CN115883216A - 通信系统安全防护方法、装置及电子设备 - Google Patents

通信系统安全防护方法、装置及电子设备 Download PDF

Info

Publication number
CN115883216A
CN115883216A CN202211531001.XA CN202211531001A CN115883216A CN 115883216 A CN115883216 A CN 115883216A CN 202211531001 A CN202211531001 A CN 202211531001A CN 115883216 A CN115883216 A CN 115883216A
Authority
CN
China
Prior art keywords
network
packet
data
target
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211531001.XA
Other languages
English (en)
Inventor
孙少华
杨林慧
李海龙
雷晓萍
方晨
刘永胜
刘生成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Qinghai Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Qinghai Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Qinghai Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202211531001.XA priority Critical patent/CN115883216A/zh
Publication of CN115883216A publication Critical patent/CN115883216A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种通信系统安全防护方法、装置及电子设备。其中,该方法包括:在目标网络中确定第一分组和第二分组,其中,目标网络至少包括目标通信设备网关系统,目标通信设备网管系统用于对目标网络中的网络设备进行管理;确定第一分组中网络设备与第二分组的网络设备之间进行业务数据传输的数据传输方向;发送第一控制指令至隔离设备,其中,第一控制指令用于控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据,以剔除风险数据。本申请解决了由于相关技术中通信设备网管系统的访问策略不完善,造成通信设备网管系统安全性差的技术问题。

Description

通信系统安全防护方法、装置及电子设备
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种通信系统安全防护方法、装置及电子设备。
背景技术
电力通信设备网管系统对于确保电网系统正常工作具有至关重要的作用,目前的通信设备网管系统的网络结构以及一些关键资产存在一定的安全隐患,且现有安全措施仍然存在薄弱的环节,缺乏对网络中各设备之间所进行的数据交互的安全防护策略,导致通信设备网管网络与信息安全存在风险,造成通信设备网管系统安全性差等技术问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种通信系统安全防护方法、装置及电子设备,以至少解决由于相关技术中通信设备网管系统的访问策略不完善,造成通信设备网管系统安全性差的技术问题。
根据本申请实施例的一个方面,提供了一种通信系统安全防护方法,包括:在目标网络中确定第一分组和第二分组,其中,目标网络至少包括目标通信设备网关系统,目标通信设备网管系统用于对目标网络中的网络设备进行管理,第一分组中网络设备用于执行生产控制业务,第二分组中网络设备用于执行管理信息业务;确定第一分组中网络设备与第二分组的网络设备之间进行业务数据传输的数据传输方向;发送第一控制指令至隔离设备,其中,第一控制指令用于控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据,以剔除风险数据。
可选地,控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据包括:在第一分组中网络设备向第二分组的网络设备进行数据传输的情况下,控制隔离设备过滤全部的业务数据;在第二分组中网络设备向第一分组的网络设备进行数据传输的情况下,判断业务数据的数据类型;依据数据类型,控制隔离设备过滤业务数据。
可选地,数据类型包括:纯数据类型和非纯数据类型,依据数据类型,控制隔离设备过滤业务数据包括:在数据类型为纯数据类型的情况下,允许业务数据进行传输;在数据类型为非纯数据类型的情况下,禁止业务数据进行传输。
可选地,方法还包括:发送第二控制指令至网关设备,其中,第二控制指令用于控制网关设备在其余通信设备网管系统与目标通信设备网管系统之间存在数据交互的情况下,对目标网络与其余网络之间传输的数据进行加密认证,其中,其余网络用于承载其余通信设备网关系统。
可选地,对目标网络与其余网络之间传输的数据进行加密认证包括:在接收到其余网络向目标网络所发送的数据的情况下,获取数据中的来源信息,并对来源信息进行认证;在认定来源信息可信的情况下,控制网关设备传输数据至目标网络进行处理;在目标网络计划向其余网络发送数据的情况下,控制网关设备依据预设数据加密规则,对数据进行加密。
可选地,方法还包括:按照预设时间周期获取目标网络对应的日志文件;依据日志文件,分析得到目标网络的安全风险值,其中,安全风险值用于表征目标网络的安全性;在安全风险值大于预设安全阈值的情况下,发送第一告警信息。
可选地,目标网络的网络设备中包含核心交换机;方法还包括:监测核心交换机上的目标端口,其中,目标端口用于连通核心交换机与目标网络的其余网络设备;在检测到目标端口的数据报文存在异常的情况下,发送第二告警信息。
根据本申请实施例的另一个方面,还提供了一种通信系统安全防护装置,包括:分组划分模块,用于在目标网络中确定第一分组和第二分组,其中,目标网络至少包括目标通信设备网关系统,目标通信设备网管系统用于对目标网络中的网络设备进行管理,第一分组中网络设备用于执行生产控制业务,第二分组中网络设备用于执行管理信息业务;方向确定模块,用于确定第一分组中网络设备与第二分组的网络设备之间进行业务数据传输的数据传输方向;数据过滤模块,用于发送第一控制指令至隔离设备,其中,第一控制指令用于控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据,以剔除风险数据。
根据本申请实施例的又一方面,还提供了一种电子设备,电子设备包括处理器,处理器用于运行程序,其中,程序运行时执行通信系统安全防护方法。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的计算机程序,其中,非易失性存储介质所在设备通过运行计算机程序执行通信系统安全防护方法。
在本申请实施例中,采用在目标网络中确定第一分组和第二分组,其中,目标网络至少包括目标通信设备网关系统,目标通信设备网管系统用于对目标网络中的网络设备进行管理,第一分组中网络设备用于执行生产控制业务,第二分组中网络设备用于执行管理信息业务;确定第一分组中网络设备与第二分组的网络设备之间进行业务数据传输的数据传输方向;发送第一控制指令至隔离设备,其中,第一控制指令用于控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据,以剔除风险数据的方式,通过对通信设备网管系统的网络结构各设备进行分组,并依据分组间的数据传输方向,采取对应的安全防护策略,达到了提升通信设备网管系统安全性的目的,进而解决了由于相关技术中通信设备网管系统的访问策略不完善,造成通信设备网管系统安全性差技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的一种用于实现通信系统安全防护的方法的计算机终端(或电子设备)的硬件结构框图;
图2是根据本申请实施例提供的一种通信系统安全防护的方法流程的示意图;
图3是根据本申请实施例提供的一种通信设备网管系统的总体网络结构的示意图;
图4是根据本申请实施例提供的一种通信系统安全防护装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了方便本领域技术人员更好地理解本申请实施例,现将本申请实施例涉及的部分技术术语或者名词解释如下:
电力通信管理系统(TMS系统):是实现信息通信集约化、标准化、专业化管理的重要技术支撑系统,具备实时监视、资源管理、运行管理三大业务应用,覆盖各级电力通信骨干网和终端通信接入网,具有集约化、标准化、智能化特征的通信管理平台。
远程终端协议(Telnet):Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。
文件传输协议(File Transfer Protocol,FTP)是用于在网络上进行文件传输的一套标准协议。
B/S结构(Browser/Server,浏览器/服务器模式),是WEB兴起后的一种网络结构模式。
分布式模式(Client/Server,C/S模式):是指客户端/服务器模式,是计算机软件协同工作的一种模式,通常采取两层结构。服务器负责数据的管理,客户机负责完成与用户的交互任务。
MPLS VPN:是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
IDS(Intrusion Detection Systems,入侵检测系统):就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
在相关技术中,缺乏对网络中各设备之间所进行的数据交互的安全防护策略,因此,存在通信设备网管系统安全性差等问题。为了解决该问题,本申请实施例中提供了相关的解决方案,以下详细说明。
根据本申请实施例,提供了一种通信系统安全防护的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现通信系统安全防护方法的计算机终端(或电子设备)的硬件结构框图。如图1所示,计算机终端10(或电子设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或电子设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的通信系统安全防护方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述通信系统安全防护方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或电子设备)的用户界面进行交互。
在上述运行环境下,本申请实施例提供了一种通信系统安全防护方法,图2是根据本申请实施例提供的一种通信系统安全防护的方法流程的示意图,如图2所示,该方法包括如下步骤:
步骤S202,在目标网络中确定第一分组和第二分组,其中,目标网络至少包括目标通信设备网关系统,目标通信设备网管系统用于对目标网络中的网络设备进行管理,第一分组中网络设备用于执行生产控制业务,第二分组中网络设备用于执行管理信息业务;
在本申请的一些实施例中,将目标网络划分为第一分组和第二分组包括以下步骤:确定目标网络中各个网络设备所执行的业务的业务类型,其中,业务类型包括:生产控制业务、管理信息业务;将业务类型为生产控制业务的网络设备划分至第一分组;将业务类型为管理信息业务的网络设备划分至第二分组。
在本申请的一些实施例中,上述生产控制业务可以为对电网的生产控制类业务,例如电力装置的继电保护等业务,上述管理信息业务可以为企业的信息化管理业务,例如,电网设备信息管理等。
图3是根据本申请实施例提供的一种通信设备网管系统的总体网络结构的示意图,如图3所示,将通信设备网管系统使用的承载网络(即上述目标网络)总体原划分为生产控制大区(即上述第一分组)和管理信息大区(即上述第二分组),避免形成不同安全区的纵向交叉联接。
作为一种可选的实施方式,通信设备网管系统可以在专用通道上使用独立的网络设备组网;在物理层面上实现与其它数据网以及外部公共数据网的安全隔离。集中管理的通信设备网管系统应建立完善的网管网,作为通信设备网管系统专用的数据网络,可以采用安全隧道技术、静态路由、安全加密的动态路由等构造子网;其所在网络均不允许承载与通信系统无关的业务。
步骤S204,确定第一分组中网络设备与第二分组的网络设备之间进行业务数据传输的数据传输方向;
步骤S206,发送第一控制指令至隔离设备,其中,第一控制指令用于控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据,以剔除风险数据。
在本实施例中,上述隔离设备以图3中所示的单项隔离装置为例进行说明。
在本申请的一些实施例中,控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据包括以下步骤:在第一分组中网络设备向第二分组的网络设备进行数据传输的情况下,控制隔离设备过滤全部的业务数据;在第二分组中网络设备向第一分组的网络设备进行数据传输的情况下,判断业务数据的数据类型;依据数据类型,控制隔离设备过滤业务数据。
在本申请的一些实施例中,数据类型包括:纯数据类型和非纯数据类型,依据数据类型,控制隔离设备过滤业务数据包括以下步骤:在数据类型为纯数据类型的情况下,允许业务数据进行传输;在数据类型为非纯数据类型的情况下,禁止业务数据进行传输。
具体地,上述非纯数据类型的数据包括但不限于:E-Mail、WEB、Telnet、FTP等安全风险高的通用网络服务的数据和以B/S或C/S方式的数据库访问的数据。
具体地,通信设备网管系统的目标网络中第一分组中的网络设备如需与第二分组中的网络设备(如TMS系统、短信服务器等)进行数据交互,则发送第一控制指令至边界处设置的电力专用横向单向安全隔离装置(即上述隔离设备),其中,电力专用横向单向安全隔离装置的隔离强度应当接近或达到物理隔离。电力专用横向单向安全隔离装置作为横向边界的必备防护措施,是横向防护的关键设备,其应当满足实时性、可靠性和传输流量等方面的要求。严格禁止E-Mail、WEB、Telnet、FTP等安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。
为了进一步提高通信设备网管系统的安全性和可靠性,方法还包括以下步骤:发送第二控制指令至网关设备,其中,第二控制指令用于控制网关设备在其余通信设备网管系统与目标通信设备网管系统之间存在数据交互的情况下,对目标网络与其余网络之间传输的数据进行加密认证,其中,其余网络用于承载其余通信设备网关系统。
纵向加密认证是电力行业生产控制类系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方传输以及纵向边界的安全防护。在本实施中,上述网关设备以图3中所示的加密认证网关1和加密认证网关2为例进行说明。上述其余通信设备网关系统为除目标通信设备网管系统所属的本级单位之外的其他单位的通信设备网关系统。
具体地,在保证业务正常运行的情况下,发送第二控制指令至目标通信设备网管系统的网络纵向连接处设置的电力专用纵向加密认证装置或者加密认证网关及相应设施(即上述网关设备)。
在本申请的一些实施例中,上述电力专用纵向加密装置包括传统硬件和新型通讯网关机加密卡两种模式,在目标网络无法应用电力专用纵向加密装置的情况下,可以采用MPLS VPN技术进行纵向互联。确保纵向加密认证装置或加密认证网关及相关设施的策略配置安全有效,实现双向身份认证、访问控制和数据加密传输。
在本申请的一些实施例中,对目标网络与其余网络之间传输的数据进行加密认证包括以下步骤:在接收到其余网络向目标网络所发送的数据的情况下,获取数据中的来源信息,并对来源信息进行认证;在认定来源信息可信的情况下,控制网关设备传输数据至目标网络进行处理;在目标网络计划向其余网络发送数据的情况下,控制网关设备依据预设数据加密规则,对数据进行加密。
作为一种可选的实施方式,可以以用户名/口令等方式进行身份认证,同时依据允许进行远程管理的IP地址列表进行IP地址认证,禁止多个管理员共享用户名/口令;制定登录失败锁定、会话超时退出等安全策略,关闭不使用的协议和端口。
在本申请的一些实施例中,方法还包括以下步骤:按照预设时间周期获取目标网络对应的日志文件;依据日志文件,分析得到目标网络的安全风险值,其中,安全风险值用于表征目标网络的安全性;在安全风险值大于预设安全阈值的情况下,发送第一告警信息。
具体地,可以通过第三方审计系统(即图3中所示的安全审计系统)实现对网络中的网络设备和安全设备的实时监测与日志统计分析,完成设备资产数据采集,收集网络设备和安全设备等资产的安全事件,尤其对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。实现综合安全事件关联分析,实现安全风险的计算和综合呈现;建立初步的预警应急体系。阻止恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击。
作为一种可选的实施方式,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件追踪、事件源定位或及时制定相应的策略防止安全事件再次发生。
在本申请的一些实施例中,目标网络的网络设备中包含核心交换机(即图3中所示的核心交换机A/B);方法还包括以下步骤:监测核心交换机上的目标端口,其中,目标端口用于连通核心交换机与目标网络的其余网络设备;在检测到目标端口的数据报文存在异常的情况下,发送第二告警信息。
具体地,通信设备网管系统所在网络中的核心网络区域可以通过旁路入侵检测系统(即图3中所示的入侵检测系统),通过将交换机上关键接入端口(即上述目标端口)的数据报文镜像到IDS检测引擎(IDS探头)的接入端口,实现对网络流量、数据包的动态监视、记录和管理、对异常事件进行告警等。
上述关键端口可以为各个安全区的纵向互联端口和横向互联端口等。
作为一种可选的实施方式,还可以检测目标通信设备网管系统TCP/IP不同端口所提供的服务,分析目标给予的应答,以搜集目标通信设备网管系统上的各种信息,然后与系统的漏洞库进行匹配,如果满足匹配条件,则认为安全弱点存在。
作为一种可选的实施方式,可以在通信设备网管系统所在网络的边界、服务器域、运维域以及跨单位的远方接入边界处部署具有访问控制功能的防火墙,实现逻辑隔离,其具体访问控制力度应达到端口级(如图3中所示的边界防火、服务器区防火墙、运维区防火墙);通信设备网管系统所在网络中涉及VPN的,应当采取加密、认证和访问控制等安全防护措施,防护粒度要求达到用户级。
作为一种可选的实施方式,还可以在目标通信设备网管系统所在目标网络中采取恶意代码防范措施,通过恶意代码防护系统或带相应功能模块的设备(如图3中所示的防病毒系统),能够对网络中的恶意代码和垃圾邮件进行检测和清除;并定期更新恶意代码库。
为了进一步完善通信设备网管系统关键设备所在机房的物理环境安全措施,还可以合理启用网络设备、安全设备、操作系统、数据库管理系统、中间件、应用系统的基线配置策略,完善并落实信息安全相关管理制度,提升安全应急处置能力。
作为一种可选的实施方式,对于目标网络中重要的网络链路、网络设备、服务器可以采用双链路、双机部署模式,也可以采用异地备份中心机制,以达到设备处理能力冗余、互相备份的效果。
通过上述步骤,通过对通信设备网管系统的网络结构各设备进行分组,并依据分组间的数据传输方向,采取对应的安全防护策略,达到了提升通信设备网管系统安全性的目的,进而解决了由于相关技术中通信设备网管系统的访问策略不完善,造成通信设备网管系统安全性差技术问题,提高了系统整体安全防护能力,保证通信设备网管系统及重要数据的安全。
根据本申请实施例,还提供了一种通信系统安全防护装置的实施例。图4是根据本申请实施例提供的一种通信系统安全防护装置的结构示意图。如图4所示,该装置包括:
分组划分模块40,用于在目标网络中确定第一分组和第二分组,其中,目标网络至少包括目标通信设备网关系统,目标通信设备网管系统用于对目标网络中的网络设备进行管理,第一分组中网络设备用于执行生产控制业务,第二分组中网络设备用于执行管理信息业务;
方向确定模块42,用于确定第一分组中网络设备与第二分组的网络设备之间进行业务数据传输的数据传输方向;
数据过滤模块44,用于发送第一控制指令至隔离设备,其中,第一控制指令用于控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据,以剔除风险数据。
需要说明的是,上述通信系统安全防护装置中的各个模块可以是程序模块(例如是实现某种特定功能的程序指令集合),也可以是硬件模块,对于后者,其可以表现为以下形式,但不限于此:上述各个模块的表现形式均为一个处理器,或者,上述各个模块的功能通过一个处理器实现。
需要说明的是,本实施例中所提供的通信系统安全防护装置可用于执行图2所示的通信系统安全防护方法,因此,对上述通信系统安全防护方法的相关解释说明也适用于本申请实施例中,在此不再赘述。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质包括存储的计算机程序,其中,非易失性存储介质所在设备通过运行计算机程序执行以下通信系统安全防护方法:在目标网络中确定第一分组和第二分组,其中,目标网络至少包括目标通信设备网关系统,目标通信设备网管系统用于对目标网络中的网络设备进行管理,第一分组中网络设备用于执行生产控制业务,第二分组中网络设备用于执行管理信息业务;确定第一分组中网络设备与第二分组的网络设备之间进行业务数据传输的数据传输方向;发送第一控制指令至隔离设备,其中,第一控制指令用于控制隔离设备依据与数据传输方向对应的预设过滤规则,过滤在第一分组中网络设备与第二分组的网络设备之间进行传输的业务数据,以剔除风险数据。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种通信系统安全防护方法,其特征在于,包括:
在目标网络中确定第一分组和第二分组,其中,所述目标网络至少包括目标通信设备网关系统,所述目标通信设备网管系统用于对所述目标网络中的网络设备进行管理,所述第一分组中网络设备用于执行生产控制业务,所述第二分组中网络设备用于执行管理信息业务;
确定所述第一分组中网络设备与所述第二分组的网络设备之间进行业务数据传输的数据传输方向;
发送第一控制指令至隔离设备,其中,所述第一控制指令用于控制所述隔离设备依据与所述数据传输方向对应的预设过滤规则,过滤在所述第一分组中网络设备与所述第二分组的网络设备之间进行传输的业务数据,以剔除风险数据。
2.根据权利要求1所述的通信系统安全防护方法,其特征在于,控制所述隔离设备依据与所述数据传输方向对应的预设过滤规则,过滤在所述第一分组中网络设备与所述第二分组的网络设备之间进行传输的业务数据包括:
在所述第一分组中网络设备向所述第二分组的网络设备进行数据传输的情况下,控制所述隔离设备过滤全部的所述业务数据;
在所述第二分组中网络设备向所述第一分组的网络设备进行数据传输的情况下,判断所述业务数据的数据类型;
依据所述数据类型,控制所述隔离设备过滤所述业务数据。
3.根据权利要求2所述的通信系统安全防护方法,其特征在于,所述数据类型包括:纯数据类型和非纯数据类型,依据所述数据类型,控制所述隔离设备过滤所述业务数据包括:
在所述数据类型为所述纯数据类型的情况下,允许所述业务数据进行传输;
在所述数据类型为所述非纯数据类型的情况下,禁止所述业务数据进行传输。
4.根据权利要求1所述的通信系统安全防护方法,其特征在于,所述方法还包括:
发送第二控制指令至网关设备,其中,所述第二控制指令用于控制所述网关设备在其余通信设备网管系统与所述目标通信设备网管系统之间存在数据交互的情况下,对所述目标网络与其余网络之间传输的数据进行加密认证,其中,所述其余网络用于承载所述其余通信设备网关系统。
5.根据权利要求4所述的通信系统安全防护方法,其特征在于,对所述目标网络与其余网络之间传输的数据进行加密认证包括:
在接收到所述其余网络向所述目标网络所发送的数据的情况下,获取所述数据中的来源信息,并对所述来源信息进行认证;
在认定所述来源信息可信的情况下,控制所述网关设备传输所述数据至所述目标网络进行处理;
在所述目标网络计划向所述其余网络发送数据的情况下,控制所述网关设备依据预设数据加密规则,对所述数据进行加密。
6.根据权利要求1所述的通信系统安全防护方法,其特征在于,所述方法还包括:
按照预设时间周期获取所述目标网络对应的日志文件;
依据所述日志文件,分析得到所述目标网络的安全风险值,其中,所述安全风险值用于表征所述目标网络的安全性;
在所述安全风险值大于预设安全阈值的情况下,发送第一告警信息。
7.根据权利要求1所述的通信系统安全防护方法,其特征在于,所述目标网络的网络设备中包含核心交换机;所述方法还包括:
监测所述核心交换机上的目标端口,其中,所述目标端口用于连通所述核心交换机与所述目标网络的其余网络设备;
在检测到所述目标端口的数据报文存在异常的情况下,发送第二告警信息。
8.一种通信系统安全防护装置,其特征在于,包括:
分组划分模块,用于在目标网络中确定第一分组和第二分组,其中,所述目标网络至少包括目标通信设备网关系统,所述目标通信设备网管系统用于对所述目标网络中的网络设备进行管理,所述第一分组中网络设备用于执行生产控制业务,所述第二分组中网络设备用于执行管理信息业务;
方向确定模块,用于确定所述第一分组中网络设备与所述第二分组的网络设备之间进行业务数据传输的数据传输方向;
数据过滤模块,用于发送第一控制指令至隔离设备,其中,所述第一控制指令用于控制所述隔离设备依据与所述数据传输方向对应的预设过滤规则,过滤在所述第一分组中网络设备与所述第二分组的网络设备之间进行传输的业务数据,以剔除风险数据。
9.一种电子设备,所述电子设备包括处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至7中任意一项所述通信系统安全防护方法。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的计算机程序,其中,所述非易失性存储介质所在设备通过运行所述计算机程序执行权利要求1至7中任意一项所述通信系统安全防护方法。
CN202211531001.XA 2022-12-01 2022-12-01 通信系统安全防护方法、装置及电子设备 Pending CN115883216A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211531001.XA CN115883216A (zh) 2022-12-01 2022-12-01 通信系统安全防护方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211531001.XA CN115883216A (zh) 2022-12-01 2022-12-01 通信系统安全防护方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN115883216A true CN115883216A (zh) 2023-03-31

Family

ID=85765326

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211531001.XA Pending CN115883216A (zh) 2022-12-01 2022-12-01 通信系统安全防护方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN115883216A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117354068A (zh) * 2023-12-06 2024-01-05 国网浙江省电力有限公司金华供电公司 提高分布式能量管理系统通信安全性方法与系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117354068A (zh) * 2023-12-06 2024-01-05 国网浙江省电力有限公司金华供电公司 提高分布式能量管理系统通信安全性方法与系统
CN117354068B (zh) * 2023-12-06 2024-03-01 国网浙江省电力有限公司金华供电公司 提高分布式能量管理系统通信安全性方法与系统

Similar Documents

Publication Publication Date Title
US11750563B2 (en) Flow metadata exchanges between network and security functions for a security service
US9807055B2 (en) Preventing network attacks on baseboard management controllers
US8745219B2 (en) Out-of-band remote management station
US20040193943A1 (en) Multiparameter network fault detection system using probabilistic and aggregation analysis
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
Oniga et al. Analysis, design and implementation of secure LoRaWAN sensor networks
CN109922073A (zh) 网络安全监控装置、方法和系统
CN102857388A (zh) 云探安全管理审计系统
US11785048B2 (en) Consistent monitoring and analytics for security insights for network and security functions for a security service
CN113645213A (zh) 一种基于vpn技术的多终端网络管理监控系统
KR20040036228A (ko) 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
CN115883216A (zh) 通信系统安全防护方法、装置及电子设备
O'Raw et al. IEC 61850 substation configuration language as a basis for automated security and SDN configuration
CN111526018B (zh) 一种基于电力配电的通信加密系统及通信加密方法
KR100446816B1 (ko) 네트워크 기반의 통합 보안 관리 서비스망
KR20090035192A (ko) 침입차단시스템 통합 관리 장치 및 방법
CN116319028A (zh) 一种反弹shell攻击拦截方法和装置
Zaheer et al. Intrusion detection and mitigation framework for SDN controlled IoTs network
Ali et al. Byod cyber forensic eco-system
Badea et al. Computer network vulnerabilities and monitoring
Haji et al. Practical security strategy for SCADA automation systems and networks
US20220417268A1 (en) Transmission device for transmitting data
Kišan et al. Using smart grid technology in energy distribution systems
EP2540050B1 (en) Dual bypass module
Gilbert Network Security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination