(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211241162.5 (22)申请日 2022.10.11 (71)申请人 北京珞安科技有限责任公司 地址 100097 北京市海淀区中关村东路18 号1号楼13层A-16 03 (72)发明人 张超　 (74)专利代理 机构 北京力量专利代理事务所 (特殊普通 合伙) 11504 专利代理师 郭大为 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/57(2013.01) (54)发明名称 一种基于工业防火墙的漏洞筛查系统及方 法 (57)摘要 本申请实施例提供一种基于工业防火墙的 漏洞筛查系统及方法， 涉及工控安全技术领域。 该基于工业防火墙的漏洞筛查系统包括多个漏 洞筛查模块， 可以采用不同的漏洞筛查模块对不 同的筛查目标进行漏洞筛查， 从而可以全面精准 地筛查工业控制系统中存在的各种脆弱性问题， 例如各种安全漏洞、 安全配置问题和不合规行 为， 通过输出的漏洞分析报告在工业控制 系统受 到危害之前为管理员提供漏洞分析数据， 以便管 理员可以进行专业有效的漏洞分析和修补。 权利要求书2页 说明书8页 附图2页 CN 115378734 A 2022.11.22 CN 115378734 A 1.一种基于 工业防火墙的漏洞筛查系统， 其特 征在于， 包括： 多个漏洞筛查模块， 不同的漏洞筛查模块具有不同的筛查功能； 数据管理模块， 所述数据管理模块与所述多个漏洞筛查模块连接， 用于对所述多个漏 洞筛查模块上传的漏洞分析报告 进行管理； 网页界面模块， 所述网页界面模块分别与所述多个漏洞筛查模块和数据管理模块连 接， 所述网页界面模块 通过SSL加密通道和浏览器将所述漏洞分析报告输出 给用户。 2.根据权利要求1所述的系统， 其特征在于， 所述多个漏洞筛查模块包括工控漏洞筛查 模块、 系统漏洞筛查模块、 WEB漏洞筛查模块、 数据库安全筛查模块、 安全基线筛查模块以及 APP漏洞筛查模块， 其中： 所述工控漏洞 筛查模块， 用于对工业控制系统中的预先指定的筛查目标进行漏洞筛查 和分析， 并生成对应的漏洞分析报告； 所述系统漏洞筛查模块， 用于对操作系统、 应用服务、 数据库以及网络设备进行漏洞筛 查和分析， 并生 成对应的漏洞分析报告， 所述系统漏洞筛查模块运行时， 所述多个漏洞筛查 模块中的除所述系统漏洞筛查模块外的其 他模块不运行； 所述WEB漏洞筛查模块， 用于对WEB应用进行漏洞筛查和分析， 并生成对应的漏洞分析 报告， 所述 WEB漏洞筛查模块还用于采用WEB漏洞验证机制对筛查到的WEB漏洞进行验证； 所述数据库安全筛查模块， 用于对各种数据库进行漏洞筛查和分析， 并生成对应的漏 洞分析报告； 所述安全基线筛查模块， 用于对当前漏洞筛查网络下的系统基线进行漏洞筛查和分 析， 并生成对应的漏洞分析报告； 所述APP漏洞筛查模块， 用于采取静态分析的方式对APP进行漏洞筛查和分析， 并生成 对应的漏洞分析报告。 3.根据权利要求1所述的系统， 其特征在于， 所述多个漏洞筛查模块还包括WIFI安全筛 查模块， 所述WIFI安全筛查模块用于对WIFI无线网络进行漏洞筛查和分析， 并生成对应的 漏洞分析报告。 4.根据权利要求1所述的系统， 其特征在于， 所述多个漏洞筛查模块还包括大数据漏洞 筛查模块， 所述大数据漏洞筛查模块用于对大数据 组件进行漏洞筛查和 安全合规性检查， 并生成统计分析报告。 5.根据权利要求2 ‑4任一项所述的系统， 其特征在于， 在进行漏洞筛查生成筛查结果之 后， 所述多个漏洞筛查模块分别采用报告和图形 的形式对所述筛查结果进行分析， 生成所 述多个漏洞筛查模块各自对应的漏洞分析报告， 其中报告内容包括漏洞风险级别、 漏洞类 别、 漏洞描述、 漏洞类型以及漏洞解决方法。 6.根据权利要求1所述的系统， 其特征在于， 所述基于工业防火墙的漏洞筛查系统包括 单机部署管理机制和分布式管理机制， 所述基于工业防火墙的漏洞筛查系统还包括决策模 块， 所述决策模块用于在筛查到当前漏洞筛查网络是分布式网络时， 确定所述基于工业防 火墙的漏洞筛查系统采用分布式管理机制进 行漏洞筛查， 或者在筛查到当前漏洞筛查网络 不是分布式网络时， 确定所述基于工业防火墙的漏洞筛查系统采用单机部署管理机制进 行 漏洞筛查。 7.根据权利要求1所述的系统， 其特征在于， 所述基于工业防火墙的漏洞筛查系统还包权　利　要　求　书 1/2 页 2 CN 115378734 A 2括Windows安全加固模块， 所述Win dows安全加固模块用于对Win dows操作系统进行安全加 固， 其中加固 内容包括配置管理、 网络管理、 接入管理、 日志审计以及恶意代码防范。 8.根据权利要求1所述的系统， 其特征在于， 所述基于工业防火墙的漏洞筛查系统还包 括筛查准备模块， 所述筛查准备模块用于发现当前漏洞筛查网络中的筛查目标和所述筛查 目标的目标信息， 所述目标信息根据所述筛查目标确定 。 9.根据权利要求1所述的系统， 其特征在于， 所述基于工业防火墙的漏洞筛查系统还包 括网络拓扑生成模块， 所述网络拓扑生成模块用于生成当前漏洞筛查网络下的网络拓扑 图。 10.一种基于 工业防火墙的漏洞筛查方法， 其特 征在于， 包括： 在采用如权利要求1 ‑9任一项所述的基于工业防火墙的漏洞筛查系统发现筛查目标 时， 所述基于工业防火墙的漏洞筛查系统获取所述筛查 目标的目标信息， 所述目标信息根 据所述筛查目标确定； 所述基于工业防火墙的漏洞筛查系统根据获取到的目标信息对所述筛查目标进行漏 洞筛查和分析， 以确定所述筛查目标 是否存在安全漏洞。权　利　要　求　书 2/2 页 3 CN 115378734 A 3