電力二次系統信息安全等級保護在線合規(guī)性檢測方法
【專利摘要】本發(fā)明公開了一種電力二次系統信息安全等級保護在線合規(guī)性檢測方法,針對電力二次系統安全防護評估要求及信息安全等級保護標準,設計專有的機器語言為核心,實現電力二次系統安全防護評估標準及信息安全等級保護標準的精準、靈活表達,并驅動中間層采集技術進行配置基線的采集,運用遠程檢測與本地檢測相結合的方式,綜合運用信息重組技術,實現自動、高效、準確地發(fā)現網絡資產存在的安全配置問題,并提供了功能強大的合規(guī)性檢測報告。它可以大大提高安全防護評估及信息安全等級保護檢查結果的準確性和合規(guī)性,避免了傳統方式帶來的諸多問題。
【專利說明】電力二次系統信息安全等級保護在線合規(guī)性檢測方法
【技術領域】
[0001]本發(fā)明涉及電力二次系統安全防護評估及信息安全等級保護的【技術領域】,尤其是指一種電力二次系統信息安全等級保護在線合規(guī)性檢測方法。
【背景技術】
[0002]隨著電力自動化水平的提高,通信技術和網絡技術的發(fā)展,電力系統越來越依賴電力信息網絡來保障其安全、可靠和高效的運行,信息網絡的安全直接關系到電力系統的安全,因此對電力系統信息安全關鍵技術的研究就顯得尤為重要。
[0003]隨著一體化智能運行系統研發(fā)及應用的深入發(fā)展,各類IT設備種類和數量不斷增加,其安全管理問題日漸凸出。為了維持IT信息系統的安全并方便管理,必須從入網測試、工程驗收和運行維護等設備全生命周期各個階段加強和落實安全要求,同時需要設立滿足安全要求的安全基準點。
[0004]針對電力二次系統建立安全檢查點與操作指南的基準安全標準,則成為電力行業(yè)安全管理人員最為緊迫的事情?;陔娏Χ蜗到y安全防護標準和信息安全等級保護標準將形成針對性的詳細Checklist表格和操作指南,為標準化的技術安全操作提供了框架和標準。
[0005]電力規(guī)范與安全基準點的出臺讓運維人員有了檢查默認風險的標桿,但是面對電力二次系統網絡中種類繁雜、數量眾多的設備和軟件,如何快速、有效的檢查設備,又如何集中收集核查的結果,以及制作風險審核報告,并且最終識別那些與安全規(guī)范不符合的項目,以達到整改合規(guī)的要求,這些是網絡運維人員面臨的新的難題。
[0006]目前,電力二次系統安全防護評估及信息安全等級保護的檢測通常采用手動單點安全配置檢查的方式,沒有智能化、自動化的合規(guī)性檢測方案,存在以下問題:
[0007]1、當前采用手動單點安全配置檢查的方式,容易因為人為失誤帶來檢查結果的失真;
[0008]2、當前采用手動單點安全配置檢查的方式,工作量大,在設備較多的情況下,準備的合規(guī)性檢測基本上是不可能的任務;
[0009]3、當前采用手動單點安全配置檢查的方式,不能夠出具詳細的具有可對比性檢測報告,難以對安全合規(guī)性的趨勢進行分析。
【發(fā)明內容】
[0010]本發(fā)明的目的在于克服現有技術的不足與缺點,提供一種智能化、在線式的電力二次系統信息安全等級保護在線合規(guī)性檢測方法,能有效解決采用手動單點安全配置檢查方式所帶來的問題。
[0011]為實現上述目的,本發(fā)明所提供的技術方案為:電力二次系統信息安全等級保護在線合規(guī)性檢測方法,包括以下步驟:
[0012]I)創(chuàng)建作業(yè),并檢查作業(yè)是否需要立即執(zhí)行,如需立即執(zhí)行則直接調用執(zhí)行接口,否則初始化調度器并進行任務等待;
[0013]2)到達作業(yè)執(zhí)行時間后,進行對象數量及采集器數量的相關檢查,并判斷目標設備是否網絡可達,如果設備聯網則使用在線采集,否則調用離線采集;
[0014]3)選擇完采集方式后,將任務下發(fā)至采集器,由采集器獲取目標設備信息,實現配置基線信息采集;
[0015]4)由中間層執(zhí)行俄國正則、JS對比以及基準值對比的操作,并獲得相應解析結果,根據解析結果執(zhí)行存儲、轉發(fā)、更新安全知識庫的操作,作業(yè)結束。
[0016]針對電力二次系統安全防護評估要求及信息安全等級保護標準,設計專有的機器語言為核心,主要檢測運算符以及處理規(guī)則,以實現電力二次系統安全防護評估標準及信息安全等級保護標準的精準、靈活表達,并驅動中間層采集技術進行配置基線信息的采集,運用遠程檢測與本地檢測相結合的方式,綜合運用信息重組技術,發(fā)現網絡資產存在的安全配置問題。
[0017]建立內容完備且支持多次擦寫的安全知識庫,采用黑板模式實現該安全知識庫的動態(tài)配置,該安全知識庫構架包括黑板、控制機構、知識源,其中,所述黑板是用于存儲整定數據、信息以及檢驗方法的動態(tài)數據庫,所述控制機構用于控制知識源的調度控制并負責監(jiān)督黑板的狀態(tài)變化,所述知識源為黑板提供數據與信息,且各知識源間相互獨立;所述安全知識庫涵蓋了操作系統、網絡設備、數據庫、中間件這多類設備及系統的安全配置加固建議。
[0018]采用知識信息關聯技術,形成圖表結合、內容詳實的合規(guī)性檢測報告,該報告的積累與對比分析,能實現當前網絡合規(guī)性檢測的精確評估與合規(guī)性檢測趨勢的分析,且新的合規(guī)性檢測報告會自動加入安全知識庫。
[0019]所述中間層為應用程序服務器層或應用服務層,綜合多種常用協議,如SSH、TELNET、SMB、RDP協議,在由數據源層、中間層、客戶端構成的三層網絡結構中,主要負責業(yè)務邏輯的實現,將從數據源層獲取的基線配置信息進行邏輯處理,實現海量設備配置基線信息的采集、存儲與查詢。
[0020]所述配置基線信息采集根據設備是否聯網,分別采用離線采集和在線采集兩種采集方式,如下:
[0021]對于網絡可達的網絡設備,配置基線信息的采集可通過在線方式獲取,在中間層采集技術基礎上,采用Telnet協議實現internet遠程登錄服務,同時通過安全外殼協議SSH為遠程登錄及網絡服務提供安全性加密,通過遠程顯示協議RDP提供客戶與服務器之間的連接,最后利用SMB協議實現客戶端與服務器的信息溝通;
[0022]由于不同的安全管理要求和特定的安全邊界控制要求,電力二次系統中存在部分隔離網絡,而這些網絡中的設備安全對象進行網絡檢查時會存在很大的空難,離線采集實現針對不可達網絡的安全基線檢查工作,通過安全基線管理系統將不可達網絡安全基線檢查任務下發(fā)給離線采集器,將離線采集器接入隔離網絡后執(zhí)行安全基線配置掃描工作,在完成掃描任務后接入安全基線管理系統會自動將掃描結果傳到安全基線管理系統,最終完成整體的信息收集、比對和展示。
[0023]通過基線檢測Server端的離線采集方式,對網絡不可達設備群組配置相關檢查策略并通過服務器下發(fā)任務給離線采集器,離線采集器脫機后連接到目標網絡,執(zhí)行任務檢查目標設備,完成檢查后,當與基線檢查Server連接成功后會將結果上報給基線檢測Server,從而達到檢查網絡不可達設備的目的。
[0024]本發(fā)明與現有技術相比,具有如下優(yōu)點與有益效果:
[0025]1、采用針對電力二次系統安全防護特點的專有機器語言,自動化進行合規(guī)性檢測,實現電力二次系統安全防護評估標準及信息安全等級保護標準的精準、靈活表達,能夠最大程度上滿足合規(guī)性檢測對于準確性、快速性、靈活性的需求;
[0026]2、以中間層采集技術,利用SSH、TELNET、SMB、RDP等協議,實現了在線式的各類安全設備配置基線信息的采集;
[0027]3、以黑板模式實現安全知識庫的動態(tài)配置,通過該知識庫可以全面的指導IT信息系統的安全配置及加固工作,節(jié)省傳統的手動單點安全配置檢查的時間,并避免傳統人工檢查方式所帶來的失誤風險;
[0028]4、設計有針對電力二次系統安全防護評估特點及信息安全等級保護要求的合規(guī)性檢測報告,該報告具備合規(guī)性檢測趨勢分析能力;
[0029]5、運用遠程檢測與本地檢測相結合的方式,綜合運用信息重組技術,實現自動、高效、準確地發(fā)現網絡資產存在的安全配置問題。
【專利附圖】
【附圖說明】
[0030]圖1為本發(fā)明的檢測方法流程圖。
[0031]圖2為本發(fā)明的三層網絡結構示意圖。
[0032]圖3為配置基線信息采集示意圖。
[0033]圖4為網絡可達的在線采集示意圖。
[0034]圖5為本發(fā)明的安全知識庫構架示意圖。
【具體實施方式】
[0035]下面結合具體實施例對本發(fā)明作進一步說明。
[0036]本實施例所述的電力二次系統信息安全等級保護在線合規(guī)性檢測方法,如圖1所示,其具體流程如下:
[0037]I)創(chuàng)建作業(yè),并檢查作業(yè)是否需要立即執(zhí)行,如需立即執(zhí)行則直接調用執(zhí)行接口,否則初始化調度器并進行任務等待;
[0038]2)到達作業(yè)執(zhí)行時間后,進行對象數量及采集器數量的相關檢查,并判斷目標設備是否網絡可達,如果設備聯網則使用在線采集,否則調用離線采集;
[0039]3)選擇完采集方式后,將任務下發(fā)至采集器,由采集器獲取目標設備信息,實現配置基線信息采集;
[0040]4)由中間層(Middle Tier)執(zhí)行俄國正則、JS對比以及基準值對比的操作,并獲得相應解析結果,根據解析結果執(zhí)行存儲、轉發(fā)、更新安全知識庫的操作,作業(yè)結束。
[0041]中間層(Middle Tier)為應用程序服務器層或應用服務層,綜合了多種常用協議,如SSH、TELNET、SMB、RDP等協議,在由數據源層、中間層、客戶端構成的三層網絡結構中,如圖2所示,中間層主要負責業(yè)務邏輯的實現,從而實現海量設備配置基線信息的采集、存儲與查詢。[0042]三層網絡結構從數據源層獲取基線配置信息,并在中間層進行邏輯處理,由于中間層承擔了部分應用邏輯,能夠有效降低了客戶端負擔。為可靠實現對于電力二次系統基線配置信息有效表達,需在中間層引入滿足電力二次系統安全防護評估及信息安全等級評估要求的專有機器語言。
[0043]電力二次系統包含大量網絡設備,面對種類繁雜、數量眾多的設備和軟件,為實現快速、精準、靈活有效的檢查設備,需根據二次系統設計情況,結合二次系統安全防護評估及信息安全等級保護合規(guī)性檢查項目需求,設計準確、靈活的合規(guī)性檢測專有機器語言。
[0044]電力二次系統安全防護評估合規(guī)性檢查項母數量眾多、種類繁雜,從設備管理角度,合規(guī)性檢測項主要包括遠程管理服務、IP管理、認證系統聯動、用戶賬號與口令安全等;從網絡性能角度,合規(guī)性檢測項主要包括網絡延時檢查、服務開啟項目檢查、安全防護項目檢查等。根據電力二次系統合規(guī)性檢測項目種類及其特性,需要設計符合需求的專有機器語音。
[0045]如下表1所示,為本方案設計的專有機器語言,主要檢測運算符以及處理規(guī)則。采用如下表1中所示的運算符及處理方式,能夠最大程度上滿足合規(guī)性檢測對于準確性、快速性、靈活性的需求。
[0046]表1
[0047]
【權利要求】
1.電力二次系統信息安全等級保護在線合規(guī)性檢測方法,其特征在于,包括以下步驟: 1)創(chuàng)建作業(yè),并檢查作業(yè)是否需要立即執(zhí)行,如需立即執(zhí)行則直接調用執(zhí)行接口,否則初始化調度器并進行任務等待; 2)到達作業(yè)執(zhí)行時間后,進行對象數量及采集器數量的相關檢查,并判斷目標設備是否網絡可達,如果設備聯網則使用在線采集,否則調用離線采集; 3)選擇完采集方式后,將任務下發(fā)至采集器,由采集器獲取目標設備信息,實現配置基線信息采集; 4)由中間層執(zhí)行俄國正則、JS對比以及基準值對比的操作,并獲得相應解析結果,根據解析結果執(zhí)行存儲、轉發(fā)、更新安全知識庫的操作,作業(yè)結束。
2.根據權利要求1所述的電力二次系統信息安全等級保護在線合規(guī)性檢測方法,其特征在于:針對電力二次系統安全防護評估要求及信息安全等級保護標準,設計專有的機器語言為核心,主要檢測運算符以及處理規(guī)則,以實現電力二次系統安全防護評估標準及信息安全等級保護標準的精準、靈活表達,并驅動中間層采集技術進行配置基線信息的采集,運用遠程檢測與本地檢測相結合的方式,綜合運用信息重組技術,發(fā)現網絡資產存在的安全配置問題。
3.根據權利要求1 所述的電力二次系統信息安全等級保護在線合規(guī)性檢測方法,其特征在于:建立內容完備且支持多次擦寫的安全知識庫,采用黑板模式實現該安全知識庫的動態(tài)配置,該安全知識庫構架包括黑板、控制機構、知識源,其中,所述黑板是用于存儲整定數據、信息以及檢驗方法的動態(tài)數據庫,所述控制機構用于控制知識源的調度控制并負責監(jiān)督黑板的狀態(tài)變化,所述知識源為黑板提供數據與信息,且各知識源間相互獨立;所述安全知識庫涵蓋了操作系統、網絡設備、數據庫、中間件這多類設備及系統的安全配置加固建議。
4.根據權利要求1所述的電力二次系統信息安全等級保護在線合規(guī)性檢測方法,其特征在于:采用知識信息關聯技術,形成圖表結合、內容詳實的合規(guī)性檢測報告,該報告的積累與對比分析,能實現當前網絡合規(guī)性檢測的精確評估與合規(guī)性檢測趨勢的分析,且新的合規(guī)性檢測報告會自動加入安全知識庫。
5.根據權利要求1所述的電力二次系統信息安全等級保護在線合規(guī)性檢測方法,其特征在于:所述中間層為應用程序服務器層或應用服務層,綜合多種常用協議,如SSH、TELNET、SMB、RDP協議,在由數據源層、中間層、客戶端構成的三層網絡結構中,主要負責業(yè)務邏輯的實現,將從數據源層獲取的基線配置信息進行邏輯處理,實現海量設備配置基線信息的采集、存儲與查詢。
6.根據權利要求1所述的電力二次系統信息安全等級保護在線合規(guī)性檢測方法,其特征在于:所述配置基線信息采集根據設備是否聯網,分別采用離線采集和在線采集兩種采集方式,如下: 對于網絡可達的網絡設備,配置基線信息的采集可通過在線方式獲取,在中間層采集技術基礎上,采用Telnet協議實現internet遠程登錄服務,同時通過安全外殼協議SSH為遠程登錄及網絡服務提供安全性加密,通過遠程顯示協議RDP提供客戶與服務器之間的連接,最后利用SMB協議實現客戶端與服務器的信息溝通;由于不同的安全管理要求和特定的安全邊界控制要求,電力二次系統中存在部分隔離網絡,而這些網絡中的設備安全對象進行網絡檢查時會存在很大的空難,離線采集實現針對不可達網絡的安全基線檢查工作,通過安全基線管理系統將不可達網絡安全基線檢查任務下發(fā)給離線采集器,將離線采集器接入隔離網絡后執(zhí)行安全基線配置掃描工作,在完成掃描任務后接入安全基線管理系統會自動將掃描結果傳到安全基線管理系統,最終完成整體的信息收集、比對和展示。
7.根據權利要求5所述的電力二次系統信息安全等級保護在線合規(guī)性檢測方法,其特征在于:通過基線檢測Server端的離線采集方式,對網絡不可達設備群組配置相關檢查策略并通過服務器 下發(fā)任務給離線采集器,離線采集器脫機后連接到目標網絡,執(zhí)行任務檢查目標設備,完成檢查后,當與基線檢查Server連接成功后會將結果上報給基線檢測Server,從而達到檢查網絡不可達設備的目的。
【文檔編號】H04L12/24GK104009869SQ201410206736
【公開日】2014年8月27日 申請日期:2014年5月15日 優(yōu)先權日:2014年5月15日
【發(fā)明者】溫伯堅, 蘇揚, 蔡澤祥, 席禹, 劉明波 申請人:華南理工大學