CN113098980A - 用于电力监控系统的便携式安全运维系统 - Google Patents
用于电力监控系统的便携式安全运维系统 Download PDFInfo
- Publication number
- CN113098980A CN113098980A CN202110518337.1A CN202110518337A CN113098980A CN 113098980 A CN113098980 A CN 113098980A CN 202110518337 A CN202110518337 A CN 202110518337A CN 113098980 A CN113098980 A CN 113098980A
- Authority
- CN
- China
- Prior art keywords
- maintenance
- module
- risk
- sshenc
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开了一种用于电力监控系统的便携式安全运维系统,包括安全运维监测代理模块和安全运维网关模块;安全运维监测代理模块设置在运维终端上,用于配合安全运维网关模块进行监测;安全运维网关模块设置在运维终端与被运维对象之间,用于实时识别与阻断运维工作中的风险操作。本发明具备对多种电力工控协议高风险指令分析能力,降低了由于运维误操作带来的异常跳闸等风险;设计了USB安全区机制,杜绝了电力运维现场由于外接U盘引入的病毒传播等风险;设计了更灵活的运维人员身份管控方法、运维记录留存方式等,对运维工作影响更小,运维记录更实用,而且安全性高、可操作性好、灵活度搞而且稳定可靠。
Description
技术领域
本发明属于电气自动化领域,具体涉及一种用于电力监控系统的便携式安全运维系统。
背景技术
随着经济技术的发展和人们生活水平的提高,电能已经成为了人们生产和生活中必不可少的二次能源,给人们的生产和生活带来了无尽的便利。因此,电力系统的稳定可靠运行,就成为了电力系统最重要的任务之一。
在变电站、电厂等地点开展电力监控系统运维时,通常需要接入便携式电脑等运维终端。但是,由于外接的运维终端来源复杂,因此安全管控困难,容易发生病毒传播及网络外联等高风险行为。此时,如果外来运维终端成功接入了核心控制区,其所导致的网络安全事件可能进一步造成跳闸断电等严重后果。因此,对电力监控系统的现场运维进行有效安全防护,至关重要。
由于变电站及电厂数量众多且分布广泛,传统的固定式运维堡垒机并不适用,需采用便携式安全运维系统。便携式安全运维系统部署于被运维对象与运维终端之间,起到网络连接管控与运维过程记录的作用。但已有的便携式安全运维系统存在以下三方面局限:一是仅对运维连接的源地址、目的地址及端口进行大范围的粗粒度限制,缺乏对电力工控高风险运维指令的深度识别与阻断;二是在运维终端使用U盘向被运维对象传输文件时,无法有效针对电力工控病毒进行识别与阻断;三是业务流程设计不贴合变电站及电厂运维实际情况,导致系统工作和使用极其麻烦,运维不灵活等问题。
发明内容
本发明的目的在于提供一种安全性高、可操作性好、灵活度高且稳定可靠的用于电力监控系统的便携式安全运维系统。
本发明提供的这种用于电力监控系统的便携式安全运维系统,包括安全运维监测代理模块和安全运维网关模块;安全运维监测代理模块设置在运维终端上,用于配合安全运维网关模块进行监测;安全运维网关模块设置在运维终端与被运维对象之间,用于实时识别与阻断运维工作中的风险操作。
所述的安全运维网关模块包括运维流量风险管控模块、USB管理模块、运维人员身份认证模块、审计记录模块和基础管理功能模块;运维流量风险管控模块、USB管理模块、运维人员身份认证模块和审计记录模块均连接基础管理功能模块;运维流量风险管控模块用于实现运维对象管控与风险指令识别;USB管理模块用于进行USB数据传输过程的管理;运维人员身份认证模块用于对运维过程中的人员身份进行认证;审计记录模块用于生成运维任务的审计报表,并记录运维过程;基础管理功能模块用于给所述电力监控系统的便携式安全运维系统提供数据和服务支撑。
所述的运维流量风险管控模块包括运维对象管控模块、电力运维风险指令监测模块和工控病毒监测模块;运维对象管控模块用于实现网口与串口的运维管控;电力运维风险指令监测模块用于实时分析风险指令,并对识别出的风险指令进行管控;工控病毒监测模块用于对运维过程中出现的病毒进行管控。
所述的运维对象管控模块用于实现网口与串口的运维管控,具体为采用如下步骤进行管控:
针对网口连接方式:运维人员在用于电力监控系统的便携式安全运维系统中配置运维对象的IP地址、运维终端使用的IP地址、运维协议类型与目的端口号;然后当设置的端口号属于设定的高危端口号时,进行报警;
针对串口连接方式:运维人员在用于电力监控系统的便携式安全运维系统中配置需要使用的串口端口号;通过控制底层网卡及串口,仅允许启动所配置的网络连接及串口。
所述的电力运维风险指令监测模块用于实时分析风险指令,并对识别出的风险指令进行管控,具体为采用如下步骤进行管控:
在网口连接或串口连接建立后,流量经过电力工控协议解析后,识别出该流量的具体类型,然后通过协议解析引擎将非加密流量解析到协议字段级别,从而识别出协议指令;然后将得到的协议指令与设置的高风险指令清单进行比对:若比对匹配成功,则记录,并针对该条指令进行阻断或报警;若流量为加密流量,则由安全运维监测代理模块进行风险指令匹配与处置。
所述的由安全运维监测代理模块进行风险指令匹配与处置,具体包括恢复会话密钥和实时解密流量两个阶段:
阶段一:恢复会话密钥阶段,具体实施过程如下:安全运维监测代理模块在终端上自动HOOK SSH进程,此时搜索到SSH进程的整个内存空间;通过sshenc结构体内部可验证的属性,在堆内存上搜索sshenc结构体;
所述的属性名称和长度包括:
Char*name-4字节;Const struct sshcipher*cipher-4字节;
Int enabled-4字节;U_int key_len-4字节;
U_int iv_len-4字节;U_int block_size-4字节;
U_char*key-4字节;U_char*iv-4字节;
获取sshenc结构体的步骤如下:
步骤1:在堆内存上获取一段连续可读的地址段,起始地址为region_start,结束地址为region_end;设置滑动指针ptr初始值等于region_start;
步骤2:ssh_enc_size为sshenc结构体的固定长度,若ptr+ssh_enc_size<region_end,则进入步骤3,否则进入步骤1;
步骤3:按sshenc结构体中每个属性的长度和排列顺序,将从地址为ptr到ptr+ssh_enc_size之间的字节,构成一个sshenc结构体;
步骤4:sshenc.name属性指向的字符串与预置的name字典进行匹配:若读到的sshenc.name字符串不在字典中,则搜索失败,进入步骤9;否则,不同的sshenc.name指定了不同的key_len和block_size值,为了区分将其命名为fix_key_len和fix_block_size;
步骤5:sshenc.cipher指向一个sshcipher结构体指针,结构体的第一个属性为cipher_name字符串指针,若cipher_name指向的字符串与sshenc.name的不同,则搜索失败,进入步骤9;
步骤6:若sshenc.key_len与步骤4中获得的fix_key_len不等,则搜索失败,进入步骤9;
步骤7:若sshenc.block_size与步骤4中获得的fix_block_size不等,则搜索失败,进入步骤9;
步骤8:通过sshenc.key及sshenc.key_len,读取到key值;通过sshenc.iv及sshenc.iv_len,读取到iv值;sshenc结构体搜索成功,搜索过程结束;
步骤9:ptr=ptr+4,转入步骤2;
在成功获取加密秘钥后,进入第二阶段-解析加密流量:安全运维监测代理模块实时从网卡读取流量数据,对于其中使用ssh协议进行传输的流量,将遍历在前一阶段搜索到的所有key尝试解密;解密成功后的工控高风险指令匹配流程,与明文协议的相同。
所述的工控病毒监测模块用于对运维过程中出现的病毒进行管控,具体为采用如下步骤进行管控:
对于明文文件传输协议,则直接对流量中的文件进行工控病毒扫描:若发现病毒,则直接进行阻断或报警;
对于加密文件传输协议,则由安全运维监测代理模块进行工控病毒监测。
所述的由安全运维监测代理模块进行工控病毒监测,具体为使用与前述风险指令匹配模块中相同的密钥提取及流量解密步骤,提取流量中的文件,进行工控病毒扫描和匹配。
所述的USB管理模块将USB接口分为外部USB口和内部USB口;外部USB口用于连接运维人员的U盘,内部USB口用于连接被运维对象的USB接口;通过对文件夹权限进行限制,仅允许从外部USB盘拷入或拷出文件,并禁止从外部USB盘执行程序;对所有从外部USB盘拷入运维对象的文件进行病毒检测:若发现病毒,则直接禁止对应文件的拷入,并报警。
所述的运维人员身份认证模块对用户名、密码和指纹进行提前录入,从而实现对运维主体单位内部人员的双因子身份认证;同时仅记录并识别身份证信息并记录实际运维操作人员,实现对第三方厂家运维人员的管控。
所述的审计记录模块采用屏幕录制、网口及串口流量审计、外部设备接入审计、工作票及工作记录图像留存的方式进行审计记录。
本发明提供的这种用于电力监控系统的便携式安全运维系统,具备对多种电力工控协议高风险指令分析能力,可极大程度降低由于运维误操作带来的异常跳闸等风险;同时设计了USB安全区机制,可杜绝电力运维现场由于外接U盘引入的病毒传播等风险;最后,本发明设计了更灵活的运维人员身份管控方法、运维记录留存方式等,对电力监控系统现场运维工作影响更小,运维记录更适合审计人员进行安全事件调查与常态审计;因此本发明安全性高、可操作性好、灵活度搞而且稳定可靠。
附图说明
图1为本发明系统的功能模块图。
具体实施方式
如图1所示为本发明系统的功能模块图:本发明提供的这种用于电力监控系统的便携式安全运维系统,包括安全运维监测代理模块和安全运维网关模块;安全运维监测代理模块设置在运维终端上,用于配合安全运维网关模块进行监测;安全运维网关模块设置在运维终端与被运维对象之间,用于实时识别与阻断运维工作中的风险操作。
具体实施时,安全运维网关模块包括运维流量风险管控模块、USB管理模块、运维人员身份认证模块、审计记录模块和基础管理功能模块;运维流量风险管控模块、USB管理模块、运维人员身份认证模块和审计记录模块均连接基础管理功能模块;运维流量风险管控模块用于实现运维对象管控与风险指令识别;USB管理模块用于进行USB数据传输过程的管理;运维人员身份认证模块用于对运维过程中的人员身份进行认证;审计记录模块用于生成运维任务的审计报表,并记录运维过程;基础管理功能模块用于给所述电力监控系统的便携式安全运维系统提供数据和服务支撑。
运维流量风险管控模块包括运维对象管控模块、电力运维风险指令监测模块和工控病毒监测模块;运维对象管控模块用于实现网口与串口的运维管控;电力运维风险指令监测模块用于实时分析风险指令,并对识别出的风险指令进行管控;工控病毒监测模块用于对运维过程中出现的病毒进行管控。
运维对象管控模块采用如下步骤进行管控:
针对网口连接方式:运维人员在用于电力监控系统的便携式安全运维系统中配置运维对象的IP地址、运维终端使用的IP地址、运维协议类型(IEC103、IEC104、ssh、Telnet等)与目的端口号;然后当设置的端口号属于设定的高危端口号(如445等)时,进行报警;
针对串口连接方式:运维人员在用于电力监控系统的便携式安全运维系统中配置需要使用的串口端口号;通过控制底层网卡及串口,仅允许启动所配置的网络连接及串口。
电力运维风险指令监测模块采用如下步骤进行管控:
在网口连接或串口连接建立后,流量经过电力工控协议解析后,识别出该流量的具体类型(包括IEC103、IEC104、IEC61850、Modbus、ssh、Telnet、Rlogin等协议),然后通过协议解析引擎将非加密流量解析到协议字段级别,从而识别出协议指令;然后将得到的协议指令与设置的高风险指令清单进行比对:若比对匹配成功,则记录,并针对该条指令进行阻断或报警;若流量为加密流量,则由安全运维监测代理模块进行风险指令匹配与处置。
具体实施时,安全运维监测代理模块采用如下步骤进行监测:具体包括恢复会话密钥和实时解密流量两个阶段:
阶段一:恢复会话密钥阶段,具体实施过程如下:安全运维监测代理模块在终端上自动HOOK SSH进程,此时搜索到SSH进程的整个内存空间;通过sshenc结构体内部可验证的属性,在堆内存上搜索sshenc结构体;
所述的属性名称和长度包括:
Char*name-4字节;Const struct sshcipher*cipher-4字节;
Int enabled-4字节;U_int key_len-4字节;
U_int iv_len-4字节;U_int block_size-4字节;
U_char*key-4字节;U_char*iv-4字节;
获取sshenc结构体的步骤如下:
步骤1:在堆内存上获取一段连续可读的地址段,起始地址为region_start,结束地址为region_end;设置滑动指针ptr初始值等于region_start;
步骤2:ssh_enc_size为sshenc结构体的固定长度,若ptr+ssh_enc_size<region_end,则进入步骤3,否则进入步骤1;
步骤3:按sshenc结构体中每个属性的长度和排列顺序,将从地址为ptr到ptr+ssh_enc_size之间的字节,构成一个sshenc结构体;
步骤4:sshenc.name属性指向的字符串与预置的name字典进行匹配:若读到的sshenc.name字符串不在字典中,则搜索失败,进入步骤9;否则,不同的sshenc.name指定了不同的key_len和block_size值,为了区分将其命名为fix_key_len和fix_block_size;
步骤5:sshenc.cipher指向一个sshcipher结构体指针,结构体的第一个属性为cipher_name字符串指针,若cipher_name指向的字符串与sshenc.name的不同,则搜索失败,进入步骤9;
步骤6:若sshenc.key_len与步骤4中获得的fix_key_len不等,则搜索失败,进入步骤9;
步骤7:若sshenc.block_size与步骤4中获得的fix_block_size不等,则搜索失败,进入步骤9;
步骤8:通过sshenc.key及sshenc.key_len,读取到key值;通过sshenc.iv及sshenc.iv_len,读取到iv值;sshenc结构体搜索成功,搜索过程结束;
步骤9:ptr=ptr+4,转入步骤2;
在成功获取加密秘钥后,进入第二阶段-解析加密流量:安全运维监测代理模块实时从网卡读取流量数据,对于其中使用ssh协议进行传输的流量,将遍历在前一阶段搜索到的所有key尝试解密;解密成功后的工控高风险指令匹配流程,与明文协议的相同;
工控病毒监测模块采用如下步骤进行管控:
对于明文文件传输协议,则直接对流量中的文件进行工控病毒扫描:若发现病毒,则直接进行阻断或报警;
对于加密文件传输协议,则由安全运维监测代理模块进行工控病毒监测。
具体实施时,安全运维监测代理模块采用如下步骤进行工控病毒监测:使用与前述风险指令匹配模块中相同的密钥提取及流量解密步骤,提取流量中的文件,进行工控病毒扫描和匹配。
USB管理模块将USB接口分为外部USB口和内部USB口;外部USB口用于连接运维人员的U盘,内部USB口用于连接被运维对象的USB接口;通过对文件夹权限进行限制,仅允许从外部USB盘拷入或拷出文件,并禁止从外部USB盘执行程序;对所有从外部USB盘拷入运维对象的文件进行病毒检测:若发现病毒,则直接禁止对应文件的拷入,并报警。
运维人员身份认证模块对用户名、密码和指纹进行提前录入,从而实现对运维主体单位内部人员的双因子身份认证;同时仅记录并识别身份证信息并记录实际运维操作人员,实现对第三方厂家运维人员的管控。
审计记录模块采用屏幕录制、网口及串口流量审计、外部设备接入审计、工作票及工作记录图像留存的方式进行审计记录;
具体实施时,采用屏幕录制、网络及串口流量审计、外部设备接入审计、工作票及工作记录图像留存等方式进行审计记录;由于电力现场运维约80%采用图形化界面方式进行,因此屏幕录制是运维记录的重要部分;用视频线(VGA或HDMI)将运维终端与安全运维网关模块连接起来,安全运维网关模块将对传输来的运维终端实时图像进行展示及记录;模块将输出高风险指令告警、工控病毒告警、关键流量包等流量审计结果,USB管理模块将输出USB插拔记录、文件传输记录、危险文件告警等审计记录,运维人员身份认证模块将输出本次运维人员组成等记录情况;同时,安全运维网关模块可对现场产生的纸质工作记录、工作票进行图像留存,并关联到相应运维任务;当一次运维任务结束后,审计记录模块可生成针对本次运维任务的审计报表,包含运维时间、地点、风险告警等内容。
对于基础管理功能模块,其主要是提供基础服务,包括数据支撑、服务支撑、底层架构和数据处理等通用服务。
Claims (10)
1.一种用于电力监控系统的便携式安全运维系统,其特征在于包括安全运维监测代理模块和安全运维网关模块;安全运维监测代理模块设置在运维终端上,用于配合安全运维网关模块进行监测;安全运维网关模块设置在运维终端与被运维对象之间,用于实时识别与阻断运维工作中的风险操作。
2.根据权利要求1所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的安全运维网关模块包括运维流量风险管控模块、USB管理模块、运维人员身份认证模块、审计记录模块和基础管理功能模块;运维流量风险管控模块、USB管理模块、运维人员身份认证模块和审计记录模块均连接基础管理功能模块;运维流量风险管控模块用于实现运维对象管控与风险指令识别;USB管理模块用于进行USB数据传输过程的管理;运维人员身份认证模块用于对运维过程中的人员身份进行认证;审计记录模块用于生成运维任务的审计报表,并记录运维过程;基础管理功能模块用于给所述电力监控系统的便携式安全运维系统提供数据和服务支撑。
3.根据权利要求2所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的运维流量风险管控模块包括运维对象管控模块、电力运维风险指令监测模块和工控病毒监测模块;运维对象管控模块用于实现网口与串口的运维管控;电力运维风险指令监测模块用于实时分析风险指令,并对识别出的风险指令进行管控;工控病毒监测模块用于对运维过程中出现的病毒进行管控。
4.根据权利要求3所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的运维对象管控模块用于实现网口与串口的运维管控,具体为采用如下步骤进行管控:
针对网口连接方式:运维人员在用于电力监控系统的便携式安全运维系统中配置运维对象的IP地址、运维终端使用的IP地址、运维协议类型与目的端口号;然后当设置的端口号属于设定的高危端口号时,进行报警;
针对串口连接方式:运维人员在用于电力监控系统的便携式安全运维系统中配置需要使用的串口端口号;通过控制底层网卡及串口,仅允许启动所配置的网络连接及串口。
5.根据权利要求4所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的电力运维风险指令监测模块用于实时分析风险指令,并对识别出的风险指令进行管控,具体为采用如下步骤进行管控:
在网口连接或串口连接建立后,流量经过电力工控协议解析后,识别出该流量的具体类型,然后通过协议解析引擎将非加密流量解析到协议字段级别,从而识别出协议指令;然后将得到的协议指令与设置的高风险指令清单进行比对:若比对匹配成功,则记录,并针对该条指令进行阻断或报警;若流量为加密流量,则由安全运维监测代理模块进行风险指令匹配与处置。
6.根据权利要求5所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的由安全运维监测代理模块进行风险指令匹配与处置,具体包括恢复会话密钥和实时解密流量两个阶段:
阶段一:恢复会话密钥阶段,具体实施过程如下:安全运维监测代理模块在终端上自动HOOKSSH进程,此时搜索到SSH进程的整个内存空间;通过sshenc结构体内部可验证的属性,在堆内存上搜索sshenc结构体;
所述的属性名称和长度包括:
Char*name-4字节;Const struct sshcipher*cipher-4字节;
Int enabled-4字节;U_int key_len-4字节;
U_int iv_len-4字节;U_int block_size-4字节;
U_char*key-4字节;U_char*iv-4字节;
获取sshenc结构体的步骤如下:
步骤1:在堆内存上获取一段连续可读的地址段,起始地址为region_start,结束地址为region_end;设置滑动指针ptr初始值等于region_start;
步骤2:ssh_enc_size为sshenc结构体的固定长度,若ptr+ssh_enc_size<region_end,则进入步骤3,否则进入步骤1;
步骤3:按sshenc结构体中每个属性的长度和排列顺序,将从地址为ptr到ptr+ssh_enc_size之间的字节,构成一个sshenc结构体;
步骤4:sshenc.name属性指向的字符串与预置的name字典进行匹配:若读到的sshenc.name字符串不在字典中,则搜索失败,进入步骤9;否则,不同的sshenc.name指定了不同的key_len和block_size值,为了区分将其命名为fix_key_len和fix_block_size;
步骤5:sshenc.cipher指向一个sshcipher结构体指针,结构体的第一个属性为cipher_name字符串指针,若cipher_name指向的字符串与sshenc.name的不同,则搜索失败,进入步骤9;
步骤6:若sshenc.key_len与步骤4中获得的fix_key_len不等,则搜索失败,进入步骤9;
步骤7:若sshenc.block_size与步骤4中获得的fix_block_size不等,则搜索失败,进入步骤9;
步骤8:通过sshenc.key及sshenc.key_len,读取到key值;通过sshenc.iv及sshenc.iv_len,读取到iv值;sshenc结构体搜索成功,搜索过程结束;
步骤9:ptr=ptr+4,转入步骤2;
在成功获取加密秘钥后,进入第二阶段-解析加密流量:安全运维监测代理模块实时从网卡读取流量数据,对于其中使用ssh协议进行传输的流量,将遍历在前一阶段搜索到的所有key尝试解密;解密成功后的工控高风险指令匹配流程,与明文协议的相同。
7.根据权利要求6所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的工控病毒监测模块用于对运维过程中出现的病毒进行管控,具体为采用如下步骤进行管控:
对于明文文件传输协议,则直接对流量中的文件进行工控病毒扫描:若发现病毒,则直接进行阻断或报警;
对于加密文件传输协议,则由安全运维监测代理模块进行工控病毒监测。
8.根据权利要求7所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的由安全运维监测代理模块进行工控病毒监测,具体为使用与前述风险指令匹配模块中相同的密钥提取及流量解密步骤,提取流量中的文件,进行工控病毒扫描和匹配。
9.根据权利要求8所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的USB管理模块将USB接口分为外部USB口和内部USB口;外部USB口用于连接运维人员的U盘,内部USB口用于连接被运维对象的USB接口;通过对文件夹权限进行限制,仅允许从外部USB盘拷入或拷出文件,并禁止从外部USB盘执行程序;对所有从外部USB盘拷入运维对象的文件进行病毒检测:若发现病毒,则直接禁止对应文件的拷入,并报警。
10.根据权利要求9所述的用于电力监控系统的便携式安全运维系统,其特征在于所述的运维人员身份认证模块对用户名、密码和指纹进行提前录入,从而实现对运维主体单位内部人员的双因子身份认证;同时仅记录并识别身份证信息并记录实际运维操作人员,实现对第三方厂家运维人员的管控;所述的审计记录模块采用屏幕录制、网口及串口流量审计、外部设备接入审计、工作票及工作记录图像留存的方式进行审计记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110518337.1A CN113098980B (zh) | 2021-05-12 | 2021-05-12 | 用于电力监控系统的便携式安全运维系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110518337.1A CN113098980B (zh) | 2021-05-12 | 2021-05-12 | 用于电力监控系统的便携式安全运维系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113098980A true CN113098980A (zh) | 2021-07-09 |
| CN113098980B CN113098980B (zh) | 2022-08-02 |
Family
ID=76665443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110518337.1A Active CN113098980B (zh) | 2021-05-12 | 2021-05-12 | 用于电力监控系统的便携式安全运维系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113098980B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113765780A (zh) * | 2021-09-27 | 2021-12-07 | 北京珞安科技有限责任公司 | 一种基于物联网的便携式运维网关 |
| CN115118509A (zh) * | 2022-06-29 | 2022-09-27 | 国网河南省电力公司电力科学研究院 | 变电站二次设备调试文件权限检测方法及安全管控装置 |
| CN116016101A (zh) * | 2022-12-14 | 2023-04-25 | 南京南瑞继保工程技术有限公司 | 一种运维网关免配置运维方法、系统、装置及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086197A1 (en) * | 2003-09-30 | 2005-04-21 | Toufic Boubez | System and method securing web services |
| EP1641215A2 (en) * | 2004-09-28 | 2006-03-29 | Layer 7 Technologies, Inc. | System and method for bridging identities in a service oriented architecture |
| CN101494624A (zh) * | 2008-10-22 | 2009-07-29 | 珠海市鸿瑞信息技术有限公司 | 电力专用公网通信安全网关 |
| CN109617918A (zh) * | 2019-01-21 | 2019-04-12 | 深圳锚丁科技工程有限公司 | 一种安全运维网关及其运维方法 |
| CN209803662U (zh) * | 2019-05-10 | 2019-12-17 | 国家电网有限公司 | 一种变电站数据安全隔离的手持终端 |
| CN110611665A (zh) * | 2019-08-30 | 2019-12-24 | 杭州希益丰新业科技有限公司 | 一种电力二次系统远动运维的安全运维网关的方法 |
| CN111062504A (zh) * | 2019-12-31 | 2020-04-24 | 国电南瑞科技股份有限公司 | 一种基于ar技术的智能配电站运维系统及方法 |
| CN111435390A (zh) * | 2019-01-11 | 2020-07-21 | 中国电力科学研究院有限公司 | 一种配电终端运维工具安全防护方法 |
| CN111710122A (zh) * | 2020-04-30 | 2020-09-25 | 国网天津市电力公司 | 一种基于泛在电力物联网的安全用电管理系统 |
| CN112422527A (zh) * | 2020-11-03 | 2021-02-26 | 中国南方电网有限责任公司 | 变电站电力监控系统的安全防护系统、方法和装置 |
-
2021
- 2021-05-12 CN CN202110518337.1A patent/CN113098980B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086197A1 (en) * | 2003-09-30 | 2005-04-21 | Toufic Boubez | System and method securing web services |
| EP1641215A2 (en) * | 2004-09-28 | 2006-03-29 | Layer 7 Technologies, Inc. | System and method for bridging identities in a service oriented architecture |
| CN101494624A (zh) * | 2008-10-22 | 2009-07-29 | 珠海市鸿瑞信息技术有限公司 | 电力专用公网通信安全网关 |
| CN111435390A (zh) * | 2019-01-11 | 2020-07-21 | 中国电力科学研究院有限公司 | 一种配电终端运维工具安全防护方法 |
| CN109617918A (zh) * | 2019-01-21 | 2019-04-12 | 深圳锚丁科技工程有限公司 | 一种安全运维网关及其运维方法 |
| CN209803662U (zh) * | 2019-05-10 | 2019-12-17 | 国家电网有限公司 | 一种变电站数据安全隔离的手持终端 |
| CN110611665A (zh) * | 2019-08-30 | 2019-12-24 | 杭州希益丰新业科技有限公司 | 一种电力二次系统远动运维的安全运维网关的方法 |
| CN111062504A (zh) * | 2019-12-31 | 2020-04-24 | 国电南瑞科技股份有限公司 | 一种基于ar技术的智能配电站运维系统及方法 |
| CN111710122A (zh) * | 2020-04-30 | 2020-09-25 | 国网天津市电力公司 | 一种基于泛在电力物联网的安全用电管理系统 |
| CN112422527A (zh) * | 2020-11-03 | 2021-02-26 | 中国南方电网有限责任公司 | 变电站电力监控系统的安全防护系统、方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| LEI CHEN: "Based on ZigBee wireless sensor network the monitoring system design for chemical production process toxic and harmful gas", 《2010 INTERNATIONAL CONFERENCE ON COMPUTER, MECHATRONICS, CONTROL AND ELECTRONIC ENGINEERING》 * |
| 郭丽: "基于USBKEY的安全认证网关的设计", 《信息科技》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113765780A (zh) * | 2021-09-27 | 2021-12-07 | 北京珞安科技有限责任公司 | 一种基于物联网的便携式运维网关 |
| CN115118509A (zh) * | 2022-06-29 | 2022-09-27 | 国网河南省电力公司电力科学研究院 | 变电站二次设备调试文件权限检测方法及安全管控装置 |
| CN116016101A (zh) * | 2022-12-14 | 2023-04-25 | 南京南瑞继保工程技术有限公司 | 一种运维网关免配置运维方法、系统、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113098980B (zh) | 2022-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113098980B (zh) | 用于电力监控系统的便携式安全运维系统 | |
| CN101401061B (zh) | 级联安全体系结构 | |
| US7496575B2 (en) | Application instrumentation and monitoring | |
| CN104751036B (zh) | 一种计算机信息安全系统 | |
| KR100783446B1 (ko) | 유에스비 디바이스를 이용한 데이터 보안 시스템, 장치 및방법 | |
| WO2009136258A1 (en) | Method and apparatus for dump and log anonymization (dala) | |
| CN109063476A (zh) | 一种保证信息安全的计算机系统 | |
| CN103413088A (zh) | 一种计算机文档操作安全审计系统 | |
| CN106941476B (zh) | 一种sftp数据采集及审计的方法及系统 | |
| CN116032464A (zh) | 一种基于量子通信的物业数据加密系统 | |
| CN108390857B (zh) | 一种高敏感网络向低敏感网络导出文件的方法和装置 | |
| CN116662957A (zh) | 身份认证方法、装置、计算机可读存储介质及计算机设备 | |
| CN111046405B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| JP2006094258A (ja) | 端末装置、そのポリシー強制方法およびそのプログラム | |
| CN204680024U (zh) | 基于动态人脸识别技术的计算机安全防范与预警系统 | |
| CN103457723B (zh) | 一种加密方法及以其为基础的加密设备 | |
| CN110874483A (zh) | 一种防止个人信息泄露的方法和装置 | |
| CN114297687A (zh) | 数据传输系统和数据传输方法 | |
| CN111061593B (zh) | 一种电子取证系统及方法 | |
| CN112287346A (zh) | 一种基于irp分析的加密勒索软件实时监测系统及方法 | |
| KR101612893B1 (ko) | 개인정보 스캔 시스템 및 스캔 방법 | |
| CN108777621A (zh) | 一种获取支付工具支付宝交易记录的方法 | |
| CN115250467A (zh) | 数据处理方法、装置、电子设备和计算机可读存储介质 | |
| CN111062008B (zh) | 一种远程电子取证系统及方法 | |
| CN113127841A (zh) | 远程管理软件用户的方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |