一种信息安全控制方法与流程

本发明属于信息安全，具体涉及一种信息安全控制方法。

背景技术：

1、伴着智能变电站相关技术的日益完善.智能变电站逐步进入大规模实用阶段，电力控制系统和信息系统应用越来越多,电力系统通信协议的标准化,使得信息通信更容易受到黑客,攻击,这对电力控制系统和数据网络的安全性可靠性提出了新的挑战，由智能变电站二次系统的构成可以看出，二次系统所用的系统或装置类型多、协议多，特别是智能变电站二次设备网络化、信息共享度高，运用了一些开放的协议，这就使得智能变电站比传统变电站面临更加严峻的信息安全威胁。基于二次系统的特点，其较易遭受病毒感染、木马植入、各种漏洞攻击、口令破解、访问权限获取、信息侦听、重放攻击、数据篡改或拒绝服务攻击等手段的攻击。

2、目前智能变电站内的信息安全控制一方面主要靠对人员出入进行严格控制，另一方面靠边界上的二次安全防护，即运用纵向加密认证装置、防火墙等装置，控制站内、外网络的访问和加密、解密。然而，一旦从边界处(包括从变电站内)侵入到智能变电站内部,或者建设、安装、调试人员在内部设备或系统上留下后门，全站的二次系统信息便暴露无遗，这就对站内的二次系统提出了亟需解决的安全要求。

技术实现思路

1、为解决现有技术中带有的缺陷，本发明提出一种信息安全控制装置，解决了目前智能变电站内的信息安全控制一方面主要靠对人员出入进行严格控制，另一方面靠边界上的二次安全防护，即运用纵向加密认证装置、防火墙等装置，控制站内、外网络的访问和加密、解密，然而一旦从边界处(包括从变电站内)侵入到智能变电站内部,或者建设、安装、调试人员在内部设备或系统上留下后门，全站的二次系统信息便暴露无遗的问题。

2、本发明运用如下的技术方案。

3、一种信息安全控制方法，包括：

4、步骤1：当用户需要查看某一应用的具体内容时，终端对所述用户进行身份认证后执行对应用的具体内容展现与否的操作；

5、步骤2：当所述用户在验证的用户在可查询范围内无法查询到所需的内容时，可通过信息收发模块提出申请；

6、步骤3：当所述用户的申请通过后，信息收发模块将申请通过的信息传送至终端，终端解锁更多的要访问的更高密级的应用内容，并将更高密级的应用内容通过显示模块展示出来供所述用户查看；当所述用户的申请未通过，信息收发模块将申请未通过的信息传送至终端，终端继续锁定显示模块，将更高密级的应用内容隐藏起来。

7、优选地，终端对所述用户进行身份认证的方法，包括：

8、步骤1-1：当终端进行身份验证时，所述用户通过输入模块输入密钥并在显示模块展示输入的密钥；

9、步骤1-2：当终端接受到密钥后，终端通过信息收发模块将随机签名因子传至所述用户的手机；

10、步骤1-3：所述用户在随机签名因子的有效时间内，通过输入模块输入随机签名因子至终端，并在显示模块展示输入的随机签名因子；

11、步骤1-4：终端根据密钥和随机签名因子生成临时密码并通过信息收发模块将临时密码发送至用户的手机；

12、步骤1-5：所述用户在预设的有效时间内输入临时密码确认身份。

13、优选地，随机签名因子为终端随机生成的一段字符串或者数码；

14、随机签名因子设定有其有效时间。

15、优选地，根据密钥和随机签名因子生成临时密码的方法，包括：

16、用哈夫曼编码算法或者base64编码算法对密钥和随机签名因子拼接而成的字符串进行编码，编码后的结果就是临时密码。

17、优选地，所述用户在预设的有效时间内输入临时密码确认身份的方法，包括：

18、所述用户在预设的有效时间内输入的临时密码和终端生成的临时密码相同时，就为通过了临时密码的确认身份；

19、所述用户未在预设的有效时间内输入临时密码或者用户在预设的有效时间内输入的临时密码和终端生成的临时密码不相同时，就为未通过临时密码的确认身份，返回步骤1-1重新执行终端对所述用户进行身份认证。

20、优选地，终端对所述用户进行身份认证的方法，还包括：

21、步骤1-6：在通过了临时密码的确认身份后，用户通过输入模块对终端输入应用名称；

22、步骤1-7：摄像头采集用户的人脸图像并传至终端，终端利用人脸识别模块与其内存放的人脸图像对比，找出匹配的人脸图像，并获取该人脸图像所属的用户对输入的应用名称所属的应用的具体内容的访问权限；

23、步骤1-8：当获取的应用的具体内容的访问权限为所述用户对所述应用的具体内容有访问权限时，为所述用户展现所述应用的具体内容；当获取的应用的具体内容的访问权限为所述用户对所述应用的具体内容没有访问权限时，不为所述用户展现所述应用的具体内容，也就是所述用户在验证的用户可查询范围内无法查询到所需的内容。

24、优选地，通过信息收发模块提出申请的方法，包括：

25、用户通过输入模块在信息收发模块上显示的输入界面中录入申请内容，以此提出申请，申请内容包含有申请条件与要访问的更高密级的应用，信息收发模块判定出要访问的更高密级的应用为符合申请内容的申请条件的可访问的应用，就通过该用户的申请，否则就未通过该用户的申请。

26、优选地，信息安全控制方法，还包括：

27、步骤4：当所述用户在设定的一段时间未对输入模块执行操作后，终端控制显示模块至密钥输入界面，当终端在设定的一段时间内无人操作时，终端使显示模块黑屏而熄灭。

28、优选地，所述用户需要查看某一应用的具体内容之前，还包括：

29、终端具有信息安全保护机制，当终端启动所述信息安全保护机制启动后，在终端对用户进行身份认证之前，所述应用的具体内容处于隐藏状态。

30、优选地，所述应用为智能变电站内的信息类业务，在终端对用户进行身份认证之前，当终端接收到信息业务时，所述信息业务的具体信息内容处于隐藏状态。

31、优选地，为所述用户展现所述应用的具体内容之后，当所述用户在预定时间范围内未对所述应用的具体内容进行任何操作，则隐藏所述应用的具体内容。

32、一种信息安全控制装置，包括：

33、验证模块、显示模块、安全管理模块、终端、摄像头、信息收发模块、人脸识别模块、输入模块与用户的手机；

34、摄像头、显示模块与输入模块均与终端相连，终端与用户的手机通信连接，安全管理模块、验证模块、信息收发模块和人脸识别模块运行在终端上；

35、在终端中存放有用户的人脸图像及该用户对应用名称所属的应用的具体内容的访问权限所形成的关联关系，在终端中还存放有符合申请条件的可访问的应用。

36、优选地，终端是电脑主机或者控制器；

37、显示模块是显示屏或者液晶屏；

38、输入模块是按键、鼠标或者键盘。

39、优选地，验证模块，其用于当用户需要查看某一应用的具体内容时，对所述用户进行身份验证；

40、显示块，其用于当经过所述识别模块的人脸识别确定所述用户对所述应用的具体内容有访问权限时，为所述用户展现所述应用的具体内容；当经过所述识别模块的人脸识别确定所述用户对所述应用的具体内容没有访问权限时，不为所述用户展现所述应用的具体内容。

41、安全管理模块，其用于启动或关闭信息安全保护机制，则当启动所述信息安全保护机制后，在所述识别模块对用户进行人脸识别之前，所述应用的具体内容处于隐藏状态。

42、输入模块，其用于所述用户输入密钥和随机签名因子，当显示处理模块展示所述应用的具体内容后，禁用输入功能，防止所述用户修改所展示的具体内容。

43、信息收发模块，其用于接受和发送所述用户查看应用的具体内容时，所需要的验证信息。

44、优选地，所述随机签名因子具有时间窗，当所述用户在时间窗之外输入随机签名因子时将失效。

45、优选地，所述临时密码具有时间窗，当所述用户在时间窗之外输入临时密码时将失效。

46、优选地，所述申请通过的信息具有时间窗，时间窗之外，所述用户的额外权限将被终端重新锁定。

47、本发明的有益效果在于，与现有技术相比，本发明当用户需要查看某一密级的具体内容时，终端进行身份验证，当验证用户具有具体内容的权限时，允许用户查看权限范围内的具体内容，当验证未通过，则不允许用户查看应用的具体内容，当验证通过，并且通过终端提出的申请也通过后，用户可获得临时的高级权限，从而使用户能够查看更高密级的具体内容，如果申请未通过，则不允许用户查看密级更高的内容，不仅保证了正常情况下应用具体内容的安全性，也可以使用户在查看密级更高的内容时更加方便，减少了信息泄露的风险。