一种分层分布式协同的网络安全监管系统及协同监管方法

摘要

本发明公开一种分层分布式协同的网络安全监管系统，其包括位于区域安全监管层的区域安全监管中心服务器，位于站域安全监管层、分别对应区域内各厂站的站域安全监管装置，以及位于设备安全监管层、分别对应各厂站内各网络主机的网络主机安全监管代理；本发明从区域、厂站和网络主机设备三个层次全面监测电力二次监控系统的网络安全状态，并在区域安全监管层和站域安全监管层两个层次上建立网络安全监管的策略协同机制，弥补了电力二次系统网络安全状态实时监测的缺乏，可以大大提高安全监管系统部署的全面性和灵活性。

说明书

技术领域

本发明涉及电力网络安全技术领域，特别是一种分层分布式协同的网络安全监管系统。

背景技术

随着电力系统二次系统的网络化、数字化和智能化，电力系统二次信息安全的形势变得日益严峻，网络安全监管系统的设计和应用非常迫切，但是当前在系统的构建上存在比较明显的不足，主要有：

1）从系统结构上讲，目前的网络安全监管系统主要是在厂站端或者主站端当地部署，监管范围仅限于就地范围，还没有从电力系统区域性的多个厂站集成的构建一个较大范围的网络安全监管系统，监管范围没有形成广域的明晰的层次；

2）从系统部署上讲，网络安全监管系统较多地注重安全状态信息的采集传输和集中整理分析，这对较大范围的区域性网络安全监管中心压力很大；

3）从系统监管策略的制定上讲，集中制定并执行监管策略不够灵活，对站域的适应性较差。

发明内容

本发明的目的是：提供一种分层分布式协同的网络安全监管系统，能够分层次综合分析设备和网络系统的安全状态和风险态势，并能分布式地灵活部署到厂站或者区域的广域系统中，可以更加全面地监管网络主机设备和网络通信行为的安全。

本发明采取的技术方案为：一种分层分布式协同的网络安全监管系统，包括位于区域安全监管层的区域安全监管中心服务器，位于站域安全监管层、分别对应区域内各厂站的站域安全监管装置，以及位于设备安全监管层、分别对应各厂站内各网络主机的网络主机安全监管代理；

各网络主机安全监管代理接入相应网络主机所在的网络，以监测相应网络主机的安全状态信息，并将监测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置；

各站域安全监管装置通过连接厂站内各网络主机所在网络的中心交换机的镜像端口采集相应的网络报文，检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警和显示，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息和网络安全分析结果报告存储为历史数据；

区域安全监管中心服务器采集区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，然后根据采集到的数据对区域网络进行安全分析，得到区域网络的安全态势信息；

区域安全监管中心服务器基于分析得到的区域网络的安全态势信息制定对应各厂站的监管策略，并将监管策略分发至相应的站域安全监管装置；站域安全监管装置根据接收到的监管策略对厂站内的各网络主机执行监管操作。

优选的，网络主机安全监管代理以基于SSL协议的加密通信方式，将检测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置。

优选的，网络主机安全监管代理监测的安全状态信息包括，网络主机的实时CPU负荷率、内存使用率、硬盘使用率、进程黑名单和白名单、口令强度、网络服务状态、网络端口状态、网络连接状态和U盘接入状态信息。

优选的，本发明所述区域安全监管中心服务器制定的监管策略包括对应各厂站的监管对象范围、监管内容条目和站域安全监管装置自身的运行参数。监管对象即为战域安全监管装置所要监管的网络主机设备，监管对象范围即所要监管的所有网络主机设备。

站域安全监管装置对厂站内的各网络主机执行的监管操作包括选择监管对象、采集安全信息、评估安全风险以及上送安全状态。

上述分层分布式协同的网络安全监管系统的协同监管方法，包括：

S1，区域安全监管中心服务器基于分析得到的区域网络的安全态势信息，结合区域的应用需要和安全规定，制定对应各厂站的监管策略；

S2，区域安全监管中心服务器将监管策略分发至相应的站域安全监管装置，作为各站域安全监管装置对厂站内网络进行安全监管的监管策略支持；

S3，站域安全监管装置根据厂站规模和监管对象的不同，将接收到的监管策略进行分解，并根据分解后的监管策略对厂站内的各网络主机执行监管操作；

S4，站域安全监管装置实时采集厂站内各网络主机所在网络的网络报文，以检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息、网络安全分析结果报告和采集到的网络报文存储为历史数据，供区域安全监管中心服务器随时按需调阅；

S5，区域安全监管中心服务器根据区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，对区域网络进行安全分析，得到区域网络的安全态势信息。

有益效果

本发明采用分层分布式协同的设计方法构建网络安全监管系统，从网络主机安全监管代理、站域安全监管装置、区域安全监管中心服务器三个层次，全面监测电力二次监控系统的网络安全状态，并在区域安全监管层和站域安全监管层两个层次上建立网络安全监管的策略协同机制，弥补了电力二次系统网络安全状态实时监测的缺乏，可以大大提高安全监管系统部署的全面性和灵活性。

附图说明

图1所示为本发明系统架构示意图；

图2所示为本发明协同监管方法原理示意图。

具体实施方式

以下结合附图和具体实施例进一步描述。

本发明技术方案的制定主要考虑以下几个方面：

1）在广域范围内分布式部署各个厂站的监管子中心，采集安全状态信息，同时进行就地化的分析，并形成分析结果再上送区域中心进行集中分析，这样可以增强系统部署的灵活性；

2）为适应区域性分层分布式网络安全监管系统的结构，考虑将区域策略进行分解，根据区域的安全态势和各个厂站的具体监管范围，制定出区域性的大范围监管策略和厂站端的小范围策略，并在区域层面和站域层面形成协同机制，这样可以更好地适应监管需要。

参考图1，本发明的分层分布式协同的网络安全监管系统，包括位于区域安全监管层的区域安全监管中心服务器，位于站域安全监管层、分别对应区域内各厂站的站域安全监管装置，以及位于设备安全监管层、分别对应各厂站内各网络主机的网络主机安全监管代理；

各网络主机安全监管代理接入相应网络主机所在的网络，以监测相应网络主机的安全状态信息，并将监测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置；

各站域安全监管装置通过连接厂站内各网络主机所在网络的中心交换机的镜像端口采集相应的网络报文，检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警和显示，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息和网络安全分析结果报告存储为历史数据；

区域安全监管中心服务器采集区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，然后根据采集到的数据对区域网络进行安全分析，得到区域网络的安全态势信息；

区域安全监管中心服务器基于分析得到的区域网络的安全态势信息制定对应各厂站的监管策略，并将监管策略分发至相应的站域安全监管装置；站域安全监管装置根据接收到的监管策略对厂站内的各网络主机执行监管操作。所述监管操作包括选择监管对象、采集安全信息、评估安全风险以及上送安全状态等。

网络主机安全监管代理以基于SSL协议的加密通信方式，将检测到的安全状态信息实时上送至该网络主机所属厂站对应的站域安全监管装置。

网络主机安全监管代理监测的安全状态信息包括，网络主机的实时CPU负荷率、内存使用率、硬盘使用率、进程黑名单和白名单、口令强度、网络服务状态、网络端口状态、网络连接状态和U盘接入状态信息。

本发明所述区域安全监管中心服务器制定的监管策略包括对应各厂站的监管对象范围、监管内容条目和站域安全监管装置自身的运行参数。监管对象即为战域安全监管装置所要监管的网络主机设备，监管对象范围即所要监管的所有网络主机设备。

上述分层分布式协同的网络安全监管系统的协同监管方法，包括：

S1，区域安全监管中心服务器基于分析得到的区域网络的安全态势信息，结合区域的应用需要和安全规定，制定对应各厂站的监管策略；

S2，区域安全监管中心服务器将监管策略分发至相应的站域安全监管装置，作为各站域安全监管装置对厂站内网络进行安全监管的监管策略支持；

S3，站域安全监管装置根据厂站规模和监管对象的不同，将接收到的监管策略进行分解，并根据分解后的监管策略对厂站内的各网络主机执行监管操作；

S4，站域安全监管装置实时采集厂站内各网络主机所在网络的网络报文，以检测相应网络的实时通信状态，并结合各网络主机安全监管代理上送的安全状态信息，对各网络主机所在的网络进行网络安全分析，将分析得到的安全风险进行实时告警，并将实时告警信息和网络安全分析结果报告上送至厂站所属区域的区域安全监管中心服务器，以及将实时告警信息、网络安全分析结果报告和采集到的网络报文存储为历史数据，供区域安全监管中心服务器随时按需调阅；

S5，区域安全监管中心服务器根据区域内各厂站站域安全监管装置上送的实时告警信息和网络安全分析结果报告，以及各站域安全监管装置存储的历史数据，对区域网络进行安全分析，得到区域网络的安全态势信息。

实施例

本发明的应用包括以下内容：

一、建立设备安全监管层

在具体的网络主机设备上安装的安全监管代理，负责监测该网络设备的安全状态，并通过基于SSL的加密通信将安全状态实时信息上送到站域安全监管装置；

二、建立站域网络安全监管层

站域安全监管装置作为厂站级的网络安全监管子中心，通过网络中心交换机镜像口采集网络报文，监测网络通信的实时状态，同时结合网络主机安全监管代理上送的安全状态信息，进行网络安全的综合分析，对安全风险进行实时告警和界面展示，并通过基于SSL的加密通信将实时告警信息和安全分析报告上送区域安全监管中心服务器；

三、建立区域网络安全监管层

区域安全监管中心服务器采集区域内的各个厂站的站域安全监管装置的网络安全实时告警信息、安全分析报告，并调阅厂站本地存储的历史数据，进行综合分析，感知区域网络安全态势，识别系统性风险；

四、建立区域安全监管层和站域安全监管层两个层次上的监管策略分层协同机制

就是区域安全监管中心服务器根据应用需要和安全规定，结合分析出来的区域网络安全态势制定各个站域的监管策略，并下发到各个厂站的站域安全监管装置进行具体分解和本地化执行，站域安全监管装置再将执行结果再上送区域安全监管中心服务器；

所述的网络主机安全监管代理，具体特征有：网络主机安全监管代理实时监测网络主机设备的安全状态信息，包括CPU负荷率、内存使用率、硬盘使用率、进程黑名单白名单、口令强度、网络服务状态、网络端口状态、网络连接状态、U盘接入状态，并将监测到的安全状态信息实时上送站域安全监管装置。

参考图2所示，本发明区域安全监管层和站域安全监管层两个层次上建立监管策略分层协同机制具体应用为：

步骤一，区域安全监管中心服务器根据应用需要和安全规定，结合分析出来的区域网络安全态势，制定出各个厂站的监管策略，包括监管目标值、监管范围和监管运行参数；

步骤二，区域安全监管中心服务器将各个厂站的监管策略下发到站域安全监管装置，作为厂站级网络安全监管运行的策略依据；

步骤三，站域安全监管装置收到下发的监管策略后，根据厂站规模和具体监管对象的属性，并结合厂站级分析展示的需要进行分解，展开为本地化的具体操作，并执行；

步骤四，站域安全监管装置将执行监管操作后的分析结果实时上送到区域安全监管中心服务器；

步骤五，站域安全监管装置作为厂站级安全历史数据的存储服务器，采集记录站域安全状态的原始数据，采集记录中心交换机的网络报文，支持区域安全监管中心服务器按需调阅。

本发明采用分层分布式协同的设计方法构建网络安全监管系统，从网络主机安全监管代理、站域安全监管装置、区域安全监管中心服务器三个层次，全面监测电力二次监控系统的网络安全状态，并在区域安全监管层和站域安全监管层两个层次上建立网络安全监管的策略协同机制，弥补了电力二次系统网络安全状态实时监测的缺乏，可以大大提高安全监管系统部署的全面性和灵活性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。