(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210892066.0 (22)申请日 2022.07.27 (71)申请人 西安热工 研究院有限公司 地址 710048 陕西省西安市碑林区兴庆路 136号 申请人 华能集团技 术创新中心有限公司 (72)发明人 杨东　毕玉冰　崔逸群　胥冠军　 刘超飞　朱博迪　刘迪　肖立炀　 董夏昕　介银娟　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 闵岳峰 (51)Int.Cl. H04L 41/0816(2022.01) H04L 9/40(2022.01)G06F 8/658(2018.01) G06F 21/57(2013.01) (54)发明名称 一种工控网络的漏洞修复方法、 装置及存储 介质 (57)摘要 本发明涉及一种工控网络的漏洞修复方法、 装置及存储介质， 属于工控系统领域， 所述方法 包括： 获取预先检测到的待修复漏洞； 确定目标 漏洞的漏洞标识以及对应的目标工控设备， 所述 目标漏洞为所述待修复漏洞中的任意漏洞； 根据 所述漏洞标识， 查询预先配置的补丁库是否存在 对应的补丁； 在确定所述补丁库存在与所述漏洞 标识对应的补丁的情况下， 将所述补丁发送至所 述目标工控设备， 并隔离所述目标工控设备； 在 确定目标工控设备被隔离的情况下， 根据所述补 丁对所述目标漏洞进行修复。 有效地保证了漏洞 能够及时的被修复， 并且在修复之前将存在漏洞 的设备进行隔离， 有效地保证了漏洞修复的安全 性， 保障了 工控网络的整体的网络安全。 权利要求书2页 说明书12页 附图5页 CN 115174379 A 2022.10.11 CN 115174379 A 1.一种工控网络的漏洞修复方法， 其特 征在于， 所述方法包括： 获取预先检测到的待修复漏洞； 确定目标漏洞的漏洞标识以及对应的目标工控设备， 所述目标漏洞为所述待修复漏洞 中的任意漏洞； 根据所述漏洞标识， 查询预 先配置的补丁库是否存在对应的补丁； 在确定所述补丁库存在与 所述漏洞标识对应的补丁的情况下， 将所述补丁发送至所述 目标工控设备， 并隔离所述目标工控设备； 在确定目标工控设备被隔离的情况 下， 根据所述补丁对所述目标漏洞进行修复。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在确定所述补丁库不存在与 所述漏洞标识对应的补丁的情况下， 确定所述目标漏洞是 否能够通过配置变更进行修复； 在确定所述目标漏洞能够通过配置变更进行修复的情况 下， 生成配置变更请求； 在确定所述配置变更请求审核通过的情况下， 根据 所述配置变更请求更新所述目标工 控设备的配置， 以对所述目标漏洞进行修复。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 确定所述配置变更请求对应的配置信息是否为已验证 配置； 在确定所述配置变更请求对应的配置信 息是已验证配置的情况下， 确定所述配置变更 请求审核通过。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 在确定所述配置变更请求对应的配置信 息非已验证配置的情况下， 对所述配置信 息进 行离线验证； 在所述离线验证表征验证通过的情况 下， 确定所述配置变更请求审核通过。 5.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 在确定所述目标漏洞不 能够通过配置变更进行修复的情况下， 确定所述目标漏洞对应 的目标软件是否可移除； 在确定所述目标 软件可移除的情况 下， 移除所述目标 软件； 在确定所述目标软件不可移除的情况下， 对所述目标工控设备所在的子网络的边界安 全文件进行修改， 以隔离所述目标工控设备 所在的子网络 。 6.根据权利要求5所述的方法， 其特征在于， 所述在确定所述目标软件不可移除的情况 下， 对所述工控网络的边界安全配置进行修改包括： 在确定所述目标 软件不可移除的情况 下， 确定所述目标工控设备 是否为关键设备； 在所述目标工控设备不 为关键设备的情况 下， 移除所述目标工控设备； 在所述目标工控设备为关键设备的情况下， 对所述目标工控设备所在的子网络的边界 安全文件进行修改。 7.根据权利要求6所述的方法， 其特 征在于， 所述方法包括： 根据所述工控 网络的网络拓扑结构以及所述工控 网络中的各个工控设备的功能， 确定 所述工控网络中的子网络， 并存 储各个工控设备与各个子网络之间的对应关系； 对各个子网络构建边界防护， 所述 边界防护包括防火墙和/或网闸； 所述对所述目标工控设备 所在的子网络的边界安全文件进行修改包括：权　利　要　求　书 1/2 页 2 CN 115174379 A 2根据所述各个工控设备与 各个子网络之间的对应关系， 确定所述目标工控设备所在的 子网络， 并对所述目标工控设备 所在的子网络的边界防护文件进行修改。 8.一种工控网络的漏洞修复装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取 预先检测到的待修复漏洞； 确定模块， 用于确定目标漏洞的漏洞标识以及对应的目标工控设备， 所述目标漏洞为 所述待修复漏洞中的任意漏洞； 查询模块， 用于根据所述漏洞标识， 查询预 先配置的补丁库是否存在对应的补丁； 隔离模块， 用于在确定所述补丁库存在与所述漏洞标识对应的补丁的情况下， 将所述 补丁发送至所述目标工控设备， 并隔离所述目标工控设备； 修复模块， 用于在确定目标工况设备被隔离的情况下， 根据所述补丁对所述目标漏洞 进行修复。 9.一种工控网络的漏洞修复装置， 其特 征在于， 包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处 理器被配置为： 获取预先检测到的待修复漏洞； 确定目标漏洞的漏洞标识以及对应的目标工控设备， 所述目标漏洞为所述待修复漏洞 中的任意漏洞； 根据所述漏洞标识， 查询预 先配置的补丁库是否存在对应的补丁； 在确定所述补丁库存在与 所述漏洞标识对应的补丁的情况下， 将所述补丁发送至所述 目标工控设备， 并隔离所述目标工控设备； 在确定目标工况设备被隔离的情况 下， 根据所述补丁对所述目标漏洞进行修复。 10.一种计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 该程序指令 被处理器执行时实现权利要求1 ‑7中任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115174379 A 3