本发明属于电网安全,特别涉及一种电力监控系统网络威胁的分级协同处理方法和系统。
背景技术:
::1、现有电力监控系统应急情况的威胁处置方案是由值班人员通知相关单位负责人,值班人员必须通过电话通知现场运维人员风险故障,告知电力监控系统监测到的告警及风险点,相关单位运维人员通过现场排查,进一步确定风险点,再通过人工处置的方式消除网络威胁,处置效率低,不适合发生紧急情况时风险的应急处置,不能够及时提供有效措施,遏抑威胁,抑制风险的扩散。技术实现思路1、为了解决现有技术中存在的不足,本发明提供了一种电力监控系统网络威胁的分级协同处理方法和系统,以解决多源、多级监控对象的分级处置和安全管控的技术问题。2、为解决上述技术问题,本发明采用如下的技术方案。3、本发明首先公开了一种电力监控系统网络威胁的分级协同处理方法,该方法包括以下步骤:4、步骤1,当监测到网络威胁事件时,确定所述网络威胁事件的影响范围;5、步骤2,根据所述影响范围,确定网络威胁的阻断级别,当所述影响范围为单台设备、同一网段的多台设备以及多个网段的多台设备时,确定所述阻断级别分别为单设备级阻断、局部级阻断和区域级阻断;6、步骤3,根据网络威胁的位置以及所述阻断级别,对所述网络威胁进行分级处置,当所述位置是主站侧时,所述分级处置包括主站区域阻断、主站设备阻断和主站会话阻断,当所述位置是厂站侧时,所述分级处置包括厂站区域阻断和厂站设备阻断。7、本发明进一步包括以下优选方案:8、所述单设备级阻断包括主机设备的会话阻断和连接阻断,所述局部级阻断包括网络设备的网络连接阻断以及端口、ip地址、协议的访问控制,所述区域级阻断包括边界安防设备的阻断控制命令下发,阻断跨区域的连接,阻断策略、隧道和访问控制,所述边界安防设备包括防火墙、隔离设备和纵向加密认证装置。9、所述主站会话阻断通过主站主机操作系统agent实现,通过i型网络安全监测装置与操作系统agent通信,下发会话阻断命令,agent接收到命令后,进行会话阻断,所述主站会话阻断包括对ssh、x11的会话链接的阻断,阻断类型包括单次阻断、计时阻断以及长期阻断;安全平台下发进程id信息给操作系统agent,操作系统agent关闭指定进程;通过主机设备iptables实现关闭操作系统上指定端口对外的访问和其他设备对本机指定端口的访问;对于下发的每一项指令内容,由网络安全管理平台进行数字签名,操作系统agent进行验签,确定命令来源合法后进行相关阻断操作。10、所述厂站区域阻断通过网络安全管理平台对厂站数据网边界的纵向加密认证装置进行隧道的管控实现,通过所述纵向加密认证装置关闭或删除特定厂站指定安全区的纵向加密认证的全部隧道,从边界处切断厂站指定安全区数据网的通信通道,实现厂站指定安全区阻断;关闭或删除特定厂站所有安全区的纵向加密认证的全部隧道,从边界处切断厂站与数据网的通信通道,实现整个厂站的阻断。11、本发明同时公开了一种利用前述电力监控系统网络威胁的分级协同处理方法的电力监控系统网络威胁的分级协同处理系统,包括威胁范围确定模块、阻断级别确定模块和分级处置执行模块。12、所述威胁范围确定模块,用于当监测到网络威胁事件时,确定所述网络威胁事件的影响范围;13、所述阻断级别确定模块,用于根据所述影响范围,确定网络威胁的阻断级别,当所述影响范围为单台设备、同一网段的多台设备以及多个网段的多台设备时,确定所述阻断级别分别为单设备级阻断、局部级阻断和区域级阻断;14、所述分级处置执行模块,用于根据网络威胁的位置以及所述阻断级别,对所述网络威胁进行分级处置,当所述位置是主站侧时,所述分级处置包括主站区域阻断、主站设备阻断和主站会话阻断,当所述位置是厂站侧时,所述分级处置包括厂站区域阻断和厂站设备阻断。15、相应地,本申请还公开了一种终端,包括处理器及存储介质;16、所述存储介质用于存储指令;17、所述处理器用于根据所述指令进行操作以执行根据前述电力监控系统网络威胁的分级协同处理方法的步骤。18、相应地,本申请还公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述电力监控系统网络威胁的分级协同处理方法的步骤。19、本发明的有益效果在于,与现有技术相比,本发明提供了一种电力监控系统网络威胁的分级协同处理方法和系统,实现了电力监控系统网络安全威胁的多级阻断与综合管控,设计多级协同威胁阻断功能,用于值班人员现场运维中的分级处置,实现针对主机设备、网络设备、通用安防设备、专用安防设备等多源、多级监控对象的分级处置和安全管控,提升威胁处置效率与准确性,减小了威胁影响范围,最大程度保障电力监控系统的网络安全。技术特征:1.一种电力监控系统网络威胁的分级协同处理方法,其特征在于,包括以下步骤:2.根据权利要求1所述的电力监控系统网络威胁的分级协同处理方法,其特征在于,所述单设备级阻断包括主机设备的会话阻断和连接阻断,所述局部级阻断包括网络设备的网络连接阻断以及端口、ip地址、协议的访问控制,所述区域级阻断包括边界安防设备的阻断控制命令下发,阻断跨区域的连接,阻断策略、隧道和访问控制,所述边界安防设备包括防火墙、隔离设备和纵向加密认证装置。3.根据权利要求2所述的电力监控系统网络威胁的分级协同处理方法,其特征在于,所述主站会话阻断通过主站主机操作系统agent实现,通过i型网络安全监测装置与操作系统agent通信,下发会话阻断命令,agent接收到命令后,进行会话阻断,所述主站会话阻断包括对ssh、x11的会话链接的阻断,阻断类型包括单次阻断、计时阻断以及长期阻断;安全平台下发进程id信息给操作系统agent,操作系统agent关闭指定进程;通过主机设备iptables实现关闭操作系统上指定端口对外的访问和其他设备对本机指定端口的访问;对于下发的每一项指令内容,由网络安全管理平台进行数字签名,操作系统agent进行验签,确定命令来源合法后进行相关阻断操作。4.根据权利要求3所述的电力监控系统网络威胁的分级协同处理方法,其特征在于,所述厂站区域阻断通过网络安全管理平台对厂站数据网边界的纵向加密认证装置进行隧道的管控实现,通过所述纵向加密认证装置关闭或删除特定厂站指定安全区的纵向加密认证的全部隧道,从边界处切断厂站指定安全区数据网的通信通道,实现厂站指定安全区阻断;关闭或删除特定厂站所有安全区的纵向加密认证的全部隧道,从边界处切断厂站与数据网的通信通道,实现整个厂站的阻断。5.一种利用权利要求1-4任一项权利要求所述的电力监控系统网络威胁的分级协同处理方法的电力监控系统网络威胁的分级协同处理系统,包括威胁范围确定模块、阻断级别确定模块和分级处置执行模块,其特征在于:6.根据权利要求5所述的电力监控系统网络威胁的分级协同处理系统,其特征在于,所述单设备级阻断包括主机设备的会话阻断和连接阻断,所述局部级阻断包括网络设备的网络连接阻断以及端口、ip地址、协议的访问控制,所述区域级阻断包括边界安防设备的阻断控制命令下发,阻断跨区域的连接,阻断策略、隧道和访问控制,所述边界安防设备包括防火墙、隔离设备和纵向加密认证装置。7.根据权利要求6所述的电力监控系统网络威胁的分级协同处理系统,其特征在于,所述主站会话阻断通过主站主机操作系统agent实现,通过i型网络安全监测装置与操作系统agent通信,下发会话阻断命令,agent接收到命令后,进行会话阻断,所述主站会话阻断包括对ssh、x11的会话链接的阻断,阻断类型包括单次阻断、计时阻断以及长期阻断;安全平台下发进程id信息给操作系统agent,操作系统agent关闭指定进程;通过主机设备iptables实现关闭操作系统上指定端口对外的访问和其他设备对本机指定端口的访问;对于下发的每一项指令内容,由网络安全管理平台进行数字签名,操作系统agent进行验签,确定命令来源合法后进行相关阻断操作。8.根据权利要求7所述的电力监控系统网络威胁的分级协同处理系统,其特征在于,所述厂站区域阻断通过网络安全管理平台对厂站数据网边界的纵向加密认证装置进行隧道的管控实现,通过所述纵向加密认证装置关闭或删除特定厂站指定安全区的纵向加密认证的全部隧道,从边界处切断厂站指定安全区数据网的通信通道,实现厂站指定安全区阻断;关闭或删除特定厂站所有安全区的纵向加密认证的全部隧道,从边界处切断厂站与数据网的通信通道,实现整个厂站的阻断。9.一种终端,包括处理器及存储介质;其特征在于:10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-4任一项所述的电力监控系统网络威胁的分级协同处理方法的步骤。技术总结一种电力监控系统网络威胁的分级协同处理方法和系统。该方法包括,当监测到网络威胁事件时,确定网络威胁事件的影响范围;根据影响范围,确定网络威胁的阻断级别,当影响范围为单台设备、同一网段的多台设备以及多个网段的多台设备时,确定阻断级别分别为单设备级阻断、局部级阻断和区域级阻断;根据网络威胁的位置以及阻断级别,对网络威胁进行分级处置,当位置是主站侧时,分级处置包括主站区域阻断、主站设备阻断和主站会话阻断,当位置是厂站侧时,分级处置包括厂站区域阻断和厂站设备阻断。本发明的方案实现了多源、多级监控对象的分级处置和安全管控,提升了电力监控系统的安全防护能力。技术研发人员:张静,金学奇,王春艳,梁野,徐以章,由甲川,孔飘红,章杜锡,徐红泉,黄银强,张光洲,王洋,彭俏君,卢楷,王丹,章晓锘,方磊,王一,吕磅,李敏茹,邵立嵩,王景,吴群,陈贵凤,李航受保护的技术使用者:国网浙江省电力有限公司培训中心技术研发日:技术公布日:2024/5/16