CN110601895A - 电力通信系统数据控制方法和装置 - Google Patents
电力通信系统数据控制方法和装置 Download PDFInfo
- Publication number
- CN110601895A CN110601895A CN201910887916.6A CN201910887916A CN110601895A CN 110601895 A CN110601895 A CN 110601895A CN 201910887916 A CN201910887916 A CN 201910887916A CN 110601895 A CN110601895 A CN 110601895A
- Authority
- CN
- China
- Prior art keywords
- equipment
- operation instruction
- authority
- communication system
- power communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本发明公开了一种电力通信系统数据控制方法和装置。该方法包括:接收操作指令;获取发出操作指令的设备的身份标识;根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限;在判断结果为是的情况下,控制目标电力设备执行操作指令,解决了电力通信系统安全性差的问题,进而达到了的效果。通过本发明,达到了提高电力通信系统的安全性的效果。
Description
技术领域
本发明涉及电力通信领域,具体而言,涉及一种电力通信系统数据控制方法和装置。
背景技术
现有的电力通信网管系统服务器硬件部分配置较低,且运行近5年,有较大的故障风险;软件部分版本较低,无法管理新版本的传输设备。赛门铁克Veritas热备软件已过维保期,数据迁移费用高昂。目前在网管理的等效网元数量近2000个,已超出网管软件最大的管理能力。综上因素,网管系统卡顿现象明显,影响日常操作管理和运行维护。
为满足中长期发展需求,网管集中运行后,网管网中缺安全防护策略,通信网管网络与信息安全存在风险。
针对相关技术中电力通信系统安全性差的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种电力通信系统数据控制方法和装置,以解决电力通信系统安全性差的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种电力通信系统数据控制方法,该方法包括:接收操作指令;获取发出所述操作指令的设备的身份标识;根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限;在判断结果为是的情况下,控制目标电力设备执行所述操作指令。
进一步地,根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限包括:根据身份标识信息确定发出所述操作指令的设备所在的省、地、市;查询权限管理列表中与所述操作指令的设备所在的省、地、市对应的权限级别;根据所述权限级别确定发出所述操作指令的设备是否具有与所述操作指令对应的权限。
进一步地,在根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限之前,所述方法还包括:在检测到新的操作设备接入所述电力通信系统时,获取所述新的操作设备的省、地、市和用户为所述新的操作设备设置的操作权限级别;将所述新的操作设备以及对应的操作权限级别绑定保存在所述权限管理列表中。
进一步地,所述方法还包括:获取电力通信系统最后一次漏洞扫描时间;判断当前时间和最后一次漏洞扫描时间的间隔是否超过预设阈值;如果判断结果为是,则重新对所述电力通信系统进行漏洞扫描。
进一步地,在重新对所述电力通信系统进行漏洞扫描之后,所述方法还包括:在每次漏洞扫描后将漏洞扫描的操作记录添加到操作日志中。
为了实现上述目的,根据本发明的另一方面,还提供了一种电力通信系统数据控制装置,该装置包括:接收单元,用于接收操作指令;第一获取单元,用于获取发出所述操作指令的设备的身份标识;判断单元,用于根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限;控制单元,用于在判断结果为是的情况下,控制目标电力设备执行所述操作指令。
进一步地,所述判断单元包括:第一确定模块,用于根据身份标识信息确定发出所述操作指令的设备所在的省、地、市;查询模块,用于查询权限管理列表中与所述操作指令的设备所在的省、地、市对应的权限级别;第二确定模块,用于根据所述权限级别确定发出所述操作指令的设备是否具有与所述操作指令对应的权限。
进一步地,所述装置还包括:第二获取单元,用于在根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限之前,在检测到新的操作设备接入所述电力通信系统时,获取所述新的操作设备的省、地、市和用户为所述新的操作设备设置的操作权限级别;保存单元,用于将所述新的操作设备以及对应的操作权限级别绑定保存在所述权限管理列表中。
为了实现上述目的,根据本发明的另一方面,还提供了一种存储介质,包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行本发明所述的电力通信系统数据控制方法。
为了实现上述目的,根据本发明的另一方面,还提供了一种处理器,用于运行程序,其中,所述程序运行时执行本发明所述的电力通信系统数据控制方法。
本发明通过接收操作指令;获取发出操作指令的设备的身份标识;根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限;在判断结果为是的情况下,控制目标电力设备执行操作指令,解决了电力通信系统安全性差的问题,进而达到了提高电力通信系统的安全性的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的电力通信系统数据控制方法的流程图;
图2是本发明实施例的通信设备网管系统总体网络结构图;以及
图3是根据本发明实施例的电力通信系统数据控制装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供了一种电力通信系统数据控制方法。
图1是根据本发明实施例的电力通信系统数据控制方法的流程图,如图1所示,该方法包括以下步骤:
步骤S102:接收操作指令;
步骤S104:获取发出操作指令的设备的身份标识;
步骤S106:根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限;
步骤S108:在判断结果为是的情况下,控制目标电力设备执行操作指令。
该实施例采用接收操作指令;获取发出操作指令的设备的身份标识;根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限;在判断结果为是的情况下,控制目标电力设备执行操作指令,解决了电力通信系统安全性差的问题,进而达到了提高电力通信系统的安全性的效果。
本发明实施例的技术方案可以应用于电力通信系统中,例如电力通信系统的网管系统,用于对电力系统的网络数据安全进行控制,在电力通信系统中,如果某台控制设备发出操作指令,则需要先获取发出操作指令的设备的身份标识,根据身份标识判断是否有操作权限,如果有,则可以控制目标电力设备执行操作指令,如果没有,则不对该操作指令进行响应,这样可以提高电力通信系统数据控制的安全性,防止没有操作权限的设备对目标电力设备进行随意操作,带来安全隐患。
可选地,根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限包括:根据身份标识信息确定发出操作指令的设备所在的省、地、市;查询权限管理列表中与操作指令的设备所在的省、地、市对应的权限级别;根据权限级别确定发出操作指令的设备是否具有与操作指令对应的权限。
可选地,在根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限之前,方法还包括:在检测到新的操作设备接入电力通信系统时,获取新的操作设备的省、地、市和用户为新的操作设备设置的操作权限级别;将新的操作设备以及对应的操作权限级别绑定保存在权限管理列表中。
每个新接入的设备有自己的身份标识信息,例如,省、地、市,不同的身份标识信息对应不同的权限级别,在有新的设备接入时,可以将新接入的设备的身份标识信息和与该身份对应的权限级别绑定保存到权限管理列表中,这样该新设备的权限等级就是确定的,在判断该设备是否可以执行对应的操作时,可以直接基于权限级别进行判断,方便快捷。
可选地,该方法还包括:获取电力通信系统最后一次漏洞扫描时间;判断当前时间和最后一次漏洞扫描时间的间隔是否超过预设阈值;如果判断结果为是,则重新对电力通信系统进行漏洞扫描。
电力通信系统周期性的进行漏洞扫描,以防止出现软件漏洞带来安全隐患,因此电力通信系统可以实时判断当前时间距离漏洞扫描时间的间隔是否超过预设阈值,如果是,则可以进行下一次漏洞扫描。
可选地,在重新对电力通信系统进行漏洞扫描之后,在每次漏洞扫描后将漏洞扫描的操作记录添加到操作日志中。
每次漏洞扫描后可以将漏洞扫描的详细操作记录添加到操作日志中,例如漏洞扫描的时间,扫描出的漏洞类型和数量等相关信息,保存到操作日志中之后可以方便后续查询。
可选的,电力通信系统的网管数据网是通过VPN-PE/CE的方式实现业务隔离的。
下面以青海省为例,对本发明实施例的电力通信系统数据控制方法进行说明。
青海公司开展传输网管系统省级集中模式,实现传输网网管系统异地部署。同时,建设网管数据网(DCN网),将原采用汇聚协议转换器组建的DCN网改造为利用路由器设备组网,通过VPN-PE/CE方式实现业务隔离,新建DCN网未采用安全防护设备。
1.网管系统运行现状
(1)网管部署现状
全网省级集中部署了4台服务器设备(2台华为网管服务器、2台中兴网管服务器),主用服务器部署于信通公司三楼通信机房,备用服务器部署于调度大楼八楼通信机房,通信管理系统(TMS)具备从主备网管服务器采集能力。在运检中心、调控中心和八个运维分部分别部署了网管客户端,分配了相应级别的用户账户,用于网元设备的操作管理。
(2)网管用户权限分配及管理
青海电力通信网传输网管系统用户分为四级。第一级是系统管理员用户,第二级是系统安全管理员用户,第三级是系统操作员用户,第四级是系统监视员用户。不同等级的用户设置不同的管理权限,高级别的用户兼容低级别用户的所有功能。目前,根据各部门职责和网管使用权限,已给通信运检分中心、调控、西宁、海东、海西、海南、海北、黄化、玉树、果洛网管用户权限分配。
2.ECC(Enterprise Command Center企业总控中心)子网运行现状
(1)华为传输网子网运行现状
为满足ECC子网运行安全以及ECC子网规划建设要求,青海电力华为传输网共建设27个网关网元,现网划分为15个ECC子网,各子网内网关网元之间形成主备保护,具体如下表所示:
表1青海公司华为传输网ECC子网规划表
3.DCN网(Data Communication Network,数据通信网络)运行现状
为了提升网关网元至网管服务器物理链路和组网设备的运行稳定性,增加网关网元至网管服务器的连接可靠性,青海电力通信网组建了网关网元和网管服务器的专用数据通信网络,采用MPLS-VPN(多协议标记转换虚拟专网)的方式实现DCC数据通信。通过在网关网元和网管服务器所在站点部署路由器,并为各ECC子网进行IP地址规划,实现网关网元和网管服务器之间的互联互通。
华为网管部分:现有华为网管系统服务器硬件部分配置较低,且运行近5年,有较大的故障风险;软件部分版本较低,无法管理新版本的传输设备。赛门铁克Veritas热备软件已过维保期,数据迁移费用高昂。目前在网管理的等效网元数量近2000个,已超出网管软件最大的管理能力。综上因素,网管系统卡顿现象明显,影响日常操作管理和运行维护。本次项目中新建一套异地双机网管系统,可解决目前遇到的问题。
具体如下:
1、硬件方面:网管硬件平台的配置需要满足大规模网管软件的运行要求,根据相关的技术标准,将现有的2台网管硬件平台更换为以下配置的新服务器:
CPU:2颗Xeon 20核2.0GHz或以上
内存:64GB或以上
硬盘:8*600GB SAS或以上
2、软件方面:采购Linux Novell SLES操作系统、Sybase ASE数据库数据库,Veritas热备软件、6000等效网元的U2000管理平台及相关功能组件。
根据实际值班监视和维护操作需要,按照专机专用配置原则,在青海公司主、备用节点和地市公司配置维护终端,其中运检网管中心配置4台、调控中心配置2台、8个地市公司各配置2台。
通过对当前ECC子网运行状况分析,西宁地区当前的ECC子网划分不合理,ECC子网规模过大,为此需要在西宁地区增加一个ECC子网,分别在花园变、湟源变、康城变、南朔变购置4台路由器及4台交换机,用于划分ECC子网。
将公司现有通信设备网管系统按照“安全分区、网络专用、横向隔离、纵向认证”的总体安全防护要求,需要在通信设备网管系统网管网中部署2台千兆的纵向加密、8台百兆的纵向加密、10台边界防火墙、1台入侵检测、1台防病毒系统、1台安全审计系统,以达到安全防护的目的,
为满足青海公司中长期发展需求,青海公司网管集中运行后,网管网中缺安全防护策略,通信网管网络与信息安全存在风险。对青海电力通信传输网网管系统软硬件配置进行升级优化,对网管网络进行安全等级保护典型配置,可提升青海电力传输网管的管理能力,提高信息化安全防护能力,近一步保障传输网网络的安全稳定性。
未来青海电力传输网网络规模将达到大规模,网管可管理的等效网元数需要超过6000及以上,目前青海公司华为网管管理能力仅能达到1861个等效网元,中兴网管管理能力仅能达到300个等效网元。并且随着设备数量增长,网管的数据库性能等严重下降,造成运行缓慢等问题,严重影响网管业务配置进度。对青海电力传输网管进行优化升级,可在提高工作效率的同时,提升传输网管的管理能力,有效改善网管的运行平台环境。
项目可选技术方案
方案一:每个系统的维护终端和网关网元划分在同一VPN中。
由于维护终端和网关网元在同一VPN中,在默认情况下,同一系统的网关网元和维护终端互通,为了对网关网元和维护终端进行隔离,需在路由器上(包括服务器侧、各地市接入侧)做ACL访问控制列表,实现网关网元的隔离。在省公司本部、各个地市公司本部和地市备调各配置1台骨干边缘路由器。市公司路由器和省公司路由器I及省备调路由器I组成平面一。市备调路由器和省公司路由器II及省备调路由器II组成平面二。地市以下的四级网网关网元全部通过传输设备以太网专线组织通道至市公司、备调的接入交换机。
方案二:建设网管系统安全防护体系
建成了独立的省-地市网管数据网。选取省公司本部和信通公司作为网管数据网核心节点,需要在通信设备网管系统网管网中部署加密认证、边界防火墙、入侵检测、防病毒系统、安全审计系统,以达到安全防护的目的。
图2是本发明实施例的通信设备网管系统总体网络结构图,如图2所示,该建设方案需要在通信设备网管系统网管网中部署加密认证、边界防火墙、入侵检测、防病毒系统、安全审计系统,以达到安全防护的目的。
在花园变、湟源变、康城变、南朔变购置4台路由器及4台交换机,用于划分西宁地区ECC子网,在通信设备网管系统网管网中部署2台千兆的纵向加密,在西宁、海东、黄化、海南、海北、海西、果洛、玉树部署8台百兆的纵向加密、通信设备网管系统网管网中部署2台防火墙,在西宁、海东、黄化、海南、海北、海西、果洛、玉树部署8台边界防火墙、在生产控制大区与管理信息大区之间配置1台单向隔离装置,在通信设备网管系统网管网中部署1台入侵检测、1台防病毒系统、1台安全审计系统,以达到安全防护的目的。
安全方面比较
方案一:为了进行隔离,需在路由器或防火墙上(服务器侧)做ACL访问控制列表,配置较为繁琐,扩展性较差。
方案二:一是各系统主备用网关网元与主备集中服务器之间同时通信,主备服务器之间进行数据同步;二是不同系统之间隔离;三是各系统维护终端只与本系统主备集中服务器之间通信;四是各系统维护终端与本系统网关网元之间隔离。较方案一而言,方案二能够更好地保证传输网网管安全稳定运行,符合等级保护的安全基线策略,能够达到安全等级保护典型配置。
效能方面比较
方案二:根据现网状况,需新增网络安全设备来达到安全隔离的作用建设完成后安全性能较高,投资较少。
设备全寿命周期成本比较
从使用寿命周期来看,方案二中组网方式稳定性强,故障率低,寿命周期长,运维成本低。
为了提升青海电力传输网管的管理能力,有效改善网管的运行平台环境,需要对现有的传输网网管系统的软硬件配置进行升级优化。
为满足青海公司中长期发展需求,SDH网元数量还需要成倍增加,网络规模将达到大规模,网管可管理的等效网元数需要超过6000及以上。目前青海公司华为网管管理能力仅能达到1861个等效网元,中兴网管管理能力仅能达到300个等效网元。
安全防护部署
青海公司网管集中运行后,网管网中缺安全防护策略。网络中只通过简单的访问控制策略限制了各客户端之间、客户端与网关网元之间的IP通信。
为加强通信网管网络与信息安全保障,强化信息安全管理意识,提高信息化安全防护能力,需要将公司现有通信设备网管系统按照“安全分区、网络专用、横向隔离、纵向认证”的总体安全防护要求,网络内部“分区分域”的访问控制原则,入侵防范、恶意代码检测、安全审计互相联动的安防机制,符合等级保护的安全基线策略,进行安全等级保护典型配置。
(1)VPN划分方案
每套传输系统应至少单独划分1个VPN。维护终端应与本系统服务器通信,但与本系统网关网元隔离。为满足上述要求,采取如下方案:
为了对网关网元和维护终端进行隔离,需将网管服务器配置成双网卡服务器,每个系统建设2个VPN,其中1个为网关网元与DCN网服务器通信,另一个为本系统维护终端与服务器通信。
选取省公司本部和省信通公司作为网管数据网核心节点,省公司本部、省信通公司、各地市公司重要节点为骨干边缘节点。省公司和省信通公司分别配置2台核心路由器。在省公司本部、省信通公司、华为25个通信主站、中兴12个通信主站等重要节点各配置1台边缘路由器(华为中兴可共享)。
地市以下的四级网网关网元全部通过传输设备以太网专线组织通道至省公司、省信通公司的接入交换机。
骨干层IGP协议使用OSPF协议,同时配置使用路由协议认证功能。为提高网管网的安全性能,实现客户终端和网关网元有效隔离,网络开启BGP/MPLS VPN技术制式划分的VPN。
(2)安全防护需求
按照等级保护的要求,针对目前青海公司通信设备网管系统主要安全问题,需满足以下需求:
通信设备网管系统使用的承载网络总体上应划分为生产控制大区和管理信息大区,两个大区之间应实现横向隔离,部署单向隔离装置;涉及上下级单位互联业务的通信设备网管系统使用的承载网络应在纵向边界实现安全认证,部署纵向认证网关,重点强化边界防护。
通信设备网管系统所在网络的边界处应采用防护措施,部署防火墙,并合理划分区域,不同区域之间采用严格的访问控制策略,部署防火墙,并禁止区域内部的非法接入行为。
实现集中审计机制,部署日志集中审计系统,能够对现有的通信设备网管系统访问行为进行记录,实现对操作日志记录及系统日志的审计,必要时可以做到事件回溯。
应具有入侵防范、恶意代码防范、漏洞扫描相关安全功能,在网络中部署入侵防御系统、防病毒系统、漏洞扫描系统,能够监视网络边界处和网络内部的入侵行为,对网络边界和网络内部的恶意代码进行检测和清除,在关键网络节点处对垃圾邮件进行检测和防护。定期开展漏洞扫描工作,一旦发现漏洞,应在不影响业务的情况下更新漏洞补丁。
重要的网络链路、网络设备、服务器应采用双链路、双机部署模式,以达到设备处理能力冗余、互相备份的效果,如条件允许,可采用异地备份中心机制。
落实物理环境、网络设备、安全设备、操作系统、数据库管理系统、中间件、应用系统的基线策略配置工作,完善信息安全相关管理制度,提升信息安全管理水平。
表2功能需求汇总表
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提供了一种电力通信系统数据控制装置,该装置可以用于执行本发明实施例的电力通信系统数据控制方法。
图3是根据本发明实施例的电力通信系统数据控制装置的示意图,如图3所示,该装置包括:
接收单元10,用于接收操作指令;
第一获取单元20,用于获取发出操作指令的设备的身份标识;
判断单元30,用于根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限;
控制单元40,用于在判断结果为是的情况下,控制目标电力设备执行操作指令。
进一步地,判断单元30包括:第一确定模块,用于根据身份标识信息确定发出操作指令的设备所在的省、地、市;查询模块,用于查询权限管理列表中与操作指令的设备所在的省、地、市对应的权限级别;第二确定模块,用于根据权限级别确定发出操作指令的设备是否具有与操作指令对应的权限。
进一步地,该装置还包括:第二获取单元,用于在根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限之前,在检测到新的操作设备接入电力通信系统时,获取新的操作设备的省、地、市和用户为新的操作设备设置的操作权限级别;保存单元,用于将新的操作设备以及对应的操作权限级别绑定保存在权限管理列表中。
该实施例采用接收单元10,用于接收操作指令;第一获取单元20,用于获取发出操作指令的设备的身份标识;判断单元30,用于根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限;控制单元40,用于在判断结果为是的情况下,控制目标电力设备执行操作指令,从而解决了电力通信系统安全性差的问题,进而达到了提高电力通信系统的安全性的效果。
所述电力通信系统数据控制装置包括处理器和存储器,上述接收单元、第一获取单元、判断单元、控制单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来提高电力通信系统的安全性。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述电力通信系统数据控制方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述电力通信系统数据控制方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:接收操作指令;获取发出操作指令的设备的身份标识;根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限;在判断结果为是的情况下,控制目标电力设备执行操作指令。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:接收操作指令;获取发出操作指令的设备的身份标识;根据设备的身份标识判断发出操作指令的设备是否具有与操作指令对应的权限;在判断结果为是的情况下,控制目标电力设备执行操作指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种电力通信系统数据控制方法,其特征在于,包括:
接收操作指令;
获取发出所述操作指令的设备的身份标识;
根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限;
在判断结果为是的情况下,控制目标电力设备执行所述操作指令。
2.根据权利要求1所述的方法,其特征在于,根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限包括:
根据身份标识信息确定发出所述操作指令的设备所在的省、地、市;
查询权限管理列表中与所述操作指令的设备所在的省、地、市对应的权限级别;
根据所述权限级别确定发出所述操作指令的设备是否具有与所述操作指令对应的权限。
3.根据权利要求2所述的方法,其特征在于,在根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限之前,所述方法还包括:
在检测到新的操作设备接入所述电力通信系统时,获取所述新的操作设备的省、地、市和用户为所述新的操作设备设置的操作权限级别;
将所述新的操作设备以及对应的操作权限级别绑定保存在所述权限管理列表中。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取电力通信系统最后一次漏洞扫描时间;
判断当前时间和最后一次漏洞扫描时间的间隔是否超过预设阈值;
如果判断结果为是,则重新对所述电力通信系统进行漏洞扫描。
5.根据权利要求4所述的方法,其特征在于,在重新对所述电力通信系统进行漏洞扫描之后,所述方法还包括:
在每次漏洞扫描后将漏洞扫描的操作记录添加到操作日志中。
6.一种电力通信系统数据控制装置,其特征在于,包括:
接收单元,用于接收操作指令;
第一获取单元,用于获取发出所述操作指令的设备的身份标识;
判断单元,用于根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限;
控制单元,用于在判断结果为是的情况下,控制目标电力设备执行所述操作指令。
7.根据权利要求6所述的装置,其特征在于,所述判断单元包括:
第一确定模块,用于根据身份标识信息确定发出所述操作指令的设备所在的省、地、市;
查询模块,用于查询权限管理列表中与所述操作指令的设备所在的省、地、市对应的权限级别;
第二确定模块,用于根据所述权限级别确定发出所述操作指令的设备是否具有与所述操作指令对应的权限。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二获取单元,用于在根据所述设备的身份标识判断发出所述操作指令的设备是否具有与所述操作指令对应的权限之前,在检测到新的操作设备接入所述电力通信系统时,获取所述新的操作设备的省、地、市和用户为所述新的操作设备设置的操作权限级别;
保存单元,用于将所述新的操作设备以及对应的操作权限级别绑定保存在所述权限管理列表中。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至5中任意一项所述的电力通信系统数据控制方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至5中任意一项所述的电力通信系统数据控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910887916.6A CN110601895A (zh) | 2019-09-19 | 2019-09-19 | 电力通信系统数据控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910887916.6A CN110601895A (zh) | 2019-09-19 | 2019-09-19 | 电力通信系统数据控制方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110601895A true CN110601895A (zh) | 2019-12-20 |
Family
ID=68861282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910887916.6A Pending CN110601895A (zh) | 2019-09-19 | 2019-09-19 | 电力通信系统数据控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110601895A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111294244A (zh) * | 2020-02-18 | 2020-06-16 | 国家电网有限公司 | 网管网络的优化方法和装置 |
| CN111522638A (zh) * | 2020-04-14 | 2020-08-11 | 高明飞 | 一种云计算资源池管理方法及装置 |
| CN111917589A (zh) * | 2020-08-10 | 2020-11-10 | 广东电网有限责任公司电力调度控制中心 | 一种电力通信网络资源备份方法及相关装置 |
| CN112600829A (zh) * | 2020-12-07 | 2021-04-02 | 国网江苏省电力有限公司 | 一种综合能源调控系统数据安全防护系统 |
| CN112650630A (zh) * | 2020-12-31 | 2021-04-13 | 广州技象科技有限公司 | 一种智能电表运行参数的分布式备份方法及装置 |
| CN112769765A (zh) * | 2020-12-23 | 2021-05-07 | 上海商米科技集团股份有限公司 | 一种基于数字证书的IoT设备互操作指令权限管理方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090271863A1 (en) * | 2006-01-30 | 2009-10-29 | Sudhakar Govindavajhala | Identifying unauthorized privilege escalations |
| CN103618610A (zh) * | 2013-12-06 | 2014-03-05 | 上海千贯节能科技有限公司 | 一种基于智能电网中能量信息网关的信息安全算法 |
| CN105407078A (zh) * | 2015-10-20 | 2016-03-16 | 国网四川省电力公司信息通信公司 | 一种电力通信系统中的数据传输方法及系统 |
| US20170098087A1 (en) * | 2015-10-06 | 2017-04-06 | Assured Enterprises, Inc. | Method and system for identification of security vulnerabilities |
| CN107231371A (zh) * | 2017-06-23 | 2017-10-03 | 国家电网公司 | 电力信息网的安全防护方法、装置和系统 |
| CN107392042A (zh) * | 2017-06-30 | 2017-11-24 | 国家电网公司 | 电网数据监测方法和装置 |
| CN110213246A (zh) * | 2019-05-16 | 2019-09-06 | 南瑞集团有限公司 | 一种广域多因子身份认证系统 |
-
2019
- 2019-09-19 CN CN201910887916.6A patent/CN110601895A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090271863A1 (en) * | 2006-01-30 | 2009-10-29 | Sudhakar Govindavajhala | Identifying unauthorized privilege escalations |
| CN103618610A (zh) * | 2013-12-06 | 2014-03-05 | 上海千贯节能科技有限公司 | 一种基于智能电网中能量信息网关的信息安全算法 |
| US20170098087A1 (en) * | 2015-10-06 | 2017-04-06 | Assured Enterprises, Inc. | Method and system for identification of security vulnerabilities |
| CN105407078A (zh) * | 2015-10-20 | 2016-03-16 | 国网四川省电力公司信息通信公司 | 一种电力通信系统中的数据传输方法及系统 |
| CN107231371A (zh) * | 2017-06-23 | 2017-10-03 | 国家电网公司 | 电力信息网的安全防护方法、装置和系统 |
| CN107392042A (zh) * | 2017-06-30 | 2017-11-24 | 国家电网公司 | 电网数据监测方法和装置 |
| CN110213246A (zh) * | 2019-05-16 | 2019-09-06 | 南瑞集团有限公司 | 一种广域多因子身份认证系统 |
Non-Patent Citations (1)
| Title |
|---|
| 孙少华: "青海电力信息网络安全防护体系设计", 《青海电力》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111294244A (zh) * | 2020-02-18 | 2020-06-16 | 国家电网有限公司 | 网管网络的优化方法和装置 |
| CN111522638A (zh) * | 2020-04-14 | 2020-08-11 | 高明飞 | 一种云计算资源池管理方法及装置 |
| CN111522638B (zh) * | 2020-04-14 | 2023-09-19 | 高明飞 | 一种云计算资源池管理方法及装置 |
| CN111917589A (zh) * | 2020-08-10 | 2020-11-10 | 广东电网有限责任公司电力调度控制中心 | 一种电力通信网络资源备份方法及相关装置 |
| CN112600829A (zh) * | 2020-12-07 | 2021-04-02 | 国网江苏省电力有限公司 | 一种综合能源调控系统数据安全防护系统 |
| CN112769765A (zh) * | 2020-12-23 | 2021-05-07 | 上海商米科技集团股份有限公司 | 一种基于数字证书的IoT设备互操作指令权限管理方法 |
| CN112769765B (zh) * | 2020-12-23 | 2023-07-25 | 上海商米科技集团股份有限公司 | 一种基于数字证书的IoT设备互操作指令权限管理方法 |
| CN112650630A (zh) * | 2020-12-31 | 2021-04-13 | 广州技象科技有限公司 | 一种智能电表运行参数的分布式备份方法及装置 |
| CN112650630B (zh) * | 2020-12-31 | 2022-02-01 | 广州技象科技有限公司 | 一种智能电表运行参数的分布式备份方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110601895A (zh) | 电力通信系统数据控制方法和装置 | |
| US9912679B1 (en) | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network | |
| WO2015031866A1 (en) | System and method of network functions virtualization of network services within and across clouds | |
| CN105871908B (zh) | 企业网络边界设备访问控制策略的管控方法及装置 | |
| CN111108733B (zh) | 在基于网络功能虚拟化(nfv)的通信网络和软件定义的网络(sdns)中提供安全性的系统、方法和计算机程序 | |
| CN111385326B (zh) | 轨道交通通信系统 | |
| CN106792684B (zh) | 一种多重防护的无线网络安全防护系统及防护方法 | |
| Hagen et al. | Efficient verification of IT change operations or: How we could have prevented Amazon's cloud outage | |
| WO2014135548A2 (en) | Security zones in industrial control systems | |
| US20170214713A1 (en) | System and method for operating protection services | |
| CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
| JP5882961B2 (ja) | コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム | |
| CN113194027A (zh) | 面向自动化码头工业互联网的安全通信网关系统 | |
| CN113852506A (zh) | 一种故障处理方法、装置及电子设备和存储介质 | |
| Dazahra et al. | A defense-in-depth cybersecurity for smart substations | |
| KR101480443B1 (ko) | 하이브리드 망 분리 시스템 및 그 방법 | |
| Czechowski et al. | Cyber security in communication of SCADA systems using IEC 61850 | |
| CN109361675B (zh) | 一种信息安全保护的方法、系统及相关组件 | |
| CN106060040A (zh) | 企业网络访问控制方法及装置 | |
| Ciancamerla et al. | An electrical grid and its SCADA under cyber attacks: Modelling versus a Hybrid Test Bed | |
| CN114666249B (zh) | 云平台上的流量采集方法、设备以及计算机可读存储介质 | |
| CN108809935A (zh) | 一种云环境或虚拟环境下的安全访问控制方法和装置 | |
| Martin de Pozuelo et al. | Software defined utility: A step towards a flexible, reliable and low-cost smart grid | |
| Surantha et al. | A case analysis for Kubernetes network security of financial service industry in Indonesia using zero trust model | |
| Wang et al. | IPDAC: an integrated IP address management framework for telecommunication management networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |
|
| RJ01 | Rejection of invention patent application after publication |