智能電網(wǎng)安全域邊界設備訪問控制策略管控系統(tǒng)及方法
【技術領域】
[0001]本發(fā)明涉及電網(wǎng)安全技術領域����,具體是一種智能電網(wǎng)安全域邊界設備訪問控制策略管控系統(tǒng)及方法���。
【背景技術】
[0002]為保障電力監(jiān)控系統(tǒng)和電力調度數(shù)據(jù)網(wǎng)絡的安全��,防范黑客及惡意代碼等對電力二次系統(tǒng)的攻擊侵害及由此引發(fā)電力系統(tǒng)事故����,電力二次系統(tǒng)安全防護工作以安全分區(qū)、網(wǎng)絡專用�、橫向隔離、縱向認證為基本原則�����。
[0003]根據(jù)電力二次系統(tǒng)的特點���,各相關業(yè)務系統(tǒng)的重要程度和數(shù)據(jù)流程、目前狀況和安全要求���,將整個電力二次系統(tǒng)分為四個安全區(qū)實時控制區(qū)�����、II非控制生產(chǎn)區(qū)�����、III生產(chǎn)管理區(qū)�����、IV管理信息區(qū)�。其中,I區(qū)和II區(qū)組成生產(chǎn)控制大區(qū)����,III區(qū)和IV區(qū)組成管理信息大區(qū)。在完成安全區(qū)的劃分后����,針對不同的安全區(qū)確定了不同的安全防護要求和安全控制要求,從而決定了不同的安全等級和防護水平��。按照電力二次系統(tǒng)安全防護規(guī)范要求����,在各安全區(qū)之間,均需選擇適當?shù)慕?jīng)國家有關部門認證的邊界訪問控制裝置�。針對進出各安全區(qū)的數(shù)據(jù)流制定訪問控制矩陣,依據(jù)控制矩陣在邊界網(wǎng)絡訪問控制設備上設定訪問控制規(guī)貝1J�����。同時建議在網(wǎng)省公司層面對防火墻策略進行統(tǒng)一集中管理�。
[0004]為保證電力二次系統(tǒng)安全防護規(guī)范中針對安全區(qū)邊界訪問控制相關要求的落實執(zhí)行���,必須在邊界訪問控制配置策略的新增、維護和刪除全生命周期的各個階段加強和落實國家電網(wǎng)公司對電力二次系統(tǒng)安全防護規(guī)范的要求���。
[0005]目前國內還沒有能夠支持智能電網(wǎng)安全域邊界設備訪問控制策略集中管控的通用工具��,無法對訪問控制策略的有效性�����、合規(guī)性進行檢查�����,導致智能電網(wǎng)安全域邊界設備訪問控制策略中存在垃圾策略�����、冗余策略、沖突策略等�����。針對現(xiàn)網(wǎng)安全域邊界設備數(shù)量多�、類型不一����,配置復雜�、多樣化的現(xiàn)狀,需要一套自動化系統(tǒng)促進設備安全配置規(guī)范化����,在提升安全管理水平的同時提高運維人員工作效率,輔助管理員加固網(wǎng)絡的第一道防線�。
【發(fā)明內容】
[0006]本發(fā)明提供一種智能電網(wǎng)安全域邊界設備訪問控制策略管控系統(tǒng)及方法,可快速的將安全檢測任務下發(fā)到指定的智能電網(wǎng)安全域邊界防護設備�,以實現(xiàn)通過結構化的數(shù)據(jù)格式收集分散的智能電網(wǎng)安全域邊界防護設備配置信息。
[0007]—種智能電網(wǎng)安全域邊界設備訪問控制策略管控系統(tǒng)�,包括:
[0008]策略合規(guī)檢測規(guī)則存儲單元,用于存儲針對智能電網(wǎng)安全域邊界設備訪問控制策略的合規(guī)檢測規(guī)則項���、針對智能電網(wǎng)安全域邊界設備的檢測任務模板��、針對每個合規(guī)檢測規(guī)則項定義的自動化檢測的方法�����、檢測結果判斷標準和檢測項權重分值����;
[0009]檢測模板編輯單元,用于根據(jù)所述策略合規(guī)檢測規(guī)則存儲單元中存儲的合規(guī)檢測規(guī)則項進行規(guī)則編輯和組合��,以生成針對某一智能電網(wǎng)安全域邊界設備或不同檢查場景的檢測任務模板���;
[0010]檢測任務編輯單元��,用于針對某一類智能電網(wǎng)安全域邊界訪問控制設備���,調用所述檢測模板編輯單元中生成的安全檢測模板,定義并下發(fā)安全檢測任務給所述檢測任務執(zhí)行單元���,明確使用某一安全檢測模板����,對某一類型的智能電網(wǎng)安全域邊界訪問控制設備進行安全合規(guī)檢測工作�;
[0011]檢測任務執(zhí)行單元,用于在收到所述檢測任務編輯單元下發(fā)的安全檢測任務后�����,遠程登錄目標智能電網(wǎng)安全域邊界訪問控制設備�,并執(zhí)行相關配置獲取指令���,獲取目標設備的配置信息���,然后根據(jù)所述配置信息以及檢測任務模板中所包含的各檢測項��,對智能電網(wǎng)安全域邊界訪問控制設備的配置信息進行解析�,并對解析后的配置信息按照統(tǒng)一格式入庫保存���;
[0012]檢測結果分析單元���,用于接收所述檢測任務執(zhí)行單元獲取的配置信息,并根據(jù)安全檢測任務中的合規(guī)檢測規(guī)則項進行合規(guī)檢測��,并根據(jù)智能電網(wǎng)安全域邊界訪問控制設備安全檢測結果來為不同的智能電網(wǎng)安全域邊界訪問控制設備評定安全級別���,給出安全修復建議��;
[0013]檢測結果顯示單元����,用于根據(jù)檢測結果分析單元所獲得的安全檢測結果來生成所選智能電網(wǎng)安全域邊界訪問控制設備的安全檢測結果報告���,以對安全檢測結果進行統(tǒng)計分析和結果展示�。
[0014]如上所述的管控系統(tǒng),檢測任務執(zhí)行單元通過SSH或TELNET方式遠程登錄目標智能電網(wǎng)安全域邊界訪問控制設備�����。
[0015]如上所述的管控系統(tǒng)�,所述合規(guī)檢測規(guī)則項包括安全配置檢測項和訪問控制策略檢測項。
[0016]如上所述的管控系統(tǒng)�,安全配置檢測項包括:賬號口令、權限分配���、安全審計���、遠程訪問控制、內核安全���、文件系統(tǒng)安全�����、性能安全�;訪問控制策略檢測項包括:策略沖突��、策略重復、目的IP范圍過大����、目的端口范圍過大�����、目的端口包含管理端口�、策略交叉沖突。
[0017]一種智能電網(wǎng)安全域邊界設備訪問控制策略集中管控方法�,包括如下步驟:
[0018]步驟一:檢測模板編輯單元根據(jù)策略合規(guī)檢測規(guī)則存儲單元中存儲的合規(guī)檢測規(guī)則項進行規(guī)則編輯和組合,以生成針對某一智能電網(wǎng)安全域邊界設備或不同檢查場景的檢測任務模板�����;
[0019]步驟二:檢測任務編輯單元針對某一類智能電網(wǎng)安全域邊界訪問控制設備����,調用所述檢測模板編輯單元生成的所述安全檢測模板,定義并下發(fā)安全檢測任務給所述檢測任務執(zhí)行單元����,明確使用某一安全檢測模板,對某一類型的智能電網(wǎng)安全域邊界訪問控制設備進行安全合規(guī)檢測工作��;
[0020]步驟三:所述檢測任務執(zhí)行單元在收到所述檢測任務編輯單元下發(fā)的安全檢測任務后,遠程登錄目標智能電網(wǎng)安全域邊界訪問控制設備����,并執(zhí)行相關配置獲取指令,獲取目標設備的配置信息����,然后根據(jù)所述配置信息以及檢測任務模板中所包含的各檢測項,對智能電網(wǎng)安全域邊界訪問控制設備的配置信息進行解析�����,并對解析后的配置信息按照統(tǒng)一格式入庫保存����;
[0021]步驟四:檢測結果分析單元接收所述檢測任務執(zhí)行單元獲取的配置信息,并根據(jù)安全檢測任務中的合規(guī)檢測規(guī)則項進行合規(guī)檢測�����,并根據(jù)智能電網(wǎng)安全域邊界訪問控制設備安全檢測結果來為不同的智能電網(wǎng)安全域邊界訪問控制設備評定安全級別��,給出安全修復建議來為不同的智能電網(wǎng)安全域邊界訪問控制設備評定安全級別���,給出安全修復建議���;
[0022]步驟五:檢測結果顯示單元根據(jù)檢測結果分析單元所獲得的安全檢測結果來生成所選智能電網(wǎng)安全域邊界訪問控制設備的安全檢測結果報告����,以對安全檢測結果進行統(tǒng)計分析和結果展示����。
[0023]如上所述的管控方法���,步驟三中檢測任務執(zhí)行單元通過SSH或TELNET方式遠程登錄目標智能電網(wǎng)安全域邊界訪問控制設備�。
[0024]如上所述的管控方法����,所述合規(guī)檢測規(guī)則項包括安全配置檢測項和訪問控制策略檢測項。
[0025]如上所述的管控方法���,安全配置檢測項包括:賬號口令���、權限分配、安全審計��、遠程訪問控制�、內核安全�����、文件系統(tǒng)安全�、性能安全���;訪問控制策略檢測項包括:策略沖突�����、策略重復�、目的IP范圍過大�����、目的端口范圍過大��、目的端口包含管理端口���、策略交叉沖突����。
[0026]本發(fā)明能實現(xiàn)快速���、準確的定義針對不同類型智能電網(wǎng)安全域邊界防護設備的安全檢測模板�����,對于未來需要引入的新智能電網(wǎng)安全域邊界防護設備的檢測模板也可以通過本系統(tǒng)進行安全檢測模板的定制�����,大大提高了智能電網(wǎng)安全域邊界防護設備的安全檢測范圍和安全檢測規(guī)則制定的靈活性����,可快速的將安全檢測任務下發(fā)到指定的智能電網(wǎng)安全域邊界防護設備��,以實現(xiàn)通過結構化的數(shù)據(jù)格式收集分散的智能電網(wǎng)安全域邊界防護設備配置信息���。
【附圖說明】
[0027]圖1是本發(fā)明智能電網(wǎng)安全域邊界設備訪問控制策略管控系統(tǒng)的結構示意圖�。
[0028]圖中:1 一策略合規(guī)檢測規(guī)則存儲單兀�,2—檢測模板編輯單兀,3—檢測任務編輯單元���,4一檢測任務執(zhí)行單元����,5一檢測結果分析單元,6—檢測結果顯示單元�����,7一智能電網(wǎng)安全域邊界設備����。
【具體實施方式】
[0029]下面將結合本發(fā)明中的附圖,對本發(fā)明中的技術方案進行清楚�、完整地描述。
[0030]圖1所示為本發(fā)明智能電網(wǎng)安全域邊界設備訪問控制策略管控系統(tǒng)的結構示意圖�,所述智能電網(wǎng)安全域邊界設備訪問控制策略管控系統(tǒng)包括策略合規(guī)檢測規(guī)則存儲單元1、檢測模板編輯單元2�����、檢測任務編輯單元3�����、檢測任務執(zhí)行單元4����、檢測結果分析單元5以及檢測結果顯示單元6。
[0031]所述策略合規(guī)檢測規(guī)則存儲單元1����,用于存儲針對智能電網(wǎng)安全域邊界設備7訪問控制策略的合規(guī)檢測規(guī)則項����、針對智能電網(wǎng)安全域邊界設備7的檢測任務模板�、針對每個合規(guī)檢測規(guī)則項定義的自動化檢測的方法、檢測結果判斷標準和檢測項權重分值���。
[0032]所述智能電網(wǎng)安全域邊界設備7包括防火墻�、三層交換機�����、路由器等����。所述合規(guī)檢測規(guī)則項包括安全配置檢測項和訪問控制策略檢測項兩大部分�。其中安全配置檢測項包括:賬號口令、權限分配��、安全審計�����、遠程訪問控制、內核安全����、文件系統(tǒng)安全、性能安全等����;訪問控制策略檢測項包括:策略沖突、策略重復�����、目的IP范圍過大����、目的端口范圍過大、目的端口包含管理端口��、策略交叉沖突等���。
[0033]所述檢測模板編輯單元2��,用于根據(jù)所述策略合規(guī)檢測規(guī)則存儲單元1中存儲的合規(guī)檢測規(guī)則項進行規(guī)則編輯和組合�����,以生成針對某一智能電網(wǎng)安全域邊界設備或不同檢查場景的檢測任務模板����。
[0034]因為策略合規(guī)檢測規(guī)則存儲單元1中每個合規(guī)檢測規(guī)則項還定義了自動化檢測的方法、檢測結果判斷標準和檢測項權重分值等信息�,各檢測項的數(shù)據(jù)來源和制定標準來自國家電網(wǎng)公司對安全區(qū)域邊界訪問控制的要求和標準。策略合規(guī)檢測規(guī)則存儲單元1中的合規(guī)檢測規(guī)則項可被所述檢測模板編輯單元2調用����,通過調用各合規(guī)檢測規(guī)則項,并對其進行編輯�����,可以生成針對某一類智能電網(wǎng)安全域邊界防護設備的安全檢測模板���。
[0035]所述檢測任務編輯單元3�����,用于針對某一類智能電網(wǎng)安全域邊界訪問控制設備,調用所述檢測模板編輯單元2中生成的安全檢測模板���,定義并下發(fā)安全檢測任務給所述檢測任務執(zhí)行單元4����,明確使用某一安全檢測模板,對某一類型的智能電網(wǎng)安全域邊界訪問控制設備進行安全合規(guī)檢測工作���。在安全檢測任務中包括任務執(zhí)行時間(安全檢測任務開始和結束時間)以及考核分數(shù)(安全檢測任務通過分值)等信息��。
[0036]在完成安全檢測任務的定義后�����,所述檢測任務編輯單元3會按照檢測任務定