[0001]
本发明涉及网络安全技术领域,具体涉及一种具有防攻击的信息安全系统及方法。
背景技术:
[0002]
随着计算机科学、信息化技术、信息安全、电力系统等相关领域的不断发展,智能电网建设引入诸如云计算、大数据、移动互联、物联网等“互联网+”新技术,电网信息获取方法、存储形态、传输渠道和处理方式将发生新的变化,网络基础环境也随之发生相应的改变。电力系统已然发展成为了一个信息物理深度融合的复杂系统,其稳定运行离不开其信息系统的实时调度。当前国际上恐怖主义威胁、军事冲突等不稳定因素频繁出现,电力系统作为各种能源相互转化的枢纽,是国家的关键基础设施,对国家安全、经济发展、社会稳定有巨大的影响,成为了恐怖分子袭击的重点目标之一。
[0003]
目前针对电力系统的攻击方式主要分为两种:第一种是直接对电力系统一次设备进行物理破坏,主要是针对发电厂、变电站、输电线路、母线节点甚至是某些重要负荷的人为蓄意攻击,这种攻击方式会使一个或多个电力设备发生故障而退出运行,从而改变电力网络的拓扑结构,严重影响正常的电能的传输和分配功能,甚至可能引发一系列连锁故障,使电网解列,造成大范围停电事故;另一种攻击方式是恐怖分子采用先进的网络技术,入侵电力信息网,破坏信息系统的功能。由于电力系统物理设备的控制与相互协调在很大程度上依赖信息系统,因此针对信息系统的攻击就有可能导致电力系统内发生复杂的物理交互过程,并最终威胁整个系统的安全。相比于物理攻击而言,信息攻击具有成本小、隐蔽性强的特点,对于电力系统的破坏可能更严重。信息系统与物理系统之间是相互作用的,由于二者紧密耦合,任意一个环节出现问题都可能导致严重的事故后果。
技术实现要素:
[0004]
本发明针对现有技术的不足,提出一种智能化程度高,在检测设备运行数据以及网络连接状态的情况下,主动防止攻击的具有防攻击的信息安全系统及方法,具体技术方案如下:
[0005]
一种具有防攻击的信息安全系统,设置有物理硬件检测模块,实时检测硬件配置信息有无异常;
[0006]
设置网络连接状态检测模块,检测各个设备实时网络连接状态;
[0007]
设置有静态网络对比模块,用于检测比对实时网络连接状态,判断是否异常;
[0008]
设置有攻击信息收集模块,主动收集系统内部和外网攻击信息;
[0009]
设置有模拟运行系统,模拟真实系统的运行情况。
[0010]
一种具有防攻击的信息安全系统的方法,具体步骤为:
[0011]
步骤一:通过硬件检测模块实时收集设备运行数据,与设备运行数据库比对,如无异常则进入下一步,否则发出警示;
[0012]
步骤二:实时检测各个设备的网络连接状态;
[0013]
步骤三:与网络静态连接数据库比对,一致则正常,进入下一步,不一致则异常,阻断连接并发出警示;
[0014]
步骤四:将攻击信息储存到攻击信息库,并定时收集互联网上的攻击信息,完善攻击信息库;
[0015]
步骤五:攻击信息库选取攻击指令,攻击模拟系统的中的设备,根据攻击过程制定阻击策略,再根据阻击策略更新实际的运行系统。
[0016]
作为优化:所述步骤三中网络静态连接数据库具体为,电力工控网络中所有电力vpn设备的隧道配置信息、策略配置信息和链路信息,中心节点及所有终端节点的节点配置表。
[0017]
作为优化:所述步骤三中发出警示信息的同时,进行网络连接来源追溯,具体为:
[0018]
3.1根据采集到的隧道配置信息及节点配置表,构建隧道关系表;
[0019]
3.2根据网络攻击链路中的隧道id及所属节点id,查找隧道关系表,定位该链路的源头为对端节点id,再查找对端节点id的区域ip地址范围列表,从而定位出该源头的区域ip地址范围,记为[ip1,ip2];
[0020]
3.3检查网络攻击链路中的对端局域网内主机ip是否在[ip1,ip2]内,若不是,则判定为伪造源ip地址攻击,最终溯源的源端可以定位到攻击的节点区域网络;否则进入下一步;
[0021]
3.4检测之前是否有与此对端局域网内主机ip地址的历史网络攻击链路信息存在,如果有,则判定此次攻击为跳板机攻击,否则,为普通攻击;跳板机攻击或普通攻击最终溯源的源端可以定位到对端局域网内主机ip。
[0022]
本发明的有益效果为:同时比对设备物理配置信息和网络连接状态信息,保证设备的运行和连接安全,从而实现信息安全;在发生信息或者网络异常的情形下,主动阻断预警,并且追溯连接源头,安全可靠;
[0023]
将攻击信息收集,并且主动收集外网攻击信息,用于攻击模拟系统,主动更新运行系统,将信息安全预防前置。
具体实施方式
[0024]
下面对本发明的较佳实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
[0025]
一种具有防攻击的信息安全系统,设置有物理硬件检测模块,实时检测硬件配置信息有无异常;
[0026]
设置网络连接状态检测模块,检测各个设备实时网络连接状态;
[0027]
设置有静态网络对比模块,用于检测比对实时网络连接状态,判断是否异常;
[0028]
设置有攻击信息收集模块,主动收集系统内部和外网攻击信息;
[0029]
设置有模拟运行系统,模拟真实系统的运行情况。
[0030]
所述具有防攻击的信息安全系统的方法具体步骤为:
[0031]
步骤一:通过硬件检测模块实时收集设备运行数据,与设备运行数据库比对,如无异常则进入下一步,否则发出警示;
[0032]
步骤二:实时检测各个设备的网络连接状态;
[0033]
步骤三:与网络静态连接数据库比对,一致则正常,进入下一步,不一致则异常,阻断连接并发出警示;
[0034]
其中网络静态连接数据库具体为,电力工控网络中所有电力vpn设备的隧道配置信息、策略配置信息和链路信息,中心节点及所有终端节点的节点配置表。
[0035]
发出警示信息的同时,进行网络连接来源追溯,具体为:
[0036]
3.1根据采集到的隧道配置信息及节点配置表,构建隧道关系表;
[0037]
3.2根据网络攻击链路中的隧道id及所属节点id,查找隧道关系表,定位该链路的源头为对端节点id,再查找对端节点id的区域ip地址范围列表,从而定位出该源头的区域ip地址范围,记为[ip1,ip2];
[0038]
3.3检查网络攻击链路中的对端局域网内主机ip是否在[ip1,ip2]内,若不是,则判定为伪造源ip地址攻击,最终溯源的源端可以定位到攻击的节点区域网络;否则进入下一步;
[0039]
3.4检测之前是否有与此对端局域网内主机ip地址的历史网络攻击链路信息存在,如果有,则判定此次攻击为跳板机攻击,否则,为普通攻击;跳板机攻击或普通攻击最终溯源的源端可以定位到对端局域网内主机ip。
[0040]
步骤四:将攻击信息储存到攻击信息库,并定时收集互联网上的攻击信息,完善攻击信息库;
[0041]
步骤五:攻击信息库选取攻击指令,攻击模拟系统的中的设备,根据攻击过程制定阻击策略,再根据阻击策略更新实际的运行系统。