電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法,該主動安全防御系統(tǒng)在現(xiàn)有電力二次系統(tǒng)安全防御體系的基礎(chǔ)上,還包括:入侵知識獲取模塊,利用陷阱網(wǎng)絡(luò)獲取電力企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的入侵知識;入侵知識使用模塊,設(shè)置于電力企業(yè)內(nèi)部網(wǎng)絡(luò)內(nèi),負(fù)責(zé)使用獲得的入侵知識來實施對電力企業(yè)內(nèi)部網(wǎng)絡(luò)的防御;入侵防御系統(tǒng),部署于內(nèi)外網(wǎng)交界處,以提高電力二次系統(tǒng)的主動安全防御能力,本發(fā)明可提高電力二次系統(tǒng)抵御內(nèi)外風(fēng)險的能力,變被動防護為主動防御。
【專利說明】電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及電力系統(tǒng)的安全防御系統(tǒng)及方法,特別是涉及一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法。
【背景技術(shù)】
[0002]電力系統(tǒng)包括一次和二次系統(tǒng),而電力二次系統(tǒng)的安全防護是近十幾年才提出來的電力安全防護體系。隨著網(wǎng)絡(luò)技術(shù)在電力系統(tǒng)各領(lǐng)域的廣泛應(yīng)用,電力二次系統(tǒng)的安全與其涉及的網(wǎng)絡(luò)的安全息息相關(guān)。具體技術(shù)主要涉及電力二次系統(tǒng)的安全分區(qū),每個分區(qū)之間的安全防護以及內(nèi)外網(wǎng)之間的安全防護,尤其是主動防御【技術(shù)領(lǐng)域】。
[0003]目前,國內(nèi)外對電力二次系統(tǒng)的安全防護都在加強建設(shè)和不斷完善的過程中。相關(guān)的技術(shù)主要有防火墻技術(shù),反病毒技術(shù),身份認(rèn)證技術(shù),入侵檢測技術(shù)(IntrusionDetection Systems),入侵防御技術(shù)(Intrusion Prevent System),物理隔離和邏輯隔離,虛擬專用網(wǎng)(Virtual Private Network)等關(guān)鍵技術(shù)。
[0004]然而,雖然目前國內(nèi)外對電力二次系統(tǒng)安全進了大量的研究并取得了一定的成果,但距離達到保障電力系統(tǒng)安全的要求還有很大差距。通過對電力二次系統(tǒng)的應(yīng)用現(xiàn)狀及安全需求分析,發(fā)現(xiàn)目前電力二次系統(tǒng)安全建設(shè)主要存在以下問題:安全防護的目標(biāo)、策略和體系不夠健全,安全防護反應(yīng)過度反而影響正常業(yè)務(wù),沒有建立一個針對威脅和資產(chǎn)保護相一致的安全保護體系;另外,目前電力二次系統(tǒng)所采取的一些安全措施大部分是被動防護,圖1為現(xiàn)有技術(shù)中電力二次系統(tǒng)安全防御體系的一般結(jié)構(gòu)圖。如圖1所示,目前電力二次系統(tǒng)安全防護的總體原則是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”,以下從這幾個方面對其進行簡述。
[0005]1、安全分區(qū)
[0006]原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(又稱安全區(qū)I )和非控制區(qū)(又稱安全區(qū)II)。
[0007]1.1生產(chǎn)控制大區(qū)的安全區(qū)劃分
[0008](I)控制區(qū)(安全區(qū)I)
[0009]控制區(qū)的典型業(yè)務(wù)系統(tǒng)包括電力數(shù)據(jù)采集和監(jiān)控系統(tǒng)、能量管理系統(tǒng)、廣域相量測量系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動控制系統(tǒng)等,其主要使用者為調(diào)度員和運行操作人員,數(shù)據(jù)傳輸實時性為毫秒級或秒級,其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)S猛ǖ肋M行傳輸。該區(qū)內(nèi)還包括采用專用通道的控制系統(tǒng),如:繼電保護、安全自動控制系統(tǒng)、低頻(或低壓)自動減負(fù)荷系統(tǒng)、負(fù)荷管理系統(tǒng)等,這類系統(tǒng)對數(shù)據(jù)傳輸?shù)膶崟r性要求為毫秒級或秒級,其中負(fù)荷管理系統(tǒng)為分鐘級。
[0010](2)非控制區(qū)(安全區(qū)II)
[0011]非控制區(qū)的典型業(yè)務(wù)系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)、水庫調(diào)度自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)等,其主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護人員及電力市場交易員等。在廠站端還包括電能量遠(yuǎn)方終端、故障錄波裝置及發(fā)電廠的報價系統(tǒng)等。非控制區(qū)的數(shù)據(jù)采集頻度是分鐘級或小時級,其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)。
[0012]1.2管理信息大區(qū)的安全區(qū)劃分
[0013]管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合。電力企業(yè)可根據(jù)具體情況劃分安全區(qū),但不應(yīng)影響生產(chǎn)控制大區(qū)的安全。在此劃分如生產(chǎn)管理區(qū)(安全區(qū)III)與管理信息區(qū)(安全區(qū)IV)
[0014]2、網(wǎng)絡(luò)專用
[0015]電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò),承載電力實時控制、在線生產(chǎn)交易等業(yè)務(wù)。安全區(qū)的外部邊界網(wǎng)絡(luò)之間的安全防護隔離強度應(yīng)該和所連接的安全區(qū)之間的安全防護隔離強度相匹配。
[0016]電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng),分別連接控制區(qū)和非控制區(qū)??刹捎肰PN (virtual private network,虛擬專用網(wǎng)絡(luò))技術(shù)(包括實時VPN、非實時VPN、生產(chǎn)VPN及信息VPN)、國家電力調(diào)度網(wǎng)絡(luò)SPDnet (state Power DispatchingNetwork)、國家電力數(shù)據(jù)通信網(wǎng) SPTnet (State Power Telecommunication Network)、安全隧道技術(shù)、靜態(tài)路由等構(gòu)造子網(wǎng)。
[0017]3、橫向隔離
[0018]橫向隔離是電力二次安全防護體系的橫向防線。采用不同強度的安全設(shè)備隔離各安全區(qū),在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置,隔離強度應(yīng)接近或達到物理隔離。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施,是橫向防護的關(guān)鍵設(shè)備。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施,實現(xiàn)邏輯隔離。
[0019]按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸,是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù),進行簽名驗證、內(nèi)容過濾、有效性檢查等處理后,轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。專用橫向單向隔離裝置應(yīng)該滿足實時性、可靠性和傳輸流量等方面的要求。
[0020]4、縱向認(rèn)證
[0021]縱向加密認(rèn)證是電力二次系統(tǒng)安全防護體系的縱向防線。采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(如圖1中IP認(rèn)證加密裝置)。對于重點防護的調(diào)度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施,實現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。暫時不具備條件的可以采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時代替。
[0022]可見,在現(xiàn)有技術(shù)的電力二次系統(tǒng)的安全防御體系中,有的僅僅是單點防御,尚沒有一個完整的體系,有的雖有完整的體系,如圖1,但其所采取的一些安全措施大部分是被動防護,容易出現(xiàn)安全漏洞,因此,針對日益發(fā)展的網(wǎng)絡(luò)攻擊技術(shù),需要進一步完善電力二次系統(tǒng)的安全防護體系,建立更有效的主動防御體系。
【發(fā)明內(nèi)容】
[0023]為克服上述現(xiàn)有技術(shù)存在的不足,本發(fā)明之目的在于提供一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法,通過將主動防御與被動防御相結(jié)合,在原有的電力二次系統(tǒng)的安全防御體系基礎(chǔ)上提高其主動性、積極性,更好的提高電力二次系統(tǒng)抵御內(nèi)外風(fēng)險的能力,變被動防護為主動防御。
[0024]為達上述及其它目的,本發(fā)明提出一種電力二次系統(tǒng)的主動安全防御系統(tǒng),在現(xiàn)有電力二次系統(tǒng)安全防御體系的基礎(chǔ)上,該主動安全防御系統(tǒng)還包括:
[0025]入侵知識獲取模塊,利用陷阱網(wǎng)絡(luò)獲取電力企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的入侵知識;
[0026]入侵知識使用模塊,設(shè)置于電力企業(yè)內(nèi)部網(wǎng)絡(luò)內(nèi),負(fù)責(zé)使用獲得的入侵知識來實施對電力企業(yè)內(nèi)部網(wǎng)絡(luò)的防御;
[0027]入侵防御系統(tǒng),部署于內(nèi)外網(wǎng)交界處,以提高電力二次系統(tǒng)的主動安全防御能力。
[0028]進一步地,該入侵知識使用模塊包括網(wǎng)絡(luò)主動防御監(jiān)控中心與網(wǎng)絡(luò)主動防御代理,該網(wǎng)絡(luò)主動防御監(jiān)控中心部署在中心交換機上,要求能夠和網(wǎng)絡(luò)中所有網(wǎng)絡(luò)主動防御代理通信,負(fù)責(zé)為安全管理員提供系統(tǒng)控制平臺,制定具有廣譜效果的檢測規(guī)則,接收來自陷阱網(wǎng)絡(luò)的規(guī)則更新;該網(wǎng)絡(luò)主動防御代理直接連接、運行于被監(jiān)控網(wǎng)絡(luò),能同時并發(fā)、實時地對多個子網(wǎng)進行監(jiān)控,接收由該網(wǎng)絡(luò)主動防御監(jiān)控中心傳來的命令,回送運行結(jié)果。
[0029]進一步地,該入侵知識獲取模塊包括第一陷阱網(wǎng)絡(luò)及第二陷阱網(wǎng)絡(luò),該第一陷阱網(wǎng)絡(luò)設(shè)置于外網(wǎng)區(qū)域,與內(nèi)外網(wǎng)間的防火墻處于并行的位置,其用于檢測所有包括繞過該防火墻進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,該第二陷阱網(wǎng)絡(luò)設(shè)置于該電力企業(yè)內(nèi)部網(wǎng)絡(luò)的內(nèi)網(wǎng)區(qū)域,與主干網(wǎng)絡(luò)連接,用于獲取入侵該電力企業(yè)內(nèi)部網(wǎng)絡(luò)的入侵知識。
[0030]進一步地,該第一陷阱網(wǎng)絡(luò)對來自外部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施誘捕,并分析其特性,提取檢測特征來更新該網(wǎng)絡(luò)主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫;該第二陷阱網(wǎng)絡(luò)負(fù)責(zé)誘捕來自內(nèi)部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施,分析其特性,提取檢測特征來更新該網(wǎng)絡(luò)主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫。
[0031]進一步地,該網(wǎng)絡(luò)主動防御監(jiān)控中心在發(fā)現(xiàn)有新規(guī)則生成后,自動將該規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡(luò)主動防御代理,該網(wǎng)絡(luò)主動防御代理接收并執(zhí)行該網(wǎng)絡(luò)主動防御監(jiān)控中心制定的策略,完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲分析,詳細(xì)記錄網(wǎng)絡(luò)狀態(tài)產(chǎn)生日志,發(fā)現(xiàn)網(wǎng)絡(luò)異常并產(chǎn)生告警,通過通信模塊完成日志及告警上傳至該網(wǎng)絡(luò)主動防御監(jiān)控中心。
[0032]進一步地,該網(wǎng)絡(luò)主動防御監(jiān)控中心接收該網(wǎng)絡(luò)主動防御代理上傳的日志、告警,將其寫入數(shù)據(jù)庫,并通知管理員。
[0033]為達到上述目的,本發(fā)明還提供一種電力二次系統(tǒng)的主動安全防御方法,包括如下步驟:
[0034]步驟一,利用陷阱網(wǎng)絡(luò)獲取電力企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的入侵知識,提取其中的檢測特征更新網(wǎng)絡(luò)主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫;
[0035]步驟二,該網(wǎng)絡(luò)主動防御監(jiān)控中心在發(fā)現(xiàn)有新規(guī)則生成后,自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡(luò)主動防御代理;[0036]步驟三,該網(wǎng)絡(luò)主動防御代理接收并執(zhí)行該網(wǎng)絡(luò)主動防御監(jiān)控中心制定的策略,完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲分析,發(fā)現(xiàn)網(wǎng)絡(luò)異常并產(chǎn)生告警,通過通信模塊完成告警上傳;
[0037]步驟四,該網(wǎng)絡(luò)主動防御監(jiān)控中心接收該網(wǎng)絡(luò)主動防御代理上傳的告警,并對告警進行相應(yīng)處理。
[0038]進一步地,于步驟三中,該網(wǎng)絡(luò)主動防御代理還記錄網(wǎng)絡(luò)狀態(tài)產(chǎn)生日志,并將該日志上傳;于步驟四中,該網(wǎng)絡(luò)主動防御監(jiān)控中心將接收的日志及告警寫入數(shù)據(jù)庫,并通知管理員。
[0039]進一步地,于步驟四中,對于已知報警,該網(wǎng)絡(luò)主動防御監(jiān)控中心直接根據(jù)事先定義的方法對攻擊進行攔截;對于未知報警,該網(wǎng)絡(luò)主動防御監(jiān)控中心 申請人:工干預(yù),并做出最終判斷,以實現(xiàn)雙層粒度的檢測。
[0040]進一步地,于步驟一中,利用第一陷阱網(wǎng)絡(luò)對來自外部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施誘捕,并分析其特性,提取檢測特征來更新該網(wǎng)絡(luò)主動防御監(jiān)控中心上的規(guī)則數(shù)據(jù)庫;利用第二陷阱網(wǎng)絡(luò)誘捕來自電力企業(yè)內(nèi)部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施,分析其特性,提取檢測特征來更新該網(wǎng)絡(luò)主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫。
[0041]與現(xiàn)有技術(shù)相比,本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法通過將主動與被動防御結(jié)合在一起,在傳統(tǒng)的防火墻,加密認(rèn)證網(wǎng)絡(luò)隔離等技術(shù)基礎(chǔ)上,加入了入侵防御(IPS)、陷阱網(wǎng)絡(luò)、網(wǎng)絡(luò)主動防御代理(NAD Agent)與網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)構(gòu)成一種聯(lián)動的防御體系,提高了電力二次系統(tǒng)的主動防御能力。
【專利附圖】
【附圖說明】
[0042]圖1為現(xiàn)有技術(shù)中電力二次系統(tǒng)安全防御體系的一般結(jié)構(gòu)示意圖;
[0043]圖2為本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)的系統(tǒng)架構(gòu)圖;
[0044]圖3為本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)之較佳實施例的結(jié)構(gòu)示意圖;
[0045]圖4為本發(fā)明一種電力二次系統(tǒng)的主動安全防御方法的步驟流程圖。
【具體實施方式】
[0046]以下通過特定的具體實例并結(jié)合【專利附圖】
【附圖說明】本發(fā)明的實施方式,本領(lǐng)域技術(shù)人員可由本說明書所揭示的內(nèi)容輕易地了解本發(fā)明的其它優(yōu)點與功效。本發(fā)明亦可通過其它不同的具體實例加以施行或應(yīng)用,本說明書中的各項細(xì)節(jié)亦可基于不同觀點與應(yīng)用,在不背離本發(fā)明的精神下進行各種修飾與變更。
[0047]圖2為本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)的系統(tǒng)架構(gòu)圖。如圖2所示,本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng),在現(xiàn)有電力二次系統(tǒng)安全防御體系的基礎(chǔ)上,本發(fā)明之電力二次系統(tǒng)的主動安全防御系統(tǒng)還包括:入侵知識獲取模塊20、入侵知識使用模塊21及入侵防御系統(tǒng)(IPS) 22。
[0048]其中入侵知識獲取模塊20利用陷阱網(wǎng)絡(luò)獲取電力企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的入侵知識;入侵知識使用模塊21負(fù)責(zé)使用獲得的入侵知識來實施對電力企業(yè)內(nèi)部網(wǎng)絡(luò)的防御;入侵防御系統(tǒng)(IPS) 22部署于內(nèi)外網(wǎng)交界處,其代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)中的入侵檢測系統(tǒng)IDS,以提高電力二次系統(tǒng)的主動安全防御能力。具體地說,入侵知識獲取模塊20包括陷阱網(wǎng)絡(luò)I (第一陷阱網(wǎng)絡(luò))及陷阱網(wǎng)絡(luò)2 (第二陷阱網(wǎng)絡(luò)),陷阱網(wǎng)絡(luò)I設(shè)置于外網(wǎng)區(qū)域,與內(nèi)外網(wǎng)間的防火墻處于并行的位置,用于檢測所有進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,包括繞過防火墻的數(shù)據(jù)包,陷阱網(wǎng)絡(luò)I對來自外部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施誘捕,并分析其特性,提取檢測特征來更新入侵知識使用模塊21的規(guī)則數(shù)據(jù)庫;陷阱網(wǎng)絡(luò)2設(shè)置于電力企業(yè)內(nèi)部網(wǎng)絡(luò)的內(nèi)網(wǎng)區(qū)域,與主干網(wǎng)絡(luò)連接,負(fù)責(zé)誘捕來自內(nèi)部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施,分析其特性,提取檢測特征來更新入侵知識使用模塊21的規(guī)則數(shù)據(jù)庫。
[0049]入侵知識使用模塊21包括網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)與網(wǎng)絡(luò)主動防御代理(NAD Agent),網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)部署在中心交換機上,要求能夠和網(wǎng)絡(luò)中所有網(wǎng)絡(luò)主動防御代理(NAD Agent)通信,負(fù)責(zé)為安全管理員提供系統(tǒng)控制平臺,制定具有廣譜效果的檢測規(guī)則,接收來自陷阱網(wǎng)絡(luò)的規(guī)則更新;網(wǎng)絡(luò)主動防御代理(NAD Agent)直接連接、運行于被監(jiān)控網(wǎng)絡(luò),能同時并發(fā)、實時地對多個子網(wǎng)進行監(jiān)控,接收由網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)傳來的命令,回送運行結(jié)果。具體地說,網(wǎng)絡(luò)主動防御監(jiān)控中心(NADCMC)部署在中心交換機上,在發(fā)現(xiàn)有新規(guī)則生成后,會自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡(luò)主動防御代理(NAD Agent)。網(wǎng)絡(luò)主動防御代理(NAD Agent)接收并執(zhí)行網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)制定的策略,完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲分析,詳細(xì)記錄網(wǎng)絡(luò)狀態(tài)產(chǎn)生日志,發(fā)現(xiàn)網(wǎng)絡(luò)異常并產(chǎn)生告警,通過通信模塊完成日志及告警上傳,對于已知報警,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)直接根據(jù)事先定義的方法對攻擊進行攔截,對于未知報警,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC) 申請人:工干預(yù),并做出最終判斷,以實現(xiàn)雙層粒度的檢測。網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)接收日志、告警,寫入數(shù)據(jù)庫中,并通知管理員。
[0050]圖3為本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)之較佳實施例的結(jié)構(gòu)示意圖。如圖3所示,在本發(fā)明較佳實施例中,虛線框中為電力企業(yè)內(nèi)部網(wǎng)及安全分區(qū)(此部分為現(xiàn)有技術(shù),在此不予贅述),本發(fā)明在此基礎(chǔ)上增加部署了入侵防御及陷阱網(wǎng)絡(luò),本發(fā)明在邏輯上分為入侵知識的獲取與入侵知識的使用兩部分,陷阱網(wǎng)絡(luò)負(fù)責(zé)獲取入侵知識,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)和網(wǎng)絡(luò)主動防御代理(NAD Agent)負(fù)責(zé)使用入侵知識來實施對內(nèi)部網(wǎng)絡(luò)的防御工作。如圖3所示,在外網(wǎng)區(qū)域(外部因特網(wǎng))設(shè)置陷阱網(wǎng)絡(luò)1,與防火墻處于并行的位置,可以檢測所有進入內(nèi)部網(wǎng)(電力企業(yè)內(nèi)部網(wǎng))的數(shù)據(jù)包,包括繞過防火墻的數(shù)據(jù)包,陷阱網(wǎng)絡(luò)I對來自外部網(wǎng)絡(luò)(外部因特網(wǎng))的黑客病毒、黑客攻擊實施誘捕,并分析其特性,提取檢測特征來更新NAD CMC上的規(guī)則數(shù)據(jù)庫。在內(nèi)網(wǎng)區(qū)域設(shè)置陷阱網(wǎng)絡(luò)2與主干網(wǎng)絡(luò)連接,負(fù)責(zé)誘捕來自內(nèi)部網(wǎng)絡(luò)(電力企業(yè)內(nèi)部網(wǎng))的黑客病毒、黑客攻擊實施,分析其特性,提取檢測特征來更新NAD CMC上的規(guī)則數(shù)據(jù)庫。網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)部署在中心交換機上,在發(fā)現(xiàn)有新規(guī)則生成后,會自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡(luò)主動防御代理(NAD Agent)。網(wǎng)絡(luò)主動防御代理(NAD Agent)接收并執(zhí)行NAD CMC制定的策略,完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲分析,詳細(xì)記錄網(wǎng)絡(luò)狀態(tài)產(chǎn)生日志,發(fā)現(xiàn)網(wǎng)絡(luò)異常并產(chǎn)生告警,通過通信模塊完成日志及告警上傳。對于已知報警,NAD CMC直接根據(jù)事先定義的方法對攻擊進行攔截,對于未知報警,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC) 申請人:工干預(yù),并做出最終判斷,以實現(xiàn)雙層粒度的檢測。網(wǎng)絡(luò)主動防御監(jiān)控中心NAD CMC直接根據(jù)事先定義的方法對攻擊進行攔截,對于未知報警,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)接收日志、告警,寫入數(shù)據(jù)庫中,并通知管理員。本發(fā)明在內(nèi)外網(wǎng)交界處還部署了入侵防御系統(tǒng)IPS代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)中的入侵檢測系統(tǒng)IDS,進一步提高了電力二次系統(tǒng)的主動安全防御能力。
[0051]圖4為本發(fā)明一種電力二次系統(tǒng)的主動安全防御方法的步驟流程圖。如圖4所示,本發(fā)明一種電力二次系統(tǒng)的主動安全防御方法,包括如下步驟:
[0052]步驟401,利用陷阱網(wǎng)絡(luò)獲取電力企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的入侵知識,提取其中的檢測特征更新網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)上的規(guī)則數(shù)據(jù)庫。具體地說,利用設(shè)置于外網(wǎng)區(qū)域的陷阱網(wǎng)絡(luò)I檢測所有進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,包括繞過防火墻的數(shù)據(jù)包,對來自外部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施誘捕,并分析其特性,提取檢測特征來更新網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)上的規(guī)則數(shù)據(jù)庫;利用設(shè)置于內(nèi)網(wǎng)區(qū)域的陷阱網(wǎng)絡(luò)2誘捕來自內(nèi)部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施,分析其特性,提取檢測特征來更新網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)上的規(guī)則數(shù)據(jù)庫。
[0053]步驟402,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)在發(fā)現(xiàn)有新規(guī)則生成后,自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡(luò)主動防御代理(NAD Agent)。
[0054]步驟403,網(wǎng)絡(luò)主動防御代理(NAD Agent)接收并執(zhí)行網(wǎng)絡(luò)主動防御監(jiān)控中心(NADCMC)制定的策略,完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲分析,詳細(xì)記錄網(wǎng)絡(luò)狀態(tài)產(chǎn)生日志,發(fā)現(xiàn)網(wǎng)絡(luò)異常并產(chǎn)生告警,通過通信模塊完成日志及告警上傳。
[0055]步驟404,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)接收網(wǎng)絡(luò)主動防御代理(NAD Agent)上傳的日志及告警,并對告警進行相應(yīng)處理,同時,將接收的日志及告警寫入數(shù)據(jù)庫并通知管理員。對于已知報警,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)直接根據(jù)事先定義的方法對攻擊進行攔截;對于未知報警,網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC) 申請人:工干預(yù),并做出最終判斷,以實現(xiàn)雙層粒度的檢測。
[0056]綜上所述,本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法通過將主動與被動防御結(jié)合在一起,在傳統(tǒng)的防火墻,加密認(rèn)證網(wǎng)絡(luò)隔離等技術(shù)基礎(chǔ)上,加入了入侵防御(IPS)、陷阱網(wǎng)絡(luò)、網(wǎng)絡(luò)主動防御代理(NAD Agent)與網(wǎng)絡(luò)主動防御監(jiān)控中心(NAD CMC)構(gòu)成一種聯(lián)動的防御體系,提高了電力二次系統(tǒng)的主動防御能力。
[0057]上述實施例僅例示性說明本發(fā)明的原理及其功效,而非用于限制本發(fā)明。任何本領(lǐng)域技術(shù)人員均可在不違背本發(fā)明的精神及范疇下,對上述實施例進行修飾與改變。因此,本發(fā)明的權(quán)利保護范圍,應(yīng)如權(quán)利要求書所列。
【權(quán)利要求】
1.一種電力二次系統(tǒng)的主動安全防御系統(tǒng),在現(xiàn)有電力二次系統(tǒng)安全防御體系的基礎(chǔ)上,其特征在于,該主動安全防御系統(tǒng)還包括: 入侵知識獲取模塊,利用陷阱網(wǎng)絡(luò)獲取電力企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的入侵知識; 入侵知識使用模塊,設(shè)置于電力企業(yè)內(nèi)部網(wǎng)絡(luò)內(nèi),負(fù)責(zé)使用獲得的入侵知識來實施對電力企業(yè)內(nèi)部網(wǎng)絡(luò)的防御; 入侵防御系統(tǒng),部署于內(nèi)外網(wǎng)交界處,以提高電力二次系統(tǒng)的主動安全防御能力。
2.如權(quán)利要求1所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該入侵知識使用模塊包括網(wǎng)絡(luò)主動防御監(jiān)控中心與網(wǎng)絡(luò)主動防御代理,該網(wǎng)絡(luò)主動防御監(jiān)控中心部署在中心交換機上,要求能夠和網(wǎng)絡(luò)中所有網(wǎng)絡(luò)主動防御代理通信,負(fù)責(zé)為安全管理員提供系統(tǒng)控制平臺,制定具有廣譜效果的檢測規(guī)則,接收來自陷阱網(wǎng)絡(luò)的規(guī)則更新;該網(wǎng)絡(luò)主動防御代理直接連接、運行于被監(jiān)控網(wǎng)絡(luò),能同時并發(fā)、實時地對多個子網(wǎng)進行監(jiān)控,接收由該網(wǎng)絡(luò)主動防御監(jiān)控中心傳來的命令,回送運行結(jié)果。
3.如權(quán)利要求2所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該入侵知識獲取模塊包括第一陷阱網(wǎng)絡(luò)及第二陷阱網(wǎng)絡(luò),該第一陷阱網(wǎng)絡(luò)設(shè)置于外網(wǎng)區(qū)域,與內(nèi)外網(wǎng)間的防火墻處于并行的位置,其用于檢測所有包括繞過該防火墻進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,該第二陷阱網(wǎng)絡(luò)設(shè)置于該電力企業(yè)內(nèi)部網(wǎng)絡(luò)的內(nèi)網(wǎng)區(qū)域,與主干網(wǎng)絡(luò)連接,用于獲取入侵該電力企業(yè)內(nèi)部網(wǎng)絡(luò)的入侵知識。
4.如權(quán)利要求3所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該第一陷阱網(wǎng)絡(luò)對來自外部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施誘捕,并分析其特性,提取檢測特征來更新該網(wǎng)絡(luò)主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫;該第二陷阱網(wǎng)絡(luò)負(fù)責(zé)誘捕來自內(nèi)部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施,分析其特性,提取檢測特征來更新該網(wǎng)絡(luò)主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫。
5.如權(quán)利要求4所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該網(wǎng)絡(luò)主動防御監(jiān)控中心在發(fā)現(xiàn)有新規(guī)則生成后,自動將該規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡(luò)主動防御代理,該網(wǎng)絡(luò)主動防御代理接收并執(zhí)行該網(wǎng)絡(luò)主動防御監(jiān)控中心制定的策略,完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲分析,詳細(xì)記錄網(wǎng)絡(luò)狀態(tài)產(chǎn)生日志,發(fā)現(xiàn)網(wǎng)絡(luò)異常并產(chǎn)生告警,通過通信模塊完成日志及告警上傳至該網(wǎng)絡(luò)主動防御監(jiān)控中心。
6.如權(quán)利要求5所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該網(wǎng)絡(luò)主動防御監(jiān)控中心接收該網(wǎng)絡(luò)主動防御代理上傳的日志、告警,將其寫入數(shù)據(jù)庫,并通知管理員。
7.一種電力二次系統(tǒng)的主動安全防御方法,包括如下步驟: 步驟一,利用陷阱網(wǎng)絡(luò)獲取電力企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)的入侵知識,提取其中的檢測特征更新網(wǎng)絡(luò)主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫; 步驟二,該網(wǎng)絡(luò)主動防御監(jiān)控中心在發(fā)現(xiàn)有新規(guī)則生成后,自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡(luò)主動防御代理; 步驟三,該網(wǎng)絡(luò)主動防御代理接收并執(zhí)行該網(wǎng)絡(luò)主動防御監(jiān)控中心制定的策略,完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲分析,發(fā)現(xiàn)網(wǎng)絡(luò)異常并產(chǎn)生告警,通過通信模塊完成告警上傳; 步驟四,該網(wǎng)絡(luò)主動防御監(jiān)控中心接收該網(wǎng)絡(luò)主動防御代理上傳的告警,并對告警進行相應(yīng)處理。
8.如權(quán)利要求7所述的一種電力二次系統(tǒng)的主動安全防御方法,其特征在于:于步驟三中,該網(wǎng)絡(luò)主動防御代理還記錄網(wǎng)絡(luò)狀態(tài)產(chǎn)生日志,并將該日志上傳;于步驟四中,該網(wǎng)絡(luò)主動防御監(jiān)控中心將接收的日志及告警寫入數(shù)據(jù)庫,并通知管理員。
9.如權(quán)利要求7所述的一種電力二次系統(tǒng)的主動安全防御方法,其特征在于:于步驟四中,對于已知報警,該網(wǎng)絡(luò)主動防御監(jiān)控中心直接根據(jù)事先定義的方法對攻擊進行攔截;對于未知報警,該網(wǎng)絡(luò)主動防御監(jiān)控中心 申請人:工干預(yù),并做出最終判斷,以實現(xiàn)雙層粒度的檢測。
10.如權(quán)利要求7所述的一種電力二次系統(tǒng)的主動安全防御方法,其特征在于:于步驟一中,利用第一陷阱網(wǎng)絡(luò)對來自外部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施誘捕,并分析其特性,提取檢測特征來更新該網(wǎng)絡(luò)主動防御監(jiān)控中心上的規(guī)則數(shù)據(jù)庫;利用第二陷阱網(wǎng)絡(luò)誘捕來自電力企業(yè)內(nèi)部網(wǎng)絡(luò)的黑客病毒、黑客攻擊實施,分析其特性,提取檢測特征來更新該網(wǎng)絡(luò)主動防御監(jiān)控中心的規(guī)則數(shù) 據(jù)庫。
【文檔編號】H04L29/06GK103546488SQ201310542263
【公開日】2014年1月29日 申請日期:2013年11月5日 優(yōu)先權(quán)日:2013年11月5日
【發(fā)明者】馮兆紅, 賈鐵軍, 陳玉晶, 梅曉娟, 戴志軍, 張玉, 公維祥, 高志偉 申請人:上海電機學(xué)院