一种电力广域互联网安全协同防护系统及其防护方法技术方案

本发明专利技术涉及一种电力广域互联网安全协同防护系统及其防护方法，通过增加融合安全接入网关和虚拟重构安全控制服务器两类主要的功能实体来构成协同防护的硬件体系，通过策略订阅实现协同防护的软件逻辑体系，并研究证据合成近似算法，设计证据投影分解方法，推到可信度转移公式。从而实现在电力广域互联网中各种末梢网络均可通过安全接入网关，利用现有的各种异构接入网络安全接入到位于IP核心网的安全服务平台，也可将安全服务命令和数据发送到末梢节点。

【技术实现步骤摘要】
一种电力广域互联网安全协同防护系统及其防护方法
本专利技术涉及网络安全防护体系，具体涉及一种电力广域互联网安全协同防护系统及其防护方法。
技术介绍
当前，国际网络安全形势日益严峻，网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域，网络攻击集团化、国家化的趋势日益明显。由于电力系统结构复杂多样、分布广泛、重要性高且一体化广域互联，一旦瘫痪影响巨大，极易成为敌对势力攻击的首选目标。近年来，随着以云计算、物联网、大数据为代表的“互联网+”技术大量引入，以及大量智能终端设备(如电动汽车、智能插座、智能电器、传感器等)的接入，进一步加大电网信息安全防护难度。一是大量智能终端设备的接入，采用了WIFI、3G/4G等大量无线通信方式，电力网络基础环境也随之变化，网络边界日益模糊，传统的边界安全防护范围已无法保障电力智能终端安全。二是电力相关信息的获取方法、存储形态、传输渠道和处理方式也发生了新的变化，应用虚拟化、数据资产化、终端移动化都将会引入新的信息网络安全风险，电网的信息安全暴露面在迅速增加。同时以高级持续性网络攻击(APT)为代表的新型攻击手段亦不断演进，均给电力信息网络安全防护工作带来严峻挑战。电力信息网络近年来得到迅速发展，以高速电力通信网为基础，形成了覆盖各电网企业的一体化国家电力调度数据网络和信息网络。电力通信网已发展成为光纤、数字微波、无线、卫星等多种传输手段并用的干线通信网络，基本覆盖了发电、输电、配电等各个环节。在电力广域互联网络中，用户在任何地方都可以接触到网络。在这种方式下，由于网络的发展趋势越来越趋向于泛在网架构体系，这就要求我们必须找出一种新的全网一体化、协同防护的安全体系，来解决这个网络的现有的和新的安全问题。从这方面，可以看到电力广域互联网络下的安全问题值得我们去研究和探讨。
技术实现思路
为解决上述现有技术中的不足，本专利技术的目的是提供一种电力广域互联网安全协同防护系统及其防护方法。本专利技术的目的是采用下述技术方案实现的：本专利技术提供一种电力广域互联网安全协同防护系统，其改进之处在于，所述安全协同防护系统包括终端安全感知平台、集成化安全风险控制平台和电力广域互联网安全风险评估层；所述终端安全感知平台和电力广域互联网安全风险评估层均与集成化安全风险控制平台进行通信；所述终端安全感知平台包括至少一个融合安全接入网关，以融合安全接入网关为载体；所述集成化安全风险控制平台包括至少一个虚拟重构的安全控制服务器，以安全控制服务器为载体，所述融合安全接入网关与安全控制服务器一一对应，均通过广域网进行连接。进一步地，所述融合安全接入网关通过具备广域能力的末梢网络直接连接安全控制服务器；或所述融合安全接入网关利用智能手机多无线分集接入安全控制服务器；或所述融合安全接入网关通过内嵌的多制式广域网接入模块接入安全控制服务器。进一步地，所述融合安全接入网关包括接入适配器模块和末梢网络网关节点；电力广域互联网中的末梢网络能够通过融合安全接入网关，利用异构接入网络安全接入到位于IP核心网的安全控制服务器；或将安全服务命令和数据发送到末梢网网关节点。进一步地，所述安全控制服务器实现以下功能：(1)安全资源注册——包括存储融合安全接入网关标识、安全状态、能力集参数安全信息的数据库；(2)连接性管理——与融合安全接入网关共同管理网关与安全控制服务器的应用层数据持续性，以及安全控制服务器与外部安全应用服务器的数据持续性；(3)网络的安全管理——网络内融合安全接入网关与安全控制服务器设备配置及参数设置管理；(4)移动性安全管理——与融合安全接入网关协同管理末梢网络节点移动性安全以及网关移动性安全；所述末梢网络节点移动性安全包括加入和退出网关，所述网关移动性安全包括网关在不同接入网间漫游、切换；(5)安全域管理——支持不同对象之间以通用的方式进行安全的交互，向网络合成管理模块提供资源及相关策略信息；(6)MRRM控制——对接入融合安全接入网关无线资源及切换、负载均衡、功率控制、信道分配的其他资源进行协同防护融合、统一调度管理；(7)网络合成管理——通过在不同控制功能模块以及不同泛在网络之间协商，能够对网络合成的过程进行管理并建立相关的合成协议；(8)承载及覆盖管理——通过电力广域互联网业务接口向各种应用提供端到端的承载服务；(9)QoS协商及SLA管理——在连接资源之上建立并维护业务级的协议。进一步地，所述安全接入网关的功能包括：(1)注册更新——融合安全接入网关向安全控制服务器注册及更新网关安全信息，包括：网关URN/URL信息、末梢网络安全类型-安全标识-状态在线/离线列表；(2)末梢网络节点数据库——存储末梢网络节点标识、安全状态信息的数据库；(3)设备配置——安全接入网关设备配置及参数管理；(4)安全控制——安全接入网关与安全控制服务器的双向认证、执行泛在网架构的安全控制协议及功能；(5)安全环境感知——安全接入网关对异构接入网与异构末梢网络的网络环境安全感知，以及用户应用需求的安全感知；(6)MRRM协同资源管理——安全接入网关对异构广域接入网络的安全接入控制及负载管理；(7)语义/协议转换——泛在网应用协议到末梢网操作控制处理命令的转换，用于支持数据监测类、远程控制类和数据处理类安全业务应用的协议转换；(8)通用链路层GLL——用于异构末梢网络链路层数据融合，向上转换为统一的IP分组数据，支持有MAC层、无MAC层末梢网络，IP类型末梢网络旁路。进一步地，所述电力广域互联网安全风险评估层通过电力广域互联网系统安全策略的层次联合建模，结合电力广域互联网安全风险评估层的安全风险评估系统和基础数据库，用于实现电力广域互联网的全域安全评估。本专利技术还提供一种电力广域互联网安全协同防护系统的防护方法，其改进之处在于，所述防护方法包括构建防护、检测、预测、响应四个子策略；防护子策略描述信息流动的全过程中，运用安全技术构造多层次纵深防护体系的方法集，即防护策略集P；检测子策略描述对入侵和攻击的检测条件和方法集，即检测策略集D；预测子策略描述对网络安全趋势预警的方法集，即预测策略集E；响应子策略描述可用的安全响应技术和调用策略；所述防护、检测、预测和响应四个子策略同时完成。进一步地，构建防护子策略包括：建立从安全漏洞集C到二元组(A,R)的映射，其中A是对策集，R是关联集；P:C→A×R；一条防护子策略P＝(→a,r)表明：防御漏洞，采用a方法，涉及到r层次的安全控制技术。进一步地，构建检测子策略包括：建立从安全漏洞集C到攻击模式集的映射，攻击模式为二元组(Q,N)；其中Q是检测条件，N是攻击类型；D:C→Q×N，一条检测子策略d＝(cvei→q,n)表明：利用安全漏洞cvei的n型网络攻击，通过方法q进行检测。进一步地，构建预测子策略包括：建立从安全漏洞集C、攻击类型集N到预测方法集F的映射；E:C,N→F；单个预测子策略e＝{(c,n)→f}表示攻击类型为n、利用了安全漏洞c的网络攻击，通过f指定的方法对已知类型攻击进行预测；当攻击类型为未知类型时，f对应流量测度指标，采用流量测量的方法预测未知攻击及其安全趋势；其中：c表示安全漏洞集C中的安全漏洞，n表示攻击类型集N的攻击类型；f表示流量测度指标。进一步地，构建响本文档来自技高网...

【技术保护点】
一种电力广域互联网安全协同防护系统，其特征在于，所述安全协同防护系统包括终端安全感知平台、集成化安全风险控制平台和电力广域互联网安全风险评估层；所述终端安全感知平台和电力广域互联网安全风险评估层均与集成化安全风险控制平台进行通信；所述终端安全感知平台包括至少一个融合安全接入网关，以融合安全接入网关为载体；所述集成化安全风险控制平台包括至少一个虚拟重构的安全控制服务器，以安全控制服务器为载体，所述融合安全接入网关与安全控制服务器一一对应，均通过广域网进行连接。

【技术特征摘要】
1.一种电力广域互联网安全协同防护系统，其特征在于，所述安全协同防护系统包括终端安全感知平台、集成化安全风险控制平台和电力广域互联网安全风险评估层；所述终端安全感知平台和电力广域互联网安全风险评估层均与集成化安全风险控制平台进行通信；所述终端安全感知平台包括至少一个融合安全接入网关，以融合安全接入网关为载体；所述集成化安全风险控制平台包括至少一个虚拟重构的安全控制服务器，以安全控制服务器为载体，所述融合安全接入网关与安全控制服务器一一对应，均通过广域网进行连接。2.如权利要求1所述的电力广域互联网安全协同防护系统，其特征在于，所述融合安全接入网关通过具备广域能力的末梢网络直接连接安全控制服务器；或所述融合安全接入网关利用智能手机多无线分集接入安全控制服务器；或所述融合安全接入网关通过内嵌的多制式广域网接入模块接入安全控制服务器。3.如权利要求2所述的电力广域互联网安全协同防护系统，其特征在于，所述融合安全接入网关包括接入适配器模块和末梢网络网关节点；电力广域互联网中的末梢网络能够通过融合安全接入网关，利用异构接入网络安全接入到位于IP核心网的安全控制服务器；或将安全服务命令和数据发送到末梢网网关节点。4.如权利要求3所述的电力广域互联网安全协同防护系统，其特征在于，所述安全控制服务器用于完成以下项目：(1)安全资源注册——包括存储融合安全接入网关标识、安全状态、能力集参数安全信息的数据库；(2)连接性管理——与融合安全接入网关共同管理网关与安全控制服务器的应用层数据持续性，以及安全控制服务器与外部安全应用服务器的数据持续性；(3)网络的安全管理——网络内融合安全接入网关与安全控制服务器设备配置及参数设置管理；(4)移动性安全管理——与融合安全接入网关协同管理末梢网络节点移动性安全以及网关移动性安全；所述末梢网络节点移动性安全包括加入和退出网关，所述网关移动性安全包括网关在不同接入网间漫游、切换；(5)安全域管理——支持不同对象之间以通用的方式进行安全的交互，向网络合成管理模块提供资源及相关策略信息；(6)MRRM控制——对接入融合安全接入网关无线资源及切换、负载均衡、功率控制、信道分配的其他资源进行协同防护融合、统一调度管理；(7)网络合成管理——通过在不同控制功能模块以及不同泛在网络之间协商，能够对网络合成的过程进行管理并建立相关的合成协议；(8)承载及覆盖管理——通过电力广域互联网业务接口向各种应用提供端到端的承载服务；(9)QoS协商及SLA管理——在连接资源之上建立并维护业务级的协议。5.如权利要求4所述的电力广域互联网安全协同防护系统，其特征在于，所述安全接入网关用于完成以下项目：(1)注册更新——融合安全接入网关向安全控制服务器注册及更新网关安全信息，包括：网关URN/URL信息、末梢网络安全类型-安全标识-状态在线/离线列表；(2)末梢网络节点数据库——存储末梢网络节点标识、安全状态信息的数据库；(3)设备配置——安全接入网关设备配置及参数管理；(4)安全控制——安全接入网关与安全控制服务器的双向...

【专利技术属性】
技术研发人员：张波，马媛媛，石聪聪，何高峰，陈璐，管小娟，黄秀丽，李尼格，华晔，郭骞，邵志鹏，费稼轩，戴造建，席泽生，
申请(专利权)人：全球能源互联网研究院，国家电网公司，国网江苏省电力公司电力科学研究院，
类型：发明
国别省市：北京,11