分(即USB安全防御机评分)是否达到网络安全标准。

[0050] 上述实施例中，对网络安全测试数据进行评分，得到网络安全评分，能够让用户了解到每一个安全测试当前的安全状态，方便用户可以单独的针对每一个安全测试结果对工业控制系统进行安全性能调整。

[0051] 可选地，作为本发明的一个实施例，所述网络安全测试数据包括防火墙性能数据、防火墙访问控制信息、工业协议白名单信息以及入侵防御数据，

[0052] 所述对所述网络安全测试数据进行防火墙测试的评分，得到防火墙评分的过程包括：

[0053] 根据预设防火墙性能规则对所述防火墙性能数据进行评分，得到防火墙性能评分；

[0054] 根据预设防火墙访问控制规则对所述防火墙访问控制信息进行评分，得到访问控制评分；

[0055] 根据预设工业协议白名单规则对所述工业协议白名单信息进行评分，得到工业协议白名单评分；

[0056] 根据预设入侵防御规则对所述入侵防御数据进行评分，得到入侵防御评分；

[0057] 将所述防火墙性能评分、所述访问控制评分、所述工业协议白名单评分以及所述入侵防御评分进行求和，得到防火墙评分。

[0058] 应理解地，总得分(即防火墙评分)为性能(即防火墙性能评分)、访问控制(即访问控制评分)、工业协议白名单(即工业协议白名单评分)和入侵防御(即入侵防御评分)4部分得分之和，每一部分权重各占25％。

[0059] 应理解地，所述预设防火墙性能规则可以为判断所述防火墙性能数据中的多个指标是否均合格，若否，则测试得分为0。

[0060] 应理解地，所述预设防火墙访问控制规则可以为不支持访问控制功能则访问测试得分为0。

[0061] 应理解地，所述预设工业协议白名单规则可以为工业白名单测试中每种协议各占5分。

[0062] 应理解地，所述预设入侵防御规则可以为每准确识别并拦截一项攻击得1分，识别不准确但可拦截攻击得0.5分。

[0063] 应理解地，防火墙测试的评分为防火墙性能测试评分、防火墙访问控制测试评分(即访问控制评分)、防火墙工业协议白名单测试评分(即工业协议白名单评分)和防火墙入侵防御测试评分(即入侵防御评分)之和。

[0064] 具体地，在执行所述防火墙性能测试时，配置流量包，查看被测设备吞吐量和平均时延，计算所述防火墙性能测试评分；

[0065] 在执行所述防火墙访问控制测试时，连接所述被测设备，配置测试防火墙策略，使用工业通信协议进行访问控制，查看数据通断情况，验证所述被测设备访问控制能力，计算所述防火墙访问控制测试评分(即访问控制评分)；

[0066] 在执行所述防火墙工业协议白名单测试时，接入被测防火墙，依次测试不同所述工业通信协议，查看所述被测防火墙对不同所述工业通信协议学习和解析能力，计算所述防火墙工业协议白名单测试评分(即工业协议白名单评分)；

[0067] 在执行所述防火墙入侵防御测试时，所述被测防火墙配置侵防御策略，由以太网测试仪发送攻击包，查看所述被测防火墙的告警日志信息，计算所述防火墙入侵防御测试评分(即入侵防御评分)。

[0068] 具体地，防火墙测试采用单台设备接入、逐台设备测试的方式，利用SPIRENT TestCenter C1发送大流量/攻击数据包对工业防火墙的性能和入侵防御功能进行测试；利用实验室现有AB PLC、中控PLC和仿真软件模拟真实环境测试各家对CIP、Modbus协议的识别和解析，利用电脑中的包回放工具进行S7、DNP3、IEC104协议的模拟测试。

[0069] 应理解地，防火墙性能测试：按照1万并发连接数和5000/s的新建连接数配置流量包，持续发送5分钟，查看设备吞吐量和平均时延，计算所述防火墙性能测试评分。

[0070] 具体地，防火墙第一访问控制测试：按照测试拓扑连接设备，通过CIP协议并执行ping命令，配置测试防火墙策略，对通过的协议进行访问控制，允许或禁止CIP协议数据通过或禁止ping，查看数据通断情况，验证被测设备访问控制能力，计算所述防火墙访问控制测试评分。

[0071] 应理解地，防火墙工业协议白名单测试：在实际环境中接入被测防火墙，依次测试CIP、Modbus协议，查看被测防火墙对工业协议的学习和解析能力；在模拟环境中接入被测防火墙，同时测试S7、DNP3、IEC 104协议，查看被测防火墙对工业协议的学习和解析能力，计算所述所述防火墙工业协议白名单测试评分。

[0072] 具体地，防火墙入侵防御测试：被测工业防火墙配置入侵防御策略，SPIRENT TestCenter C1的1、2端口分别接入被测防火墙相应端口，由端口1向端口2发送攻击包，攻击包类型包括端口扫描、泛洪、木马、蠕虫病毒等攻击，查看被测防火墙的告警日志信息，计算所述防火墙入侵防御测试评分。

[0073] 具体地，防火墙测试的评分为防火墙性能测试评分、防火墙访问控制测试评分、工业协议白名单测试评分和入侵防御测试评分之和，每一部分权重各占25％；防火墙性能测试中只要有一个指标不合格则性能测试得分为0；不支持访问控制功能则访问测试得分为0；工业白名单测试中每种协议各占5分；入侵防御测试中，每准确识别并拦截一项攻击得1分，识别不准确但可拦截攻击得0.5分，将性能评分、访问控制评分、工业协议白名单评分和入侵防御4部分评分分别计算出来，最后计算出防火墙测试总评分，能够清楚的查看到防火墙的安全指数。

[0074] 上述实施例中，对网络安全测试数据进行防火墙测试的评分得到防火墙评分，能够清楚的查看到防火墙的安全指数，准确的了解当前工业控制系统的网络安全指数，从而检测出工业控制的安全性能，保证了工业生产能够正常的生产运行。

[0075] 可选地，作为本发明的一个实施例，所述网络安全测试数据包括网闸性能数据、网闸访问控制信息、网闸功能码审计数据、网闸地址范围审计数据以及网闸参数值范围审计数据，

[0076] 所述对所述网络安全测试数据进行网闸测试的评分，得到网闸评分的过程包括：

[0077] 根据预设网闸性能规则对所述网闸性能数据进行评分，得到网闸性能评分；

[0078] 根据预设网闸访问控制规则对所述网闸访问控制信息进行评分，得到网闸访问控制评分；

[0079] 根据预设网闸功能码审计规则对所述网闸功能码审计数据进行评分，得到网闸功能码审计评分；

[0080] 根据预设网闸地址范围审计规则对所述网闸地址范围审计数据进行评分，得到网闸地址范围审计评分；

[0081] 根据预设网闸参数值范围审计规则对所述网闸参数值范围审计数据进行评分，得到网闸参数值范围审计评分；

[0082] 将所述网闸性能评分、所述网闸访问控制评分、所述网闸功能码审计评分、所述网闸地址范围审计评分以及所述网闸参数值范围审计评分进行求和，得到网闸评分。

[0083] 应理解地，总得分(即网闸评分)为性能(30％)(即网闸性能评分)、访问控制(40％)(即网闸访问控制评分)、功能码审计(10％)(即网闸功能码审计评分)、地址范围审计(10％)(即网闸地址范围审计评分)、参数值范围审计(10％)(即网闸参数值范围审计评分)测试5部分得分之和。

[0084] 应理解地，所述预设网闸性能规则可以为在测试中分为64、256、512三种字节数据包，每一种数据包达到400Mbps吞吐量得10分，否则为0分。

[0085] 具体地，所述预设网闸访问控制规则可以为访问控制测试中4种每支持一项得10分，所述预设网闸功能码审计规则可以为工业协议功能码审计测试中4种协议每支持一项得2.5分，所述预设网闸地址范围审计规则可以为工业协议地址范围审计测试4种协议每支持一项得2.5分，所述预设网闸参数值范围审计规则可以为工业协议参数值范围测试中4种协议每支持一项得2.5分。

[0086] 应理解地，网闸测试评分为网闸性能测试评分、网闸访问控制测试评分和网闸工业协议审计测试评分之和。

[0087] 具体地，在执行网闸性能测试时，利用以太网测试仪发送不同字节帧长流量包，测试被测设备的极限性能；

[0088] 在执行网闸访问控制测试时，连接被测设备，配置测试网闸策略，使用工业通信协议进行访问控制，查看数据通断情况，验证被测设备访问控制能力，计算网闸访问控制测试评分；

[0089] 在执行网闸工业协议审计测试时，在实际环境中接入被测网闸，依次通过不同工业通信协议并执行读、写命令，查看被测网闸对不同工业通信协议的深度解析能力，计算网闸工业协议审计测试评分。

[0090] 应理解地，网闸测试采用单台设备接入、逐台设备测试的方式。利用SPIRENT TestCenter C1发送不同帧长、不同速率的流量包对被测工业网闸的极限性能进行测试；利用实验室现有AB PLC、中控PLC和模拟软件模拟真实环境测试各家设备对CIP、Modbus、OPCua、OPCda协议的解析和审计功能。

[0091] 具体地，网闸性能测试：利用SPIRENT TestCenter C1发送64、256、512字节帧长流量包，每个帧长自350Mbps流量进行测试，逐步提升50Mbps，直至发生丢包或平均时延大于1ms，测试被测设备的极限性能；

[0092] 网闸访问控制测试：按照测试拓扑连接设备，通过CIP、Modbus、OPC ua、OPCda协议，配置测试网闸策略，对通过的协议进行访问控制，允许或禁止单个协议通过，查看数据通断情况，验证被测设备访问控制能力；

[0093] 网闸工业协议审计测试：在实际环境中接入被测网闸，依次通过CIP、Modbus、OPC ua、OPCda协议并执行读、写命令，查看被测网闸对工业协议的深度解析能力。

[0094] 应理解地，工业网闸测试评分为网闸性能测试评分的30％、网闸访问控制测试评分的40％、功能码审计评分的10％、地址范围审计评分的10％和参数值范围审计评分的10％之和。

[0095] 具体地，网闸性能测试中分为64、256、512三种字节数据包，每一种数据包达到400Mbps吞吐量得10分，否则为0分；网闸访问控制测试4种协议每支持一项得10分；工业协议功能码审计测试4种协议每支持一项得2.5分；工业协议地址范围审计测试4种协议每支持一项得2.5分；工业协议参数值范围测试4种协议每支持一项得2.5分，能准确的评价出工业网闸的安全指数。

[0096] 上述实施例中，对网络安全测试数据进行网闸测试的评分得到网闸评分，能准确的评价出工业网闸的安全指数，准确的了解当前工业控制系统的网络安全指数，从而检测出工业控制的安全性能，保证了工业生产能够正常的生产运行。

[0097] 可选地，作为本发明的一个实施例，所述网络安全测试数据包括流量审计性能数据、工业会话审计数据、安全检测数据以及资产识别信息，

[0098] 所述对所述网络安全测试数据进行网络流量审计测试的评分，得到网络流量审计评分的过程包括：

[0099] 根据预设流量审计性能规则对所述流量审计性能数据进行评分，得到流量审计性能评分；

[0100] 根据预设工业会话审计规则对所述工业会话审计数据进行评分，得到工业会话审计评分；

[0101] 根据预设安全检测规则对所述安全检测数据进行评分，得到安全检测评分；

[0102] 根据预设资产识别规则对所述资产识别信息进行评分，得到资产识别评分；

[0103] 将所述流量审计性能评分、所述工业会话审计评分、所述安全检测评分、所述资产识别评分进行求和，得到网络流量审计评分。

[0104] 应理解地，总得分(即网络流量审计评分)为性能(20％)(即流量审计性能评分)、工业会话审计(35％)(即工业会话审计评分)、安全检测(25％)(即安全检测评分)、资产识别(20％)(即资产识别评分)测试4部分得分之和。

[0105] 具体地，所述预设流量审计性能规则可以为将性能测试分为300、500、800、1000Mbps流量测试，设备监测实时流量正常则得20分。所述预设工业会话审计规则可以为测试CIP、Modbus、OPCua按照协议识别深度打分，OPCda、S7、DNP3、IEC104按照能否识别打分，各协议满分均为5分。所述预设安全检测规则可以为每准确识别一项攻击得1分，识别为其它攻击得0.5分(未成功推送在此得分基础上除以2)。所述预设资产识别规则可以为将测试分为识别IP地址、MAC、设备品牌、资产类型和版本4项，每少识别一项扣5分。

[0106] 应理解地，网络流量审计测试的评分(即网络流量审计评分)为网络流量审计性能测试评分(即流量审计性能评分)、工业通信协议会话审计测试评分(即工业会话审计评分)、安全检测测试评分(即安全检测评分)以及资产识别评分之和。

[0107] 具体地，在执行网络流量审计性能测试时，利用以太网测试仪发送长流量包，查看被测设备的实时流量抓取能力，计算网络流量审计性能测试评分；

[0108] 在执行工业通信协议会话审计测试时，测试被测设备在网络中通过工业通信协议会话的解析深度，计算工业通信协议会话审计测试评分；

[0109] 在执行安全检测测试时，被测设备配置攻击识别策略，利用以太网测试仪发送攻击包，查看被测设备的告警日志信息，计算安全检测测试评分。

[0110] 应理解地，测试网络流量审计设备业务端口同时接入交换机镜像端口，利用SPIRENT TestCenter C1接入交换机发送不同流量数据包和攻击包，测试流量审计设备对数据包的实时抓取、工业协议会话识别、资产识别及24种网络攻击识别的能力。

[0111] 具体地，网络流量审计性能测试：利用SPIRENT TestCenter C1发送1024字节帧长流量包，分别发送300Mbps、500Mbps、800Mbps、1000Mbps流量持续1min，查看被测设备的实时流量抓取能力；

[0112] 工业通信协议会话审计测试：按照测试拓扑连接设备，利用实验室真实环境和模拟环境，测试设备对网络中通过CIP、Modbus、OPC ua、OPCda工业协议会话的解析深度；

[0113] 安全检测测试：被测设备配置攻击识别策略，利用SPIRENT TestCenter C1的1、2端口分别接入1#交换机相应端口，由端口1向端口2发送攻击包，攻击包类型包括端口扫描、泛洪、木马、蠕虫病毒等攻击，查看被测设备的告警日志信息和向360态势感知平台的推送情况；

[0114] 所述资产识别测试过程包括：识别IP地址、MAC、设备品牌、资产类型和版本。

[0115] 具体地，网络流量审计评分为网络流量审计性能测试评分的20％、工业会话审计评分的35％、安全检测评分的25％和资产识别评分的20％之和；网络流量审计性能测试分为300、500、800、1000Mbps流量测试，设备监测实时流量正常则得20分；工业会话审计测试CIP、Modbus、OPCua按照协议识别深度打分，OPCda、S7、DNP3、IEC104按照能否识别打分，各协议满分均为5分；安全检测测试每准确识别一项攻击得1分，识别为其它攻击得0.5分(未成功推送在此得分基础上除以2)；资产识别测试分为识别IP地址、MAC、设备品牌、资产类型和版本4项，每少识别一项扣5分，能清楚的了解到网络流量审计的安全性能。

[0116] 上述实施例中，对网络安全测试数据进行网络流量审计测试的评分，得到网络流量审计评分，能清楚的了解到网络流量审计的安全性能，准确的了解当前工业控制系统的网络安全指数，保证了工业生产能够正常的生产运行。

[0117] 可选地，作为本发明的一个实施例，所述网络安全测试数据包括堡垒机性能数据和审计管理数据，

[0118] 所述对所述网络安全测试数据进行运维堡垒机测试的评分，得到运维堡垒机评分的过程包括：

[0119] 根据预设堡垒机性能规则对所述堡垒机性能数据进行评分，得到堡垒机性能评分；

[0120] 根据预设审计管理规则对所述审计管理数据进行评分，得到审计管理评分；

[0121] 将所述堡垒机性能评分和所述审计管理评分进行求和，得到运维堡垒机评分。

[0122] 应理解地，总得分(即运维堡垒机评分)为性能(60％)(即堡垒机性能评分)、审计管理(40％)(即审计管理评分)测试2部分得分之和。

[0123] 具体地，所述预设堡垒机性能规则可以为测试中分为同时登录用户数、图形并发连接数、字符型并发连接数3项，每项符合要求得20分。所述预设审计管理规则可以为测试中分为TELNET、FTP/SFTP、SSH、RDP、VNC/XWINDOW访问行为审计、实时监控、实时会话锁定、内部审计8项功能测试，支持每项功能得5分。

[0124] 应理解地，运维堡垒机测试的评分(即运维堡垒机评分)为运维堡垒机性能测试评分(即堡垒机性能评分)和审计管理测试评分(即审计管理评分)之和。

[0125] 具体地，在执行运维堡垒机性能测试时，创建用户重复登陆堡垒机，测试允许同时登录的用户数、图形与字符并发连接数，计算运维堡垒机性能测试评分；

[0126] 在执行审计管理测试时，搭建虚拟环境，测试堡垒机对远程协议访问行为审计、实时监控、实时会话锁定、内部审计功能，计算审计管理测试评分。

[0127] 应理解地，运维堡垒机测试采用单台设备接入、逐台设备测试的方式。利用电脑模拟被管理与管理主机，并在物理主机中安装多个虚拟机，测试堡垒机在不同系统运行的性能、对各类行为的审计功能。

[0128] 具体地，运维堡垒机性能测试：利用笔记本创建多个用户重复登陆堡垒机，测试允许同时登录的用户数、图形与字符并发连接数；

[0129] 审计管理测试：利用笔记本电脑搭建的虚拟环境，测试堡垒机对TELNET、FTP/SFTP、SSH、RDP、VNC/XWINDOW访问行为审计、实时监控、实时会话锁定、内部审计等功能。

[0130] 应理解地，运维堡垒机测试评分为运维堡垒机性能测试评分的40％和审计管理测试评分的60％，能清楚的了解到所述被测设备的安全性能，准确的了解当前工业控制系统的网络安全指数，保证了工业生产能够正常的生产运行。

[0131] 上述实施例中，对网络安全测试数据进行运维堡垒机测试的评分得到运维堡垒机评分，能清楚的了解到被测设备的安全性能，准确的了解当前工业控制系统的网络安全指数，保证了工业生产能够正常的生产运行。

[0132] 可选地，作为本发明的一个实施例，所述网络安全测试数据包括Windows攻击指令测试数据、Linux攻击指令测试数据、攻击场景测试数据以及PCS兼容性测试数据，[0133] 所述对所述网络安全测试数据进行主机安全防护测试的评分，得到主机安全防护评分的过程包括：

[0134] 根据预设Windows攻击指令测试规则对所述Windows攻击指令测试数据进行评分，得到Windows攻击指令评分；

[0135] 根据预设Linux攻击指令测试规则对所述Linux攻击指令测试数据进行评分，得到Linux攻击指令评分；

[0136] 根据预设攻击场景测试规则对所述攻击场景测试数据进行评分，得到攻击场景评分；

[0137] 根据预设PCS兼容性测试规则对所述PCS兼容性测试数据进行评分，得到PCS兼容性评分；

[0138] 将所述Windows攻击指令评分、所述Linux攻击指令评分、所述攻击场景评分以及所述PCS兼容性评分进行求和，得到主机安全防护评分。

[0139] 应理解地，总得分(即主机安全防护评分)为Windows攻击指令测试(30％)(即Windows攻击指令评分)、Linux攻击指令测试(20％)(即Linux攻击指令评分)、攻击场景测试(25％)(即攻击场景评分)、与PCS兼容性测试(25％)(即PCS兼容性评分)4部分得分之和。

[0140] 具体地，所述预设Windows攻击指令测试规则可以为Windows攻击指令测试中一共5小项，每项测试成功可得5分。所述预设Linux攻击指令测试规则可以为Linux攻击指令测试中一共5小项，每项测试成功可得5分.所述预设攻击场景测试规则可以为攻击场景测试中一共5小项，每项测试成功可得5分。所述预设PCS兼容性测试规则可以为测试中，无卡顿、杀进程等异常可得25分，否则0分。

[0141] 应理解地，主机安全防护测试的评分(即主机安全防护评分)为：攻击指令测试评分(即Windows攻击指令评分和Linux攻击指令评分)、攻击场景测试评分(即攻击场景评分)和兼容性测试评分(即PCS兼容性评分)之和。

[0142] 具体地，在执行攻击指令测试时，将防护终端安装在各版本系统上，执行测试指令，查看防护终端是否在日志中记录，计算攻击指令测试评分；

[0143] 在执行攻击场景测试时，将防护终端安装在各版本系统上，执行攻击指令或回放病毒包，查看防护终端是否弹出告警，计算攻击场景测试评分；

[0144] 在执行兼容性测试时，将防护终端与上位软件同时运行，上位软件运行是否正常，计算兼容性测试评分。

[0145] 应理解地，主机安全防护测试利用电脑安装win10、win7、win vista、win xp、中标麒麟5种版本虚拟机，将被测软件安装在各系统中，与PCS上位软件同时运行，利用命令行执行正常/非正常命令测试防护终端的审计功能及兼容性。

[0146] 具体地，攻击指令测试：将防护终端安装在各版本系统上，执行测试指令，查看所述防护终端是否在日志中记录；

[0147] 攻击场景测试：将所述防护终端安装在各版本系统上，执行攻击指令或回放病毒包，查看所述防护终端是否弹出告警；

[0148] 兼容性测试：将防护终端与PCS上位软件同时运行2天时间，观察PCS软件运行是否正常。

[0149] 应理解地，主机安全防护测试评分为攻击指令测试评分的40％、攻击场景测试评分的40％和兼容性测试评分的20％之和，能清楚的了解到主机安全防护的防护能力。

[0150] 上述实施例中，对网络安全测试数据进行主机安全防护测试的评分，得到主机安全防护评分，能清楚的了解到主机安全防护的防护能力，准确的了解当前工业控制系统的网络安全指数，保证了工业生产能够正常的生产运行。

[0151] 可选地，作为本发明的一个实施例，所述网络安全测试数据包括光闸性能数据和点位采集转发数据，

[0152] 所述对所述网络安全测试数据进行光闸测试的评分，得到光闸评分的过程包括：

[0153] 根据预设光闸性能规则对所述网闸性能数据进行评分，得到光闸性能评分；

[0154] 根据预设点位采集转发规则对所述点位采集转发数据进行评分，得到点位采集转发评分；

[0155] 将所述光闸性能评分和所述点位采集转发评分进行求和，得到光闸评分。

[0156] 应理解地，光闸测试的评分(即光闸评分)为关闸性能测试评分(即光闸性能评分)和点位采集转发测试评分(即点位采集转发评分)之和。

[0157] 具体地，在执行关闸性能测试时，利用所述以太网测试仪发送不同字节帧长流量包，测试被测设备的极限性能，计算关闸性能测试评分；

[0158] 在执行点位采集转发测试时，通过工业通信协议，客户端向服务端采集多点位数据，测试支持转发最大点位数，计算点位采集转发测试评分。

[0159] 应理解地，光闸测试采用单台设备接入、逐台设备测试的方式。利用SPIRENT TestCenter C1发送不同帧长、不同速率的流量包对被测光闸的极限性能进行了测试；利用电脑软件模拟多点位数据转发测试光闸点位采集转发能力。

[0160] 具体地，所述预设光闸性能规则可以为利用SPIRENT TestCenter C1发送64、256、512字节帧长流量包，每个帧长自350Mbps流量进行测试，逐步提升50Mbps，直至发生丢包或平均时延大于1ms，测试被测设备的极限性能。

[0161] 具体地，所述预设点位采集转发规则可以为按照测试拓扑连接设备，通过CIP、Modbus、OPC ua、OPCda协议，客户端向服务端采集多点位数据，测试支持转发最大点位数。

[0162] 应理解地，光闸测试评分为关闸性能测试评分的50％和点位采集转发测试评分的50％之和，能观察出关闸的安全指数。

[0163] 上述实施例中，对网络安全测试数据进行光闸测试的评分得到光闸评分，能观察出关闸的安全指数，准确的了解当前工业控制系统的网络安全指数，保证了工业生产能够正常的生产运行。

[0164] 可选地，作为本发明的一个实施例，所述网络安全测试数据包括硬件检查信息、设备功能检查信息以及兼容性测试数据，

[0165] 所述对所述网络安全测试数据进行USB安全防御测试的评分，得到USB安全防御机评分的过程包括：

[0166] 根据预设硬件检查规则对所述硬件检查信息进行评分，得到硬件检查评分；

[0167] 根据预设设备功能检查规则对所述设备功能检查信息进行评分，得到设备功能检查评分；

[0168] 根据预设兼容性测试规则对所述兼容性测试数据进行评分，得到兼容性评分；

[0169] 将所述硬件检查评分、所述设备功能检查评分以及所述兼容性评分进行求和，得到USB安全防御机评分。

[0170] 应理解地，总得分(即USB安全防御机评分)为系统硬件检查(20％)(即硬件检查评分)、设备功能检查(60％)(即设备功能检查评分)、兼容性测试(20％)(即兼容性评分)3部分得分之和。

[0171] 具体地，所述预设硬件检查规则可以为测试中每项满分5分，每项缺少一种硬件检查功能扣1分。所述预设设备功能检查规则可以为测试中支持每项得6分，否则0分。所述预设兼容性测试规则可以为测试支持多种U盘可得20分，少识别一种扣5分。

[0172] 应理解地，USB安全防御测试的评分为系统硬件检查测试评分(即硬件检查评分)、设备功能检查测试评分(即设备功能检查评分)以及兼容性评分之和。

[0173] 具体地，在执行系统硬件检查测试时，测试设备接入电脑，查看已授权U盘和未授权U盘时的功能响应，计算系统硬件检查测试评分；

[0174] 在执行设备功能检查测试时，测试设备对接入U盘的管理、防御功能，计算设备功能检查测试评分。

[0175] 应理解地，USB安全防御测试为被测设备直连电脑主机，接入U盘，测试设备对U盘及其内部文件的管理功能。

[0176] 具体地，系统硬件检查测试：所述测试设备接入电脑，查看已授权U盘和未授权U盘时的功能响应；

[0177] 设备功能检查测试：测试设备对接入U盘的管理、防御等功能，能清晰的体现出USB安全防御的安全性能。

[0178] 上述实施例中，能够测试设备对U盘及其内部文件的管理功能，能够准确的了解当前工业控制系统的网络安全指数，从而检测出工业控制的安全性能，保证了工业生产能够正常的生产运行。

[0179] 可选地，作为本发明的一个实施例，所述将所述网络安全评分与预设网络安全对比值进行比较，并根据所述比较结果得到网络安全是否达到网络安全标准的结论的过程包括：

[0180] 将所述网络安全评分与预设网络安全对比值进行比较，若所述网络安全评分大于所述预设网络安全对比值，则得到网络安全达到网络安全标准的结论；若所述网络安全评分小于或者等于所述预设网络安全对比值，则得到网络安全未达到网络安全标准的结论。

[0181] 具体地，若网络安全测试的评分(即网络安全评分)大于网络安全测试的评分预设值(即预设网络安全对比值)，则判断工业控制系统的网络安全达到网络安全标准；

[0182] 若网络安全测试的评分(即网络安全评分)小于或等于网络安全测试的评分预设值(即预设网络安全对比值)，则判断工业控制系统的网络安全没有达到网络安全标准。

[0183] 上述实施例中，将网络安全评分与预设网络安全对比值进行比较，并根据比较结果得到网络安全是否达到网络安全标准的结论，能够准确的了解当前工业控制系统的网络安全指数，从而检测出工业控制系统的安全性能，保证了工业生产能够正常的生产运行。

[0184] 可选地，作为本发明的另一个实施例，本发明包括：获取网络安全测试的结果；根据网络安全测试的结果，计算网络安全测试的评分；将网络安全测试的评分与网络安全测试的评分预设值进行比对，根据比对结果判断工业控制系统的网络安全是否达到网络安全标准；其中，若网络安全测试的评分大于网络安全测试的评分预设值，则判断达到网络安全标准；若网络安全测试的评分小于或等于网络安全测试的评分预设值，则判断没有达到网络安全标准，能够准确的了解当前工业控制系统的网络安全指数，从而检测出工业控制系统的安全性能，保证了工业生产能够正常的生产运行。

[0185] 可选地，作为本发明的另一个实施例，本发明解决了现有工业控制系统的网络检测方法不能准确的检测出工业控制系统的网络安全性的技术问题。

[0186] 可选地，作为本发明的另一个实施例，与现有技术相比，本发明的有益效果在于，本发明通过获取所述网络安全测试的结果，根据所述网络安全测试的结果，计算所述网络安全测试的评分，将所述网络安全测试的评分与所述网络安全测试的评分预设值进行比对，根据比对结果判断所述工业控制系统的网络安全是否达到网络安全标准；能够准确的了解当前工业控制系统的网络安全指数，从而检测出工业控制系统的安全性能，保证了工业生产能够正常的生产运行。

[0187] 图2为本发明实施例提供的一种网络安全评价装置的模块框图。

[0188] 可选地，作为本发明的另一个实施例，如图2所示，一种网络安全评价装置，包括：

[0189] 导入模块，用于导入网络安全测试数据；

[0190] 评分模块，用于对所述网络安全测试数据进行评分，得到网络安全评分；

[0191] 比较模块，用于将所述网络安全评分与预设网络安全对比值进行比较，并根据所述比较结果得到网络安全是否达到网络安全标准的结论。

[0192] 可选地，本发明的另一个实施例提供一种网络安全评价系统，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，当所述处理器执行所述计算机程序时，实现如上所述的网络安全评价方法。该系统可为计算机等系统。

[0193] 可选地，本发明的另一个实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，当所述计算机程序被处理器执行时，实现如上所述的网络安全评价方法。

[0194] 需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

[0195] 所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

[0196] 在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

[0197] 作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

[0198] 另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

[0199] 集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read‑Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

[0200] 以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。