具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附 图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的 具体实施例仅仅用以解释本发明，并不用于限定本发明。

虽然以下描述阐述可以例如在系统架构中示出的各个实现方式，但 本文所描述的技术和/或布置的实现方式不限于特定系统架构和/或计算 系统，并且可以通过用于相似目的的任何架构和/或计算系统得以实现。 例如，采用例如一个多个集成电路芯片和/或封装的各种架构和/或各种 计算设备和/或电子设备可以实现本文所描述的技术和/或布置。此外， 虽然以下描述可以阐述大量具体细节(例如系统组件的逻辑实现方式、类 型和相互关系、逻辑分区/集成选取等)，但可以在没有这些具体细节的 情况下实践所要求的主题。在其它实例中，为了不模糊本文所公开的材 料，可以并不详细地示出一些材料(例如控制结构和完整软件指令序列)。 可以在硬件、固件、软件或其任何组合中实现本文所公开的材料。

本文所公开的材料也可以实现为可以由一个或多个处理器读取并 且执行的机器可读介质或存储器上所存储的指令。计算机可读介质可以 包括用于存储或发送机器(例如计算设备)可读的形式的信息的任何介质 和/或机构。例如，机器可读介质可以包括只读存储器(ROM)、随机存取 存储器(RAM)、磁盘存储介质；光存储介质；闪存设备；和/或其它介质。 在另一形式中，非瞬时性物品(例如非瞬时性计算机可读介质)可以用于 以上所提及的任何示例或其它示例，包括可以通过“瞬时”方式临时保 存数据的这些元件(例如RAM等)。

图1示出依据本发明一个实施例的系统的一个例子。依据本发明的 一个实施例，所述系统100可包括可用于新材料控制系统的综合态势管 控系统。如图1所示，在一个实施例中，系统100可包括现场控制系统 102、现场操作员站104、接入交换机106、单向采集网关108、集中监 控中心110、设备管理系统120、工单管理系统130和/或事件通知系统 140等。

在一个实施例中，所述系统100可部署单向采集网关108从现场接 入交换机106上采集流量，利用单向采集网关108计算模块进行预处理 后发送位于集中监控中心110的综合安全态势感知系统118。综合安全 态势感知系统118进行基于态势感知的工控安全事件分析后，对于发现 的安全事件，利用事件处理网关116进行安全事件告警等后续处理。

例如，综合安全态势感知系统118会在分析过程，获得新材料控制 系统中的设备信息和安全事件信息，发送给事件处理网关116。事件处 理网关116可根据设备信息从设备管理系统120中获取该设备的管理员 和操作员信息，通过工单处理系统130把安全事件直接发送给管理员或 操作员进行处理，同时通过事件通知系140发送给管理员或操作员进行告警。

相应的管理人员对事件进行处理后，在工单处理系统130中返回处 理结果。事件处理网关116确认事件已经处置完成后，通过事件通知系 统140发送消息给相应的管理人员通知事件处理结果。

参考图1，集中监控中心110可包括集控工程师站112、集控操作 员站114、事件处理网关116和/或综合安全态势感知系统118等。在一 个实施例，可利用单向采集网关108经由进入交换机106采集现场控制 系统102和/或现场操作员站104中的数据。当综合安全态势感知系统 118通过分析所述数据而检测到安全事件，则关联事件的资产(或设备) 信息，利用事件处理网关116与设备管理系统120的信息进行核对，以 检测设备管理系统120中资产(或设备)信息的变更等，从而及时更新设 备管理系统120的资产库中的资产(或设备)信息。

在一个实施例中，综合安全态势感知系统118可经由单向采集网关 108从现场的接入交换机106上采集来自现场控制系统102和/或现场操 作员站104的流量和/或数据。例如，单向采集网关108可包括用于对所 述采集的流量和/或数据进行预处理以发送到集中监控中心110的综合 安全态势感知系统118的计算模块(未示出)。

综合安全态势感知系统118可用于进行基于态势感知的工控安全事 件分析，利用事件处理网关116对分析所发现的安全事件进行安全事件 告警等处理。例如，综合安全态势感知系统118可在分析过程中获得新 材料控制系统的设备信息和/或安全事件信息，以发送给事件处理网关 116。事件处理网关116可根据所述设备信息从设备管理系统120中获取该设备的管理人员(例如，管理员和/或操作员)信息，以通过工单管理 系统130把安全事件直接发送给管理人员进行处理，和/或例如同时通过 事件通知系统140发送给管理人员进行告警。

相应设备的管理人员可对安全事件进行处理，在工单管理系统130 中返回处理结果。如果事件处理网关116确认所述事件已经处置完成， 则通过事件通知系统140发送消息给相应的管理人员，以通知事件处理 结果。

在一个实施例中，事件处理网关116可具有与设备管理系统120、 工单管理系统130和/或事件通知系统140等一个或多个设备对接的接口， 例如，标准设备查询接口、和/或支持定制与设备管理系统120对接的接 口、综合工单处理流程接口、和/或消息通知接口等。综合安全态势感知 系统118可通过采集现场控制网络(例如，来自现场控制系统102和/或 现场操作员站104)的数据，自动识别设备的互联网协议(Internet Protocol (IP))地址、设备名称、设备类型等信息。综合安全态势感知系统118可 在检测到安全事件时，发送所述设备信息和/或安全事件信息给事件处理 网关116。事件处理网关116可根据接收到的设备的IP地址、设备名称 和/或设备类型等信息发送设备信息查询请求给设备管理系统120。事件 处理网关116可通过设备管理系统120的设备库获得设备的管理人员信 息，和/或从设备库中得到设备的IP地址、设备名称、设备类型等信息。 在一个实施例中，设备管理系统120可用于存储设备的管理人员信息， 和/或IP地址、设备名称、和/或设备类型等设备信息。

事件处理网关116可用于对设备信息进行核查，以比较综合安全态 势感知系统118获得的IP地址、设备名称、和/或设备类型等信息是否 和设备库中的相应设备信息一致。

如果安全事件相对应设备信息和设备管理系统120中的信息有差异， 则事件处理网关116可把差异比较结果作为附件，与安全事件信息一起 通过工单管理系统130发送给设备的管理人员进行处理，和/或通过事件 通知系统140进行告警。相应设备的管理人员对事件进行处理后，可通 过工单管理系统130返回处理结果。事件处理网关116在确认事件已经 处置完成后，通过事件通知系统140发送消息给相应的管理人员事件处 理结果，例如事件已经处理完成。如果相应设备的管理人员确认设备做 过更新，则可通过工单管理系统130经由事件处理网关116回复给设备 管理系统120，以对设备库中的设备/信息进行更新。在一个实施例中， 在设备信息核对后，管理人员可进行设备确认以及对事件进行处理，并把处理结果经由事件处理网关116返回给综合安全态势感知系统118。 例如，管理人员可在进行设备确认的同时对事件进行处理，但本发明不 限于此。

另一方面，如果安全事件相对应的设备信息在设备管理系统120中 不存在，则可能是新设备或违规接入设备，则事件处理网关116可通过 工单管理系统130把安全事件直接发送给管理人员进行处理，和/或通过 事件通知系统140进行告警。例如，可给管理人员提供是新设备还是违 规设备接入的选项，但本发明不限于此。如果管理人员确认是新设备， 则根据该选项把该新设备和/或其信息自动加入到设备管理系统120。如 果不是新设备，工单管理系统130可经由事件处理网关116把管理人员 确认的非合法新设备或违规设备接入的选项返回给综合安全态势感知 系统118。综合安全态势感知系统118可生成违规设备接入安全事件。 在一个实施例中，管理人员可在设备确认的同时对事件进行处理，然后 把处理结果返回事件处理网关116，以转发给综合安全态势感知系统118 进行检测与处理。

如果事件处理网关116对设备信息进行核查后，结果是一致的，则 事件处理网关116可通过工单管理系统130把安全事件直接发送给管理 人员进行处理，和/或可通过事件通知系统140把告警信息发送给管理人 员进行告警。管理人员对事件进行处理后，可经由事件处理网关116把 处理结果返回给综合安全态势感知系统118。综合安全态势感知系统118 可对处理完的事件进行标记，以确认该事件已经处理。

在一个实施例中，如果综合安全态势感知系统118检测到再次出现 与标记已经处理的事件同类的安全事件，则可能是管理人员对事件没有 真正处理完成，则综合安全态势感知系统118还可把原始事件进行关联 后，再次打开，并通过事件处理网关116发送给管理人员进行处理(例如， 如上所述通过工单管理系统130和/或事件通知系统140)。

在一个实施例中，综合安全态势感知系统118可通过单向采集网关 108从现场接入交换机106上采集流量进行安全监测。例如，如果现场 操作员站104由于中了恶意软件开始进行扫描(但本发明不限于所述安 全事件)，综合安全态势感知系统118利用单向采集网关108检测到所述 扫描事件后，可上传例如现场操作员站104的IP地址、操作系统类型和 /或版本信息等设备信息、和/或事件类型。例如，综合安全态势感知系 统118在检测到安全事件时，可根据告警规则把现场操作员站104的IP 地址、操作系统类型和/或版本信息和/或扫描事件类型发送到事件处理 网关116。

事件处理网关116可根据现场操作员站104的IP地址、操作系统 类型和/或版本信息从设备管理系统120中获取该现场操作员站104的管 理人员(例如，管理员和/或操作员)信息，和/或设备管理系统120中所存 储的IP地址、操作系统类型和/或版本信息等信息。

如果事件处理网关116通过比较发现综合安全态势感知系统118检 测到的操作系统的版本信息比设备管理系统120中的新(但本发明不限 于此)，则事件处理网关116可形成操作系统版本差异的结果作为附属信 息，和/或通过工单管理系统130把所述安全事件和所述版本差异信息发 送给所述设备(例如，所述现场操作员站104)的管理人员进行处理。

所述管理人员在对现场操作员站104进行恶意代码清理，并确认现 场操作员站104的操作系统版本进行了升级后，可在处理工单结果中选 择更新操作系统版本。

工单管理系统120可将此工单处理结果返回给事件处理网关116。 在接收到所述返回的工单处理结果，事件处理网关116确认事件已经处 置完成，可通过事件通知系统140将事件处理结果消息发送给所述设备 的相应管理人员。事件处理网关116关闭该安全事件处理流程。

事件处理网关116还可根据工单管理系统130返回的操作系统版本 更新指令，把操作系统版本更新请求发送给设备管理系统120。响应于 接收到所述操作系统版本更新指令，设备管理系统120可对其设备库中 的例如操作系统版本等设备信息进行更新。

如果标记已经处理的安全扫描事件，再次被综合安全态势感知系统 118监测到，则综合安全态势感知系统118可以把原始事件进行关联后， 再次打开安全事件处理流程，并把处置建议通过事件处理网关116经由 工单管理系统130发送给管理人员进行处理。综合安全态势感知系统118 还可根据事件二次处理规则，通过事件通知系统140通知更高一级的安 全管理员和/或直属系统负责人，以进行进一步的分析与处理，从而确保 安全事件被彻底处理完成。

在一个实施例中，所述集中控制中心110可包括一个或多个集控工 程师站112和/或集控操作员站114。现场控制系统102和/或现场操作员 站104可经由接入交换机106接入工业网络，以与所述集控工程师站112 和/或集控操作员站114中的一个或多个进行通信。集控工程师站112和 /或集控操作员站114可用于对现场控制系统102和/或现场操作员站104 的集中控制等，但本发明不限于此。在一个实施例中，所述接入交换机 106可利用例如Scalance X型接入交换机，但本发明不限于此，在另一 个实施例中，接入交换机106可包括其他工业以太网交换机或其他接入 交换机。在另一个实施例中，所述现场控制系统102可包括可编程控制 器或其他控制装置，例如，西门子S7-400，但本发明不限于此。

虽然图1中所示的集中控制中心110可包括一个或多个分立的设备， 但在另一个实施例中，所述一个或多个设备可以是集成的。例如，所述 事件处理网关116可与所述安全态势感知系统118系统集成。在另一个 实施例中，所述设备管理系统120可与所述集中控制中心110和/或所述 综合安全态势感知系统118集成。在另一个实施例中，虽然图1示出分立的工单管理系统130和事件通知系统140，但另一个实施例中，所述 工单管理系统130和事件通知系统140可以是集成的。

在一个实施例中，所述系统100中的一个或多个设备可包括具有电 气模块、控制模块和/或通信模块的控制器等，但本发明不限于此，在另 一个实施例中，所述一个或多个设备可利用计算机或其他电子设备来实 现，或可包括硬件、固件、软件或其各种组合。在另一个实施例中，所 述事件处理网关116可包括用于与综合安全态势管理系统118、设备管理系统120、工单管理系统130和/或事件通知系统140中的一个或多个 进行交互和/或通信的交互接口。

参考图1，在一个实施例中，所述系统100可利用单向采集网关采 集现场控制系统中的数据，在检测到安全事件后，关联事件的资产信息， 利用事件处理网关和设备管理系统的信息进行核对，有助于检测设备管 理系统中资产信息的变更，以及时更新资产库中的资产信息。

在另一个实施例中，通过查询设备管理系统的设备管理人员或责任 人员的信息，可通过工单管理系统和事件通知系统及时通知相关人员进 行事件处理，从而提高事件的响应时间和处置效率。

在又一个实施例中，事件处理网关利用标准的交互接口，可以和工 业生产企业的现有数字化智能系统紧密结合，达到安全事件的及时有效 闭环处理，同时通过和数字化智能制造系统结合，还能提高安全态势感 知系统的检测准确率和资产信息的准确率。

通过及时通知管理员和操作员，还可以把事件通知给安全管理员或 管理层，对企业员工进行安全意识教育，提升安全管理制度的落地执行， 不断提升新材料控制系统的安全管理水平。

通过所述系统中的安全态势感知及安全事件处置，解决了现有态势 感知系统重分析，轻处理的现状，通过安全事件处理网关实现了闭环安 全事件管理，解决了现有工控态势感知系统无法和数字化智能制造系统 较好融合的缺陷，提高了安全事件的处置能力。

图2示出依据本发明一个实施例的方法的流程图。在一个实施例中， 图1所示的集中处理中心110(例如，事件处理网关116)可根据图2所述 的流程来进行安全事件通知/告警等综合态势管控。例如，单向采集网关 108从现场接入交换机上采集流量，利用单向采集网关计算模块进行预 处理后发送位于集中监控中心110的综合安全态势感知系统118。综合 安全态势感知系统118进行基于态势感知的工控安全事件分析后，对于 发现的安全事件，利用事件处理网关116进行安全事件告警等后续处理。

如图2所示，在框202，例如事件处理网关116可接收设备信息和/ 或安全事件信息。参考图1和2，在一个实施例中，所述设备信息和/或 安全事件信息可通过分析经由单向采集网关采集和/或预处理的现场控 制系统和/或现场操作员站的数据和/或关联安全事件的设备(资产)信息 (例如，设备的IP地址、设备名称和/或设备类型等)而获得。

响应于接收到所述设备信息和/或所述安全事件信息，流程进到框 204，以查询设备管理系统(例如，120)。例如，可根据接收到的所述设 备信息把设备信息查询请求发送给设备管理系统(例如，120)。通过查询 设备管理系统的设备库来获得例如设备的管理人员(管理员和/或操作员) 信息，和/或设备的IP地址、设备名称、设备类型、和/或操作系统类型 和版本信息等来自设备管理系统的信息。

在框206，可对设备信息进行核查，例如可比较与安全事件相对应 的设备信息与设备管理系统的设备库中的相应设备信息。在一个实施例 中，可通过比较所获得的IP地址、设备名称、设备类型、和/或操作系 统类型和版本信息等(但本发明不限于此)与设备中的相应设备信息来进 行设备信息核查。

在判断框208，可通过框206的设备信息核查结果来判断所获得的 设备信息是否完备。例如，在一个实施例中，可判断与安全事件相对应 的设备信息与设备库中的相应设备信息是否一致。如果在判断框208判 定所获得的设备信息完备，例如与安全事件相对应的设备信息与设备库 中的相应设备信息一致，则流程进到框212，从而把事件处理请求(例如， 所述安全事件、设备信息、和/或处置建议等信息)发送给相应设备的操 作人员(例如，经由130)和/或进行告警(例如，经由140)，以使操作人员 对安全事件进行处理。

相反，如果在判断框208判定所获得的设备信息不完备，例如，与 安全事件相对应的设备信息与设备库中的相应设备信息有差异或与安 全事件相对应的设备信息在设备库中不存在等，则流程进到框210。在 框210，响应于判定所获得的设备信息不完备，进行设备信息异常提示。

在一个实施例中，如果与安全事件相对应的设备信息与设备库中的 相应设备信息有差异，则把此差异比较结果作为附件，与事件处理请求 等一起发送给相应设备的管理人员和/或进行告警(框212)，以使操作人 员对安全事件进行处理。在另一个实施例中，如果与安全事件相对应的 设备信息在设备库中不存在，可能是新设备或违规接入设备，可把安全 事件处理请求和/或设备信息/处置建议(例如，对于与已处理事件同类的 安全事件)等直接发送给相应设备的管理人员进行处理，和/或进行告警 (框212)。

在框214，可把相应设备的管理人员的处理结果反馈给例如综合安 全态势感知系统118。例如，参考图1，对于设备信息完备的情况，事 件处理网关116可把管理人员对事件进行处理的处理结果反馈给综合安 全态势感知系统118。综合安全态势感知系统118可对处理完的事件进 行标记，以确认事件已经处理。在确认事件已经处置完成后，事件处理 网关116还可通过事件通知系统140发送消息给相应的管理人员事件处 理结果，例如事件已处理完成。

在另一个实施例中，在安全事件相对应设备信息和设备管理系统中 的信息有差异的情况下，相应的管理人员对事件进行处理后，可在例如 工单处理系统130中返回处理结果。如果管理人员确认是设备做过更新， 则可通过事件处理网关116回复给设备管理系统120，以使设备管理系 统120对设备库中的设备进行更新。设备信息核对后，管理人员可在设 备确认的同时对事件进行处理，并把处理结果经由事件处理网关116返 回给综合安全态势感知系统118。

在又一个实施例中，对于安全事件相对应的设备信息在设备管理系 统中不存在的情况，可能是新设备或违规接入设备，相应事件的管理人 员可确认是新设备还是违规设备接入。例如，对于新设备，事件处理网 关116可将此新设备信息反馈给设备管理系统120，以使设备管理系统 120将此新设备自动加入到设备管理系统。如果不是新设备，则事件处理网关116可将经由工单处理系统130接收到的管理人员的非合法新设 备选项返回给综合安全态势感知系统118。响应于该反馈，综合安全态 势感知系统118可生成违规设备接入安全事件。在一个实施例中，管理 人员可以在设备确认的同时对事件进行处理，事件处理网关116可把管 理人员返回的处理结果转发给综合安全态势感知系统118进行检测与处 理。

在框216，事件处理网关116可关闭综合安全态势感知系统118标 记确认处理完的事件。在另一个实施例中，事件处理网关116还可在确 认事件已经处理完成后，发送消息给管理人员事件已处理完成。

图3示出依据本发明另一个实施例的方法的一个例子。如图3所示， 在一个实施例中，所述方法可用于图1所示的集中处理中心110(例如， 事件处理网关116)来进行综合态势管控等。

参考图3，在判断框302，可判断设备信息是否完备。例如，可通 过比较安全事件相对应的设备信息与设备库中的相应设备信息是否一 致的结果来判断所获得的设备信息是否完备。如果在判断框302判定所 获得的设备信息完备，例如与安全事件相对应的设备信息与设备管理系 统120的设备库中的相应设备信息一致，则流程进到框320，从而把事 件处理请求(例如，所述安全事件、设备信息和/或处置建议等信息)发给 相应设备的操作人员和/或进行告警，以使操作人员对安全事件进行处理。 继而，在框322，可接收操作人员返回的处理结果，和/或反馈给综合安 全态势感知系统118。在框324，可关闭综合安全态势感知系统118确 认已处理的事件(例如，标记为已处理)，和/或在确认事件已经处置完成 后通知管理人员事件处理已完成。

相反，如果在判断框208判定所获得的设备信息不完备，例如，与 安全事件相对应的设备信息与设备库中的相应设备信息有差异，则流程 进到框304，以把差异比较结果作为附件。在框306，把事件处理请求 以及差异比较结果和/或处置建议等发给相应设备的管理人员，和/或进 行告警，以进行设备信息异常提示等。在框308，可接收管理人员的处 理结果。如果管理人员确认设备做过更新，还可接收管理人员的更新指 令。在框310，可把管理人员的处理结果反馈给例如综合安全态势感知 系统118，以使综合安全态势感知系统118确认(标记)事件已处理。在框 312，可根据管理人员通过工单处理系统130返回的更新指令，把更新 请求发送给设备管理系统120，以进行设备信息更新，和/或可关闭确认 已处理的事件，和/或例如经由事件通知系统140向管理人员发送例如事 件已处理的结果。

另一方面，如果在判断框302判定与安全事件相对应的设备信息在 设备库中不存在等，则流程进到框314，以把该安全事件的事件处理请 求和/或设备信息和/或处置建议等发送给相应设备的管理人员，和/或进 行告警，以进行设备信息异常提示等。管理人员可在设备确认的同时对 事件进行处理，并返回处理结果事件处理网关。例如，管理人员可确认 是新设备还是违规设备接入。

在框318，可将管理人员返回的处理结果和/或管理人员确认的新设 备选项或违规设备接入选项反馈给综合安全态势感知系统118。例如， 如果管理人员确认设备是新设备，则可返回流程312，以使设备管理系 统120进行更新以加入所述新设备，和/或关闭安全事件和/或发送通知 给管理人员。另一方面，如果是违规接入的非合法新设备，则可返回例如流程320，以按照流程320到326等，把综合安全态势感知系统118 生成的违规设备接入安全事件的事件处理请求、设备信息和/或处置建议 等发送给管理人员，和/或进行告警、和/或接收处理结果、和/或处理结 果反馈以使综合安全态势感知系统进行检测与处理、和/或关闭确认已处 理的安全事件以及发送通知给管理人员。

图4示出依据本发明又一个实施例的方法的流程图。如图4所示， 在一个实施例中，所述方法可用于使图1所示的集中控制中心110(例如， 综合安全态势感知系统118)进行综合态势管控等。

参考图4，在框402，可接收经由例如单向采集网关108采集和/或 预处理的现场流量数据。在框404，可对所述现场流量数据进行分析， 以检测安全事件。在框406，可根据对所述现场流量数据的分析结果来 判断是否存在安全事件。如果安全事件不存在，则流程返回框402，以 继续接收现场流量数据。

另一方面，如果在框406判定检测到安全事件，则流程进到判断框 408，以判断该安全事件是否与标记已处理的事件同类的安全事件。例 如，对于同类安全事件，流程可进到框410，以与原始事件进行关联并 再次打开安全事件处理流程(例如框412到420)，和/或通过事件处理网 关116把处置建议等发送给相应管理人员进行处理。在另一个实施例中，在检测到同类安全事件时，还可根据事件二次处理规则，例如通过事件 通知系统140等通知更高一级安全管理员和/或直属系统负责人，以进行 进一步分析与处理，以确保安全事件被彻底处理完成。但本发明不限于 此，在另一个实施例中，可不对是否是同类安全事件进行检测，流程可 直接进到框412。在另一个实施例中，可不通知更高一级安全安全管理员和/或直属系统负责人。

在框412，可发送设备信息和/或安全事件信息和/或处置建议等，以 使事件处理网关116可给相应管理人员发送事件处理请求和/或进行告 警等。在框414，可例如经由事件处理网关116接收管理人员返回的处 理结果。在框416，可对处理结果进行检测和/或处理。例如，在判断框 418，可根据处理结果判断事件是否已处理完成还是有违规设备接入。在框420，如果判定事件已处理完成，则标记处理完的事件，以确认事 件已经处理。继而，流程可返回框402，以继续进行安全事件检测。

另一方面，如果在判断框418判定有违规设备接入，则在框422生 成违规设备接入安全事件，继而流程返回框412，以按照框412到420 等对此安全事件进行处理，并在框420确认事件已处理，返回框402， 以进行安全事件检测。

图5示出依据本发明再一个实施例的方法的一个例子。参考图5， 在一个实施例中，例如图1所示的工单处理系统130可按照所述方法进 行工单处理等。

如图5所示，在一个实施例中，在框502，可接收来自例如事件处 理网关116的事件处理请求，例如设备信息、安全事件信息、处置建议 (例如，对于与已处理事件同类的安全事件)、和/或设备信息差异等。在 框504，可把接收到的事件处理请求转发给相应设备的管理人员，以使 所述管理人员进行处理。在框506，可把所述管理人员返回的反馈处理 结果、和/或更新指令、和/或设备确认信息等发送给例如事件处理网关 116，以转发给综合安全态势感知系统118进行检测和/或处理。

图6示出依据本发明一个实施例的示例设备600的一个例子。在一 个实施例中，所述设备600可用于实现图1所示的一个或多个设备，例 如，综合安全态势感知系统118、事件处理网关116、设备管理系统120、 工单管理系统130、和/或事件通知系统140，但本发明不限于此。在另 一个实施例中，图1所示的一个或多个设备可以是集成的或分立的。在 一个实施例中，所述设备600可包括一个多个集成电路芯片和/或封装 的各种架构和/或各种计算设备和/或电子设备等。可包括一个或多个处 理器602以及与所述一个或多个处理器602耦合的一个或多个存储器 604。在一个实施例中，所述一个或多个存储器604可包括随机存取存 储器、动态随机存取存储器或静态随机存取存储器等各种存储设备。在 一个实施例中，所述一个或多个存储器604可用于存储可由所述一个或 多个处理器602读取和/或执行的一个或多个指令(例如，机器可读指令 和/或计算机程序)。所述一个或多个指令还可存储于一非易失性机器可 读存储介质上。响应于被执行，所述一个或多个指令使得所述一个或多 个处理器602可实现如图1所示的一个或多个模块，和/或执行如以上参 考图1到5所述的一个或多个操作。在一个实施例中，所述设备600还 具有通信模块以与一个或多个装置进行通信。在一个实施例中，图6仅 示出设备600的一个例子，而非对本发明的限制。

如上所述，依据本发明图1-6所示的实施例，由于本发明的综合态 势管控系统利用单向采集网关采集现场控制系统中的数据，在检测到安 全事件后，关联事件的资产信息，利用事件处理网关和设备管理系统的 信息进行核对，所以有助于检测设备管理系统中资产信息的变更，以及 时更新资产库中的资产信息。

依据本发明的实施例，由于通过查询设备管理系统的设备管理人员 或责任人员的信息，可通过工单管理系统和事件通知系统及时通知相关 人员进行事件处理，从而提高事件的响应时间和处置效率。

依据本发明的实施例，由于事件处理网关利用标准的交互接口，可 以和工业生产企业的现有数字化智能系统紧密结合，达到安全事件的及 时有效闭环处理，同时通过和数字化智能制造系统结合，还能提高安全 态势感知系统的检测准确率和资产信息的准确率。

通过及时通知管理员和操作员，还可以把事件通知给安全管理员或 管理层，对企业员工进行安全意识教育，提升安全管理制度的落地执行， 不断提升新材料控制系统的安全管理水平。

通过新材料控制系统中的安全态势感知及安全事件处置，解决了现 有态势感知系统重分析，轻处理的现状，通过安全事件处理网关实现了 闭环安全事件管理，解决了现有工控态势感知系统无法和数字化智能制 造系统较好融合的缺陷，提高了安全事件的处置能力。

以上所述仅为本发明的实施例，并不用以限制本发明。凡在本发明 精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发 明的保护范围之内。