一种智能变电站信息及控制系统安全分析评估平台转让专利
申请号 : CN201610568801.7
文献号 : CN106230780B
文献日 : 2019-02-22
发明人 : 刘姗梅 , 柴继文 , 王胜 , 熊晓雯
申请人 : 国网四川省电力公司电力科学研究院 , 国家电网公司
摘要 :
本发明公开了一种智能变电站信息及控制系统安全分析评估平台,所述平台包括:WEB门户单元、管理漏洞测评单元、已知漏洞扫描单元、未知漏洞挖掘单元、分析结果综合评价单元,实现了能够对智能变电站的信息系统和控制系统进行评估,评估全面,分析评估准确,不影响变电站正常作业,且能够发现并评估日常管理和具体执行过程中的安全隐患的技术效果。
权利要求 :
1.一种智能变电站信息及控制系统安全分析评估平台,其特征在于,所述平台包括:
WEB门户单元,所述WEB门户单元用于:对用户登录、用户信息、用户权限进行管理;对变电站设备、功能单元接口、中间文件进行管理;对安全分析评估结果进行统计和分析;对平台基本参数进行配置和管理;
管理漏洞测评单元,所述管理漏洞测评单元用于对智能变电站的日常管理维护工作方法和流程进行测试评估;
已知漏洞扫描单元,所述已知漏洞扫描单元用于对智能变电站信息系统和智能变电站控制系统进行已知漏洞扫描;
未知漏洞挖掘单元,所述未知漏洞挖掘单元用于发现智能变电站信息系统或控制系统的未知隐患;
分析结果综合评价单元,所述分析结果综合评价单元用于通过汇集管理漏洞测评单元、已知漏洞扫描单元、未知漏洞挖掘单元的测试和评估结果,生成相应的测试和评估报告,给出修复建议和预防措施,对风险控制策略进行审核。
2.根据权利要求1所述的智能变电站信息及控制系统安全分析评估平台,其特征在于,所述WEB门户单元具体包括:单点登录模块,所述单点登录模块用于实现用户的统一登录处理功能;
设备管理模块,所述设备管理模块用于实现变电站组织结构和其中设备的列表管理、设备信息的记录和显示、网络环境拓扑关系的展示功能;
功能管理模块,所述功能管理模块用于实现各个功能单元接口访问的管理、中间文件管理功能;
统计分析模块,所述统计分析模块用于实现安全分析评估的结果汇总、结果统计、报表分析功能;
用户/权限管理模块,所述用户/权限管理模块用于实现用户信息管理、用户角色分配、用户权限划分功能;
系统设置模块,所述系统设置模块用于实现用户对平台基本参数的配置和管理功能。
3.根据权利要求1所述的智能变电站信息及控制系统安全分析评估平台,其特征在于,所述管理漏洞测评单元采用静态评估工具对智能变电站的日常管理维护工作方法和流程进行测试评估,静态评估工具包括信息系统调查模块和控制系统调查模块,静态评估工具用于进行在线问卷调查、在线访谈、流程审查。
4.根据权利要求1所述的智能变电站信息及控制系统安全分析评估平台,其特征在于,所述已知漏洞扫描单元包括信息系统扫描模块和控制系统扫描模块两个部分;所述信息系统扫描模块用于发现信息系统中的网络拓扑结构,识别资产属性、全面扫描安全漏洞,扫描对象包括:网络主机、操作系统、数据库系统、Web应用;所述控制系统扫描模块根据工业控制系统已知的安全漏洞特征,对控制系统中的控制设备、应用或系统进行扫描、识别,检测工业控制系统是否存在漏洞。
5.根据权利要求1所述的智能变电站信息及控制系统安全分析评估平台,其特征在于,所述未知漏洞挖掘单元采用模糊测试,通过模拟智能变电站信息系统和控制系统相应的通信协议发送机制,向信息系统或控制系统发送变异或包含错误的测试报文,监视被测对象的响应报文以发现错误,进而发现智能变电站信息系统或控制系统的隐患。
6.根据权利要求5所述的智能变电站信息及控制系统安全分析评估平台,其特征在于,未知漏洞挖掘单元包括模糊测试引擎模块、协议引擎模块、测试用例集模块;模糊测试引擎模块用于实现未知漏洞挖掘单元的主体程序框架,提供系统调用接口;协议引擎模块用于实现具体通信协议栈的基础功能;测试用例集模块用于构建不同通信协议对应的各类测试方案、流程,实现未知漏洞挖掘单元与被测对象之间的非正常通讯。
7.根据权利要求1所述的智能变电站信息及控制系统安全分析评估平台,其特征在于,所述分析结果综合评价单元包括管理漏洞结果评价模块、已知漏洞结果评价模块、未知漏洞结果分析模块、综合评估模块:管理漏洞结果评价模块用于分析管理漏洞测评单元得到的测评结果;已知漏洞结果评价模块用于分析已知漏洞扫描单元得到的扫描结果,对所有漏洞进行统一评级;未知漏洞结果分析模块用于分析未知漏洞挖掘单元得到的反馈结果,对新发现漏洞进行统计,匹配发生条件,复现结果;综合评估模块用于对以上分析和评价结果进行统一汇总和评分,并与WEB门户单元的统计分析模块进行数据对接。
8.根据权利要求1所述的智能变电站信息及控制系统安全分析评估平台,其特征在于,所述平台的分析评估流程为:步骤1:智能变电站测试评价人员通过平台的WEB门户单元进行用户登录并进行权限认证;
步骤2:进入已知漏洞扫描单元,分别对智能变电站的信息系统和控制系统进行已知漏洞扫描和记录;
步骤3:进入未知漏洞挖掘单元,分别对智能变电站的信息系统和控制系统进行未知漏洞发现、挖掘和记录;
步骤4:变电站的管理人员登录管理漏洞测评单元,对变电站的管理漏洞进行调查和评估;
步骤5:分别判断步骤2-步骤4的分析和评估结果,并进行汇总,统一进行等级评分,给出安全建议和预防措施,并将结果返回到WEB门户单元。
说明书 :
一种智能变电站信息及控制系统安全分析评估平台
技术领域
[0001] 本发明涉及工业控制系统信息安全领域,具体地,涉及一种智能变电站信息及控制系统安全分析评估平台。
背景技术
[0002] 随着国家的智能电网规划的逐步展开,作为智能电网的重要物理基础,智能变电站为智能电网提供标准的、可靠的节点(包括一次、二次和系统)支撑。
[0003] 根据《智能变电站技术导则》的定义,“智能变电站是采用先进、可靠、集成、低碳、环保的智能设备,以全站信息数字化、通信平台网络化、信息共享标准化为基本要求,自动完成信息采集、测量、控制、保护、计量和监测等基本功能,并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协同互动等高级功能的变电站。它基于IEC61850标准,体现了集成一体化、信息标准化、协同互动化的特征。”
[0004] 藉由以上特征,智能变电站信息化程度得到了极大的提高,但也同时使得其面临各种信息安全问题。2015年出现的 “BlackEnergy”恶意软件,利用了电力系统的安全漏洞,专门破坏工业控制系统和以太网连接器,从而导致了乌克兰的大规模停电事故。一方面,由于乌克兰3家电力公司的供电系统有很多漏洞,如各种SCADA硬件的部署信息可以从互联网上得到,VPN通道没有实行双因子验证等等。另一方面,高度的自动化电力系统控制使得这3家公司成为攻击目标。因此,针对国内智能变电站高度自动化和一体化的现实,安全漏洞的发现和及时修复将成为降低安全风险的关键。
[0005] 传统的信息安全分析评估平台主要面向信息层,提供传统IT设备/系统(如基于PC的计算机、交换机、路由器、数据库系统、FTP服务器、Web服务器、应用软件等)安全解决方案;智能变电站既包含信息系统部分,也包含控制系统部分,且信息系统和控制系统存在网络连接,但又广泛使用通用计算机技术、信息技术和网络通信技术,这意味着传统的信息安全分析评估平台无法完全覆盖智能变电站的所有设备和对象,具体来说:
[0006] 智能变电站的常用设备非标准计算机设备,多为国电南瑞、许继电气、中元华电等厂商的定制化设备,这些设备采用的操作系统已被厂商修改过配置或嵌入特殊服务,而很多常用的服务并未开启,从而导致现有的信息安全分析工具对这类系统不熟悉,因此,传统的分析工具不但不容易发现问题,而且还可能产生大量的误报。
[0007] 智能变电站的设备大量采用定制化的应用软件,采用了非标准的端口、处理方法(例如特殊端口、钩子技术),因此传统信息安全分析评估平台要么对这些软件视而不见,要么对他们进行完全阻隔或封杀,不但无益于解决安全问题,反而可能影响变电站的日常正常作业。
[0008] 智能变电站中控制系统部分往往采用特殊的网络通信协议,传统信息安全分析评估平台没有对应的解析服务,因此无法进一步探知该网络中的具体信息,也无法对这些协议本身进行漏洞发现。
[0009] 智能变电站的管理不同于传统的IT机房或中心的管理,其日常运行维护方法及其规章制度来源于国家能源局、发改委或电力系统的相关法规和制度;同时,各省市的电力部门也有适应当地的具体管理方法和规定;因此,发现并评估智能变电站实际日常管理和具体执行过程中可能出现的安全隐患也是必须解决的一个重要问题。
[0010] 综上所述,本申请发明人在实现本申请实施例中发明技术方案的过程中,发现上述技术至少存在如下技术问题:
[0011] 在现有技术中,传统的变电站信息安全分析评估平台存在分析评估不全面,分析评估不准确,容易影响变电站正常作业,不能够发现并评估日常管理和具体执行过程中的安全隐患的技术问题。
发明内容
[0012] 本发明提供了一种智能变电站信息及控制系统安全分析评估平台,解决了传统的变电站信息安全分析评估平台存在分析评估不全面,分析评估不准确,容易影响变电站正常作业,不能够发现并评估日常管理和具体执行过程中的安全隐患的技术问题,实现了能够对智能变电站的信息系统和控制系统进行评估,评估全面,分析评估准确,不影响变电站正常作业,且能够发现并评估日常管理和具体执行过程中的安全隐患的技术效果。
[0013] 本发明的目的是针对现有信息安全分析和评估平台的不足,提供一套覆盖信息系统和控制系统多个环节的智能变电站信息安全分析和评估平台,建立基于智能变电站的安全测评体系、方法和模型,为智能变电站信息和控制系统安全防护策略的制定提供依据。
[0014] 本方法的主要思想是:利用信息安全领域中已知漏洞扫描、未知漏洞挖掘、安全评估等多种方法,结合智能变电站现场的特殊软硬件和网络环境,构建智能变电站信息安全分析和评估平台。平台包括WEB门户、管理漏洞测评单元、已知漏洞扫描单元、未知漏洞挖掘单元和分析结果综合评价单元。所述平台框架见图1。
[0015] 所述WEB门户是智能变电站信息安全分析和评估平台的访问入口,包括单点登录模块、设备管理模块、功能管理模块、统计分析模块、用户/权限管理模块、系统设置模块。单点登录模块主要实现用户的统一登录处理功能;设备管理模块主要实现变电站组织结构和其中设备的列表管理、设备信息的记录和显示、网络环境拓扑关系的展示等功能;功能管理模块主要实现各个功能单元接口访问的管理、中间文件管理等功能;统计分析模块主要实现安全分析评估的结果汇总、结果统计、报表分析等功能;用户/权限管理模块主要实现用户信息管理、用户角色分配、用户权限划分等功能;系统设置模块主要实现用户对平台基本参数的配置和管理功能。
[0016] 所述管理漏洞测评单元采用静态评估工具对智能变电站的日常管理维护工作方法和流程进行测试评估。静态评估工具包括信息系统调查模块和控制系统调查模块,其具体功能包括但不限于在线问卷调查、在线访谈、流程审查等。变电站管理维护工作的责任主体包括运行人员、继保人员等相关工作人员。测试评估的依据主要包括国家信息安全等级保护制度和《电力监控系统安全防护规定》的有关要求。
[0017] 所述已知漏洞扫描单元包括信息系统扫描模块和控制系统扫描模块两个部分。所述信息系统扫描模块运用多种漏洞扫描与检测技术,快速发现信息系统中的网络拓扑结构,准确识别资产属性、全面扫描安全漏洞,扫描对象涵盖各种常见的网络主机、操作系统、数据库系统、Web应用等。所述控制系统扫描模块根据工业控制系统已知的安全漏洞特征(如SCADA/HMI软件漏洞,控制器嵌入式软件漏洞,现场总线漏洞等),对控制系统中的控制设备、应用或系统进行扫描、识别,检测工业控制系统存在漏洞。
[0018] 所述未知漏洞挖掘单元主要利用模糊测试技术,通过模拟智能变电站信息系统和控制系统相应的通信协议发送机制,向信息系统或控制系统发送变异或包含错误的测试报文,监视被测对象的响应报文以发现错误,进而发现智能变电站信息系统或控制系统的隐患。未知漏洞挖掘单元包括模糊测试引擎模块、协议引擎模块、测试用例集模块等。模糊测试引擎模块主要实现本单元的主体程序框架,提供系统调用接口;协议引擎模块主要实现具体通信协议栈的基础功能,包括常用以太网协议和变电站IEC61850通信标准的各类协议等;测试用例集模块用于构建不同通信协议对应的各类测试方案、流程,实现本单元与被测对象之间的非正常通讯。
[0019] 所述分析结果综合评价单元通过汇集管理漏洞测评单元、已知漏洞扫描单元、未知漏洞挖掘单元的测试和评估结果,生成相应的测试和评估报告,给出修复建议和预防措施,对风险控制策略进行有效审核,在弱点全面评估的基础上实现对智能变电站的安全自主掌控。本单元包括管理漏洞结果评价模块、已知漏洞结果评价模块、未知漏洞结果分析模块、综合评估模块。管理漏洞结果评价模块用于分析管理漏洞测评单元得到的测评结果;已知漏洞结果评价模块用于分析已知漏洞扫描单元得到的扫描结果,对所有漏洞进行统一评级,评级标准包括但不限于CVSS标准;未知漏洞结果分析模块用于分析未知漏洞挖掘单元得到的反馈结果,对新发现漏洞进行统计,匹配发生条件,复现结果;综合评估模块用于对以上分析和评价结果的统一汇总、评分,并与Web门户的统计分析模块进行数据对接。
[0020] 根据以上思想,平台的分析评估流程技术方案如下,方案流程图见图2:
[0021] 步骤1:智能变电站测试评价人员通过平台的Web门户进行用户登录并进行权限认证;
[0022] 步骤2:进入已知漏洞扫描单元,分别对智能变电站的信息系统和控制系统进行已知漏洞扫描和记录;
[0023] 步骤3:进入未知漏洞挖掘单元,分别对智能变电站的信息系统和控制系统进行未知漏洞发现、挖掘和记录;
[0024] 步骤4:变电站的管理人员登录管理漏洞测评单元,对变电站的管理漏洞进行调查和评估;
[0025] 步骤5:分别判断2)–4)的分析和评估结果,并进行汇总,统一进行等级评分,给出安全建议和预防措施,并将结果返回到Web门户。
[0026] 本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
[0027] 由于采用了将智能变电站信息及控制系统安全分析评估平台设计为包括:WEB门户单元,所述WEB门户单元用于:对用户登录、用户信息、用户权限进行管理;对变电站设备、功能单元接口、中间文件进行管理;对安全分析评估结果进行统计和分析;对平台基本参数进行配置和管理;管理漏洞测评单元,所述管理漏洞测评单元用于对智能变电站的日常管理维护工作方法和流程进行测试评估;已知漏洞扫描单元,所述已知漏洞扫描单元用于对智能变电站信息系统和智能变电站控制系统进行已知漏洞扫描;未知漏洞挖掘单元,所述未知漏洞挖掘单元用于发现智能变电站信息系统或控制系统的未知隐患;分析结果综合评价单元,所述分析结果综合评价单元用于通过汇集管理漏洞测评单元、已知漏洞扫描单元、未知漏洞挖掘单元的测试和评估结果,生成相应的测试和评估报告,给出修复建议和预防措施,对风险控制策略进行审核,即平台能够同时对智能变电站的信息系统和控制系统进行评估分析,提出了针对智能变电站的且能完整覆盖信息系统和控制系统安全问题的一套完整解决方案;采用已知漏洞和未知漏洞挖掘相结合的方式,提出对电力系统协议的安全漏洞发现方法,填补了控制系统领域漏洞扫描的一项空白;提出了智能变电站的安全分析和评估应考虑管理漏洞的评估,通过结合现有的电力相关法规,实现了对变电站的日常管理漏洞进行分析和评估,所以,有效解决了传统的变电站信息安全分析评估平台存在分析评估不全面,分析评估不准确,容易影响变电站正常作业,不能够发现并评估日常管理和具体执行过程中的安全隐患的技术问题,进而实现了能够对智能变电站的信息系统和控制系统进行评估,评估全面,分析评估准确,不影响变电站正常作业,且能够发现并评估日常管理和具体执行过程中的安全隐患的技术效果。
附图说明
[0028] 此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定;
[0029] 图1是本申请智能变电站信息及控制系统安全分析评估平台的组成示意图;
[0030] 图2是本申请智能变电站信息及控制系统安全分析评估平台的运行流程图;
[0031] 图3是本申请的现场部署和执行示意图。
具体实施方式
[0032] 本发明提供了一种智能变电站信息及控制系统安全分析评估平台,解决了传统的变电站信息安全分析评估平台存在分析评估不全面,分析评估不准确,容易影响变电站正常作业,不能够发现并评估日常管理和具体执行过程中的安全隐患的技术问题,实现了能够对智能变电站的信息系统和控制系统进行评估,评估全面,分析评估准确,不影响变电站正常作业,且能够发现并评估日常管理和具体执行过程中的安全隐患的技术效果。
[0033] 为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
[0034] 下面结合具体实施例及附图,对本发明作进一步地的详细说明,但本发明的实施方式不限于此。
[0035] 下面结合附图3,描述本发明的具体实施方式:
[0036] 考虑智能变电站为典型的“三层两网”结构:站控层、间隔层、过程层,站控层网络、过程层网络。过程层的设备是直接面向电力系统的一次设备,主要是智能终端和合并单元,部署位置是室外的一次设备旁。智能终端主要是通过GOOSE 报文向上传输监测数据或接收间隔层设备下发的指令等,对一次设备进行开关控制。GOOSE 报文传输的主要数据是开入(智能终端的常规开入等),开出(跳闸、遥控、启动失灵、联锁、自检信息等),实时性要求不高的模拟量(环境温湿度,直流量)。合并单元主要是对一次设备的模拟信号进行收集转换,通过SV 报文上传给间隔层设备,SV报文主要是采样测量值。间隔层设备主要有以下几类:测控装置、保护装置、故障录波设备、网络报文分析设备。测控装置主要是收集合并单元和智能终端上传数据,发给站控层设备。保护装置是对合并单元和智能终端数据的进行实时监测,一旦出现异常情况及时作出保护动作,通过智能终端控制一次设备,保证一次设备安全性。站控层设备主要是由多个操作员站组成的监控站,对全站总体情况的监控,包括现场一次设备的开关状态等,与间隔层设备通信满足MMS 服务模型。
[0037] 站控层与间隔层设备之间通讯通过交换机进行。间隔层设备与过程层设备之间通讯除保护装置外,也是通过交换机进行。保护装置同智能终端和合并单元之间采用光纤直连的方式,“直采直跳”保证保护装置对于异常情况的及时发现处理,确保真实情况中的一次设备安全性。
[0038] 针对以上结构,本发明所述智能变电站信息及控制系统安全分析和评估平台分别接入智能变电站的站控层网络和过程层网络中。
[0039] 管理漏洞测评单元的测评对象是智能变电站的运行人员和继保人员,采用静态评估工具,获得被测变电站的实际运行规则,判断其中的安全隐患,最终得到管理漏洞的评估结果。静态评估工具包括信息系统调查模块和控制系统调查模块。信息系统调查模块主要对运行人员进行测评,控制系统调查模块主要对继保人员进行测评。
[0040] 已知漏洞扫描单元的信息系统扫描模块的测评对象是站控层网络内的各操作员站、变电站保护单元、测控单元和其它智能设备。首先,通过对站控层网络的扫描,发现网络中的所有设备资产,判断是否有非法设备接入。其次,通过进一步对具体设备或终端的详细扫描,识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等。最后,覆盖扫描流行的系统和数据库漏洞,漏洞包括但不限于弱口令、用户权限漏洞、访问认证漏洞、系统完整性检查、存储过程漏洞以及与数据库相关的应用程序漏洞等。
[0041] 已知漏洞扫描单元的信息系统扫描模块的测评对象是过程层网络内的各个设备和终端,包括保护单元、测控单元、合并单元、智能终端等等。首先,采用智能端口服务识别等技术,发现并识别不同类型的控制系统(SCADA/HMI软件、PLC控制器、DCS系统等)的操作系统、端口、服务信息。其次,针对控制系统中的传统IT设备/系统以及工控系统中定制化的各类控制器或终端进行漏洞扫描,例如支持Wincc、IGSS、Movicon、Promotic 、iFix 、WebAccess 、WebStudio 、ForceControl、KingView 等国内外主流的SCADA/HMI软件等。
[0042] 未知漏洞挖掘单元的测评对象是站控层网络和过程层网络中的所有设备。首先,根据已知漏洞扫描单元所发现的设备资产,单次连接网络中的单个设备。其次,通过选择测试用例组合,对被测对象进行报文发送或报文攻击,判断被测对象的返回结果。被测试协议包括但不限于TCP、IP、ICMP、IEC61850-Goose部分、IEC61850-SV部分、UDP、Modbus/TCP、OPC、CIP等协议。其中,协议IEC61850-Goose部分、协议IEC61850-SV部分主要用于过程层网络中的漏洞挖掘工作。
[0043] 在分别完成对两层网络的已知、未知漏洞评估和管理漏洞测评后,平台分析评估结果,并得出结论,给出安全建议,将结果数据反馈到Web门户以供测评人员参考和制定相关的安全策略。
[0044] 上述本申请实施例中的技术方案,至少具有如下的技术效果或优点:
[0045] 由于采用了将智能变电站信息及控制系统安全分析评估平台设计为包括:WEB门户单元,所述WEB门户单元用于:对用户登录、用户信息、用户权限进行管理;对变电站设备、功能单元接口、中间文件进行管理;对安全分析评估结果进行统计和分析;对平台基本参数进行配置和管理;管理漏洞测评单元,所述管理漏洞测评单元用于对智能变电站的日常管理维护工作方法和流程进行测试评估;已知漏洞扫描单元,所述已知漏洞扫描单元用于对智能变电站信息系统和智能变电站控制系统进行已知漏洞扫描;未知漏洞挖掘单元,所述未知漏洞挖掘单元用于发现智能变电站信息系统或控制系统的未知隐患;分析结果综合评价单元,所述分析结果综合评价单元用于通过汇集管理漏洞测评单元、已知漏洞扫描单元、未知漏洞挖掘单元的测试和评估结果,生成相应的测试和评估报告,给出修复建议和预防措施,对风险控制策略进行审核,即平台能够同时对智能变电站的信息系统和控制系统进行评估分析,提出了针对智能变电站的且能完整覆盖信息系统和控制系统安全问题的一套完整解决方案;采用已知漏洞和未知漏洞挖掘相结合的方式,提出对电力系统协议的安全漏洞发现方法,填补了控制系统领域漏洞扫描的一项空白;提出了智能变电站的安全分析和评估应考虑管理漏洞的评估,通过结合现有的电力相关法规,实现了对变电站的日常管理漏洞进行分析和评估,所以,有效解决了传统的变电站信息安全分析评估平台存在分析评估不全面,分析评估不准确,容易影响变电站正常作业,不能够发现并评估日常管理和具体执行过程中的安全隐患的技术问题,进而实现了能够对智能变电站的信息系统和控制系统进行评估,评估全面,分析评估准确,不影响变电站正常作业,且能够发现并评估日常管理和具体执行过程中的安全隐患的技术效果。
[0046] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0047] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。