具体实施方式
以下结合其中的较佳实施方式对本发明方案进行详细阐述。
图1中示出了本发明的智能电网安全防护系统实施例一的结构示意图。如图1所示,本实施例一中的系统包括:
两个以上的前端安全模块101,分别嵌入设置在各Web服务器上,用于截取发送到该Web服务器的HTTP请求,根据配置的安全规则对该HTTP请求进行匹配,根据匹配结果生成安全事件,根据安全策略判断是否需要对该安全事件进行即时处理,若需要即时处理,则根据匹配的安全规则对应的处理方式对该HTTP请求进行处理,若不需要即时处理,则将该安全事件向前端通信服务模块102发送,并根据前端通信服务模块102返回的安全控制指令对该HTTP请求进行处理;
分别与前端安全模块101对应连接的两个以上的前端通信服务模块102,分别设置在各Web服务器上的,用于接收对应的前端安全模块101发送的所述安全事件,将该安全事件向安全监控通信模块103发送,并将安全监控通信模块103返回的安全控制指令向对应的前端安全模块101发送;
安全监控通信模块103,用于接收各前端通信服务模块102发送的安全事件,并将该安全事件向安全监控事件处理模块104发送,并将安全监控事件处理模块104返回的安全控制指令向对应的前端通信服务模块103发送;
安全监控事件处理模块104,用于接收安全监控通信模块103发送的安全事件,根据配置的安全规则对所述安全事件进行分析处理,将分析处理结果过滤后发送给安全监控平台模块105进行显示,并根据分析处理结果生成安全控制指令,并将该安全控制指令向安全监控通信模块104发送;
安全监控平台模块105,用于对安全监控模块104发送的过滤后的分析处理结果进行显示。
根据上述本发明的方案,其是通过在不同的Web服务器上分别嵌入设置有前端安全模块,并设置有相应的前端通信服务模块来实现该前端安全模块与其他设备之间的通信,通过该前端安全模块截取发送到Web应用服务器的HTTP请求,根据配置的安全规则对该HTTP请求进行匹配,根据匹配结果以及相应的安全策略执行后续处理过程,由于是在Web服务器上设置嵌入的前端安全模块对发送到Web服务器的HTTP请求进行截取,并在此基础上进行分析判定,而无论是外网还是内网的HTTP请求,都会发送到Web服务器进行处理,从而不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。另一方面,该防护系统是分布式的防护系统,可以实现智能电网整体防护的安全性。
图2中示出了基于本发明的智能电网安全防护系统的系统架构示意图,需要说明的是,图2中未示出前端通信服务模块、安全监控通信模块以及安全监控事件处理模块。如图2所示,其设置有多个前端安全模块,分别嵌入设置在Web服务器上,可以对发送给Web服务器的应用系统、Web服务器的各个信息子系统的请求进行拦截和分析,确保了智能电网系统的安全性。其中,图2中所示的“外来访问和威胁”,可能是来自外网的,也可能是来自内网的请求,本发明方案中对此不做限定。
其中,上述前端安全模块101在截取HTTP请求时,可以通过Apache(ApacheHTTP Server,简称Apache)或者ISAPI(Internet Server Application ProgrammingInterface)对发送到Web服务器的HTTP请求进行截取。
如图1所示,在该实施例一中,本发明的智能电网安全防护系统还可以包括有安全知识库106,该安全知识库106中包括有配置的安全规则,上述安全监控事件处理模块104通过将上述安全事件与安全知识库中的配置的安全规则进行匹配来进行分析处理。
在其中一个具体示例中,上述安全监控平台模块105,还用于生成安全规则以及对应的安全策略,并向安全监控事件处理模块104发送安全规则配置信息,该安全规则配置信息中包括有该安全规则以及对应的安全策略以及相应的前端安全模块101的识别信息;
上述安全监控事件处理模块104,还用于接收所述安全规则配置信息,根据该安全规则配置信息将该安全规则以及对应的安全策略发送给安全知识库106以及通过安全监控通信模块103,前端通信服务模块102发送给与所述识别信息对应的前端安全模块101;
上述前端安全模块101,还用于接收并存储所述安全规则以及对应的安全策略。
在其中一个具体示例中,上述安全监控平台模块105,还用于接收用户输入的安全指令,再将该安全指令向安全监控事件处理模块104发送,安全监控事件处理模块104接收后,将该安全指令通过安全监控通信模块103、前端通信服务模块102向前端安全模块101发送,前端安全模块101接收到该安全指令后,执行该安全指令。
为了能够更好地对本发明的智能电网安全防护系统进行说明,图2以层次结构的表达方式为例,示出了本发明智能电网安全防护系统实施例的层次结构示意图。
如图2所示,在该层次结构示意图中,根据上述各模块功能的不同,分成了5层,上述各模块分别为一层,其中:
安全监控平台模块,其是后台管理界面,实现不同身份角色的不同管理功能,包括管理规则库,规则库中的各安全规则分别针对不同的子系统;
安全监控事件处理模块,其用以处理各前端安全模块汇报上来的安全事件,并按照配置的安全规则进行分析处理,将分析处理结果过滤后呈现给安全监控平台模块,并根据分析处理结果生成安全控制指令,将该安全控制指令通过安全监控通信模块、前端通信服务模块发送给前端安全模块;
安全监控通信模块,用于实现与各前端通信服务模块之间的通信;
前端通信服务模块,用于实现前端安全模块与安全监控平台的通信,并用以传输安全事件、接受安全指令,传输安全控制知识库;
前端安全模块,负责拦截外来访问的HTTP请求,拦截之后形成安全事件后通过前端通信服务模块、安全监控服务模块汇报给安全监控事件处理模块,并接受安全监控事件处理模块返回的安全控制指令,根据该安全控制指令对所拦截的HTTP请求进行处理。
如图1、图2所示,在本发明方案中,采用了两个专门的通信模块(前端通信服务模块、安全监控服务模块)来执行通信过程,处理业务交换。
如图1所示的本发明的智能电网安全防护系统,其中前端安全模块101和前端通信服务模块102可以分布在多个受监控的信息系统的Web服务器中,从而形成对多个信息系统的安全监控。
以下结合其中的具体实施例对上述各模块分别进行详细说明。
上述安全监控平台模块105,其主要执行下述相关功能:
建立安全知识库,对安全规则建立一个广泛性的覆盖性的立体知识体系;
建立对需要保护的信息系统基本信息的采集,通过安全管理员的自我配置,掌握信息系统的安全属性,利于筛选适配安全规则;
建立一套安全规则适配信息系统的审批流程,可以通过非阻塞消息队列的方式与前端安全模块进行通信,提高通信效率;
建立一套安全监控平台与信息系统之间高效通信规范,该通信规范可以是自定义的通信协议,该通信协议可以针对通信内容,例如字段选取、数据压缩等进行优化,有效率的实现对于规则下发、告警事件上报;
汇总告警事件,让安全知识库建立有实际应用基础,实现安全主动监控。
而上述前端通信服务模块102、安全监控服务模块103构成了主动安全防护的通信层,其主要实现对规则下发、告警事件的通信承载。在本发明方案中,可以对通信事件的触发方式进行定义,通过底层socket高效实现安全监控平台模块至前端安全模块之间的通信,一旦有消息包到达,就以事件触发的方式促使通信的另一方进行通信接收,从而在通信模式上能够适应更大的吞吐和传输性能,实现高效通信。该主动安全防护的通信层,实现了基于系统守护进程的服务进程,在其中一个具体实施例中,可以优选以完成端口的方式实现规则的下发及安全事件的告警记录。
其中,在上述前端安全模块101中,可以设置有专门的通信接口,专门负责实现与安全监控平台模块的通信,进行双向传递数据。此外,前端安全模块101在拦截HTTP请求时,可以通过Apache或者ISAPI的方式来对HTTP请求进行拦截,实现Web服务器自身的安全代理组建。此外,在该前端安全模块101中,可以定义安全规则匹配自动机,通过该安全规则匹配自动机按照安全监控平台模块105发布的安全规则或内置的安全规则进行自动匹配,并执行阻断,将告警事件进行上报。其中,该安全规则匹配自动机,可以根据安全规则的三元组,按照特征进行自动匹配,一旦匹配成功,就自动进行设定的安全行为,例如阻断HTTP请求,将HTTP安全发送等等。匹配输入内容的获取、匹配过程、匹配过程后的安全操作,都可以通过自动化的方式来实现。这种将前端安全模块101嵌入Web服务器的方式,能够高效、快速地判断是否有安全攻击存在。安全事件的上报和安全规则的下发可以与安全代理进程以本机IP http方式进行通信,从而可以有效减轻Web服务器在触发安全规则告警事件和下发规则时候的同步带来的对Web服务器自身的阻塞问题,异步且高效。
以下结合其中一个具体的安全防护示例来对本发明方案进行举例说明。
假设我们建立一个针对sql注入的规则,定义:凡是发现在动态页面的请求输入字符串中发现了“alter\dele\insert\。。。”等关键字就认为可能存在一个危险输入。对此,可以设定一个相应的安全规则,指定需要在http请求阶段能获取查询字符串的时候获取这个查询字符串的值,模式匹配扫描具体的查询字符串值,如果匹配上,就执行规则指定的“禁止请求”操作,即立即终止后续的任何http处理操作,立即返回一个配置的http返回响应码(如http405)来禁止进一步操作损害服务器安全。这个安全规则通过编码后下发到指定的安全前端代理,通过无并发冲突的协议动态地将规则注入嵌入式组件的执行逻辑库中,从而开始截获请求进行自动分析。一旦有恶意攻击,就会在某个估计的请求中被自动匹配逻辑匹配到,从而返回一个405的响应码,实现对Web服务器的保护。
根据如上所述的本发明的智能电网安全防护系统,其可以达到如下有益效果:
对HTTP请求的拦截以及安全逻辑的分析嵌入部署在Web服务器的内部,不仅能够防御外部威胁,而且能够对来自企业内部网络的攻击进行防御;
通过设置有多个前端安全模块,且分别嵌入部署在不同的Web服务器,通过规则库和划分子系统的方式进行管理,从而使得安全规则的配置更加灵活,更加有针对性,而且,不同的子系统实际上对应智能电网下不同的应用系统,甚至是应用系统中的一个模块,从而实现了精细化的安全规则设置和配置;
通过划分子系统和管理后台的方式,实现了安全防护系统的多层次管理,使得系统可以很容易分布式部署在不同的业务应用系统中,支持大规模部署环境,满足智能电网环境的要求;
通过软件嵌入的方式,使Web服务器具备足够的安全防护能力,每一个需要防护的子系统,只需要在Web服务器加载相应的模块或者插件即可实现轻量级、精细化的安全防护,相比Web防火墙可以大大降低建设、部署、升级成本。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。