一种电网用的安全防护控制方法 |
|||||||
| 申请号 | CN201610095948.9 | 申请日 | 2016-02-23 | 公开(公告)号 | CN105791271A | 公开(公告)日 | 2016-07-20 |
| 申请人 | 梅照付; | 发明人 | 梅照付; | ||||
| 摘要 | 本 发明 公开了一种 电网 用的安全防护控制方法,包括两个以上的前端安全模 块 、分别与所述前端安全模块对应连接的两个以上的前端通信服务模块、安全监控通信模块、安全监控事件处理模块、安全监控平台模块。其通过在不同的 Web 服务器 上分别嵌入设置有前端安全模块,并设置有相应的前端通信服务模块来实现该前端安全模块与其他设备之间的通信,通过该前端安全模块截取发送到 Web 应用服务器 的 HTTP 请求 ,根据配置的安全规则对该HTTP 请求进行匹配,根据匹配结果以及相应的安全策略执行后续处理过程,不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。另一方面,该防护系统是分布式的防护系统,可以实现 智能电网 整体防护的安全性。 | ||||||
| 权利要求 | 1.一种电网用的安全防护控制方法,其特征在于:包括如下步骤: |
||||||
| 说明书全文 | 一种电网用的安全防护控制方法技术领域[0001] 本发明属于电网安全技术领域,具体涉及一种电网用的安全防护控制方法。 背景技术[0002] 随着智能电网技术的发展,如何确保安全性成为智能电网技术中的一项重要工作内容。目前的智能电网安全技术,其部署一般是在服务器前端、互联网访问入口处部署Web防火墙,Web防火墙通过配置固定的安全规则库、特征库,对访问服务器的行为进行分析,对非授权的地址访问行为、入侵行为等进行阻断和告警。由于 Web 防火墙主要是对 Web 特有入侵方式的防护,而且是部署在 Web 服务器的前端,即外部网络到 Web 服务器之间的链路上,而企业内部的访问路由无需经过 web 防火墙,因此,web 防火墙只能防御来自企业外部网络,即互联网的非法访问和攻击行为等,但不能对来自内网的攻击行为进行防护,无法全面保证服务器的安全性。而且,目前的Web防火墙都是被动式的通用性防护,每个系统都需要单独的设备来进行防护,成本很高。 [0003] 传统互联网信息系统的应用层主要基于超文本协议 (HTTP) 或加密的超文本协议(HTTPS) 进行数据传输。由于传统互联网的通信规约的通用性,应用面广,传统互联网的防火墙等安全防护技术和设备发展迅速,形成了包过滤防火墙、状态防火墙、WEB 防火墙等技术的安全防护技术和设备。 [0004] 然而,例如电力、铁路、化工等生产控制类的工业控制系统相比于传统互联网信息系统,在通信规约上具有很大的不同。工业控制系统的通信规约因各种应用场景而具有“定制”特点,不同的应用场景,通信规约不一样,例如,烟草、化工、铁路、电力控制系统的通信规约各不相同,甚至电力控制系统中的电厂、配电、输电、计量、调度等子控制系统的规约也都各不相同。工业控制系统因通信规约多且不通用,尚未见有适用各种工业控制场景的规约过滤级安全防护设备能有效地对各种工业控制系统进行安全防护,也未见针对配电网控制系统的规约过滤级安全防护设备,从而使配电网工业控制系统安全性得不到有效保证。 发明内容[0005] 发明目的:本发明的目的是为了解决现有技术中的不足,提供一种其不仅能对防御外部网络,而且能够对来自内网的攻击行为进行防护的控制方法。 [0006] 技术方案:一种智能电网的安全防护方法,包括如下步骤:接收数据:采用中断模式接收终端传输的工业过程数据; 对终端传输的工业过程数据进行规约检查,并判断所述工业过程数据的数据类型是否为应用数据类型; 若是,则筛选出具备配电网通信规约协议号的数据,丢弃不具备所述配电网通信规约协议号的数据; 对所述筛选出的具备配电网通信规约协议号的数据进行规约检测,筛选出满足所述配电网通信规约的数据,丢弃不满足所述配电网通信规约的数据; 根据 IPSEC VPN 安全策略对规约检查后的工业过程数据加密、签名 ; 将加密、签名后的工业过程数据通过VPN 通道发送到主站 ; 根据IPSEC VPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验; 对解密、验签、完整性校验后的数据或控制命令进行规约检查 ; 将规约检查后的数据或控制命令发送到终端; 采用中断模式接收终端传输的执行数据或控制命令后的结果; 对终端传输的执行数据或控制命令后的结果进行规约检查; 根据 IPSEC VPN 安全策略对规约检查后的结果加密、签名; 将加密、签名后的结果通过 VPN 通道发送到主站。 [0007] 进一步的:所述对所述筛选出的具备配电网通信规约协议号的报文进行规约检测,选择满足所述配电网通信规约的报文,丢弃不满足所述配电网通信规约的报文的步骤包括步骤 : 判断预设的配电通信规约的多种状态机中是否存在一种初始状态与所述具备所述配电网通信规约协议号的报文的状态一致的状态机; 若是,则根据初始状态与所述报文的状态一致的状态机,创建一个状态机实例,利用所述报文的主站 IP 地址和端口拼接的字符串标识所述状态机实例 ;筛选出所述报文; 若否,则检测是否存在所述报文的主站 IP 地址和端口拼接的字符串为标识的状态机实例; 若检测结果为否,则丢弃所述报文; 若检测结果为是,则判断所述报文的状态与检测到的所述状态机实例的当前状态是否一致; 若判定一致,筛选出所述报文;若判定不一致,丢弃所述报文。 [0008] 有益效果:本发明是通过在不同的 Web 服务器上分别嵌入设置有前端安全模块,并设置有相应的前端通信服务模块来实现该前端安全模块与其他设备之间的通信,通过该前端安全模块截取发送到 Web 应用服务器的 HTTP 请求,根据配置的安全规则对该 HTTP 请求进行匹配,根据匹配结果以及相应的安全策略执行后续处理过程,由于是在Web服务器上设置嵌入的前端安全模块对发送到Web服务器的HTTP请求进行截取,并在此基础上进行分析判定,而无论是外网还是内网的 HTTP 请求,都会发送到 Web 服务器进行处理,从而不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。另一方面,该防护系统是分布式的防护系统,可以实现智能电网整体防护的安全性。 具体实施方式[0009] 一种智能电网的安全防护方法,包括如下步骤:接收数据:采用中断模式接收终端传输的工业过程数据; 对终端传输的工业过程数据进行规约检查,并判断所述工业过程数据的数据类型是否为应用数据类型; 若是,则筛选出具备配电网通信规约协议号的数据,丢弃不具备所述配电网通信规约协议号的数据; |
||||||
