電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法
【專利摘要】本發(fā)明公開了一種電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法���,針對(duì)電力二次系統(tǒng)安全防護(hù)評(píng)估要求及信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)��,設(shè)計(jì)專有的機(jī)器語言為核心���,實(shí)現(xiàn)電力二次系統(tǒng)安全防護(hù)評(píng)估標(biāo)準(zhǔn)及信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的精準(zhǔn)��、靈活表達(dá)�,并驅(qū)動(dòng)中間層采集技術(shù)進(jìn)行配置基線的采集,運(yùn)用遠(yuǎn)程檢測(cè)與本地檢測(cè)相結(jié)合的方式��,綜合運(yùn)用信息重組技術(shù),實(shí)現(xiàn)自動(dòng)����、高效、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全配置問題���,并提供了功能強(qiáng)大的合規(guī)性檢測(cè)報(bào)告�����。它可以大大提高安全防護(hù)評(píng)估及信息安全等級(jí)保護(hù)檢查結(jié)果的準(zhǔn)確性和合規(guī)性�����,避免了傳統(tǒng)方式帶來的諸多問題��。
【專利說明】電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及電力二次系統(tǒng)安全防護(hù)評(píng)估及信息安全等級(jí)保護(hù)的【技術(shù)領(lǐng)域】���,尤其是指一種電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法。
【背景技術(shù)】
[0002]隨著電力自動(dòng)化水平的提高�,通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電力系統(tǒng)越來越依賴電力信息網(wǎng)絡(luò)來保障其安全��、可靠和高效的運(yùn)行���,信息網(wǎng)絡(luò)的安全直接關(guān)系到電力系統(tǒng)的安全���,因此對(duì)電力系統(tǒng)信息安全關(guān)鍵技術(shù)的研究就顯得尤為重要���。
[0003]隨著一體化智能運(yùn)行系統(tǒng)研發(fā)及應(yīng)用的深入發(fā)展,各類IT設(shè)備種類和數(shù)量不斷增加���,其安全管理問題日漸凸出����。為了維持IT信息系統(tǒng)的安全并方便管理�����,必須從入網(wǎng)測(cè)試�、工程驗(yàn)收和運(yùn)行維護(hù)等設(shè)備全生命周期各個(gè)階段加強(qiáng)和落實(shí)安全要求,同時(shí)需要設(shè)立滿足安全要求的安全基準(zhǔn)點(diǎn)�。
[0004]針對(duì)電力二次系統(tǒng)建立安全檢查點(diǎn)與操作指南的基準(zhǔn)安全標(biāo)準(zhǔn),則成為電力行業(yè)安全管理人員最為緊迫的事情���?����;陔娏Χ蜗到y(tǒng)安全防護(hù)標(biāo)準(zhǔn)和信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)將形成針對(duì)性的詳細(xì)Checklist表格和操作指南��,為標(biāo)準(zhǔn)化的技術(shù)安全操作提供了框架和標(biāo)準(zhǔn)�。
[0005]電力規(guī)范與安全基準(zhǔn)點(diǎn)的出臺(tái)讓運(yùn)維人員有了檢查默認(rèn)風(fēng)險(xiǎn)的標(biāo)桿��,但是面對(duì)電力二次系統(tǒng)網(wǎng)絡(luò)中種類繁雜�、數(shù)量眾多的設(shè)備和軟件,如何快速���、有效的檢查設(shè)備����,又如何集中收集核查的結(jié)果���,以及制作風(fēng)險(xiǎn)審核報(bào)告����,并且最終識(shí)別那些與安全規(guī)范不符合的項(xiàng)目�,以達(dá)到整改合規(guī)的要求,這些是網(wǎng)絡(luò)運(yùn)維人員面臨的新的難題����。
[0006]目前�,電力二次系統(tǒng)安全防護(hù)評(píng)估及信息安全等級(jí)保護(hù)的檢測(cè)通常采用手動(dòng)單點(diǎn)安全配置檢查的方式�,沒有智能化、自動(dòng)化的合規(guī)性檢測(cè)方案��,存在以下問題:
[0007]1����、當(dāng)前采用手動(dòng)單點(diǎn)安全配置檢查的方式,容易因?yàn)槿藶槭д`帶來檢查結(jié)果的失真���;
[0008]2���、當(dāng)前采用手動(dòng)單點(diǎn)安全配置檢查的方式,工作量大�,在設(shè)備較多的情況下,準(zhǔn)備的合規(guī)性檢測(cè)基本上是不可能的任務(wù)��;
[0009]3���、當(dāng)前采用手動(dòng)單點(diǎn)安全配置檢查的方式���,不能夠出具詳細(xì)的具有可對(duì)比性檢測(cè)報(bào)告,難以對(duì)安全合規(guī)性的趨勢(shì)進(jìn)行分析。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足與缺點(diǎn)�����,提供一種智能化�����、在線式的電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法��,能有效解決采用手動(dòng)單點(diǎn)安全配置檢查方式所帶來的問題����。
[0011]為實(shí)現(xiàn)上述目的��,本發(fā)明所提供的技術(shù)方案為:電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法�����,包括以下步驟:
[0012]I)創(chuàng)建作業(yè)�����,并檢查作業(yè)是否需要立即執(zhí)行����,如需立即執(zhí)行則直接調(diào)用執(zhí)行接口�,否則初始化調(diào)度器并進(jìn)行任務(wù)等待��;
[0013]2)到達(dá)作業(yè)執(zhí)行時(shí)間后����,進(jìn)行對(duì)象數(shù)量及采集器數(shù)量的相關(guān)檢查,并判斷目標(biāo)設(shè)備是否網(wǎng)絡(luò)可達(dá)�,如果設(shè)備聯(lián)網(wǎng)則使用在線采集,否則調(diào)用離線采集����;
[0014]3)選擇完采集方式后,將任務(wù)下發(fā)至采集器����,由采集器獲取目標(biāo)設(shè)備信息,實(shí)現(xiàn)配置基線信息采集����;
[0015]4)由中間層執(zhí)行俄國(guó)正則、JS對(duì)比以及基準(zhǔn)值對(duì)比的操作���,并獲得相應(yīng)解析結(jié)果���,根據(jù)解析結(jié)果執(zhí)行存儲(chǔ)����、轉(zhuǎn)發(fā)�����、更新安全知識(shí)庫的操作�,作業(yè)結(jié)束�。
[0016]針對(duì)電力二次系統(tǒng)安全防護(hù)評(píng)估要求及信息安全等級(jí)保護(hù)標(biāo)準(zhǔn),設(shè)計(jì)專有的機(jī)器語言為核心����,主要檢測(cè)運(yùn)算符以及處理規(guī)則,以實(shí)現(xiàn)電力二次系統(tǒng)安全防護(hù)評(píng)估標(biāo)準(zhǔn)及信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的精準(zhǔn)��、靈活表達(dá)����,并驅(qū)動(dòng)中間層采集技術(shù)進(jìn)行配置基線信息的采集,運(yùn)用遠(yuǎn)程檢測(cè)與本地檢測(cè)相結(jié)合的方式�����,綜合運(yùn)用信息重組技術(shù),發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全配置問題��。
[0017]建立內(nèi)容完備且支持多次擦寫的安全知識(shí)庫�����,采用黑板模式實(shí)現(xiàn)該安全知識(shí)庫的動(dòng)態(tài)配置����,該安全知識(shí)庫構(gòu)架包括黑板、控制機(jī)構(gòu)�����、知識(shí)源�����,其中�,所述黑板是用于存儲(chǔ)整定數(shù)據(jù)、信息以及檢驗(yàn)方法的動(dòng)態(tài)數(shù)據(jù)庫����,所述控制機(jī)構(gòu)用于控制知識(shí)源的調(diào)度控制并負(fù)責(zé)監(jiān)督黑板的狀態(tài)變化,所述知識(shí)源為黑板提供數(shù)據(jù)與信息��,且各知識(shí)源間相互獨(dú)立;所述安全知識(shí)庫涵蓋了操作系統(tǒng)��、網(wǎng)絡(luò)設(shè)備����、數(shù)據(jù)庫、中間件這多類設(shè)備及系統(tǒng)的安全配置加固建議����。
[0018]采用知識(shí)信息關(guān)聯(lián)技術(shù),形成圖表結(jié)合���、內(nèi)容詳實(shí)的合規(guī)性檢測(cè)報(bào)告,該報(bào)告的積累與對(duì)比分析����,能實(shí)現(xiàn)當(dāng)前網(wǎng)絡(luò)合規(guī)性檢測(cè)的精確評(píng)估與合規(guī)性檢測(cè)趨勢(shì)的分析,且新的合規(guī)性檢測(cè)報(bào)告會(huì)自動(dòng)加入安全知識(shí)庫��。
[0019]所述中間層為應(yīng)用程序服務(wù)器層或應(yīng)用服務(wù)層���,綜合多種常用協(xié)議����,如SSH、TELNET�����、SMB�����、RDP協(xié)議����,在由數(shù)據(jù)源層、中間層�����、客戶端構(gòu)成的三層網(wǎng)絡(luò)結(jié)構(gòu)中����,主要負(fù)責(zé)業(yè)務(wù)邏輯的實(shí)現(xiàn),將從數(shù)據(jù)源層獲取的基線配置信息進(jìn)行邏輯處理���,實(shí)現(xiàn)海量設(shè)備配置基線信息的采集�、存儲(chǔ)與查詢�����。
[0020]所述配置基線信息采集根據(jù)設(shè)備是否聯(lián)網(wǎng),分別采用離線采集和在線采集兩種采集方式���,如下:
[0021]對(duì)于網(wǎng)絡(luò)可達(dá)的網(wǎng)絡(luò)設(shè)備�����,配置基線信息的采集可通過在線方式獲取�,在中間層采集技術(shù)基礎(chǔ)上���,采用Telnet協(xié)議實(shí)現(xiàn)internet遠(yuǎn)程登錄服務(wù)��,同時(shí)通過安全外殼協(xié)議SSH為遠(yuǎn)程登錄及網(wǎng)絡(luò)服務(wù)提供安全性加密����,通過遠(yuǎn)程顯示協(xié)議RDP提供客戶與服務(wù)器之間的連接���,最后利用SMB協(xié)議實(shí)現(xiàn)客戶端與服務(wù)器的信息溝通;
[0022]由于不同的安全管理要求和特定的安全邊界控制要求���,電力二次系統(tǒng)中存在部分隔離網(wǎng)絡(luò)�����,而這些網(wǎng)絡(luò)中的設(shè)備安全對(duì)象進(jìn)行網(wǎng)絡(luò)檢查時(shí)會(huì)存在很大的空難��,離線采集實(shí)現(xiàn)針對(duì)不可達(dá)網(wǎng)絡(luò)的安全基線檢查工作���,通過安全基線管理系統(tǒng)將不可達(dá)網(wǎng)絡(luò)安全基線檢查任務(wù)下發(fā)給離線采集器�����,將離線采集器接入隔離網(wǎng)絡(luò)后執(zhí)行安全基線配置掃描工作�,在完成掃描任務(wù)后接入安全基線管理系統(tǒng)會(huì)自動(dòng)將掃描結(jié)果傳到安全基線管理系統(tǒng)�����,最終完成整體的信息收集���、比對(duì)和展示���。
[0023]通過基線檢測(cè)Server端的離線采集方式,對(duì)網(wǎng)絡(luò)不可達(dá)設(shè)備群組配置相關(guān)檢查策略并通過服務(wù)器下發(fā)任務(wù)給離線采集器���,離線采集器脫機(jī)后連接到目標(biāo)網(wǎng)絡(luò)�,執(zhí)行任務(wù)檢查目標(biāo)設(shè)備,完成檢查后��,當(dāng)與基線檢查Server連接成功后會(huì)將結(jié)果上報(bào)給基線檢測(cè)Server,從而達(dá)到檢查網(wǎng)絡(luò)不可達(dá)設(shè)備的目的�。
[0024]本發(fā)明與現(xiàn)有技術(shù)相比,具有如下優(yōu)點(diǎn)與有益效果:
[0025]1����、采用針對(duì)電力二次系統(tǒng)安全防護(hù)特點(diǎn)的專有機(jī)器語言,自動(dòng)化進(jìn)行合規(guī)性檢測(cè)�����,實(shí)現(xiàn)電力二次系統(tǒng)安全防護(hù)評(píng)估標(biāo)準(zhǔn)及信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的精準(zhǔn)�、靈活表達(dá),能夠最大程度上滿足合規(guī)性檢測(cè)對(duì)于準(zhǔn)確性����、快速性、靈活性的需求�;
[0026]2��、以中間層采集技術(shù)����,利用SSH����、TELNET����、SMB、RDP等協(xié)議��,實(shí)現(xiàn)了在線式的各類安全設(shè)備配置基線信息的采集����;
[0027]3、以黑板模式實(shí)現(xiàn)安全知識(shí)庫的動(dòng)態(tài)配置����,通過該知識(shí)庫可以全面的指導(dǎo)IT信息系統(tǒng)的安全配置及加固工作,節(jié)省傳統(tǒng)的手動(dòng)單點(diǎn)安全配置檢查的時(shí)間��,并避免傳統(tǒng)人工檢查方式所帶來的失誤風(fēng)險(xiǎn)��;
[0028]4���、設(shè)計(jì)有針對(duì)電力二次系統(tǒng)安全防護(hù)評(píng)估特點(diǎn)及信息安全等級(jí)保護(hù)要求的合規(guī)性檢測(cè)報(bào)告���,該報(bào)告具備合規(guī)性檢測(cè)趨勢(shì)分析能力����;
[0029]5�����、運(yùn)用遠(yuǎn)程檢測(cè)與本地檢測(cè)相結(jié)合的方式�����,綜合運(yùn)用信息重組技術(shù)���,實(shí)現(xiàn)自動(dòng)����、高效��、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全配置問題�����。
【專利附圖】
【附圖說明】
[0030]圖1為本發(fā)明的檢測(cè)方法流程圖�。
[0031]圖2為本發(fā)明的三層網(wǎng)絡(luò)結(jié)構(gòu)示意圖���。
[0032]圖3為配置基線信息采集示意圖���。
[0033]圖4為網(wǎng)絡(luò)可達(dá)的在線采集示意圖�。
[0034]圖5為本發(fā)明的安全知識(shí)庫構(gòu)架示意圖��。
【具體實(shí)施方式】
[0035]下面結(jié)合具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明�����。
[0036]本實(shí)施例所述的電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法��,如圖1所示�,其具體流程如下:
[0037]I)創(chuàng)建作業(yè),并檢查作業(yè)是否需要立即執(zhí)行�����,如需立即執(zhí)行則直接調(diào)用執(zhí)行接口�����,否則初始化調(diào)度器并進(jìn)行任務(wù)等待��;
[0038]2)到達(dá)作業(yè)執(zhí)行時(shí)間后,進(jìn)行對(duì)象數(shù)量及采集器數(shù)量的相關(guān)檢查�,并判斷目標(biāo)設(shè)備是否網(wǎng)絡(luò)可達(dá),如果設(shè)備聯(lián)網(wǎng)則使用在線采集����,否則調(diào)用離線采集;
[0039]3)選擇完采集方式后�,將任務(wù)下發(fā)至采集器,由采集器獲取目標(biāo)設(shè)備信息���,實(shí)現(xiàn)配置基線信息采集���;
[0040]4)由中間層(Middle Tier)執(zhí)行俄國(guó)正則、JS對(duì)比以及基準(zhǔn)值對(duì)比的操作��,并獲得相應(yīng)解析結(jié)果��,根據(jù)解析結(jié)果執(zhí)行存儲(chǔ)�����、轉(zhuǎn)發(fā)����、更新安全知識(shí)庫的操作�����,作業(yè)結(jié)束�����。
[0041]中間層(Middle Tier)為應(yīng)用程序服務(wù)器層或應(yīng)用服務(wù)層,綜合了多種常用協(xié)議���,如SSH����、TELNET�����、SMB�、RDP等協(xié)議,在由數(shù)據(jù)源層����、中間層、客戶端構(gòu)成的三層網(wǎng)絡(luò)結(jié)構(gòu)中���,如圖2所示���,中間層主要負(fù)責(zé)業(yè)務(wù)邏輯的實(shí)現(xiàn)����,從而實(shí)現(xiàn)海量設(shè)備配置基線信息的采集�����、存儲(chǔ)與查詢����。[0042]三層網(wǎng)絡(luò)結(jié)構(gòu)從數(shù)據(jù)源層獲取基線配置信息,并在中間層進(jìn)行邏輯處理����,由于中間層承擔(dān)了部分應(yīng)用邏輯,能夠有效降低了客戶端負(fù)擔(dān)�����。為可靠實(shí)現(xiàn)對(duì)于電力二次系統(tǒng)基線配置信息有效表達(dá)���,需在中間層引入滿足電力二次系統(tǒng)安全防護(hù)評(píng)估及信息安全等級(jí)評(píng)估要求的專有機(jī)器語言�。
[0043]電力二次系統(tǒng)包含大量網(wǎng)絡(luò)設(shè)備,面對(duì)種類繁雜���、數(shù)量眾多的設(shè)備和軟件��,為實(shí)現(xiàn)快速�、精準(zhǔn)�����、靈活有效的檢查設(shè)備����,需根據(jù)二次系統(tǒng)設(shè)計(jì)情況����,結(jié)合二次系統(tǒng)安全防護(hù)評(píng)估及信息安全等級(jí)保護(hù)合規(guī)性檢查項(xiàng)目需求���,設(shè)計(jì)準(zhǔn)確���、靈活的合規(guī)性檢測(cè)專有機(jī)器語言���。
[0044]電力二次系統(tǒng)安全防護(hù)評(píng)估合規(guī)性檢查項(xiàng)母數(shù)量眾多����、種類繁雜,從設(shè)備管理角度�,合規(guī)性檢測(cè)項(xiàng)主要包括遠(yuǎn)程管理服務(wù)、IP管理����、認(rèn)證系統(tǒng)聯(lián)動(dòng)、用戶賬號(hào)與口令安全等���;從網(wǎng)絡(luò)性能角度���,合規(guī)性檢測(cè)項(xiàng)主要包括網(wǎng)絡(luò)延時(shí)檢查、服務(wù)開啟項(xiàng)目檢查��、安全防護(hù)項(xiàng)目檢查等。根據(jù)電力二次系統(tǒng)合規(guī)性檢測(cè)項(xiàng)目種類及其特性���,需要設(shè)計(jì)符合需求的專有機(jī)器語音���。
[0045]如下表1所示,為本方案設(shè)計(jì)的專有機(jī)器語言�,主要檢測(cè)運(yùn)算符以及處理規(guī)則。采用如下表1中所示的運(yùn)算符及處理方式�,能夠最大程度上滿足合規(guī)性檢測(cè)對(duì)于準(zhǔn)確性、快速性�����、靈活性的需求�。
[0046]表1
[0047]
【權(quán)利要求】
1.電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法�,其特征在于,包括以下步驟: 1)創(chuàng)建作業(yè)����,并檢查作業(yè)是否需要立即執(zhí)行�,如需立即執(zhí)行則直接調(diào)用執(zhí)行接口���,否則初始化調(diào)度器并進(jìn)行任務(wù)等待����; 2)到達(dá)作業(yè)執(zhí)行時(shí)間后,進(jìn)行對(duì)象數(shù)量及采集器數(shù)量的相關(guān)檢查,并判斷目標(biāo)設(shè)備是否網(wǎng)絡(luò)可達(dá)����,如果設(shè)備聯(lián)網(wǎng)則使用在線采集��,否則調(diào)用離線采集; 3)選擇完采集方式后�,將任務(wù)下發(fā)至采集器,由采集器獲取目標(biāo)設(shè)備信息�����,實(shí)現(xiàn)配置基線信息采集���; 4)由中間層執(zhí)行俄國(guó)正則�����、JS對(duì)比以及基準(zhǔn)值對(duì)比的操作,并獲得相應(yīng)解析結(jié)果,根據(jù)解析結(jié)果執(zhí)行存儲(chǔ)、轉(zhuǎn)發(fā)�、更新安全知識(shí)庫的操作,作業(yè)結(jié)束。
2.根據(jù)權(quán)利要求1所述的電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法��,其特征在于:針對(duì)電力二次系統(tǒng)安全防護(hù)評(píng)估要求及信息安全等級(jí)保護(hù)標(biāo)準(zhǔn),設(shè)計(jì)專有的機(jī)器語言為核心����,主要檢測(cè)運(yùn)算符以及處理規(guī)則,以實(shí)現(xiàn)電力二次系統(tǒng)安全防護(hù)評(píng)估標(biāo)準(zhǔn)及信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的精準(zhǔn)�、靈活表達(dá)���,并驅(qū)動(dòng)中間層采集技術(shù)進(jìn)行配置基線信息的采集�,運(yùn)用遠(yuǎn)程檢測(cè)與本地檢測(cè)相結(jié)合的方式����,綜合運(yùn)用信息重組技術(shù)�����,發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全配置問題�����。
3.根據(jù)權(quán)利要求1 所述的電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法�����,其特征在于:建立內(nèi)容完備且支持多次擦寫的安全知識(shí)庫�,采用黑板模式實(shí)現(xiàn)該安全知識(shí)庫的動(dòng)態(tài)配置,該安全知識(shí)庫構(gòu)架包括黑板�����、控制機(jī)構(gòu)、知識(shí)源�����,其中���,所述黑板是用于存儲(chǔ)整定數(shù)據(jù)、信息以及檢驗(yàn)方法的動(dòng)態(tài)數(shù)據(jù)庫��,所述控制機(jī)構(gòu)用于控制知識(shí)源的調(diào)度控制并負(fù)責(zé)監(jiān)督黑板的狀態(tài)變化�,所述知識(shí)源為黑板提供數(shù)據(jù)與信息��,且各知識(shí)源間相互獨(dú)立���;所述安全知識(shí)庫涵蓋了操作系統(tǒng)��、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫���、中間件這多類設(shè)備及系統(tǒng)的安全配置加固建議���。
4.根據(jù)權(quán)利要求1所述的電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法,其特征在于:采用知識(shí)信息關(guān)聯(lián)技術(shù),形成圖表結(jié)合���、內(nèi)容詳實(shí)的合規(guī)性檢測(cè)報(bào)告��,該報(bào)告的積累與對(duì)比分析,能實(shí)現(xiàn)當(dāng)前網(wǎng)絡(luò)合規(guī)性檢測(cè)的精確評(píng)估與合規(guī)性檢測(cè)趨勢(shì)的分析���,且新的合規(guī)性檢測(cè)報(bào)告會(huì)自動(dòng)加入安全知識(shí)庫����。
5.根據(jù)權(quán)利要求1所述的電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法,其特征在于:所述中間層為應(yīng)用程序服務(wù)器層或應(yīng)用服務(wù)層���,綜合多種常用協(xié)議����,如SSH�、TELNET��、SMB�、RDP協(xié)議��,在由數(shù)據(jù)源層���、中間層���、客戶端構(gòu)成的三層網(wǎng)絡(luò)結(jié)構(gòu)中�,主要負(fù)責(zé)業(yè)務(wù)邏輯的實(shí)現(xiàn)�����,將從數(shù)據(jù)源層獲取的基線配置信息進(jìn)行邏輯處理����,實(shí)現(xiàn)海量設(shè)備配置基線信息的采集、存儲(chǔ)與查詢����。
6.根據(jù)權(quán)利要求1所述的電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法,其特征在于:所述配置基線信息采集根據(jù)設(shè)備是否聯(lián)網(wǎng)��,分別采用離線采集和在線采集兩種采集方式����,如下: 對(duì)于網(wǎng)絡(luò)可達(dá)的網(wǎng)絡(luò)設(shè)備,配置基線信息的采集可通過在線方式獲取����,在中間層采集技術(shù)基礎(chǔ)上,采用Telnet協(xié)議實(shí)現(xiàn)internet遠(yuǎn)程登錄服務(wù)����,同時(shí)通過安全外殼協(xié)議SSH為遠(yuǎn)程登錄及網(wǎng)絡(luò)服務(wù)提供安全性加密,通過遠(yuǎn)程顯示協(xié)議RDP提供客戶與服務(wù)器之間的連接���,最后利用SMB協(xié)議實(shí)現(xiàn)客戶端與服務(wù)器的信息溝通�;由于不同的安全管理要求和特定的安全邊界控制要求,電力二次系統(tǒng)中存在部分隔離網(wǎng)絡(luò)�����,而這些網(wǎng)絡(luò)中的設(shè)備安全對(duì)象進(jìn)行網(wǎng)絡(luò)檢查時(shí)會(huì)存在很大的空難��,離線采集實(shí)現(xiàn)針對(duì)不可達(dá)網(wǎng)絡(luò)的安全基線檢查工作���,通過安全基線管理系統(tǒng)將不可達(dá)網(wǎng)絡(luò)安全基線檢查任務(wù)下發(fā)給離線采集器�����,將離線采集器接入隔離網(wǎng)絡(luò)后執(zhí)行安全基線配置掃描工作�,在完成掃描任務(wù)后接入安全基線管理系統(tǒng)會(huì)自動(dòng)將掃描結(jié)果傳到安全基線管理系統(tǒng)�,最終完成整體的信息收集��、比對(duì)和展示���。
7.根據(jù)權(quán)利要求5所述的電力二次系統(tǒng)信息安全等級(jí)保護(hù)在線合規(guī)性檢測(cè)方法���,其特征在于:通過基線檢測(cè)Server端的離線采集方式����,對(duì)網(wǎng)絡(luò)不可達(dá)設(shè)備群組配置相關(guān)檢查策略并通過服務(wù)器 下發(fā)任務(wù)給離線采集器,離線采集器脫機(jī)后連接到目標(biāo)網(wǎng)絡(luò)�����,執(zhí)行任務(wù)檢查目標(biāo)設(shè)備�����,完成檢查后��,當(dāng)與基線檢查Server連接成功后會(huì)將結(jié)果上報(bào)給基線檢測(cè)Server,從而達(dá)到檢查網(wǎng)絡(luò)不可達(dá)設(shè)備的目的���。
【文檔編號(hào)】H04L12/24GK104009869SQ201410206736
【公開日】2014年8月27日 申請(qǐng)日期:2014年5月15日 優(yōu)先權(quán)日:2014年5月15日
【發(fā)明者】溫伯堅(jiān), 蘇揚(yáng), 蔡澤祥, 席禹, 劉明波 申請(qǐng)人:華南理工大學(xué)