一种协同防御策略冲突消解方法及系统与流程

本发明涉及一种协同防御策略冲突消解方法及系统，属于电力工程技术领域。

背景技术：

伴随着全球能源互联网建设、特高压电网及分布式能源的快速发展，电动汽车、可控用户、微网等具有与电网双向互动能力，并且带有“源”、“荷”双重特征的新型负荷的比重呈不断上升的趋势。随着电网的时空分布特性日趋复杂，电网、电源和用户三者之间互动及协同控制的重要性和迫切性也在不断提升。

在源网荷互动的背景下，广泛分布在供电公司、电厂、变电站的工控系统持续向新能源发电侧、用户侧延伸。电力工控系统总体上分为主站层、通信层、城市汇聚、接入层及用户终端层。主站层包括生产控制区和管理信息区，其中生产控制区包括ems应用系统和负控快速响应子系统，管理信息区用于采集用电信息；通信层是“源”和“荷”之间的“网”，主要负责连接主站层与接入层；城市汇聚在接入层前为“荷”端提供防火墙保护；接入层为具体变电站的路由器和交换机，负责连接通信层和用户终端层；用户终端层包括交换机、纵向加密设备及用户智能负荷控制终端。在此基础上构建源网荷多层协同防御模型，将源网荷网络划分为具有层次结构的安全自治域，在自治域内及自治域间采用对等结构进行分布式多层协同防御。

由于协同防御中涉及的主体、客体和防御策略种类繁多，防御策略间产生的冲突也多种多样，策略冲突的消解就成为一个必须解决的问题。目前较常使用的冲突消解方法是基于优先级的冲突消解方法，可以很大程度地提高系统的运行效率，但灵活性较差，无法适应系统运行情况的动态变化，一旦在用的冲突消解方法不再适用，则需终止系统运行，重新选择消解方法对策略进行冲突消解。另一种常用冲突消解方法是基于组合算法的冲突消解方法，属于动态的冲突消解方法，在依据策略对访问请求进行判决时运行，通过对存在冲突的策略集应用组合算法来获得唯一有效的判决结果。该方法的主要优点是具有很强的灵活性和拓展性，管理员可新增组合算法以满足系统的策略冲突消解需求。但是，基于组合算法的冲突消解方法仅仅从判定结果角度规避了策略冲突对访问请求的影响，但缺乏从管理视图角度分析造成冲突的细节原因以及冲突预定位能力，因此该方法无法有效地消解策略中固有的、由于管理员制定策略时欠缺考虑导致的策略冲突。

技术实现要素：

本发明的目的在于克服现有技术中基于优先级的冲突消解方法灵活性差、基于组合算法的冲突消解方法无法有效解决策略中固有的以及由于策略制定不当导致的策略冲突的缺陷，提供了一种协同防御策略冲突消解方法，包括如下步骤：

根据安全策略优先级和安全策略隐含关系表建立协防安全策略通用冲突消解方法表，以及对协防安全策略冲突信息进行特征提取；

将提取的特征与协防安全策略通用冲突消解方法表进行匹配；

根据匹配结果提取协防安全策略通用冲突消解方法表中适配的消解规则进行冲突消解。

进一步地，还包括：如果在协防安全策略通用冲突消解方法表中无法提取到适配的消解规则进行冲突消解，将提取的特征与冲突消解知识库进行匹配；

根据匹配结果提取冲突消解知识库中适配的消解规则进行冲突消解。

进一步地，还包括：如果在冲突消解知识库中无法提取到适配的消解规则进行冲突消解，提取预设的适配的消解规则进行冲突消解；

将预设的适配的消解规则以及对应的冲突消解理由存入冲突消解知识库。

进一步地，协防安全策略通用冲突消解方法表中的、冲突消解知识库中的、预设的消解规则均包括肯定策略覆盖、否定策略覆盖、具体策略优先、指定策略删除和最旧策略删除中的至少任一项。

进一步地，所述协防安全策略通用冲突消解方法表中的信息还包括安全策略主体、约束条件、策略冲突和策略优先级中的至少任一项；

所述冲突消解知识库中的信息还包括安全策略主体、约束条件、策略冲突、策略优先级和冲突消解理由中的至少任一项。

进一步地，所述协防安全策略通用冲突消解方法表通过对安全策略优先级和安全策略隐含关系表中的信息进行整合而建立。

进一步地，所述协防安全策略通用冲突消解方法表包括跨域协防安全策略通用冲突消解方法表和或域内协防安全策略通用冲突消解方法表。

进一步地，所述适配的消解规则的提取方法包括如下步骤：

将提取的特征与对应的协防安全策略通用冲突消解方法表进行匹配；

根据匹配结果提取对应的协防安全策略通用冲突消解方法表中适配的消解规则。

进一步地，所述适配的消解规则的提取方法还包括：根据协防安全策略冲突信息判断冲突的发生区域：

当发生区域为域外时，对应的协防安全策略通用冲突消解方法表为跨域协防安全策略通用冲突消解方法表；

当发生区域为域内时，对应的协防安全策略通用冲突消解方法表为域内协防安全策略通用冲突消解方法表。

进一步地，在源网荷工控系统中，所述安全策略优先级结合源网荷工控系统安全属性在安全策略中的权重而设定；

源网荷工控系统安全属性在安全策略中依权重由高到低排列包括可用性、完整性和机密性中的至少任一项；

安全策略优先级包括跨域安全策略优先级和或域内安全策略优先级；

安全策略依跨域安全策略优先级由高到低排列包括域外安全策略和或域内安全策略；

域内安全策略依域内安全策略优先级由高到低排列包括采集策略、监测策略、访问控制策略、隔离分流策略、阻断拦截策略和后备阻断策略中的至少任一项。

进一步地，所述安全策略隐含关系表通过分析安全策略间的隐含关系而建立，安全策略隐含关系表包括跨域安全策略隐含关系表和或域内安全策略隐含关系表；

跨域安全策略隐含关系表对应的跨域安全策略隐含关系包括跨级特性冲突和或跨级约束冲突；

域内安全策略隐含关系表对应的域内安全策略隐含关系包括：模式冲突、冗余冲突、特性冲突、约束冲突和自授权冲突中的至少任一项。

为达到上述目的，本发明还提供了一种协同防御策略冲突消解系统，包括：

消解方法表管理模块：用于建立协防安全策略通用冲突消解方法表；

特征提取模块：用于对协防安全策略冲突信息进行特征提取；

消解方法匹配模块：用于将提取的特征与协防安全策略通用冲突消解方法表进行匹配，并根据匹配结果提取协防安全策略通用冲突消解方法表中适配的消解规则；

安全策略下发执行模块：用于下发执行协防安全策略通用冲突消解方法表中适配的消解规则进行冲突消解。

进一步地，还包括：

知识库管理模块：用于获取冲突消解知识库中的消解规则；

所述消解方法匹配模块，还用于将提取的特征与冲突消解知识库进行匹配，并根据匹配结果提取冲突消解知识库中适配的消解规则；

所述安全策略下发执行模块，还用于下发执行冲突消解知识库中适配的消解规则进行冲突消解。

进一步地，还包括：

预设处理冲突模块：用于提取预设的适配的消解规则；

所述知识库管理模块，还用于将预设的适配的消解规则以及对应的冲突消解理由存入冲突消解知识库；

所述安全策略下发执行模块，还用于下发执行预设的适配的消解规则进行冲突消解。

进一步地，还包括：

冲突区域判断模块：用于根据协防安全策略冲突信息判断冲突的发生区域。

为达到上述目的，本发明还提供了计算机处理控制装置，包括：

存储器：用于存储指令；

处理器：用于根据所述指令进行操作以执行本发明提供的一种协同防御策略冲突消解方法的步骤。

为达到上述目的，本发明还提供了计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明提供的一种协同防御策略冲突消解方法的步骤。

与现有技术相比，本发明所达到的有益效果：通用冲突消解算法解决源网荷互动工控系统域内及跨域协防安全策略冲突的效率较高；预设消解算法能够从管理视角分析造成冲突的细节原因并对冲突进行预定位，灵活性强，可适应系统运行情况的动态变化；可存储预设消解算法的冲突消解知识库具备可扩展性，有利于保障源网荷互动工控系统的安全与稳定。

附图说明

图1是本发明具体实施方式提供的一种电力工控系统协同防御策略冲突消解方法的流程示意图；

图2是本发明具体实施方式提供的一种电力工控系统协同防御策略冲突消解系统的结构示意图。

具体实施方式

下面结合附图对本发明作进一步描述。

如图1所示，是本发明具体实施方式提供的一种电力工控系统协同防御策略冲突消解方法的流程示意图，所述方法包括如下步骤：

步骤一，对电力工控系统中的安全策略基础信息进行初始化录入。

所述安全策略包括：域内自防御策略、跨域协防策略。

所述域内自防御策略构建基于各自治域相对独立的本地响应及防御，主站、变电站、厂站等构成各自的自治域；域内自防御策略包括：主机本地阻断、自治域阻断、主机本地隔离、自治域隔离等。

所述跨域协防策略是指当主站发现下级威胁后下发阻断策略完成下级阻断，或者通过纵向管控功能将有威胁的下级用户隧道阻断以防止危害进一步扩大；跨域协防策略依据上级用户的跨域协防请求和跨域授权策略动态生成，包括省公司协防策略下发和变电站层协防策略下发，因此跨域协防策略冲突都属于动态冲突。跨域协防策略包括：跨域阻断、跨域隔离、跨域流量监控。

无论域内自防御策略还是跨域协防策略，阻断或隔离的具体方法有：工控主机ssh链路阻断、工控主机进程/端口阻断、工控主机物理网卡阻断、工控设备上级网络交换机端口物理阻断、策略阻断、工控设备周边纵向加密设备隧道策略阻断。

步骤二，设定域内和跨域安全策略优先级。

所述域内和跨域安全策略优先级结合电力工控系统安全属性在安全策略中的权重进行设定；

所述电力工控系统安全属性在安全策略中依权重由高到低排序为：可用性、完整性、机密性；

所述安全策略依跨域安全策略优先级由高到低排序为：域外安全策略、域内安全策略；

所述域内安全策略依域内安全策略优先级由高到低排序为：采集策略、监测策略、访问控制策略、隔离分流策略、阻断拦截策略、后备阻断策略。

步骤三，建立域内和跨域安全策略隐含关系表。

所述域内和跨域安全策略隐含关系表的建立方法，包括如下步骤：

根据安全策略间的隐含关系分析出所有安全策略冲突，并对这些安全策略冲突进行梳理、归纳、分类。

所述域内安全策略隐含关系表对应的域内安全策略隐含关系包括：模式冲突、冗余冲突、特性冲突、约束冲突、自授权冲突；

所述跨域安全策略隐含关系表对应的跨域安全策略隐含关系包括：跨级特性冲突、跨级约束冲突。

步骤四，建立域内和跨域协防安全策略通用冲突消解方法表，以及对协防安全策略冲突信息进行特征提取。

所述域内和跨域协防安全策略通用冲突消解方法表通过对安全策略优先级和安全策略隐含关系表中的信息进行整合而建立，包括如下信息：安全策略主体、约束条件、策略冲突、策略优先级、消解规则。

所述对协防安全策略冲突信息进行特征提取包括如下步骤：首先，获取电力工控系统的协防安全策略冲突信息；所述协防安全策略冲突信息包括：冲突的安全策略、冲突安全策略的生成原因、冲突安全策略的时序、冲突安全策略产生的影响。第二步，根据协防安全策略冲突信息判断安全策略冲突的发生区域，所述发生区域包括：域内、域外。第三步，对协防安全策略冲突信息进行特征提取。

步骤五，将提取的特征与协防安全策略通用冲突消解方法表进行匹配。

首先，如果是域内协防策略冲突，将提取的特征与域内协防安全策略通用冲突消解方法表中的消解规则进行匹配；如果是跨域协防策略冲突，将提取的特征与跨域协防安全策略通用冲突消解方法表中的消解规则进行匹配。然后，根据匹配结果提取域内或跨域协防安全策略通用冲突消解方法表中适配的消解规则。最后，下发执行适配的消解规则进行冲突消解，并记录冲突消解结果。

步骤六，如果在域内或跨域协防安全策略通用冲突消解方法表中无法提取到适配的消解规则，首先，将提取的特征与冲突消解知识库进行匹配，从中提取适配的消解规则。然后，下发执行适配的消解规则进行冲突消解，并记录冲突消解结果。

所述冲突消解知识库为管理员在工作过程中针对较为复杂的安全策略冲突所逐渐积累的经验，包括如下信息：安全策略主体、约束条件、策略冲突、策略优先级、消解规则、冲突消解理由。

步骤七，如果在冲突消解知识库中无法提取到适配的消解规则，首先，提取预设的适配的消解规则。然后，下发执行适配的消解规则进行冲突消解，并记录冲突消解结果。最后，将预设的适配的消解规则以及对应的冲突消解理由存入冲突消解知识库，以供以后匹配和冲突消解使用。

所述预设的适配的消解规则，包括管理员根据协防安全策略冲突信息制定的消解规则，并给出对应的冲突消解理由。

协防安全策略通用冲突消解方法表中的、冲突消解知识库中的、预设的消解规则分别包括：肯定策略覆盖、否定策略覆盖、具体策略优先、指定策略删除、最旧策略删除。

如图2所示，是本发明具体实施方式提供的一种电力工控系统协同防御策略冲突消解系统的原理示意图，所述系统包括：安全策略管理模块，所述安全策略管理模块包括：

安全策略基础信息维护子模块：用于对电力工控系统中的安全策略基础信息进行初始化录入；

安全策略优先级管理子模块：用于设定域内和跨域安全策略优先级；

安全策略隐含关系管理子模块：建立域内和跨域安全策略隐含关系表。

所述系统还包括：

安全策略冲突监测模块：用于获取协防安全策略冲突信息；

特征提取模块：用于对协防安全策略冲突信息进行特征提取；

消解方法表管理模块：用于建立域内和跨域协防安全策略通用冲突消解方法表；

消解方法匹配模块：用于将提取的特征与协防安全策略通用冲突消解方法表或冲突消解知识库进行匹配，并根据匹配结果提取协防安全策略通用冲突消解方法表或冲突消解知识库中适配的消解规则；

预设处理冲突模块：用于提取预设的适配的消解规则；

知识库管理模块：用于获取冲突消解知识库中的消解规则和将预设的适配的消解规则以及对应的冲突消解理由存入冲突消解知识库；

冲突区域判断模块：用于根据协防安全策略冲突信息判断冲突的发生区域；

安全策略下发执行模块：用于下发执行协防安全策略通用冲突消解方法表中的、冲突消解知识库中的或预设的适配的消解规则进行冲突消解，并记录冲突消解结果。

本发明具体实施方式还提供了计算机处理控制装置，包括：

存储器：用于存储指令；

处理器：用于根据所述指令进行操作以执行本发明具体实施方式提供的一种电力工控系统协同防御策略冲突消解方法的步骤。

本发明具体实施方式还提供了计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明具体实施方式提供的一种电力工控系统协同防御策略冲突消解方法的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。