CN108900328A - 一种电网网络数据安全测试系统及方法 - Google Patents
一种电网网络数据安全测试系统及方法 Download PDFInfo
- Publication number
- CN108900328A CN108900328A CN201810640459.6A CN201810640459A CN108900328A CN 108900328 A CN108900328 A CN 108900328A CN 201810640459 A CN201810640459 A CN 201810640459A CN 108900328 A CN108900328 A CN 108900328A
- Authority
- CN
- China
- Prior art keywords
- management
- risk
- security
- network
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Algebra (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种电网网络数据安全测试系统及方法,包括政策法规、标准规范依据、业务安全目标、关键信息资产、数据网安全目标、需要应对的网络安全威胁与风险、基本的安全管理与安全技术要求、系统开发集成及运维管理要求、网络安全的组织管理与职责、安全策略的管理与实施以及确定具体的网络安全管理和技术策略等主要内容;本发明拟用复杂网络的相关建模方法对数据网络进行网络化,然后结合统计学的相关知识以及不同信息系统本身的特点来研究数据网络的拓扑特性,进而找出可能存在的安全风险,确保电力数据网能够安全、可靠、稳定、高效运行,为电力生产和管理业务提供可靠的平台,节约人力资源和成本,具有巨大的经济效益和社会效益。
Description
技术领域
本发明涉及电网网络控制技术领域,具体为一种电网网络数据安全测试系统及方法。
背景技术
数据网络安全性研究伴随数据网络的发展不断完善,针对不同的网络需求有着不同的网络安全措施。网络安全受到重视,研究和应用也更加深入和广泛。目前关于数据网络安全评估策略,国内外已有很多标准,例如BS7799、SSE-CMM、ITU X.800、GB/T 18336等,但具体针对电力数据网安全评估策略还没有有针对性的技术方法。
电信行业对数据网络的安全性研究有较成熟的解决方案。针对电信行业数据通信的特点,电信网络运营商要保证电信网络的正常运行,就必须对其进行全面的安全评估。电信系统在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,进行安全评估会帮助电信运营商在一个安全的框架下进行组织活动,在评估准则、电信数据网安全等级划分原理、电信数据网安全评估过程、电信数据网安全评估工具等方面,都有深入的研究和应用。
随着电力系统数据业务需求的不断扩大,针对电力数据网络的安全性研究也越来越多,网络本身结构和功能的安全性得到了广泛深入的关注。但是目前针对电力数据网络安全技术更多的是基于业务端的信息安全策略,如入侵检测、病毒防护、漏洞扫描、多层次防护等,而网络本身的安全管理系统不够完善,对网络层面的安全意识还不强烈,也导致相应的技术指导原则和管理制度不足。
发明内容
本发明的目的在于提供一种电网网络数据安全测试系统及方法,有效确保了电力数据网能够安全、可靠、稳定、高效运行,为电力生产和管理业务提供可靠的平台,以保障电力生产、管理和经营能正常和高效运行,节约人力资源和成本,具有巨大的经济效益和社会效益,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种电网网络数据安全测试系统,包括数据网安全策略总则;所述数据网安全策略总则包括政策法规、标准规范依据、业务安全目标、关键信息资产、数据网安全目标、需要应对的网络安全威胁与风险、基本的安全管理与安全技术要求、系统开发集成及运维管理要求、网络安全的组织管理与职责、安全策略的管理与实施以及确定具体的网络安全管理和技术策略;
所述数据网安全目标包括网络系统结构、安全域划分、用户机管理员、数据及服务安全目标、物理和环境安全目标;
所述网络安全管理策略包括资产管理、安全组织与人员管理、用户管理、物理与安全环境、授权与系统访问控制、系统开发与集成管理、运维管理、应急响应、业务连续性管理和服务外包管理;
所述网络安全技术策略包括数据安全管理、应用与业务管理、主机与终端安全管理、网络与通信管理以及物理与设备连接管理。
本发明提供另一种技术方案为:一种电网网络数据安全测试的方法,包括以下步骤:
S1:进行风险评估准备,包括资产识别、威胁识别和脆弱性识别;
S2:进行已有安全措施的确认,将S1中的风险评估项目与风险评估记录文件进行比对;
S3:进行风险分析,包括风险计算、风险结果接受与否、制定和实施风险处理计划,并评估残余风险、是否接受残余风险;
S4:实施风险控制。
优选的,所述步骤S2中风险评估记录文件主要包括资产识别报告、脆弱性评估报告、安全体系评估报告、业务连续性评估报告及综合风险评估报告。
优选的,所述步骤S3中在进行风险计算后,将计算结果与风险评估记录文件中的脆弱性评估报告进行比对,并确定是否接受风险结果:若接受风险结果,则保持已有的安全措施;若不接受风险结果,则制定和实施风险处理计划,并评估残余风险。
优选的,所述残余风险的评估计划在与风险评估记录文件中的业务连续性评估报告比对后,若接受残余风险,则保持已有的安全措施;若不接受残余风险,则继续返回制定和实施风险处理计划,直至接受残余风险为止。
优选的,所述步骤S4中实施风险控制基于保持已有的安全措施与风险评估记录文件中的综合风险评估报告比对后再进行。
与现有技术相比,本发明的有益效果是:
本电网网络数据安全测试系统及方法,拟用复杂网络的相关建模方法对数据网络进行网络化,然后结合统计学的相关知识以及不同信息系统本身的特点来研究数据网络的拓扑特性,在此基础上分析不同特性产生的原因,进而找出可能存在的安全风险,并能有效提高电力系统数据网络的运行水平、管理水平及其可靠性和保障能力,从而确保电力数据网能够安全、可靠、稳定、高效运行,为电力生产和管理业务提供可靠的平台,以保障电力生产、管理和经营能正常和高效运行,节约人力资源和成本,具有巨大的经济效益和社会效益。
附图说明
图1为本发明的系统框图;
图2为本发明的方法流程图;
图3为本发明的数据网络安全策略与相关基础设施关系图;
图4为本发明实施例3的系统功能图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:
请参阅图1,本发明实施例中:提供一种电网网络数据安全测试系统,包括数据网安全策略总则;数据网安全策略总则包括政策法规、标准规范依据、业务安全目标、关键信息资产、数据网安全目标、需要应对的网络安全威胁与风险、基本的安全管理与安全技术要求、系统开发集成及运维管理要求、网络安全的组织管理与职责、安全策略的管理与实施以及确定具体的网络安全管理和技术策略;
其中,数据网安全目标包括网络系统结构、安全域划分、用户机管理员、数据及服务安全目标、物理和环境安全目标;网络安全管理策略包括资产管理、安全组织与人员管理、用户管理、物理与安全环境、授权与系统访问控制、系统开发与集成管理、运维管理、应急响应、业务连续性管理和服务外包管理;网络安全技术策略包括数据安全管理、应用与业务管理、主机与终端安全管理、网络与通信管理以及物理与设备连接管理。
参阅图3,上述网络安全策略是安全管理体系的重要组成部分,是全面建设安全服务体系的基础;其中,策略的编制工作,将为安全服务体系建设工作奠定坚实的基础,数据网安全策略的基本内容要确定保障网络安全所必须做的工作和必须遵守的行为准则,数据网安全策略的制定实施相关工作包括数据网安全状况分析,策略编写和评审,策略发布,策略实施监督和持续改进等工作过程,并且数据网安全策略需要由组织最高管理层批准,在整个组织内发布实施,并在实施过程中持续改进和完善;
其中,首先需要确定数据网安全策略与安全保障体系的关系,即数据网安全策略是数据网整个安全保障工作的高层指导,数据网安全保障工作包括安全工作的组织管理,技术防范体系建设,网络系统的安全管理和运维保障,网络安全保障能力建设,以及等级保护、风险评估、管理体系建设等安全基础性工作;安全策略以及安全策略指导下的信息安全保障相关工作,都必须遵从国家和行业信息安全相关政策、法规、标准和规范,数据网安全策略和国家和行业网络安全相关政策、法规、标准和规范,网络安全保障工作,信息基础设施,网络安全基础服务等之间相互关系如图3所示。
请参阅图2,基于上述实施例1提供的系统,为了更好的解释该系统,本发明提供另一种实施方案为:一种电网网络数据安全测试的方法,包括以下步骤:
第一步:进行风险评估准备,包括资产识别、威胁识别和脆弱性识别;
第二步:进行已有安全措施的确认,将步骤一中的风险评估项目与风险评估记录文件进行比对,风险评估记录文件主要包括资产识别报告、脆弱性评估报告、安全体系评估报告、业务连续性评估报告及综合风险评估报告;
第三步:进行风险分析,包括风险计算、风险结果接受与否、制定和实施风险处理计划,并评估残余风险、是否接受残余风险;其中,在进行风险计算后,将计算结果与风险评估记录文件中的脆弱性评估报告进行比对,并确定是否接受风险结果:若接受风险结果,则保持已有的安全措施;若不接受风险结果,则制定和实施风险处理计划,并评估残余风险;残余风险的评估计划在与风险评估记录文件中的业务连续性评估报告比对后,若接受残余风险,则保持已有的安全措施;若不接受残余风险,则继续返回制定和实施风险处理计划,直至接受残余风险为止;
第四步:实施风险控制,其基于保持已有的安全措施与风险评估记录文件中的综合风险评估报告比对后再进行。
实施例3:
根据上述实施例1、实施例2的描述,针对河南电力数据网络,制定符合其特点的能够被用于实际安全测试工作的网络安全测试方案:
准备阶段:该阶段主要完成确定评估范围、建立评估组织、确定评估工具、确定风险评估过程风险控制策略、编制风险评估方案、风险评估培训和评估对象备份等工作,确保风险评估能够按照计划顺利、有序实施,并且风险可控;
识别阶段:该阶段主要完成资产识别、威胁识别、脆弱性识别和安全措施识别等工作,为分析阶段提供依据;
分析阶段:该阶段在识别的基础上进行大量整理并分析,进行资产分析、威胁分析、脆弱性分析、安全措施分析以及综合风险分析,对广东电网数据网络安全风险水平给出结论;
风险控制规划阶段:根据风险分析的结果,结合国家有关的法律、法规和行业要求,以及广东电网网络系统的特殊需求和风险,总结出当前的安全需求;根据安全需求的轻重缓急以及相关标准,制定出适合的安全规划方案,为广东电网数据网络今后的安全建设提供参考;
总结阶段:该阶段主要是对风险评估实施过程进行归纳总结,编制风险评估报告,并向广东电网数据网络安全评估策略和状态分析研究项目负责人进行汇报。
上述实施项目主要开展物理设备安全测试、网络架构安全测试、物理环境安全测试、数据安全测试、基于分布式探针的网络安全测量技术等方面的实施工具与实施内容的研究,形成数据网安全测试报告;再根据电力数据网运行和安全要求,以及配置的基准包括各种路由器、交换机、链路端口、业务节点的正确配置和状态信息,对配置文件和状态信息进行版本管理,并对使用情况进行日志记录;其中配置检查范围包括:IP地址和路由、协议配置、Route map and ACL、安全协议、VPN/Tunnels配置等;通过对配置文件扫描、解析、对比匹配,静态检查系统中配置与基线配置的异同,判断配置是否符合基线要求;通过输出设备的状态信息,检查设备的路由表、ARP表、MAC转发表、邻接表、协议状态信息等,检查各种协议状态信息是否正确,最终对分析结果进行判断、记录、提出修改方案,参阅图4。
综上所述:本发明提供的一种电网网络数据安全测试系统及方法,拟用复杂网络的相关建模方法对数据网络进行网络化,然后结合统计学的相关知识以及不同信息系统本身的特点来研究数据网络的拓扑特性,在此基础上分析不同特性产生的原因,进而找出可能存在的安全风险,并能有效提高电力系统数据网络的运行水平、管理水平及其可靠性和保障能力,从而确保电力数据网能够安全、可靠、稳定、高效运行,为电力生产和管理业务提供可靠的平台,以保障电力生产、管理和经营能正常和高效运行,节约人力资源和成本,具有巨大的经济效益和社会效益。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (6)
1.一种电网网络数据安全测试系统,其特征在于,包括数据网安全策略总则;所述数据网安全策略总则包括政策法规、标准规范依据、业务安全目标、关键信息资产、数据网安全目标、需要应对的网络安全威胁与风险、基本的安全管理与安全技术要求、系统开发集成及运维管理要求、网络安全的组织管理与职责、安全策略的管理与实施以及确定具体的网络安全管理和技术策略;
所述数据网安全目标包括网络系统结构、安全域划分、用户机管理员、数据及服务安全目标、物理和环境安全目标;
所述网络安全管理策略包括资产管理、安全组织与人员管理、用户管理、物理与安全环境、授权与系统访问控制、系统开发与集成管理、运维管理、应急响应、业务连续性管理和服务外包管理;
所述网络安全技术策略包括数据安全管理、应用与业务管理、主机与终端安全管理、网络与通信管理以及物理与设备连接管理。
2.一种如权利要求1所述的电网网络数据安全测试的方法,其特征在于:包括以下步骤:
S1:进行风险评估准备,包括资产识别、威胁识别和脆弱性识别;
S2:进行已有安全措施的确认,将S1中的风险评估项目与风险评估记录文件进行比对;
S3:进行风险分析,包括风险计算、风险结果接受与否、制定和实施风险处理计划,并评估残余风险、是否接受残余风险;
S4:实施风险控制。
3.如权利要求2所述的一种电网网络数据安全测试的方法,其特征在于,所述步骤S2中风险评估记录文件主要包括资产识别报告、脆弱性评估报告、安全体系评估报告、业务连续性评估报告及综合风险评估报告。
4.如权利要求2所述的一种电网网络数据安全测试的方法,其特征在于,所述步骤S3中在进行风险计算后,将计算结果与风险评估记录文件中的脆弱性评估报告进行比对,并确定是否接受风险结果:若接受风险结果,则保持已有的安全措施;若不接受风险结果,则制定和实施风险处理计划,并评估残余风险。
5.如权利要求2所述的一种电网网络数据安全测试的方法,其特征在于,所述残余风险的评估计划在与风险评估记录文件中的业务连续性评估报告比对后,若接受残余风险,则保持已有的安全措施;若不接受残余风险,则继续返回制定和实施风险处理计划,直至接受残余风险为止。
6.如权利要求2所述的一种电网网络数据安全测试的方法,其特征在于,所述步骤S4中实施风险控制基于保持已有的安全措施与风险评估记录文件中的综合风险评估报告比对后再进行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810640459.6A CN108900328A (zh) | 2018-06-21 | 2018-06-21 | 一种电网网络数据安全测试系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810640459.6A CN108900328A (zh) | 2018-06-21 | 2018-06-21 | 一种电网网络数据安全测试系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108900328A true CN108900328A (zh) | 2018-11-27 |
Family
ID=64345273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810640459.6A Pending CN108900328A (zh) | 2018-06-21 | 2018-06-21 | 一种电网网络数据安全测试系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900328A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110033174A (zh) * | 2019-03-20 | 2019-07-19 | 烽台科技(北京)有限公司 | 一种工业信息安全保障体系建设方法 |
| CN111815132A (zh) * | 2020-06-28 | 2020-10-23 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统网络安全管理信息发布方法及系统 |
| WO2020220217A1 (en) * | 2019-04-29 | 2020-11-05 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for security assurance automation |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN106789955A (zh) * | 2016-11-30 | 2017-05-31 | 山东省计算中心(国家超级计算济南中心) | 一种网络安全态势评估方法 |
| CN107995225A (zh) * | 2017-12-26 | 2018-05-04 | 国网河南省电力公司信息通信公司 | 一种面向复杂网络的安全隐患分析方法 |
| CN108055280A (zh) * | 2017-12-26 | 2018-05-18 | 国网河南省电力公司信息通信公司 | 一种电力数据网络安全测试方法 |
-
2018
- 2018-06-21 CN CN201810640459.6A patent/CN108900328A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN106789955A (zh) * | 2016-11-30 | 2017-05-31 | 山东省计算中心(国家超级计算济南中心) | 一种网络安全态势评估方法 |
| CN107995225A (zh) * | 2017-12-26 | 2018-05-04 | 国网河南省电力公司信息通信公司 | 一种面向复杂网络的安全隐患分析方法 |
| CN108055280A (zh) * | 2017-12-26 | 2018-05-18 | 国网河南省电力公司信息通信公司 | 一种电力数据网络安全测试方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110033174A (zh) * | 2019-03-20 | 2019-07-19 | 烽台科技(北京)有限公司 | 一种工业信息安全保障体系建设方法 |
| WO2020220217A1 (en) * | 2019-04-29 | 2020-11-05 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for security assurance automation |
| CN114073039A (zh) * | 2019-04-29 | 2022-02-18 | 上海诺基亚贝尔股份有限公司 | 用于安全保障自动化的方法和装置 |
| CN111815132A (zh) * | 2020-06-28 | 2020-10-23 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统网络安全管理信息发布方法及系统 |
| CN111815132B (zh) * | 2020-06-28 | 2023-01-20 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统网络安全管理信息发布方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Sharma et al. | Distblocknet: A distributed blockchains-based secure sdn architecture for iot networks | |
| Fan et al. | Overview of cyber-security of industrial control system | |
| US20140137257A1 (en) | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure | |
| Hong et al. | An intrusion and defense testbed in a cyber-power system environment | |
| CN106059087B (zh) | 一种智能变电站脆弱性分析评估系统 | |
| CN108646722A (zh) | 一种工业控制系统信息安全仿真模型及终端 | |
| CN114915476B (zh) | 一种基于网络安全测评过程的攻击推演图生成方法及系统 | |
| CN103227797A (zh) | 分布式电力企业信息网络安全管理系统 | |
| CN108055280A (zh) | 一种电力数据网络安全测试方法 | |
| CN113037745A (zh) | 一种基于安全态势感知的智能变电站风险预警系统及方法 | |
| CN104219218A (zh) | 一种主动安全防御的方法及装置 | |
| CN108900328A (zh) | 一种电网网络数据安全测试系统及方法 | |
| CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
| CN103378991A (zh) | 一种在线服务异常监测方法及其监测系统 | |
| CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
| Wongvises et al. | Fault tree analysis-based risk quantification of smart homes | |
| CN108234525A (zh) | 一种计算机网络安全中的信息防泄漏防盗窃管理系统 | |
| Appiah-Kubi et al. | Decentralized intrusion prevention (DIP) against co-ordinated cyberattacks on distribution automation systems | |
| CN108510162B (zh) | 一种有源配电网安全效能评估方法 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| CN205510108U (zh) | 用于局域网络的网络准入系统 | |
| Kolosok et al. | Cyber resilience of SCADA at the level of energy facilities | |
| Liatifis et al. | Dynamic risk assessment and certification in the power grid: a collaborative approach | |
| Rakas et al. | Intrusion detection systems in smart grid | |
| ÖZÇELİK et al. | Center energy: A secure testbed infrastructure proposal for electricity power grid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181127 |
|
| RJ01 | Rejection of invention patent application after publication |