CN114363040A - 一种电网负荷调控平台运行安全防护方法与系统 - Google Patents
一种电网负荷调控平台运行安全防护方法与系统 Download PDFInfo
- Publication number
- CN114363040A CN114363040A CN202111653044.0A CN202111653044A CN114363040A CN 114363040 A CN114363040 A CN 114363040A CN 202111653044 A CN202111653044 A CN 202111653044A CN 114363040 A CN114363040 A CN 114363040A
- Authority
- CN
- China
- Prior art keywords
- safety monitoring
- data
- safety
- terminal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000012544 monitoring process Methods 0.000 claims abstract description 258
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 238000000586 desensitisation Methods 0.000 claims description 20
- 238000003860 storage Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 6
- 238000011217 control strategy Methods 0.000 claims description 4
- 230000000903 blocking effect Effects 0.000 claims description 3
- 230000007123 defense Effects 0.000 abstract description 10
- 230000036039 immunity Effects 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 7
- 230000002265 prevention Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000002955 isolation Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000005192 partition Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000002787 reinforcement Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004146 energy storage Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
本公开提供一种电网负荷调控平台运行安全防护方法与系统,通过设置主机安全监测模块、应用安全监测模块、数据安全监测模块、网络安全监测模块、终端安全监测模块、风险识别模块和安全防护策略执行模块,实现能够依据所述风险特征因素对应执行不同的安全防护策略,使电网负荷调控平台由传统的被动式防御变更为前瞻性的主动防御,弥补了传统调控平台在抵御未知恶意攻击方面的空白,形成了调控平台从主机层、网络层、数据层、以及终端层的一体化主动防御体系,全面提升了调控平台自身的系统安全防护和免疫能力,既保障负荷调控平台安全可靠运行、也保障负荷调控平台边界和网络传输通道安全。
Description
技术领域
本公开涉及电力系统控制技术领域,具体而言,涉及一种电网负荷调控平台运行安全防护方法与系统。
背景技术
如今电力企业规模的不断壮大,电力系统的互联程度也随之越来越高,且正在逐渐向一个大量数据和信息计算汇聚的系统演变。我国的西电东送、三峡并网发电以及智能电网互联工程都将形成规模宏大的大机组、超高压、大电网的全国性互联智能电网,而智能电网调度系统作为智能电网的神经中枢也将面临着向多区域联合协同计算的运行模式转变,突破国调、网调和省调三级联合调度计划的信息共享方式。
当前,配电自动化系统的安全防护体系建设以“安全分区、网络专用、横向隔离、纵向认证”为原则,形成了横跨生产控制大区与管理信息大区并覆盖边界、主机、终端等层面的纵深防御体系。系统建设必须满足《中华人民共和国网络安全法》、《电力监控系统安全防护规定》(国家发改委令﹝第 14号﹞)、《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全﹝2015﹞36号)等法规及标准的要求,按照“安全分区、网络专用、横向隔离、纵向认证”的原则,重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全,提高系统整体安全防护能力,保证系统及重要数据安全。
目前现有技术中系统安全防护采取的主要措施是:(1)系统按照“安全分区”原则,划分生产控制大区和管理信息大区,参照说明书附图图一所示,其中生产控制大区分为安全区Ⅰ(控制区)和安全区Ⅱ(非控制区),管理信息大区分为安全区Ⅲ,信息内网,信息外网;(2)网络专用,系统按照不同业务的安全等级,分别通过调度数据网、调度数据网和互联网进行外部通信,实现不同安全等级业务的网络专用;(3)横向隔离,各安全区之间应选择适当安全强度的隔离装置,控制区与非控制区之间采用硬件防火墙进行逻辑隔离,生产控制大区与管理信息大区之间采用电力专用正、反向安全隔离装置进行物理隔离,管理信息大区与数据通信网之间采用硬件防火墙进行逻辑隔离。安全防护设备必须是国产设备并经过国家指定部门认证的产品;(4)纵向认证,生产控制大区与广域网边界应采用纵向加密认证装置,实现网络层双向身份认证、数据加密和访问控制、安全过滤等功能;安全接入区内纵向通信应当采用基于非对称密钥技术的单向认证等安全措施,重要业务可以采用双向认证;(5)其他措施,系统的操作系统、数据库软件应达到安全四级防护要求;系统通过调度数字证书实现身份认证和行为审计;生产控制大区与调度数据网、安全接入区与公用通信网的纵向边界分别部署网络入侵监测系统;全部主机应进行安全加固和执行程序可信计算;通过网络安全管理平台采集主备调系统和厂站监控系统的服务器、工作站、网络设备、安全防护设备、数据库的安全事件,对电力监控系统的安全风险和安全事件进行实时监视和在线管控。
以上防护措施可解决业务数据在交互过程中面临的监听、篡改、重放等大量恶意攻击问题,但随着配电主站通信方式的多样化、开放化发展,以及黑客攻击手段的日益增强,传统的被动式防护手段在未知风险预防及感知、防御黑客入侵设备内部等方面存在一定缺陷。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种电网负荷调控平台运行安全防护方法与系统,用于至少在一定程度上克服由于相关技术的限制和缺陷而导致的电网调度系统在安全防护上无法对未知风险进行预防及感知的问题。
根据本公开的一个方面,提供一种电网负荷调控平台运行安全防护方法,包括:
进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;
进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;
进行敏感数据监测以获取数据安全监测数据;
进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;
进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;
识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;
将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。
在本公开的一种示例性实施例中,所述风险特征因素包括主机风险特征、应用风险特征、数据泄露风险特征、网络风险特征和终端风险特征。
在本公开的一种示例性实施例中,所述安全防护策略包括信任控制策略、告警控制策略和阻断控制策略。
在本公开的一种示例性实施例中,所述信任控制策略中包括物理安全防护措施、边界安全防护措施、主机安全防护措施、应用安全防护措施、数据安全防护措施和网络安全防护措施。
根据本公开的另一个方面,提供一种电网负荷调控平台运行安全防护系统,包括:
主机安全监测模块,用于进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;
应用安全监测模块,用于进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;
数据安全监测模块,用于进行敏感数据监测以获取数据安全监测数据;
网络安全监测模块,用于进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;
终端安全监测模块,用于进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;
风险识别模块,用于识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;
安全防护策略执行模块,将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。
在本公开的一种示例性实施例中,所述主机安全监测模块包括操作系统安全监测单元和数据库系统安全监测单元。
在本公开的一种示例性实施例中,所述数据安全监测模块中包括数据脱敏单元和数据加密单元,所述数据脱敏单元用于对调度员控制指令口令和用户隐私进行数据脱敏处理。
在本公开的一种示例性实施例中,所述终端安全监测模块包括终端设备层安全监测单元、终端传输层安全监测单元和终端应用层安全监测单元。
根据本公开的另一个方面,提供一种电子设备,包括:
存储器;以及
耦合到所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上所述的电网负荷调控平台运行安全防护方法。
根据本公开的另一个方面,提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的电网负荷调控平台运行安全防护方法。
本公开实施例的电网负荷调控平台运行安全防护系统通过在系统中设置主机安全监测模块,用于进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;应用安全监测模块,用于进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;数据安全监测模块,用于进行敏感数据监测以获取数据安全监测数据;网络安全监测模块,用于进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;终端安全监测模块,用于进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;风险识别模块,用于识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;安全防护策略执行模块,用于将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。本公开实施例的电网负荷调控平台运行安全防护系统通过设置风险识别模块和安全防护策略执行模块,能依据所述风险特征因素对应执行不同的安全防护策略,使电网负荷调控平台由传统的被动式防御变更为前瞻性的主动防御,弥补了传统调控平台在抵御未知恶意攻击方面的空白,形成了调控平台从主机层、网络层、数据层、以及终端层的一体化主动防御体系,全面提升了调控平台自身的系统安全防护和免疫能力,既保障负荷调控平台安全可靠运行、也保障负荷调控平台边界和网络传输通道安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出背景技术中网络安全分区示意图。
图2示意性示出本公开第一实施例中电网负荷调控平台运行安全防护方法200的流程图。
图3示意性示出本公开第二实施例中电网负荷调控平台运行安全防护系统300的示意图。
图4示意性示出图3中电网负荷调控平台运行安全防护系统300中主机安全监测模块的示意图。
图5示意性示出图3中电网负荷调控平台运行安全防护系统300中数据安全监测模块的示意图。
图6示意性示出图3中电网负荷调控平台运行安全防护系统300中终端安全监测模块的示意图。
图7示意性示出本公开一个示例性实施例中一种电子设备700的方框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
下面结合附图对本公开示例实施方式进行详细说明。
图2示意性示出本公开第一实施例中电网负荷调控平台运行安全防护方法200的流程图。
参考图2,电网负荷调控平台运行安全防护方法200可以包括:
步骤S202,进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;
步骤S204,进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;
步骤S206,进行敏感数据监测以获取数据安全监测数据;
步骤S208,进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;
步骤S210,进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;
步骤S212,识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;
步骤S214,将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。
其中,步骤S212中的风险特征因素包括主机风险特征、应用风险特征、数据泄露风险特征、网络风险特征和终端风险特征。举例说明,应用风险特征可包括信息内外网客户端风险,例如面临SQL注入攻击、脚本注入攻击、病毒攻击、用户认证欺骗、通信信息泄露、业务数据篡改风险。终端风险特征可包括电力调度数据网非实时区终端风险,例如面临病毒木马攻击、漏洞利用、敏感信息利用等风险。数据泄露风险特征可包括在与横向系统交互时,面临SQL注入攻击、病毒木马攻击、用户认证欺骗、业务数据篡改、敏感信息泄露等风险。
步骤S214中的安全防护策略包括信任控制策略、告警控制策略和阻断控制策略。信任控制策略中包括物理安全防护措施、边界安全防护措施、主机安全防护措施、应用安全防护措施、数据安全防护措施、网络安全防护措施等。物理安全防护措施主要包括机房位置选择、机房出入控制、防盗窃和防破坏、防雷击、防火墙、防水和防潮、防静电、温湿度控制、电力供应、电磁防护,目的是使存放的计算机、网络等信息系统设备和存储介质免受物理环境损害、自然灾害以及人为的操作失误和恶意损害等。边界安全防护措施主要是由于网源荷柔性调控功能建设边界面临SQL注入、脚本攻击、病毒攻击等网络攻击风险,同时流经边界的敏感业务数据,例如电力交易数据申报、计划结算结果信息、业务单据等面临泄露及篡改风险,部署信息强隔离装置、防火墙及入侵检测设备等,保障边界安全。主机安全防护措施主要包括:身份认证、访问控制、病毒、入侵防范、漏洞扫描、更新安全补丁、资源控制、安全审计、数据备份等。应用安全防护措施主要是由于负荷调控平台应用服务及业务信息面临用户认证欺骗、权限及信息泄露、篡改等风险,严格控制用户认证,对敏感信息进行加密存储及传输,并加强权限管理及日志审计,保障系统安全。应用安全防护措施包括:身份认证、访问控制、输入输出验证、配置管理、会话管理、加密技术、参数操作、异常管理、日志与审计。数据安全防护措施主要是由于负荷调控平台的敏感数据包括辅助调峰申报信息、辅助调峰结算结果信息等,在传输及存储的过程中,面临篡改及泄露风险,通过加密、完整性校验等方式,保障数据安全;同时为保障信息系统的容灾能力,对重点数据进行有效备份。网络安全防护措施主要是包括内网安全监测、设备安全管理、设备链路冗余、网络设备处理能力保证、漏洞扫描、设备安全加固、配置文件备份。
图3示意性示出本公开第二实施例中电网负荷调控平台运行安全防护系统300的示意图。
图4示意性示出图3中电网负荷调控平台运行安全防护系统300中主机安全监测模块的示意图。
图5示意性示出图3中电网负荷调控平台运行安全防护系统300中数据安全监测模块的示意图。
图6示意性示出图3中电网负荷调控平台运行安全防护系统300中终端安全监测模块的示意图。
参考图3至图6,电网负荷调控平台运行安全防护系统300可以包括:
主机安全监测模块310,用于进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;
应用安全监测模块320,用于进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;
数据安全监测模块330,用于进行敏感数据监测以获取数据安全监测数据;
网络安全监测模块340,用于进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;
终端安全监测模块350,用于进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;
风险识别模块360,用于识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;
安全防护策略执行模块370,将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。
具体的,主机安全监测模块310包括操作系统安全监测单元311和数据库系统安全监测单元312。数据安全监测模块330中包括数据脱敏单元331 和数据加密单元332,数据脱敏单元332用于对调度员控制指令口令和用户隐私进行数据脱敏处理。负荷调控平台的敏感数据包括辅助调峰申报信息、辅助调峰结算结果信息等,在传输及存储的过程中,面临篡改及泄露风险,数据加密单元332通过加密、完整性校验等方式,保障数据安全。数据脱敏单元332可防止重要生产数据(例如:调度员控制指令口令的存储)或用户隐私等敏感信息泄露。按照数据的应用场景,将主站侧数据脱敏划分为动态数据脱敏和静态数据脱敏,对于实时性要求较高的数据,采用动态数据脱敏(流式数据脱敏技术,如控制指令的下发及回应、遥测/遥信报文等),可以在使用敏感数据时进行脱敏;对于实时性要求不高的数据,采用静态数据脱敏(批量数据脱敏技术,如终端通道、点表配置信息),只有数据处于非活跃状态下才能进行脱敏(如数据存储脱敏)。
终端安全监测模块350包括终端设备层安全监测单元351、终端传输层安全监测单元352和终端应用层安全监测单元353。终端设备层安全监测单元351主要用于防范发送恶意命令的“虚假”服务器,或者防范尝试监听从设备发来的私有传感器数据的黑客。终端传输层安全监测单元352主要用于防范发送假的度量数据的“虚假”设备,这些数据可能损坏应用程序中持久保存的数据。终端应用层安全监测单元353主要用于防范非法的数据使用,或防范在应用层中运行的分析流程被恶意操纵。
本公开实施例的电网负荷调控平台运行安全防护系统通过在系统中设置主机安全监测模块310,用于进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;应用安全监测模块320,用于进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;数据安全监测模块330,用于进行敏感数据监测以获取数据安全监测数据;网络安全监测模块340,用于进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;终端安全监测模块350,用于进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;风险识别模块360,用于识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;安全防护策略执行模块370,将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。本公开实施例的电网负荷调控平台运行安全防护系统通过设置风险识别模块360和安全防护策略执行模块370,能够依据所述风险特征因素对应执行不同的安全防护策略,使电网负荷调控平台由传统的被动式防御变更为前瞻性的主动防御,弥补了传统调控平台在抵御未知恶意攻击方面的空白,形成了调控平台从主机层、网络层、数据层、以及终端层的一体化主动防御体系,全面提升了调控平台自身的系统安全防护和免疫能力,既保障负荷调控平台安全可靠运行、也保障负荷调控平台边界和网络传输通道安全。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所述技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图7来描述根据本发明的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700 的组件可以包括但不限于:存储器720,以及耦合到存储器720的处理器710,处理器710被配置为基于存储在存储器720中的指令执行上述的储能系统 SOC校正调节方法100。存储器720与处理器710之间通过总线730进行数据传输。
其中,存储器720存储有程序代码,程序代码可以被处理器710执行,使得所述处理器710执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理器710可以执行如图2中所示的步骤S202,进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;步骤S204,进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;步骤S206,进行敏感数据监测以获取数据安全监测数据;步骤S208,进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;步骤S210,进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;步骤S212,识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;
步骤S214,将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。
存储器720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
存储器720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备800(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备700交互的设备通信,和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/ 或公共网络,例如因特网)通信。如图所示,网络适配器760通过总线730 与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U 盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、 C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术方案。说明书和实施例仅被视为示例性的,本公开的真正范围和构思由权利要求指出。
Claims (10)
1.一种电网负荷调控平台运行安全防护方法,其特征在于,包括:
进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;
进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;
进行敏感数据监测以获取数据安全监测数据;
进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;
进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;
识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;
将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。
2.如权利要求1所述的电网负荷调控平台运行安全防护方法,其特征在于,所述风险特征因素包括主机风险特征、应用风险特征、数据泄露风险特征、网络风险特征和终端风险特征。
3.如权利要求1所述的电网负荷调控平台运行安全防护方法,其特征在于,所述安全防护策略包括信任控制策略、告警控制策略和阻断控制策略。
4.如权利要求3所述的电网负荷调控平台运行安全防护方法,其特征在于,所述信任控制策略中包括物理安全防护措施、边界安全防护措施、主机安全防护措施、应用安全防护措施、数据安全防护措施和网络安全防护措施。
5.一种电网负荷调控平台运行安全防护系统,其特征在于,包括:
主机安全监测模块,用于进行主机安全监测,包括操作系统安全监测和数据库系统安全监测以获取系统安全监测数据;
应用安全监测模块,用于进行负荷调控平台应用及业务信息安全监测以获取应用安全监测数据;
数据安全监测模块,用于进行敏感数据监测以获取数据安全监测数据;
网络安全监测模块,用于进行网络安全监测,包括网络设备安全监测和网络通道安全监测以获取网络安全监测数据;
终端安全监测模块,用于进行终端安全监测,包括终端设备层安全监测、终端传输层安全监测和终端应用层安全监测以获取终端安全监测数据;
风险识别模块,用于识别所述系统安全监测数据、应用安全监测数据、网络安全监测数据和所述终端安全监测数据中的风险特征因素;
安全防护策略执行模块,将识别出的所述风险特征因素输入预设模型中输出对应的安全防护策略并执行。
6.如权利要求5所述的电网负荷调控平台运行安全防护系统,其特征在于,所述主机安全监测模块包括操作系统安全监测单元和数据库系统安全监测单元。
7.如权利要求5所述的电网负荷调控平台运行安全防护系统,其特征在于,所述数据安全监测模块中包括数据脱敏单元和数据加密单元,所述数据脱敏单元用于对调度员控制指令口令和用户隐私进行数据脱敏处理。
8.如权利要求5所述的电网负荷调控平台运行安全防护系统,其特征在于,所述终端安全监测模块包括终端设备层安全监测单元、终端传输层安全监测单元和终端应用层安全监测单元。
9.一种电子设备,其特征在于,包括:
存储器;以及
耦合到所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1-4中任意一项所述的电网负荷调控平台运行安全防护方法。
10.一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如权利要求1-4中任意一项所述的电网负荷调控平台运行安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111653044.0A CN114363040A (zh) | 2021-12-30 | 2021-12-30 | 一种电网负荷调控平台运行安全防护方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111653044.0A CN114363040A (zh) | 2021-12-30 | 2021-12-30 | 一种电网负荷调控平台运行安全防护方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114363040A true CN114363040A (zh) | 2022-04-15 |
Family
ID=81102914
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111653044.0A Pending CN114363040A (zh) | 2021-12-30 | 2021-12-30 | 一种电网负荷调控平台运行安全防护方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363040A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108074021A (zh) * | 2016-11-10 | 2018-05-25 | 中国电力科学研究院 | 一种配电网风险辨识系统及方法 |
| CN109714349A (zh) * | 2018-12-29 | 2019-05-03 | 国网电子商务有限公司 | 工业互联网的动态安全防护系统和方法、互联网平台 |
| CN109831327A (zh) * | 2019-01-28 | 2019-05-31 | 国家电网有限公司信息通信分公司 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
| CN110798474A (zh) * | 2019-11-04 | 2020-02-14 | 国网思极神往位置服务(北京)有限公司 | 基于北斗短报文通信方式的电力数据传输安全防护系统 |
| CN113132318A (zh) * | 2019-12-31 | 2021-07-16 | 中国电力科学研究院有限公司 | 面向配电自动化系统主站信息安全的主动防御方法及系统 |
| CN113382076A (zh) * | 2021-06-15 | 2021-09-10 | 中国信息通信研究院 | 物联网终端安全威胁分析方法及防护方法 |
| CN113794276A (zh) * | 2021-08-11 | 2021-12-14 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于人工智能的配电网终端安全行为监测系统及方法 |
-
2021
- 2021-12-30 CN CN202111653044.0A patent/CN114363040A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108074021A (zh) * | 2016-11-10 | 2018-05-25 | 中国电力科学研究院 | 一种配电网风险辨识系统及方法 |
| CN109714349A (zh) * | 2018-12-29 | 2019-05-03 | 国网电子商务有限公司 | 工业互联网的动态安全防护系统和方法、互联网平台 |
| CN109831327A (zh) * | 2019-01-28 | 2019-05-31 | 国家电网有限公司信息通信分公司 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
| CN110798474A (zh) * | 2019-11-04 | 2020-02-14 | 国网思极神往位置服务(北京)有限公司 | 基于北斗短报文通信方式的电力数据传输安全防护系统 |
| CN113132318A (zh) * | 2019-12-31 | 2021-07-16 | 中国电力科学研究院有限公司 | 面向配电自动化系统主站信息安全的主动防御方法及系统 |
| CN113382076A (zh) * | 2021-06-15 | 2021-09-10 | 中国信息通信研究院 | 物联网终端安全威胁分析方法及防护方法 |
| CN113794276A (zh) * | 2021-08-11 | 2021-12-14 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于人工智能的配电网终端安全行为监测系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Choi et al. | Ontology-based security context reasoning for power IoT-cloud security service | |
| CN111082940A (zh) | 物联网设备控制方法、装置及计算设备、存储介质 | |
| CN105553940A (zh) | 一种基于大数据处理平台的安全防护方法 | |
| Xu et al. | An autonomic agent trust model for IoT systems | |
| US9485271B1 (en) | Systems and methods for anomaly-based detection of compromised IT administration accounts | |
| WO2013052377A2 (en) | Secure integrated cyberspace security and situational awareness system | |
| CN104320391A (zh) | 云端认证方法及系统 | |
| CN106603488A (zh) | 一种基于电网统计数据搜索方法的安全系统 | |
| CN104320389A (zh) | 一种基于云计算的融合身份保护系统及方法 | |
| CN116760740A (zh) | 物联网设备中智能嵌入式监测系统 | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| CN113114632A (zh) | 一种可插配式智能财务审核平台 | |
| CN115314286A (zh) | 一种安全保障系统 | |
| CN115766065A (zh) | 面向电力物联网系统的安全防护方法及系统、介质、设备 | |
| Wang | Full‐scene network security protection system based on ubiquitous power Internet of things | |
| CN110611659B (zh) | 一种电力监控系统业务本质保护方法、装置及系统 | |
| CN114363040A (zh) | 一种电网负荷调控平台运行安全防护方法与系统 | |
| CN107465688B (zh) | 一种状态监测评价系统网络应用权限的标识方法 | |
| Ke et al. | Towards evolving security requirements of industrial internet: a layered security architecture solution based on data transfer techniques | |
| Yalpanian et al. | BIOT: A blockchain-based IoT platform for distributed energy resource management | |
| Thomas et al. | Cloud computing security using encryption technique | |
| Wu et al. | Cloud platform security protection framework technology | |
| Chehida et al. | Risk assessment in iot case study: Collaborative robots system | |
| Agboola | Design Principles for Secure Systems | |
| CN117313143A (zh) | Dcs上位机关键文件保护方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220415 |