一種終端安全準(zhǔn)入控制方法
【專利摘要】一種終端安全準(zhǔn)入控制方法�����,先建立系統(tǒng):數(shù)據(jù)庫模塊���、ARP表掃描模塊��、終端隔離模塊�����、VRV系統(tǒng)通信模塊和危險設(shè)備識別模塊���;步驟一、手動建立已知設(shè)備表����、交換機(jī)表���,存入所述數(shù)據(jù)庫模塊;步驟二���、獲取ARP狀態(tài)表;所述ARP狀態(tài)表是由MAC地址‐IP地址對組成的ARP信息組成����;步驟三、VRV通信模塊從外部VRV系統(tǒng)中獲得所述問題設(shè)備表��,存入所述數(shù)據(jù)庫模塊中����;步驟四、獲得所述危險設(shè)備表����;步驟五、所述終端隔離模塊讀取所述隔離設(shè)備表��,并隔離所述危險設(shè)備表中的危險設(shè)備����。本發(fā)明可通過部署在終端上的客戶端程序限制終端的網(wǎng)絡(luò)應(yīng)用功能�,或通過部署防火墻實現(xiàn)對終端網(wǎng)絡(luò)訪問行為的控制�,能自動將終端設(shè)備從網(wǎng)絡(luò)中及時隔離。
【專利說明】-種終端安全準(zhǔn)入控制方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于電力信息網(wǎng)的終端設(shè)備安全的控制方法���。
【背景技術(shù)】
[0002] 終端設(shè)備是電力信息網(wǎng)的重要組成部分����,終端安全是電力信息運維中的重點工 作��。為加強(qiáng)電力終端的安全管理�����,國家電網(wǎng)公司部署實施了類似北信源VRV終端管控程序��, 實現(xiàn)對終端安全狀態(tài)的實時采集與預(yù)警��。但目前在運維過程中���,針對存在安全隱患或已經(jīng) 發(fā)生安全隱患的終端設(shè)備���,運維人員缺乏必要的自動化技術(shù)手段從網(wǎng)絡(luò)中物理隔離該終 端�,只能W后人工斷開網(wǎng)線或登陸交換關(guān)閉響應(yīng)的交換機(jī)端口實現(xiàn)網(wǎng)絡(luò)隔離�,不僅不能及 時排除安全隱患,同時對運維人員處理隱患的及時性提出了很高要求�。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明的目的就是要解決W上問題,提供一種終端安全準(zhǔn)入控制方法�����,對于異常 或存在隱患的終端設(shè)備���,通過部署在終端上的客戶端程序限制終端的網(wǎng)絡(luò)應(yīng)用功能,或通 過部署防火墻實現(xiàn)對終端網(wǎng)絡(luò)訪問行為的控制��,自動將終端設(shè)備從網(wǎng)絡(luò)中及時隔離��。
[0004] 本發(fā)明的技術(shù)方案是該樣得W實現(xiàn)的���;一種終端安全準(zhǔn)入控制方法�����,其特點是: 1����、先建立控制系統(tǒng),控制系統(tǒng)包括:數(shù)據(jù)庫模塊��、ARP表掃描模塊�、終端隔離模塊、終端狀態(tài) 系統(tǒng)通信模塊和危險設(shè)備識別模塊���;
[0005] 所述數(shù)據(jù)庫模塊包含數(shù)據(jù)庫軟件和數(shù)據(jù)庫����,所述數(shù)據(jù)庫包含已知設(shè)備表���、問題設(shè) 備表�、危險設(shè)備表���、隔離設(shè)備表����、交換機(jī)表����、終端狀態(tài)系統(tǒng)配置表和ARP狀態(tài)表;
[0006] 所述ARP表掃描模塊根據(jù)所述交換機(jī)表所記錄的交換機(jī)信息,獲得所述交換機(jī)對 應(yīng)的ARP狀態(tài)表����;
[0007] 所述終端狀態(tài)系統(tǒng)通信模塊與外部終端狀態(tài)系統(tǒng)進(jìn)行通信,獲得問題設(shè)備表�;
[0008] 所述危險設(shè)備識別模塊根據(jù)所述已知設(shè)備表、問題設(shè)備表和ARP狀態(tài)表�����,生成隔 離設(shè)備表����;
[0009] 所述終端隔離模塊根據(jù)所述隔離設(shè)備表所記錄的設(shè)備信息,隔離相對應(yīng)的設(shè)備���;
[0010] 2、控制方法按如下步驟進(jìn)行:
[0011] 步驟一���、手動建立已知設(shè)備表���、交換機(jī)表,存入所述數(shù)據(jù)庫模塊����;
[0012] 所述已知設(shè)備表是由設(shè)備MC地址��、設(shè)備名稱和設(shè)備類型組成的設(shè)備信息���;
[0013] 所述交換機(jī)表是由交換機(jī)MAC地址、交換機(jī)SNMP讀串和交換機(jī)SNMP寫串組成的 交換機(jī)信息�����;
[0014] 步驟二��、所述ARP掃描模塊掃描所述交換機(jī)表所記錄的交換機(jī)信息����,獲取所述交 換機(jī)應(yīng)對的ARP狀態(tài)表;所述ARP狀態(tài)表是由MC地址-IP地址對組成的ARP信息組成�;具 體步驟如下:
[0015] 1)所述ARP表掃描模塊將所述數(shù)據(jù)庫模塊中的ARP狀態(tài)表清空;
[0016] 2)所述ARP表掃描模塊讀取所述數(shù)據(jù)庫模塊的交換機(jī)表�,獲得所述交換機(jī)表中記 錄的交換機(jī)信息;
[0017] 3)所述ARP表掃描模塊根據(jù)所述交換機(jī)信息�,通過SNMP協(xié)議,逐個訪問所述交換 機(jī)���,獲取所述交換機(jī)對應(yīng)的ARP列表字符串���;
[0018] 4)所述ARP表掃描模塊解析所述ARP列表字符串���,形成MC地址-IP地址對,并存 入所述數(shù)據(jù)庫模塊的ARP狀態(tài)表����;
[0019] 步驟H、所述終端狀態(tài)系統(tǒng)通信模塊與外部終端狀態(tài)系統(tǒng)進(jìn)行通信���,獲得問題設(shè) 備表的MC地址-IP地址對����,并存入所述問題設(shè)備表����;所述問題設(shè)備表是由MC地址-IP地 址對信息組成;具體步驟如下:
[0020] 1)所述終端狀態(tài)系統(tǒng)通信模塊讀取所述終端狀態(tài)系統(tǒng)配置表和ARP狀態(tài)表�,獲得 所述終端狀態(tài)系統(tǒng)配置表所記錄的終端狀態(tài)系統(tǒng)信息;
[0021] 2)所述終端狀態(tài)系統(tǒng)通途模塊與所述終端狀態(tài)系統(tǒng)進(jìn)行通信�,獲取所述終端狀態(tài) 系統(tǒng)中記錄的違反安全規(guī)則的問題終端設(shè)備的MC地址�����;
[0022] 3)根據(jù)所述問題終端設(shè)備的MC地址,查找ARP狀態(tài)表��,獲得所述問題終端設(shè)備的 MAC地址-IP地址對��;
[0023] 4)將所述問題終端設(shè)備的MC地址-IP地址對存入所述數(shù)據(jù)庫模塊的問題設(shè)備 表���;
[0024] 步驟四���、所述危險設(shè)備識別模塊生成所述危險設(shè)備表,與所述問題設(shè)備表合成�����,生 成隔離設(shè)備表��;
[00巧]1)所述危險設(shè)備識別模塊讀取所述已知設(shè)備表�����、ARP狀態(tài)表和問題設(shè)備表�����;清空 所述數(shù)據(jù)庫模塊的隔離設(shè)備表���;
[0026] 2)根據(jù)所述ARP狀態(tài)表所記錄的MC地址����,逐個查找所述MC地址在所述已知設(shè) 備表中是否有記錄,如果沒有�,則將所述MAC地址和對應(yīng)的IP地址組成的MC地址-IP地 址對存入所述隔離設(shè)備表中;
[0027] 3)讀取所述問題設(shè)備表�,存入所述數(shù)據(jù)庫模塊中的隔離設(shè)備表中;
[0028] 步驟五����、所述終端隔離模塊讀取所述隔離設(shè)備表,并隔離所述危險設(shè)備表中的危 險設(shè)備����;具體步驟如下:
[0029] 1)所述終端隔離模塊讀取所述隔離設(shè)備表,獲得所述隔離設(shè)備表所記錄的隔離設(shè) 備倍息�;
[0030] 2)所述終端隔離模塊根據(jù)基于命令模板的交換機(jī)操作方法,將隔離設(shè)備的IP地 址與假MC地址進(jìn)行綁定��,從而實現(xiàn)對隔離終端正在使用的IP地址的網(wǎng)絡(luò)隔離����;具體步驟 如下:
[0031] 2. 1)、分別建立不同廠家和不同型號的交換機(jī)自動化操作的配置文件��;
[0032] 所述交換機(jī)自動化操作的配置文件���,組成包括���;交換機(jī)類型信息、基本命令信息和 操作命令序列信息����;
[0033] 所述交換機(jī)類型信息包括交換機(jī)類型名稱和交換機(jī)廠家;
[0034] 所述基本命令信息包括命令名�、命令格式和命令參數(shù)信息;所述命令參數(shù)信息包 括用戶名�����、密碼���、超級密碼���、管理地址、MC地址和IP地址�;
[0035] 所述操作命令序列信息包括序列名和命令序列;所述命令序列是由命令編號和命 令名組成的命令信息���。
[0036] 2. 2)���、設(shè)置交換機(jī)配置信息����、操作對象信息和操作名�;所述交換機(jī)配置信息包括交 換機(jī)類型名稱、交換機(jī)廠家����、用戶名、密碼����、超級密碼和管理地址;所述操作對象信息包括 MC地址和IP地址����;所述操作名為序列名;
[0037] 2. 3)���、根據(jù)所述交換機(jī)配置信息中的交換類型名稱和交換機(jī)廠家��,查找所述交換 機(jī)類型信息中的交換機(jī)類型名稱和交換機(jī)廠家����,獲得與所述交換機(jī)配置信息相對應(yīng)的配置 文件;
[0038] 2. 4)��、根據(jù)所述操作名�����,查找所述操作命令序列信息中的序列名�����,獲得與所述操作 名相對應(yīng)的命令序列���;
[0039] 2. 5)、根據(jù)所述命令序列中的命令編號���,依次獲得與所述命令編號相對應(yīng)的命令 名���,并根據(jù)所述命令名,查找所述基本命令信息中的命令名����,獲得與所述命令序列中命令名 相對應(yīng)的命令格式和命令參數(shù)信息�����;
[0040] 2. 6)��、將交換機(jī)配置信息中的用戶名����、密碼��、超級密碼和管理地址W及所述操作對 象信息中的MAC地址和IP地址分別傳遞給所述命令參數(shù)信息����,從而生成操作命令;
[0041] 2. 7)��、執(zhí)行所述操作命令�,完成所述操作名對應(yīng)的操作。
[0042] 本發(fā)明可通過部署在終端上的客戶端程序限制終端的網(wǎng)絡(luò)應(yīng)用功能�����,或通過部署 防火墻實現(xiàn)對終端網(wǎng)絡(luò)訪問行為的控制��,能自動將終端設(shè)備從網(wǎng)絡(luò)中及時隔離。
【專利附圖】
【附圖說明】
[0043] 圖1是本發(fā)明的ARP綁定操作流程圖����。
【具體實施方式】
[0044] 本發(fā)明應(yīng)用在包含電力網(wǎng)絡(luò)設(shè)備的電力網(wǎng)絡(luò)中;先建立如下系統(tǒng)�;數(shù)據(jù)庫模塊、 ARP表掃描模塊���、終端隔離模塊、VRV系統(tǒng)通信模塊和危險設(shè)備識別模塊��;
[0045] 所述數(shù)據(jù)庫模塊包含數(shù)據(jù)庫軟件和數(shù)據(jù)庫�����,所述數(shù)據(jù)庫包含已知設(shè)備表���、問題設(shè) 備表�����、危險設(shè)備表����、隔離設(shè)備表、交換表和ARP狀態(tài)表����;
[0046] 控制方法按如下步驟進(jìn)行:
[0047] 步驟一、手動建立已知設(shè)備表��、交換機(jī)表��,存入所述數(shù)據(jù)庫模塊����;
[0048] 所述已知設(shè)備表是由設(shè)備MAC地址、設(shè)備名稱和設(shè)備類型組成的設(shè)備信息組成����;
[0049] 所述交換機(jī)表是由交換機(jī)MAC地址、交換機(jī)SNMP讀串和交換機(jī)SNMP寫串組成的 交換機(jī)信息組成��;
[0050] 步驟二�����、獲取ARP狀態(tài)表����;所述ARP狀態(tài)表是由MC地址-IP地址對組成的ARP信 息組成��;
[0051] 1)所述ARP表掃描模塊將所述數(shù)據(jù)庫模塊中的ARP狀態(tài)表清空��;
[0052] 2)所述ARP表掃描模塊讀取數(shù)據(jù)庫模塊的交換機(jī)表�,獲得交換機(jī)信息���;
[0053] 3)所述ARP表掃描模塊根據(jù)所述交換機(jī)信息�,通過SNMP訪問交換機(jī)���,獲取ARP列 表字符串���;
[0054] 4)解析獲取到所述ARP列表字符串形成MC地址-IP地址對��,插入到ARP狀態(tài)表 中��;
[00巧]步驟H�����、VRV通信模塊從外部VRV系統(tǒng)中獲得所述問題設(shè)備表���,存入所述數(shù)據(jù)庫模 塊中��;
[0056] 所述問題設(shè)備表是由MAC地址信息組成�;
[0057] 步驟四、獲得所述危險設(shè)備表���;
[0058] 1)所述危險設(shè)備識別模塊讀取所述已知設(shè)備表�、ARP狀態(tài)表和問題設(shè)備表�����;
[0059] 2)對比所述已知設(shè)備表和ARP表狀態(tài)表��,獲得在所述ARP狀態(tài)表中存在而所述已 知設(shè)備表中不存在的MAC地址���,生成未知設(shè)備表�;
[0060] 3)將所述未知設(shè)備表和問題設(shè)備表合成為隔離設(shè)備表��,并存入所述數(shù)據(jù)庫模塊 中��;
[0061] 步驟五��、所述終端隔離模塊讀取所述隔離設(shè)備表���,并隔離所述危險設(shè)備表中的危 險設(shè)備�。
[0062] 本發(fā)明通過核也交換機(jī)ARP表掃描獲取到信息網(wǎng)內(nèi)終端設(shè)備的MC地址對應(yīng)的IP 地址;當(dāng)發(fā)現(xiàn)未知終端或已知終端存在安全隱患或終端異常時�����,自動在核也交換機(jī)上將該 終端MC地址使用的IP地址綁定到一個假MC地址����,實現(xiàn)終端的準(zhǔn)實時隔離,達(dá)到阻止終 端通過核也交換機(jī)訪問電力信息網(wǎng)絡(luò)的目的�。
[0063] 具體方法:
[0064] 一、設(shè)備臺帳建立
[0065] 方法首先建立已知設(shè)備臺帳表���,用于標(biāo)示所有合法的接入到網(wǎng)絡(luò)中的終端設(shè)備W 及網(wǎng)絡(luò)設(shè)備���。臺帳數(shù)據(jù)通過數(shù)據(jù)表進(jìn)行存儲,數(shù)據(jù)表定義如下:
[0066]
【權(quán)利要求】
1. 一種終端安全準(zhǔn)入控制方法���,其特征在于: (1) 先建立控制系統(tǒng),控制系統(tǒng)包括:數(shù)據(jù)庫模塊���、ARP表掃描模塊�����、終端隔離模塊���、終 端狀態(tài)系統(tǒng)通信模塊和危險設(shè)備識別模塊��; 所述數(shù)據(jù)庫模塊包含數(shù)據(jù)庫軟件和數(shù)據(jù)庫�����,所述數(shù)據(jù)庫包含已知設(shè)備表���、問題設(shè)備表、 危險設(shè)備表�����、隔離設(shè)備表���、交換機(jī)表��、終端狀態(tài)系統(tǒng)配置表和ARP狀態(tài)表�; 所述ARP表掃描模塊根據(jù)所述交換機(jī)表所記錄的交換機(jī)信息���,獲得所述交換機(jī)對應(yīng)的 ARP狀態(tài)表�����; 所述終端狀態(tài)系統(tǒng)通信模塊與外部終端狀態(tài)系統(tǒng)進(jìn)行通信�,獲得問題設(shè)備表; 所述危險設(shè)備識別模塊根據(jù)所述已知設(shè)備表��、問題設(shè)備表和ARP狀態(tài)表��,生成隔離設(shè) 備表����; 所述終端隔離模塊根據(jù)所述隔離設(shè)備表所記錄的設(shè)備信息,隔離相對應(yīng)的設(shè)備���; (2) 控制方法按如下步驟進(jìn)行: 步驟一���、手動建立已知設(shè)備表、交換機(jī)表��,存入所述數(shù)據(jù)庫模塊�; 所述已知設(shè)備表是由設(shè)備MAC地址�、設(shè)備名稱和設(shè)備類型組成的設(shè)備信息; 所述交換機(jī)表是由交換機(jī)MAC地址��、交換機(jī)SNMP讀串和交換機(jī)SNMP寫串組成的交換 機(jī)信息; 步驟二�����、所述ARP掃描模塊掃描所述交換機(jī)表所記錄的交換機(jī)信息�����,獲取所述交換機(jī) 應(yīng)對的ARP狀態(tài)表����;所述ARP狀態(tài)表是由MAC地址-IP地址對組成的ARP信息組成;具體步 驟如下: 1) 所述ARP表掃描模塊將所述數(shù)據(jù)庫模塊中的ARP狀態(tài)表清空�; 2) 所述ARP表掃描模塊讀取所述數(shù)據(jù)庫模塊的交換機(jī)表,獲得所述交換機(jī)表中記錄的 交換機(jī)信息�; 3) 所述ARP表掃描模塊根據(jù)所述交換機(jī)信息,通過SNMP協(xié)議����,逐個訪問所述交換機(jī),獲 取所述交換機(jī)對應(yīng)的ARP列表字符串�����; 4) 所述ARP表掃描模塊解析所述ARP列表字符串,形成MAC地址-IP地址對�����,并存入所 述數(shù)據(jù)庫模塊的ARP狀態(tài)表����; 步驟三、所述終端狀態(tài)系統(tǒng)通信模塊與外部終端狀態(tài)系統(tǒng)進(jìn)行通信��,獲得問題設(shè)備表 的MAC地址-IP地址對�,并存入所述問題設(shè)備表;所述問題設(shè)備表是由MAC地址-IP地址對 信息組成��;具體步驟如下: 1) 所述終端狀態(tài)系統(tǒng)通信模塊讀取所述終端狀態(tài)系統(tǒng)配置表和ARP狀態(tài)表���,獲得所述 終端狀態(tài)系統(tǒng)配置表所記錄的終端狀態(tài)系統(tǒng)信息��; 2) 所述終端狀態(tài)系統(tǒng)通途模塊與所述終端狀態(tài)系統(tǒng)進(jìn)行通信�����,獲取所述終端狀態(tài)系統(tǒng) 中記錄的違反安全規(guī)則的問題終端設(shè)備的MAC地址�; 3) 根據(jù)所述問題終端設(shè)備的MAC地址�����,查找ARP狀態(tài)表�,獲得所述問題終端設(shè)備的MAC 地址-IP地址對; 4) 將所述問題終端設(shè)備的MAC地址-IP地址對存入所述數(shù)據(jù)庫模塊的問題設(shè)備表�; 步驟四、所述危險設(shè)備識別模塊生成所述危險設(shè)備表����,與所述問題設(shè)備表合成,生成隔 離設(shè)備表����; 1)所述危險設(shè)備識別模塊讀取所述已知設(shè)備表、ARP狀態(tài)表和問題設(shè)備表�����;清空所述 數(shù)據(jù)庫模塊的隔離設(shè)備表��; 2) 根據(jù)所述ARP狀態(tài)表所記錄的MAC地址����,逐個查找所述MAC地址在所述已知設(shè)備表 中是否有記錄,如果沒有�,則將所述MAC地址和對應(yīng)的IP地址組成的MAC地址-IP地址對 存入所述隔離設(shè)備表中; 3) 讀取所述問題設(shè)備表,存入所述數(shù)據(jù)庫模塊中的隔離設(shè)備表中�����; 步驟五�����、所述終端隔離模塊讀取所述隔離設(shè)備表����,并隔離所述危險設(shè)備表中的危險設(shè) 備;具體步驟如下: 1) 所述終端隔離模塊讀取所述隔離設(shè)備表�,獲得所述隔離設(shè)備表所記錄的隔離設(shè)備信 息; 2) 所述終端隔離模塊根據(jù)基于命令模板的交換機(jī)操作方法����,將隔離設(shè)備的IP地址與 假MAC地址進(jìn)行綁定,從而實現(xiàn)對隔離終端正在使用的IP地址的網(wǎng)絡(luò)隔離�;具體步驟如 下: 2. 1)、分別建立不同廠家和不同型號的交換機(jī)自動化操作的配置文件�����; 所述交換機(jī)自動化操作的配置文件�����,組成包括:交換機(jī)類型信息、基本命令信息和操作 命令序列信息�����; 所述交換機(jī)類型信息包括交換機(jī)類型名稱和交換機(jī)廠家���; 所述基本命令信息包括命令名、命令格式和命令參數(shù)信息����;所述命令參數(shù)信息包括用 戶名、密碼�����、超級密碼�、管理地址、MAC地址和IP地址��; 所述操作命令序列信息包括序列名和命令序列��;所述命令序列是由命令編號和命令名 組成的命令息��。 2. 2)、設(shè)置交換機(jī)配置信息����、操作對象信息和操作名;所述交換機(jī)配置信息包括交換機(jī) 類型名稱��、交換機(jī)廠家����、用戶名、密碼�����、超級密碼和管理地址�;所述操作對象信息包括MAC地 址和IP地址;所述操作名為序列名����; 2. 3)、根據(jù)所述交換機(jī)配置信息中的交換類型名稱和交換機(jī)廠家����,查找所述交換機(jī)類 型信息中的交換機(jī)類型名稱和交換機(jī)廠家,獲得與所述交換機(jī)配置信息相對應(yīng)的配置文 件��; 2. 4)、根據(jù)所述操作名���,查找所述操作命令序列信息中的序列名��,獲得與所述操作名相 對應(yīng)的命令序列��; 2. 5)���、根據(jù)所述命令序列中的命令編號��,依次獲得與所述命令編號相對應(yīng)的命令名��,并 根據(jù)所述命令名�,查找所述基本命令信息中的命令名,獲得與所述命令序列中命令名相對 應(yīng)的命令格式和命令參數(shù)信息�����; 2. 6)�����、將交換機(jī)配置信息中的用戶名���、密碼��、超級密碼和管理地址以及所述操作對象信 息中的MAC地址和IP地址分別傳遞給所述命令參數(shù)信息����,從而生成操作命令; 2. 7)����、執(zhí)行所述操作命令,完成所述操作名對應(yīng)的操作����。
【文檔編號】H04L29/06GK104363228SQ201410641244
【公開日】2015年2月18日 申請日期:2014年11月13日 優(yōu)先權(quán)日:2014年11月13日
【發(fā)明者】張宿新, 周冬青, 張煒, 程振凱, 阮兆文 申請人:國家電網(wǎng)公司, 國網(wǎng)安徽省電力公司馬鞍山供電公司