CN110049015A - 网络安全态势感知系统 - Google Patents
网络安全态势感知系统 Download PDFInfo
- Publication number
- CN110049015A CN110049015A CN201910207148.5A CN201910207148A CN110049015A CN 110049015 A CN110049015 A CN 110049015A CN 201910207148 A CN201910207148 A CN 201910207148A CN 110049015 A CN110049015 A CN 110049015A
- Authority
- CN
- China
- Prior art keywords
- data
- monitoring
- monitoring unit
- electric power
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 328
- 238000004519 manufacturing process Methods 0.000 claims abstract description 70
- 238000004458 analytical method Methods 0.000 claims abstract description 51
- 238000012546 transfer Methods 0.000 claims abstract description 5
- 238000007726 management method Methods 0.000 claims description 62
- 238000012550 audit Methods 0.000 claims description 32
- 230000002093 peripheral effect Effects 0.000 claims description 22
- 230000003542 behavioural effect Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000007619 statistical method Methods 0.000 claims description 5
- 230000036544 posture Effects 0.000 claims description 4
- 230000009471 action Effects 0.000 claims description 3
- 230000005611 electricity Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 33
- 238000004891 communication Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000000034 method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000009434 installation Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003472 neutralizing effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
本申请涉及一种网络安全态势感知系统,包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统;控制区系统包括连接总线的第一采集装置;非控制区系统包括连接总线的第二采集装置和非控制区服务器;生产管理区系统包括连接总线的第三采集装置和生产管理区服务器;其中,第一采集装置、第二采集装置和第三采集装置用于采集电力监控系统内产生的安全事件数据,并通过总线传输给非控制区服务器和生产管理区服务器;非控制区服务器、生产管理区服务器用于分析安全事件数据,并依据分析安全事件数据得到的结果对电力监控系统的网络安全进行监控。通过实时采集安全事件数据,并对数据进行分析实现对电力监控系统的网络安全进行监控。
Description
技术领域
本申请涉及电力监控系统网络安全技术领域,特别是涉及一种网络安全态势感知系统。
背景技术
电力系统作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业和国家安全。因此,严格地监控电力系统的网络安全至关重要,但是,在实现过程中,发明人发现传统技术中至少存在如下问题:传统技术无法全面地监控电力系统的网络安全。
发明内容
基于此,有必要针对传统技术无法全面地监控电力系统的网络安全的问题,提供一种网络安全态势感知系统。
为了实现上述目的,一方面,本申请实施例提供了一种网络安全态势感知系统,包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统;
控制区系统包括连接总线的第一采集装置;非控制区系统包括连接总线的第二采集装置和非控制区服务器;生产管理区系统包括连接总线的第三采集装置和生产管理区服务器;
其中,第一采集装置、第二采集装置和第三采集装置用于采集电力监控系统内产生的安全事件数据,并通过总线传输给非控制区服务器和生产管理区服务器;非控制区服务器、生产管理区服务器用于分析安全事件数据,并依据分析安全事件数据得到的结果对电力监控系统的网络安全进行监控。
在其中一个实施例中,非控制区服务器包括第一自身脆弱性监控模块;生产管理区服务器包括第二自身脆弱性监控模块;
第一自身脆弱性监控模块、第二自身脆弱性监控模块用于分析安全事件数据中的电力监控系统内部数据,并依据分析电力监控系统内部数据得到的结果对电力监控系统进行自身脆弱性监控。
在其中一个实施例中,第一自身脆弱性监控模块包括第一资产监控单元、第一拓扑关系监控单元和第一主机运行状态监控单元;第二自身脆弱性监控模块包括第二资产监控单元、第二拓扑关系监控单元和第二主机运行状态监控单元;
电力监控系统内部数据包括资产数据、拓扑连接数据和主机状态数据;
第一资产监控单元、第二资产监控单元用于分析资产数据,并依据分析资产数据得到的结果对电力监控系统的资产进行监控告警;
第一拓扑关系监控单元、第二拓扑关系监控单元用于分析拓扑连接数据,并依据分析拓扑连接数据得到的结果对电力监控系统的拓扑连接关系进行监控;
第一主机运行状态监控单元、第二主机运行状态监控单元用于分析主机状态数据,并依据分析主机状态数据得到的结果对电力监控系统的主机设备进行监控。
在其中一个实施例中,第一自身脆弱性监控模块还包括第一设备开放服务监控单元、第一系统配置监控单元和第一系统漏洞监控单元;第二自身脆弱性监控模块还包括第二设备开放服务监控单元、第二系统配置监控单元和第二系统漏洞监控单元;
电力监控系统内部数据还包括开放服务状态数据、配置数据和系统状态数据;
第一设备开放服务监控单元、第二设备开放服务监控单元用于分析开放服务状态数据,并依据分析开放服务状态数据得到的结果对电力监控系统的开放服务进行监控;
第一系统配置监控单元、第二系统配置监控单元用于分析配置数据,并依据分析配置数据得到的结果对电力监控系统的配置进行监控;
第一系统漏洞监控单元、第二系统漏洞监控单元用于分析系统状态数据,并依据分析系统状态数据得到的结果对电力监控系统的系统漏洞进行监控。
在其中一个实施例中,非控制区服务器包括第一外部威胁监控模块;生产管理区服务器包括第二外部威胁监控模块;
第一外部威胁监控模块、第二外部威胁监控模块用于分析安全事件数据中的电力监控系统外部数据,并依据分析电力监控系统外部数据结果对电力监控系统进行外部威胁监控。
在其中一个实施例中,第一外部威胁监控模块包括第一网络行为监控单元和第一外设接入监控单元;第二外部威胁监控模块包括第二网络行为监控单元和第二外设接入监控单元;
电力监控系统外部数据包括网络行为数据和外接设备数据;
第一网络行为监控单元、第二网络行为监控单元用于分析网络行为数据,并依据分析网络行为数据得到的结果对电力监控系统的网络行为进行监控;
第一外设接入监控单元、第二外设接入监控单元用于分析外接设备数据,并依据分析外接设备数据得到的结果对电力监控系统的外接设备进行监控。
在其中一个实施例中,第一外部威胁监控模块还包括第一登录操作监控单元和第一程序代码监控单元;第二外部威胁监控模块还包括第二登录操作监控单元和第二程序代码监控单元;
电力监控系统外部数据还包括登录行为数据和程序代码数据;
第一登录操作监控单元、第二登录操作监控单元用于分析登录行为数据,并依据分析登录行为数据得到的结果对电力监控系统的登录操作进行监控;
第一程序代码监控单元、第一程序代码监控单元用于分析程序代码数据,并依据分析程序代码数据得到的结果对电力监控系统的程序进行监控。
在其中一个实施例中,非控制区服务器包括第一综合审计单元;生产管理区服务器包括第二综合审计单元;
第一综合审计单元、第二综合审计单元用于分析数据中的历史网络安全态势数据,并依据分析历史网络安全态势数据得到的结果对电力监控系统的历史行为进行监控统计。
在其中一个实施例中,非控制区服务器包括前置服务器、应用服务器和数据库服务器;
生产管理区服务器包括前置服务器、应用服务器和数据库服务器。
在其中一个实施例中,非控制区系统还包括非控制区大数据服务器;生产管理区系统还包括生产管理区大数据服务器;
其中,非控制区大数据服务器、生产管理区大数据服务器用于接收第一采集装置、第二采集装置和第三采集装置传输的电力监控系统内产生的网络流量信息,并依据网络流量信息对电力监控系统的系统行为进行统计分析。
上述技术方案中的一个技术方案具有如下优点和有益效果:
网络安全态势感知系统包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统;控制区系统包括连接总线的第一采集装置;非控制区系统包括连接总线的第二采集装置和非控制区服务器;生产管理区系统包括连接总线的第三采集装置和生产管理区服务器;其中,第一采集装置、第二采集装置和第三采集装置用于采集电力监控系统内产生的系统安全,并通过总线传输给非控制区服务器和生产管理区服务器;非控制区服务器、生产管理区服务器用于分析系统安全数据,并依据分析系统安全的结果对电力监控系统的网络安全进行监控,因此,通过在电力监控系统中的控制区、非控制区以及生产管理区对应设置采集装置和服务器,实时采集电力监控系统中的数据,并对数据进行分析实现对电力监控系统的网络安全进行监控。
附图说明
图1为一个实施例中本申请网络安全态势感知系统的结构示意图;
图2为一个实施例中本申请网络安全态势感知系统的使用安装示意图。
具体实施方式
为了便于理解本申请,下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的首选实施例。但是,本申请可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本申请的公开内容更加透彻全面。
需要说明的是,当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件并与之结合为一体,或者可能同时存在居中元件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
为了解决传统技术无法全面地监控电力系统的网络安全的问题,在一个实施例中,如图1所示,提供了一种网络安全态势感知系统,包括通过总线相互连接的控制区系统11、非控制区系统13以及生产管理区系统15;
控制区系统11包括连接总线的第一采集装置111;非控制区系统13包括连接总线的第二采集装置131和非控制区服务器133;生产管理区系统15包括连接总线的第三采集装置151和生产管理区服务器153;
其中,第一采集装置111、第二采集装置131和第三采集装置151用于采集电力监控系统19内产生的安全事件数据,并通过总线17传输给非控制区服务器13和生产管理区服务器15;非控制区服务器13、生产管理区服务器15用于分析安全事件数据,并依据分析安全事件数据得到的结果对电力监控系统19的网络安全进行监控。
需要说明的是,本申请网络安全态势感知系统可独立于电力监控系统,并用于监控电力监控系统的网络安全,也可将本申请网络安全态势感知系统植入电路监控系统内,用于监控电力监控系统的网络安全。网络安全态势感知系统内各部分基于数据流架构进行数据传输,数据流架构包括控制通道和数据通道,具体的,基于控制通道传输控制指令,包括基线核查指令、漏洞扫描指令,基于数据通道传输安全事件数据,还传输电力监控系统的非控制区、生产管理区内的日志。其中,电力监控系统可根据业务系统的安全等级划分为控制区、非控制区以及生产管理区。具体而言,控制区安全等级最高,其中业务系统与电力调度生产直接相关,有对一次系统的在线监控和闭环控制功能,非控制区安全等级仅次于控制区,其中业务系统功能与电力生产直接相关,但不直接参与控制,生产管理区安全等级次于非控制区,业务系统与电力调度生产管理工作直接相关。
控制区系统、非控制区系统和生产管理区系统通过总线连接构成本申请网络安全态势感知系统。具体,总线包括数据总线和控制总线,在控制区系统、非控制区系统和生产管理区系统之间形成数据通道以及控制通道。数据通道用于负责传输第一采集装置、第二采集装置和第三采集装置采集的安全事件数据。控制通道用于负责传输控制指令,具体包括基线核查指令、漏洞扫描指令。如图2所示,在一个示例中,控制区系统、非控制区系统、生产管理区系统之间通过网络交换机进行连接,进一步的,控制区系统与非控制区系统连接有横向互联防火墙,非控制区系统与生产管理区系统之间设有隔离阵列。
第一采集装置、第二采集装置和第三采集装置接入电力监控系统的网络内,具体第一采集装置、第二采集装置和第三采集装置的安装位置以及安装数量可根据电力监控系统的大小而定。具体的,第一采集装置用于采集电力监控监控系统的控制区内的安全事件数据,并通过总线将安全事件数据传输给非控制区服务器和生产管理区服务器;第二采集装置用于采集电力监控系统的非控制区内采的集安全事件数据,并通过总线将安全事件数据传输给非控制区服务器和生产管理区服务器;第三采集装置用于采集电力监控系统的生产管理区内的安全事件数据,并通过总线将安全事件数据传输给非控制区服务器和生产管理区服务器。如图2所示,第一采集装置通过控制内的互联网交换机接收电力监控系统的控制区内的安全事件数据,还通过控制区内的前置交换机、纵向加密认证装置连接调度数据网/实时子网;第二采集装置通过非控制区内的前置交换机、纵向加密认证装置连接调度数据网/实时子网;第二采集装置通过生产管理区内的互联交换机综合数据网。为了避免非控制区服务器和生产管理区服务器处理的数据重复减轻其工作负担,在一个示例中,第二采集装置采集的安全事件数据直接传输给非控制区服务器,第三采集装置采集的安全事件数据直接传输给生产管理区服务器,而第一采集装置采集的安全事件数据可根据实现传输给非控制区服务器或生产管理区服务器。
非控制区服务器、生产管理区服务器用于分析接收到的安全事件数据,并依据分析安全事件数据得到的结果对电力监控系统的网络安全进行监控。在一个示例中,非控制区服务器包括前置服务器、应用服务器和数据库服务器;生产管理区服务器包括前置服务器、应用服务器和数据库服务器,采用冗余配置可保证网络安全态势感知系统的稳定性。
在一个具体的实施例中,非控制区服务器包括第一自身脆弱性监控模块;生产管理区服务器包括第二自身脆弱性监控模块;第一自身脆弱性监控模块、第二自身脆弱性监控模块用于分析安全事件数据中的电力监控系统内部数据,并依据分析电力监控系统内部数据得到的结果对电力监控系统进行自身脆弱性监控。需要说明的是,对电力监控系统进行自身脆弱性监控是指对电力监控系统资产、防护措施的安全状态以及合规程度进行监控,具体的包括资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞等方面。
在一个示例中,第一自身脆弱性监控模块包括第一资产监控单元、第一拓扑关系监控单元和第一主机运行状态监控单元;第二自身脆弱性监控模块包括第二资产监控单元、第二拓扑关系监控单元和第二主机运行状态监控单元;
电力监控系统内部数据包括资产数据、拓扑连接数据和主机状态数据;
第一资产监控单元、第二资产监控单元用于分析资产数据,并依据分析资产数据得到的结果对电力监控系统的资产进行监控;
第一拓扑关系监控单元、第二拓扑关系监控单元用于分析拓扑连接数据,并依据分析拓扑连接数据得到的结果对电力监控系统的拓扑连接关系进行监控;
第一主机运行状态监控单元、第二主机运行状态监控单元用于分析主机状态数据,并依据分析主机状态数据得到的结果对电力监控系统的主机设备进行监控。
需要说明的是,第一资产监控单元、第二资产监控单元实现对电力监控系统资产维护后的合法资产和非法资产进行实时监控,并对非法接入资产实时告警。
第一拓扑关系监控单元、第二拓扑关系监控单元实现对电力监控系统的拓扑连接关系进行监控,具体以拓扑图的形式展示监控对象的整体运行状态,具备以下功能:1)支持根据拓扑连接关系,自动拼接生成拓扑图;2)拓扑图支持按调度分区进行筛选,支持拓扑分层展示;3)拓扑图支持脆弱性、威胁度的关联展示;4)支持对采集装置上送的拓扑连接关系信息进行拼接维护;5)支持对拼接维护的拓扑连接关系信息与组织结构进行挂接,并进行命名标识。
第一主机运行状态监控单元、第二主机运行状态监控单元实现对电力监控系统的主机设备进行监控,具体实现对主机设备的运行状态实时监控和告警,包括主机设备的在离线、CPU(Central Processing Unit,中央处理器)利用率、内存利用率、磁盘使用率、网口状态;实现对嵌入式主机设备的运行状态实时监控和告警,包括嵌入式主机设备的在离线;实现对网络设备的运行状态实时监控和告警,包括网络设备的在离线、CPU利用率、内存利用率、网口状态;实现对安全设备的运行状态实时监控和告警,分别包括纵向加密认证装置的在离线、CPU利用率、内存利用率、备机心跳、隧道建立错误等;正反向隔离装置的在离线、CPU利用率、内存利用率;硬件防火墙设备的在离线、CPU利用率、内存利用率,网口状态。还实现运行状态告警阈值(包括CPU、内存、硬盘)规则的查询、新增、修改、删除等功能。
在又一个示例中,第一自身脆弱性监控模块还包括第一设备开放服务监控单元、第一系统配置监控单元和第一系统漏洞监控单元;第二自身脆弱性监控模块还包括第二设备开放服务监控单元、第二系统配置监控单元和第二系统漏洞监控单元;
电力监控系统内部数据还包括开放服务状态数据、配置数据和系统状态数据;
第一设备开放服务监控单元、第二设备开放服务监控单元用于分析开放服务状态数据,并依据分析开放服务状态数据得到的结果对电力监控系统的开放服务进行监控;
第一系统配置监控单元、第二系统配置监控单元用于分析配置数据,并依据分析配置数据得到的结果对电力监控系统的配置进行监控;
第一系统漏洞监控单元、第二系统漏洞监控单元用于分析系统状态数据,并依据分析系统状态数据得到的结果对电力监控系统的系统漏洞进行监控。
需要说明的是,第一设备开放服务监控单元、第二设备开放服务监控单元实现对设备开放性服务进行扫描,实现对设备开放性服务情况的实时监控,在一个示例中,对设备端口进行批量扫描,实现设备开放端口及服务情况的实时监控,具体包括端口扫描情况、端口数量情况,端口详情信息等,进一步的,还实现按分区、地区、专业对高危端口及高危主机的最新数量情况进行实时统计,并实现端口扫描功能管理、高危端口管理、无连接端口时长设置。
第一系统配置监控单元、第二系统配置监控单元实现按照检查分类展示最近一次核查结果,包含检查类型、评估项、指标描述、合规率、核查资产的资产详情等,还实现列表展示核查指标详情,包含指标类型、指标描述等信息,还实现对核查服务开关、扫描周期的配置和下发,实现对配置核查脚本的导入、配置和下发;
第一系统漏洞监控单元、第二系统漏洞监控单元用于监控电力监控系统的系统安全,实现对电力监控系统的主机进行漏洞扫描,调用的方式支持自动周期性扫描设备以及人工触发式扫描设备。支持主动收集第三方漏洞扫描器的扫描结果数据,实现对漏洞扫描的结果进行统计分析,支持多维度多方式展示设备存在的轻微漏洞、一般漏洞、危险漏洞、高危漏洞。支持以服务、应用、系统、威胁、时间、CEV为维度实时统计漏洞数量分布的最新情况,内容主要包括漏洞名称、影响主机数、影响主机比例、漏洞类别、扫描时间等,查看影响主机列表详情。支持对资产基本信息进行漏洞扫描周期、扫描任务开关的参数配置。
在又一个具体的实施例中,非控制区服务器包括第一外部威胁监控模块;生产管理区服务器包括第二外部威胁监控模块;
第一外部威胁监控模块、第二外部威胁监控模块用于分析安全事件数据中的电力监控系统外部数据,并依据分析电力监控系统外部数据结果对电力监控系统进行外部威胁监控。需要说明的是,电力监控系统外部数据结果对电力监控系统进行外部威胁监控是指实现对电力监控系统资产可能受到的来自外部安全侵害进行监控,包括网络行为、外设接入、登录操作和程序代码等内容。
在一个示例中,第一外部威胁监控模块包括第一网络行为监控单元和第一外设接入监控单元;第二外部威胁监控模块包括第二网络行为监控单元和第二外设接入监控单元;
电力监控系统外部数据包括网络行为数据和外接设备数据;
第一网络行为监控单元、第二网络行为监控单元用于分析网络行为数据,并依据分析网络行为数据得到的结果对电力监控系统的网络行为进行监控;
第一外设接入监控单元、第二外设接入监控单元用于分析外接设备数据,并依据分析外接设备数据得到的结果对电力监控系统的外接设备进行监控。
需要说明的是,第一网络行为监控单元,第二网络行为监控单元支持各类网络行为的实时监控,监控内容包括网络接入、非法通信、可疑文件。支持交换机网口接入设备的实时监控,并能够判断发现非法接入和跨区互联。支持网络中通信关系的实时监控,包括通信五元组(通信客户端/通信服务端IP(Internet Protocol Address,互联网协议地址)、通信客户端/通信服务端端口、协议、通信开始时间、通信结束时间)等信息;支持将网络中通信关系与通信关系白名单进行实时比对,实现对网络中非法通信的实时告警;支持对网络中可疑文件的实时监控,包括文件类型、文件名称、传输协议、文件大小、文件来源、通讯时间等;支持对网络中传输可疑文件的实时告警。
第一外设接入监控单元、第二外设接入监控单元实现主机设备的接口(例如,USB接口)接入、拔出的外接设备进行实时监控,包括外接设备的类型、厂家、序列号(可空)等,还实现外接设备的白名单设置,具体根据设备序列号,设置外接设备接入白名单,在设定周期内,网络安全态势感知系统将屏蔽该类外接设备的告警。
在又一个示例中,第一外部威胁监控模块还包括第一登录操作监控单元和第一程序代码监控单元;第二外部威胁监控模块还包括第二登录操作监控单元和第二程序代码监控单元;
电力监控系统外部数据还包括登录行为数据和程序代码数据;
第一登录操作监控单元、第二登录操作监控单元用于分析登录行为数据,并依据分析登录行为数据得到的结果对电力监控系统的登录操作进行监控;
第一程序代码监控单元、第一程序代码监控单元用于分析程序代码数据,并依据分析程序代码数据得到的结果对电力监控系统的程序进行监控。
需要说明的是,第一登录操作监控单元,第二登录操作监控单元实现对设备登录行为(登录成功、登录失败)及登录时间内相关设备操作指令的实时监控;实现对设备登录行为及可疑操作指令的实时告警;实现对登录后不能进行操作的所有非法命令进行新增、修改、删除的配置。
第一程序代码监控单元、第一程序代码监控单元实现对电力监控系统关键程序变更情况的实时监控,包括文件名、文件路径、文件MD5等;实现对关键程序的配置;实现对关键程序变更的实时告警;实现对系统需要关注程序的多个关键文件进行配置,主要配置关键文件的文件名称、文件路径等信息;实现对采集装置上送的资产变化通知信息进行人工确认,若确认为合法资产则进行进一步的资产信息拼接及维护;实现对资产进行信息拼接和维护,拼接和维护的信息包含同一资产对象的多网口信息拼接及资产管理属性信息人工录入维护等;实现将注册后的合法资产下发采集装置。
在另一个具体的实施例中,非控制区服务器包括第一综合审计单元;生产管理区服务器包括第二综合审计单元;
第一综合审计单元、第二综合审计单元用于分析数据中的历史网络安全态势数据,并依据分析历史网络安全态势数据得到的结果对电力监控系统的历史行为进行监控统计。
需要说明的是,对电力监控系统的历史行为进行监控统计是指实现对电力监控系统的历史网络安全态势的分析,包括脆弱性、威胁度相关历史数据的统计和分析等。
在一个示例中,第一综合审计单元包括第一资产审计单元、第一拓扑关系审计单元、第一主机运行状态审计单元、第一设备端口审计单元、第一系统配置审计单元、第一网络行为审计单元、第一外设接入审计单元、第一登录操作审计单元和第一程序代码审计单元;第二综合审计单元包括第二资产审计单元、第二拓扑关系审计单元、第二主机运行状态审计单元、第二设备端口审计单元、第二系统配置审计单元、第二网络行为审计单元、第二外设接入审计单元、第二登录操作审计单元和第二程序代码审计单元。
第一综合审计单元、第二综合审计单元用于实现对电力监控系统相关历史网络安全态势数据进行统计和分析,包括资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞等在内的自身脆弱性进行统计和分析。
具体而言,第一资产审计单元、第二资产审计单元实现对注册资产的变更(新增、移除)进行审计,审计内容包括资产变更类型、资产发现时间等。
第一拓扑关系审计单元、第二拓扑关系审计单元实现对电力监控系统主站和厂站的拓扑图进行审计,支持对主站和厂站互联拓扑关系在首次生成和发生变化时形成拓扑快照,支持自动形成主站和厂站互联拓扑关系本次与前次拓扑快照的比对结果。
第一主机运行状态审计单元、第二主机运行状态审计单元实现对设备运行状态进行审计,审计内容包括CPU使用率、内存使用率、磁盘空间使用率等。
第一设备端口审计单元、第二设备端口审计单元实现对设备端口开放进行审计,审计内容包括端口数量、端口号、端口网络连接情况等,审计内容支持按分区、地域、专业、整改情况进行统计。
第一系统配置审计单元、第二系统配置审计单元实现对配置合规进行审计,审计内容包括设备不合规配置项等,审计内容支持按分区、地域、专业、整改情况进行统计。
第一外设接入审计单元、第二外设接入审计单元实现对电力监控系统资产可能受到的来自外部的安全侵害进行审计分析,包括网络行为、外设接入、登录操作和程序代码等内容。
第一网络行为审计单元、第二网络行为审计单元支持对设备接入网络的行为进行审计,审计内容包括非法外联告警、跨区互联告警、非法接入设备的端口信息等内容;支持对网络流量的通信关系进行审计,审计内容包括源IP、目的IP、源端口、目的端口、通信协议等,审计内容支持按分区、地域、专业、整改情况进行统计;支持对网络流量传播的可疑文件进行审计,审计内容包括按文件检测结果、可疑文件传播次数等。网络行为的审计内容支持按分区、地域、专业、整改情况进行统计,进一步的,还实现对系统漏洞进行审计,审计内容包括漏洞数量、漏洞类型、漏洞等级等,审计内容支持按分区、地域、专业、整改情况进行统计。
第一外设接入审计单元、第一外设接入审计单元实现对主机设备的接口(USB接口)外接设备的接入行为进行审计,审计内容包括接入的设备,接入时长、接入次数等。
第一登录操作审计单元、第二登录操作审计单元实现对用户登录操作系统的行为及其登录期间历时操作指令的审计,审计内容包括登录用户、登录时间、操作指令等。
第一程序代码审计单元、第二程序代码审计单元实现对主机操作系统上的关键程序变更进行审计,审计内容包括文件变化情况、文件变化次数等、文件变化时间等,审计内容支持按分区、地域、专业、整改情况进行统计。
在一个具体的实施例中,非控制区系统还包括非控制区大数据服务器;生产管理区系统还包括生产管理区大数据服务器;
其中,非控制区大数据服务器、生产管理区大数据服务器用于接收第一采集装置、第二采集装置和第三采集装置传输的电力监控系统内产生的网络流量信息,并依据网络流量信息对电力监控系统的系统行为进行统计分析。
需要说明的是,非控制区大数据服务器、生产管理区大数据服务器实现对接收到的网络流量信息进行分布式存储、处理以及告警分析,实现基于大数据架构在指定时间范围内网络流量信息的多维度多方式组合智能全文检索,网络流量信息包含客户端IP,客户端端口,服务端IP,服务端端口,协议五元组等信息,并根据时间段进行次数的统计汇总;实现对海量网络流量信息基于通信关系白名单对异常通信告警进行实时处理;还实现对采集装置采集的未解析日志信息进行分布式存储,可以分时间、设备、端口等为多维度实时进行统计分析,为人工分析未解析日志提供工具支持,支持更新下发日志范式化解析脚本,实现对采集装置未解析日志的自动解析。
本申请网络安全态势感知系统的各实施例中,网络安全态势感知系统包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统;控制区系统包括连接总线的第一采集装置;非控制区系统包括连接总线的第二采集装置和非控制区服务器;生产管理区系统包括连接总线的第三采集装置和生产管理区服务器;其中,第一采集装置、第二采集装置和第三采集装置用于采集电力监控系统内产生的系统安全数据,并通过总线传输给非控制区服务器和生产管理区服务器;非控制区服务器、生产管理区服务器用于分析系统安全,并依据分析系统安全的结果对电力监控系统的网络安全进行监控,因此,通过在电力监控系统中的控制区、非控制区以及生产管理区对应设置采集装置和服务器,实时采集电力监控系统中的数据,并对数据进行分析实现对电力监控系统的网络安全进行监控。
进一步的,实现对电力监控系统的网络安全风险进行实时感知与预警;实现对电力监控系统的网络安全攻击路径进行分析与事件溯源;实现对电力监控系统网络安全趋势进行预测。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络安全态势感知系统,其特征在于,包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统;
所述控制区系统包括连接所述总线的第一采集装置;所述非控制区系统包括连接所述总线的第二采集装置和非控制区服务器;所述生产管理区系统包括连接所述总线的第三采集装置和生产管理区服务器;
其中,所述第一采集装置、所述第二采集装置和所述第三采集装置用于采集电力监控系统内产生的安全事件数据,并通过所述总线传输给非控制区服务器和生产管理区服务器;所述非控制区服务器、所述生产管理区服务器用于分析所述安全事件数据,并依据分析所述安全事件数据得到的结果对所述电力监控系统的网络安全进行监控。
2.根据权利要求1所述的网络安全态势感知系统,其特征在于,所述非控制区服务器包括第一自身脆弱性监控模块;所述生产管理区服务器包括第二自身脆弱性监控模块;
所述第一自身脆弱性监控模块、所述第二自身脆弱性监控模块用于分析所述安全事件数据中的电力监控系统内部数据,并依据分析所述电力监控系统内部数据得到的结果对所述电力监控系统进行自身脆弱性监控。
3.根据权利要求2所述的网络安全态势感知系统,其特征在于,所述第一自身脆弱性监控模块包括第一资产监控单元、第一拓扑关系监控单元和第一主机运行状态监控单元;所述第二自身脆弱性监控模块包括第二资产监控单元、第二拓扑关系监控单元和第二主机运行状态监控单元;
所述电力监控系统内部数据包括资产数据、拓扑连接数据和主机状态数据;
所述第一资产监控单元、所述第二资产监控单元用于分析所述资产数据,并依据分析所述资产数据得到的结果对所述电力监控系统的资产进行监控告警;
所述第一拓扑关系监控单元、所述第二拓扑关系监控单元用于分析所述拓扑连接数据,并依据分析所述拓扑连接数据得到的结果对所述电力监控系统的拓扑连接关系进行监控;
所述第一主机运行状态监控单元、所述第二主机运行状态监控单元用于分析所述主机状态数据,并依据分析所述主机状态数据得到的结果对所述电力监控系统的主机设备进行监控。
4.根据权利要求3所述的网络安全态势感知系统,其特征在于,所述第一自身脆弱性监控模块还包括第一设备开放服务监控单元、第一系统配置监控单元和第一系统漏洞监控单元;所述第二自身脆弱性监控模块还包括第二设备开放服务监控单元、第二系统配置监控单元和第二系统漏洞监控单元;
所述电力监控系统内部数据还包括开放服务状态数据、配置数据和系统状态数据;
所述第一设备开放服务监控单元、所述第二设备开放服务监控单元用于分析所述开放服务状态数据,并依据分析所述开放服务状态数据得到的结果对所述电力监控系统的开放服务进行监控;
所述第一系统配置监控单元、所述第二系统配置监控单元用于分析所述配置数据,并依据分析所述配置数据得到的结果对所述电力监控系统的配置进行监控;
所述第一系统漏洞监控单元、所述第二系统漏洞监控单元用于分析所述系统状态数据,并依据分析所述系统状态数据得到的结果对所述电力监控系统的系统漏洞进行监控。
5.根据权利要求1所述的网络安全态势感知系统,其特征在于,所述非控制区服务器包括第一外部威胁监控模块;所述生产管理区服务器包括第二外部威胁监控模块;
所述第一外部威胁监控模块、所述第二外部威胁监控模块用于分析所述安全事件数据中的电力监控系统外部数据,并依据分析所述电力监控系统外部数据得到的结果对所述电力监控系统进行外部威胁监控。
6.根据权利要求5所述的网络安全态势感知系统,其特征在于,所述第一外部威胁监控模块包括第一网络行为监控单元和第一外设接入监控单元;所述第二外部威胁监控模块包括第二网络行为监控单元和第二外设接入监控单元;
所述电力监控系统外部数据包括网络行为数据和外接设备数据;
所述第一网络行为监控单元、所述第二网络行为监控单元用于分析所述网络行为数据,并依据分析所述网络行为数据得到的结果对所述电力监控系统的网络行为进行监控;
所述第一外设接入监控单元、所述第二外设接入监控单元用于分析所述外接设备数据,并依据分析所述外接设备数据得到的结果对所述电力监控系统的外接设备进行监控。
7.根据权利要求6所述的网络安全态势感知系统,其特征在于,所述第一外部威胁监控模块还包括第一登录操作监控单元和第一程序代码监控单元;所述第二外部威胁监控模块还包括第二登录操作监控单元和第二程序代码监控单元;
所述电力监控系统外部数据还包括登录行为数据和程序代码数据;
所述第一登录操作监控单元、所述第二登录操作监控单元用于分析所述登录行为数据,并依据分析所述登录行为数据得到的结果对所述电力监控系统的登录操作进行监控;
所述第一程序代码监控单元、所述第一程序代码监控单元用于分析所述程序代码数据,并依据分析所述程序代码数据得到的结果对所述电力监控系统的程序进行监控。
8.根据权利要求1所述的网络安全态势感知系统,其特征在于,所述非控制区服务器包括第一综合审计单元;所述生产管理区服务器包括第二综合审计单元;
所述第一综合审计单元、所述第二综合审计单元用于分析所述数据中的历史网络安全态势数据,并依据分析所述历史网络安全态势数据得到的结果对所述电力监控系统的历史行为进行监控统计。
9.根据权利要求1至8任一项所述的网络安全态势感知系统,其特征在于,所述非控制区服务器包括前置服务器、应用服务器和数据库服务器;所述生产管理区服务器包括前置服务器、应用服务器和数据库服务器。
10.根据权利要求1所述的网络安全态势感知系统,其特征在于,所述非控制区系统还包括非控制区大数据服务器;所述生产管理区系统还包括生产管理区大数据服务器;
其中,所述非控制区大数据服务器、所述生产管理区大数据服务器用于接收所述第一采集装置、所述第二采集装置和所述第三采集装置传输的所述电力监控系统内产生的网络流量信息,并依据所述网络流量信息对所述电力监控系统的系统行为进行统计分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910207148.5A CN110049015B (zh) | 2019-03-19 | 2019-03-19 | 网络安全态势感知系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910207148.5A CN110049015B (zh) | 2019-03-19 | 2019-03-19 | 网络安全态势感知系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110049015A true CN110049015A (zh) | 2019-07-23 |
| CN110049015B CN110049015B (zh) | 2020-07-21 |
Family
ID=67274945
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910207148.5A Active CN110049015B (zh) | 2019-03-19 | 2019-03-19 | 网络安全态势感知系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110049015B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111262862A (zh) * | 2020-01-16 | 2020-06-09 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
| CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
| CN113824682A (zh) * | 2021-08-12 | 2021-12-21 | 浙江木链物联网科技有限公司 | 一种模块化的scada安全态势感知系统架构 |
| CN113824682B (zh) * | 2021-08-12 | 2024-05-31 | 浙江木链物联网科技有限公司 | 一种模块化的scada安全态势感知系统架构 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102402723A (zh) * | 2011-11-03 | 2012-04-04 | 北京谷安天下科技有限公司 | 一种信息资产安全的检测方法及系统 |
| CN106230796A (zh) * | 2016-07-22 | 2016-12-14 | 国家电网公司 | 一种基于移动设备的电网调度态势感知系统 |
| CN106506510A (zh) * | 2016-11-18 | 2017-03-15 | 江苏方天电力技术有限公司 | 动态振动信号数据跨网闸传输系统及其方法 |
| CN106878466A (zh) * | 2017-04-07 | 2017-06-20 | 贵州黔源电力股份有限公司 | 一种水电机组数据管理和设备控制一体化平台 |
| CN208227074U (zh) * | 2018-02-09 | 2018-12-11 | 鼎信信息科技有限责任公司 | 电力监控系统网络安全监测终端 |
| WO2019005399A1 (en) * | 2017-06-27 | 2019-01-03 | Microsoft Technology Licensing, Llc | FIREWALL CONFIGURATION MANAGER |
| CN109246153A (zh) * | 2018-11-09 | 2019-01-18 | 中国银行股份有限公司 | 网络安全态势分析模型和网络安全评估方法 |
-
2019
- 2019-03-19 CN CN201910207148.5A patent/CN110049015B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102402723A (zh) * | 2011-11-03 | 2012-04-04 | 北京谷安天下科技有限公司 | 一种信息资产安全的检测方法及系统 |
| CN106230796A (zh) * | 2016-07-22 | 2016-12-14 | 国家电网公司 | 一种基于移动设备的电网调度态势感知系统 |
| CN106506510A (zh) * | 2016-11-18 | 2017-03-15 | 江苏方天电力技术有限公司 | 动态振动信号数据跨网闸传输系统及其方法 |
| CN106878466A (zh) * | 2017-04-07 | 2017-06-20 | 贵州黔源电力股份有限公司 | 一种水电机组数据管理和设备控制一体化平台 |
| WO2019005399A1 (en) * | 2017-06-27 | 2019-01-03 | Microsoft Technology Licensing, Llc | FIREWALL CONFIGURATION MANAGER |
| CN208227074U (zh) * | 2018-02-09 | 2018-12-11 | 鼎信信息科技有限责任公司 | 电力监控系统网络安全监测终端 |
| CN109246153A (zh) * | 2018-11-09 | 2019-01-18 | 中国银行股份有限公司 | 网络安全态势分析模型和网络安全评估方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李智年: "电网调度自动化的综合监控和智能化研究", 《电力讯息》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
| CN111262862A (zh) * | 2020-01-16 | 2020-06-09 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
| CN111262862B (zh) * | 2020-01-16 | 2021-11-23 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
| CN113824682A (zh) * | 2021-08-12 | 2021-12-21 | 浙江木链物联网科技有限公司 | 一种模块化的scada安全态势感知系统架构 |
| CN113824682B (zh) * | 2021-08-12 | 2024-05-31 | 浙江木链物联网科技有限公司 | 一种模块化的scada安全态势感知系统架构 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110049015B (zh) | 2020-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11075932B2 (en) | Appliance extension for remote communication with a cyber security appliance | |
| CN109831327B (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| CN208227074U (zh) | 电力监控系统网络安全监测终端 | |
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| CN109729180A (zh) | 全体系智慧社区平台 | |
| CN101635730B (zh) | 中小企业内网信息安全托管方法与系统 | |
| US20020078382A1 (en) | Scalable system for monitoring network system and components and methodology therefore | |
| CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
| US20120185936A1 (en) | Systems and Methods for Detecting Fraud Associated with Systems Application Processing | |
| AU2022202238B2 (en) | Tunneled monitoring service and methods | |
| CN204465588U (zh) | 一种基于服务器架构的主机监控与审计系统 | |
| CN110222498A (zh) | 一种基于移动互联云的督办管理系统及方法 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN110049015A (zh) | 网络安全态势感知系统 | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| Bezas et al. | Comparative analysis of open source security information & event management systems (SIEMs) | |
| CN116894259A (zh) | 一种数据库的安全访问控制系统 | |
| CN206100072U (zh) | 电力监控系统的安全防护合规性数据采集系统 | |
| KR102540904B1 (ko) | 빅데이터 기반의 취약보안 관리를 위한 보안 토탈 관리 시스템 및 보안 토탈 관리 방법 | |
| CN113452702B (zh) | 一种微服务流量检测系统和方法 | |
| CN116318904A (zh) | 核电网络安全防护系统 | |
| CN117040919A (zh) | 一种视频网络安全管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11 Applicant after: CHINA SOUTHERN POWER GRID Co.,Ltd. Applicant after: Southern Power Grid Digital Grid Research Institute Co.,Ltd. Address before: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11 Applicant before: CHINA SOUTHERN POWER GRID Co.,Ltd. Applicant before: DINGXIN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee after: CHINA SOUTHERN POWER GRID Co.,Ltd. Country or region after: Zhong Guo Patentee after: Southern Power Grid Digital Grid Research Institute Co.,Ltd. Address before: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee before: CHINA SOUTHERN POWER GRID Co.,Ltd. Country or region before: Zhong Guo Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240320 Address after: 518101, 3rd Floor, Building 40, Baotian Industrial Zone, Chentian Community, Xixiang Street, Bao'an District, Shenzhen City, Guangdong Province Patentee after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Country or region after: Zhong Guo Address before: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee before: CHINA SOUTHERN POWER GRID Co.,Ltd. Country or region before: Zhong Guo Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |
|
| TR01 | Transfer of patent right |