一种电厂区域安全管控平台的制作方法

1.本发明涉及网络安全管理技术领域，特别是涉及一种电厂区域安全管控平台。


背景技术：

2.安全管控平台，指的是提供一种高度可靠的安全保护手段的系统，可以最大限度的避免相关设备的不安全状态，防止恶性事故的发生或在事故发生后尽可能地减少损失，保护生产装置及人身安全，安全管控平台在现代化工业生产中已被广泛应用。以新一代信息通信技术为基础建成的智能电网可以集成现代通信信息技术、自动控制技术、决策支持技术与先进电力技术，物联网等信息通信技术将各类电源和用电设施灵活接入与退出，能实现电网与用户的友好互动，提高电力系统的运行效率。
3.但是从终端接入上来看，平台需要支持多种智能终端设备的接入，在接入过程中系统的密钥管理、认证管理、可信管理等服务表现的均不是很好，从而容易导致终端接入时故障率高、系统安全性不稳定，最终会导致企业生产及管控力度安全性的降低。
4.因此，如何提供一种电厂区域安全管控平台是本领域技术人员亟需解决的技术问题。


技术实现要素：

5.有鉴于此，本发明提供了一种电厂区域安全管控平台，以解决终端设备接入时安全性能不稳定以及故障率较高的问题。
6.为了解决上述技术问题，本发明采用如下技术方案：
7.一种电厂区域安全管控平台，包括：
8.可信管理服务系统，在终端接入设备请求访问时为用户生成密钥；
9.证书及凭证管理系统，对请求访问用户的终端接入设备进行证书或者专用凭证认证；
10.密钥管理系统，当证书认证结果为正确时，用于为电厂区域网络提供密钥管理，并基于密钥管理对终端接入设备进行管理认证；
11.身份认证与访问控制服务系统，用于对完成密钥管理认证的终端接入设备用户进行身份认证以及对终端接入设备用户的访问权限进行管理。
12.优选的，在上述电厂区域安全管控平台中，所述密钥管理系统还用于生成根密钥，并将所述根密钥分配至所述可信管理服务系统。
13.优选的，在上述电厂区域安全管控平台中，所述可信管理服务系统基于所述根密钥与所述终端接入设备进行双向认证，以提高可信服务。
14.优选的，在上述电厂区域安全管控平台中，所述基于密钥管理对终端接入设备进行管理认证包括：基于密钥管理对终端接入设备进行生成、下发、更新、注销、归档管理。
15.优选的，在上述电厂区域安全管控平台中，所述密钥管理系统用于支持ecc类密钥、sm2密钥、psk及密钥存储的管理。
16.优选的，在上述电厂区域安全管控平台中，所述证书管理系统支持国密sm2证书，且包括离线和在线两种证书发放方式。
17.优选的，在上述电厂区域安全管控平台中，还包括统一策略管理服务系统，用于发现终端接入设备，并实现终端接入设备与网络访问的边界可视化。
18.优选的，在上述电厂区域安全管控平台中，所述统一策略管理服务系统包括
19.视图管理模块，用于对终端接入设备的视图进行管理；
20.设备注册信息管理模块，用于对终端接入设备的注册流程信息进行管控；
21.边界状态管理模块，用于对终端接入设备跨边界访问的信息进行安全访问控制，并对访问者进行身份验证；
22.日志管理模块，用于对终端接入设备进行日志配置、访问、管理及外发。
23.优选的，在上述电厂区域安全管控平台中，所述统一策略管理服务系统还包括分析评估模块，用于对终端接入设备的安全状态进行分析评估，生成分析评估结果。
24.优选的，在上述电厂区域安全管控平台中，所述统一策略管理服务系统根据所述分析评估模块得出的分析评估结果制定管理策略，以对终端接入设备进行安全管控。
25.本发明提供了一种电厂区域安全管控平台，与现有技术相比，其有益效果在于：
26.本发明公开的电厂区域安全管控平台通过提供密钥管理服务、身份认证与访问控制服务、可信管理服务、证书及凭证服务、统一策略管理服务，实现了基于多重认证的可信终端安全接入程序，系统稳定可靠，认证效率高，可有效防止恶意、非法访问的终端用户，保证电厂区域的安全性，降低信息泄露的风险。
附图说明
27.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中
28.图1为本发明实施例电厂区域安全管控平台的结构示意图。
具体实施方式
29.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
30.如图1所示，本发明实施例公开了一种电厂区域安全管控平台，包括：可信管理服务系统、证书及凭证管理系统、密钥管理系统以及身份认证与访问控制服务系统。
31.在本发明的一些具体实施例中，可信管理服务系统，在终端接入设备请求访问时为用户生成密钥，为终端用户提供准入基础；
32.在本发明的一些具体实施例中，证书及凭证管理系统，对请求访问用户的终端接入设备进行证书或者专用凭证认证，为整个系统的设备接入、准入等提供证书或者凭证认证服务，确保设备/用户合法性，防止非法访问受控信息、恶意破坏系统数据的完整性等情
况发生。
33.具体的，证书及凭证管理系统中存储有终端接入设备用户的身份验证信息，通过比较终端接入设备输入的信息与系统内存储的信息进行比对，根据比对结果确定是否允许终端设备的接入。
34.在本发明的一些具体实施例中，密钥管理系统，当证书认证结果为正确时，用于为电厂区域网络提供密钥管理，并基于密钥管理对终端接入设备进行管理认证；而当证书认证结果为错误时，则进行在线提醒，若出现多次认证错误，则拒绝终端设备的接入。
35.在本发明的一些具体实施例中，身份认证与访问控制服务系统，用于对完成密钥管理认证的终端接入设备用户进行身份认证以及对终端接入设备用户的访问权限进行管理，为整个系统的设备接入、准入等提供身份认证服务，确保设备/用户身份的真实性、合法性和唯一性，防止非法访问受控信息、恶意破坏系统数据的完整性等情况发生。
36.在本发明的一些具体实施例中，所述密钥管理系统还用于生成根密钥，并将所述根密钥分配至所述可信管理服务系统。
37.在本发明的一些具体实施例中，所述可信管理服务系统基于所述根密钥与所述终端接入设备进行双向认证，以提高可信服务。
38.在本发明的一些具体实施例中，所述基于密钥管理对终端接入设备进行管理认证包括：基于密钥管理对终端接入设备进行生成、下发、更新、注销、归档管理。
39.在本发明的一些具体实施例中，所述密钥管理系统用于支持ecc类密钥、sm2密钥、psk及密钥存储的管理，支持的密钥形式种类较多，可适用于多种终端接入设备。
40.在本发明的一些具体实施例中，所述证书管理系统支持国密sm2证书，且包括离线和在线两种证书发放方式。
41.在本发明的一些具体实施例中，还包括统一策略管理服务系统，用于发现终端接入设备，并实现终端接入设备与网络访问的边界可视化。
42.在本发明的一些具体实施例中，所述统一策略管理服务系统包括视图管理，用于对终端接入设备的视图进行管理。
43.在本发明的一些具体实施例中，所述统一策略管理服务系统包括设备注册信息管理模块，用于对终端接入设备的注册流程信息进行管控；
44.在本发明的一些具体实施例中，所述统一策略管理服务系统包括边界状态管理模块，用于对终端接入设备跨边界访问的信息进行安全访问控制，并对访问者进行身份验证；
45.在本发明的一些具体实施例中，所述统一策略管理服务系统包括日志管理模块，用于对终端接入设备进行日志配置、访问、管理及外发，从而生成目标数据的标记信息或者对目标数据进行识别，实现数据的采集与分析。
46.在本发明的一些具体实施例中，所述统一策略管理服务系统还包括分析评估模块，用于对终端接入设备的安全状态进行分析评估，生成分析评估结果，进而判断终端接入设备是否存在安全威胁，以在攻击或者恶意行为发生前进行预测和警告。
47.在本发明的一些具体实施例中，所述统一策略管理服务系统根据所述分析评估模块得出的分析评估结果制定管理策略，以对终端接入设备进行安全管控。
48.需要说明的是，本发明的安全管控平台可以利用数据安全服务总线，通过接口支持不同终端设备的统一接入，对此不做特殊限定。
49.本发明通过提供密钥管理服务、身份认证与访问控制服务、可信管理服务、证书及凭证服务、统一策略管理服务，实现了基于多重认证的可信终端安全接入程序，系统稳定可靠，认证效率高，可有效防止恶意、非法访问的终端用户，保证电厂区域的安全性，降低信息泄露的风险。
50.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd－rom、光学存储器等)上实施的计算机程序产品的形式。
51.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
52.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
53.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
54.最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。