本申请涉及一种适用于电力工控系统的移动式安全运维系统及方法,其中,系统包括:运维终端和网关设备,运维终端部署有管控软件,网关设备设置于运维终端和被运维设备之间,用于接收管理用户输入的运维策略并监控运维终端根据运维策略对被运维设备的运维操作过程;运维终端,用于接收运维用户根据运维策略输入的配置信息并根据配置信息开放访问端口,以对被运维设备进行运维操作;管控软件用于监测运维终端的运行信息,根据运行信息确定运维终端的安全状态,录制运维用户对运维终端的屏幕操作过程并将录制的屏幕操作过程发送给网关设备进行存储,有效避免运维终端传播病毒以及运维过程信息泄露等高风险行为,保障了电网系统的安全运行。安全运行。安全运行。
【技术实现步骤摘要】
一种适用于电力工控系统的移动式安全运维系统及方法
[0001]本申请涉及电气自动化
,特别是涉及一种适用于电力工控系统的移动式安全运维系统及方法。
技术介绍
[0002]随着生活水平的提高,电已经成为人们生活中不可缺少的一种资源,全国电网系统稳定、安全地运行是保障人民生活用电的基础。在变电站、电厂等地点开展电力监控系统运维时,通常需要接入便携式电脑等运维终端,由于外接的运维终端来源复杂,容易发生病毒传播及网络外联等高风险行为,无法保障电网系统的安全运行,甚至导致电网系统瘫痪,严重影响人们用电。
技术实现思路
[0003]基于此,本申请提供了一种适用于电力工控系统的移动式安全运维系统及方法,以保证电网系统的安全运行。
[0004]第一方面,提供一种适用于电力工控系统的移动式安全运维系统,该系统包括:运维终端和网关设备,运维终端部署有管控软件;其中,
[0005]网关设备,设置于运维终端和被运维设备之间,用于接收管理用户输入的运维策略,并监控运维终端根据运维策略对被运维设备的运维操作过程;
[0006]运维终端,用于接收运维用户根据运维策略输入的配置信息,并根据配置信息开放访问端口,以对被运维设备进行运维操作;
[0007]管控软件,用于监测运维终端的运行信息,根据运行信息确定运维终端的安全状态,录制运维用户对运维终端的屏幕操作过程并将录制的屏幕操作过程发送给网关设备进行存储。
[0008]根据本申请实施例中一种可实现的方式,运行信息包括软件安装信息;管控软件包括:非法外联管控模块、安全监测模块、视频录制模块;
[0009]非法外联管控模块,用于当运维终端使用第一通信连接被运维设备进行运维操作时,禁止运维终端使用第二通信连接;
[0010]安全监测模块,用于根据软件安装信息,确定运维终端已安装必备软件,必备软件为防止病毒入侵运维终端的软件;
[0011]视频录制模块,用于录制管理用户对运维终端的桌面的操作过程,并将录制的操作过程发送至网关设备进行存储。
[0012]根据本申请实施例中一种可实现的方式,该系统还包括:
[0013]网关平台,用于依据管理用户配置的人员管理策略,在网关设备中配置运维用户的权限信息;获取管理用户预先输入的运维策略并发送给网关设备。
[0014]根据本申请实施例中一种可实现的方式,网关设备,还用于将运维操作过程中产生的日志保存至网关平台。
[0015]根据本申请实施例中一种可实现的方式,网关设备包括身份认证模块,还包括网络通信模块、串口通信模块、USB文件通信模块、KVM运维操作模块中的至少一种;
[0016]身份认证模块,用于根据运维用户输入的用户信息,确定运维用户的运维权限;
[0017]网络通信模块,用于当运维用户为授权用户时,监测运维终端的网络通信信息,并根据网络通信信息管控运维操作过程;
[0018]串口通信模块,用于当运维用户为授权用户时,监测运维终端的串口通信信息,并根据串口通信信息管控运维操作过程;
[0019]USB文件通信模块,用于当运维用户为授权用户时,连接USB存储设备,调用文件查杀引擎对USB存储设备中的预置文件进行查杀,并将查杀后的预置文件虚拟挂载到被运维设备;
[0020]KVM运维操作模块,用于当运维用户为授权用户时,连接外设部件,将运维用户通过外设部件的运维操作数据传输至被运维设备。
[0021]根据本申请实施例中一种可实现的方式,网络通信模块,还用于:
[0022]采用中间人劫持方式对使用安全外壳协议SSh或者安全档案传送协议SFTP传输的网络通信信息进行解析,得到协议指令;
[0023]对协议指令进行风险识别,若识别结果为高风险指令,则对协议指令进行阻断或报警。
[0024]根据本申请实施例中一种可实现的方式,身份认证模块,还用于当运维用户为非授权用户时,向运维终端发送授权失败的提示信息,以使管理用户授予运维用户的运维权限。
[0025]第二方面,提供了一种适用于电力工控系统的移动式安全运维方法,移动式安全运维方法应用于电力监控系统的移动式安全运维系统,移动式安全运维系统包括运维终端和网关设备,运维终端部署有管控软件;该方法包括:
[0026]运维终端接收运维用户根据运维策略输入的配置信息,并根据配置信息开放访问端口,以对被运维设备进行运维操作;
[0027]网关设备监控运维终端根据管理用户输入的运维策略对被运维设备的运维操作过程;
[0028]其中,管控软件监测运维终端的运行信息,根据运行信息确定运维终端的安全状态,录制运维用户对运维终端的屏幕操作过程并将录制的屏幕操作过程发送给网关设备进行存储。
[0029]根据本申请实施例中一种可实现的方式,管控软件监测运维终端的运行信息,根据运行信息确定运维终端的安全状态包括:
[0030]管控软件根据运维终端的软件安装信息,确定运维终端已安装必备软件,必备软件为防止病毒入侵运维终端的软件;以及,当运维终端使用第一通信连接对被运维设备进行运维操作时,管控软件禁止运维终端使用第二通信连接。
[0031]根据本申请实施例中一种可实现的方式,网关设备监控运维终端根据管理用户输入的运维策略对被运维设备的运维操作过程包括:
[0032]网关设备根据运维用户输入的用户信息,确定运维用户的运维权限;当运维用户为授权用户时,执行以下处理中的至少一种:
[0033]监测运维终端的网络通信信息,并根据网络通信信息管控运维操作过程;
[0034]监测运维终端的串口通信信息,并根据串口通信信息管控运维操作过程;
[0035]连接USB存储设备,调用文件查杀引擎对USB存储设备中的预置文件进行查杀,并将查杀后的预置文件虚拟挂载到被运维设备;以及,
[0036]连接外设部件,将运维用户通过外设部件的运维操作数据传输至被运维设备。
[0037]根据本申请实施例所提供的
技术实现思路
,移动式安全运维系统包括:运维终端和网关设备,运维终端部署有管控软件,其中,网关设备,设置于运维终端和被运维设备之间,用于接收管理用户输入的运维策略,并监控运维终端根据运维策略对被运维设备的运维操作过程,运维终端,用于接收运维用户根据运维策略输入的配置信息,并根据配置信息开放访问端口,以对被运维设备进行运维操作,管控软件,用于监测运维终端的运行信息,根据运行信息确定运维终端的安全状态,录制运维用户对运维终端的屏幕操作过程并将录制的屏幕操作过程发送给网关设备进行存储,有效避免运维终端传播病毒以及运维过程信息泄露等高风险行为,保障了电网系统的安全运行。
附图说明
[0038]图1为本申请一个实施例中移动式安全运维系统的结构示意图;
[0039]图2为本申请一个实施例中管控软件的结构示意图;
[0040]图3为本申请一个实施例中网关设备的结构示意图;
[0041]图4为本申请一个实施例中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种适用于电力工控系统的移动式安全运维系统,其特征在于,所述系统包括:运维终端和网关设备,所述运维终端部署有管控软件;其中,所述网关设备,设置于所述运维终端和被运维设备之间,用于接收管理用户输入的运维策略,并监控所述运维终端根据所述运维策略对所述被运维设备的运维操作过程;所述运维终端,用于接收运维用户根据所述运维策略输入的配置信息,并根据所述配置信息开放访问端口,以对所述被运维设备进行运维操作;所述管控软件,用于监测所述运维终端的运行信息,根据所述运行信息确定所述运维终端的安全状态,录制所述运维用户对所述运维终端的屏幕操作过程并将录制的屏幕操作过程发送给所述网关设备进行存储。2.根据权利要求1所述的系统,其特征在于,所述运行信息包括软件安装信息;所述管控软件包括:非法外联管控模块、安全监测模块、视频录制模块;所述非法外联管控模块,用于当所述运维终端使用第一通信连接对所述被运维设备进行运维操作时,禁止所述运维终端使用第二通信连接;所述安全监测模块,用于根据所述软件安装信息,确定所述运维终端已安装必备软件,所述必备软件为防止病毒入侵所述运维终端的软件;所述视频录制模块,用于录制管理用户对所述运维终端的桌面的操作过程,并将录制的操作过程发送至所述网关设备进行存储。3.根据权利要求1所述的系统,其特征在于,所述系统还包括:网关平台,用于依据管理用户配置的人员管理策略,在所述网关设备中配置运维用户的权限信息;获取管理用户预先输入的运维策略并发送给所述网关设备。4.根据权利要求3所述的系统,其特征在于,所述网关设备,还用于将所述运维操作过程中产生的日志保存至所述网关平台。5.根据权利要求1所述的系统,其特征在于,所述网关设备包括身份认证模块,还包括网络通信模块、串口通信模块、USB文件通信模块和KVM运维操作模块中的至少一种;所述身份认证模块,用于根据所述运维用户输入的用户信息,确定所述运维用户的运维权限;所述网络通信模块,用于当所述运维用户为授权用户时,监测所述运维终端的网络通信信息,并根据所述网络通信信息管控所述运维操作过程;所述串口通信模块,用于当所述运维用户为授权用户时,监测所述运维终端的串口通信信息,并根据所述串口通信信息管控所述运维操作过程;所述USB文件通信模块,用于当所述运维用户为授权用户时,连接USB存储设备,调用文件查杀引擎对所述USB存储设备中的预置文件进行查杀,并将查杀后的预置文件虚拟挂载到所述被运维设备;所述KVM运维操作模块,用于当所述运维用户为授权用户时,连接外设部...
【专利技术属性】
技术研发人员:汪明,王黎明,周劼英,付饶,詹雄,董昱,许洪强,郭建成,朱灌忠,王齐,余璟,周献飞,任浩,刘冉,刘锋,刘欣,
申请(专利权)人:国家电网有限公司国网江苏省电力有限公司徐州供电分公司国网江苏省电力有限公司宿迁供电分公司国网北京市电力公司国网新疆电力有限公司国网信息通信产业集团有限公司国网智能电网研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。