一种基于微隔离技术的云平台访问控制方法及系统与流程

本发明属于电网云平台安全信息领域，具体涉及一种基于微隔离技术的云平台访问控制方法及系统。

背景技术：

1、随着电网云平台的建设，将各类新技术与电网云平台进行融合，但是随着各类新技术应用在电网云平台中，使得电网云平台原有的网络安全便捷划分变得越来越模糊，导致电网云平台的防护出现一些缺陷，现有技术对于这种缺陷，一般采用在电网云平台钱设置主动代理网关，在终端对电网云平台进行访问时，首先需要经过主动代理网关的认证，才可以访问电网云平台，然而当恶意攻击用户攻破主动代理网关时，将对整个的电网云平台存在严重的安全威胁，因此还是存在保护缺陷。

技术实现思路

1、本发明提出了一种基于微隔离技术的云平台访问控制方法及系统，对电网云平台进行隔离访问控制，保证硬件设备节点不被攻击并保障数据和电网云平台的安全。

2、本发明的第一方面提供了一种基于微隔离技术的云平台访问控制方法，所述方法包括：

3、获取电网云平台的设备节点的节点运行信息，根据所述节点运行信息得到各个设备节点之间的连接关系；

4、根据各个设备节点之间的连接关系，通过预设的微隔离组划分方法进行分析处理，将设备节点划分成若干个微隔离组；

5、根据每个设备节点的访问权限信息，确定每个微隔离组中访问权限最高的设备节点为中心主节点，并设置每个中心主节点的访问权限信息为所在微隔离组的访问权限信息；

6、根据每个微隔离组的访问权限信息，生成每个微隔离组的微隔离访问策略；

7、根据微隔离组的微隔离访问策略，监测外部访问设备对电网云平台的设备节点的访问连接。

8、上述方案通过电网云平台的设备节点的节点运行信息，将设备节点划分为多个微隔离组，再制定每个微隔离组的微隔离访问策略来控制组内设备节点和外部访问设备之间的通信连接，使微隔离组及时切断存在安全风险的连接，保障设备节点不被攻击，及时保证云平台内的数据安全，且按分组形式更加方便管理设备节点的运行。

9、在第一方面的一种可能的实现方法中，根据所述节点运行信息得到各个设备节点之间的连接关系，具体为：

10、根据设备节点的节点运行信息，得到各个设备节点之间的发送端和接收端的网络参数；

11、根据各个设备节点之间的发送端和接收端的网络参数，构建设备节点的流表项；

12、根据设备节点的流表项，可得到各个设备节点之间的连接关系。

13、上述方案通过获得设备节点之间的连接关系用于聚类分析，为划分设备节点得到多个微隔离组提供数据支撑。

14、在第一方面的一种可能的实现方法中，根据各个设备节点之间的连接关系，通过预设的微隔离组划分方法进行分析处理，将设备节点划分成若干个微隔离组，具体为：

15、对各个设备节点之间的连接关系进行预处理，得到第一节点数据；其中，预处理包括剔除非电网云平台的局域网内的设备节点的连接关系和剔除非数据传输相关的连接关系的字段；

16、根据第一节点数据，通过预设的微隔离组划分方法对设备节点进行划分，得到若干个微隔离组；其中，每个微隔离组包含若干个设备节点。

17、上述方案通过对设备节点之间的连接关系进行预处理，剔除对划分微隔离组无用的数据，减少数据冗余，提升了划分微隔离组的效率。

18、在第一方面的一种可能的实现方法中，根据每个微隔离组的访问权限信息，生成每个微隔离组的微隔离访问策略，具体为：

19、获得中心节点的安全监控策略；其中，所述安全监控策略用于中心节点和外部访问设备进行通信连接；

20、根据微隔离组的访问权限信息和中心节点的安全监控策略，生成每个微隔离组的微隔离访问策略。

21、上述方案通过微隔离组中访问权限最高的中心节点生成对应微隔离组的安全监控策略，使微隔离组能通过所述安全监控策略对组内所有设备节点进行统一访问控制管理，及时发现访问异常，保证了电网云平台的数据安全。

22、在第一方面的一种可能的实现方法中，根据微隔离组的微隔离访问策略，监测外部访问设备对电网云平台的设备节点的访问连接，具体为：

23、当外部访问设备申请对电网云平台的某一设备节点进行访问连接时，根据该设备节点所在的微隔离组的微隔离访问策略，验证外部访问设备是否符合该设备节点的访问权限信息；

24、当外部访问设备符合该设备节点的访问权限信息时，外部访问设备和设备节点进行访问连接，同时根据微隔离组的微隔离访问策略监测访问过程；当访问过程存在预设的安全风险时，通过微隔离组强制切断所述访问连接。

25、上述方案通过微隔离访问策略验证外部访问设备的访问请求，并监测整个访问过程，及时发现存在异常的传输，使微隔离组能及时切断所述访问连接，保障电网云平台的安全。

26、本发明第二方面提供了一种基于微隔离技术的云平台访问控制系统，所述系统包括：数据处理模块，微隔离组划分模块，访问权限设置模块，微隔离访问策略生成模块和访问连接监测模块；

27、其中，所述数据处理模块用于获取电网云平台的设备节点的节点运行信息，根据所述节点运行信息得到各个设备节点之间的连接关系；

28、所述微隔离组划分模块用于根据各个设备节点之间的连接关系，通过预设的微隔离组划分方法进行分析处理，将设备节点划分成若干个微隔离组；

29、所述访问权限设置模块用于根据每个设备节点的访问权限信息，确定每个微隔离组中访问权限最高的设备节点为中心主节点，并设置每个中心主节点的访问权限信息为所在微隔离组的访问权限信息；

30、所述微隔离访问策略生成模块用于根据每个微隔离组的访问权限信息，生成每个微隔离组的微隔离访问策略；

31、所述访问连接监测模块用于根据微隔离组的微隔离访问策略，监测外部访问设备对电网云平台的设备节点的访问连接。

32、在第二方面的一种可能的实现方式中，数据处理模块，包括：流表项构建单元；

33、所述流表项构建单元用于根据设备节点的节点运行信息，得到各个设备节点之间的发送端和接收端的网络参数；根据各个设备节点之间的发送端和接收端的网络参数，构建设备节点的流表项；根据设备节点的流表项，可得到各个设备节点之间的连接关系。

34、在第二方面的一种可能的实现方式中，微隔离组划分模块，包括：微隔离组划分单元；

35、所述微隔离组划分单元用于对各个设备节点之间的连接关系进行预处理，得到第一节点数据；其中，预处理包括剔除非电网云平台的局域网内的设备节点的连接关系和剔除非数据传输相关的连接关系的字段；根据第一节点数据，通过预设的微隔离组划分方法对设备节点进行划分，得到若干个微隔离组；其中，每个微隔离组包含若干个设备节点。

36、在第二方面的一种可能的实现方式中，微隔离访问策略生成模块，包括：微隔离访问策略生成单元；

37、所述微隔离访问策略生成单元用于获得中心节点的安全监控策略；其中，所述安全监控策略用于中心节点和外部访问设备进行通信连接；根据微隔离组的访问权限信息和中心节点的安全监控策略，生成每个微隔离组的微隔离访问策略。

38、在第二方面的一种可能的实现方式中，访问连接监测模块，包括：访问控制单元；

39、所述访问控制单元用于当外部访问设备申请对电网云平台的某一设备节点进行通信连接时，根据该设备节点所在的微隔离组的微隔离访问策略，验证外部访问设备是否符合该设备节点的访问权限信息；当外部访问设备符合该设备节点的访问权限信息时，外部访问设备和设备节点进行通信连接，同时根据微隔离组的微隔离访问策略监测所述通信连接；当所述通信连接存在预设的安全风险时，通过微隔离组强制切断所述通信连接。