CN110086806A - 一种厂站设备系统漏洞的扫描系统 - Google Patents
一种厂站设备系统漏洞的扫描系统 Download PDFInfo
- Publication number
- CN110086806A CN110086806A CN201910343169.XA CN201910343169A CN110086806A CN 110086806 A CN110086806 A CN 110086806A CN 201910343169 A CN201910343169 A CN 201910343169A CN 110086806 A CN110086806 A CN 110086806A
- Authority
- CN
- China
- Prior art keywords
- server
- plant stand
- data packet
- scanning
- main website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种厂站设备系统漏洞的扫描系统,所述系统包括:监控服务器,用于接收用户的漏洞扫描指令,根据所述漏洞扫描指令,确定目标扫描地址;确定所述目标扫描地址对应的厂站服务器,发送漏扫命令至所述厂站服务器;所述厂站服务器,用于接收漏扫命令;根据所述漏扫命令,确定设备状态信息;发送所述设备状态信息至主站服务器;所述主站服务器,用于转发所述设备状态信息至扫描服务器;所述扫描服务器,用于确定漏扫数据包;根据所述漏扫数据包,依次通过所述厂站服务器和所述主站服务器,对所述目标厂站设备进行漏洞扫描,得到漏洞扫描结果;发送所述漏洞扫描结果至所述监控服务器。采用本方法能够降低现有的厂站设备系统漏洞扫描成本。
Description
技术领域
本申请涉及电力系统网络安全技术领域,特别是涉及一种厂站设备系统漏洞的扫描系统。
背景技术
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多,而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多,特别是公用信息基础设施建设推动了企业日益依赖信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战。
在电力系统中,需要对服务器进行漏洞扫描,检测漏洞,由于电力环境的问题,电力监控系统主站不能访问到变电站内的资产,变电站内只有远动机对外可见,内部服务器不能对外可见,网络访问不可到达,因此要实现在线漏洞扫描,需要在各个厂站上部署扫描器,加大了漏洞扫描成本。
因此,现有的厂站设备系统漏洞扫描成本较高。
发明内容
基于此,有必要针对上述技术问题,提供一种能够降低现有的厂站设备系统漏洞扫描成本的一种厂站设备系统漏洞的扫描系统。
一种厂站设备系统漏洞的扫描系统,所述系统包括:
监控服务器,用于接收用户的漏洞扫描指令,根据所述漏洞扫描指令,确定目标扫描地址;所述目标扫描地址为目标厂站设备的网络地址;所述目标厂站设备为需要进行漏洞扫描的厂站设备;还用于确定所述目标扫描地址对应的厂站服务器,并发送漏扫命令至所述厂站服务器;
所述厂站服务器,用于接收所述监控服务器的漏扫命令;还用于根据所述漏扫命令,确定所述目标厂站设备的设备状态信息;并发送所述设备状态信息至主站服务器;
所述主站服务器,用于转发所述设备状态信息至扫描服务器;
所述扫描服务器,用于确定所述设备状态信息的漏扫数据包;还用于根据所述漏扫数据包,依次通过所述厂站服务器和所述主站服务器,对所述目标厂站设备进行漏洞扫描,得到漏洞扫描结果;并发送所述漏洞扫描结果至所述监控服务器。
在其中一个实施例中,所述厂站服务器,还用于在所述接收所述监控服务器的漏扫命令后,对所述目标厂站设备的各个端口进行端口扫描,得到开放端口信息。
在其中一个实施例中,所述厂站服务器,还用于读取所述目标厂站设备的操作系统信息;根据所述操作系统信息和所述开放端口信息,确定所述设备状态信息。
在其中一个实施例中,所述监控服务器,还用于在所述确定所述目标扫描地址对应的厂站服务器后,建立所述主站服务器与所述厂站服务器的代理连接。
在其中一个实施例中,所述扫描服务器,还用于当发送所述漏洞扫描结果至所述监控服务器完毕后,发送扫描完毕标志至所述监控服务器;
所述监控服务器,还用于当接收到所述扫描完毕标志时,断开所述主站服务器与所述厂站服务器的代理连接。
在其中一个实施例中,所述主站服务器,还用于接收所述扫描服务器的漏扫数据包;获取所述监控服务器的加密密钥,通过所述加密密钥,对所述漏扫数据包进行加密,得到加密漏扫数据包;发送所述加密漏扫数据包至所述厂站服务器。
在其中一个实施例中,所述厂站服务器,还用于接收所述主站服务器的加密漏扫数据包;获取所述监控服务器的加密密钥,通过所述加密密钥,对所述加密漏扫数据包进行解密,得到解密漏扫数据包;通过使用所述解密漏扫数据包对所述目标厂站设备进行漏洞扫描,得到应答数据包。
在其中一个实施例中,所述厂站服务器,还用于通过所述加密密钥,对所述应答数据包进行加密,得到加密应答数据包;发送所述加密应答数据包至所述主站服务器。
在其中一个实施例中,所述主站服务器,还用于接收所述厂站服务器的加密应答数据包;通过所述加密密钥,对所述加密应答数据包进行解密,得到解密应答数据包;发送所述解密应答数据包至所述扫描服务器。
在其中一个实施例中,所述扫描服务器还用于接收所述主站服务器的解密应答数据包;根据所述解密应答数据包,在预设的漏洞库中进行特征匹配,确定所述漏洞扫描结果。
在其中一个实施例中,所述厂站服务器,还用于对所述厂站设备进行设备配置,得到设备配置信息;并上传所述设备配置信息至所述监控服务器。
在其中一个实施例中,所述设备配置信息包括网络地址、服务器端口、对称加密算法、加密密钥和超时时间中的至少一种。
在其中一个实施例中,所述主站服务器,还用于对所述扫描服务器进行网络访问认证;当网络访问认证通过时,允许转发所述设备状态信息至所述扫描服务器。
在其中一个实施例中,所述主站服务器,还用于对所述扫描服务器进行网络身份认证;当网络身份通过时,允许接收所述扫描服务器的漏扫数据包。
上述一种厂站设备系统漏洞的扫描系统,监控服务器通过接收用户的漏洞扫描指令,根据漏洞扫描指令,确定目标扫描地址;从而在多个厂站服务器中确定目标扫描地址对应的厂站服务器,发送漏扫命令至厂站服务器;厂站服务器根据漏扫命令,发送设备状态信息至主站服务器;主站服务器转发设备状态信息至扫描服务器;扫描服务器确定漏扫数据包;根据漏扫数据包,依次通过厂站服务器和主站服务器,对目标厂站设备进行漏洞扫描,得到漏洞扫描结果;最后,发送漏洞扫描结果至监控服务器,供监控服务器确定是否需要进行漏洞修复,从而实现了监控服务器可以对处于封闭内网中的厂站设备进行漏洞扫描,并实现了只需要实现只需要一个扫描服务器即可对多个厂站设备进行漏洞扫描,进而避免了需要在各个厂站上部署扫描服务器,降低了厂站设备的漏洞扫描成本。
附图说明
图1为一个实施例中一种厂站设备系统漏洞的扫描系统的系统示意图;
图2为一个实施例中一种厂站设备系统漏洞的扫描系统的应用环境示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种厂站设备系统漏洞的扫描系统,该系统包括:监控服务器110、厂站服务器120、主站服务器130和扫描服务器140;监控服务器110、厂站服务器120、主站服务器130和扫描服务器140依次通过网络进行通信连接,厂站服务器120与目标厂站设备150通过网络进行通信连接。上述的监控服务器110、扫描服务器140、主站服务器130和厂站服务器120均可以用独立的服务器或者是多个服务器组成的服务器集群来实现。其中,监控服务器110可以是一种电力安全监控系统;扫描服务器140可以是一种漏洞扫描器。
其中,厂站可以是指发电厂变电站。
在部署上述的厂站设备系统漏洞的扫描系统时,首先,按照Client-Server(客户-服务器)的方式进行部署。其中,扫描服务器140部署在监控服务器110所在的局域网内部,主站服务器130部署在监控服务器110的主站数据出口边界,例如,部署在态势主站系统前置机上;厂站服务器120部署在变电站数据入口边界,例如,态势感知采集装置上;更具体地,厂站服务器120通过与厂站的内网进行物理链路,实现直接访问厂站设备,并实现了漏洞扫描数据包的转发,不同的厂站设备对应不同的厂站服务器120。主站服务器130通过电力调度数据网与厂站服务器120建立TCP(Transmission Control Protocol,传输控制协议)连接,将扫描服务器140漏洞扫描的产生的扫描流量转发至厂站设备。
监控服务器110,用于接收用户的漏洞扫描指令,根据漏洞扫描指令,确定目标扫描地址;目标扫描地址为目标厂站设备150的网络地址;目标厂站设备150为需要进行漏洞扫描的厂站设备;还用于确定目标扫描地址对应的厂站服务器120,并发送漏扫命令至厂站服务器120。
其中,网络地址可以是指IP(Internet Protocol,网际协议)地址。
其中,漏扫命令可以是指漏洞扫描命令。
具体实现中,当监控服务器110需要对厂站设备进行系统漏洞扫描工作时,监控服务器110接收用户的漏洞扫描指令;根据上述的漏洞扫描指令,确定用户指定的目标厂站设备150。然后,监控服务器110根据上述的目标厂站设备150150的特征信息,例如,目标扫描地址等,即根据目标扫描地址,在多个厂站服务器中确定目标厂站设备150对应的厂站服务器120。其中,目标扫描地址为目标厂站设备150的网络地址;目标厂站设备150为需要进行漏洞扫描的厂站设备。然后,生成并发送漏扫命令至厂站服务器120。同时,监控服务器110通过使用脚本控制厂站服务器120连接主站服务器130,从而实现代理网络链路的连通。
厂站服务器120,用于接收监控服务器110的漏扫命令;还用于根据漏扫命令,确定目标厂站设备150的设备状态信息;并发送设备状态信息至主站服务器130。
具体实现中,当厂站服务器120接收到监控服务器110的漏扫命令后,厂站服务器120响应上述的漏扫命令,使用厂站服务器120自身的端口扫描程序向上述目标厂站设备150发送端口扫描操作,从而获取目标厂站设备150的设备状态信息;其中,设备状态信息包括开放端口信息和操作系统信息。
主站服务器130,用于转发设备状态信息至扫描服务器140。
具体实现中,当主站服务器130接收到厂站服务器120发送的设备状态信息时,主站服务器130转发上述的设备状态信息至扫描服务器140。
扫描服务器140,用于确定设备状态信息的漏扫数据包;还用于根据漏扫数据包,依次通过厂站服务器120和主站服务器130,对目标厂站设备150进行漏洞扫描,得到漏洞扫描结果;并发送漏洞扫描结果至监控服务器。
其中,漏扫数据包可以是指进行用于进行漏洞扫描的数据包。
具体实现中,当扫描服务器140接收到设备状态信息后,扫描服务器140根据上述的设备状态信息,确定设备状态信息对应的漏扫数据包。扫描服务器140还用于使用漏扫数据包,并通过厂站服务器120和主站服务器130连接构成的代理链路,对目标厂站设备150进行漏洞扫描,得到漏洞扫描结果;具体地,扫描服务器140将漏扫数据包通过代理链路将漏扫数据包发送至目标厂站设备150,并等待目标厂站设备150通过上述代理链路反馈回来的应答数据包;再接收到应答数据包后,根据上述的应答数据包,在预设的漏洞库中查找与当前的应答数据包对应的漏洞类型,确定漏洞扫描结果;最后,发送漏洞扫描结果至监控服务器110。监控服务器110通过根据上述的漏洞扫描结果,确定是否需要对目标厂站设备150进行漏洞修复,提高目标厂站设备150的网络安全性能。
上述一种厂站设备系统漏洞的扫描系统中,监控服务器通过接收用户的漏洞扫描指令,根据漏洞扫描指令,确定目标扫描地址;从而在多个厂站服务器中确定目标扫描地址对应的厂站服务器,发送漏扫命令至厂站服务器;厂站服务器根据漏扫命令,发送设备状态信息至主站服务器;主站服务器转发设备状态信息至扫描服务器;扫描服务器确定漏扫数据包;根据漏扫数据包,依次通过厂站服务器和主站服务器,对目标厂站设备进行漏洞扫描,得到漏洞扫描结果;最后,发送漏洞扫描结果至监控服务器,供监控服务器确定是否需要进行漏洞修复,从而实现了监控服务器可以对处于封闭内网中的厂站设备进行漏洞扫描,并实现了只需要实现只需要一个扫描服务器即可对多个厂站设备进行漏洞扫描,进而避免了需要在各个厂站上部署扫描服务器,降低了厂站设备的漏洞扫描成本。
在另一个实施例中,上述的厂站服务器120,还用于在接收监控服务器110的漏扫命令后,对目标厂站设备的各个端口进行端口扫描,得到开放端口信息。
具体实现中,当厂站服务器120在接收监控服务器110的漏扫命令后,厂站服务器120向被扫描的目标厂站设备150发送指纹探测数据包,并逐一对目标厂站设备150的各个端口进行端口扫描,从而获得目标厂站设备150的开放端口信息。其中,开放端口信息包括开放的TCP端口信息及开放的UDP(User Datagram Protocol,用户数据报协议)端口信息中的至少一种。
本实施例的技术方案,厂站服务器在接收监控服务器的漏扫命令后,对目标厂站设备的各个端口进行端口扫描,从而可以准确地获得开放端口信息,进而提高了扫描服务器确定漏扫数据包的准确性。
在另一个实施例中,上述的厂站服务器120,还用于读取目标厂站设备150的操作系统信息;根据操作系统信息和开放端口信息,确定设备状态信息。
具体实现中,厂站服务器120在对目标厂站设备150的各个端口进行端口扫描的同时,还读取目标厂站设备150的操作系统信息;其中,操作系统信息包括操作系统类型信息和操作系统版本信息中的至少一种。
本实施例的技术方案,厂站服务器通过读取目标厂站设备的操作系统信息,从而可以全面地确定设备状态信息,提高了扫描服务器确定漏扫数据包的准确性。
在另一个实施例中,上述的监控服务器110,还用于在确定目标扫描地址对应的厂站服务器120后,建立主站服务器130与厂站服务器120的代理连接。
具体实现中,当监控服务器110确定目标扫描地址对应的厂站服务器120后,监控服务器110通过使用脚本控制厂站服务器120通过电力调度数据网络建立TCP代理连接。更具体地,厂站服务器120经过防火墙、IDS(Intrusion Detection Systems,入侵检测系统)和IPS(Intrusion Prevention System,入侵防御系统)与主站服务器130进行连接。另外,监控服务器110通过使用脚本限制,从而使主站服务器130每次只能和一个厂站服务器120建立连接。
本实施例的技术方案,监控服务器在确定目标扫描地址对应的厂站服务器后,建立主站服务器与厂站服务器的代理连接,从而保障了主站服务器不能实时与厂站服务器连接而访问到厂站的内网环境。
在另一个实施例中,上述的扫描服务器140,还用于当发送漏洞扫描结果至监控服务器110完毕后,发送扫描完毕标志至监控服务器110;监控服务器110,还用于当接收到扫描完毕标志时,断开主站服务器130与厂站服务器120的代理连接。
其中,扫描完毕标志可以是指用于表征扫描服务器发送漏洞扫描结果至监控服务器完毕的标志。
具体实现中,扫描服务器140在当发送漏洞扫描结果至监控服务器110完毕后,生成并发送扫描完毕标志至监控服务器110;当监控服务器110接收的扫描服务器140发送的扫描完毕标志时,扫描服务器140向主站服务器130连接断开指令,当主站服务器130接收到上述的连接断开指令时,主站服务器130断开与厂站服务器120的代理连接。
本实施例的技术方案,当扫描服务器发送漏洞扫描结果至监控服务器完毕后,监控服务器及时地断开主站服务器与厂站服务器之间的代理连接,从而防止扫描服务器不能实时地访问到厂站的内网环境。
在另一个实施例中,上述的主站服务器130,还用于接收扫描服务器140的漏扫数据包;获取监控服务器110的加密密钥,通过加密密钥,对漏扫数据包进行加密,得到加密漏扫数据包;发送加密漏扫数据包至厂站服务器120。
其中,漏扫数据包可以是指用于进行漏洞扫描的数据包。
其中,加密漏扫数据包可以是指经过加密的漏扫数据包。
具体实现中,当主站服务器130接收到扫描服务器140的漏扫数据包时,主站服务器130获取监控服务器110的加密密钥;其中,加密密钥与目标厂站设备150对应;在主站服务器130获取监控服务器110的加密密钥后,主站服务器130通过使用加密密钥,按照预设的加密算法对该漏扫数据包进行加密,得到加密漏扫数据包;最后,主站服务器130发送该加密漏扫数据包至厂站服务器120。
例如,漏扫数据包具体为TCP报文;其中,漏扫数据包的TCP报文中包括数据内容、IP头部和TCP头部;在主站服务器130使用加密密钥对该漏扫数据包进行加密的过程中,主站服务器130保留漏扫数据包的IP头部和TCP头部,只对漏扫数据包的数据内容按照预设的加密算法进行加密;并根据IP头部和TCP头部,生成加密漏扫数据包。
本实施例的技术方案,主站服务器通过在接收到扫描服务器的漏扫数据包后,对漏扫数据包进行加密,得到加密漏扫数据包;最后,发送该加密漏扫数据包至厂站服务器,供厂站服务器使用同一加密密钥进行解密,通过在主站服务器与厂站服务器之间采用对称加密的方式,从而建立了安全稳定的加密通信通道,实现对代理漏洞扫描产生的扫描流量进行加密。
在另一个实施例中,上述的厂站服务器120,还用于接收主站服务器130的加密漏扫数据包;获取监控服务器110的加密密钥,通过加密密钥,对加密漏扫数据包进行解密,得到解密漏扫数据包;通过使用解密漏扫数据包对目标厂站设备150进行漏洞扫描,得到应答数据包。
其中,解密漏扫数据包可以是指经过解密的漏扫数据包。
具体实现中,当厂站服务器120在接收到主站服务器130的加密漏扫数据包后,厂站服务器120获取监控服务器110的加密密钥;然后,厂站服务器120通过使用加密密钥,按照预设的解密算法对该加密漏扫数据包奖项解密,得到解密漏扫数据包;最后,厂站服务器120将解密漏扫数据包发送至目标厂站设备150,从而实现对目标厂站设备150进行漏洞扫描;具体地,当目标厂站设备150接收到解密漏扫数据包时,厂站服务器120会接收到目标厂站设备150根据该解密漏扫数据包而应答的数据包,因此,将该数据包命名为应答数据包。而存在系统漏洞的目标厂站设备150所返回的应答数据包,与不存在系统漏洞的目标厂站设备150所返回的应答数据包是不同。
例如,在厂站服务器120使用加密密钥对加密漏扫数据包进行解密的过程中,厂站服务器120保留加密漏扫数据包的IP头部和TCP头部,只对加密漏扫数据包的数据内容按照预设的解密算法进行解密;并根据IP头部和TCP头部,生成解密漏扫数据包。
本实施例的技术方案,厂站服务器通过接收主站服务器的加密漏扫数据包,对加密漏扫数据包进行解密,得到解密漏扫数据包;最后,通过使用解密漏扫数据包对目标厂站设备进行漏洞扫描,得到应答数据包,从而实现了建立安全稳定的加密通信通道,实现对代理漏洞扫描产生的扫描流量进行加密,提高了厂站设备系统漏洞扫描时的安全性能。
在另一个实施例中,上述的厂站服务器120,还用于通过加密密钥,对应答数据包进行加密,得到加密应答数据包;发送加密应答数据包至主站服务器130。
其中,加密应答数据包可以是指经过加密的应答数据包。
具体实现中,当厂站服务器120得到目标厂站设备150返回的应答数据包时,厂站服务器120通过使用先前获得的加密密钥,按照预设的加密算法对该应答数据包进行加密,得到加密应答数据包;在厂站服务器120获得加密应答数据包之后,厂站服务器120发送加密应答数据包至主站服务器130。
本实施例的技术方案,厂站服务器通过使用加密密钥,对应答数据包进行加密,得到加密应答数据包;最后,发送加密应答数据包至主站服务器,从而建立了安全稳定的加密通信通道,实现对代理漏洞扫描产生的扫描流量进行加密。
在另一个实施例中,上述的主站服务器,还用于接收厂站服务器的加密应答数据包;通过加密密钥,对加密应答数据包进行解密,得到解密应答数据包;发送解密应答数据包至扫描服务器。
其中,解密应答数据包可以是指经过解密的加密应答数据包。
具体实现中,主站服务器130在接收到厂站服务器120发送的加密应答数据包之后;主站服务器130通过先前获得的加密密钥,按照预设的解密算法对该加密应答数据包进行解密,得到解密应答数据包;在主站服务器130获得解密应答数据包之后,主站服务器130发送解密应答数据包至扫描服务器140。
本实施例的技术方案,主站服务器通过接收厂站服务器的加密应答数据包;并使用加密密钥,对加密应答数据包进行解密,得到解密应答数据包;最后,发送解密应答数据包至扫描服务器,主站服务器与厂站服务器之间采用对称加密的方式,建立了安全稳定的加密通信通道,实现对代理漏洞扫描产生的扫描流量进行加密。
在另一个实施例中,上述的扫描服务器140还用于接收主站服务器130的解密应答数据包;根据解密应答数据包,在预设的漏洞库中进行特征匹配,确定漏洞扫描结果。
具体实现中,扫描服务器140根据不同系统漏洞类型与针对不同系统漏洞所产生的应答数据包之间的映射关系,预先建立了漏洞库。当扫描服务器140接收到主站服务器130的解密应答数据包时,根据解密应答数据包在漏洞库中进行特征匹配,确定该解密应答数据包是否具有匹配的系统漏洞类型;若是,则说明目标厂站设备150存在漏洞,扫描服务器140确定漏洞扫描结果并将该漏洞扫描结果发送至监控服务器110。
本实施例的技术方案,扫描服务器在接收到主站服务器的解密应答数据包后,通过根据解密应答数据包,在预设的漏洞库中进行特征匹配,从而可以准确地确定目标厂站设备的系统漏洞类型,进而准确地确定漏洞扫描结果。
在另一个实施例中,上述的厂站服务器130,还用于对厂站设备进行设备配置,得到设备配置信息;并上传设备配置信息至监控服务器140。
具体实现中,厂站服务器120预先会对厂站设备进行相关配置,确定厂站设备的设备配置信息,同时,监听厂站设备的网络端口和开启代理服务。其中,设备配置信息包括网络地址、服务器端口、对称加密算法、加密密钥和超时时间中的至少一种。最后,厂站服务器120将上述的设备配置信息,上传到监控服务器110,供监控服务器110进行保存,具体地,监控服务器110根据设备配置信息与厂站设备的映射关系,建立设备配置信息数据库。
本实施例的技术方案,通过厂站服务器对厂站设备预先进行设备配置,得到设备配置信息;并上传设备配置信息至监控服务器,从而可以供监控服务器快速地确定目标厂站设备对应的厂站服务器,提高了厂站设备系统漏洞的扫描效率。
在另一个实施例中,上述的主站服务器130,还用于对扫描服务器140进行网络访问认证;当网络访问认证通过时,允许转发设备状态信息至扫描服务器140。
具体实现中,主站服务器130通过对扫描服务器140的IP地址和MAC(Media AccessControl Address)地址进行网络访问认证,从而实现网络访问控制;当网络访问认证通过时,允许转发设备状态信息至扫描服务器。
本实施例的技术方案,通过对扫描服务器进行网络访问认证,实现网络访问控制,从而防止其他主站服务器非法连接扫描服务器,进而防止在同个局域网中的其它主站服务器访问到厂站设备。
在另一个实施例中,上述的主站服务器130,还用于对扫描服务器140进行网络身份认证;当网络身份通过时,允许接收扫描服务器140的漏扫数据包。
具体实现中,主站服务器130还用于对扫描服务器140进行网络身份认证,当网络身份通过时,允许接收扫描服务器140的漏扫数据包。
本实施例的技术方案,扫描服务器与主站服务器之间,实现了网络层身份认证功能,从而保障了主站服务器只能接收扫描服务器的漏扫数据包,防止其它主机伪造数据报文并发送至主站服务器,从而对发电站或者变电站的内网进行探测,保障了厂站设备的网络安全性能。
在另一个实施例中,如图2所示,提供了一种厂站设备系统漏洞的扫描系统的应用环境示意图。其中,包括扫描器210、主站服务器220、网络安全装置230、厂站服务器240和厂站设备250。扫描器210、主站服务器220、网络安全装置230、厂站服务器240和厂站设备250依次通过网络进行通讯连接。网络安全装置230包括IDS、IPS、防火墙和路由器。
在部署上述的厂站设备系统漏洞的扫描系统时,首先,按照Client-Server(客户-服务器)的方式进行部署。其中,扫描器210部署在电力监控系统所在的局域网内部,主站服务器220部署在电力监控系统的主站数据出口边界,例如,部署在态势主站系统前置机上;厂站服务器240部署在变电站数据入口边界,例如,态势感知采集装置上;更具体地,厂站服务器240通过与厂站的内网进行物理链路,实现直接访问厂站设备,并实现了漏洞扫描数据包的转发,不同的厂站设备对应不同的厂站服务器240。主站服务器220通过电力调度数据网与厂站服务器240建立TCP连接,主站服务器220经过防火墙、IDS、IPS和路由器并与厂站服务器240进行连接。将扫描器210漏洞扫描的产生的扫描流量转发至厂站设备。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (13)
1.一种厂站设备系统漏洞的扫描系统,其特征在于,所述系统包括:
监控服务器,用于接收用户的漏洞扫描指令,根据所述漏洞扫描指令,确定目标扫描地址;所述目标扫描地址为目标厂站设备的网络地址;所述目标厂站设备为需要进行漏洞扫描的厂站设备;还用于确定所述目标扫描地址对应的厂站服务器,并发送漏扫命令至所述厂站服务器;
所述厂站服务器,用于接收所述监控服务器的漏扫命令;还用于根据所述漏扫命令,确定所述目标厂站设备的设备状态信息;并发送所述设备状态信息至主站服务器;
所述主站服务器,用于转发所述设备状态信息至扫描服务器;
所述扫描服务器,用于确定所述设备状态信息的漏扫数据包;还用于根据所述漏扫数据包,依次通过所述厂站服务器和所述主站服务器,对所述目标厂站设备进行漏洞扫描,得到漏洞扫描结果;并发送所述漏洞扫描结果至所述监控服务器。
2.根据权利要求1所述的系统,其特征在于,所述厂站服务器,还用于在所述接收所述监控服务器的漏扫命令后,对所述目标厂站设备的各个端口进行端口扫描,得到开放端口信息。
3.根据权利要求2所述的系统,其特征在于,所述厂站服务器,还用于读取所述目标厂站设备的操作系统信息;根据所述操作系统信息和所述开放端口信息,确定所述设备状态信息。
4.根据权利要求1所述的系统,其特征在于,所述监控服务器,还用于在所述确定所述目标扫描地址对应的厂站服务器后,建立所述主站服务器与所述厂站服务器的代理连接。
5.根据权利要求1所述的系统,其特征在于,所述扫描服务器,还用于当发送所述漏洞扫描结果至所述监控服务器完毕后,发送扫描完毕标志至所述监控服务器;
所述监控服务器,还用于当接收到所述扫描完毕标志时,断开所述主站服务器与所述厂站服务器的代理连接。
6.根据权利要求1所述的系统,其特征在于,所述主站服务器,还用于接收所述扫描服务器的漏扫数据包;获取所述监控服务器的加密密钥,通过所述加密密钥,对所述漏扫数据包进行加密,得到加密漏扫数据包;发送所述加密漏扫数据包至所述厂站服务器。
7.根据权利要求6所述的系统,其特征在于,所述厂站服务器,还用于接收所述主站服务器的加密漏扫数据包;获取所述监控服务器的加密密钥,通过所述加密密钥,对所述加密漏扫数据包进行解密,得到解密漏扫数据包;通过使用所述解密漏扫数据包对所述目标厂站设备进行漏洞扫描,得到应答数据包。
8.根据权利要求7所述的系统,其特征在于,所述厂站服务器,还用于通过所述加密密钥,对所述应答数据包进行加密,得到加密应答数据包;发送所述加密应答数据包至所述主站服务器。
9.根据权利要求8所述的系统,其特征在于,所述主站服务器,还用于接收所述厂站服务器的加密应答数据包;通过所述加密密钥,对所述加密应答数据包进行解密,得到解密应答数据包;发送所述解密应答数据包至所述扫描服务器。
10.根据权利要求9所述的系统,其特征在于,所述扫描服务器,还用于接收所述主站服务器的解密应答数据包;根据所述解密应答数据包,在预设的漏洞库中进行特征匹配,确定所述漏洞扫描结果。
11.根据权利要求1至10任意一项所述的系统,其特征在于,所述厂站服务器,还用于对所述厂站设备进行设备配置,得到设备配置信息;并上传所述设备配置信息至所述监控服务器。
12.根据权利要求1所述的系统,其特征在于,所述主站服务器,还用于对所述扫描服务器进行网络访问认证;当网络访问认证通过时,允许转发所述设备状态信息至所述扫描服务器。
13.根据权利要求1所述的系统,其特征在于,所述主站服务器,还用于对所述扫描服务器进行网络身份认证;当网络身份通过时,允许接收所述扫描服务器的漏扫数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910343169.XA CN110086806B (zh) | 2019-04-26 | 2019-04-26 | 一种厂站设备系统漏洞的扫描系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910343169.XA CN110086806B (zh) | 2019-04-26 | 2019-04-26 | 一种厂站设备系统漏洞的扫描系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110086806A true CN110086806A (zh) | 2019-08-02 |
| CN110086806B CN110086806B (zh) | 2020-04-14 |
Family
ID=67416940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910343169.XA Active CN110086806B (zh) | 2019-04-26 | 2019-04-26 | 一种厂站设备系统漏洞的扫描系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110086806B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505221A (zh) * | 2019-08-12 | 2019-11-26 | 中国南方电网有限责任公司 | 服务器检测方法、装置、计算机设备和存储介质 |
| CN113420303A (zh) * | 2021-07-14 | 2021-09-21 | 广东电网有限责任公司广州供电局 | 基于端口扫描的变电站主机安全漏洞检测方法和系统 |
| CN115529146A (zh) * | 2021-06-25 | 2022-12-27 | 中国移动通信集团设计院有限公司 | 网络安全漏洞处理系统及方法 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030100982A1 (en) * | 2001-11-29 | 2003-05-29 | Rao Manoharprasad K. | Remote sensing based pre-crash threat assessment system |
| CN101242279A (zh) * | 2008-03-07 | 2008-08-13 | 北京邮电大学 | 用于web系统的自动化渗透性测试系统和方法 |
| CN102195992A (zh) * | 2010-11-01 | 2011-09-21 | 卡巴斯基实验室封闭式股份公司 | 用于对从网络下载的数据进行反病毒扫描的系统及方法 |
| CN102354310A (zh) * | 2011-07-12 | 2012-02-15 | 广东电网公司信息中心 | 一种自动化信息安全评估的方法及装置 |
| CN102387163A (zh) * | 2011-12-16 | 2012-03-21 | 穆成坡 | 一种基于风险均衡的网络服务器防御方法 |
| CN202600082U (zh) * | 2012-04-17 | 2012-12-12 | 湖南省电力公司科学研究院 | 一种输电线路杆塔接地网运行状况在线监测装置 |
| CN104281918A (zh) * | 2014-09-26 | 2015-01-14 | 国家电网公司 | 输变电状态监测系统pda设备安全自评估系统及方法 |
| CN104468267A (zh) * | 2014-11-24 | 2015-03-25 | 国家电网公司 | 一种配电自动化系统信息安全渗透测试方法 |
| CN104506522A (zh) * | 2014-12-19 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
| CN104579679A (zh) * | 2014-12-10 | 2015-04-29 | 国家电网公司 | 用于农配网通信设备的无线公网数据转发方法 |
| CN205429880U (zh) * | 2016-02-02 | 2016-08-03 | 国网四川省电力公司信息通信公司 | 基于智能电网工控异构情况下的漏洞攻击检测系统 |
| CN106534172A (zh) * | 2016-12-07 | 2017-03-22 | 北京数字观星科技有限公司 | 一种内网远程扫描系统及其扫描内网的方法 |
| US20180212758A1 (en) * | 2017-01-20 | 2018-07-26 | Enveil, Inc. | Secure Probabilistic Analytics Using an Encrypted Analytics Matrix |
-
2019
- 2019-04-26 CN CN201910343169.XA patent/CN110086806B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030100982A1 (en) * | 2001-11-29 | 2003-05-29 | Rao Manoharprasad K. | Remote sensing based pre-crash threat assessment system |
| CN101242279A (zh) * | 2008-03-07 | 2008-08-13 | 北京邮电大学 | 用于web系统的自动化渗透性测试系统和方法 |
| CN102195992A (zh) * | 2010-11-01 | 2011-09-21 | 卡巴斯基实验室封闭式股份公司 | 用于对从网络下载的数据进行反病毒扫描的系统及方法 |
| CN102354310A (zh) * | 2011-07-12 | 2012-02-15 | 广东电网公司信息中心 | 一种自动化信息安全评估的方法及装置 |
| CN102387163A (zh) * | 2011-12-16 | 2012-03-21 | 穆成坡 | 一种基于风险均衡的网络服务器防御方法 |
| CN202600082U (zh) * | 2012-04-17 | 2012-12-12 | 湖南省电力公司科学研究院 | 一种输电线路杆塔接地网运行状况在线监测装置 |
| CN104281918A (zh) * | 2014-09-26 | 2015-01-14 | 国家电网公司 | 输变电状态监测系统pda设备安全自评估系统及方法 |
| CN104468267A (zh) * | 2014-11-24 | 2015-03-25 | 国家电网公司 | 一种配电自动化系统信息安全渗透测试方法 |
| CN104579679A (zh) * | 2014-12-10 | 2015-04-29 | 国家电网公司 | 用于农配网通信设备的无线公网数据转发方法 |
| CN104506522A (zh) * | 2014-12-19 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
| CN205429880U (zh) * | 2016-02-02 | 2016-08-03 | 国网四川省电力公司信息通信公司 | 基于智能电网工控异构情况下的漏洞攻击检测系统 |
| CN106534172A (zh) * | 2016-12-07 | 2017-03-22 | 北京数字观星科技有限公司 | 一种内网远程扫描系统及其扫描内网的方法 |
| US20180212758A1 (en) * | 2017-01-20 | 2018-07-26 | Enveil, Inc. | Secure Probabilistic Analytics Using an Encrypted Analytics Matrix |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505221A (zh) * | 2019-08-12 | 2019-11-26 | 中国南方电网有限责任公司 | 服务器检测方法、装置、计算机设备和存储介质 |
| CN115529146A (zh) * | 2021-06-25 | 2022-12-27 | 中国移动通信集团设计院有限公司 | 网络安全漏洞处理系统及方法 |
| CN113420303A (zh) * | 2021-07-14 | 2021-09-21 | 广东电网有限责任公司广州供电局 | 基于端口扫描的变电站主机安全漏洞检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110086806B (zh) | 2020-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7472414B2 (en) | Method of processing data traffic at a firewall | |
| JP3688830B2 (ja) | パケット転送方法及びパケット処理装置 | |
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| US20060064589A1 (en) | Setting information distribution apparatus, method, program, medium, and setting information reception program | |
| CN110086806A (zh) | 一种厂站设备系统漏洞的扫描系统 | |
| CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
| Bhargavan et al. | A formal treatment of accountable proxying over TLS | |
| CN105162787A (zh) | 外网终端访问厂商设备或内网终端的方法和装置 | |
| EP1775903A2 (en) | A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor | |
| CN105516169A (zh) | 检测网站安全的方法及装置 | |
| Shakdher et al. | Security vulnerabilities in consumer iot applications | |
| CN105516066A (zh) | 一种对中间人的存在进行辨识的方法及装置 | |
| Welch et al. | A survey of 802.11 a wireless security threats and security mechanisms | |
| CN116015928A (zh) | 单包认证方法、装置和计算机可读存储介质 | |
| US9160538B2 (en) | Detection method for fraudulent mail, detection program therefor, and detection device therefor | |
| Narayana et al. | An Adaptive Threat Defence Mechanism Through Self Defending Network to Prevent Hijacking in WiFi Network | |
| US11388146B2 (en) | Secure low-latency trapdoor proxy | |
| CN117081815A (zh) | 数据安全传输的方法、装置、计算机设备及存储介质 | |
| Sathyadevan et al. | Portguard-an authentication tool for securing ports in an IoT gateway | |
| CN110505221A (zh) | 服务器检测方法、装置、计算机设备和存储介质 | |
| CN116248405A (zh) | 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质 | |
| Singh et al. | Identification and prevention of cyber attack in smart grid communication network | |
| Manfredi et al. | {MultiFlow}:{Cross-Connection} Decoy Routing using {TLS} 1.3 Session Resumption | |
| CN106034130A (zh) | 数据访问方法及装置 | |
| EP4285551A1 (en) | Zero trust end point network security device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |