智能電網(wǎng)安全域邊界設(shè)備訪問控制策略管控系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及電網(wǎng)安全技術(shù)領(lǐng)域，具體是一種智能電網(wǎng)安全域邊界設(shè)備訪問控制策略管控系統(tǒng)及方法。
【背景技術(shù)】
[0002]為保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，防范黑客及惡意代碼等對(duì)電力二次系統(tǒng)的攻擊侵害及由此引發(fā)電力系統(tǒng)事故，電力二次系統(tǒng)安全防護(hù)工作以安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證為基本原則。
[0003]根據(jù)電力二次系統(tǒng)的特點(diǎn)，各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程、目前狀況和安全要求，將整個(gè)電力二次系統(tǒng)分為四個(gè)安全區(qū)實(shí)時(shí)控制區(qū)、II非控制生產(chǎn)區(qū)、III生產(chǎn)管理區(qū)、IV管理信息區(qū)。其中，I區(qū)和II區(qū)組成生產(chǎn)控制大區(qū)，III區(qū)和IV區(qū)組成管理信息大區(qū)。在完成安全區(qū)的劃分后，針對(duì)不同的安全區(qū)確定了不同的安全防護(hù)要求和安全控制要求，從而決定了不同的安全等級(jí)和防護(hù)水平。按照電力二次系統(tǒng)安全防護(hù)規(guī)范要求，在各安全區(qū)之間，均需選擇適當(dāng)?shù)慕?jīng)國家有關(guān)部門認(rèn)證的邊界訪問控制裝置。針對(duì)進(jìn)出各安全區(qū)的數(shù)據(jù)流制定訪問控制矩陣，依據(jù)控制矩陣在邊界網(wǎng)絡(luò)訪問控制設(shè)備上設(shè)定訪問控制規(guī)貝1J。同時(shí)建議在網(wǎng)省公司層面對(duì)防火墻策略進(jìn)行統(tǒng)一集中管理。
[0004]為保證電力二次系統(tǒng)安全防護(hù)規(guī)范中針對(duì)安全區(qū)邊界訪問控制相關(guān)要求的落實(shí)執(zhí)行，必須在邊界訪問控制配置策略的新增、維護(hù)和刪除全生命周期的各個(gè)階段加強(qiáng)和落實(shí)國家電網(wǎng)公司對(duì)電力二次系統(tǒng)安全防護(hù)規(guī)范的要求。
[0005]目前國內(nèi)還沒有能夠支持智能電網(wǎng)安全域邊界設(shè)備訪問控制策略集中管控的通用工具，無法對(duì)訪問控制策略的有效性、合規(guī)性進(jìn)行檢查，導(dǎo)致智能電網(wǎng)安全域邊界設(shè)備訪問控制策略中存在垃圾策略、冗余策略、沖突策略等。針對(duì)現(xiàn)網(wǎng)安全域邊界設(shè)備數(shù)量多、類型不一，配置復(fù)雜、多樣化的現(xiàn)狀，需要一套自動(dòng)化系統(tǒng)促進(jìn)設(shè)備安全配置規(guī)范化，在提升安全管理水平的同時(shí)提高運(yùn)維人員工作效率，輔助管理員加固網(wǎng)絡(luò)的第一道防線。

【發(fā)明內(nèi)容】

[0006]本發(fā)明提供一種智能電網(wǎng)安全域邊界設(shè)備訪問控制策略管控系統(tǒng)及方法，可快速的將安全檢測(cè)任務(wù)下發(fā)到指定的智能電網(wǎng)安全域邊界防護(hù)設(shè)備，以實(shí)現(xiàn)通過結(jié)構(gòu)化的數(shù)據(jù)格式收集分散的智能電網(wǎng)安全域邊界防護(hù)設(shè)備配置信息。
[0007]—種智能電網(wǎng)安全域邊界設(shè)備訪問控制策略管控系統(tǒng)，包括:
[0008]策略合規(guī)檢測(cè)規(guī)則存儲(chǔ)單元，用于存儲(chǔ)針對(duì)智能電網(wǎng)安全域邊界設(shè)備訪問控制策略的合規(guī)檢測(cè)規(guī)則項(xiàng)、針對(duì)智能電網(wǎng)安全域邊界設(shè)備的檢測(cè)任務(wù)模板、針對(duì)每個(gè)合規(guī)檢測(cè)規(guī)則項(xiàng)定義的自動(dòng)化檢測(cè)的方法、檢測(cè)結(jié)果判斷標(biāo)準(zhǔn)和檢測(cè)項(xiàng)權(quán)重分值；
[0009]檢測(cè)模板編輯單元，用于根據(jù)所述策略合規(guī)檢測(cè)規(guī)則存儲(chǔ)單元中存儲(chǔ)的合規(guī)檢測(cè)規(guī)則項(xiàng)進(jìn)行規(guī)則編輯和組合，以生成針對(duì)某一智能電網(wǎng)安全域邊界設(shè)備或不同檢查場(chǎng)景的檢測(cè)任務(wù)模板；
[0010]檢測(cè)任務(wù)編輯單元，用于針對(duì)某一類智能電網(wǎng)安全域邊界訪問控制設(shè)備，調(diào)用所述檢測(cè)模板編輯單元中生成的安全檢測(cè)模板，定義并下發(fā)安全檢測(cè)任務(wù)給所述檢測(cè)任務(wù)執(zhí)行單元，明確使用某一安全檢測(cè)模板，對(duì)某一類型的智能電網(wǎng)安全域邊界訪問控制設(shè)備進(jìn)行安全合規(guī)檢測(cè)工作；
[0011]檢測(cè)任務(wù)執(zhí)行單元，用于在收到所述檢測(cè)任務(wù)編輯單元下發(fā)的安全檢測(cè)任務(wù)后，遠(yuǎn)程登錄目標(biāo)智能電網(wǎng)安全域邊界訪問控制設(shè)備，并執(zhí)行相關(guān)配置獲取指令，獲取目標(biāo)設(shè)備的配置信息，然后根據(jù)所述配置信息以及檢測(cè)任務(wù)模板中所包含的各檢測(cè)項(xiàng)，對(duì)智能電網(wǎng)安全域邊界訪問控制設(shè)備的配置信息進(jìn)行解析，并對(duì)解析后的配置信息按照統(tǒng)一格式入庫保存；
[0012]檢測(cè)結(jié)果分析單元，用于接收所述檢測(cè)任務(wù)執(zhí)行單元獲取的配置信息，并根據(jù)安全檢測(cè)任務(wù)中的合規(guī)檢測(cè)規(guī)則項(xiàng)進(jìn)行合規(guī)檢測(cè)，并根據(jù)智能電網(wǎng)安全域邊界訪問控制設(shè)備安全檢測(cè)結(jié)果來為不同的智能電網(wǎng)安全域邊界訪問控制設(shè)備評(píng)定安全級(jí)別，給出安全修復(fù)建議；
[0013]檢測(cè)結(jié)果顯示單元，用于根據(jù)檢測(cè)結(jié)果分析單元所獲得的安全檢測(cè)結(jié)果來生成所選智能電網(wǎng)安全域邊界訪問控制設(shè)備的安全檢測(cè)結(jié)果報(bào)告，以對(duì)安全檢測(cè)結(jié)果進(jìn)行統(tǒng)計(jì)分析和結(jié)果展示。
[0014]如上所述的管控系統(tǒng)，檢測(cè)任務(wù)執(zhí)行單元通過SSH或TELNET方式遠(yuǎn)程登錄目標(biāo)智能電網(wǎng)安全域邊界訪問控制設(shè)備。
[0015]如上所述的管控系統(tǒng)，所述合規(guī)檢測(cè)規(guī)則項(xiàng)包括安全配置檢測(cè)項(xiàng)和訪問控制策略檢測(cè)項(xiàng)。
[0016]如上所述的管控系統(tǒng)，安全配置檢測(cè)項(xiàng)包括:賬號(hào)口令、權(quán)限分配、安全審計(jì)、遠(yuǎn)程訪問控制、內(nèi)核安全、文件系統(tǒng)安全、性能安全；訪問控制策略檢測(cè)項(xiàng)包括:策略沖突、策略重復(fù)、目的IP范圍過大、目的端口范圍過大、目的端口包含管理端口、策略交叉沖突。
[0017]一種智能電網(wǎng)安全域邊界設(shè)備訪問控制策略集中管控方法，包括如下步驟:
[0018]步驟一:檢測(cè)模板編輯單元根據(jù)策略合規(guī)檢測(cè)規(guī)則存儲(chǔ)單元中存儲(chǔ)的合規(guī)檢測(cè)規(guī)則項(xiàng)進(jìn)行規(guī)則編輯和組合，以生成針對(duì)某一智能電網(wǎng)安全域邊界設(shè)備或不同檢查場(chǎng)景的檢測(cè)任務(wù)模板；
[0019]步驟二:檢測(cè)任務(wù)編輯單元針對(duì)某一類智能電網(wǎng)安全域邊界訪問控制設(shè)備，調(diào)用所述檢測(cè)模板編輯單元生成的所述安全檢測(cè)模板，定義并下發(fā)安全檢測(cè)任務(wù)給所述檢測(cè)任務(wù)執(zhí)行單元，明確使用某一安全檢測(cè)模板，對(duì)某一類型的智能電網(wǎng)安全域邊界訪問控制設(shè)備進(jìn)行安全合規(guī)檢測(cè)工作；
[0020]步驟三:所述檢測(cè)任務(wù)執(zhí)行單元在收到所述檢測(cè)任務(wù)編輯單元下發(fā)的安全檢測(cè)任務(wù)后，遠(yuǎn)程登錄目標(biāo)智能電網(wǎng)安全域邊界訪問控制設(shè)備，并執(zhí)行相關(guān)配置獲取指令，獲取目標(biāo)設(shè)備的配置信息，然后根據(jù)所述配置信息以及檢測(cè)任務(wù)模板中所包含的各檢測(cè)項(xiàng)，對(duì)智能電網(wǎng)安全域邊界訪問控制設(shè)備的配置信息進(jìn)行解析，并對(duì)解析后的配置信息按照統(tǒng)一格式入庫保存；
[0021]步驟四:檢測(cè)結(jié)果分析單元接收所述檢測(cè)任務(wù)執(zhí)行單元獲取的配置信息，并根據(jù)安全檢測(cè)任務(wù)中的合規(guī)檢測(cè)規(guī)則項(xiàng)進(jìn)行合規(guī)檢測(cè)，并根據(jù)智能電網(wǎng)安全域邊界訪問控制設(shè)備安全檢測(cè)結(jié)果來為不同的智能電網(wǎng)安全域邊界訪問控制設(shè)備評(píng)定安全級(jí)別，給出安全修復(fù)建議來為不同的智能電網(wǎng)安全域邊界訪問控制設(shè)備評(píng)定安全級(jí)別，給出安全修復(fù)建議；
[0022]步驟五:檢測(cè)結(jié)果顯示單元根據(jù)檢測(cè)結(jié)果分析單元所獲得的安全檢測(cè)結(jié)果來生成所選智能電網(wǎng)安全域邊界訪問控制設(shè)備的安全檢測(cè)結(jié)果報(bào)告，以對(duì)安全檢測(cè)結(jié)果進(jìn)行統(tǒng)計(jì)分析和結(jié)果展示。
[0023]如上所述的管控方法，步驟三中檢測(cè)任務(wù)執(zhí)行單元通過SSH或TELNET方式遠(yuǎn)程登錄目標(biāo)智能電網(wǎng)安全域邊界訪問控制設(shè)備。
[0024]如上所述的管控方法，所述合規(guī)檢測(cè)規(guī)則項(xiàng)包括安全配置檢測(cè)項(xiàng)和訪問控制策略檢測(cè)項(xiàng)。
[0025]如上所述的管控方法，安全配置檢測(cè)項(xiàng)包括:賬號(hào)口令、權(quán)限分配、安全審計(jì)、遠(yuǎn)程訪問控制、內(nèi)核安全、文件系統(tǒng)安全、性能安全；訪問控制策略檢測(cè)項(xiàng)包括:策略沖突、策略重復(fù)、目的IP范圍過大、目的端口范圍過大、目的端口包含管理端口、策略交叉沖突。
[0026]本發(fā)明能實(shí)現(xiàn)快速、準(zhǔn)確的定義針對(duì)不同類型智能電網(wǎng)安全域邊界防護(hù)設(shè)備的安全檢測(cè)模板，對(duì)于未來需要引入的新智能電網(wǎng)安全域邊界防護(hù)設(shè)備的檢測(cè)模板也可以通過本系統(tǒng)進(jìn)行安全檢測(cè)模板的定制，大大提高了智能電網(wǎng)安全域邊界防護(hù)設(shè)備的安全檢測(cè)范圍和安全檢測(cè)規(guī)則制定的靈活性，可快速的將安全檢測(cè)任務(wù)下發(fā)到指定的智能電網(wǎng)安全域邊界防護(hù)設(shè)備，以實(shí)現(xiàn)通過結(jié)構(gòu)化的數(shù)據(jù)格式收集分散的智能電網(wǎng)安全域邊界防護(hù)設(shè)備配置信息。
【附圖說明】
[0027]圖1是本發(fā)明智能電網(wǎng)安全域邊界設(shè)備訪問控制策略管控系統(tǒng)的結(jié)構(gòu)示意圖。
[0028]圖中:1 一策略合規(guī)檢測(cè)規(guī)則存儲(chǔ)單兀，2—檢測(cè)模板編輯單兀，3—檢測(cè)任務(wù)編輯單元，4一檢測(cè)任務(wù)執(zhí)行單元，5一檢測(cè)結(jié)果分析單元，6—檢測(cè)結(jié)果顯示單元，7一智能電網(wǎng)安全域邊界設(shè)備。
【具體實(shí)施方式】
[0029]下面將結(jié)合本發(fā)明中的附圖，對(duì)本發(fā)明中的技術(shù)方案進(jìn)行清楚、完整地描述。
[0030]圖1所示為本發(fā)明智能電網(wǎng)安全域邊界設(shè)備訪問控制策略管控系統(tǒng)的結(jié)構(gòu)示意圖，所述智能電網(wǎng)安全域邊界設(shè)備訪問控制策略管控系統(tǒng)包括策略合規(guī)檢測(cè)規(guī)則存儲(chǔ)單元1、檢測(cè)模板編輯單元2、檢測(cè)任務(wù)編輯單元3、檢測(cè)任務(wù)執(zhí)行單元4、檢測(cè)結(jié)果分析單元5以及檢測(cè)結(jié)果顯示單元6。
[0031]所述策略合規(guī)檢測(cè)規(guī)則存儲(chǔ)單元1，用于存儲(chǔ)針對(duì)智能電網(wǎng)安全域邊界設(shè)備7訪問控制策略的合規(guī)檢測(cè)規(guī)則項(xiàng)、針對(duì)智能電網(wǎng)安全域邊界設(shè)備7的檢測(cè)任務(wù)模板、針對(duì)每個(gè)合規(guī)檢測(cè)規(guī)則項(xiàng)定義的自動(dòng)化檢測(cè)的方法、檢測(cè)結(jié)果判斷標(biāo)準(zhǔn)和檢測(cè)項(xiàng)權(quán)重分值。
[0032]所述智能電網(wǎng)安全域邊界設(shè)備7包括防火墻、三層交換機(jī)、路由器等。所述合規(guī)檢測(cè)規(guī)則項(xiàng)包括安全配置檢測(cè)項(xiàng)和訪問控制策略檢測(cè)項(xiàng)兩大部分。其中安全配置檢測(cè)項(xiàng)包括:賬號(hào)口令、權(quán)限分配、安全審計(jì)、遠(yuǎn)程訪問控制、內(nèi)核安全、文件系統(tǒng)安全、性能安全等；訪問控制策略檢測(cè)項(xiàng)包括:策略沖突、策略重復(fù)、目的IP范圍過大、目的端口范圍過大、目的端口包含管理端口、策略交叉沖突等。
[0033]所述檢測(cè)模板編輯單元2，用于根據(jù)所述策略合規(guī)檢測(cè)規(guī)則存儲(chǔ)單元1中存儲(chǔ)的合規(guī)檢測(cè)規(guī)則項(xiàng)進(jìn)行規(guī)則編輯和組合，以生成針對(duì)某一智能電網(wǎng)安全域邊界設(shè)備或不同檢查場(chǎng)景的檢測(cè)任務(wù)模板。
[0034]因?yàn)椴呗院弦?guī)檢測(cè)規(guī)則存儲(chǔ)單元1中每個(gè)合規(guī)檢測(cè)規(guī)則項(xiàng)還定義了自動(dòng)化檢測(cè)的方法、檢測(cè)結(jié)果判斷標(biāo)準(zhǔn)和檢測(cè)項(xiàng)權(quán)重分值等信息，各檢測(cè)項(xiàng)的數(shù)據(jù)來源和制定標(biāo)準(zhǔn)來自國家電網(wǎng)公司對(duì)安全區(qū)域邊界訪問控制的要求和標(biāo)準(zhǔn)。策略合規(guī)檢測(cè)規(guī)則存儲(chǔ)單元1中的合規(guī)檢測(cè)規(guī)則項(xiàng)可被所述檢測(cè)模板編輯單元2調(diào)用，通過調(diào)用各合規(guī)檢測(cè)規(guī)則項(xiàng)，并對(duì)其進(jìn)行編輯，可以生成針對(duì)某一類智能電網(wǎng)安全域邊界防護(hù)設(shè)備的安全檢測(cè)模板。
[0035]所述檢測(cè)任務(wù)編輯單元3，用于針對(duì)某一類智能電網(wǎng)安全域邊界訪問控制設(shè)備，調(diào)用所述檢測(cè)模板編輯單元2中生成的安全檢測(cè)模板，定義并下發(fā)安全檢測(cè)任務(wù)給所述檢測(cè)任務(wù)執(zhí)行單元4，明確使用某一安全檢測(cè)模板，對(duì)某一類型的智能電網(wǎng)安全域邊界訪問控制設(shè)備進(jìn)行安全合規(guī)檢測(cè)工作。在安全檢測(cè)任務(wù)中包括任務(wù)執(zhí)行時(shí)間(安全檢測(cè)任務(wù)開始和結(jié)束時(shí)間)以及考核分?jǐn)?shù)(安全檢測(cè)任務(wù)通過分值)等信息。
[0036]在完成安全檢測(cè)任務(wù)的定義后，所述檢測(cè)任務(wù)編輯單元3會(huì)按照檢測(cè)任務(wù)定