CN115001708B - 面向电网调度自动化主站系统的网络安全运维方法及装置 - Google Patents
面向电网调度自动化主站系统的网络安全运维方法及装置 Download PDFInfo
- Publication number
- CN115001708B CN115001708B CN202210596301.XA CN202210596301A CN115001708B CN 115001708 B CN115001708 B CN 115001708B CN 202210596301 A CN202210596301 A CN 202210596301A CN 115001708 B CN115001708 B CN 115001708B
- Authority
- CN
- China
- Prior art keywords
- maintenance
- work ticket
- task
- ticket file
- master station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 345
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000012795 verification Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 12
- 230000011218 segmentation Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 23
- 230000000903 blocking effect Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/12—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment
- Y04S40/128—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment involving the use of Internet protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种面向电网调度自动化主站系统的网络安全运维方法及装置。方法包括:接收电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件;所述运维工作票文件包含有数字签名;对接收到的运维工作票文件进行验签;若验签无误,解析运维工作票文件内容,对运维工作票文件内容进行完整性校验,若校验通过,则生成运维任务;基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,则分配的组内全部目标运维资产的权限与运维任务中指定运维人员的运维账号自动关联。本发明实现了电网调度自动化主站系统的自动化安全运维。
Description
技术领域
本发明涉及一种面向电网调度自动化主站系统的网络安全运维方法及装置,电网调度自动化安全运维技术领域。
背景技术
随着计算机与通信技术在电网调度自动化领域的广泛应用,智能化运维管控类设备为运维人员监控系统网络内服务器、网络设备、安全设备、数据库等设备的操作行为提供了高效、便利的工具。但互联网通用网络运维设备未能很好地适应电网调度自动化原有的运维管理模式,不支持调度自动化系统内部运维特定工作票的解析导入、规则匹配、权限与账号分配等阶段的自动化实现,智能化运维所具备的优势未能充分体现。
相关技术中,按照电网调度自动化系统执行运维操作的管理要求,运维流程是通过工作票导出、人工确认后手动配置运维管控设备的方式开展。但目前现场运维管控设备普遍不支持基于电力系统数据标记语言的文件解析与运维任务的自动生成,现场以工作票人工下发,手动配置运维专用设备的方式替代开展运维工作,自动化程度低,降低了运维管控效率。在运维任务下发过程中涉及人工交接与手动登记配置等运维环节,易造成运维任务信息泄露,信息安全传输得不到保障,存在着极大的安全传输隐患,故亟需提出一种适应电网调度自动化主站系统管控模式的网络安全运维方法及装置以提升运维效率,保障运维任务下发过程安全。
发明内容
本发明的目的在于提供一种面向电网调度自动化主站系统的网络安全运维方法及装置,以解决电网调度自动化主站系统安全运维过程中运维任务下发与生成环节自动化程度低的问题。
为实现上述目的,本发明采用如下技术方案:
一方面,一种面向电网调度自动化主站系统的网络安全运维方法,包括:
接收电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件;所述运维工作票文件包含有数字签名;
对接收到的运维工作票文件进行验签;若验签无误,解析运维工作票文件内容,对运维工作票文件内容进行完整性校验,若校验通过,则生成运维任务;
基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,则分配的组内全部目标运维资产的权限与运维任务中指定运维人员的运维账号自动关联。
进一步地,所述对运维工作票文件内容进行完整性校验,包括:
校验运维工作票文件内容是否包含判断完整性所需的必要信息,若不存在信息缺失,则直接生成运维任务。
进一步地,所述对运维工作票文件内容进行完整性校验,还包括:
若存在信息缺失或不完整情况,将缺失字段与人员和资产数据库进行自动关联匹配,若匹配成功,则生成运维任务。
进一步地,所述判断完整性所需的必要信息至少包括:运维任务ID、运维人员ID、工作开始/结束时间、运维资产IP地址、运维资产名称和运维业务类型。
进一步地,组内是按各目标运维资产的运维资产名称、IP地址、业务类型、运维时间段和超级权限属性为限定细粒度分配权限。
进一步地,所述基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,包括:
从生成的运维任务中提取关键信息,将该关键信息与预先存储的主机资产表进行匹配,识别出对应的主机;
将运维任务中的工作时段与预先存储的非工作时段字典表进行匹配,获得执行运维任务的最终工作时段;
将运维任务内容与预先存储的高危命令字典表进行匹配,提取出运维任务内容中出不可执行的具体操作;
基于识别出的主机、获得的最终工作时段和提取出的不可执行的具体操作,最终生成运维人员的具体权限信息。
另一方面,一种面向电网调度自动化主站系统的网络安全运维装置,包括:
接收模块,用于接收电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件;所述运维工作票文件包含有数字签名;
验签校验模块,用于对接收到的运维工作票文件进行验签;若验签无误,解析运维工作票文件内容,对运维工作票文件内容进行完整性校验,若校验通过,则生成运维任务;
权限初始化模块,用于基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,则分配的组内全部目标运维资产的权限与运维任务中指定运维人员的运维账号自动关联。
进一步地,所述验签校验模块,包括:
验签模块,用于对接收到的运维工作票文件进行验签;
校验模块,用于对验签成功的运维工作票文件进行解析,校验运维工作票文件内容是否包含判断完整性所需的必要信息,若不存在信息缺失,则直接生成运维任务;若存在信息缺失或不完整情况,将缺失字段与人员和资产数据库进行自动关联匹配,若匹配成功,则生成运维任务。
进一步地,所述权限初始化模块包括:
运维业务识别模块,用于从生成的运维任务中提取关键信息,将该关键信息与预先存储的主机资产表进行匹配,识别出对应的主机;
运维时段切分模块,用于将运维任务中的工作时段与预先存储的非工作时段字典表进行匹配,获得执行运维任务的最终工作时段;
高危命令匹配模块,用于将运维任务内容与预先存储的高危命令字典表进行匹配,提取出运维任务内容中出不可执行的具体操作;
操作权限生成模块,用于基于识别出的主机、获得的最终工作时段和提取出的不可执行的具体操作,最终生成运维人员的具体权限信息。
进一步地,当电网调度自动化主站系统与运维装置处于不同的安全域时,电网调度自动化主站系统下发的运维工作票文件通过电力转用安全传输设备传输至运维装置。
与现有技术相比,本发明所达到的有益技术效果:本发明结合电力专用调度数字证书系统数字签名、文件跨区安全传输机制,通过对电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件进行解析、运维任务生成与初始化等技术手段,提高了电网调度自动化主站系统运维安全性与自动化程度。本发明解决了传统互联网运维设备不支持电网调度自动化主站系统运维任务安全下发及自动化生成问题,实现了电网调度自动化主站系统的自动化安全运维。
附图说明
图1为本发明实施例的一种面向电网调度自动化主站系统的网络安全运维方法流程图;
图2为电网调度自动化主站系统安全运维示意图;
图3为运维任务生成流程图;
图4为本发明实施例的一种面向电网调度自动化主站系统的网络安全运维装置结构框图;
图5为验签校验模块结构框图;
图6为权限初始化模块结构示意图;
图7为本发明另一实施例的一种面向电网调度自动化主站系统的网络安全运维装置结构示意图。
具体实施方式
下面结合具体实施例对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,一种面向电网调度自动化主站系统的网络安全运维方法,包括:
步骤S1,接收电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件;所述运维工作票文件包含有数字签名;
如图2所示,电网调度自动化主站系统逻辑上分布在采取不同强度隔离措施的安全域内。在某安全域内触发并生成基于电力系统数据标记语言的运维工作票文件,内容包括工作票ID、运维人员ID、运维人姓名、运维设备ID、运维时间段、运维目标设备IP、运维业务类型及具体运维内容说明等。
运维工作票文件还提供签名字段,运用电力专用调度数字证书系统颁发的数字证书对工作票文件传输内容进行数字签名,供接收方验签,以保证文件传输完整性、保密性及不可否认性。
如果下发过程涉及跨安全域传输,需通过电力专用隔离传输设备实现。例如,运维任务在安全域B下发,可以通过电力转用安全传输设备传输至安全域A内的运维装置。
步骤S2,对接收到的运维工作票文件进行验签;若验签无误,解析运维工作票文件内容,对运维工作票文件内容进行完整性校验,若校验通过,则生成运维任务;
如图3所示,该步骤具体包括:
S201,调用数字证书对接收到的运维工作票文件进行验签,如验签错误,则直接中止任务,保存日志并提示错误,否则,进入步骤S202;
S202,解析运维工作票文件内容,校验运维工作票文件内容是否满足完整性要求所需的必要信息,若不存在信息缺失,则直接生成运维任务,否则,进入步骤S203;
S203,若存在信息缺失或不完整情况,保存日志并提示信息不完整,调用运维装置个人与资产数据库接口,将缺失字段自动与个人与资产数据库进行关联匹配并生成缺失信息,若信息生成失败,保存日志提示错误并直接中止任务;若匹配成功,则生成运维任务。
其中,判断校验运维任务完整性的必要信息至少包括运维任务ID、运维人员ID、工作开始/结束时间、运维资产IP地址、运维资产名称与运维业务类型,如表1所示。
表1运维任务信息表
注:标*为运维工作票文件完整性信息校验必需项
步骤S3,基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,则分配的组内全部目标运维资产的权限与运维任务中指定运维人员的运维账号自动关联。
基于生成的运维任务,为指定运维人员的运维账号进行分组授权,目标运维设备以组的方式自动向运维账号分配运维权限。组内是按各目标运维资产的运维资产名称、IP地址、业务类型、运维时间段与超级权限属性为限定细粒度分配权限。如表2所示示例,描述了向某指定运维人员分配A-F目标运维资产的具体运维权限,运维资产名称与IP地址限定了目标运维设备,业务类型属性通过运维任务信息表自动绑定了该业务所需的特定一个或多个指定端口号,超级权限属性限定了是否具备目标运维设备的超级用户权限。
表2某运维任务权限分组授权的示例
运维权限分配完成后,分配的组内全部目标运维资产的权限会与运维任务中指定运维人员的账号自动关联,运维人员无需关心具体目标运维资产的实际账号信息,便可在指定运维终端通过自身账号信息成功认证登录运维装置后开展安全运维工作。
在另一实施例中,如图4所示,一种面向电网调度自动化主站系统的网络安全运维装置,包括:
接收模块,用于接收电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件;所述运维工作票文件包含有数字签名;
验签校验模块,用于对接收到的运维工作票文件进行验签;若验签无误,解析运维工作票文件内容,对运维工作票文件内容进行完整性校验,若校验通过,则生成运维任务;
权限初始化模块,用于基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,则分配的组内全部目标运维资产的权限与运维任务中指定运维人员的运维账号自动关联。
其中,如图5所示,验签校验模块,包括:
验签模块,用于对接收到的运维工作票文件进行验签;
校验模块,用于对验签成功的运维工作票文件进行解析,校验运维工作票文件内容是否包含判断完整性所需的必要信息,若不存在信息缺失,则直接生成运维任务;若存在信息缺失或不完整情况,将缺失字段与人员和资产数据库进行自动关联匹配,若匹配成功,则生成运维任务。
如图6所示,权限初始化模块包括:运维业务识别模块、运维时段切分模块、高危命令匹配模块和操作权限生成模块。
运维业务识别模块,用于从生成的运维任务中提取关键信息,包括资产名称、业务类型、IP地址等关键字段,将该关键信息与预先存储的主机资产表进行匹配,识别出对应的主机。其中,识别的主机可能是一台,也可能是多台。
运维时段切分模块,用于将运维任务中的工作时段与预先存储的非工作时段字典表进行匹配,获取执行运维任务的最终工作时段。
高危命令匹配模块,用于将运维任务内容与预先存储的高危命令字典表进行匹配,提取出运维任务内容中出不可执行的具体操作,如增删改、提权操作等。
操作权限生成模块,用于基于识别出的主机、获得的最终工作时段和提取出的不可执行的具体操作,生成运维人员的具体权限信息并将其保存至运维任务权限表中。
本实施例的运维装置工作流程如下:
电网调度自动化主站系统下发加有数字签名的运维工作票文件,接收模块通过SFTP协议可按设置的时间段周期性接收运维工作票文件;验签校验模块调用下发的数字证书对运维工作票文件进行验签和信息完整性校验,若验签和信息完整性校验均通过,则生成运维任务;权限初始化模块基于生成的运维任务,为指定运维人员的运维账号进行分组授权,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,权限分配完成后,分配的组内全部目标运维资产的权限会与运维任务中指定运维人员的账号自动关联,运维人员在指定运维终端通过自身账号信息成功认证登录运维装置后即可对目标运维资产进行安全运维管控。
在另一实施例中,如图7所示,一种面向电网调度自动化主站系统的网络安全运维装置,包括:单点登录模块、访问控制模块、中间件模块、存储模块和管理模块。
单点登录模块位于前端,当装置管理员或运维人员在客户端认证通过后,选择目标运维资产时会生成一次性口令,一次性口令传入单点登录模块,通过单点登录模块会自动调用装置各类协议代理模块登录目标运维资产。
管理模块包括位于前端的人员管理模块、主机管理模块(即运维资产管理模块)、密码管理模块和位于后端的任务管理模块。人员管理模块、主机管理模块、密码管理模块用于实现对运维代理过程中相关要素的编辑维护。任务管理模块用于业务配置和运维,主要负责对运维任务进行管理。
具体的,人员管理模块,提供运维人员的相关信息编辑维护,如人员姓名、账号、密码、有效期、指纹等信息。
主机管理模块,提供主机类资产的账号、密码、登录协议等相关内容。
任务管理模块包括接收模块和验签校验模块。其中,接收模块,用于接收电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件。验签校验模块,用于对接收到的运维工作票文件进行验签;若验签无误,解析运维工作票文件内容,对运维工作票文件内容进行完整性校验,若校验通过,则生成运维任务。
访问控制模块对所有外部访问操作进行访问控制管理,包括权限初始化模块、任务关联模块和会话阻断模块。
其中,权限初始化模块,用于基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,则分配的组内全部目标运维资产的权限与运维任务中指定运维人员的运维账号自动关联。
任务关联模块,用于关联对应任务生成具体的访问策略,生成何人何时可以访问运维哪些资产,通过细化任务执行的时间、操作内容等条例,约束人员在主机的访问权限。
会话阻断模块,用于提供会话过程中的阻断禁用功能。区分对不同高危等级的指令调用对应的阻断命令,其中非法指令需直接按照策略进行阻断,包括:指令阻断、会话阻断;高危指令需申请确认,指令申请超时未确认时应当按照默认禁止策略执行,禁止策略支持可配,包括:默认指令阻断、默认会话阻断;敏感指令默认直接放过执行。
中间件模块直接与前后端进行数据交互,通过前后端协议控制模块,字符、图形、文件传输与数据库协议代理模块实现协议代理,并将采集后的数据交由审计引擎处理提供报表生成。
存储模块提供了安全数据库,用以保存用户数据、资产数据、日志数据、配置数据等装置所有相关需要临时或永久存储的数据。
其中,人员和资产数据库、主机资产表、非工作时段字典表、高危命令字典表、运维任务权限表等均保存在存储模块中。
本发明结合电力专用调度数字证书系统数字签名、文件跨区安全传输机制,通过对电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件进行解析、运维任务生成与初始化等技术手段,提高了电网调度自动化主站系统运维安全性与自动化程度。本发明解决了传统互联网运维设备不支持电网调度自动化主站系统运维任务安全下发及自动化生成问题,实现了电网调度自动化主站系统自动化安全运维。
以上已以较佳实施例公布了本发明,然其并非用以限制本发明,凡采取等同替换或等效变换的方案所获得的技术方案,均落在本发明的保护范围内。
Claims (7)
1.一种面向电网调度自动化主站系统的网络安全运维方法,其特征在于,包括:
接收电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件;所述运维工作票文件包含有数字签名;所述运维工作票文件的内容包括工作票ID、运维人员ID、运维人姓名、运维设备ID、运维时间段、运维目标设备IP、运维业务类型及具体运维内容说明;
对接收到的运维工作票文件进行验签;若验签无误,解析运维工作票文件内容,对运维工作票文件内容进行完整性校验,若校验通过,则生成运维任务;
基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,则分配的组内全部目标运维资产的权限与运维任务中指定运维人员的运维账号自动关联;
所述对运维工作票文件内容进行完整性校验,包括:
校验运维工作票文件内容是否包含判断完整性所需的必要信息,若不存在信息缺失,则直接生成运维任务;
所述判断完整性所需的必要信息至少包括:运维任务ID、运维人员ID、工作开始/结束时间、运维资产IP地址、运维资产名称和运维业务类型。
2.根据权利要求1所述的一种面向电网调度自动化主站系统的网络安全运维方法,其特征在于,所述对运维工作票文件内容进行完整性校验,还包括:
若存在信息缺失或不完整情况,将缺失字段与人员和资产数据库进行自动关联匹配,若匹配成功,则生成运维任务。
3.根据权利要求1所述的一种面向电网调度自动化主站系统的网络安全运维方法,其特征在于,组内是按各目标运维资产的运维资产名称、IP地址、业务类型、运维时间段和超级权限属性为限定细粒度分配权限。
4.根据权利要求1所述的一种面向电网调度自动化主站系统的网络安全运维方法,其特征在于,所述基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,包括:
从生成的运维任务中提取关键信息,将该关键信息与预先存储的主机资产表进行匹配,识别出对应的主机;
将运维任务中的工作时段与预先存储的非工作时段字典表进行匹配,获得执行运维任务的最终工作时段;
将运维任务内容与预先存储的高危命令字典表进行匹配,提取出运维任务内容中出不可执行的具体操作;
基于识别出的主机、获得的最终工作时段和提取出的不可执行的具体操作,最终生成运维人员的具体权限信息。
5.一种面向电网调度自动化主站系统的网络安全运维装置,其特征在于,包括:
接收模块,用于接收电网调度自动化主站系统下发的基于电力系统数据标记语言的运维工作票文件;所述运维工作票文件包含有数字签名;所述运维工作票文件的内容包括工作票ID、运维人员ID、运维人姓名、运维设备ID、运维时间段、运维目标设备IP、运维业务类型及具体运维内容说明;
验签校验模块,用于对接收到的运维工作票文件进行验签;若验签无误,解析运维工作票文件内容,对运维工作票文件内容进行完整性校验,若校验通过,则生成运维任务;
权限初始化模块,用于基于生成的运维任务,将目标运维资产以组的方式自动向指定运维人员的运维账号分配运维权限,则分配的组内全部目标运维资产的权限与运维任务中指定运维人员的运维账号自动关联;
所述验签校验模块,包括:
验签模块,用于对接收到的运维工作票文件进行验签;
校验模块,用于对验签成功的运维工作票文件进行解析,校验运维工作票文件内容是否包含判断完整性所需的必要信息,若不存在信息缺失,则直接生成运维任务;若存在信息缺失或不完整情况,将缺失字段与人员和资产数据库进行自动关联匹配,若匹配成功,则生成运维任务;
所述判断完整性所需的必要信息至少包括:运维任务ID、运维人员ID、工作开始/结束时间、运维资产IP地址、运维资产名称和运维业务类型。
6.根据权利要求5所述的一种面向电网调度自动化主站系统的网络安全运维装置,其特征在于,所述权限初始化模块包括:
运维业务识别模块,用于从生成的运维任务中提取关键信息,将该关键信息与预先存储的主机资产表进行匹配,识别出对应的主机;
运维时段切分模块,用于将运维任务中的工作时段与预先存储的非工作时段字典表进行匹配,获得执行运维任务的最终工作时段;
高危命令匹配模块,用于将运维任务内容与预先存储的高危命令字典表进行匹配,提取出运维任务内容中出不可执行的具体操作;
操作权限生成模块,用于基于识别出的主机、获得的最终工作时段和提取出的不可执行的具体操作,最终生成运维人员的具体权限信息。
7.根据权利要求5所述的一种面向电网调度自动化主站系统的网络安全运维装置,其特征在于,当电网调度自动化主站系统与运维装置处于不同的安全域时,电网调度自动化主站系统下发的运维工作票文件通过电力转用安全传输设备传输至运维装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210596301.XA CN115001708B (zh) | 2022-05-30 | 2022-05-30 | 面向电网调度自动化主站系统的网络安全运维方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210596301.XA CN115001708B (zh) | 2022-05-30 | 2022-05-30 | 面向电网调度自动化主站系统的网络安全运维方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001708A CN115001708A (zh) | 2022-09-02 |
| CN115001708B true CN115001708B (zh) | 2024-04-02 |
Family
ID=83029178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210596301.XA Active CN115001708B (zh) | 2022-05-30 | 2022-05-30 | 面向电网调度自动化主站系统的网络安全运维方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001708B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109302404A (zh) * | 2018-10-30 | 2019-02-01 | 国电南瑞南京控制系统有限公司 | 一种广域运维系统的远程维护操作认证方法 |
| CN109831327A (zh) * | 2019-01-28 | 2019-05-31 | 国家电网有限公司信息通信分公司 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
| CN110324180A (zh) * | 2019-06-17 | 2019-10-11 | 国电南瑞科技股份有限公司 | 变电站自动化设备广域运维安全设计方法 |
| CN113852197A (zh) * | 2021-09-23 | 2021-12-28 | 内蒙古电力(集团)有限责任公司鄂尔多斯电业局 | 一种广域变电站自动化设备的远程运维方法、系统及设备 |
-
2022
- 2022-05-30 CN CN202210596301.XA patent/CN115001708B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109302404A (zh) * | 2018-10-30 | 2019-02-01 | 国电南瑞南京控制系统有限公司 | 一种广域运维系统的远程维护操作认证方法 |
| CN109831327A (zh) * | 2019-01-28 | 2019-05-31 | 国家电网有限公司信息通信分公司 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
| CN110324180A (zh) * | 2019-06-17 | 2019-10-11 | 国电南瑞科技股份有限公司 | 变电站自动化设备广域运维安全设计方法 |
| CN113852197A (zh) * | 2021-09-23 | 2021-12-28 | 内蒙古电力(集团)有限责任公司鄂尔多斯电业局 | 一种广域变电站自动化设备的远程运维方法、系统及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 易强等.调度与变电站一体化系统远程维护安全防护设计.2015,第34卷(第1期),第3节,图3-4. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115001708A (zh) | 2022-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110310205B (zh) | 一种区块链数据监控方法、装置、设备和介质 | |
| US8533797B2 (en) | Using windows authentication in a workgroup to manage application users | |
| CN102144193B (zh) | 在自动化系统中同意对基于计算机的对象的访问权限的方法、设备和自动化系统 | |
| CN111415233B (zh) | 一种基于区块链多方授权的银行电子询证函生成方法 | |
| CN107294916A (zh) | 单点登录方法、单点登录终端及单点登录系统 | |
| CN103942478A (zh) | 一种身份验证与权限管理方法和设备 | |
| CN109936565A (zh) | 登录多个服务集群的方法、装置、计算机设备及存储介质 | |
| CN108965294A (zh) | 一种用户名及密码保护系统 | |
| CN106789059A (zh) | 一种基于可信计算的远程双向访问控制系统及方法 | |
| CN115730339A (zh) | 一种基于ide源码保护插件代码防泄密方法及系统 | |
| CN106911744A (zh) | 一种镜像文件的管理方法和管理装置 | |
| CN102004977A (zh) | 网络安全支付方法及系统 | |
| CN115001708B (zh) | 面向电网调度自动化主站系统的网络安全运维方法及装置 | |
| CN103259689A (zh) | 一种对设备进行密码变更以及发生故障后密码恢复的方法 | |
| CN105550566B (zh) | 一种多用户共享软件授权usb设备的方法 | |
| CN108933678A (zh) | 运维审计系统 | |
| Lu et al. | DIFCS: a secure cloud data sharing approach based on decentralized information flow control | |
| CN106878378B (zh) | 网络通信管理中的散点处理方法 | |
| CN100535918C (zh) | 加气站管理系统的加密锁系统 | |
| CN100527692C (zh) | 一种虚拟专用网用户认证的系统和方法 | |
| CN107315963A (zh) | 一种具有远程访问功能的财务管理方法 | |
| CN101930552B (zh) | 一种标识智能卡通信对象的方法 | |
| CN112183781A (zh) | 电梯维保人员的认证方法、装置、计算机设备和存储介质 | |
| CN113938320B (zh) | 一种基于统一网关的置信用户识别方法和系统 | |
| CN112836195B (zh) | 一种企业银行认证介质的密码修改方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |