电力二次系统的主动安全防御系统及方法
【专利摘要】本发明公开了一种电力二次系统的主动安全防御系统及方法,该主动安全防御系统在现有电力二次系统安全防御体系的基础上,还包括:入侵知
|
电力二次系统的主动安全防御系统及方法 【专利摘要】本发明公开了一种电力二次系统的主动安全防御系统及方法,该主动安全防御系统在现有电力二次系统安全防御体系的基础上,还包括:入侵知识获取模块,利用陷阱网络获取电力企业内部网络及外部网络的入侵知识;入侵知识使用模块,设置于电力企业内部网络内,负责使用获得的入侵知识来实施对电力企业内部网络的防御;入侵防御系统,部署于内外网交界处,以提高电力二次系统的主动安全防御能力,本发明可提高电力二次系统抵御内外风险的能力,变被动防护为主动防御。 【专利说明】电力二次系统的主动安全防御系统及方法 【技术领域】 [0001]本发明涉及电力系统的安全防御系统及方法,特别是涉及一种电力二次系统的主动安全防御系统及方法。 【背景技术】 [0002]电力系统包括一次和二次系统,而电力二次系统的安全防护是近十几年才提出来的电力安全防护体系。随着网络技术在电力系统各领域的广泛应用,电力二次系统的安全与其涉及的网络的安全息息相关。具体技术主要涉及电力二次系统的安全分区,每个分区之间的安全防护以及内外网之间的安全防护,尤其是主动防御【技术领域】。 [0003]目前,国内外对电力二次系统的安全防护都在加强建设和不断完善的过程中。相关的技术主要有防火墙技术,反病毒技术,身份认证技术,入侵检测技术(IntrusionDetection Systems),入侵防御技术(Intrusion Prevent System),物理隔离和逻辑隔离,虚拟专用网(Virtual Private Network)等关键技术。 [0004]然而,虽然目前国内外对电力二次系统安全进了大量的研究并取得了一定的成果,但距离达到保障电力系统安全的要求还有很大差距。通过对电力二次系统的应用现状及安全需求分析,发现目前电力二次系统安全建设主要存在以下问题:安全防护的目标、策略和体系不够健全,安全防护反应过度反而影响正常业务,没有建立一个针对威胁和资产保护相一致的安全保护体系;另外,目前电力二次系统所采取的一些安全措施大部分是被动防护,图1为现有技术中电力二次系统安全防御体系的一般结构图。如图1所示,目前电力二次系统安全防护的总体原则是“安全分区、网络专用、横向隔离、纵向认证”,以下从这几个方面对其进行简述。 [0005]1、安全分区 [0006]原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I )和非控制区(又称安全区II)。 [0007]1.1生产控制大区的安全区划分 [0008](I)控制区(安全区I) [0009]控制区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动控制系统等,其主要使用者为调度员和运行操作人员,数据传输实时性为毫秒级或秒级,其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频(或低压)自动减负荷系统、负荷管理系统等,这类系统对数据传输的实时性要求为毫秒级或秒级,其中负荷管理系统为分钟级。 [0010](2)非控制区(安全区II) [0011]非控制区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等,其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非控制区的数据采集频度是分钟级或小时级,其数据通信使用电力调度数据网的非实时子网。 [0012]1.2管理信息大区的安全区划分 [0013]管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区,但不应影响生产控制大区的安全。在此划分如生产管理区(安全区III)与管理信息区(安全区IV) [0014]2、网络专用 [0015]电力调度数据网是为生产控制大区服务的专用数据网络,承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。 [0016]电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。可采用VPN (virtual private network,虚拟专用网络)技术(包括实时VPN、非实时VPN、生产VPN及信息VPN)、国家电力调度网络SPDnet (state Power DispatchingNetwork)、国家电力数据通信网 SPTnet (State Power Telecommunication Network)、安全隧道技术、静态路由等构造子网。 [0017]3、横向隔离 [0018]横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。 [0019]按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面的要求。 [0020]4、纵向认证 [0021]纵向加密认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护(如图1中IP认证加密装置)。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替。 [0022]可见,在现有技术的电力二次系统的安全防御体系中,有的仅仅是单点防御,尚没有一个完整的体系,有的虽有完整的体系,如图1,但其所采取的一些安全措施大部分是被动防护,容易出现安全漏洞,因此,针对日益发展的网络攻击技术,需要进一步完善电力二次系统的安全防护体系,建立更有效的主动防御体系。 【发明内容】 [0023]为克服上述现有技术存在的不足,本发明之目的在于提供一种电力二次系统的主动安全防御系统及方法,通过将主动防御与被动防御相结合,在原有的电力二次系统的安全防御体系基础上提高其主动性、积极性,更好的提高电力二次系统抵御内外风险的能力,变被动防护为主动防御。 [0024]为达上述及其它目的,本发明提出一种电力二次系统的主动安全防御系统,在现有电力二次系统安全防御体系的基础上,该主动安全防御系统还包括: [0025]入侵知识获取模块,利用陷阱网络获取电力企业内部网络及外部网络的入侵知识; [0026]入侵知识使用模块二次系统安全,设置于电力企业内部网络内,负责使用获得的入侵知识来实施对电力企业内部网络的防御; [0027]入侵防御系统,部署于内外网交界处,以提高电力二次系统的主动安全防御能力。 [0028]进一步地,该入侵知识使用模块包括网络主动防御监控中心与网络主动防御代理,该网络主动防御监控中心部署在中心交换机上,要求能够和网络中所有网络主动防御代理通信,负责为安全管理员提供系统控制平台,制定具有广谱效果的检测规则,接收来自陷阱网络的规则更新;该网络主动防御代理直接连接、运行于被监控网络,能同时并发、实时地对多个子网进行监控,接收由该网络主动防御监控中心传来的命令,回送运行结果。 [0029]进一步地,该入侵知识获取模块包括第一陷阱网络及第二陷阱网络,该第一陷阱网络设置于外网区域,与内外网间的防火墙处于并行的位置,其用于检测所有包括绕过该防火墙进入内部网络的数据包,该第二陷阱网络设置于该电力企业内部网络的内网区域,与主干网络连接,用于获取入侵该电力企业内部网络的入侵知识。 [0030]进一步地,该第一陷阱网络对来自外部网络的黑客病毒、黑客攻击实施诱捕,并分析其特性,提取检测特征来更新该网络主动防御监控中心的规则数据库;该第二陷阱网络负责诱捕来自内部网络的黑客病毒、黑客攻击实施,分析其特性,提取检测特征来更新该网络主动防御监控中心的规则数据库。 [0031]进一步地,该网络主动防御监控中心在发现有新规则生成后,自动将该规则数据库中新策略下发到部署在不同子网内的网络主动防御代理,该网络主动防御代理接收并执行该网络主动防御监控中心制定的策略,完成网络数据包的捕获分析,详细记录网络状态产生日志,发现网络异常并产生告警,通过通信模块完成日志及告警上传至该网络主动防御监控中心。 [0032]进一步地,该网络主动防御监控中心接收该网络主动防御代理上传的日志、告警,将其写入数据库,并通知管理员。 [0033]为达到上述目的,本发明还提供一种电力二次系统的主动安全防御方法,包括如下步骤: [0034]步骤一,利用陷阱网络获取电力企业内部网络及外部网络的入侵知识,提取其中的检测特征更新网络主动防御监控中心的规则数据库; [0035]步骤二,该网络主动防御监控中心在发现有新规则生成后,自动将规则数据库中新策略下发到部署在不同子网内的网络主动防御代理;[0036]步骤三,该网络主动防御代理接收并执行该网络主动防御监控中心制定的策略,完成网络数据包的捕获分析,发现网络异常并产生告警,通过通信模块完成告警上传; [0037]步骤四,该网络主动防御监控中心接收该网络主动防御代理上传的告警,并对告警进行相应处理。 [0038]进一步地,于步骤三中,该网络主动防御代理还记录网络状态产生日志,并将该日志上传;于步骤四中,该网络主动防御监控中心将接收的日志及告警写入数据库,并通知管理员。 [0039]进一步地,于步骤四中,对于已知报警,该网络主动防御监控中心直接根据事先定义的方法对攻击进行拦截;对于未知报警,该网络主动防御监控中心 申请人:工干预,并做出最终判断,以实现双层粒度的检测。 [0040]进一步地,于步骤一中,利用第一陷阱网络对来自外部网络的黑客病毒、黑客攻击实施诱捕,并分析其特性,提取检测特征来更新该网络主动防御监控中心上的规则数据库;利用第二陷阱网络诱捕来自电力企业内部网络的黑客病毒、黑客攻击实施,分析其特性,提取检测特征来更新该网络主动防御监控中心的规则数据库。 [0041]与现有技术相比,本发明一种电力二次系统的主动安全防御系统及方法通过将主动与被动防御结合在一起,在传统的防火墙,加密认证网络隔离等技术基础上,加入了入侵防御(IPS)、陷阱网络、网络主动防御代理(NAD Agent)与网络主动防御监控中心(NAD CMC)构成一种联动的防御体系,提高了电力二次系统的主动防御能力。 【专利附图】 【附图说明】 [0042]图1为现有技术中电力二次系统安全防御体系的一般结构示意图; [0043]图2为本发明一种电力二次系统的主动安全防御系统的系统架构图; [0044]图3为本发明一种电力二次系统的主动安全防御系统之较佳实施例的结构示意图; [0045]图4为本发明一种电力二次系统的主动安全防御方法的步骤流程图。 【具体实施方式】 [0046]以下通过特定的具体实例并结合【专利附图】 【附图说明】本发明的实施方式,本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用,本说明书中的各项细节亦可基于不同观点与应用,在不背离本发明的精神下进行各种修饰与变更。 [0047]图2为本发明一种电力二次系统的主动安全防御系统的系统架构图。如图2所示,本发明一种电力二次系统的主动安全防御系统,在现有电力二次系统安全防御体系的基础上,本发明之电力二次系统的主动安全防御系统还包括:入侵知识获取模块20、入侵知识使用模块21及入侵防御系统(IPS) 22。 [0048]其中入侵知识获取模块20利用陷阱网络获取电力企业内部网络及外部网络的入侵知识;入侵知识使用模块21负责使用获得的入侵知识来实施对电力企业内部网络的防御;入侵防御系统(IPS) 22部署于内外网交界处,其代替传统网络中的入侵检测系统IDS,以提高电力二次系统的主动安全防御能力。具体地说,入侵知识获取模块20包括陷阱网络I (第一陷阱网络)及陷阱网络2 (第二陷阱网络),陷阱网络I设置于外网区域,与内外网间的防火墙处于并行的位置,用于检测所有进入内部网络的数据包,包括绕过防火墙的数据包,陷阱网络I对来自外部网络的黑客病毒、黑客攻击实施诱捕,并分析其特性,提取检测特征来更新入侵知识使用模块21的规则数据库;陷阱网络2设置于电力企业内部网络的内网区域,与主干网络连接,负责诱捕来自内部网络的黑客病毒、黑客攻击实施,分析其特性,提取检测特征来更新入侵知识使用模块21的规则数据库。 [0049]入侵知识使用模块21包括网络主动防御监控中心(NAD CMC)与网络主动防御代理(NAD Agent),网络主动防御监控中心(NAD CMC)部署在中心交换机上,要求能够和网络中所有网络主动防御代理(NAD Agent)通信,负责为安全管理员提供系统控制平台,制定具有广谱效果的检测规则,接收来自陷阱网络的规则更新;网络主动防御代理(NAD Agent)直接连接、运行于被监控网络,能同时并发、实时地对多个子网进行监控,接收由网络主动防御监控中心(NAD CMC)传来的命令,回送运行结果。具体地说,网络主动防御监控中心(NADCMC)部署在中心交换机上,在发现有新规则生成后,会自动将规则数据库中新策略下发到部署在不同子网内的网络主动防御代理(NAD Agent)。网络主动防御代理(NAD Agent)接收并执行网络主动防御监控中心(NAD CMC)制定的策略,完成网络数据包的捕获分析,详细记录网络状态产生日志,发现网络异常并产生告警,通过通信模块完成日志及告警上传,对于已知报警,网络主动防御监控中心(NAD CMC)直接根据事先定义的方法对攻击进行拦截,对于未知报警,网络主动防御监控中心(NAD CMC) 申请人:工干预,并做出最终判断,以实现双层粒度的检测。网络主动防御监控中心(NAD CMC)接收日志、告警,写入数据库中,并通知管理员。 [0050]图3为本发明一种电力二次系统的主动安全防御系统之较佳实施例的结构示意图。如图3所示,在本发明较佳实施例中,虚线框中为电力企业内部网及安全分区(此部分为现有技术,在此不予赘述),本发明在此基础上增加部署了入侵防御及陷阱网络,本发明在逻辑上分为入侵知识的获取与入侵知识的使用两部分,陷阱网络负责获取入侵知识,网络主动防御监控中心(NAD CMC)和网络主动防御代理(NAD Agent)负责使用入侵知识来实施对内部网络的防御工作。如图3所示,在外网区域(外部因特网)设置陷阱网络1,与防火墙处于并行的位置,可以检测所有进入内部网(电力企业内部网)的数据包,包括绕过防火墙的数据包,陷阱网络I对来自外部网络(外部因特网)的黑客病毒、黑客攻击实施诱捕,并分析其特性,提取检测特征来更新NAD CMC上的规则数据库。在内网区域设置陷阱网络2与主干网络连接,负责诱捕来自内部网络(电力企业内部网)的黑客病毒、黑客攻击实施,分析其特性,提取检测特征来更新NAD CMC上的规则数据库。网络主动防御监控中心(NAD CMC)部署在中心交换机上,在发现有新规则生成后,会自动将规则数据库中新策略下发到部署在不同子网内的网络主动防御代理(NAD Agent)。网络主动防御代理(NAD Agent)接收并执行NAD CMC制定的策略,完成网络数据包的捕获分析,详细记录网络状态产生日志,发现网络异常并产生告警,通过通信模块完成日志及告警上传。对于已知报警,NAD CMC直接根据事先定义的方法对攻击进行拦截,对于未知报警,网络主动防御监控中心(NAD CMC) 申请人:工干预,并做出最终判断,以实现双层粒度的检测。网络主动防御监控中心NAD CMC直接根据事先定义的方法对攻击进行拦截,对于未知报警,网络主动防御监控中心(NAD CMC)接收日志、告警,写入数据库中,并通知管理员。本发明在内外网交界处还部署了入侵防御系统IPS代替传统网络中的入侵检测系统IDS,进一步提高了电力二次系统的主动安全防御能力。 [0051]图4为本发明一种电力二次系统的主动安全防御方法的步骤流程图。如图4所示,本发明一种电力二次系统的主动安全防御方法,包括如下步骤: [0052]步骤401,利用陷阱网络获取电力企业内部网络及外部网络的入侵知识,提取其中的检测特征更新网络主动防御监控中心(NAD CMC)上的规则数据库。具体地说,利用设置于外网区域的陷阱网络I检测所有进入内部网络的数据包,包括绕过防火墙的数据包,对来自外部网络的黑客病毒、黑客攻击实施诱捕,并分析其特性,提取检测特征来更新网络主动防御监控中心(NAD CMC)上的规则数据库;利用设置于内网区域的陷阱网络2诱捕来自内部网络的黑客病毒、黑客攻击实施,分析其特性,提取检测特征来更新网络主动防御监控中心(NAD CMC)上的规则数据库。 [0053]步骤402,网络主动防御监控中心(NAD CMC)在发现有新规则生成后,自动将规则数据库中新策略下发到部署在不同子网内的网络主动防御代理(NAD Agent)。 [0054]步骤403,网络主动防御代理(NAD Agent)接收并执行网络主动防御监控中心(NADCMC)制定的策略,完成网络数据包的捕获分析,详细记录网络状态产生日志,发现网络异常并产生告警,通过通信模块完成日志及告警上传。 [0055]步骤404,网络主动防御监控中心(NAD CMC)接收网络主动防御代理(NAD Agent)上传的日志及告警,并对告警进行相应处理,同时,将接收的日志及告警写入数据库并通知管理员。对于已知报警,网络主动防御监控中心(NAD CMC)直接根据事先定义的方法对攻击进行拦截;对于未知报警,网络主动防御监控中心(NAD CMC) 申请人:工干预,并做出最终判断,以实现双层粒度的检测。 [0056]综上所述,本发明一种电力二次系统的主动安全防御系统及方法通过将主动与被动防御结合在一起,在传统的防火墙,加密认证网络隔离等技术基础上,加入了入侵防御(IPS)、陷阱网络、网络主动防御代理(NAD Agent)与网络主动防御监控中心(NAD CMC)构成一种联动的防御体系,提高了电力二次系统的主动防御能力。 [0057]上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下,对上述实施例进行修饰与改变。因此,本发明的权利保护范围,应如权利要求书所列。 【权利要求】 1.一种电力二次系统的主动安全防御系统,在现有电力二次系统安全防御体系的基础上,其特征在于,该主动安全防御系统还包括: 入侵知识获取模块,利用陷阱网络获取电力企业内部网络及外部网络的入侵知识; 入侵知识使用模块,设置于电力企业内部网络内,负责使用获得的入侵知识来实施对电力企业内部网络的防御; 入侵防御系统,部署于内外网交界处,以提高电力二次系统的主动安全防御能力。 2.如权利要求1所述的一种电力二次系统的主动安全防御系统,其特征在于:该入侵知识使用模块包括网络主动防御监控中心与网络主动防御代理,该网络主动防御监控中心部署在中心交换机上,要求能够和网络中所有网络主动防御代理通信,负责为安全管理员提供系统控制平台,制定具有广谱效果的检测规则,接收来自陷阱网络的规则更新;该网络主动防御代理直接连接、运行于被监控网络,能同时并发、实时地对多个子网进行监控,接收由该网络主动防御监控中心传来的命令,回送运行结果。 3.如权利要求2所述的一种电力二次系统的主动安全防御系统,其特征在于:该入侵知识获取模块包括第一陷阱网络及第二陷阱网络,该第一陷阱网络设置于外网区域,与内外网间的防火墙处于并行的位置,其用于检测所有包括绕过该防火墙进入内部网络的数据包,该第二陷阱网络设置于该电力企业内部网络的内网区域,与主干网络连接,用于获取入侵该电力企业内部网络的入侵知识。 4.如权利要求3所述的一种电力二次系统的主动安全防御系统,其特征在于:该第一陷阱网络对来自外部网络的黑客病毒、黑客攻击实施诱捕,并分析其特性,提取检测特征来更新该网络主动防御监控中心的规则数据库;该第二陷阱网络负责诱捕来自内部网络的黑客病毒、黑客攻击实施,分析其特性,提取检测特征来更新该网络主动防御监控中心的规则数据库。 5.如权利要求4所述的一种电力二次系统的主动安全防御系统,其特征在于:该网络主动防御监控中心在发现有新规则生成后,自动将该规则数据库中新策略下发到部署在不同子网内的网络主动防御代理,该网络主动防御代理接收并执行该网络主动防御监控中心制定的策略,完成网络数据包的捕获分析,详细记录网络状态产生日志,发现网络异常并产生告警,通过通信模块完成日志及告警上传至该网络主动防御监控中心。 6.如权利要求5所述的一种电力二次系统的主动安全防御系统,其特征在于:该网络主动防御监控中心接收该网络主动防御代理上传的日志、告警,将其写入数据库,并通知管理员。 7.一种电力二次系统的主动安全防御方法,包括如下步骤: 步骤一,利用陷阱网络获取电力企业内部网络及外部网络的入侵知识,提取其中的检测特征更新网络主动防御监控中心的规则数据库; 步骤二,该网络主动防御监控中心在发现有新规则生成后,自动将规则数据库中新策略下发到部署在不同子网内的网络主动防御代理; 步骤三,该网络主动防御代理接收并执行该网络主动防御监控中心制定的策略,完成网络数据包的捕获分析,发现网络异常并产生告警,通过通信模块完成告警上传; 步骤四,该网络主动防御监控中心接收该网络主动防御代理上传的告警,并对告警进行相应处理。 8.如权利要求7所述的一种电力二次系统的主动安全防御方法,其特征在于:于步骤三中,该网络主动防御代理还记录网络状态产生日志,并将该日志上传;于步骤四中,该网络主动防御监控中心将接收的日志及告警写入数据库,并通知管理员。 9.如权利要求7所述的一种电力二次系统的主动安全防御方法,其特征在于:于步骤四中,对于已知报警,该网络主动防御监控中心直接根据事先定义的方法对攻击进行拦截;对于未知报警,该网络主动防御监控中心 申请人:工干预,并做出最终判断,以实现双层粒度的检测。 10.如权利要求7所述的一种电力二次系统的主动安全防御方法,其特征在于:于步骤一中,利用第一陷阱网络对来自外部网络的黑客病毒、黑客攻击实施诱捕,并分析其特性,提取检测特征来更新该网络主动防御监控中心上的规则数据库;利用第二陷阱网络诱捕来自电力企业内部网络的黑客病毒、黑客攻击实施,分析其特性,提取检测特征来更新该网络主动防御监控中心的规则数 据库。 【文档编号】H04L29/06GK103546488SQ201310542263 【公开日】2014年1月29日 申请日期:2013年11月5日 优先权日:2013年11月5日 【发明者】冯兆红, 贾铁军, 陈玉晶, 梅晓娟, 戴志军, 张玉, 公维祥, 高志伟 申请人:上海电机学院 (编辑:拼字网 - 核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
