本发明专利技术公开了一种运维网关免配置运维方法、系统、装置及存储介质,其中方法包括:基于运维终端通过IP自动分配类协议获取IP后建立的管理通道,获取运维终端发起的运维连接;根据所述运维连接自动识别应用协议,对管控列表中的应用协议进行代理和管控,对非管控列表中的应用协议进行透明转发和记录审计。本发明专利技术在不改变原有变电站运维方式、不增加额外配置、不增加额外IP资源的前提下,实现对被运维对象的运维,不会降低现场运维的效率,且整个运维过程可管控、可审计、可回放、可追溯,大大提高了变电站的网络安全性。了变电站的网络安全性。了变电站的网络安全性。
【技术实现步骤摘要】
一种运维网关免配置运维方法、系统、装置及存储介质
[0001]本专利技术属于安全运维
,具体涉及一种运维网关免配置运维方法、系统、装置及存储介质。
技术介绍
[0002]随着网络安全法、网络安全等级保护和关键信息基础设施安全保护条例的实施,变电站的网络安全越来越得到重视。目前,变电站的边界防护,安全监测已经部署了相应的设备,但是安全运维方面仍有所欠缺。
[0003]由于变电站通常都是一个局域网,变电站设备的运维调试,主要方法是运维人员在运维终端配置一个同网段的IP地址,然后将运维终端接入变电站的交换机进行配置和调试。为了实现对运维过程的管控,在运维终端和被运维对象之间加入了运维网关。但是由于运维人员经验水平不同,无法有效的对运维网关进行配置,错误的配置可能会影响现场运维的效率和效果,甚至有可能造成对错误的被运维对象进行运维进而导致严重的安全事故。
[0004]因此,目前无法实现对变电站各类设备的安全运维调试,特别是对尽可能不改变目前运维方式,不降低运维效率的方法或设备的需求越来越迫切。
技术实现思路
[0005]本专利技术的目的在于克服现有技术中的不足,提供一种运维网关免配置运维方法、系统、装置及存储介质,在不改变原有变电站运维方式、不增加额外配置、不增加额外IP资源的前提下,实现对被运维对象的运维,不会降低现场运维的效率,且整个运维过程可管控、可审计、可回放、可追溯,进一步提高了变电站的网络安全性。
[0006]本专利技术提供了如下的技术方案:第一方面,提供一种运维网关免配置运维方法,包括:基于运维终端通过IP自动分配类协议获取IP后建立的管理通道,获取运维终端发起的运维连接;根据所述运维连接自动识别应用协议,对管控列表中的应用协议进行代理和管控,对非管控列表中的应用协议进行透明转发和记录审计。
[0007]进一步的,所述运维网关存储有序列化的IP并开启IP自动分配功能;所述运维终端设有管控软件,所述管控软件通过IP自动分配类协议从运维网关处获取IP后,采用所述IP与运维网关建立管理通道,所述运维终端支持以手动方式添加IP。
[0008]进一步的,所述运维终端设有管控软件,所述管控软件在管理通道中作为TCP连接的客户端与运维网关通信;通信采用私有协议,所述私有协议含有加密和认证功能,所述私有协议用于实现运维终端的接入认证、运维终端的状态传输和运维过程的屏幕录制数据;所述管理通道初始化时将合法的运维源IP通知运维网关,运维连接建立时对源IP进行合法性校验。
[0009]进一步的,所述运维终端设有运维工具软件,所述运维工具软件根据被运维对象的运维参数发起运维连接;所述运维参数包括网络连接中的协议类型、目的IP、目的端口参数以及串口连接中的波特率、数据位、停止位、校验位参数。
[0010]进一步的,所述自动识别应用协议包括根据应用协议的特征判断其协议类型,所述应用协议包括网络运维协议、串口运维协议和工控协议,所述网络运维协议包括SSH和TELNET,所述串口运维协议包括CONSOLE,所述工控协议包括网络类工控协议IEC104和IEC61850以及串口类工控协议IEC101。
[0011]进一步的,对应用协议进行的管控包括:需阻断或告警的非法协议端口、对命令控制类协议需阻断或告警的危险命令、对文件传输类协议需阻断或告警的病毒特征库;对网络协议进行的代理采用透明代理方式,不改变链接的协议类型、源/目的IP、源/目的端口;对串口协议的代理不改变串口通道参数。
[0012]进一步的,对网络协议的透明转发不对协议进行传输层的代理,直接将报文转发至对侧网口;对串口协议的透明转发直接将串口报文以相同通道参数的串口转发到对侧。
[0013]第二方面,提供一种运维网关免配置运维系统,包括:运维连接获取模块,用于基于运维终端通过IP自动分配类协议获取IP后建立的管理通道,获取运维终端发起的运维连接;识别及管理模块,用于根据所述运维连接自动识别应用协议,对管控列表中的应用协议进行代理和管控,对非管控列表中的应用协议进行透明转发和记录审计。
[0014]第三方面,提供一种运维网关免配置运维装置,包括处理器及存储介质;所述存储介质用于存储指令;所述处理器用于根据所述指令进行操作以执行第一方面所述方法的步骤。
[0015]第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面所述方法的步骤。
[0016]与现有技术相比,本专利技术的有益效果是:(1)本专利技术提供的运维网关免配置运维方法,运维终端通过IP自动分配类协议获取IP后与运维网关建立管理通道,不会增加额外的IP资源,运维人员无须知道变电站的IP分配情况,无须为运维网关配置IP;(2)本专利技术提供的运维网关免配置运维方法,基于管理通道获取运维终端发起的运维连接,根据运维连接自动识别应用协议,对管控列表中的应用协议进行代理和管控,对非管控列表中的应用协议进行透明转发和记录审计,可以不需要对运维网关进行配置,不需要对运维人员有额外的要求,运维网关对运维过程实现了自动接入、自动识别和管控,不降低现场运维的效率;(3)采用本专利技术提供的运维网关免配置运维方法,可以不改变原有运维方式,仅仅是在运维终端和被运维对象之间接入运维网关,运维网关对运维人员是透明的;(4)采用本专利技术提供的运维网关免配置运维方法,可以避免在常规运维过程中引入的网络安全威胁和风险,整个运维过程可管控、可审计、可回放、可追溯,大大提高了变电站的网络安全性。
附图说明
[0017]图1是本专利技术实施例中运维网关免配置运维方法的网络结构和步骤示意图。
具体实施方式
[0018]下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。
[0019]实施例1如图1所示,本实施例提供一种运维网关免配置运维方法,步骤如下:步骤1、基于运维终端通过IP自动分配类协议获取IP后建立的管理通道,获取运维终端发起的运维连接。
[0020]运维网关出厂已存储有序列化的IP并开启IP自动分配功能。运维终端设有管控软件,用于配合运维网关实现运维功能。管控软件打开后会自动探测网络中的运维网关,通过IP自动分配类协议从运维网关处获取IP,然后采用所述IP与运维网关建立管理通道;另外,由于运维终端需要手动配置用于运维的IP,所以还需要支持以手动方式添加IP。
[0021]管控软件在管理通道中作为TCP连接的客户端与运维网关通信;通信采用私有协议,私有协议用于实现运维终端的接入认证、运维终端的状态传输和运维过程的屏幕录制数据。所述私有协议含有加密和认证功能:加密算法采用对称加密,对称密钥在每次建立连接后由通信双方协商完成,由于密钥的生成过程含有随机数,每次加密的密钥不同;认证过程采用单向认证,运维终端通过采用UKEY或生物特征与运维网关进行认证。
[0022]管理通道的建立是运维连接建立的必要条件,运维连接建立前,必须有管理通道,若管理通本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种运维网关免配置运维方法,其特征在于,包括:基于运维终端通过IP自动分配类协议获取IP后建立的管理通道,获取运维终端发起的运维连接;根据所述运维连接自动识别应用协议,对管控列表中的应用协议进行代理和管控,对非管控列表中的应用协议进行透明转发和记录审计。2.根据权利要求1所述的运维网关免配置运维方法,其特征在于,所述运维网关存储有序列化的IP并开启IP自动分配功能;所述运维终端设有管控软件,所述管控软件通过IP自动分配类协议从运维网关处获取IP后,采用所述IP与运维网关建立管理通道,所述运维终端支持以手动方式添加IP。3.根据权利要求1所述的运维网关免配置运维方法,其特征在于,所述运维终端设有管控软件,所述管控软件在管理通道中作为TCP连接的客户端与运维网关通信;通信采用私有协议,所述私有协议含有加密和认证功能,所述私有协议用于实现运维终端的接入认证、运维终端的状态传输和运维过程的屏幕录制数据;所述管理通道初始化时将合法的运维源IP通知运维网关,运维连接建立时对源IP进行合法性校验。4.根据权利要求1所述的运维网关免配置运维方法,其特征在于,所述运维终端设有运维工具软件,所述运维工具软件根据被运维对象的运维参数发起运维连接;所述运维参数包括网络连接中的协议类型、目的IP、目的端口参数以及串口连接中的波特率、数据位、停止位、校验位参数。5.根据权利要求1所述的运维网关免配置运维方法,其特征在于,所述自动识别应用协议包括根据应用协议的特征判断其协议类型,所述应用协议包括网络运维协议、串口运维协议和...
【专利技术属性】
技术研发人员:曹翔,唐大圆,彭闯,汤震宇,林青,缪海飞,陶耕宇,陈宝鼎,胡绍谦,
申请(专利权)人:南京南瑞继保电气有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。