本发明专利技术提供一种智能电网安全域边界设备访问控制策略管控系统,包括策略合规检测规则存储单元、检测模板编辑单元、检测任务编辑单元、检测任务执行单元、检测结果分析单元以及检测结果显示单元。本发明专利技术能实现快速、准确的定义针对不同类型智能电网安全域边界防护设备的安全检测模板,对于未来需要引入的新智能电网安全域边界防护设备的检测模板也可以通过本系统进行安全检测模板的定制,大大提高了智能电网安全域边界防护设备的安全检测范围和安全检测规则制定的灵活性,可快速的将安全检测任务下发到指定的智能电网安全域边界防护设备,以实现通过结构化的数据格式收集分散的智能电网安全域边界防护设备配置信息。
【技术实现步骤摘要】
本专利技术涉及电网安全
,具体是一种。
技术介绍
为保障电力监控系统和电力调度数据网络的安全,防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,电力二次系统安全防护工作以安全分区、网络专用、横向隔离、纵向认证为基本原则。根据电力二次系统的特点,各相关业务系统的重要程度和数据流程、目前状况和安全要求,将整个电力二次系统分为四个安全区实时控制区、II非控制生产区、III生产管理区、IV管理信息区。其中,I区和II区组成生产控制大区,III区和IV区组成管理信息大区。在完成安全区的划分后,针对不同的安全区确定了不同的安全防护要求和安全控制要求,从而决定了不同的安全等级和防护水平。按照电力二次系统安全防护规范要求,在各安全区之间,均需选择适当的经国家有关部门认证的边界访问控制装置。针对进出各安全区的数据流制定访问控制矩阵,依据控制矩阵在边界网络访问控制设备上设定访问控制规贝1J。同时建议在网省公司层面对防火墙策略进行统一集中管理。为保证电力二次系统安全防护规范中针对安全区边界访问控制相关要求的落实执行,必须在边界访问控制配置策略的新增、维护和删除全生命周期的各个阶段加强和落实国家电网公司对电力二次系统安全防护规范的要求。目前国内还没有能够支持智能电网安全域边界设备访问控制策略集中管控的通用工具,无法对访问控制策略的有效性、合规性进行检查,导致智能电网安全域边界设备访问控制策略中存在垃圾策略、冗余策略、冲突策略等。针对现网安全域边界设备数量多、类型不一,配置复杂、多样化的现状,需要一套自动化系统促进设备安全配置规范化,在提升安全管理水平的同时提高运维人员工作效率,辅助管理员加固网络的第一道防线。
技术实现思路
本专利技术提供一种,可快速的将安全检测任务下发到指定的智能电网安全域边界防护设备,以实现通过结构化的数据格式收集分散的智能电网安全域边界防护设备配置信息。—种智能电网安全域边界设备访问控制策略管控系统,包括:策略合规检测规则存储单元,用于存储针对智能电网安全域边界设备访问控制策略的合规检测规则项、针对智能电网安全域边界设备的检测任务模板、针对每个合规检测规则项定义的自动化检测的方法、检测结果判断标准和检测项权重分值;检测模板编辑单元,用于根据所述策略合规检测规则存储单元中存储的合规检测规则项进行规则编辑和组合,以生成针对某一智能电网安全域边界设备或不同检查场景的检测任务模板;检测任务编辑单元,用于针对某一类智能电网安全域边界访问控制设备,调用所述检测模板编辑单元中生成的安全检测模板,定义并下发安全检测任务给所述检测任务执行单元,明确使用某一安全检测模板,对某一类型的智能电网安全域边界访问控制设备进行安全合规检测工作;检测任务执行单元,用于在收到所述检测任务编辑单元下发的安全检测任务后,远程登录目标智能电网安全域边界访问控制设备,并执行相关配置获取指令,获取目标设备的配置信息,然后根据所述配置信息以及检测任务模板中所包含的各检测项,对智能电网安全域边界访问控制设备的配置信息进行解析,并对解析后的配置信息按照统一格式入库保存;检测结果分析单元,用于接收所述检测任务执行单元获取的配置信息,并根据安全检测任务中的合规检测规则项进行合规检测,并根据智能电网安全域边界访问控制设备安全检测结果来为不同的智能电网安全域边界访问控制设备评定安全级别,给出安全修复建议;检测结果显示单元,用于根据检测结果分析单元所获得的安全检测结果来生成所选智能电网安全域边界访问控制设备的安全检测结果报告,以对安全检测结果进行统计分析和结果展示。如上所述的管控系统,检测任务执行单元通过SSH或TELNET方式远程登录目标智能电网安全域边界访问控制设备。如上所述的管控系统,所述合规检测规则项包括安全配置检测项和访问控制策略检测项。如上所述的管控系统,安全配置检测项包括:账号口令、权限分配、安全审计、远程访问控制、内核安全、文件系统安全、性能安全;访问控制策略检测项包括:策略冲突、策略重复、目的IP范围过大、目的端口范围过大、目的端口包含管理端口、策略交叉冲突。一种智能电网安全域边界设备访问控制策略集中管控方法,包括如下步骤:步骤一:检测模板编辑单元根据策略合规检测规则存储单元中存储的合规检测规则项进行规则编辑和组合,以生成针对某一智能电网安全域边界设备或不同检查场景的检测任务模板;步骤二:检测任务编辑单元针对某一类智能电网安全域边界访问控制设备,调用所述检测模板编辑单元生成的所述安全检测模板,定义并下发安全检测任务给所述检测任务执行单元,明确使用某一安全检测模板,对某一类型的智能电网安全域边界访问控制设备进行安全合规检测工作;步骤三:所述检测任务执行单元在收到所述检测任务编辑单元下发的安全检测任务后,远程登录目标智能电网安全域边界访问控制设备,并执行相关配置获取指令,获取目标设备的配置信息,然后根据所述配置信息以及检测任务模板中所包含的各检测项,对智能电网安全域边界访问控制设备的配置信息进行解析,并对解析后的配置信息按照统一格式入库保存;步骤四:检测结果分析单元接收所述检测任务执行单元获取的配置信息,并根据安全检测任务中的合规检测规则项进行合规检测,并根据智能电网安全域边界访问控制设备安全检测结果来为不同的智能电网安全域边界访问控制设备评定安全级别,给出安全修复建议来为不同的智能电网安全域边界访问控制设备评定安全级别,给出安全修复建议;步骤五:检测结果显示单元根据检测结果分析单元所获得的安全检测结果来生成所选智能电网安全域边界访问控制设备的安全检测结果报告,以对安全检测结果进行统计分析和结果展示。如上所述的管控方法,步骤三中检测任务执行单元通过SSH或TELNET方式远程登录目标智能电网安全域边界访问控制设备。如上所述的管控方法,所述合规检测规则项包括安全配置检测项和访问控制策略检测项。如上所述的管控方法,安全配置检测项包括:账号口令、权限分配、安全审计、远程访问控制、内核安全、文件系统安全、性能安全;访问控制策略检测项包括:策略冲突、策略重复、目的IP范围过大、目的端口范围过大、目的端口包含管理端口、策略交叉冲突。本专利技术能实现快速、准确的定义针对不同类型智能电网安全域边界防护设备的安全检测模板,对于未来需要引入的新智能电网安全域边界防护设备的检测模板也可以通过本系统进行安全检测模板的定制,大大提高了智能电网安全域边界防护设备的安全检测范围和安全检测规则制定的灵活性,可快速的将安全检测任务下发到指定的智能电网安全域边界防护设备,以实现通过结构化的数据格式收集分散的智能电网安全域边界防护设备配置信息。【附图说明】图1是本专利技术智能电网安全域边界设备访问控制策略管控系统的结构示意图。图中:1 一策略合规检测规则存储单兀,2—检测模板编辑单兀,3—检测任务编辑单元,4一检测任务执行单元,5一检测结果分析单元,6—检测结果显示单元,7一智能电网安全域边界设备。【具体实施方式】下面将结合本专利技术中的附图,对本专利技术中的技术方案进行清楚、完整地描述。图1所示为本专利技术智能电网安全域边界设备访问控制策略管控系统的结构示意图,所述智能电网安全域边界设备访问控制策略管控系统包括策略合规检测规则存储单元1、检测模板编辑单元2、检测任本文档来自技高网...
【技术保护点】
一种智能电网安全域边界设备访问控制策略管控系统,其特征在于包括:策略合规检测规则存储单元(1),用于存储针对智能电网安全域边界设备(7)访问控制策略的合规检测规则项、针对智能电网安全域边界设备(7)的检测任务模板、针对每个合规检测规则项定义的自动化检测的方法、检测结果判断标准和检测项权重分值;检测模板编辑单元(2),用于根据所述策略合规检测规则存储单元(1)中存储的合规检测规则项进行规则编辑和组合,以生成针对某一智能电网安全域边界设备或不同检查场景的检测任务模板;检测任务编辑单元(3),用于针对某一类智能电网安全域边界访问控制设备,调用所述检测模板编辑单元(2)中生成的安全检测模板,定义并下发安全检测任务给所述检测任务执行单元(4),明确使用某一安全检测模板,对某一类型的智能电网安全域边界访问控制设备进行安全合规检测工作;检测任务执行单元(4),用于在收到所述检测任务编辑单元(3)下发的安全检测任务后,远程登录目标智能电网安全域边界访问控制设备,并执行相关配置获取指令,获取目标设备的配置信息,然后根据所述配置信息以及检测任务模板中所包含的各检测项,对智能电网安全域边界访问控制设备的配置信息进行解析,并对解析后的配置信息按照统一格式入库保存;检测结果分析单元(5),用于接收所述检测任务执行单元(4)获取的配置信息,并根据安全检测任务中的合规检测规则项进行合规检测,并根据智能电网安全域边界访问控制设备安全检测结果来为不同的智能电网安全域边界访问控制设备评定安全级别,给出安全修复建议;检测结果显示单元(6),用于根据检测结果分析单元(5)所获得的安全检测结果来生成所选智能电网安全域边界访问控制设备的安全检测结果报告,以对安全检测结果进行统计分析和结果展示。...
【技术特征摘要】
【专利技术属性】
技术研发人员:高飞,曹波,
申请(专利权)人:国家电网公司,国网湖北省电力公司信息通信公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。