一种电力监控系统远程运维安全保护装置转让专利
申请号 : CN202311043427.5
文献号 : CN117061556B
文献日 : 2024-03-19
发明人 : 刘增稷 , 赵婷 , 钱俊良 , 黄雨婷
申请人 : 东大检测服务(常州)有限公司 , 东南大学溧阳研究院 , 南京邮电大学
摘要 :
本发明公开了一种电力监控系统远程运维安全保护装置,包括外网接口、内网接口、可视化人机接口、安全接入与身份认证组件、权限管理组件、协议代理组件、行为控制组件、安全审计组件、第一数据整合单元和第二数据整合单元,安全接入与身份认证组件、权限管理组件均与外网接口和第一数据整合单元连接,第一数据整合单元分别与协议代理组件、行为控制组件连接,协议代理组件和行为控制组件的输出端与第二数据整合单元的输入端连接,第二数据整合单元与内网接口连接,安全审计组件与各组件和可视化人机接口连接。本发明的远程运维安全保护装置具有结构简单、实现容易、安全性高等优点,能够提高运维工作效率,保障电力监控系统的安全。
权利要求 :
1.一种电力监控系统远程运维安全保护装置,所述装置包括外网接口、内网接口、可视化人机接口,其特征在于:所述装置还包括安全接入与身份认证组件、权限管理组件、协议代理组件、行为控制组件、安全审计组件、第一数据整合单元和第二数据整合单元;所述安全接入与身份认证组件、权限管理组件均与外网接口连接,第一数据整合单元对安全接入与身份认证组件、权限管理组件输出的数据进行过滤和整合,第一数据整合单元分别与协议代理组件、行为控制组件连接,将经过过滤和整合后的数据输入至协议代理组件和行为控制组件,所述协议代理组件和行为控制组件的输入输出端口连接,所述行为控制组件采集并分析协议代理前后的数据包,并对其中的异常进行管控,所述协议代理组件和行为控制组件的输出口与第二数据整合单元的输入端连接,所述第二数据整合单元与所述内网接口连接,所述第二数据整合单元将协议代理组件的输出数据减去行为控制组件筛选出的异常行为数据后输出给内网接口,所述安全审计组件与各组件连接,记录各类异常数据,归类统计后输出给可视化人机接口;
所述安全接入与身份认证组件用于提供安全接入服务,为合法用户提供认证服务,具体操作是:a1,基于密码和生物特征的认证方式对用户身份进行认证;
a2,用户身份认证通过后,采用虚拟专用网络,生成用户安全通道,采用加密算法对通道中的数据进行加密传输;
a3,实时验证和更新用户身份信息;
所述权限管理组件用于控制用户的访问权限和操作权限,具体操作是:b1,进行细粒度的权限控制:对用户进行角色授权,设置用户角色权限;
b2,与安全接入与身份认证组件协同对用户进行访问控制;具体操作为:b21,检查请求中的有效凭证以验证用户身份;
b22,根据用户身份和权限检查用户是否被授权访问请求的资源;
b23,创建便于用户和资源进行通信的会话;
b24,记录所有访问请求的详细信息;
通过权限管理组件预设会话有效时间,并判断会话是否过期,若会话过期,则安全接入与身份认证组件要求用户重新登录会话的功能,若会话未过期,则对会话是否存在异常进行判断,并由安全审计组件进行日志记录;
所述协议代理组件用于代理不同的通信协议,具体操作包括:
c1,读取数据流标识,识别判断用户的运维数据流采用的协议,基于协议映射规则,进行包括Modbus、HTTP、IEC 61850、IEC 104的通信协议转换;
c2,进行协议的过滤和控制操作。
2.根据权利要求1所述的一种电力监控系统远程运维安全保护装置,其特征在于:所述行为控制组件基于安全策略、流量控制、异常检测技术对用户的远程运维操作行为进行管控,具体操作如下:d1,采用安全策略组对远程运维数据流进行管控,限制用户访问或操作部分数据或服务,包括如下操作:对所有进出电力监控系统的数据流进行监控,并对数据流中的源地址、目的地址、端口、协议信息进行提取;
将提取的信息与事先建立的白名单和黑名单进行比对,其中,白名单包括合法的外联地址和端口,黑名单包括已知的恶意地址和端口;
d2,对协议代理前后的流量进行实时监测,并对其进行分类和过滤,对于异常流量,阻止其进入电力监控系统,并返回相应的错误码;
d3,对远程运维行为进行分析,对于异常操作行为,采取防范措施,具体包括:设置检测规则,对异常流量进行分析,对其来源、目的、协议、时间信息进行记录,并提供相应的报告和告警;
实时更新黑名单。
3.根据权利要求1所述的一种电力监控系统远程运维安全保护装置,其特征在于:所述安全审计组件基于安全信息和事件管理技术,进行日志收集、日志分析和生成报告,具体操作如下:e1,收集所有组件的安全事件日志,并支持对日志和事件进行筛选和检索;
e2,对日志进行分析,通过人工智能方法查找异常行为,并标记为潜在的安全风险,对安全风险告警进行存储;
e3,生成安全事件报告,包含可视化的统计数据、趋势分析、预警通知。
说明书 :
一种电力监控系统远程运维安全保护装置
技术领域
[0001] 本发明涉及电力监控系统技术领域,具体是一种电力监控系统远程运维安全保护装置。
背景技术
[0002] 当前,电力监控系统的网络安全形势日益严峻,黑客攻击和恶意代码威胁不断增加。电力监控系统维护人员通过维护终端访问电力监控系统,容易受到黑客和恶意代码的攻击,这对电力监控系统的稳定运行和数据安全带来了巨大威胁。传统的VPN和防火墙技术虽然可以一定程度上提高系统的安全性,但是这些方法仍然存在着一些安全隐患。
[0003] 为了加强电力监控系统远程运维的安全性,提高维护工作效率,需要开发一种更加高效、安全的解决方案。
发明内容
[0004] 为了解决上述问题,本发明提出了一种增强电力监控系统远程运维的安全性和可靠性的安全保护装置。
[0005] 为了达到上述目的,本发明是通过以下技术方案来实现的:
[0006] 本发明是一种电力监控系统远程运维安全保护装置,所述装置包括外网接口、内网接口、可视化人机接口,所述装置还包括安全接入与身份认证组件、权限管理组件、协议代理组件、行为控制组件、安全审计组件、第一数据整合单元和第二数据整合单元;所述安全接入与身份认证组件、权限管理组件均与外网接口连接,第一数据整合单元对安全接入与身份认证组件、权限管理组件输出的数据进行过滤和整合,第一数据整合单元分别与协议代理组件、行为控制组件连接,将经过过滤和整合后的数据输入至协议代理组件和行为控制组件,所述协议代理组件和行为控制组件的输入输出端口连接,所述行为控制组件采集并分析协议代理前后的数据包,并对其中的异常进行管控,所述协议代理组件和行为控制组件的输出端与第二数据整合单元的输入端连接,所述第二数据整合单元与所述内网接口连接,所述第二数据整合单元将协议代理组件的输出数据减去行为控制组件筛选出的异常行为数据后输出给内网接口,所述安全审计组件与各组件连接,记录各类异常数据,归类统计后输出给可视化人机接口。
[0007] 本发明的进一步改进在于:所述安全接入与身份认证组件用于提供安全接入服务,为合法用户提供认证服务,具体操作是:
[0008] a1,基于密码和生物特征的认证方式对用户身份进行认证;
[0009] a2,用户身份认证通过后,采用虚拟专用网络,生成用户安全通道,采用加密算法对通道中的访问数据进行加密传输;
[0010] a3,实时验证和更新用户身份信息。
[0011] 本发明的进一步改进在于:所述权限管理组件用于控制用户的访问权限和操作权限,具体操作是:
[0012] b1,进行细粒度的权限控制:对用户进行角色授权,设置用户角色权限;
[0013] b2,与安全接入与身份认证组件协同对用户进行访问控制。
[0014] 本发明的进一步改进在于:所述协议代理组件用于代理不同的通信协议,具体操作包括:
[0015] c1,读取数据流标识,识别判断用户的运维数据流采用的协议,基于协议映射规则,进行包括Modbus、HTTP、IEC 61850、IEC 104的多种通信协议转换;
[0016] c2,进行协议的过滤和控制操作。
[0017] 本发明的进一步改进在于:所述行为控制组件基于安全策略、流量控制、异常检测技术对用户的远程运维操作行为进行管控,具体操作如下:
[0018] d1,采用安全策略组对远程运维数据流进行管控,限制用户访问或操作特定的数据或服务,包括如下操作:
[0019] 对所有进出电力监控系统的数据流进行监控,并对数据流中的源地址、目的地址、端口、协议信息进行提取;
[0020] 将提取的信息与事先建立的白名单和黑名单进行比对,其中,白名单包括合法的外联地址和端口,黑名单包括已知的恶意地址和端口;
[0021] d2,对协议代理前后的流量进行实时监测,并对其进行分类和过滤,对于异常流量,阻止其进入电力监控系统,并返回相应的错误码;
[0022] d3,对远程运维行为进行分析,对于异常操作行为,采取防范措施,具体包括:设置检测规则,对异常流量进行分析,对其来源、目的、协议、时间信息进行记录,并提供相应的报告和告警;
[0023] 实时更新黑名单。
[0024] 本发明的进一步改进在于:所述安全审计组件基于安全信息和事件管理技术,进行日志收集、日志分析和生成报告,具体操作如下:
[0025] e1,收集所有组件的安全事件日志,并支持对日志和事件进行筛选和检索;
[0026] e2,对日志进行分析,通过人工智能方法查找异常行为,并标记为潜在的安全风险,对安全风险告警进行存储;
[0027] e3,生成安全事件报告,包含可视化的统计数据、趋势分析、预警通知。
[0028] 本发明的进一步改进在于:b2中的访问控制包括对用户的访问请求进行管理,具体操作为:
[0029] b21,检查请求中的有效凭证以验证用户身份;
[0030] b22,根据用户身份和权限检查用户是否被授权访问请求的资源;
[0031] b23,创建便于用户和资源进行通信的会话;
[0032] b24,记录所有访问请求的详细信息。
[0033] 本发明的有益效果是:本发明基于网络安全防护技术,提供了一系列完善的远程运维安全防护功能,针对电力监控系统的安全性、维护工作的安全性、维护流程的安全性进行全方位的保护。有益效果如下:
[0034] ①电力监控系统的安全性加强:该装置提供安全接入、身份认证、权限管理、协议代理、行为控制和安全审计功能,可防范黑客及恶意代码通过远程维护活动对电力监控系统进行攻击及侵害,并通过安全审计功能对维护过程进行全过程记录,以确保系统安全性。
[0035] ②维护工作的安全性加强:该装置部署在维护终端与维护对象之间,维护工作需要通过该装置进行,以确保电力监控系统维护的安全性。
[0036] ③维护流程的安全性加强:该装置对远程运维指令进行检测和管控,过滤异常指令和可疑指令,从而保障电力监控系统在远程运维过程中不被攻击者控制。
[0037] ④高风险行为的识别和阻断:该装置可对远程运维数据流进行阻断、告警、二次授权,实时告警和阻断高风险用户的连接,从而提高远程运维过程中针对网络攻击的防范能力。
[0038] 综上所述,该装置增强了电力监控系统远程运维的安全性和可靠性,具有较高的实际应用价值和推广意义。
附图说明
[0039] 图1是本发明实施例中的装置原理图;
[0040] 图2是本发明实施例中的装置工作流程图;
[0041] 图3是本发明实施例中的装置的应用场景图。
具体实施方式
[0042] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0043] 如图1所示,本发明的一种电力监控系统远程运维安全保护装置,所述装置包括外网接口、内网接口、可视化人机接口、安全接入与身份认证组件、权限管理组件、协议代理组件、行为控制组件、安全审计组件、第一数据整合单元和第二数据整合单元;所述安全接入与身份认证组件、权限管理组件均与外网接口连接,第一数据整合单元对安全接入与身份认证组件、权限管理组件输出的数据进行过滤和整合,第一数据整合单元分别与协议代理组件、行为控制组件连接,将经过过滤和整合后的数据输入至协议代理组件和行为控制组件,所述协议代理组件的输入输出端口均与行为控制组件的输入端口连接,行为控制组件采集并分析协议代理前后的数据包,并对其中的异常进行管控,所述协议代理组件和行为控制组件的输出端与第二数据整合单元的输入端连接,所述第二数据整合单元与所述内网接口连接,所述第二数据整合单元将协议代理组件的输出数据减去行为控制组件筛选出的异常行为数据后输出给内网接口,所述安全审计组件与各组件连接,记录各类异常数据,归类统计后输出给可视化人机接口。
[0044] 安全接入与身份认证组件提供安全接入服务,为合法用户提供认证服务,防止非法用户接入电力监控系统。
[0045] 具体操作为:
[0046] a1,基于密码和生物特征的认证方式对用户身份进行认证,确保用户身份的合法性;
[0047] a2,用户身份认证通过后,采用虚拟专用网络(VPN)技术,生成用户到远程运维安全保护装置的专用安全通道,采用非对称加密算法对通道中的数据进行加密传输,保证了数据传输的安全性;
[0048] a3,实时验证和更新用户身份信息,确保电力监控系统能够及时响应变化的用户身份信息。实时验证操作包括对用户接入的端口进行实时管控,采用网络扫描和流量分析技术对接入用户的IP地址、通信端口进行实时监控和管控,并且根据预设的高危端口和黑名单列表对端口进行实时管控,从而防止可疑用户的接入。
[0049] 权限管理组件用于控制用户的访问权限和操作权限,防止非法操作。具体进行如下操作:
[0050] 进行细粒度的权限控制:对用户进行角色授权,对用户角色进行权限设置,可以为用户分配不同的权限等级,以确保只有授权的用户可以访问特定的电力监控系统设备。
[0051] 与安全接入与身份认证组件和安全审计组件协同进行访问控制:包括用户身份验证、用户授权、会话管理和日志记录。首先,通过权限管理组件检查请求中的有效凭证以验证用户身份;其次,权限管理组件根据用户身份和权限检查用户是否被授权访问请求的资源;在确认用户被授权后,安全接入与身份认证组件创建一个安全的会话以便用户和资源进行通信,即生成用户安全通道,并进行会话保护;最后,由安全审计组件记录所有访问请求的详细信息以便审计和监视。
[0052] 具体验证包括:
[0053] (1)用户身份验证:在用户登录过程中,通过输入用户名和密码信息进行身份验证,确保只有授权用户能够登录系统。
[0054] (2)证书认证:本发明支持数字证书认证技术,对于需要更高安全级别的访问请求,权限管理组件要求用户提供相应的数字证书进行验证,保障系统安全。
[0055] (3)双因素认证:本发明支持双因素身份认证,要求用户在登录时需要同时提供用户名密码和第二种身份验证方式,第二种身份验证方式为动态口令或指纹,提高了系统的安全性。
[0056] 记录用户的操作记录,为审计提供支持。
[0057] 协议代理组件用于代理不同的通信协议,实现针对多类设备的远程运维。具体包括:
[0058] 读取数据流标识,识别判断用户的运维数据流采用的协议,基于协议映射规则,进行多种通信协议转换,包括Modbus、HTTP、IEC 61850、IEC 104;
[0059] 支持协议的自定义扩展,满足不同厂家的定制需求;
[0060] 进行协议的过滤和控制操作,防止非法协议和攻击。
[0061] 行为控制组件基于安全策略、流量控制、异常检测技术对用户的远程运维操作行为进行管控,防止非法操作。具体操作如下:
[0062] 采用安全策略对远程运维数据流进行管控,限制用户访问或操作特定的数据或服务,其中,安全策略组包括防火墙规则、入侵检测规则、反病毒策略的多个安全策略;
[0063] 按照业务种类、数据流向、终端设备对流量进行分类,针对协议代理前后的流量进行监测,判断各类型的流量是否在允许范围内,若流量超过阈值,则认为该数据流存在异常,并对其进行过滤。
[0064] 对远程运维行为进行分析,对于异常操作行为,采取防范措施。
[0065] 安全审计组件用于记录电力监控系统的操作日志和事件,以便进行后续的审计和追踪。具体实现包括:
[0066] 所述安全审计组件基于安全信息和事件管理技术,进行日志收集、日志分析和生成报告,具体操作如下:
[0067] 收集所有组件的安全事件日志,进行全生命周期的操作日志记录,包括登录、操作、配置和异常等各类事件的记录,并存储在数据库中,利用数据库的功能实现对日志和事件进行筛选和检索,便于快速查询和审计;
[0068] 对日志进行分析,通过人工智能方法查找异常行为,并标记为潜在的安全风险,对安全风险告警进行存储;
[0069] 生成安全事件报告,包含可视化的统计数据、趋势分析、预警通知,可以以图表和报表等形式呈现数据,便于管理和决策。
[0070] 本发明的电力监控系统远程运维安全保护装置通过数据流监测技术实现了违规外联检测功能。具体为:对所有流经的数据流量进行实时监测,并根据判别规则识别可能存在的违规外联行为。此外,该装置结合了IDS/IPS、防火墙、漏洞扫描技术,进行综合检测和防御,提高安全防范的能力,确保电力监控系统的稳定和安全运行。具体实现过程如下:
[0071] (1)对所有进出电力监控系统的数据流进行监控,并对数据流中的源地址、目的地址、端口、协议信息进行提取。
[0072] (2)将提取的信息与事先建立的白名单和黑名单进行比对。白名单包括合法的外联地址和端口,而黑名单包括已知的恶意地址和端口。
[0073] (3)如果数据流中的源地址在黑名单中,或者目的地址不在白名单中,该装置会将该数据流标记为异常,并阻止其进入电力监控系统。
[0074] (4)设置检测规则,对异常流量进行分析,对其来源、目的、协议、时间信息进行记录,并提供相应的报告和告警。
[0075] (5)实时更新黑名单,以保证对新出现的恶意地址和端口进行及时检测和防护。
[0076] 本发明的电力监控系统远程运维安全保护装置通过协议代理组件实现了协议代理功能,从而可接入不同类型和不同协议的电力监控系统设备。其具体实现方式如下:
[0077] (1)代理协议转换:本发明装置通过协议代理组件读取输入的数据包包头,从而识别数据包类型。根据数据包类型,提取其中的关键数据,并重新打包为需要转换的协议数据包,从而实现将一种协议转换为另一种协议,以支持多种协议的兼容性。
[0078] (2)协议检查:本发明装置通过协议代理组件对所有通过其传输的网络数据包进行协议检查,判别数据包是否符合协议规范,并且对数据包中的内容进行检测,判断其中是否含有异常的操作行为。
[0079] (3)协议过滤:本发明装置通过协议代理组件对流经的数据包进行监控,判别协议类型和通信端口,限制并监控特定的协议和端口,防止网络攻击者利用某些协议漏洞进行攻击。可以通过协议过滤功能,限制和监控特定的协议和端口,防止网络攻击者利用某些协议漏洞进行攻击。
[0080] 本发明的电力监控系统远程运维安全保护装置的行为控制组件基于安全策略、流量监测、异常检测技术对远程运维操作行为进行管控。具体而言如下所示:
[0081] (1)安全策略:该装置采用安全策略组对远程运维数据流进行管控,限制用户访问或操作特定的数据或服务,以保证数据的安全性和完整性。
[0082] (2)流量监测:通过对协议代理前后的流量进行实时监测,发现异常流量和异常行为,并及时采取防范措施,隔离该数据流,防止对电力监控系统的攻击。
[0083] (3)异常检测:通过对远程运维行为进行分析,发现异常操作行为,并及时采取防范措施,隔离该数据流,保证运维数据流的可靠性。
[0084] 本发明的电力监控系统远程运维安全保护装置的安全审计组件采用安全信息和事件管理技术,集成日志收集、分析和报告功能,实现安全事件的自动分析和响应。本发明的安全保护装置采用标准的日志格式和协议,以便与其他系统进行集成和交互。安全审计组件进行如下操作:
[0085] (1)安全事件日志记录:该装置基于所有组件发送的安全事件日志,分析和跟踪系统的安全性能,并实现安全审计。
[0086] (2)安全事件分析:对日志进行分析,通过人工智能方法查找异常行为,并标记为潜在的安全风险。
[0087] (3)安全事件报告:生成安全事件报告,包含统计数据、趋势分析、预警通知,以帮助管理员更好地了解系统安全性的状况,及时发现和解决问题。
[0088] 本发明的安全保护装置的各个组件或多个组件相互协同实现如下功能:
[0089] (1)威胁检测:即对用户接入的端口进行实时管控,该功能由安全接入与身份认证组件与协议代理组件协同实现,首先进行有无外部请求的判断,若无请求,则获取和过滤威胁情报,进行数据流对比,并采取应对措施,包括与预设白名单进行对比,确定是否为已知可信任IP,并根据确认结果更新黑名单与白名单。同时将对比数据流结果与应用协议数据库进行对比,进一步检测攻击行为再做出判断。若检测到有外部请求时,则获取其IP地址,并进行源地址过滤操作。
[0090] (2)源地址过滤:该功能由安全接入与身份认证组件实现,具体为处理来自外部的请求,并依据更新后的黑名单与白名单判断外部请求的IP地址是否已知可信。安全接入与身份认证组件在处理来自外部的请求时,首先判断请求的源IP地址是否在允许的IP地址列表中,这个过程包括从已知的可信任IP地址和可疑的黑名单IP地址两个方面进行判断,防止恶意攻击者使用伪造的IP地址来进行攻击。若请求来自允许的IP地址,则允许该请求通过;否则,该请求会被拒绝并向发起请求的用户返回相应的错误码。
[0091] (3)协议识别:该功能由协议代理组件实现。当确认请求由已知可信IP发起时,协议代理组件识别判断用户的接入端口、数据流量以及运维数据流采用的协议,基于协议映射规则,将运维数据流协议转换为电力监控系统相应设备能够识别的协议。
[0092] (4)流量控制:该功能由行为控制组件实现,具体为对通过本发明装置的流量进行检测、分类、过滤和控制,以确保异常流量不进入电力监控系统。流量控制包括流量监测、流量分类、流量过滤、和异常流量记录。行为控制组件实时监测流量并对其进行分类和过滤,对异常流量进行阻断或降速处理,根据预设的阈值对流量进行控制,记录异常流量以便后续分析和溯源。
[0093] (5)异常行为过滤:该功能与流量控制功能协同,对被行为控制组件判定为非异常流量部分数据进行持续的流量峰值检测,通过数据流比对和安全策略组,识别远程运维数据流中的异常行为并将其过滤。
[0094] (6)应用协议过滤:该功能由协议代理组件实现,与协议识别功能协同。应用协议过滤是针对请求的一项检测,旨在防止应用层攻击和恶意流量。协议代理组件基于已维护的一个包含所有受支持的应用协议的数据库,对传输层以上的协议进行检测和分析,根据应用协议的数据库中的规则进行判断。若流量违反了某个协议的规则,则判定为异常行为,并于IP地址黑名单与白名单进行比对,进而对攻击流量限速、隔离、丢弃,并生成报告由安全审计组件统一记录。
[0095] (7)数据加密:该功能由安全接入与身份认证组件实现,具体为对确定无攻击行为的数据进行加密传输。数据加密功能对上级中未检测出攻击行为的流量采用非对称加密算法进行加密,并生成秘钥。本发明装置采用公钥对运维数据进行加密,终端设备(接收方)采用私钥对运维数据进行解密,从而保证输入到内网中的远程运维数据流的安全性。
[0096] (8)访问控制:该功能由权限管理组件、安全接入与身份认证组件和安全审计组件协同实现。具体为对用户的访问请求进行管理,包括用户身份验证、用户授权、会话管理和日志记录。首先,通过权限管理组件检查请求中的有效凭证以验证用户身份;其次,权限管理组件根据用户身份和权限检查用户是否被授权访问请求的资源;在确认用户被授权后,安全接入与身份认证组件创建一个安全的会话以便用户和资源进行通信,即生成用户安全通道,并基于权限管理组件进行会话保护;最后,由安全审计组件记录所有访问请求的详细信息以便审计和监视。
[0097] (9)会话保护:该功能由安全接入与身份认证组件、权限管理组件与安全审计组件协同实现,主要对会话进行认证、授权与加密,实时对会话过程进行检测。会话保护功能对上级会话管理流程采用session进行会话跟踪,当客户第一次连接到安全保护装置时,安全保护装置为其建立一个session对象,并分配给客户一个唯一的标识(session ID),且客户每一次的访问请求均要提交该标识。安全保护装置根据这个特定的标识找到特定的session对象,读取或者记录用户的信息。通过权限管理组件预设会话有效时间,并判断会话是否过期,若会话过期,则安全接入与身份认证组件要求用户重新登录会话的功能,若会话未过期,则对会话是否存在异常进行判断,并由安全审计组件进行日志记录。
[0098] 例如:
[0099] 一家能源公司拥有多个分布在不同地理位置的电力监控系统,需要对这些系统进行远程维护和管理,以确保其安全运行和稳定性。在这种情况下,该电力监控系统远程运维安全保护装置可以被部署在公司总部通信网络和各个分布式电力监控系统之间,作为它们之间的连接和安全管理中心。
[0100] 当电力监控系统的管理员需要远程登录到系统以进行管理和维护操作时,电力监控系统远程运维安全保护装置可以接收管理员的登录请求,并验证其身份。如果身份验证成功,将允许管理员访问系统,并且可以根据管理员的权限级别控制其可以访问的数据和功能。如果身份验证失败,则将拒绝管理员的登录请求,并返回相应的错误码。
[0101] 当电力监控系统的维护人员需要对电力监控系统进行维护时,远程维护人员可以通过电力监控系统远程运维安全保护装置与电力监控系统建立VPN隧道,这样所有数据传输都会经过该VPN隧道,即安全加密通道,可以有效避免网络攻击和数据泄露。此外,电力监控系统远程运维安全保护装置还可以对远程访问人员的身份进行认证和授权,以确保只有经过授权的人员才能访问电力监控系统。维护人员需要通过身份认证,才能访问电力监控系统。电力监控系统远程运维安全保护装置会实时监控维护人员的行为,包括对电力监控系统的访问和操作,以及对电力监控系统进行的任何配置更改。如果发现任何异常或潜在的安全风险,会立即采取相应的阻断措施,并发送告警给管理员。在维护过程结束后,电力监控系统远程运维安全保护装置会将所有的审计日志和记录上传到公司的审计日志管理平台,以供审计和监管。
[0102] 该电力监控系统远程运维安全保护装置可对通过该装置的流量进行监测、分类、过滤和控制,对异常流量进行阻断或降速处理,根据预设的阈值对流量进行控制,记录异常流量以便后续分析和溯源。例如当发生DDoS攻击或SQL注入攻击时,电力监控系统远程运维安全保护装置会检测网络流量中是否存在可疑的请求,如特定的DDoS攻击特征或SQL注入攻击特征。如果存在可疑请求,电力监控系统远程运维安全保护装置会将可疑请求的源IP地址添加到黑名单中,并将已处理的请求转发到目标服务器,同时监视响应是否正常。如果目标服务器的响应异常或超时,电力监控系统远程运维安全保护装置会立即中断连接,并通知管理员。如果攻击流量超出电力监控系统远程运维安全保护装置处理能力,电力监控系统远程运维安全保护装置可以使用“流量清洗”等技术来过滤掉大量攻击流量,保证正常流量的传输。同时记录所有安全事件,并生成相应的报告和警报,以便管理员进行分析和响应。
[0103] 通过这种方式,能源公司可以实现对其分布式电力监控系统的安全和稳定性进行全面和有效的管理和控制。
[0104] 本技术领域技术人员可以理解的是,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,除非类似这里一样定义,不会用理想化或过于正式的含义来解释。
[0105] 以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。