一种基于共享服务的电网设备全生命周期监控系统技术方案

本发明专利技术涉及电网管理系统技术领域的一种基于共享服务的电网设备全生命周期监控系统，包括网络通信安全监控模块、硬件设备安全监控模块、数据安全监控模块、运维安全监控模块，所述网络通信安全监控模块用于对电网设备的网络通信安全进行监控，所述硬件设备安全监控模块用于对电网设备中的硬件安全进行监控，所述数据安全监控模块用于对电网设备的数据安全进行监控，所述运维安全监控模块用于对电网设备的运维安全进行监控。与现有技术相比，本发明专利技术的有益效果是：从硬件、数据安全方面对电网设备整个生命周期内的安全状态进行监控，实现无人化监控，提高了工作效率，另外能够主动对设备的安全进行防护。设备的安全进行防护。设备的安全进行防护。

【技术实现步骤摘要】
一种基于共享服务的电网设备全生命周期监控系统


[0001]本专利技术涉及电网管理系统
，具体为一种基于共享服务的电网设备全生命周期监控系统。

技术介绍

[0002]电网系统中，各种电网设备的安全监控主要依靠工作人员人工方式来进行监控处理，这种方式使得电网设备的工作效率较低。
[0003]基于此，本专利技术设计了一种基于共享服务的电网设备全生命周期监控系统，以解决上述问题。

技术实现思路

[0004]本专利技术的目的在于提供一种基于共享服务的电网设备全生命周期监控系统，以解决上述
技术介绍
中提出的电网系统中，各种电网设备的安全监控主要依靠工作人员人工方式来进行监控处理，这种方式使得电网设备的工作效率较低的问题。
[0005]为实现上述目的，本专利技术提供如下技术方案：一种基于共享服务的电网设备全生命周期监控系统，包括网络通信安全监控模块、硬件设备安全监控模块、数据安全监控模块、运维安全监控模块，所述网络通信安全监控模块用于对电网设备的网络通信安全进行监控，所述硬件设备安全监控模块用于对电网设备中的硬件安全进行监控，所述数据安全监控模块用于对电网设备的数据安全进行监控，所述运维安全监控模块用于对电网设备的运维安全进行监控。
[0006]如上所述的一种基于共享服务的电网设备全生命周期监控系统中，所述网络通信安全监控模块包括网络拓扑结构单元、网络边界防护单元、网络安全审计单元，所述网络拓扑结构单元用于保证网络设备的业务处理能力具备冗余空间和链路负载均衡能力，满足业务高峰期需要，所述网络边界防护单元通过ACL技术或防火墙技术，在网络边界或区域之间根据访问控制策略设置访问控制规则，实现端口级访问控制，默认情况下除允许通信外，受控接口拒绝所有通信，删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化，并对源地址、目的地址、源端口、目的端口和协议进行检查，以允许或拒绝数据包进出，保证信息及网络资源不被非法使用和访问，通过入侵监测技术，在网络边界处监视攻击行为，并给予告警以及响应和处理，在网络边界及核心业务网段处对恶意代码进行检测和清除，及时实现恶意代码库升级和检测系统更新，通过网络安全扫描工具，利用优化系统配置和打补丁弥补最新的安全漏洞和消除安全隐患，所述网络安全审计单元对网络设备、安全设备运行状况、网络流量、用户行为进行日志信息实时采集、集中监控及实时预警。
[0007]如上所述的一种基于共享服务的电网设备全生命周期监控系统中，所述日志信息应包括事件的日期和时间、用户、事件类型、事件是否成功。
[0008]如上所述的一种基于共享服务的电网设备全生命周期监控系统中，所述硬件设备
安全监控模块包括硬件安全单元、操作系统安全单元、中间件安全单元，所述硬件安全单元采用服务器设备，具备冗余配置、不间断电源保障、服务器运行状态监控功能，确保本系统中硬件设备的处理性能要求，所述操作系统安全单元用于加强操作系统账号管理、认证授权、安全日志，实现从身份鉴别、访问控制、安全审计入侵防范、恶意代码规范、资源控制方面进行主机安全基线加固，所述中间件安全单元从身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制方面进行中间件安全基线加固。
[0009]如上所述的一种基于共享服务的电网设备全生命周期监控系统中，所述数据安全监控模块包括数据安全单元、应用安全单元、终端安全单元，所述数据安全单元采用身份认证、权限控制、加密存储、加密传输、数据防泄密技术，加强本系统数据机密性及安全性防护，所述应用安全单元具备完善的权限管理、分级授权和界面信息操作控制、完整的应用程序日志记录和审计机制、提供访问控制功能，通过角色划分实现各层各级人员对于功能页面的访问控制，依据安全策略控制用户对文件、数据库表客体的访问，访问控制的覆盖范围包括与资源访问相关的主体、客体及它们之间的操作，授权主体配置访问控制策略，并严格限制默认帐户的访问权限，实现对登录用户的统一身份标识和鉴别，实现身份鉴别信息的防截获、防假冒和防重用，保证本系统用户身份的真实性，启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数，所述终端安全单元通过桌面终端准入控制，加强桌面终端监控审计管理，重点提高移动存储介质使用管理能力与病毒、木马检测防护、桌面终端行为监控审计能力建设，通过上网行为管理系统，加强信息外网办公终端internet 访问控制，如网络应用控制、带宽流量管理、上网行为分析，对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，存储设备报废前按照规定通过消磁粉碎一体机进行信息彻底清除，确保数据不能被恢复、还原，对访问的移动终端进行安全防护，通过沙箱技术确保本地数据安全存储，通过身份认证及权限控制技术确保访问安全，通过加密技术实现传输安全了通过设备远程控制技术，如设备定位、设备远程数据擦除、锁定、更改密码确保重要数据一键式擦除。
[0010]如上所述的一种基于共享服务的电网设备全生命周期监控系统中，所述运维安全监控模块用于定期更新漏洞库，采用漏洞扫描、数据库扫描检测技术，定期检测操作系统、中间件、数据库、本系统的安全漏洞，全面评估安全漏洞和认证、授权、完整性方面的问题，并进行安全加固，实现本系统统一IT资产统一管理以及运维管理服务，实现本系统统一的安全运维及集中监控及预警，对本系统实现定期本地备份，对本系统实现远程数据级灾备，定制应急预案并加强定期演练，对本系统实现应用级灾备防护，定制应急预案并加强定期演练，实现安全事件快速响应、及时处理，正确使用密码相关产品，原则上自主运维，如确实需要外包运维的，需与选定的外包运维服务商签订服务协议，明确约定外包运维的范围、工作内容及工作要求。
[0011]与现有技术相比，本专利技术的有益效果是：从硬件、数据安全方面对电网设备整个生命周期内的安全状态进行监控，实现无人化监控，提高了工作效率，另外能够主动对设备的安全进行防护。
附图说明
[0012]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述所需要使用的
附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0013]图1为本专利技术一种基于共享服务的电网设备全生命周期监控系统的框架结构示意图；
[0014]图2为本专利技术中网络通信安全监控模块的框架结构示意图；
[0015]图3为本专利技术中硬件设备安全监控模块的框架结构示意图；
[0016]图4为本专利技术中数据安全监控模块的框架结构示意图。
[0017]附图中，各标号所代表的部件列表如下：
[0018]1‑
网络通信安全监控模块，11
‑
网络拓扑结构单元，12
‑
网络边界防护单元，13
‑
网络安全审计单元，2
‑
硬件设备安全监控模块，21
‑...

【技术保护点】

【技术特征摘要】
1.一种基于共享服务的电网设备全生命周期监控系统，其特征在于，包括网络通信安全监控模块(1)、硬件设备安全监控模块(2)、数据安全监控模块(3)、运维安全监控模块(4)，所述网络通信安全监控模块(1)用于对电网设备的网络通信安全进行监控，所述硬件设备安全监控模块(2)用于对电网设备中的硬件安全进行监控，所述数据安全监控模块(3)用于对电网设备的数据安全进行监控，所述运维安全监控模块(4)用于对电网设备的运维安全进行监控。2.根据权利要求1所述的一种基于共享服务的电网设备全生命周期监控系统，其特征在于，所述网络通信安全监控模块(1)包括网络拓扑结构单元(11)、网络边界防护单元(12)、网络安全审计单元(13)，所述网络拓扑结构单元(11)用于保证网络设备的业务处理能力具备冗余空间和链路负载均衡能力，满足业务高峰期需要，所述网络边界防护单元(12)通过ACL技术或防火墙技术，在网络边界或区域之间根据访问控制策略设置访问控制规则，实现端口级访问控制，默认情况下除允许通信外，受控接口拒绝所有通信，删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化，并对源地址、目的地址、源端口、目的端口和协议进行检查，以允许或拒绝数据包进出，保证信息及网络资源不被非法使用和访问，通过入侵监测技术，在网络边界处监视攻击行为，并给予告警以及响应和处理，在网络边界及核心业务网段处对恶意代码进行检测和清除，及时实现恶意代码库升级和检测系统更新，通过网络安全扫描工具，利用优化系统配置和打补丁弥补最新的安全漏洞和消除安全隐患，所述网络安全审计单元(13)对网络设备、安全设备运行状况、网络流量、用户行为进行日志信息实时采集、集中监控及实时预警。3.根据权利要求2所述的一种基于共享服务的电网设备全生命周期监控系统，其特征在于，所述日志信息应包括事件的日期和时间、用户、事件类型、事件是否成功。4.根据权利要求1所述的一种基于共享服务的电网设备全生命周期监控系统，其特征在于，所述硬件设备安全监控模块(2)包括硬件安全单元(21)、操作系统安全单元(22)、中间件安全单元(23)，所述硬件安全单元(21)采用服务器设备，具备冗余配置、不间断电源保障、服务器运行状态监控功能，确保本系统中硬件设备的处理性能要求，所述操作系统安全单元(22)用于加强操作系统账号管理、认证授权、安全日志，实现从身份鉴别、访问控制、安全审计入侵防范、恶意代码规范、资源控制方面进行主机安全基线加固，所述中间件安全单元(23)从身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制方面进行中间件安全基线加...

【专利技术属性】
技术研发人员：张凌志，敖知琪，姜唯，杨漾，康旖，刘竹青，刘明伟，
申请(专利权)人：南方电网数字电网研究院有限公司，
类型：发明
国别省市：