网络安全态势感知系统[发明专利]

(12)发明专利申请

(10)申请公布号 CN 110049015 A(43)申请公布日 2019.07.23

(21)申请号 201910207148.5(22)申请日 2019.03.19

(71)申请人 中国南方电网有限责任公司

地址 510000 广东省广州市萝岗区科学城

科翔路11号

申请人 鼎信信息科技有限责任公司(72)发明人 杨俊权　苏扬　刘映尚　陶文伟　

陈刚　张文哲　何超林　张思拓　刘松　张文瀚　郭晓斌　梁志宏　胡朝辉　陈鹏　王金贺　陈佳捷　吴佩泽　彭伯庄　(74)专利代理机构 广州华进联合专利商标代理

有限公司 44224

代理人 陈金普　周玲

权利要求书2页 说明书9页 附图1页

(51)Int.Cl.

H04L 29/06(2006.01)H04L 12/40(2006.01)

CN 110049015 A(54)发明名称

网络安全态势感知系统(57)摘要

本申请涉及一种网络安全态势感知系统，包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统；控制区系统包括连接总线的第一采集装置；非控制区系统包括连接总线的第二采集装置和非控制区服务器；生产管理区系统包括连接总线的第三采集装置和生产管理区服务器；其中，第一采集装置、第二采集装置和第三采集装置用于采集电力监控系统内产生的安全事件数据，并通过总线传输给非控制区服务器和生产管理区服务器；非控制区服务器、生产管理区服务器用于分析安全事件数据，并依据分析安全事件数据得到的结果对电力监控系统的网络安全进行监控。通过实时采集安全事件数据，并对数据进行分析实现对电力监控系统的网络安全进行监控。

CN 110049015 A

权　利　要　求　书

1/2页

1.一种网络安全态势感知系统，其特征在于，包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统；

所述控制区系统包括连接所述总线的第一采集装置；所述非控制区系统包括连接所述总线的第二采集装置和非控制区服务器；所述生产管理区系统包括连接所述总线的第三采集装置和生产管理区服务器；

其中，所述第一采集装置、所述第二采集装置和所述第三采集装置用于采集电力监控系统内产生的安全事件数据，并通过所述总线传输给非控制区服务器和生产管理区服务器；所述非控制区服务器、所述生产管理区服务器用于分析所述安全事件数据，并依据分析所述安全事件数据得到的结果对所述电力监控系统的网络安全进行监控。

2.根据权利要求1所述的网络安全态势感知系统，其特征在于，所述非控制区服务器包括第一自身脆弱性监控模块；所述生产管理区服务器包括第二自身脆弱性监控模块；

所述第一自身脆弱性监控模块、所述第二自身脆弱性监控模块用于分析所述安全事件数据中的电力监控系统内部数据，并依据分析所述电力监控系统内部数据得到的结果对所述电力监控系统进行自身脆弱性监控。

3.根据权利要求2所述的网络安全态势感知系统，其特征在于，所述第一自身脆弱性监控模块包括第一资产监控单元、第一拓扑关系监控单元和第一主机运行状态监控单元；所述第二自身脆弱性监控模块包括第二资产监控单元、第二拓扑关系监控单元和第二主机运行状态监控单元；

所述电力监控系统内部数据包括资产数据、拓扑连接数据和主机状态数据；所述第一资产监控单元、所述第二资产监控单元用于分析所述资产数据，并依据分析所述资产数据得到的结果对所述电力监控系统的资产进行监控告警；

所述第一拓扑关系监控单元、所述第二拓扑关系监控单元用于分析所述拓扑连接数据，并依据分析所述拓扑连接数据得到的结果对所述电力监控系统的拓扑连接关系进行监控；

所述第一主机运行状态监控单元、所述第二主机运行状态监控单元用于分析所述主机状态数据，并依据分析所述主机状态数据得到的结果对所述电力监控系统的主机设备进行监控。

4.根据权利要求3所述的网络安全态势感知系统，其特征在于，所述第一自身脆弱性监控模块还包括第一设备开放服务监控单元、第一系统配置监控单元和第一系统漏洞监控单元；所述第二自身脆弱性监控模块还包括第二设备开放服务监控单元、第二系统配置监控单元和第二系统漏洞监控单元；

所述电力监控系统内部数据还包括开放服务状态数据、配置数据和系统状态数据；所述第一设备开放服务监控单元、所述第二设备开放服务监控单元用于分析所述开放服务状态数据，并依据分析所述开放服务状态数据得到的结果对所述电力监控系统的开放服务进行监控；

所述第一系统配置监控单元、所述第二系统配置监控单元用于分析所述配置数据，并依据分析所述配置数据得到的结果对所述电力监控系统的配置进行监控；

所述第一系统漏洞监控单元、所述第二系统漏洞监控单元用于分析所述系统状态数据，并依据分析所述系统状态数据得到的结果对所述电力监控系统的系统漏洞进行监控。

2

CN 110049015 A

权　利　要　求　书

2/2页

5.根据权利要求1所述的网络安全态势感知系统，其特征在于，所述非控制区服务器包括第一外部威胁监控模块；所述生产管理区服务器包括第二外部威胁监控模块；

所述第一外部威胁监控模块、所述第二外部威胁监控模块用于分析所述安全事件数据中的电力监控系统外部数据，并依据分析所述电力监控系统外部数据得到的结果对所述电力监控系统进行外部威胁监控。

6.根据权利要求5所述的网络安全态势感知系统，其特征在于，所述第一外部威胁监控模块包括第一网络行为监控单元和第一外设接入监控单元；所述第二外部威胁监控模块包括第二网络行为监控单元和第二外设接入监控单元；

所述电力监控系统外部数据包括网络行为数据和外接设备数据；所述第一网络行为监控单元、所述第二网络行为监控单元用于分析所述网络行为数据，并依据分析所述网络行为数据得到的结果对所述电力监控系统的网络行为进行监控；

所述第一外设接入监控单元、所述第二外设接入监控单元用于分析所述外接设备数据，并依据分析所述外接设备数据得到的结果对所述电力监控系统的外接设备进行监控。

7.根据权利要求6所述的网络安全态势感知系统，其特征在于，所述第一外部威胁监控模块还包括第一登录操作监控单元和第一程序代码监控单元；所述第二外部威胁监控模块还包括第二登录操作监控单元和第二程序代码监控单元；

所述电力监控系统外部数据还包括登录行为数据和程序代码数据；所述第一登录操作监控单元、所述第二登录操作监控单元用于分析所述登录行为数据，并依据分析所述登录行为数据得到的结果对所述电力监控系统的登录操作进行监控；

所述第一程序代码监控单元、所述第一程序代码监控单元用于分析所述程序代码数据，并依据分析所述程序代码数据得到的结果对所述电力监控系统的程序进行监控。

8.根据权利要求1所述的网络安全态势感知系统，其特征在于，所述非控制区服务器包括第一综合审计单元；所述生产管理区服务器包括第二综合审计单元；

所述第一综合审计单元、所述第二综合审计单元用于分析所述数据中的历史网络安全态势数据，并依据分析所述历史网络安全态势数据得到的结果对所述电力监控系统的历史行为进行监控统计。

9.根据权利要求1至8任一项所述的网络安全态势感知系统，其特征在于，所述非控制区服务器包括前置服务器、应用服务器和数据库服务器；所述生产管理区服务器包括前置服务器、应用服务器和数据库服务器。

10.根据权利要求1所述的网络安全态势感知系统，其特征在于，所述非控制区系统还包括非控制区大数据服务器；所述生产管理区系统还包括生产管理区大数据服务器；

其中，所述非控制区大数据服务器、所述生产管理区大数据服务器用于接收所述第一采集装置、所述第二采集装置和所述第三采集装置传输的所述电力监控系统内产生的网络流量信息，并依据所述网络流量信息对所述电力监控系统的系统行为进行统计分析。

3

CN 110049015 A

说　明　书网络安全态势感知系统

1/9页

技术领域

[0001]本申请涉及电力监控系统网络安全技术领域，特别是涉及一种网络安全态势感知系统。

背景技术

[0002]电力系统作为国家关键信息基础设施，面临的网络安全形势日趋严峻，一旦遭受网络安全攻击将可能导致大面积停电事件，严重威胁企业和国家安全。因此，严格地监控电力系统的网络安全至关重要，但是，在实现过程中，发明人发现传统技术中至少存在如下问题：传统技术无法全面地监控电力系统的网络安全。发明内容

[0003]基于此，有必要针对传统技术无法全面地监控电力系统的网络安全的问题，提供一种网络安全态势感知系统。[0004]为了实现上述目的，一方面，本申请实施例提供了一种网络安全态势感知系统，包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统；[0005]控制区系统包括连接总线的第一采集装置；非控制区系统包括连接总线的第二采集装置和非控制区服务器；生产管理区系统包括连接总线的第三采集装置和生产管理区服务器；

[0006]其中，第一采集装置、第二采集装置和第三采集装置用于采集电力监控系统内产生的安全事件数据，并通过总线传输给非控制区服务器和生产管理区服务器；非控制区服务器、生产管理区服务器用于分析安全事件数据，并依据分析安全事件数据得到的结果对电力监控系统的网络安全进行监控。[0007]在其中一个实施例中，非控制区服务器包括第一自身脆弱性监控模块；生产管理区服务器包括第二自身脆弱性监控模块；[0008]第一自身脆弱性监控模块、第二自身脆弱性监控模块用于分析安全事件数据中的电力监控系统内部数据，并依据分析电力监控系统内部数据得到的结果对电力监控系统进行自身脆弱性监控。

[0009]在其中一个实施例中，第一自身脆弱性监控模块包括第一资产监控单元、第一拓扑关系监控单元和第一主机运行状态监控单元；第二自身脆弱性监控模块包括第二资产监控单元、第二拓扑关系监控单元和第二主机运行状态监控单元；[0010]电力监控系统内部数据包括资产数据、拓扑连接数据和主机状态数据；[0011]第一资产监控单元、第二资产监控单元用于分析资产数据，并依据分析资产数据得到的结果对电力监控系统的资产进行监控告警；[0012]第一拓扑关系监控单元、第二拓扑关系监控单元用于分析拓扑连接数据，并依据分析拓扑连接数据得到的结果对电力监控系统的拓扑连接关系进行监控；[0013]第一主机运行状态监控单元、第二主机运行状态监控单元用于分析主机状态数

4

CN 110049015 A

说　明　书

2/9页

据，并依据分析主机状态数据得到的结果对电力监控系统的主机设备进行监控。[0014]在其中一个实施例中，第一自身脆弱性监控模块还包括第一设备开放服务监控单元、第一系统配置监控单元和第一系统漏洞监控单元；第二自身脆弱性监控模块还包括第二设备开放服务监控单元、第二系统配置监控单元和第二系统漏洞监控单元；[0015]电力监控系统内部数据还包括开放服务状态数据、配置数据和系统状态数据；[0016]第一设备开放服务监控单元、第二设备开放服务监控单元用于分析开放服务状态数据，并依据分析开放服务状态数据得到的结果对电力监控系统的开放服务进行监控；[0017]第一系统配置监控单元、第二系统配置监控单元用于分析配置数据，并依据分析配置数据得到的结果对电力监控系统的配置进行监控；[0018]第一系统漏洞监控单元、第二系统漏洞监控单元用于分析系统状态数据，并依据分析系统状态数据得到的结果对电力监控系统的系统漏洞进行监控。[0019]在其中一个实施例中，非控制区服务器包括第一外部威胁监控模块；生产管理区服务器包括第二外部威胁监控模块；[0020]第一外部威胁监控模块、第二外部威胁监控模块用于分析安全事件数据中的电力监控系统外部数据，并依据分析电力监控系统外部数据结果对电力监控系统进行外部威胁监控。

[0021]在其中一个实施例中，第一外部威胁监控模块包括第一网络行为监控单元和第一外设接入监控单元；第二外部威胁监控模块包括第二网络行为监控单元和第二外设接入监控单元；

[0022]电力监控系统外部数据包括网络行为数据和外接设备数据；[0023]第一网络行为监控单元、第二网络行为监控单元用于分析网络行为数据，并依据分析网络行为数据得到的结果对电力监控系统的网络行为进行监控；[0024]第一外设接入监控单元、第二外设接入监控单元用于分析外接设备数据，并依据分析外接设备数据得到的结果对电力监控系统的外接设备进行监控。[0025]在其中一个实施例中，第一外部威胁监控模块还包括第一登录操作监控单元和第一程序代码监控单元；第二外部威胁监控模块还包括第二登录操作监控单元和第二程序代码监控单元；

[0026]电力监控系统外部数据还包括登录行为数据和程序代码数据；[0027]第一登录操作监控单元、第二登录操作监控单元用于分析登录行为数据，并依据分析登录行为数据得到的结果对电力监控系统的登录操作进行监控；[0028]第一程序代码监控单元、第一程序代码监控单元用于分析程序代码数据，并依据分析程序代码数据得到的结果对电力监控系统的程序进行监控。[0029]在其中一个实施例中，非控制区服务器包括第一综合审计单元；生产管理区服务器包括第二综合审计单元；[0030]第一综合审计单元、第二综合审计单元用于分析数据中的历史网络安全态势数据，并依据分析历史网络安全态势数据得到的结果对电力监控系统的历史行为进行监控统计。

[0031]在其中一个实施例中，非控制区服务器包括前置服务器、应用服务器和数据库服务器；

5

CN 110049015 A[0032]

说　明　书

3/9页

生产管理区服务器包括前置服务器、应用服务器和数据库服务器。

[0033]在其中一个实施例中，非控制区系统还包括非控制区大数据服务器；生产管理区系统还包括生产管理区大数据服务器；[0034]其中，非控制区大数据服务器、生产管理区大数据服务器用于接收第一采集装置、第二采集装置和第三采集装置传输的电力监控系统内产生的网络流量信息，并依据网络流量信息对电力监控系统的系统行为进行统计分析。

[0035]上述技术方案中的一个技术方案具有如下优点和有益效果：[0036]网络安全态势感知系统包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统；控制区系统包括连接总线的第一采集装置；非控制区系统包括连接总线的第二采集装置和非控制区服务器；生产管理区系统包括连接总线的第三采集装置和生产管理区服务器；其中，第一采集装置、第二采集装置和第三采集装置用于采集电力监控系统内产生的系统安全，并通过总线传输给非控制区服务器和生产管理区服务器；非控制区服务器、生产管理区服务器用于分析系统安全数据，并依据分析系统安全的结果对电力监控系统的网络安全进行监控，因此，通过在电力监控系统中的控制区、非控制区以及生产管理区对应设置采集装置和服务器，实时采集电力监控系统中的数据，并对数据进行分析实现对电力监控系统的网络安全进行监控。

附图说明

[0037]图1为一个实施例中本申请网络安全态势感知系统的结构示意图；[0038]图2为一个实施例中本申请网络安全态势感知系统的使用安装示意图。

具体实施方式

[0039]为了便于理解本申请，下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的首选实施例。但是，本申请可以以许多不同的形式来实现，并不限于本文所描述的实施例。相反地，提供这些实施例的目的是使对本申请的公开内容更加透彻全面。[0040]需要说明的是，当一个元件被认为是“连接”另一个元件，它可以是直接连接到另一个元件并与之结合为一体，或者可能同时存在居中元件。[0041]除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本申请。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。

[0042]为了解决传统技术无法全面地监控电力系统的网络安全的问题，在一个实施例中，如图1所示，提供了一种网络安全态势感知系统，包括通过总线相互连接的控制区系统11、非控制区系统13以及生产管理区系统15；

[0043]控制区系统11包括连接总线的第一采集装置111；非控制区系统13包括连接总线的第二采集装置131和非控制区服务器133；生产管理区系统15包括连接总线的第三采集装置151和生产管理区服务器153；[0044]其中，第一采集装置111、第二采集装置131和第三采集装置151用于采集电力监控系统19内产生的安全事件数据，并通过总线17传输给非控制区服务器13和生产管理区服务

6

CN 110049015 A

说　明　书

4/9页

器15；非控制区服务器13、生产管理区服务器15用于分析安全事件数据，并依据分析安全事件数据得到的结果对电力监控系统19的网络安全进行监控。[0045]需要说明的是，本申请网络安全态势感知系统可独立于电力监控系统，并用于监控电力监控系统的网络安全，也可将本申请网络安全态势感知系统植入电路监控系统内，用于监控电力监控系统的网络安全。网络安全态势感知系统内各部分基于数据流架构进行数据传输，数据流架构包括控制通道和数据通道，具体的，基于控制通道传输控制指令，包括基线核查指令、漏洞扫描指令，基于数据通道传输安全事件数据，还传输电力监控系统的非控制区、生产管理区内的日志。其中，电力监控系统可根据业务系统的安全等级划分为控制区、非控制区以及生产管理区。具体而言，控制区安全等级最高，其中业务系统与电力调度生产直接相关，有对一次系统的在线监控和闭环控制功能，非控制区安全等级仅次于控制区，其中业务系统功能与电力生产直接相关，但不直接参与控制，生产管理区安全等级次于非控制区，业务系统与电力调度生产管理工作直接相关。[0046]控制区系统、非控制区系统和生产管理区系统通过总线连接构成本申请网络安全态势感知系统。具体，总线包括数据总线和控制总线，在控制区系统、非控制区系统和生产管理区系统之间形成数据通道以及控制通道。数据通道用于负责传输第一采集装置、第二采集装置和第三采集装置采集的安全事件数据。控制通道用于负责传输控制指令，具体包括基线核查指令、漏洞扫描指令。如图2所示，在一个示例中，控制区系统、非控制区系统、生产管理区系统之间通过网络交换机进行连接，进一步的，控制区系统与非控制区系统连接有横向互联防火墙，非控制区系统与生产管理区系统之间设有隔离阵列。[0047]第一采集装置、第二采集装置和第三采集装置接入电力监控系统的网络内，具体第一采集装置、第二采集装置和第三采集装置的安装位置以及安装数量可根据电力监控系统的大小而定。具体的，第一采集装置用于采集电力监控监控系统的控制区内的安全事件数据，并通过总线将安全事件数据传输给非控制区服务器和生产管理区服务器；第二采集装置用于采集电力监控系统的非控制区内采的集安全事件数据，并通过总线将安全事件数据传输给非控制区服务器和生产管理区服务器；第三采集装置用于采集电力监控系统的生产管理区内的安全事件数据，并通过总线将安全事件数据传输给非控制区服务器和生产管理区服务器。如图2所示，第一采集装置通过控制内的互联网交换机接收电力监控系统的控制区内的安全事件数据，还通过控制区内的前置交换机、纵向加密认证装置连接调度数据网/实时子网；第二采集装置通过非控制区内的前置交换机、纵向加密认证装置连接调度数据网/实时子网；第二采集装置通过生产管理区内的互联交换机综合数据网。为了避免非控制区服务器和生产管理区服务器处理的数据重复减轻其工作负担，在一个示例中，第二采集装置采集的安全事件数据直接传输给非控制区服务器，第三采集装置采集的安全事件数据直接传输给生产管理区服务器，而第一采集装置采集的安全事件数据可根据实现传输给非控制区服务器或生产管理区服务器。[0048]非控制区服务器、生产管理区服务器用于分析接收到的安全事件数据，并依据分析安全事件数据得到的结果对电力监控系统的网络安全进行监控。在一个示例中，非控制区服务器包括前置服务器、应用服务器和数据库服务器；生产管理区服务器包括前置服务器、应用服务器和数据库服务器，采用冗余配置可保证网络安全态势感知系统的稳定性。[0049]在一个具体的实施例中，非控制区服务器包括第一自身脆弱性监控模块；生产管

7

CN 110049015 A

说　明　书

5/9页

理区服务器包括第二自身脆弱性监控模块；第一自身脆弱性监控模块、第二自身脆弱性监控模块用于分析安全事件数据中的电力监控系统内部数据，并依据分析电力监控系统内部数据得到的结果对电力监控系统进行自身脆弱性监控。需要说明的是，对电力监控系统进行自身脆弱性监控是指对电力监控系统资产、防护措施的安全状态以及合规程度进行监控，具体的包括资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞等方面。[0050]在一个示例中，第一自身脆弱性监控模块包括第一资产监控单元、第一拓扑关系监控单元和第一主机运行状态监控单元；第二自身脆弱性监控模块包括第二资产监控单元、第二拓扑关系监控单元和第二主机运行状态监控单元；[0051]电力监控系统内部数据包括资产数据、拓扑连接数据和主机状态数据；[0052]第一资产监控单元、第二资产监控单元用于分析资产数据，并依据分析资产数据得到的结果对电力监控系统的资产进行监控；[0053]第一拓扑关系监控单元、第二拓扑关系监控单元用于分析拓扑连接数据，并依据分析拓扑连接数据得到的结果对电力监控系统的拓扑连接关系进行监控；[0054]第一主机运行状态监控单元、第二主机运行状态监控单元用于分析主机状态数据，并依据分析主机状态数据得到的结果对电力监控系统的主机设备进行监控。[0055]需要说明的是，第一资产监控单元、第二资产监控单元实现对电力监控系统资产维护后的合法资产和非法资产进行实时监控，并对非法接入资产实时告警。[0056]第一拓扑关系监控单元、第二拓扑关系监控单元实现对电力监控系统的拓扑连接关系进行监控，具体以拓扑图的形式展示监控对象的整体运行状态，具备以下功能：1)支持根据拓扑连接关系，自动拼接生成拓扑图；2)拓扑图支持按调度分区进行筛选，支持拓扑分层展示；3)拓扑图支持脆弱性、威胁度的关联展示；4)支持对采集装置上送的拓扑连接关系信息进行拼接维护；5)支持对拼接维护的拓扑连接关系信息与组织结构进行挂接，并进行命名标识。[0057]第一主机运行状态监控单元、第二主机运行状态监控单元实现对电力监控系统的主机设备进行监控，具体实现对主机设备的运行状态实时监控和告警，包括主机设备的在离线、CPU(Central Processing Unit，中央处理器)利用率、内存利用率、磁盘使用率、网口状态；实现对嵌入式主机设备的运行状态实时监控和告警，包括嵌入式主机设备的在离线；实现对网络设备的运行状态实时监控和告警，包括网络设备的在离线、CPU利用率、内存利用率、网口状态；实现对安全设备的运行状态实时监控和告警，分别包括纵向加密认证装置的在离线、CPU利用率、内存利用率、备机心跳、隧道建立错误等；正反向隔离装置的在离线、CPU利用率、内存利用率；硬件防火墙设备的在离线、CPU利用率、内存利用率，网口状态。还实现运行状态告警阈值(包括CPU、内存、硬盘)规则的查询、新增、修改、删除等功能。[0058]在又一个示例中，第一自身脆弱性监控模块还包括第一设备开放服务监控单元、第一系统配置监控单元和第一系统漏洞监控单元；第二自身脆弱性监控模块还包括第二设备开放服务监控单元、第二系统配置监控单元和第二系统漏洞监控单元；[0059]电力监控系统内部数据还包括开放服务状态数据、配置数据和系统状态数据；[0060]第一设备开放服务监控单元、第二设备开放服务监控单元用于分析开放服务状态数据，并依据分析开放服务状态数据得到的结果对电力监控系统的开放服务进行监控；[0061]第一系统配置监控单元、第二系统配置监控单元用于分析配置数据，并依据分析

8

CN 110049015 A

说　明　书

6/9页

配置数据得到的结果对电力监控系统的配置进行监控；[0062]第一系统漏洞监控单元、第二系统漏洞监控单元用于分析系统状态数据，并依据分析系统状态数据得到的结果对电力监控系统的系统漏洞进行监控。[0063]需要说明的是，第一设备开放服务监控单元、第二设备开放服务监控单元实现对设备开放性服务进行扫描，实现对设备开放性服务情况的实时监控，在一个示例中，对设备端口进行批量扫描，实现设备开放端口及服务情况的实时监控，具体包括端口扫描情况、端口数量情况，端口详情信息等，进一步的，还实现按分区、地区、专业对高危端口及高危主机的最新数量情况进行实时统计，并实现端口扫描功能管理、高危端口管理、无连接端口时长设置。

[0064]第一系统配置监控单元、第二系统配置监控单元实现按照检查分类展示最近一次核查结果，包含检查类型、评估项、指标描述、合规率、核查资产的资产详情等，还实现列表展示核查指标详情，包含指标类型、指标描述等信息，还实现对核查服务开关、扫描周期的配置和下发，实现对配置核查脚本的导入、配置和下发；[0065]第一系统漏洞监控单元、第二系统漏洞监控单元用于监控电力监控系统的系统安全，实现对电力监控系统的主机进行漏洞扫描，调用的方式支持自动周期性扫描设备以及人工触发式扫描设备。支持主动收集第三方漏洞扫描器的扫描结果数据，实现对漏洞扫描的结果进行统计分析，支持多维度多方式展示设备存在的轻微漏洞、一般漏洞、危险漏洞、高危漏洞。支持以服务、应用、系统、威胁、时间、CEV为维度实时统计漏洞数量分布的最新情况，内容主要包括漏洞名称、影响主机数、影响主机比例、漏洞类别、扫描时间等，查看影响主机列表详情。支持对资产基本信息进行漏洞扫描周期、扫描任务开关的参数配置。[0066]在又一个具体的实施例中，非控制区服务器包括第一外部威胁监控模块；生产管理区服务器包括第二外部威胁监控模块；[0067]第一外部威胁监控模块、第二外部威胁监控模块用于分析安全事件数据中的电力监控系统外部数据，并依据分析电力监控系统外部数据结果对电力监控系统进行外部威胁监控。需要说明的是，电力监控系统外部数据结果对电力监控系统进行外部威胁监控是指实现对电力监控系统资产可能受到的来自外部安全侵害进行监控，包括网络行为、外设接入、登录操作和程序代码等内容。[0068]在一个示例中，第一外部威胁监控模块包括第一网络行为监控单元和第一外设接入监控单元；第二外部威胁监控模块包括第二网络行为监控单元和第二外设接入监控单元；

[0069]电力监控系统外部数据包括网络行为数据和外接设备数据；[0070]第一网络行为监控单元、第二网络行为监控单元用于分析网络行为数据，并依据分析网络行为数据得到的结果对电力监控系统的网络行为进行监控；[0071]第一外设接入监控单元、第二外设接入监控单元用于分析外接设备数据，并依据分析外接设备数据得到的结果对电力监控系统的外接设备进行监控。[0072]需要说明的是，第一网络行为监控单元，第二网络行为监控单元支持各类网络行为的实时监控，监控内容包括网络接入、非法通信、可疑文件。支持交换机网口接入设备的实时监控，并能够判断发现非法接入和跨区互联。支持网络中通信关系的实时监控，包括通信五元组(通信客户端/通信服务端IP(Internet Protocol Address，互联网协议地址)、通

9

CN 110049015 A

说　明　书

7/9页

信客户端/通信服务端端口、协议、通信开始时间、通信结束时间)等信息；支持将网络中通信关系与通信关系白名单进行实时比对，实现对网络中非法通信的实时告警；支持对网络中可疑文件的实时监控，包括文件类型、文件名称、传输协议、文件大小、文件来源、通讯时间等；支持对网络中传输可疑文件的实时告警。[0073]第一外设接入监控单元、第二外设接入监控单元实现主机设备的接口(例如，USB接口)接入、拔出的外接设备进行实时监控，包括外接设备的类型、厂家、序列号(可空)等，还实现外接设备的白名单设置，具体根据设备序列号，设置外接设备接入白名单，在设定周期内，网络安全态势感知系统将屏蔽该类外接设备的告警。[0074]在又一个示例中，第一外部威胁监控模块还包括第一登录操作监控单元和第一程序代码监控单元；第二外部威胁监控模块还包括第二登录操作监控单元和第二程序代码监控单元；

[0075]电力监控系统外部数据还包括登录行为数据和程序代码数据；[0076]第一登录操作监控单元、第二登录操作监控单元用于分析登录行为数据，并依据分析登录行为数据得到的结果对电力监控系统的登录操作进行监控；[0077]第一程序代码监控单元、第一程序代码监控单元用于分析程序代码数据，并依据分析程序代码数据得到的结果对电力监控系统的程序进行监控。[0078]需要说明的是，第一登录操作监控单元，第二登录操作监控单元实现对设备登录行为(登录成功、登录失败)及登录时间内相关设备操作指令的实时监控；实现对设备登录行为及可疑操作指令的实时告警；实现对登录后不能进行操作的所有非法命令进行新增、修改、删除的配置。[0079]第一程序代码监控单元、第一程序代码监控单元实现对电力监控系统关键程序变更情况的实时监控，包括文件名、文件路径、文件MD5等；实现对关键程序的配置；实现对关键程序变更的实时告警；实现对系统需要关注程序的多个关键文件进行配置，主要配置关键文件的文件名称、文件路径等信息；实现对采集装置上送的资产变化通知信息进行人工确认，若确认为合法资产则进行进一步的资产信息拼接及维护；实现对资产进行信息拼接和维护，拼接和维护的信息包含同一资产对象的多网口信息拼接及资产管理属性信息人工录入维护等；实现将注册后的合法资产下发采集装置。[0080]在另一个具体的实施例中，非控制区服务器包括第一综合审计单元；生产管理区服务器包括第二综合审计单元；[0081]第一综合审计单元、第二综合审计单元用于分析数据中的历史网络安全态势数据，并依据分析历史网络安全态势数据得到的结果对电力监控系统的历史行为进行监控统计。

[0082]需要说明的是，对电力监控系统的历史行为进行监控统计是指实现对电力监控系统的历史网络安全态势的分析，包括脆弱性、威胁度相关历史数据的统计和分析等。[0083]在一个示例中，第一综合审计单元包括第一资产审计单元、第一拓扑关系审计单元、第一主机运行状态审计单元、第一设备端口审计单元、第一系统配置审计单元、第一网络行为审计单元、第一外设接入审计单元、第一登录操作审计单元和第一程序代码审计单元；第二综合审计单元包括第二资产审计单元、第二拓扑关系审计单元、第二主机运行状态审计单元、第二设备端口审计单元、第二系统配置审计单元、第二网络行为审计单元、第二

10

CN 110049015 A

说　明　书

8/9页

外设接入审计单元、第二登录操作审计单元和第二程序代码审计单元。[0084]第一综合审计单元、第二综合审计单元用于实现对电力监控系统相关历史网络安全态势数据进行统计和分析，包括资产发现、互联拓扑、运行状态、开放服务、配置合规和系统漏洞等在内的自身脆弱性进行统计和分析。[0085]具体而言，第一资产审计单元、第二资产审计单元实现对注册资产的变更(新增、移除)进行审计，审计内容包括资产变更类型、资产发现时间等。[0086]第一拓扑关系审计单元、第二拓扑关系审计单元实现对电力监控系统主站和厂站的拓扑图进行审计，支持对主站和厂站互联拓扑关系在首次生成和发生变化时形成拓扑快照，支持自动形成主站和厂站互联拓扑关系本次与前次拓扑快照的比对结果。[0087]第一主机运行状态审计单元、第二主机运行状态审计单元实现对设备运行状态进行审计，审计内容包括CPU使用率、内存使用率、磁盘空间使用率等。[0088]第一设备端口审计单元、第二设备端口审计单元实现对设备端口开放进行审计，审计内容包括端口数量、端口号、端口网络连接情况等，审计内容支持按分区、地域、专业、整改情况进行统计。[0089]第一系统配置审计单元、第二系统配置审计单元实现对配置合规进行审计，审计内容包括设备不合规配置项等，审计内容支持按分区、地域、专业、整改情况进行统计。[0090]第一外设接入审计单元、第二外设接入审计单元实现对电力监控系统资产可能受到的来自外部的安全侵害进行审计分析，包括网络行为、外设接入、登录操作和程序代码等内容。[0091]第一网络行为审计单元、第二网络行为审计单元支持对设备接入网络的行为进行审计，审计内容包括非法外联告警、跨区互联告警、非法接入设备的端口信息等内容；支持对网络流量的通信关系进行审计，审计内容包括源IP、目的IP、源端口、目的端口、通信协议等，审计内容支持按分区、地域、专业、整改情况进行统计；支持对网络流量传播的可疑文件进行审计，审计内容包括按文件检测结果、可疑文件传播次数等。网络行为的审计内容支持按分区、地域、专业、整改情况进行统计，进一步的，还实现对系统漏洞进行审计，审计内容包括漏洞数量、漏洞类型、漏洞等级等，审计内容支持按分区、地域、专业、整改情况进行统计。

[0092]第一外设接入审计单元、第一外设接入审计单元实现对主机设备的接口(USB接口)外接设备的接入行为进行审计，审计内容包括接入的设备，接入时长、接入次数等。[0093]第一登录操作审计单元、第二登录操作审计单元实现对用户登录操作系统的行为及其登录期间历时操作指令的审计，审计内容包括登录用户、登录时间、操作指令等。[0094]第一程序代码审计单元、第二程序代码审计单元实现对主机操作系统上的关键程序变更进行审计，审计内容包括文件变化情况、文件变化次数等、文件变化时间等，审计内容支持按分区、地域、专业、整改情况进行统计。[0095]在一个具体的实施例中，非控制区系统还包括非控制区大数据服务器；生产管理区系统还包括生产管理区大数据服务器；[0096]其中，非控制区大数据服务器、生产管理区大数据服务器用于接收第一采集装置、第二采集装置和第三采集装置传输的电力监控系统内产生的网络流量信息，并依据网络流量信息对电力监控系统的系统行为进行统计分析。

11

CN 110049015 A[0097]

说　明　书

9/9页

需要说明的是，非控制区大数据服务器、生产管理区大数据服务器实现对接收到

的网络流量信息进行分布式存储、处理以及告警分析，实现基于大数据架构在指定时间范围内网络流量信息的多维度多方式组合智能全文检索，网络流量信息包含客户端IP，客户端端口，服务端IP，服务端端口，协议五元组等信息，并根据时间段进行次数的统计汇总；实现对海量网络流量信息基于通信关系白名单对异常通信告警进行实时处理；还实现对采集装置采集的未解析日志信息进行分布式存储，可以分时间、设备、端口等为多维度实时进行统计分析，为人工分析未解析日志提供工具支持，支持更新下发日志范式化解析脚本，实现对采集装置未解析日志的自动解析。

[0098]本申请网络安全态势感知系统的各实施例中，网络安全态势感知系统包括通过总线相互连接的控制区系统、非控制区系统以及生产管理区系统；控制区系统包括连接总线的第一采集装置；非控制区系统包括连接总线的第二采集装置和非控制区服务器；生产管理区系统包括连接总线的第三采集装置和生产管理区服务器；其中，第一采集装置、第二采集装置和第三采集装置用于采集电力监控系统内产生的系统安全数据，并通过总线传输给非控制区服务器和生产管理区服务器；非控制区服务器、生产管理区服务器用于分析系统安全，并依据分析系统安全的结果对电力监控系统的网络安全进行监控，因此，通过在电力监控系统中的控制区、非控制区以及生产管理区对应设置采集装置和服务器，实时采集电力监控系统中的数据，并对数据进行分析实现对电力监控系统的网络安全进行监控。[0099]进一步的，实现对电力监控系统的网络安全风险进行实时感知与预警；实现对电力监控系统的网络安全攻击路径进行分析与事件溯源；实现对电力监控系统网络安全趋势进行预测。

[0100]以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

[0101]以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

12

CN 110049015 A

说　明　书　附　图

1/1页

图1

图2

13