【技术实现步骤摘要】
本专利技术涉及电力工控领域及软件领域,尤其涉及一种电力工控软件供应链分析方法。
技术介绍
1、电力系统按照业务来分,一般分为发、输、变、配、用、调度,包含了从发电厂到供电公司配电系统的转移过程,配电通过将电力送达消费者完成电力系统的全部功能。电力工控系统主要用于上述电力生产和供应过程的工业控制,如调度侧的智能电网调度技术支持系统、变电站侧的综合自动化系统以及发电厂侧的分散控制系统等。
2、电力工控系统主要通过电力工控软件实现电力系统的功能。电力工控软件包括设备控制软件、编程软件、组态软件以及工控协议软件等,可以实现数据采集、人机界面、软件应用、过程控制、数据库、数据通信等电力系统的功能。混源开发已经成为当前业内主流开发方式,随着开源组件的使用比例越来越高,开源安全问题引入电力工控软件供应链。电力工控软件供应链可以参照开源软件供应链,可划分为开发、交付、运营三个大环节,每个环节都可能引入安全风险。电力工控软件关系到电力系统的安全和人们生命财产的安全,其安全性和可靠性要求非常高。
3、本专利技术旨在研究电力工控软件供应链分析框架,从工控软件源代码、二进制代码以及软件运行环境等多维度构建软件供应链安全分析框架,分析工控软件在供应链各环节的安全性。研究电力工控软件在异构环境下的代码安全性,以代码克隆检测为基础,从源代码和二进制代码两方面对工控软件进行跨平台、跨架构、跨优化的安全性研究,构建电力系统中常用工控软件与重用组件代码的关联关系。
技术实现思路
1、本专利技术
2、本专利技术提供一种电力工控软件供应链分析方法,所述电力工控软件供应链分析方法,包括:
3、获取待分析的目标电力工控软件的软件信息;
4、根据所述软件信息,确定目标电力工控软件是否为预先设置的黑名单软件库中软件;
5、若是,提示目标电力工控软件属于黑名单软件;
6、若否,在预先设置的白名单软件库中对所述目标电力工控软件进行匹配;
7、在匹配成功时,提示所述目标电力工控软件加属于白名单软件;
8、在未匹配成功时,对所述目标电力工控软件进行溯源分析;
9、根据溯源分析结果,对所述目标电力工控软件进行安全性分析;
10、根据安全性分析结果,判断是否将目标电力工控软件加入白名单软件库,以确定是否将所述目标电力工控软件加入电力工控软件供应链。
11、可选地,所述电力工控软件供应链分析方法,还包括:
12、通过目标电力工控软件的sbom获取软件信息。
13、可选地,所述对所述目标电力工控软件进行溯源分析,包括:
14、在目标电力工控软件为源代码的情况下,按照文件粒度,将所述目标电力工控软件的各个目标源代码文件进行溯源分析。
15、可选地,所述将所述目标电力工控软件的各个目标源代码文件进行溯源分析,包括:
16、对于每个目标源代码文件,在预先构建的开源源码分析仓库中对该目标源代码文件进行文本相似性匹配和功能相似性匹配;
17、在开源源码分析仓库中存在第一开源代码与该目标源代码文件的文本相似度达到第一文本相似比例阈值的情况下,确定所述第一开源代码与该目标源代码文件同源;
18、在开源源码分析仓库中存在第二开源代码与该目标源代码文件的文本相似度达到第二文本相似比例阈值并小于第一文本相似比例阈值,并且两者的功能相似度达到功能相似阈值的情况下,确定所述第二开源代码与该目标源代码文件同源;
19、在开源源码分析仓库中任一目标开源代码与该目标源代码文件的文本相似度小于第二文本相似比例阈值的情况下,确定该目标源代码文件为闭源代码。
20、可选地,所述对所述目标电力工控软件进行溯源分析,还包括:
21、在目标电力工控软件为二进制代码的情况下,将目标电力工控软件的二进制代码反编译成汇编代码,按照文件粒度,将第一汇编代码的各个目标汇编代码文件进行溯源分析。
22、可选地,所述对所述目标电力工控软件进行安全性分析,包括:
23、根据预设的软件漏洞库,判断目标电力工控软件是否具有漏洞风险;
24、在具有漏洞风险的情况下,将目标电力工控软件加入黑名单软件库;
25、在不具有漏洞风险的情况下,将目标电力工控软件加入白名单软件库。
26、可选地,所述将目标电力工控软件加入白名单软件库之后,包括:
27、在电力工控系统中建立虚拟机,通过所述虚拟机获取电力工控系统的数据并隔离向工控系统发送数据;
28、在所述虚拟机中,基于容器的跨平台部署方式,在容器中运行目标电力工控软件的镜像;
29、监测镜像运行状态,在根据运行状态确定镜像存在漏洞风险的情况下,将目标电力工控软件加入黑名单软件库。
30、可选地,在容器中设置模拟时间,所述模拟时间是计算机标准时间的至少2倍。
31、本专利技术根据黑名单软件库和白名单软件库对待分析的目标电力工控软件进行初步的安全性分析,在此基础上进行溯源分析,从而从根源上避免将风险问题引入电力工控系统,进而提高电力工控系统的可靠性、安全性等,有效提高了电力工控软件供应链的安全性。
32、上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
本文档来自技高网...【技术保护点】
1.一种电力工控软件供应链分析方法,其特征在于,所述电力工控软件供应链分析方法,包括:
2.根据权利要求1所述的电力工控软件供应链分析方法,其特征在于,所述电力工控软件供应链分析方法,还包括:
3.根据权利要求1所述的电力工控软件供应链分析方法,其特征在于,所述对所述目标电力工控软件进行溯源分析,包括:
4.根据权利要求3所述的电力工控软件供应链分析方法,其特征在于,所述将所述目标电力工控软件的各个目标源代码文件进行溯源分析,包括:
5.根据权利要求2所述的电力工控软件供应链分析方法,其特征在于,所述对所述目标电力工控软件进行溯源分析,还包括:
6.根据权利要求1-5中任一项所述的电力工控软件供应链分析方法,其特征在于,所述对所述目标电力工控软件进行安全性分析,包括:
7.根据权利要求6所述的电力工控软件供应链分析方法,其特征在于,所述将目标电力工控软件加入白名单软件库之后,包括:
8.根据权利要求7所述的电力工控软件供应链分析方法,其特征在于,在容器中设置模拟时间,所述模拟时间是计算机标准时间的
...【技术特征摘要】
1.一种电力工控软件供应链分析方法,其特征在于,所述电力工控软件供应链分析方法,包括:
2.根据权利要求1所述的电力工控软件供应链分析方法,其特征在于,所述电力工控软件供应链分析方法,还包括:
3.根据权利要求1所述的电力工控软件供应链分析方法,其特征在于,所述对所述目标电力工控软件进行溯源分析,包括:
4.根据权利要求3所述的电力工控软件供应链分析方法,其特征在于,所述将所述目标电力工控软件的各个目标源代码文件进行溯源分析,包括:
5.根据权利要求...
【专利技术属性】
技术研发人员:段婕,薛泓林,段敬,刘海涛,马军伟,谷良,
申请(专利权)人:国网山西省电力公司信息通信分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。