本申请涉及电力监控系统网络安全技术领域,特别是涉及一种电力监控系统网络安全态势感知方法。
背景技术:
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多,而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多,特别是公用信息基础设施建设推动了政府、企业日益依赖信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战,如维基解密网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;csdn(chinesesoftwaredevelopernetwork,中国软件开发者网)网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。
电力系统作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业和国家安全。但是,在实现过程中,发明人发现传统技术中至少存在如下问题:传统用于监控电力监控系统的网络安全的技术预警能力差,导致电力监控系统容易遭受攻击。
技术实现要素:
基于此,有必要针对传统技术无法全面地监控电力系统的网络安全的问题,提供一种电力监控系统网络安全态势感知方法以及装置。
一种电力监控系统网络安全态势感知方法,包括以下步骤:
通过实时监控、历史审计、预测分析和展示处置四个方面对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性进行数据采集、安全分析、安全处置以及安全管控,实现对电力监控系统的网络安全风险数据进行获取、理解、预测以及展示处置。
在其中一个实施例中,实时监视为对预设时间周期内的网络安全风险数据进行实时安全分析,监视电力监控系统的网络安全风险。
在其中一个实施例中,网络安全风险包括电力监控系统面临的外部网络安全威胁以及电力监控系统自身的网络安全脆弱性;
其中,电力监控系统面临的外部网络安全威胁包括网络行为、外设接入、登录操作、程序代码四大方面的网络安全监视;电力监控系统自身的网络安全脆弱性包括资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞六大面的网络安全监视。
在其中一个实施例中,网络行为对电力监控系统中的非法网络接入、跨区互联发现进行实时监视;
外设接入为对电力监控系统中的通用主机的usb接口接入、拔出行为进行实时监视;
登录操作为对电力监控系统中的设备登录行为及登录时间内相关设备操作的实时监视;设备登录行为包括登录成功、登录失败;
程序代码为对电力监控系统中的系统关键程序变更情况进行实时监视;
资产发现为对电力监控系统中的合法资产和非法资产情况进行实时监视;
互联拓扑为收集电力监控系统中的网络拓扑信息,并以动态拓扑图的形式展示网络拓扑信息,实现对电路监控系统的整体运行状态进行实时监视;
运行状态为对电力监控系统中的通用主机、嵌入式主机设备、网络设备和安全设备运行状态进行实时监视和告警;
开放服务为对电力监控系统中的设备开放端口及服务情况进行实时监视;
配置合规为对电力监控系统中的设备的配置合规情况进行实时监视;
系统漏洞为对电力监控系统中的设备的系统漏洞情况进行实时监视。
在其中一个实施例中,通过被动数据收集、主动探测或第三方工具获取网络安全风险数据可以通过。
在其中一个实施例中,历史审计为对历史周期内的网络安全风险数据进行综合安全分析,实现对电力监控系统的网络安全风险进行实时监视;
在其中一个实施例中,基于以下步骤实现历史审计:
通过对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性的历史数据进行统计和分析,获取反映区域内电力监控系统的历史网络安全态势;
其中,历史审计包括对电力监控系统的网络行为、外设接入、登录操作、程序代码、资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞进行历史审计。
在其中一个实施例中,预测分析是指对电力监控系统网络安全相关数据进行分布式存储、处理以及告警分析,采用网络安全全景建模、人工智能态势感知算法及大数据分析技术,提供网络安全风险预警。
在其中一个实施例中,展示处置是指通过安全概况、告警监视、下级监视和报表分析四种方式,辅助网络安全管理决策。
在其中一个实施例中,展示处置包括风险展示以及风险排名处置;
其中,风险展示是指对网络安全外部威胁和自身网络安全脆弱性进行展示;
风险排名处置是指对网络安全风险的取证分析,溯源分析,以及安全应急处置。
上述技术方案中的一个技术方案具有如下优点和有益效果:
通过实时监控、历史审计、预测分析和展示处置四个方面对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性进行数据采集、安全分析、安全处置以及安全管控,达到对网络安全风险数据获取、理解、预测以及展示处置等目的,从而,本申请电力监控系统网络安全态势感知方法能够全面地对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性进行实时监控、历史审计、预测分析和展示处置,保证电力监控系统能够安全稳定的运行。
具体实施方式
本申请可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本申请的公开内容更加透彻全面。
需要说明的是,当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件并与之结合为一体,或者可能同时存在居中元件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
为了解决传统用于监控电力监控系统的网络安全的技术预警能力差,导致电力监控系统容易遭受攻击的问题,在一个实施例中,一种电力监控系统网络安全态势感知方法,包括以下步骤:
通过实时监控、历史审计、预测分析和展示处置四个方面对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性进行数据采集、安全分析、安全处置以及安全管控,实现对电力监控系统的网络安全风险数据进行获取、理解、预测以及展示处置。
需要说明的是,在传统技术中实现实时监控的方式有很多,具体可参照传统技术,而在本申请中提供一种可实现实时监控的方式,具体的,实时监视为对预设时间周期内的网络安全风险数据进行实时安全分析,监视电力监控系统的网络安全风险。进一步的,网络安全风险包括电力监控系统面临的外部网络安全威胁以及电力监控系统自身的网络安全脆弱性;其中,电力监控系统面临的外部网络安全威胁包括网络行为、外设接入、登录操作、程序代码四大方面的网络安全监视;电力监控系统自身的网络安全脆弱性包括资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞六大面的网络安全监视。
在传统技术中实现网络行为、外设接入、登录操作、程序代码、资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞的方式有很多,具体可参照传统技术,而在本申请中提供一种可实现的方式,具体的,网络行为对电力监控系统中的非法网络接入、跨区互联发现进行实时监视;外设接入为对电力监控系统中的通用主机的usb接口接入、拔出行为进行实时监视;登录操作为对电力监控系统中的设备登录行为(登录成功、登录失败)及登录时间内相关设备操作的实时监视;程序代码为对电力监控系统中的系统关键程序变更情况进行实时监视;资产发现为对电力监控系统中的合法资产和非法资产情况进行实时监视;互联拓扑为收集电力监控系统中的网络拓扑信息,并以动态拓扑图的形式展示网络拓扑信息,实现对电路监控系统的整体运行状态进行实时监视;运行状态为对电力监控系统中的通用主机、嵌入式主机设备、网络设备和安全设备运行状态进行实时监视和告警;开放服务为对电力监控系统中的设备开放端口及服务情况进行实时监视;配置合规为对电力监控系统中的设备的配置合规情况进行实时监视;系统漏洞为对电力监控系统中的设备的系统漏洞情况进行实时监视。
为顺利地实现对电力监控系统进行实时监视,需获得到有效地数据方可,在一个实施例中,通过被动数据收集、主动探测或第三方工具获取网络安全风险数据可以通过。
在传统技术中实现历史审计的方式有很多,具体可参照传统技术,而在本申请中提供一种可实现历史审计的方式,在一个实施例中,历史审计为对历史周期内的网络安全风险数据进行综合安全分析,实现对电力监控系统的网络安全风险进行实时监视。具体的,基于以下步骤实现历史审计:
通过对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性的历史数据进行统计和分析,获取反映区域内电力监控系统的历史网络安全态势;
其中,历史审计包括对电力监控系统的网络行为、外设接入、登录操作、程序代码、资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞进行历史审计。
在传统技术中实现预测分析的方式有很多,具体可参照传统技术,而在本申请中提供一种可实现预测分析的方式,具体的,预测分析是指对电力监控系统网络安全相关数据进行分布式存储、处理以及告警分析,采用网络安全全景建模、人工智能态势感知算法及大数据分析技术,提供网络安全风险预警。
在传统技术中实现展示处置的方式有很多,具体可参照传统技术,而在本申请中提供一种可实现展示处置的方式,具体的,展示处置是指通过安全概况、告警监视、下级监视和报表分析四种方式,辅助网络安全管理决策。具体的,在一个实施例中,展示处置包括风险展示以及风险排名处置;其中,风险展示是指对网络安全外部威胁和自身网络安全脆弱性进行展示;风险排名处置是指对网络安全风险的取证分析,溯源分析,以及安全应急处置。
为了更好地理解本申请网络态势安全感知方法,以下将详细地说明:
通过实时监控、历史审计、预测分析和展示处置四个方面对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性进行数据采集、安全分析、安全处置以及安全管控,实现对电力监控系统的网络安全风险数据进行获取、理解、预测以及展示处置,包括以下步骤:
步骤s110,获取数据采集装置采集到的电力监控系统内产生的网络安全风险数据,并获取电力监控系统的历史网络安全风险数据。
需要说明的是,电力监控系统可根据业务系统的安全等级划分为控制区、非控制区以及生产管理区。具体而言,控制区安全等级最高,其中业务系统与电力调度生产直接相关,有对一次系统的在线监控和闭环控制功能,非控制区安全等级仅次于控制区,其中业务系统功能与电力生产直接相关,但不直接参与控制,生产管理区安全等级次于非控制区,业务系统与电力调度生产管理工作直接相关。
数据采集装置接入电力监控系统的网络内,具体数据采集装置的安装位置以及安装数量可根据电力监控系统的大小而定。网络安全风险数据是指当前时刻的电力监控系统内产生与安全相关的数据,数据采集装置实时采集电力监控系统内产生的网络安全风险数据,并将各时刻采集到的网络安全风险数据进行存储,成为电力监控系统的历史网络态势,以备对电力监控系统进行历史审计使用。在一个示例中,网络安全风险数据包括文件、视频、操作指令、设备运行参数等等。
步骤s120,分析网络安全风险数据,并依据分析结果对电力监控系统的外部网络安全外部威胁以及自身网络安全脆弱性进行实时监控。
需要说明的是,识别网络安全风险数据中是否存在对电力监控系统造成外部威胁的数据和是否存在影响电力监控系统脆弱性的数据,在识别出网络安全风险数据中包含有上述数据,并分析这些数据对电力监控系统造成外部威胁的程度,或影响电力监控系统脆弱性的程度,从而,实现对电力监控系统的外部网络安全外部威胁以及自身网络安全脆弱性进行实时监控。
在一个示例中,网络安全风险数据包括电力监控系统的网络行为数据和外接设备数据;
分析网络安全风险数据,并依据分析结果对电力监控系统的外部网络安全外部威胁以及自身网络安全脆弱性进行实时监控的步骤,包括:
分析网络行为数据,并依据分析网络行为数据得到的结果对电力监控系统的网络行为进行实时监控;
分析外接设备数据,并依据分析外接设备数据得到的结果对电力监控系统的外接设备进行实时监控。
进一步的,在又一个示例中,网络安全风险数据包括电力监控系统的登录行为数据和程序代码数据;
分析网络安全风险数据,并依据分析结果对电力监控系统的外部网络安全外部威胁以及自身网络安全脆弱性进行实时监控的步骤,包括:
分析登录行为数据,并依据分析登录行为数据得到的结果对电力监控系统的登录操作进行实时监控;
分析程序代码数据,并依据分析程序代码数据得到的结果对电力监控系统的程序进行实时监控。
进一步的,在另一示例中,网络安全风险数据包括电力监控系统的资产数据、拓扑连接数据和主机状态数据;
分析网络安全风险数据,并依据分析结果对电力监控系统的外部网络安全外部威胁以及自身网络安全脆弱性进行实时监控的步骤,包括:
分析资产数据,并依据分析资产数据得到的结果对电力监控系统的资产进行实时监控;
分析拓扑连接数据,并依据分析拓扑连接数据得到的结果对电力监控系统的拓扑连接关系进行实时监控;
分析主机状态数据,并依据分析主机状态数据得到的结果对电力监控系统的主机状态进行实时监控。
进一步的,在再一个示例中,网络安全风险数据包括电力监控系统的开放服务状态数据、配置数据和系统状态数据;
分析网络安全风险数据,并依据分析结果对电力监控系统的外部网络安全外部威胁以及自身网络安全脆弱性进行实时监控的步骤,包括:
分析开放服务状态数据,并依据分析开放服务状态数据得到的结果对电力监控系统的开放服务进行实时监控;
分析配置数据,并依据分析配置数据得到的结果对电力监控系统的配置进行实时监控;
分析系统状态数据,并依据分析系统状态数据得到的结果对电力监控系统的系统漏洞进行实时监控。
步骤s130,统计分析历史网络安全风险数据,并依据统计分析结果对电力监控系统的历史行为进行历史审计。
需要说明的是,识别历史网络安全风险数据中是否存在对电力监控系统造成外部威胁的数据和是否存在影响电力监控系统脆弱性的数据,在识别出历史网络安全风险数据中包含有上述数据,并对这些历史数据进行历史审计,进一步的,将上述历史数据按照时序以及对电力监控系统造成影响的性质进行统计存储。
在一个示例中,历史网络安全风险数据包括电力监控系统的历史网络行为数据和历史外接设备数据;
统计分析历史网络安全风险数据,并依据统计分析结果对电力监控系统的历史行为进行历史审计的步骤,包括:
分析历史网络行为数据,并依据分析历史网络行为数据得到的结果对电力监控系统的网络历史行为进行监视审计;
分析历史外接设备数据,并依据分析历史外接设备数据得到的结果对电力监控系统的外接设备历史行为进行监视审计。
进一步的,在另一个示例中,历史网络安全风险数据包括电力监控系统的历史登录行为数据和历史程序代码数据;
统计分析历史网络安全风险数据,并依据统计分析结果对电力监控系统的历史行为进行历史审计的步骤,包括:
分析历史登录行为数据,并依据分析历史登录行为数据得到的结果对电力监控系统的登录操历史行为作进行监视审计;
分析历史程序代码数据,并依据分析历史程序代码数据得到的结果对电力监控系统的程序历史行为进行监视审计。
进一步的,在又一个示例中,历史网络安全风险数据包括电力监控系统的历史资产数据、历史拓扑连接数据和历史主机状态数据;
统计分析历史网络安全风险数据,并依据统计分析结果对电力监控系统的历史行为进行历史审计的步骤,包括:
分析历史资产数据,并依据分析历史资产数据得到的结果对电力监控系统的资产进行监视审计;
分析历史拓扑连接数据,并依据分析历史拓扑连接数据得到的结果对电力监控系统的拓扑连接关系历史行为进行监视审计;
分析历史主机状态数据,并依据分析历史主机状态数据得到的结果对电力监控系统的主机历史行为进行监视审计。
进一步的,在还一个示例中,历史网络安全风险数据包括电力监控系统的历史开放服务状态数据、历史配置数据和历史系统状态数据;
统计分析历史网络安全风险数据,并依据统计分析结果对电力监控系统的历史行为进行历史审计的步骤,包括:
分析历史开放服务状态数据,并依据分析历史开放服务状态数据得到的结果对电力监控系统的开放服务历史行为进行监视审计;
分析历史配置数据,并依据分析历史配置数据得到的结果对电力监控系统的配置历史行为进行监视审计;
分析历史系统状态数据,并依据分析历史系统状态数据得到的结果对电力监控系统的系统漏洞历史行为进行监视审计。
步骤s140,预测分析网络安全风险数据和历史网络安全风险数据,并依据预测分析结果对电力监控系统的趋势行为进行预测分析。
需要说明的是,对当前采集的网络安全风险数据和历史网络安全风险数据进行预测分析,预测电力监控系统未来可能会出现的风险,从而提前采取相关措施加强电力监控系统的安全防护。具体的,对网络安全风险数据和历史网络安全风险数据进行分布式存储,处理以及告警分析,采用网络安全全景建模、人工智能态势感知算法以及大数据分析技术对网络安全风险数据和历史网络安全风险数据进行分析,实现对电力监控系统的安全风险预警。
步骤s150,对分析结果、统计分析结果和预测分析结果进行展示处置。
需要说明的是,将步骤s110至步骤s130获取到的结果,进行展示处置,使得相关工作人员能够直观地监视电力监控系统的运行状态。在一个示例中,可将骤s110至步骤s130获取到的结果通过显示器进行显示。在又一个示例中,展示处置是指通过安全概况、告警监视、下级监视和报表分析四种方式,辅助网络安全管理决策。
本申请电力监控系统网络安全态势感知方法的各实施例中,获取数据采集装置采集到的电力监控系统内产生的网络安全风险数据,并获取电力监控系统的历史网络安全风险数据,然后分析网络安全风险数据,并依据分析结果对电力监控系统的外部网络安全外部威胁以及自身网络安全脆弱性进行实时监控,统计分析历史网络安全风险数据,并依据统计分析结果对电力监控系统的历史行为进行历史审计,预测分析网络安全风险数据和历史网络安全风险数据,并依据预测分析结果对电力监控系统的趋势行为进行预测分析,并对分析结果、统计分析结果和预测分析结果进行展示处置,从而,本申请电力监控系统网络安全态势感知方法能够全面地对电力监控系统的网络安全外部威胁以及自身网络安全脆弱性进行实时监控、历史审计、预测分析和展示处置,保证电力监控系统能够安全稳定的运行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限,ram以多种形式可得,诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。