一种数据安全防护方法及系统、存储介质、计算机设备技术方案

本发明专利技术提供了一种数据安全防护方法及系统、存储介质、计算机设备，方法包括如下步骤：基于电力物联网系统的系统构架，将针对电力物联网系统的数据安全防护划分为多个目标安全层面；目标安全层面包括感知安全层面、网络安全层面、平台安全层面及应用安全层面中至少之一；对各目标安全层面匹配相应的目标安防策略；利用各目标安全层面对应的目标安防策略对电力物联网系统进行数据安全防护。本发明专利技术实现了多方面、全方位角度来解决电网智慧物联体系中可能存在的数据安全风险，最大限度的保障电网智慧物联体系的安全、可靠和稳定运行。可靠和稳定运行。可靠和稳定运行。

【技术实现步骤摘要】
一种数据安全防护方法及系统、存储介质、计算机设备


[0001]本专利技术涉及网络数据安全防护
，特别是涉及一种数据安全防护方法及系统、存储介质、计算机设备。

技术介绍

[0002]现有的电力物联网在传统电力物联网的基础上实现了智能化，也被称为“智慧电网”或“电网2.0”，是建立在集成的、高速双向通信网络的基础上，通过先进的传感和测量技术、先进的设备技术、先进的控制方法以及先进的决策支持系统技术的应用，实现电网的可靠、安全、经济、高效、环境友好和使用安全的目标，其主要特征包括自愈、激励和保护用户、抵御攻击、提供满足用户需求的电能质量、容许各种不同发电形式的接入、启动电力市场以及资产的优化高效运行。目前，电力企业基于“智慧电网”打造出电网智慧物联体系，实现了大量传感设备的互联，相对于传统的电力物联网而言，所连接的设备更多、范围更广，涉及电网侧、用户侧的大量相关设备和系统。目前，电网公司基于上述技术打造出电网智慧物联体系，且普遍认为电网智慧物联体系包括电网环节和综合能源服务环节，其中综合能源服务环节是未来电网公司潜在的服务增长点。传统的电网企业由于没有完全对外提供公众服务，安全防御体系仍采用传统的隔离手段，尚不具备稳定的安全防护能力，未来如果由于电网智慧物联体系用户数据安全防护出现漏洞，一旦泄露客户电、能源消费关联地理信息、电子账单等信息，会造成较为严重的事故。随着数以亿计的物联设备接入电网，未来电网智慧物联体系的安全需要实现可信互联安全互动，迫切需要构造新一代的智能防御体系。

技术实现思路

[0003]鉴于上述问题，本专利技术提出了一种针对电力物联网系统的数据安全防护方法，通过建立针对电力物联网系统的数据安防架构，分别从感知层、网络层、平台层、应用层四个层面分析电力物联网系统潜在的数据安全风险，最大限度的保障电力物联网系统的安全、可靠和稳定运行。
[0004]依据本专利技术第一方面，提供了一种数据安全防护方法，应用于电力物联网系统，包括：
[0005]基于所述电力物联网系统的系统构架，将针对所述电力物联网系统的数据安全防护划分为多个目标安全层面；所述目标安全层面包括感知安全层面、网络安全层面、平台安全层面及应用安全层面中至少之一；
[0006]对各所述目标安全层面匹配相应的目标安防策略；
[0007]利用各所述目标安全层面对应的目标安防策略对所述电力物联网系统进行数据安全防护。
[0008]可选地，所述对各所述目标安全层面匹配相应的目标安防策略，包括：
[0009]对所述感知安全层面匹配对应的感知层身份验证策略、终端加密接入策略、终端异常监测策略及设备安全更新策略中至少之一；
[0010]其中，所述感知层身份验证策略为建立基于Merlde树形结构的数据采集终端身份验证机制；
[0011]所述终端加密接入策略为通过基于PKI的强身份认证强化终端集成软件时的加密接入；
[0012]所述终端异常监测策略为采用人工智能技术针对终端行为逻辑进行建模，以实现针对终端不稳定性和随机性的自动分析和/或策略匹配；
[0013]所述设备安全更新策略为设置设备更新提醒机制，以实现对设备固件的定期更新。
[0014]可选地，所述建立基于Merlde树形结构的数据采集终端身份验证机制，包括：
[0015]对至少一个末端节点部署各自对应的身份参数，依据所述身份参数计算各所述末端节点的哈希值作为子树的根哈希值；其中，所述末端节点包括传感节点和数据采集节点；所述传感节点为所述电力物联网系统中的各类传感器；所述数据采集节点为所述电力物联网系统中的各数据采集终端；
[0016]将所述根哈希值提供至对应的超级节点；所述超级节点用于预存本管辖区域的子树的根哈希值；
[0017]对至少一个超级节点部署各自对应的身份参数，依据所述身份参数计算各所述超级节点的哈希值，并向所述电力物联网系统的平台层提供所述哈希值；所述平台层预存所述各超级节点构成的子树的哈希值；
[0018]所述末端节点通过所述超级节点和/或汇聚层节点向平台层进行数据传输；
[0019]其中，所述身份参数包括编号、识别码、加密密钥、解密密钥中至少之一。
[0020]可选地，所述对各所述目标安全层面匹配相应的目标安防策略，还包括：
[0021]对所述网络安全层面匹配对应的空口侧数据安全策略、传输侧数据安全策略及核心侧数据安全策略中至少之一；
[0022]其中，所述空口侧数据安全策略为通过DRB的差异化配置和资源调度方式对所述电力物联网系统中的各电力业务提供空口侧的切片；
[0023]所述传输侧数据安全策略为设置基于VLAN隔离的软隔离机制及基于SPN方案融合弹性以太网和TDM技术的硬隔离机制；
[0024]所述核心侧数据安全策略为利用NFv技术构建的虚拟化平台为所述电力物联网系统提供虚拟硬件资源池，并为所述电力物联网系统配置各类网络功能。
[0025]可选地，所述对各所述目标安全层面匹配相应的目标安防策略，还包括：
[0026]对所述平台安全层面匹配对应的通信子树构建策略及数据开放共享策略中至少之一；
[0027]其中，所述通信子树构建策略为建立基于树形结构的通性节点传输机制；
[0028]所述数据开放共享策略为建立云平台和/或大数据平台以支持异构数据的存储、共享和/或集成功能。
[0029]可选地，所述对各所述目标安全层面匹配相应的目标安防策略，还包括：
[0030]对所述应用安全层面匹配对应的恶意入侵检测策略、业务独立运行策略及业务数据存储策略中至少之一；
[0031]其中，所述恶意入侵检测策略为对所述电力物联网系统建立IDS入侵检测机制；
[0032]所述业务独立运行策略为基于微服务架构配置所述电力物联网系统涵盖的各项应用业务。
[0033]可选地，所述所述业务数据存储策略包括用户信息保密子策略及业务数据配置子策略中至少之一；
[0034]其中，所述用户信息保密子策略为由统一权限平台管理用户信息数据以保证用户信息数据的存储保密性；
[0035]所述业务数据配置子策略为对业务数据进行国密MD5加密算法加密存储，并由服务器端数据库和/或信息内网存储所述业务数据。
[0036]依据本专利技术第二方面，提供了一种数据安全防护系统，应用于电力物联网系统，包括：
[0037]安防层面划分模块，用于基于所述电力物联网系统的系统构架，将针对所述电力物联网系统的数据安全防护划分为多个目标安全层面；所述目标安全层面包括感知安全层面、网络安全层面、平台安全层面及应用安全层面中至少之一；
[0038]安防策略匹配模块，用于对各所述目标安全层面匹配相应的目标安防策略；
[0039]安防计划执行模块，用于利用各所述目标安全层面对应的目标安防策略对所述电力物联网系统进行数据安全防护。
[0040]依据本专利技术第三方面，提供了一种存储介质，所述存储介质上存储有计算机本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据安全防护方法，应用于电力物联网系统，其特征在于，包括：基于所述电力物联网系统的系统构架，将针对所述电力物联网系统的数据安全防护划分为多个目标安全层面；所述目标安全层面包括感知安全层面、网络安全层面、平台安全层面及应用安全层面中至少之一；对各所述目标安全层面匹配相应的目标安防策略；利用各所述目标安全层面对应的目标安防策略对所述电力物联网系统进行数据安全防护。2.根据权利要求1所述的数据安全防护方法，其特征在于，所述对各所述目标安全层面匹配相应的目标安防策略，包括：对所述感知安全层面匹配对应的感知层身份验证策略、终端加密接入策略、终端异常监测策略及设备安全更新策略中至少之一；其中，所述感知层身份验证策略为建立基于Merlde树形结构的数据采集终端身份验证机制；所述终端加密接入策略为通过基于PKI的强身份认证强化终端集成软件时的加密接入；所述终端异常监测策略为采用人工智能技术针对终端行为逻辑进行建模，以实现针对终端不稳定性和随机性的自动分析和/或策略匹配；所述设备安全更新策略为设置设备更新提醒机制，以实现对设备固件的定期更新。3.根据权利要求2所述的数据安全防护方法，其特征在于，所述建立基于Merlde树形结构的数据采集终端身份验证机制，包括：对至少一个末端节点部署各自对应的身份参数，依据所述身份参数计算各所述末端节点的哈希值作为子树的根哈希值；其中，所述末端节点包括传感节点和数据采集节点；所述传感节点为所述电力物联网系统中的各类传感器；所述数据采集节点为所述电力物联网系统中的各数据采集终端；将所述根哈希值提供至对应的超级节点；所述超级节点用于预存本管辖区域的子树的根哈希值；对至少一个超级节点部署各自对应的身份参数，依据所述身份参数计算各所述超级节点的哈希值，并向所述电力物联网系统的平台层提供所述哈希值；所述平台层预存所述各超级节点构成的子树的哈希值；所述末端节点通过所述超级节点和/或汇聚层节点向平台层进行数据传输；其中，所述身份参数包括编号、识别码、加密密钥、解密密钥中至少之一。4.根据权利要求1所述的数据安全防护方法，其特征在于，所述对各所述目标安全层面匹配相应的目标安防策略，还包括：对所述网络安全层面匹配对应的空口侧数据安全策略、传输侧数据安全策略及核心侧数据安全策略中至少之一；其中，所述空口侧数据安全策略为通过DRB的差异化配置和资源调度方式对所述电力物联网系统中的各电力业务提供空口侧的切片；所述传输侧数据安...

【专利技术属性】
技术研发人员：高伟，张丽霞，刘泽辉，马东娟，景卫哲，郭旻，孙海川，杨华，杨大哲，杨姝，琚贇，邵晓琪，高焜，
申请(专利权)人：华北电力大学，
类型：发明
国别省市：