一种云主站安全防护系统、方法、设备和存储介质与流程

本发明涉及网络安全，特别涉及一种云主站安全防护系统、方法、设备和存储介质。

背景技术：

1、随着互联网技术的发展，云计算作为一种新型的计算模式，为包括智能电网、医疗在内的众多领域提供了高效、灵活、可扩展的信息服务。其中，对于智能电网领域来说，云主站是云计算在智能电网中的重要应用之一，是一种将传统电力主站的功能和业务部署在云平台上的方式，可以实现电力调度、电能质量监测、电力设备运维等多种业务应用的集成和优化。

2、然而，在各领域中，云主站面临着诸多安全挑战和威胁，如身份伪造、权限滥用、数据篡改、信息泄露、网络攻击等，这些安全问题不仅会影响云主站的正常运行，还会危及整个应用场景的安全性和可靠性。因此，如何有效地防护云主站，提高其安全性和灵活性，是亟待解决的技术问题。

3、目前，针对云主站的安全防护方法主要有以下两种：

4、一种是基于传统的网络配置方式进行虚拟网络平面的划分和管理，即使用vlan、mpls等技术将物理网络划分为多个逻辑隔离的虚拟网络平面，并根据业务应用的安全等级设置不同的访问规则和隔离策略。这种方法虽然可以实现平面间的通信隔离，但是存在以下缺点：一是网络配置过程复杂繁琐，需要人工干预和维护；二是网络资源利用率低，无法根据业务需求动态调整；三是网络安全性差，容易受到非法访问或信息泄露等攻击。

5、另一种是基于传统的异常检测方式进行异常网络安全状态识别，即使用规则匹配、统计分析等技术对云主站宿主机、容器/虚拟机、业务应用等层面的系统文件、程序文件、配置文件等安全信息进行提取、分析和识别，发现云主站运行环境中存在的脆弱性和威胁，并对其进行分类、定位和评估。这种方法虽然可以实现异常网络安全状态识别，但是存在以下缺点：一是异常检测过程依赖于预先定义好的规则或模型，存在漏报或误报的问题；二是异常特征提取过程缺乏深度和复杂度，无法识别复杂的异常特征；三是异常状态评估过程缺乏动态性和多维度，无法提供全面的安全状态评估方法。

6、综上所述，现有的云主站的安全防护方法都存在一定的局限性和不足，不能满足云计算及其应用场景的发展需求，需要寻求一种更高效、灵活、可靠的安全防护方法。

技术实现思路

1、本发明实施例提供了一种云主站安全防护系统、方法、设备和存储介质，以解决现有技术中云主站部署效率低、灵活性差、安全可靠性差的问题。为了对披露的实施例的一些方面有一个基本的理解，下面给出了简单的概括。该概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念，以此作为后面的详细说明的序言。

2、根据本发明实施例的第一方面，提供了一种云主站安全防护系统。

3、在一个实施例中，云主站安全防护系统，包括：

4、业务虚拟化部署模块，用于当云主站进行业务应用的部署或访问时，根据业务应用的预设安全级别划分虚拟网络平面，并将不同虚拟网络平面间的通信隔离；

5、业务动态访问控制模块，用于当云主站与访问请求者进行业务交互时，对访问请求者进行访问控制，并根据访问请求者和访问环境进行访问策略动态调整；

6、异常网络安全状态识别模块，用于当云主站运行环境发生变化或异常时，对云主站进行网络安全状态识别和响应；

7、业务虚拟化部署模块、业务动态访问控制模块和异常网络安全状态识别模块两两间进行数据交互。

8、在一个实施例中，该系统的业务虚拟化部署模块通过软件定义网络进行虚拟网络平面的划分。

9、在一个实施例中，该系统的业务动态访问控制模块将访问请求者作为区块链网络中的节点，区块链网络通过联盟链、私有链中任意一种组网方式进行节点数量控制和数据传输，并经共识机制进行节点间的身份认证和信任建立，根据节点的身份属性和访问行为动态生成访问权限列表；共识机制为基于身份方法、基于权益方法中任意一种。

10、在一个实施例中，该系统的区块链网络还包括数据存储节点和应用访问节点，业务动态访问控制模块通过基于属性的加密方法进行数据存储节点和应用访问节点之间的安全认证和加密传输；基于属性的加密方法经属性管理器对数据存储节点和应用访问节点进行属性分配和密钥生成。

11、在一个实施例中，该系统的基于属性的加密方法包括sm2、sm3、sm4中任意一种密码加密算法。

12、在一个实施例中，该系统的异常网络安全状态识别模块经多层非线性变换对安全信息进行异常特征提取和分类；安全信息包括主站宿主机、容器/虚拟机、业务应用的系统文件、程序文件、配置文件的安全信息中至少一种；异常特征包括系统文件、程序文件、配置文件中任意一种文件的异常。

13、在一个实施例中，该系统还包括去中心化身份认证模块，去中心化身份认证模块与业务虚拟化部署模块、业务动态访问控制模块和异常网络安全状态识别模块两两间进行数据交互；去中心化身份认证模块包括至少两个相互可进行数据交互的智能化配电装置，当智能化配电装置之间进行数据交互时，经业务动态访问控制模块生成唯一身份标识，并将唯一身份标识注册到区块链上，以进行身份验证。

14、在一个实施例中，该系统的智能化配电装置配置有安全单元，安全单元配置有rfid、蓝牙近距离通信中至少一种功能。

15、在一个实施例中，该系统的安全单元还配置有用于数据加解密的安全芯片，安全芯片通过与业务动态访问控制模块间进行数据交互进行数据的加密、解密、签名、验签中至少一种操作，并通过与区块链网络间进行数据交互进行数据的完整性校验、机密性校验、时效性校验和抗重放中至少一种操作。

16、在一个实施例中，该系统还包括本地运维工具，本地运维工具与去中心化身份认证模块、业务虚拟化部署模块、业务动态访问控制模块和异常网络安全状态识别模块两两间进行数据交互；本地运维工具配置有rfid、蓝牙近距离通信中至少一种功能。

17、在一个实施例中，该系统的本地运维工具还配置有用于数据加解密的安全芯片。

18、在一个实施例中，该系统的本地运维工具和去中心化身份认证模块中的智能化配电装置进行以运维数据为内容的数据交互时，通过rfid、蓝牙近距离通信中任意一种方式建立连接，并进行双向身份认证和密钥协商。

19、在一个实施例中，该系统通过密码算法对运维数据进行分级加解密，并根据预设的运维权限和策略进行数据传输和控制。

20、在一个实施例中，该系统的密码算法包括sm2、sm3、sm4中任意一种算法，通过sm2、sm3、sm4中任意一种算法进行运维数据的非对称加密、哈希运算和对称加密中任意一种操作。

21、根据本发明实施例的第二方面，提供了一种云主站安全防护方法。

22、在一个实施例中，云主站安全防护方法，包括：

23、当云主站进行业务应用的部署或访问时，根据业务应用的预设安全级别划分虚拟网络平面，并将不同虚拟网络平面间的通信隔离；

24、当云主站与访问请求者进行业务交互时，对访问请求者进行访问控制，并根据访问请求者和访问环境进行访问策略动态调整；

25、当云主站运行环境发生变化或异常时，对云主站的进行网络安全状态识别和响应。

26、在一个实施例中，该方法的当云主站与访问请求者进行业务交互时，对访问请求者进行访问控制，并根据访问请求者和访问环境进行访问策略动态调整的步骤还包括：

27、将访问请求者作为区块链网络中的节点，区块链网络通过联盟链、私有链中任意一种组网方式进行节点数量控制和数据传输，并经共识机制进行节点间的身份认证和信任建立，根据节点的身份属性和访问行为动态生成访问权限列表；共识机制为基于身份方法、基于权益方法中任意一种。

28、根据本发明实施例的第三方面，提供了一种计算机设备。

29、在一些实施例中，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现如第二方面所述方法的步骤。

30、根据本发明实施例的第四方面，提供了一种计算机可读存储介质。

31、在一些实施例中，计算机可读存储介质上存储有计算机程序；计算机程序；计算机程序被处理器执行时实现如第二方面所述方法的步骤。

32、本发明实施例提供的技术方案可以包括以下有益效果：

33、1、本发明通过设置业务虚拟化部署模块，进行虚拟网络平面的灵活划分和管理，达到了提高云主站的业务部署和访问效率、降低云主站的安全风险、实现云主站的差异化安全隔离的效果；

34、2、本发明通过设置业务动态访问控制模块，进行访问控制和访问策略动态调整，达到了提高云主站的访问安全性和灵活性、降低云主站的身份伪造和权限滥用风险、实现云主站的动态访问控制的效果；

35、3、本发明通过设置异常网络安全状态识别模块，实现异常特征的状态识别和响应，达到了提高云主站的安全防护能力、降低云主站的脆弱性和威胁风险、实现云主站的异常网络安全状态识别的效果。

36、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。