CN115622799B - 基于网络隔离系统的安全架构系统 - Google Patents
基于网络隔离系统的安全架构系统 Download PDFInfo
- Publication number
- CN115622799B CN115622799B CN202211504282.XA CN202211504282A CN115622799B CN 115622799 B CN115622799 B CN 115622799B CN 202211504282 A CN202211504282 A CN 202211504282A CN 115622799 B CN115622799 B CN 115622799B
- Authority
- CN
- China
- Prior art keywords
- risk
- information
- power supply
- user
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J9/00—Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting
- H02J9/04—Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source
- H02J9/06—Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Emergency Management (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供基于网络隔离系统的安全架构系统,涉及信息安全处理技术领域,所述安全架构系统包括隔离切换模块、安全信息分类模块、安全信息采集模块、安全信息分析模块以及安全架构模块;所述隔离切换模块包括内网通信单元、外网通信单元以及隔离切换单元,所述隔离切换单元包括内网开关以及外网开关,所述内网开关用于控制内网通信单元的通断,所述外网开关用于控制外网通信单元的通断;所述安全信息分类模块用于将安全信息分为物理风险信息和软件风险信息;本发明通过对设备运行过程中的物理信息和软件信息进行分析,能够智能开启网络隔离和安全防护,以解决现有的信息安全的隔离方法不够智能、安全防护不够精准的问题。
Description
技术领域
本发明涉及信息安全处理技术领域,尤其涉及基于网络隔离系统的安全架构系统。
背景技术
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。现有的技术中,在对信息进行处理的过程中,通过内外网的隔离技术能够很好地解决信息处理的安全性问题,但是由于内外网的隔离也会造成使用不便捷,因此缺少一种能够基于检测分析后进行智能开启网络隔离的安全架构系统来解决上述存在的问题。
发明内容
针对现有技术存在的不足,本发明目的是提供基于网络隔离系统的安全架构系统,通过对设备运行过程中的物理信息和软件信息进行分析,能够智能开启网络隔离和安全防护,以解决现有的信息安全的隔离方法不够智能、安全防护不够精准的问题。
为了实现上述目的,本发明是通过如下的技术方案来实现:基于网络隔离系统的安全架构系统,所述安全架构系统包括隔离切换模块、安全信息分类模块、安全信息采集模块、安全信息分析模块以及安全架构模块;
所述隔离切换模块包括内网通信单元、外网通信单元以及隔离切换单元,所述隔离切换单元包括内网开关以及外网开关,所述内网开关用于控制内网通信单元的通断,所述外网开关用于控制外网通信单元的通断;
所述安全信息分类模块用于将安全信息分为物理风险信息和软件风险信息;所述物理风险信息包括内存运行状态参数、开关运行状态以及电源运行状态;
所述安全信息采集模块包括物理信息采集单元和软件信息采集单元,所述物理信息采集单元用于对物理风险信息进行采集,所述软件信息采集单元用于对软件风险信息进行采集;
所述安全信息分析模块用于对物理风险信息和软件风险信息进行分析,并输出风险信号;
所述安全架构模块包括安全架构单元以及安全控制单元,所述安全架构单元用于设置安全防护策略,所述安全控制单元用于输出安全控制信号。
进一步地,所述安全架构单元包括独立供电装置以及存储锁定开关,所述独立供电装置包括独立电池以及电路连接器,所述电路连接器内设置有不间断供电电源,所述电路连接器设置在设备的供电电路上, 所述不间断供电电源用于给供电电路供电,所述独立电池与电路连接器电连接;所述存储锁定开关用于对设备的存储器进行锁定;所述安全防护策略包括:设备运行状态下采用供电电路进行供电;
当供电电路断电时采用不间断电源给设备进行供电;当不间断电源处于电量不足状态时,采用独立电池给设备进行供电。
进一步地,所述物理信息采集单元包括温度传感器,所述物理信息采集单元配置有物理信息采集策略,所述物理信息采集策略包括:通过温度传感器获取设备的存储器的存储温度,获取存储器的运行状态以及传输速度;所述存储器的运行状态包括存储正常以及存储损坏;
对内网开关的运行状态进行获取,并分别设定为内网关闭以及内网开启;对外网开关的运行状态进行获取,并分别设定为外网关闭以及外网开启;
对电源的运行状态进行获取,并分别设定为供电正常、供电断电、不间断供应正常、不间断供应不足、独立供应正常以及独立供应不足;所述供电正常设置为设备的供电电路供电正常,所述供电断电设置为设备的供电电路供电断开;
所述不间断供应正常设置为不间断电源的供电电量大于第一存储电量,所述不间断供应不足设置为不间断电源处于电量不足状态,其中,不间断电源处于电量不足状态设置为不间断电源的供电电量小于等于第一存储电量;
所述独立供应正常设置为独立电池的供电电量大于第二存储电量,所述独立供应不足设置为独立电池的供电电量小于第二存储电量。
进一步地,所述安全信息分类模块配置有安全信息分类策略,所述安全信息分类策略包括:对用户类型进行分类,将用户分为一级用户、二级用户以及三级用户;
设置敏感操作类型,敏感操作类型包括:用户登录、信息修改、信息传输以及越权访问;
设置软件入侵类型,软件入侵类型包括:现有入侵信息以及未识别入侵信息,将现有入侵信息划分为高风险入侵信息、中风险入侵信息以及低风险入侵信息,将未识别入侵信息划分为高风险入侵信息。
进一步地,所述软件信息采集单元配置有软件信息采集策略,所述软件信息采集策略包括:获取用户的类型,分别获取不同类型用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数;
将一级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第一用户登录次数、第一信息修改次数、第一信息传输次数以及第一越权访问次数;
将二级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第二用户登录次数、第二信息修改次数、第二信息传输次数以及第二越权访问次数;
将三级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第三用户登录次数、第三信息修改次数、第三信息传输次数以及第三越权访问次数。
进一步地,所述安全信息分析模块配置有物理信息分析策略,所述物理信息分析策略包括:当存储器处于存储正常状态时,获取存储器的存储温度;将存储温度以及传输速度通过存储安全计算公式计算得到存储安全风险值;所述存储安全计算公式配置为:
;其中,Pcf为存储安全风险值,Tc为存储温度,Vc为传输速度,k为存储温度和传输速度转换比,当存储器处于存储损坏状态时,对存储器的存储损坏状态设置存储固定风险值;将存储安全风险值和存储固定风险值设置为存储状态风险值;
当设备的供电电路供电断开时,设置供电断开风险值;当不间断供应不足时,设置不间断供电风险值;当独立供应不足时,设置独立供电风险值;将供电断开风险值、不间断供电风险值、独立供电风险值设置为供电状态风险值;
当内网开关处于内网关闭状态且外网开关处于外网开启状态时,将存储状态风险值和供电状态风险值通过第一物理风险公式计算得到第一物理风险值;所述第一物理风险公式配置为:
;其中,P1w为第一物理风险值,Pcz为存储状态风险值,Pgd为供电状态风险值;
当第一物理风险值大于等于第一物理风险阈值时,输出外网物理风险切换信号。
进一步地,所述安全信息分析模块还配置有软件信息分析策略,所述软件信息分析策略包括:将第一用户登录次数、第一信息修改次数、第一信息传输次数以及第一越权访问次数相加得到第一用户风险次数;给一级用户设定第一用户风险权重,将第一用户风险次数与第一用户风险权重相乘得到第一用户风险指数;将第二用户登录次数、第二信息修改次数、第二信息传输次数以及第二越权访问次数相加得到第二用户风险次数;给二级用户设定第二用户风险权重,将第二用户风险次数与第二用户风险权重相乘得到第二用户风险指数;将第三用户登录次数、第三信息修改次数、第三信息传输次数以及第三越权访问次数相加得到第三用户风险次数;给三级用户设定第三用户风险权重,将第三用户风险次数与第三用户风险权重相乘得到第三用户风险指数;
将第一用户风险指数、第二用户风险指数以及第三用户风险指数设置为用户操作风险指数;
对高风险入侵信息、中风险入侵信息以及低风险入侵信息分别设置高风险入侵指数、中风险入侵指数以及低风险入侵指数;将高风险入侵指数、中风险入侵指数以及低风险入侵指数设置为入侵风险指数;
当内网开关处于内网关闭状态且外网开关处于外网开启状态时,将用户操作风险指数和入侵风险指数通过第一软件风险公式计算得到第一软件风险值;所述第一软件风险公式配置为:
;其中,P1r为第一软件风险值,Zyc为用户操作风险指数,Zrq为入侵风险指数;
当第一软件风险值大于等于第一软件风险阈值时,输出外网软件风险切换信号。
进一步地,所述安全信息分析模块还配置有综合分析策略,所述综合分析策略包括:
当第一物理风险值小于第一物理风险阈值且第一软件风险值小于第一软件风险阈值时,将第一物理风险值和第一软件风险值通过综合分析公式计算得到综合风险值;所述综合分析公式配置为:
;其中,Pzh为综合风险值,a1为物理风险占比值,a2为软件风险占比值,a1和a2均大于零,且a1+a2=1;
当综合风险值大于等于第一综合阈值时,输出综合风险切换信号。
进一步地,所述安全控制单元还配置有安全控制策略,安全控制策略包括:当综合风险值大于等于第二综合阈值时,输出存储锁定信号,并通过存储锁定开关对设备的存储器进行锁定;所述第二综合阈值大于第一综合阈值;
当接收到外网物理风险切换信号、外网软件风险切换信号或综合风险切换信号时,通过隔离切换单元打开内网开关并关闭外网开关。
本发明的有益效果:本发明通过安全信息分类模块能够将安全信息分为物理风险信息和软件风险信息,通过安全信息采集模块能够对物理风险信息进行采集以及软件风险信息进行采集,再通过安全信息分析模块能够对物理风险信息和软件风险信息进行分析,并输出风险信号,最后基于输出的风险信号通过隔离切换模块能够进行网络隔离的模式切换,以及通过安全架构模块的安全控制单元输出安全控制信号,该方法能够基于对设备运行状态中的物理信息和软件信息进行综合分析,实现智能化地网络隔离开启以及安全防护开启,提高了信息安全防护的智能性。
本发明附加方面的优点将在下面的具体实施方式的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其他特征、目的和优点将会变得更明显:
图1为本发明的安全架构系统的原理框图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
请参阅图1所示,本发明提供一种基于网络隔离系统的安全架构系统,通过对设备运行过程中的物理信息和软件信息进行分析,能够智能开启网络隔离和安全防护,以解决现有的信息安全的隔离方法不够智能、安全防护不够精准的问题。
具体地,安全架构系统包括隔离切换模块、安全信息分类模块、安全信息采集模块、安全信息分析模块以及安全架构模块。
隔离切换模块包括内网通信单元、外网通信单元以及隔离切换单元,隔离切换单元包括内网开关以及外网开关,内网开关用于控制内网通信单元的通断,外网开关用于控制外网通信单元的通断;
安全信息分类模块用于将安全信息分为物理风险信息和软件风险信息;物理风险信息包括内存运行状态参数、开关运行状态以及电源运行状态;安全信息分类模块配置有安全信息分类策略,安全信息分类策略包括如下步骤:步骤A1,对用户类型进行分类,将用户分为一级用户、二级用户以及三级用户;具体实施过程中,例如,一级用户为企业的董事会成员,二级用户为企业的管理人员,三级用户为企业的基层员工;
步骤A2,设置敏感操作类型,敏感操作类型包括:用户登录、信息修改、信息传输以及越权访问;
步骤A3,对不同用户的敏感操作设置对应的验证人员数量,对一级用户设置第一验证人员数量,对二级用户设置第二验证人员数量,对三级用户设置第三验证人员数量;根据一级用户、二级用户以及三级用户的重要性等级,具体的设置为:第一验证人员数量小于第二验证人员数量,第二验证人员数量小于第三验证人员数量;验证人员用于用户进行敏感操作时进行安全验证处理,例如,基层员工需要三个验证人员,管理人员需要两个验证人员,董事会成员需要一个验证人员;
步骤A4,设置软件入侵类型,软件入侵类型包括:现有入侵信息以及未识别入侵信息,将现有入侵信息划分为高风险入侵信息、中风险入侵信息以及低风险入侵信息,将未识别入侵信息划分为高风险入侵信息,现有的入侵信息配置有入侵数据库,入侵数据库内存储有现有的入侵信息,将入侵数据库内不存在的入侵信息设置为未识别入侵信息;
安全信息采集模块包括物理信息采集单元和软件信息采集单元,物理信息采集单元用于对物理风险信息进行采集,物理信息采集单元包括温度传感器,物理信息采集单元配置有物理信息采集策略,物理信息采集策略包括如下步骤:步骤B101通过温度传感器获取设备的存储器的存储温度,获取存储器的运行状态以及传输速度;存储器的运行状态包括存储正常以及存储损坏;如果存储温度较高且传输速度较慢时,表示存储器存在一定的安全隐患;
步骤B102,对内网开关的运行状态进行获取,并分别设定为内网关闭以及内网开启;对外网开关的运行状态进行获取,并分别设定为外网关闭以及外网开启;
步骤B103,对电源的运行状态进行获取,并分别设定为供电正常、供电断电、不间断供应正常、不间断供应不足、独立供应正常以及独立供应不足;供电正常设置为设备的供电电路供电正常,供电断电设置为设备的供电电路供电断开;
步骤B104,不间断供应正常设置为不间断电源的供电电量大于第一存储电量,不间断供应不足设置为不间断电源处于电量不足状态,其中,不间断电源处于电量不足状态设置为不间断电源的供电电量小于等于第一存储电量;
步骤B105,独立供应正常设置为独立电池的供电电量大于第二存储电量,独立供应不足设置为独立电池的供电电量小于第二存储电量。其中第一存储电量、第二存储电量采用百分比的设置方式,具体的第一存储电量设置为10%,第二存储电量设置为20%。
软件信息采集单元用于对软件风险信息进行采集;软件信息采集单元配置有软件信息采集策略,软件信息采集策略包括如下步骤:
步骤B201,获取用户的类型,分别获取不同类型用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数;
步骤B202,将一级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第一用户登录次数、第一信息修改次数、第一信息传输次数以及第一越权访问次数;将二级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第二用户登录次数、第二信息修改次数、第二信息传输次数以及第二越权访问次数;将三级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第三用户登录次数、第三信息修改次数、第三信息传输次数以及第三越权访问次数。
安全信息分析模块用于对物理风险信息和软件风险信息进行分析,并输出风险信号;安全信息分析模块配置有物理信息分析策略,物理信息分析策略包括如下步骤:
步骤C101,当存储器处于存储正常状态时,获取存储器的存储温度;将存储温度以及传输速度通过存储安全计算公式计算得到存储安全风险值;存储安全计算公式配置为:
;其中,Pcf为存储安全风险值,Tc为存储温度,Vc为传输速度,k为存储温度和传输速度转换比,具体地,温度的设置单位为摄氏度,速度的单位为GB/s,k设置为0.35;
步骤C102,当存储器处于存储损坏状态时,对存储器的存储损坏状态设置存储固定风险值;将存储安全风险值和存储固定风险值设置为存储状态风险值;存储固定风险值通常是大于存储安全风险值的;
步骤C103,当设备的供电电路供电断开时,设置供电断开风险值;当不间断供应不足时,设置不间断供电风险值;当独立供应不足时,设置独立供电风险值;将供电断开风险值、不间断供电风险值、独立供电风险值设置为供电状态风险值;
步骤C104,当内网开关处于内网关闭状态且外网开关处于外网开启状态时,将存储状态风险值和供电状态风险值通过第一物理风险公式计算得到第一物理风险值;第一物理风险公式配置为:
;其中,P1w为第一物理风险值,Pcz为存储状态风险值,Pgd为供电状态风险值;当第一物理风险值大于等于第一物理风险阈值时,输出外网物理风险切换信号。例如,存储状态风险值为20,供电状态风险值为15时,求取的第一物理风险值为300;第一物理风险阈值设置为280。
安全信息分析模块还配置有软件信息分析策略,软件信息分析策略包括如下步骤:
步骤C201,将第一用户登录次数、第一信息修改次数、第一信息传输次数以及第一越权访问次数相加得到第一用户风险次数;给一级用户设定第一用户风险权重,将第一用户风险次数与第一用户风险权重相乘得到第一用户风险指数;将第二用户登录次数、第二信息修改次数、第二信息传输次数以及第二越权访问次数相加得到第二用户风险次数;给二级用户设定第二用户风险权重,将第二用户风险次数与第二用户风险权重相乘得到第二用户风险指数;将第三用户登录次数、第三信息修改次数、第三信息传输次数以及第三越权访问次数相加得到第三用户风险次数;给三级用户设定第三用户风险权重,将第三用户风险次数与第三用户风险权重相乘得到第三用户风险指数;
步骤C202,将第一用户风险指数、第二用户风险指数以及第三用户风险指数设置为用户操作风险指数;
步骤C203,对高风险入侵信息、中风险入侵信息以及低风险入侵信息分别设置高风险入侵指数、中风险入侵指数以及低风险入侵指数;将高风险入侵指数、中风险入侵指数以及低风险入侵指数设置为入侵风险指数;
步骤C204,当内网开关处于内网关闭状态且外网开关处于外网开启状态时,将用户操作风险指数和入侵风险指数通过第一软件风险公式计算得到第一软件风险值;第一软件风险公式配置为:
;其中,P1r为第一软件风险值,Zyc为用户操作风险指数,Zrq为入侵风险指数;当第一软件风险值大于等于第一软件风险阈值时,输出外网软件风险切换信号。具体地,例如,用户操作风险指数为30,入侵风险指数为20,求得第一软件风险值为600,第一软件风险阈值设置为500。
安全信息分析模块还配置有综合分析策略,综合分析策略包括如下步骤:
步骤C301,当第一物理风险值小于第一物理风险阈值且第一软件风险值小于第一软件风险阈值时,将第一物理风险值和第一软件风险值通过综合分析公式计算得到综合风险值;综合分析公式配置为:
;其中,Pzh为综合风险值,a1为物理风险占比值,a2为软件风险占比值,a1和a2均大于零,且a1+a2=1;
步骤C302,当综合风险值大于等于第一综合阈值时,输出综合风险切换信号。具体地,a1设置为0.65,a2设置为0.35,第一物理风险值为300,第一软件风险值为600,求得综合风险值为405;第一综合阈值设置为300。
安全架构模块包括安全架构单元以及安全控制单元,安全架构单元用于设置安全防护策略,安全控制单元用于输出安全控制信号;安全架构单元包括独立供电装置以及存储锁定开关,独立供电装置包括独立电池以及电路连接器,电路连接器内设置有不间断供电电源,电路连接器设置在设备的供电电路上, 不间断供电电源用于给供电电路供电,独立电池与电路连接器电连接;存储锁定开关用于对设备的存储器进行锁定;安全防护策略包括如下步骤:
步骤D101,设备运行状态下采用供电电路进行供电;
步骤D102,当供电电路断电时采用不间断电源给设备进行供电;当不间断电源处于电量不足状态时,采用独立电池给设备进行供电;
安全控制单元还配置有安全控制策略,安全控制策略包括如下步骤:
步骤D201,当综合风险值大于等于第二综合阈值时,输出存储锁定信号,并通过存储锁定开关对设备的存储器进行锁定;第二综合阈值大于第一综合阈值;第二综合阈值设置为500;
当接收到外网物理风险切换信号、外网软件风险切换信号或综合风险切换信号时,通过隔离切换单元打开内网开关并关闭外网开关。
工作原理:首先通过安全信息分类模块将安全信息分为物理风险信息和软件风险信息,然后通过安全信息采集模块对物理风险信息进行采集以及软件风险信息进行采集,再通过安全信息分析模块对物理风险信息和软件风险信息进行分析,并输出风险信号,最后基于输出的风险信号通过隔离切换模块进行网络隔离的模式切换,以及通过安全架构模块的安全控制单元输出安全控制信号。
上述公式均是去量纲取其数值计算,公式是由采集大量数据进行软件模拟得到最近真实情况的一个公式,公式中的预设参数由本领域的技术人员根据实际情况进行设置,如存在权重系数和比例系数,其设置的大小是为了将各个参数进行量化得到的一个具体的数值,便于后续比较,关于权重系数和比例系数的大小,只要不影响参数与量化后数值的比例关系即可。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。其中,存储介质可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static RandomAccess Memory,简称SRAM),电可擦除可编程只读存储器(Electrically ErasableProgrammable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-OnlyMemory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (4)
1.基于网络隔离系统的安全架构系统,其特征在于,所述安全架构系统包括隔离切换模块、安全信息分类模块、安全信息采集模块、安全信息分析模块以及安全架构模块;
所述隔离切换模块包括内网通信单元、外网通信单元以及隔离切换单元,所述隔离切换单元包括内网开关以及外网开关,所述内网开关用于控制内网通信单元的通断,所述外网开关用于控制外网通信单元的通断;
所述安全信息分类模块用于将安全信息分为物理风险信息和软件风险信息;所述物理风险信息包括内存运行状态参数、开关运行状态以及电源运行状态;
所述安全信息采集模块包括物理信息采集单元和软件信息采集单元,所述物理信息采集单元用于对物理风险信息进行采集,所述软件信息采集单元用于对软件风险信息进行采集;
所述安全信息分析模块用于对物理风险信息和软件风险信息进行分析,并输出风险信号;
所述安全架构模块包括安全架构单元以及安全控制单元,所述安全架构单元用于设置安全防护策略,所述安全控制单元用于输出安全控制信号;
所述安全架构单元包括独立供电装置以及存储锁定开关,所述独立供电装置包括独立电池以及电路连接器,所述电路连接器内设置有不间断供电电源,所述电路连接器设置在设备的供电电路上, 所述不间断供电电源用于给供电电路供电,所述独立电池与电路连接器电连接;所述存储锁定开关用于对设备的存储器进行锁定;所述安全防护策略包括:设备运行状态下采用供电电路进行供电;
当供电电路断电时采用不间断电源给设备进行供电;当不间断电源处于电量不足状态时,采用独立电池给设备进行供电;
所述物理信息采集单元包括温度传感器,所述物理信息采集单元配置有物理信息采集策略,所述物理信息采集策略包括:通过温度传感器获取设备的存储器的存储温度,获取存储器的运行状态以及传输速度;所述存储器的运行状态包括存储正常以及存储损坏;
对内网开关的运行状态进行获取,并分别设定为内网关闭以及内网开启;对外网开关的运行状态进行获取,并分别设定为外网关闭以及外网开启;
对电源的运行状态进行获取,并分别设定为供电正常、供电断电、不间断供应正常、不间断供应不足、独立供应正常以及独立供应不足;所述供电正常设置为设备的供电电路供电正常,所述供电断电设置为设备的供电电路供电断开;
所述不间断供应正常设置为不间断电源的供电电量大于第一存储电量,所述不间断供应不足设置为不间断电源处于电量不足状态,其中,不间断电源处于电量不足状态设置为不间断电源的供电电量小于等于第一存储电量;
所述独立供应正常设置为独立电池的供电电量大于第二存储电量,所述独立供应不足设置为独立电池的供电电量小于第二存储电量;
所述安全信息分类模块配置有安全信息分类策略,所述安全信息分类策略包括:对用户类型进行分类,将用户分为一级用户、二级用户以及三级用户;
设置敏感操作类型,敏感操作类型包括:用户登录、信息修改、信息传输以及越权访问;
设置软件入侵类型,软件入侵类型包括:现有入侵信息以及未识别入侵信息,将现有入侵信息划分为高风险入侵信息、中风险入侵信息以及低风险入侵信息,将未识别入侵信息划分为高风险入侵信息;
所述软件信息采集单元配置有软件信息采集策略,所述软件信息采集策略包括:获取用户的类型,分别获取不同类型用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数;
将一级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第一用户登录次数、第一信息修改次数、第一信息传输次数以及第一越权访问次数;
将二级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第二用户登录次数、第二信息修改次数、第二信息传输次数以及第二越权访问次数;
将三级用户的用户登录次数、信息修改次数、信息传输次数以及越权访问次数分别设置为第三用户登录次数、第三信息修改次数、第三信息传输次数以及第三越权访问次数;
所述安全信息分析模块配置有物理信息分析策略,所述物理信息分析策略包括:当存储器处于存储正常状态时,获取存储器的存储温度;将存储温度以及传输速度通过存储安全计算公式计算得到存储安全风险值;所述存储安全计算公式配置为:
;其中,Pcf为存储安全风险值,Tc为存储温度,Vc为传输速度,k为存储温度和传输速度转换比,当存储器处于存储损坏状态时,对存储器的存储损坏状态设置存储固定风险值;将存储安全风险值和存储固定风险值设置为存储状态风险值;
当设备的供电电路供电断开时,设置供电断开风险值;当不间断供应不足时,设置不间断供电风险值;当独立供应不足时,设置独立供电风险值;将供电断开风险值、不间断供电风险值、独立供电风险值设置为供电状态风险值;
当内网开关处于内网关闭状态且外网开关处于外网开启状态时,将存储状态风险值和供电状态风险值通过第一物理风险公式计算得到第一物理风险值;所述第一物理风险公式配置为:
;其中,P1w为第一物理风险值,Pcz为存储状态风险值,Pgd为供电状态风险值;
当第一物理风险值大于等于第一物理风险阈值时,输出外网物理风险切换信号。
2.根据权利要求1所述的基于网络隔离系统的安全架构系统,其特征在于,所述安全信息分析模块还配置有软件信息分析策略,所述软件信息分析策略包括:将第一用户登录次数、第一信息修改次数、第一信息传输次数以及第一越权访问次数相加得到第一用户风险次数;给一级用户设定第一用户风险权重,将第一用户风险次数与第一用户风险权重相乘得到第一用户风险指数;
将第二用户登录次数、第二信息修改次数、第二信息传输次数以及第二越权访问次数相加得到第二用户风险次数;给二级用户设定第二用户风险权重,将第二用户风险次数与第二用户风险权重相乘得到第二用户风险指数;
将第三用户登录次数、第三信息修改次数、第三信息传输次数以及第三越权访问次数相加得到第三用户风险次数;给三级用户设定第三用户风险权重,将第三用户风险次数与第三用户风险权重相乘得到第三用户风险指数;
将第一用户风险指数、第二用户风险指数以及第三用户风险指数设置为用户操作风险指数;
对高风险入侵信息、中风险入侵信息以及低风险入侵信息分别设置高风险入侵指数、中风险入侵指数以及低风险入侵指数;将高风险入侵指数、中风险入侵指数以及低风险入侵指数设置为入侵风险指数;
当内网开关处于内网关闭状态且外网开关处于外网开启状态时,将用户操作风险指数和入侵风险指数通过第一软件风险公式计算得到第一软件风险值;所述第一软件风险公式配置为:
;其中,P1r为第一软件风险值,Zyc为用户操作风险指数,Zrq为入侵风险指数;
当第一软件风险值大于等于第一软件风险阈值时,输出外网软件风险切换信号。
3.根据权利要求2所述的基于网络隔离系统的安全架构系统,其特征在于,所述安全信息分析模块还配置有综合分析策略,所述综合分析策略包括:
当第一物理风险值小于第一物理风险阈值且第一软件风险值小于第一软件风险阈值时,将第一物理风险值和第一软件风险值通过综合分析公式计算得到综合风险值;所述综合分析公式配置为:
;其中,Pzh为综合风险值,a1为物理风险占比值,a2为软件风险占比值,a1和a2均大于零,且a1+a2=1;
当综合风险值大于等于第一综合阈值时,输出综合风险切换信号。
4.根据权利要求3所述的基于网络隔离系统的安全架构系统,其特征在于,所述安全控制单元还配置有安全控制策略,安全控制策略包括:当综合风险值大于等于第二综合阈值时,输出存储锁定信号,并通过存储锁定开关对设备的存储器进行锁定;所述第二综合阈值大于第一综合阈值;
当接收到外网物理风险切换信号、外网软件风险切换信号或综合风险切换信号时,通过隔离切换单元打开内网开关并关闭外网开关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211504282.XA CN115622799B (zh) | 2022-11-29 | 2022-11-29 | 基于网络隔离系统的安全架构系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211504282.XA CN115622799B (zh) | 2022-11-29 | 2022-11-29 | 基于网络隔离系统的安全架构系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115622799A CN115622799A (zh) | 2023-01-17 |
| CN115622799B true CN115622799B (zh) | 2023-03-14 |
Family
ID=84880103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211504282.XA Active CN115622799B (zh) | 2022-11-29 | 2022-11-29 | 基于网络隔离系统的安全架构系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115622799B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115914897B (zh) * | 2023-03-09 | 2023-05-12 | 天津瑞利通科技有限公司 | 一种用于ptn设备的传输切换测试系统及方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645876A (zh) * | 2008-08-04 | 2010-02-10 | 中国测绘科学研究院 | 一种自动网络切换方法及其系统 |
| CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的系统和方法 |
| CN204719759U (zh) * | 2015-07-09 | 2015-10-21 | 河北软创实业有限公司 | 一种计算机网络病毒隔离系统 |
| US9215235B1 (en) * | 2011-05-23 | 2015-12-15 | Palo Alto Networks, Inc. | Using events to identify a user and enforce policies |
| EP2966828A1 (de) * | 2014-07-11 | 2016-01-13 | Deutsche Telekom AG | Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung |
| CN105681251A (zh) * | 2014-11-18 | 2016-06-15 | 青岛鑫益发工贸有限公司 | 网络安全设备系统 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN113824745A (zh) * | 2021-11-24 | 2021-12-21 | 武汉大学 | 一种基于循环神经网络模型的网络安全应急处置系统 |
| CN114124450A (zh) * | 2021-10-15 | 2022-03-01 | 广东电网有限责任公司广州供电局 | 一种蓄电池远程核容的网络安全系统及方法 |
| CN115361227A (zh) * | 2022-09-22 | 2022-11-18 | 珠海市鸿瑞信息技术股份有限公司 | 基于数据可视化的网络安全检测系统及方法 |
-
2022
- 2022-11-29 CN CN202211504282.XA patent/CN115622799B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645876A (zh) * | 2008-08-04 | 2010-02-10 | 中国测绘科学研究院 | 一种自动网络切换方法及其系统 |
| US9215235B1 (en) * | 2011-05-23 | 2015-12-15 | Palo Alto Networks, Inc. | Using events to identify a user and enforce policies |
| CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的系统和方法 |
| EP2966828A1 (de) * | 2014-07-11 | 2016-01-13 | Deutsche Telekom AG | Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung |
| CN105681251A (zh) * | 2014-11-18 | 2016-06-15 | 青岛鑫益发工贸有限公司 | 网络安全设备系统 |
| CN204719759U (zh) * | 2015-07-09 | 2015-10-21 | 河北软创实业有限公司 | 一种计算机网络病毒隔离系统 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN114124450A (zh) * | 2021-10-15 | 2022-03-01 | 广东电网有限责任公司广州供电局 | 一种蓄电池远程核容的网络安全系统及方法 |
| CN113824745A (zh) * | 2021-11-24 | 2021-12-21 | 武汉大学 | 一种基于循环神经网络模型的网络安全应急处置系统 |
| CN115361227A (zh) * | 2022-09-22 | 2022-11-18 | 珠海市鸿瑞信息技术股份有限公司 | 基于数据可视化的网络安全检测系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| "内网的安全风险分析与保护策略";王海涛等;《保密科学技术》(第02期);全文 * |
| "网络物理隔离应用模型";杨志新;《信息网络安全》(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115622799A (zh) | 2023-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102947801B (zh) | 恶意攻击检测和分析 | |
| CN115622799B (zh) | 基于网络隔离系统的安全架构系统 | |
| CN111177743B (zh) | 一种面向信用大数据的风险控制方法及其系统 | |
| US10310495B2 (en) | Systems and methods for monitoring automation systems | |
| Teixeira et al. | Optimal power flow: Closing the loop over corrupted data | |
| CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
| CN116578990A (zh) | 一种基于数据中心数字化运维的综合监控技术 | |
| CN114362008A (zh) | 一种智能调控配电柜环境温度的方法及装置 | |
| CN117394529A (zh) | 基于scada的主配网合环倒供电控制条件辅助决策方法及系统 | |
| CN116976318A (zh) | 基于深度学习和模型推理的电网倒闸操作票智能审核系统 | |
| CN117674119A (zh) | 电网运行风险评估方法、装置、计算机设备和存储介质 | |
| CN116488914A (zh) | 基于GCN-BiLSTM的动态权限访问控制方法 | |
| Padmanaban et al. | Securing smart power grids against cyber-attacks | |
| CN117640440A (zh) | 用于数据中心的监控方法、系统和装置 | |
| CN108446202A (zh) | 一种机房设备的安全状况的判断方法 | |
| CN117611135A (zh) | 一种可视化设备运维管控方法及系统 | |
| CN110415136B (zh) | 一种电力调度自动化系统服务能力评估系统与方法 | |
| CN110445257A (zh) | 一种基于物联网架构的智能变电站辅助系统综合监控平台 | |
| Tang | Anomaly inference based on heterogeneous data sources in an electrical distribution system | |
| CN108805462A (zh) | 配网风险预警的方法及装置、存储介质、处理器 | |
| CN104345654A (zh) | 不同功率整流器混插系统、及其节能实现方法和装置 | |
| CN115309570A (zh) | 操作防误逻辑的生成方法和系统及存储介质 | |
| Timčenko et al. | Digitalization in Power Energy Sector: Principles of Cybersecurity | |
| Li et al. | Research on situation assessment of active distribution networks considering cyberattacks | |
| Li et al. | Risk prediction of the SCADA communication network based on entropy-gray model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |