[发明专利]一种面向复杂网络的安全隐患分析方法

说明书

技术领域

本发明涉及一种数据网络安全隐患分析方法。

背景技术

随着电力系统智能化程度的提高，电力企业的生产经营对电力信息通信网络的依赖程度越来越高，信息通信网络的安全问题也空前严峻。随着电力集团集约化管理水平的不断提高和信息基础设施的日益完善，信息资源的集中程度，以及系统的纵横互联与集成程度急剧增加，原来的局部信息通信网络安全问题将带来全局的影响。这些都为电力系统信息安全和智能电网的发展提出新的挑战。同时，网络和信息战是现代战争的重要手段之一。作为国家基础设施的电力系统的信息通信安全问题，密切关系到电力生产安全、经济安全，关系到国计民生、社会稳定与公众利益。

为应对信息通信网络安全问题，在建设阶段各种防火墙、防病毒、入侵检测和软硬件加密等网络安全产品应运而生，并部署到信息通信网络中；在运行维护管理阶段加强信了息通信网络及信息系统的安全性进行管理。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。随着河南电力数据网建设及应用的进一步深化，网络承载业务增多，网络覆盖面扩大，网络的复杂度和管理难度也不断增加。对于数据网的安全运行也出现一些隐患，主要是网络架构不合理，容易造成大范围站点中断，网络及设备安全配置不足、网络管理安全策略缺乏，容易受到病毒、黑客、网络攻击；另外需要对数据网网络结构和管理进行大的调整，因此需要研究如何确保网络安全运行，平稳过渡。

因此，为确保网络的安全可控有必要研究制定网络的安全评估策略和状态分析方法，掌握网络的安全运行状态并指导数据网络的设计、建设、改造和运行维护。

国外，针对电力系统安全评估做了大量研究，但针对数据网的安全评估研究较少。PSERC组织对电力系统的可靠性评估进行了研究，提出了可靠性评估模型，Eric Masanet等人对应用LCA方法评估进行了研究，Kip Morison等人进行了在线DSA系统的研究，对电力网络的可靠性进行评估，可以对电力系统故障进行预测。针对网络设备，依据NSA提供的基线标准，开发出基线检查工具，如CIS-CAT、Router Audit Tool等，但这些工具主要针对CISCO设备，不支持河南电力网华三设备；针对网络拓扑安全评估，NetBrain工具支持自动化生成拓扑、故障自动检测，但不支持拓扑安全整体性评估。

国外在数据网无损测试方面采用网络仿真工具进行研究，主流的仿真平台包括OPNET、 NS2和MATLAB等，这些平台在网络仿真方面具有通用性，但是针对电力数据网需要进行定制开发。OPNET可以提供路由器、交换机、服务器等数据网模型，实现仿真网络的构建并提供网络性能分析报告，适合路由协议模拟，但是对链路仿真的效果较差，并且模型库相对有限，也不适用于大型网络。NS2运用离散事件模拟原理，主要对网络传输协议（UDP和TCP），业务源流量产生器（FTP,Telnet,Web CBR和VBR），路由队列管理机制（Droptail,RED和CBQ），路由算法（Dijkstra）实现模拟，但上手不易，半实物研究较少。MATLAB主要运用于通信网络信号测试，也可用于数据网的节点脆弱性测试、链路脆弱性分析、级联崩溃效应分析，但是分析速度较慢。

国内，针对电网数据网安全评估尚未形成标准体系。在电信行业，基于GB/T18336标准的TDN安全评估体系，专门用于评估电信数据网，以保护数据网的关键资产，包括物理资产（路由器、交换机），服务资产（交换系统、网络管理系统），信息资产（传输数据、服务）。但是针对电力数据网的安全评估体系及其支撑工具的研究刚刚起步。

在电力数据网设备评估方面，尚无自动化工具；针对拓扑安全评估，金融行业数据网方面做了部分研究，电力数据网研究尚处空白阶段，北京恒安永通的赛诺朗基网络管家主要运用于银行数据网的交换机、路由器、防火墙等设备的状态监控、网络配置、变更管理等，可以快速识别配置漏洞和缺陷，进行问题定位，生成报告和报告。

国内在无损测试方面也采用仿真工具，分析主要建立在国外软件基础上，如基于OPNET的河源电力综合数据网，主要分析网络数据包流动，通过网络流量判断业务情况，不支持安全测试，自主开发的软件如清华的一体化仿真支持环境（ISSE），但主要用于发电机组仿真。对于符合国内电网的通信网络运行维护方面，尚有较大差距。

发明内容

本发明针对现有技术不足，提出一种面向复杂网络的安全隐患分析方法，用于指导电力数据网安全现状分析，安全策略评估，网络安全测试以及运行现状评价，从而为数据网络的进一步建设、优化、改进等工作提出理论依据和实践方案。