安全基线评估系统、基线管理平台及基线代理工具的制作方法

本发明涉及电力监控系统领域，特别涉及一种安全基线评估系统、基线管理平台及基线代理工具。

背景技术

在电力企业日常运维中，需要对大量的系统定期开展网络安全检查，如果人工检查，将耗费大量的时间，故一般使用安全基线评估系统代替人工检查，安全基线评估系统由基线管理平台、基线代理组成，基线检查工具可对多种类型的主机、数据库、网络设备、应用系统进行安全基线信息的采集与检测工作，形式包括：telnet、ssh、agent、local等，既可对单个设备进行全面的安全检查，也可对某一安全项进行专门的检查。

但是，这种在传统网络环境下的基线信息采集与检测方法，在电力监控系统横向隔离的环境下，存在至少以下两点问题：

1.无法通过网络方式采集目标设备的基线信息

通过telnet、ssh或agent方式对目标设备进行安全基线信息的采集与检测，前提条件是需要网络可达，而电力监控系统中的生产控制大区和管理信息大区一般使用“物理隔离”，即通过电力专用物理隔离装置隔离，隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输，所以基线管理平台(一般部署在管理信息大区)，无法对基线代理工具直接发送采集指令或收集采集到的信息。

2.本地采集方式易受u盘病毒攻击

基于以上原因，在电力监控系统中一般通过本地采集方式，运维人员需使用安装采集基线信息的u盘插入目标设备，然后把采集到的信息导入基线管理平台。但是，由于u盘在管理信息大区和生产控制大区之间不同的设备使用，容易造成管理信息大区的病毒通过u盘感染生产控制大区的设备。

因此，可以看出，传统电力监控系统进行安全基线评估的方式，需要通过u盘来传递检查结果，实施起来比较复杂，且容易造成病毒传播。

技术实现要素：

本发明的目的是提供一种安全基线评估系统、基线管理平台及基线代理工具，用以解决传统基线评估过程需要通过u盘传递检查结果，实施起来费时费力，且容易造成病毒传播的问题。

为解决上述技术问题，本发明提供了一种安全基线评估系统，应用于电力监控系统，包括：管理信息大区中的基线管理平台，所述基线管理平台设置有第一前置服务器；生产控制大区中的基线代理工具和服务器群，所述基线代理工具设置有第二前置服务器；还包括用于隔离所述管理信息大区与所述生产控制大区的正向隔离装置和反向隔离装置；

其中，所述第一前置服务器用于获取所述基线管理平台的检查指令，并将所述检查指令转换为文本文件格式，得到检查文本；还用于将所述检查文本通过所述反向隔离装置发送到所述第二前置服务器；

所述第二前置服务器用于将所述检查文本发送到所述基线代理工具，接收所述基线代理工具发送的检查结果，并将检查结果转换为文本文件格式，得到检查结果文本；还用于将所述检查结果文本通过所述正向隔离装置发送到所述第一前置服务器，以便于所述第一前置服务器将所述检查结果文本发送到所述基线管理平台。

其中，所述第二前置服务器具体用于将所述检查文本转换为指令格式，得到所述检查指令，并将所述检查指令发送到所述基线代理工具。

其中，所述第二前置服务器还用于获取所述基线代理工具的检查进度，并将所述检查进度转换为文本文件格式，得到检查进度文本；还用于将所述检查进度文本通过所述正向隔离装置发送到所述第一前置服务器。

其中，所述第二前置服务器在得到所述检查结果文本之后具体用于将所述检查结果文本保存到预设目录下；

所述第一前置服务器还用于获取所述基线管理平台的检查结果获取指令，并将所述检查结果获取指令转换为文本文件格式，得到检查结果获取文本；还用于将所述检查结果获取文本通过所述反向隔离装置发送到所述第二前置服务器；

所述第二前置服务器还用于响应于所述检查结果获取文本，将所述预设目录下的所述检查结果文本通过所述正向隔离装置发送到所述第一前置服务器。

此外，本发明还提供了一种信息管理大区中的基线管理平台，应用于电力监控系统，所述基线管理平台设置有第一前置服务器，所述第一前置服务器用于获取所述基线管理平台上的检查指令，并将所述检查指令转换为文本文件格式，得到检查文本；还用于将所述检查文本通过所述电力监控系统的反向隔离装置发送出去；还用于接收通过所述电力监控系统的正向隔离装置发送来的检查结果文本。

其中，所述第一前置服务器还用于获取所述基线管理平台的检查结果获取指令，并将所述检查结果获取指令转换为文本文件格式，得到检查结果获取文本；还用于将所述检查结果获取文本通过所述反向隔离装置发送出去。

最后，本发明还提供了一种生产控制大区中的基线代理工具，应用于电力监控系统，所述基线代理工具设置有第二前置服务器，所述第二前置服务器用于接收通过所述电力监控系统的反向隔离装置发送来的检查文本，并将所述检查文本发送到所述基线代理工具；还用于获取所述基线代理工具的检查结果，将所述检查结果转换为文本文件格式，得到检查结果文本，并将所述检查结果文本所述电力监控系统的正向隔离装置发送出去。

其中，所述第二前置服务器具体用于将所述检查文本转换为指令格式，得到所述检查指令，并将所述检查指令发送到所述基线代理工具。

其中，所述第二前置服务器还用于获取所述基线代理工具的检查进度，并将所述检查进度转换为文本文件格式，得到检查进度文本；还用于将所述检查进度文本通过所述正向隔离装置发送到所述第一前置服务器。

其中，所述第二前置服务器在得到所述检查结果文本之后具体用于将所述检查结果文本保存到预设目录下；还用于将所述预设目录下的所述检查结果文本通过所述正向隔离装置发送到所述第一前置服务器。

本发明所提供的一种安全基线评估系统，包括管理信息大区中的基线管理平台、第一前置服务器、生产控制大区中的基线代理工具、服务器群、第二前置服务器、正向隔离装置和反向隔离装置，一方面，第一前置服务器能够将基线管理平台上的检查指令转换为文本文件格式，得到检查文本，并将检查文本通过反向隔离装置发送到所述第二前置服务器；另一方面，第二前置服务器能够将基线代理工具上的检查结果转换为文本文件格式，得到检查结果文本，并将检查结果文本通过正向隔离装置发送到第一前置服务器。可见，该系统利用了正反向隔离装置能够传输文本文件的特点，通过前置服务器将检查指令或检查结果转换为文本文件格式，并发送到另一个大区，实现了跨大区开展安全基线检查，避免了现有技术中通过u盘传递检查结果导致的病毒传播，还避免了通过u盘传递检查结果所需要的人力物力。

此外，本发明还提供了一种基线管理平台和基线代理工具，其作用与上述系统的作用相对应，这里不再赘述。

附图说明

为了更清楚的说明本发明实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种安全基线评估系统实施例的结构框图；

图2为本发明提供的一种安全基线评估系统实施例的工作流程图。

具体实施方式

本发明的核心是提供一种安全基线评估系统、基线管理平台及基线代理工具，节省了安全基线评估过程所需的人力物力，同时避免了通过u盘传播病毒的问题。

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面对本发明提供的一种安全基线评估系统实施例进行介绍，该安全基线评估系统应用于电力监控系统。

电力监控系统，一般指用于监视和控制电力生产和供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。电力监控系统包括管理信息大区和生产控制大区，这两个大区一般需要进行横向隔离，也就是通过电力专用物理隔离装置来进行隔离，隔离装置内外两个网卡在装置内部都是非网络连接，因此两个大区无法通过网络来传递信息，只能通过隔离装置单向传输文本文件。

参见图1，该安全基线评估系统实施例包括：

管理信息大区中的基线管理平台100，所述基线管理平台设置有第一前置服务器110；生产控制大区中的基线代理工具200和服务器群300，所述基线代理工具设置有第二前置服务器210；还包括用于隔离所述管理信息大区与所述生产控制大区的正向隔离装置400和反向隔离装置500。

其中，所述第一前置服务器210用于获取所述基线管理平台100的检查指令，并将所述检查指令转换为文本文件格式，得到检查文本；还用于将所述检查文本通过所述反向隔离装置500发送到所述第二前置服务器210。

所述第二前置服务器210用于将所述检查文本发送到所述基线代理工具200，接收所述基线代理工具200发送的检查结果，并将检查结果转换为文本文件格式，得到检查结果文本；还用于将所述检查结果文本通过所述正向隔离装置400发送到所述第一前置服务器110，以便于所述第一前置服务器100将所述检查结果文本发送到所述基线管理平台100。

值得一提的是，本发明所涉及的第一前置服务器均指位于管理信息大区的前置服务器，第二前置服务器均指位于生产控制大区的前置服务器。

需要说明的是，图1仅仅描述了电力监控系统的部分设备，实际应用场景中，管理信息大区也存在基线代理工具、服务器群、甚至交换机等设备，相应的，生产控制大区也存在交换机等设备，图1仅仅描述了与本发明关联最紧密的设备。

具体的，所述第二前置服务器210具体还可以用于先将所述检查文本转换为指令格式，得到所述检查指令，再将所述检查指令发送到所述基线代理工具200。

具体的，第一前置服务器110可以将检查指令转换为文本文件格式，并将检查文本(check)保存在指定目录下。反向隔离装置500可以从第一前置服务器110的指定目录获取检查文本(check)，并将其发送到第二前置服务器(210)。

相应的，第二前置服务器210可以将基线代理工具200上的检查结果以文本文件的形式保存在预设目录下，得到检查结果文本(result)。正向隔离装置400从所述第二前置服务器210的预设目录下获取所述检查结果文本(result)，并将其发送到所述第一前置服务器110。

具体的，第一前置服务器110收到所述检查结果文本(result)之后，可以将其上传到基线管理平台100上，进行汇总分析和集中展示等。

作为一种优选方式，所述第二前置服务器210还可以用于获取所述基线代理工具200的检查进度，并将所述检查进度转换为文本文件格式，得到检查进度文本；进而将所述检查进度文本通过所述正向隔离装置400发送到所述第一前置服务器110。

综上，参见图2，本实施例所提供的一种安全基线评估系统的整体的工作流程可以如下：

步骤s201：基线管理平台将检查指令发送到第一前置服务器；

步骤s202：第一前置服务器将所述检查指令转换为文本文件格式，保存在指定目录下，得到检查文本；

步骤s203：反向隔离装置从所述第一前置服务器的指定目录下获取所述检查文本，并将所述检查文本发送到所述第二前置服务器；

步骤s204：第二前置服务器将检查文本转换为所述检查指令，并将检查指令发送到基线代理工具；

步骤s205：基线代理工具响应于所述检查指令，对服务器群进行检查，得到检查结果；

步骤s206：第二前置服务器将所述检查结果以文本文件格式保存到预设目录下，得到检查结果文本；

步骤s207：正向隔离装置从所述第二前置服务器的预设目录下获取所述检查结果文本，并将检查结果文本发送到第一前置服务器；

步骤s208：第一前置服务器将检查结果文本上传到基线管理平台，以进行汇总分析和集中展示。

可见，本实施例所提供的一种安全基线评估系统，包括管理信息大区中的基线管理平台100、第一前置服务器110、生产控制大区中的基线代理工具200、服务器群300、第二前置服务器210、正向隔离装置400和反向隔离装置500。其中，第一前置服务器110用于将基线管理平台100上的检查指令转换为文本文件格式，得到检查文本，并将检查文本通过反向隔离装置500发送到所述第二前置服务器210，第二前置服务器210用于将基线代理工具200上的检查结果转换为文本文件格式，得到检查结果文本，并将检查结果文本通过正向隔离装置400发送到第一前置服务器110。可见，该系统利用了正反向隔离装置能够传输文本文件的特点，通过前置服务器将检查指令或检查结果转换为文本文件格式，并发送到另一个大区，实现了跨大区开展安全基线检查，避免了现有技术中通过u盘传递检查结果导致的病毒传播，还避免了通过u盘传递检查结果所需要的人力物力。

此外，本发明还提供了一种信息管理大区中的基线管理平台，应用于电力监控系统，所述基线管理平台设置有第一前置服务器，所述第一前置服务器用于获取所述基线管理平台上的检查指令，并将所述检查指令转换为文本文件格式，得到检查文本；还用于将所述检查文本通过所述电力监控系统的反向隔离装置发送出去；还用于接收通过所述电力监控系统的正向隔离装置发送来的检查结果文本。

其中，所述第一前置服务器还用于获取所述基线管理平台的检查结果获取指令，并将所述检查结果获取指令转换为文本文件格式，得到检查结果获取文本；还用于将所述检查结果获取文本通过所述反向隔离装置发送出去。

最后，本发明还提供了一种生产控制大区中的基线代理工具，应用于电力监控系统，所述基线代理工具设置有第二前置服务器，所述第二前置服务器用于接收通过所述电力监控系统的反向隔离装置发送来的检查文本，并将所述检查文本发送到所述基线代理工具；还用于获取所述基线代理工具的检查结果，将所述检查结果转换为文本文件格式，得到检查结果文本，并将所述检查结果文本所述电力监控系统的正向隔离装置发送出去。

其中，所述第二前置服务器具体用于将所述检查文本转换为指令格式，得到所述检查指令，并将所述检查指令发送到所述基线代理工具。

其中，所述第二前置服务器还用于获取所述基线代理工具的检查进度，并将所述检查进度转换为文本文件格式，得到检查进度文本；还用于将所述检查进度文本通过所述正向隔离装置发送到所述第一前置服务器。

其中，所述第二前置服务器在得到所述检查结果文本之后具体用于将所述检查结果文本保存到预设目录下；还用于将所述预设目录下的所述检查结果文本通过所述正向隔离装置发送到所述第一前置服务器。

由于本发明提供的基线管理平台和基线代理工具应用于如上所述的安全基线评估系统，因此其具体实施方法可以参见上述系统实施例的描述，这里不再展开描述。显然，其作用与上述系统实施例的作用相对应，这里也不再赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上对本发明所提供的安全基线评估系统、基线管理平台及基线代理工具进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。