一种分层分布式协同的网络安全监管系统及协同监管方法技术方案

本发明专利技术公开一种分层分布式协同的网络安全监管系统，其包括位于区域安全监管层的区域安全监管中心服务器，位于站域安全监管层、分别对应区域内各厂站的站域安全监管装置，以及位于设备安全监管层、分别对应各厂站内各网络主机的网络主机安全监管代理；本发明专利技术从区域、厂站和网络主机设备三个层次全面监测电力二次监控系统的网络安全状态，并在区域安全监管层和站域安全监管层两个层次上建立网络安全监管的策略协同机制，弥补了电力二次系统网络安全状态实时监测的缺乏，可以大大提高安全监管系统部署的全面性和灵活性。

Layered distributed cooperative network security monitoring system and cooperative monitoring method

Network security monitoring system of the invention discloses a hierarchical distributed collaborative, which comprises a regional security regulatory region safety supervision center server, safety supervision stations located in the domain layer, corresponding domain station safety supervision device in the area of each station, and is located in the equipment safety regulators, respectively corresponding to various stations in each network host the host network security supervision agency; the invention of network security from three levels, regional station and network host equipment comprehensive monitoring two power monitoring system, and the establishment of network security monitoring and management strategy in regional safety supervision and safety supervision station domain layer layer two level coordination mechanism, makes up for the lack of real-time safety monitoring the two state of the power system network, can greatly improve the safety supervision system of comprehensive and flexible deployment.

【技术实现步骤摘要】
一种分层分布式协同的网络安全监管系统及协同监管方法
本专利技术涉及电力网络安全
，特别是一种分层分布式协同的网络安全监管系统。
技术介绍
随着电力系统二次系统的网络化、数字化和智能化，电力系统二次信息安全的形势变得日益严峻，网络安全监管系统的设计和应用非常迫切，但是当前在系统的构建上存在比较明显的不足，主要有：1）从系统结构上讲，目前的网络安全监管系统主要是在厂站端或者主站端当地部署，监管范围仅限于就地范围，还没有从电力系统区域性的多个厂站集成的构建一个较大范围的网络安全监管系统，监管范围没有形成广域的明晰的层次；2）从系统部署上讲，网络安全监管系统较多地注重安全状态信息的采集传输和集中整理分析，这对较大范围的区域性网络安全监管中心压力很大；3）从系统监管策略的制定上讲，集中制定并执行监管策略不够灵活，对站域的适应性较差。
技术实现思路
本专利技术的目的是：提供一种分层分布式协同的网络安全监管系统，能够分层次综合分析设备和网络系统的安全状态和风险态势，并能分布式地灵活部署到厂站或者区域的广域系统中，可以更加全面地监管网络主机设备和网络通信行为的安全。本专利技术采取的技术方案为：一种分层分布式协同的网络安全监管系统，包括位于区域安全监管层的区域安全监管中心服务器，位于站域安全监管层、分别对应区域内各厂站的站域安全监管装置，以及位于设备安全监管层、分别对应各厂站内各网络主机的网络主机安全监管代理；各网络主机安全监管代理接入相应网络主机所在的网络，以监测相应网络主机的安全状态信息，并将监测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置；各站域安全监管装置通过连接厂站内各网络主机所在网络的中心交换机的镜像端口采集相应的网络报文，检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警和显示，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息和网络安全分析结果报告存储为历史数据；区域安全监管中心服务器采集区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，然后根据采集到的数据对区域网络进行安全分析，得到区域网络的安全态势信息；区域安全监管中心服务器基于分析得到的区域网络的安全态势信息制定对应各厂站的监管策略，并将监管策略分发至相应的站域安全监管装置；站域安全监管装置根据接收到的监管策略对厂站内的各网络主机执行监管操作。优选的，网络主机安全监管代理以基于SSL协议的加密通信方式，将检测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置。优选的，网络主机安全监管代理监测的安全状态信息包括，网络主机的实时CPU负荷率、内存使用率、硬盘使用率、进程黑名单和白名单、口令强度、网络服务状态、网络端口状态、网络连接状态和U盘接入状态信息。优选的，本专利技术所述区域安全监管中心服务器制定的监管策略包括对应各厂站的监管对象范围、监管内容条目和站域安全监管装置自身的运行参数。监管对象即为战域安全监管装置所要监管的网络主机设备，监管对象范围即所要监管的所有网络主机设备。站域安全监管装置对厂站内的各网络主机执行的监管操作包括选择监管对象、采集安全信息、评估安全风险以及上送安全状态。上述分层分布式协同的网络安全监管系统的协同监管方法，包括：S1，区域安全监管中心服务器基于分析得到的区域网络的安全态势信息，结合区域的应用需要和安全规定，制定对应各厂站的监管策略；S2，区域安全监管中心服务器将监管策略分发至相应的站域安全监管装置，作为各站域安全监管装置对厂站内网络进行安全监管的监管策略支持；S3，站域安全监管装置根据厂站规模和监管对象的不同，将接收到的监管策略进行分解，并根据分解后的监管策略对厂站内的各网络主机执行监管操作；S4，站域安全监管装置实时采集厂站内各网络主机所在网络的网络报文，以检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息、网络安全分析结果报告和采集到的网络报文存储为历史数据，供区域安全监管中心服务器随时按需调阅；S5，区域安全监管中心服务器根据区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，对区域网络进行安全分析，得到区域网络的安全态势信息。有益效果本专利技术采用分层分布式协同的设计方法构建网络安全监管系统，从网络主机安全监管代理、站域安全监管装置、区域安全监管中心服务器三个层次，全面监测电力二次监控系统的网络安全状态，并在区域安全监管层和站域安全监管层两个层次上建立网络安全监管的策略协同机制，弥补了电力二次系统网络安全状态实时监测的缺乏，可以大大提高安全监管系统部署的全面性和灵活性。附图说明图1所示为本专利技术系统架构示意图；图2所示为本专利技术协同监管方法原理示意图。具体实施方式以下结合附图和具体实施例进一步描述。本专利技术技术方案的制定主要考虑以下几个方面：1）在广域范围内分布式部署各个厂站的监管子中心，采集安全状态信息，同时进行就地化的分析，并形成分析结果再上送区域中心进行集中分析，这样可以增强系统部署的灵活性；2）为适应区域性分层分布式网络安全监管系统的结构，考虑将区域策略进行分解，根据区域的安全态势和各个厂站的具体监管范围，制定出区域性的大范围监管策略和厂站端的小范围策略，并在区域层面和站域层面形成协同机制，这样可以更好地适应监管需要。参考图1，本专利技术的分层分布式协同的网络安全监管系统，包括位于区域安全监管层的区域安全监管中心服务器，位于站域安全监管层、分别对应区域内各厂站的站域安全监管装置，以及位于设备安全监管层、分别对应各厂站内各网络主机的网络主机安全监管代理；各网络主机安全监管代理接入相应网络主机所在的网络，以监测相应网络主机的安全状态信息，并将监测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置；各站域安全监管装置通过连接厂站内各网络主机所在网络的中心交换机的镜像端口采集相应的网络报文，检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警和显示，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息和网络安全分析结果报告存储为历史数据；区域安全监管中心服务器采集区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，然后根据采集到的数据对区域网络进行安全分析，得到区域网络的安全态势信息；区域安全监管中心服务器基于分析得到的区域网络的安全态势信息制定对应各厂站的监管策略，并将监管策略分发至相应的站域安全监管装置；站域安全监管装置根据接收到的监管策略对厂站内的各网络主机执行监管操作。所述监管操作包括选择监管对象、采集安全信息、评本文档来自技高网...

【技术保护点】
一种分层分布式协同的网络安全监管系统，其特征是，包括位于区域安全监管层的区域安全监管中心服务器，位于站域安全监管层、分别对应区域内各厂站的站域安全监管装置，以及位于设备安全监管层、分别对应各厂站内各网络主机的网络主机安全监管代理；各网络主机安全监管代理接入相应网络主机所在的网络，以监测相应网络主机的安全状态信息，并将监测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置；各站域安全监管装置通过连接厂站内各网络主机所在网络的中心交换机的镜像端口采集相应的网络报文，检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警和显示，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息和网络安全分析结果报告存储为历史数据；区域安全监管中心服务器采集区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，然后根据采集到的数据对区域网络进行安全分析，得到区域网络的安全态势信息；区域安全监管中心服务器基于分析得到的区域网络的安全态势信息制定对应各厂站的监管策略，并将监管策略分发至相应的站域安全监管装置；站域安全监管装置根据接收到的监管策略对厂站内的各网络主机执行监管操作。...

【技术特征摘要】
1.一种分层分布式协同的网络安全监管系统，其特征是，包括位于区域安全监管层的区域安全监管中心服务器，位于站域安全监管层、分别对应区域内各厂站的站域安全监管装置，以及位于设备安全监管层、分别对应各厂站内各网络主机的网络主机安全监管代理；各网络主机安全监管代理接入相应网络主机所在的网络，以监测相应网络主机的安全状态信息，并将监测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置；各站域安全监管装置通过连接厂站内各网络主机所在网络的中心交换机的镜像端口采集相应的网络报文，检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警和显示，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息和网络安全分析结果报告存储为历史数据；区域安全监管中心服务器采集区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，然后根据采集到的数据对区域网络进行安全分析，得到区域网络的安全态势信息；区域安全监管中心服务器基于分析得到的区域网络的安全态势信息制定对应各厂站的监管策略，并将监管策略分发至相应的站域安全监管装置；站域安全监管装置根据接收到的监管策略对厂站内的各网络主机执行监管操作。2.根据权利要求1所述的分层分布式协同的网络安全监管系统，其特征是，网络主机安全监管代理以基于SSL协议的加密通信方式，将检测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置。3.根据权利要求1所述的分层分布式协同的网络安全监管系统，其特征是，网络主机安全监管代理监测的安全状态信息包括，网络主机的实时CPU负荷率、内存使用率、硬盘使用...

【专利技术属性】
技术研发人员：汤震宇，曹翔，林青，张阳，代小翔，胡绍谦，
申请(专利权)人：南京南瑞继保电气有限公司，南京南瑞继保工程技术有限公司，
类型：发明
国别省市：江苏,32