[0001] 本发明涉及电网安全防护技术，尤其涉及一种面向电力监控系统的安全策略评估、更新方法及装置。

[0002] 电网作为国家关键基础设施，其安全防御能力不仅仅是网络安全防御设备的叠加，更重要的是各类异构安全设备的协同防御能力和业务系统的整体安全性。

[0003] 目前电网安全防护侧重于物理安全设备防护，存在设备数量多、种类多、协议不一、防护手段单一等特点，安全运维异常复杂，效率低下，各个设备之间无法及时有效的进行协同防护，也无法对具体业务系统进行联动防御。不同设备之间的策略配置存在互相独立、形式多样的特点，缺少业务系统视角的策略配置分析和技防能力评估，无法对业务系统进行整体安全性分析。多种因素表明，目前业务系统的防御方式无法完全满足面向电力监控系统的网络安全防护体系的建设需求。

[0062] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

[0063] 实施例一

[0064] 本实施例提供了一种面向电力监控系统的安全策略评估方法，如图1所示，包括如下步骤：

[0065] S1、对电力监控系统中各网络安全设备进行连接管控，形成资产拓扑结构。

[0066] 为了更好的实现方法，部署服务端和多个客户端来实现，如图2所示，服务端部署在电力监控系统，客户端部署在各网络安全设备。服务端与各客户端之间可通过ssh、https等方式通信，服务端软件在启动时，可按需打开服务端端口，该端口为服务端与各个客户端节点的通信端口，下发指令和接受信息均通过该端口，本发明要求服务端与客户端之间必须可通过ssh、https等方式保证正常通信。

[0067] 具体实施时，服务端首先获取针对电力监控系统部署以及影响电力监控系统的所有网络安全设备；网络安全设备包括：路由器、交换机、网关等网络设备和防火墙、WAF、IPS等技防设备。之后各网络安全设备将各自的设备信息进行上报服务端、；设备上报的资产信息包括：注册密钥、节点地址、设备类型、设备名称、设备运行状态等信息。服务端根据各设备上报的注册密钥信息完成设备的资产注册，及更新相应信息。服务端根据各网络安全设备的路由及上下游相连设备，生成所有网络安全设备的链路信息，结合电力监控系统结构，形成资产拓扑结构，服务端可对资产拓扑结构图进行可视化展示。

[0068] S2、采集各网络安全设备的安全策略信息。

[0069] 具体实施时，可以是服务端向各网络安全设备发送安全策略和配置信息采集请求，客户端返回信息，服务端接收各网络安全设备针对请求回复的信息，也可以时客户端周期性上报各自安全策略信息，或将变动信息实时通知服务端；服务端接收后对各网络安全设备的安全策略信息按照预设方式进行预处理，包括各信息进行去重、降噪、范式化处理，并存储至数据库。

[0070] 可选地，设备的安全策略信息包括：防火墙策略、WAF策略、IPS策略、ACL策略等，其中：

[0071] 防火墙策略：通过管理源地址、目的地址、协议、端口等策略内容，控制数据流能否正常通过设备；

[0072] WAF策略：指WAF设备上的规则策略，包括SQL注入保护、DDoS保护等Web应用安全防护策略；

[0073] IPS策略：指IPS设备上的安全策略，可根据安全时间及时进行旁路阻断；

[0074] ACL策略：指路由器、交换机等网络设备的访问控制列表规则策略。

[0075] 可选地，设备的配置信息包括：NAT(Network Address Translation)、SNMP(Simple Network Management Protocol)、DNS(Domain Name System)、路由等，其中：

[0076] NAT：是指网络地址转换，可用于公有地址和私有地址之间、公有地址与公有地址之间、私有地址与私有地址之间的地址转换；

[0077] SNMP：是指网络管理协议，利用SNMP可远程监控管理支持这种协议的设备；

[0078] DNS：是指域名系统，为其他需要域名解析的模块提供域名解析客户端功能；

[0079] 路由：是指设备上的路由信息，包括静态路由、策略路由等。

[0080] S3、基于资产拓扑结构对各网络安全设备的安全策略信息进行整合，生成面向电力监控系统的安全策略。

[0081] 具体实施时，服务端将网络安全设备的安全策略所属类型进行分类；根据资产拓扑结构，获取网络安全设备之间的串联、并联关系；将串联的网络安全设备的同类型安全策略进行合并，将并联的网络安全设备的同类型安全策略进行叠加；将整个电力监控系统作为一个整体，按照安全策略类型整合其他所有安全策略，例如黑名单最小化计算、白名单最大化计算等计算方式，最终得到面向电力监控系统的策略，包括：电力监控系统web防护策略、开放端口列表、防病毒策略、能访问电力监控系统的IP地址范围、能访问电力监控系统的链路等策略信息。

[0082] S4、基于各网络安全设备的安全策略和面向电力监控系统的安全策略，对各网络安全设备和电力监控系统进行技防能力评估。

[0083] 技防能力评估包括各网络安全设备的技防能力评估和电力监控系统的技防能力评估。

[0084] 各网络安全设备的技防能力评估包括：对于每个网络安全设备的安全策略，模拟安全策略对应的攻击行为进行多次攻击；攻击采用攻击脚本实现，包括已知恶意IP地址、已知恶意端口、注入攻击、跨站请求伪造、恶意域名、已知病毒等类型的攻击脚本；获取网络安全设备的安全策略对攻击行为进行拦截的相关告警数据，按照预设风险评估标准，基于拦截的相关告警数据进行网络安全设备的技防能力评估。针对网络安全设备的防护能力，提出相应的改进建议。

[0085] 电力监控系统的技防能力评估包括：根据资产拓扑结构图，获取从外部地址到电力监控系统的模拟攻击路径，并伪装外部地址对模拟攻击路径进行多次攻击；获取面向电力监控系统的安全策略针对攻击行为进行拦截的相关告警数据，按照预设风险评估标准，基于拦截的相关告警数据进行电力监控系统的技防能力评估。针对电力监控系统防护存在的问题和防护能力，提出相应的改进建议。

[0086] 其中，风险评估标准为现有技术中任意可评估风险的标准，在此不再赘述。针对技防能力评估结果，提供技防设施安全防护能力报告，包括设备资产的策略有效性、主机风险、漏洞风险、配置风险、脆弱性等情况。

[0087] S5、基于各网络安全设备的安全策略和面向电力监控系统的安全策略，对各网络安全设备和电力监控系统进行防御能力评估。

[0088] 具体实施时，对各网络安全设备的安全策略进行防御能力分析，包括统计分析、差异分析和暴露面分析，以及；根据防御能力分析结果，利用安全策略数据库进行对比，评估各网络安全设备的防御能力；由点及面，检查电力监控系统的系统边界是否存在策略漏洞，并与安全策略数据库进行对比，评估电力监控系统的防御能力。根据评估的防御能力，提供防御改进建议，包括策略优化建议、电力监控系统端口改进建议等。

[0089] 本实施例通过面向电力监控系统的安全性评估方法，能有效分析攻击流量的可达和防护生效情况，验证现有技防设施防护成效，提升现有布防结构健壮性和设备策略有效性。

[0090] 实施例二

[0091] 本实施例提供了一种面向电力监控系统的安全策略更新方法，如图3所示，包括如下步骤：

[0092] S1、按照实施例一所述的面向电力监控系统的安全策略评估方法，对各网络安全设备进行技防能力评估和防御能力评估。

[0093] S2、根据技防能力评估和防御能力评估结果，制定各网络安全设备的安全策略更新信息。

[0094] 根据技防能力评估和防御能力评估结果可以知道网络安全设备的安全策略的漏洞、防御情况、改进建议等，知道其需要更新和改进的地方在哪里，根据该信息可生成安全策略更新信息。

[0095] S3、根据安全策略更新信息生成策略更新可执行文件，将策略更新可执行文件下发至对应网络安全设备，实现网络安全设备的安全策略的更新。

[0096] 在服务端设置策略更新信息模版，每种类型设置一个策略更新信息模板，根据安全策略更新信息，将对应类型的策略更新信息模版中的策略更新相关参数补充完整，服务端根据策略更新信息模版和策略更新相关参数生成策略更新可执行文件，具体可以为脚本，并将策略更新可执行文件下发至对应网络安全设备。网络安全设备收到执行脚本后，客户端软件自动执行脚本，并反馈执行结果至服务端。

[0097] S4、按照实施例一所述的面向电力监控系统的安全策略评估方法，对面向电力监控系统的安全策略进行技防能力评估和防御能力评估。

[0098] S5、根据技防能力评估和防御能力评估结果，制定电力监控系统的安全策略更新信息。

[0099] 技防能力评估和防御能力评估可以以检测网络安全设备链路的整体安全性和电力监控系统的自身安全性，并形成针对电力监控系统的评估报告和相应的建议。根据该建议生成安全策略更新信息。

[0100] S6、根据电力监控系统的安全策略更新信息，从业务系统的边界、业务组、本体多个层面进行分解分析，生成对应到具体网络安全设备的策略更新可执行文件。

[0101] 服务端对新策略或变更策略进行校核分析，判断是否对电力监控系统存在影响、或达到预期策略效果。如果确认可以达到，再进行后续步骤。

[0102] 服务端会建立针对电力监控系统的策略更新信息模版，在生成策略更新可执行文件时，根据安全策略更新信息，将对应类型的策略更新信息模版中的策略更新相关参数补充完整。之后从业务系统的边界、业务组、本体多个层面进行分解分析，由面到点，生成对应到具体网络安全设备的策略更新可执行文件，例如脚本。

[0103] 其中，边界：是指业务系统对外连接的节点或节点之间的连接关系；业务组：是指服务端对资产进行分类管理所区分的不同业务分组；本体：是指业务系统内部的不同资产或节点。

[0104] S7、将策略更新可执行文件下发至对应网络安全设备，实现电力监控系统的安全策略的更新。

[0105] 各网络安全设备客户端执行收到的策略更新可执行文件，实现电力监控系统的安全策略的更新，并返回执行结果至服务端。

[0106] 实施例三

[0107] 本实施例提供了一种面向电力监控系统的安全策略评估装置，如图4所示，包括：

[0108] 拓扑结构生成模块，用于对电力监控系统中各网络安全设备进行连接管控，形成资产拓扑结构；

[0109] 策略采集模块，用于采集各网络安全设备的安全策略信息；

[0110] 安全策略整合模块，用于基于资产拓扑结构对各网络安全设备的安全策略信息进行整合，生成面向电力监控系统的安全策略；

[0111] 技防能力评估模块，用于基于各网络安全设备的安全策略和面向电力监控系统的安全策略，对各网络安全设备和电力监控系统进行技防能力评估；

[0112] 防御能力评估评估模块，用于基于各网络安全设备的安全策略和面向电力监控系统的安全策略，对各网络安全设备和电力监控系统进行防御能力评估。

[0113] 本实施例的装置与实施例一的服务端作用相同，可采用软件和/或硬件的方式实现，可以配置于终端设备中，用于执行本发明实施例一所提供的方法，具备执行方法相应的功能和有益效果。

[0114] 值得注意的是，上述确定装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

[0115] 实施例四

[0116] 本实施例提供了一种面向电力监控系统的安全策略更新装置，如图5所示，包括：

[0117] 第一评估模块，用于按照实施例一所述的面向电力监控系统的安全策略评估方法，对各网络安全设备进行技防能力评估和防御能力评估；

[0118] 第一安全策略更新信息生成模块，用于根据第一评估模块结果，制定各网络安全设备的安全策略更新信息；

[0119] 第一策略更新文件生成模块，用于根据安全策略更新信息生成策略更新可执行文件；

[0120] 第一策略更新文件下发模块，用于将策略更新可执行文件下发至对应网络安全设备，实现网络安全设备的安全策略的更新；

[0121] 第二评估模块，用于按照实施例一所述的面向电力监控系统的安全策略评估方法，对面向电力监控系统的安全策略进行技防能力评估和防御能力评估；

[0122] 第二安全策略更新信息生成模块，用于根据技防能力评估和防御能力评估结果，制定电力监控系统的安全策略更新信息；

[0123] 第二策略更新文件生成模块，用于根据电力监控系统的安全策略更新信息，从业务系统的边界、业务组、本体等多个层面进行分解分析，生成对应到具体网络安全设备的策略更新可执行文件；

[0124] 第二策略更新文件下发模块，用于将策略更新可执行文件下发至对应网络安全设备，实现电力监控系统的安全策略的更新。

[0125] 本实施例的装置与实施例二的方法一一对应，可采用软件和/或硬件的方式实现，可以配置于终端设备中，用于执行本发明实施例二所提供的方法，具备执行方法相应的功能和有益效果。

[0126] 值得注意的是，上述确定装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

[0127] 可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，程序设计语言包括面向对象的程序设计语言，诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言，诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)，连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。