【技术实现步骤摘要】
一种基于情报和数据的电网智慧运维方法及其系统
[0001]本专利技术属于电力
,涉及一种基于情报和数据的电网智慧运维方法及其系统。
技术介绍
[0002]随着信息技术高速发展,电网信息安全防护设备种类及数量逐年递增,运维管控要求逐步提高,同时还面临专业运维人员缺口的压力,传统的信通运维工作模式难以有效应对日趋严峻的网络安全形势和不断提升的专业管理要求。
[0003]目前,网络安全运维人员存在的痛点主要有:
[0004]1、网络安全运维监控信息量大。国网公司网络拓扑围绕“三道防线”进行网络规划,从外向内依次为互联网大区、管理信息大区和生产控制大区,大区间通过防火墙、逻辑强隔离装置、正反向物理隔离装置进行访问控制和隔离。每道访问控制或隔离部署多套安全设备,仅常州公司来说就有15台安全设备,每台设备单独监控数据流,系统重复告警、错误告警多,信息量大,运维人员工作量大,仅靠人工监控难以做到全面掌控;
[0005]2、网络安全监控处置及时性要求高。在攻防演练时,省公司要求15分钟内上报网络攻击,在大量的告...
【技术保护点】
【技术特征摘要】
1.一种基于情报和数据的电网智慧运维方法,其特征在于:包括如下步骤:1)收集基础的安全日志和机器数据,生成待处理数据,待处理数据包括日常维护用的资产信息台账数据和威胁情报;2)对待处理数据进行格式标准化,并增加身份数据,使待处理数据的常见字段具有同统一的名称,得到标准化数据;3)对数据源进行扩展,从非安全相关数据源中收集数据,为安全分析做补充;4)对数据源进行丰富,关联外部威胁情报和资产信息,对事件进行精准判断;5)根据标准化数据进行简单的响应行动,对响应行动进行自动化处理,并将响应行动进行安全编排,以完成特定安全操作过程;6)通过检测机制分析环境中的用户、终端设备和应用程序,找到反常行为和未知威胁。2.如权利要求1所述的一种基于情报和数据的电网智慧运维方法,其特征在于:步骤1中所述待处理数据包括网络流量数据、终端日志数据、身份验证日志数据、网络活动数据和安全设备告警数据;所述的网络流量数据包括进出网络的流量类型和被阻挡的网络通信流量数据;所述的终端日志是从服务器、终端以及操作系统中捕捉的数据,终端日志中包含了恶意活动数据;所述的身份验证日志用于获知用户访问系统或应用程序的时间和地点;所述的网络活动数据包括网络攻击行为,即从用户对网站频繁的访问开始,到有价值的数据渗漏到由攻击者控制的网站结束;所述的安全设备告警数据包括将物理安全设备或操作系统中的安全告警作为异常网络行为的基础数据,再结合原生的网络流量、端点日志和身份验证日志数据的分析,对异常网络行为按IP地址、进行记录和分类,从网络行为和用户行为中捕捉和网络攻击相关的各种痕迹。3.如权利要求1所述的一种基于情报和数据的电网智慧运维方法,其特征在于:步骤2中对待处理数据进行格式标准化包括对待处理数据进行字段提取,将不同的数据源中的字段进行标准化,而后将上述字段关联至不同的预设数据类型模型,再通过不同的数据类型模型...
【专利技术属性】
技术研发人员:卢陈越,邵康,袁琪,张昊,吴博科,周钟炜,
申请(专利权)人:国网江苏省电力有限公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。