[发明专利]基于软件定义的电力物联网安全防护装置及方法

说明书

本发明涉及一种网络安全防护技术领域，是一种基于软件定义的电力物联网安全防护装置及方法，前者包括数据模块监控终端流量数据和终端本体运行数据，部署电力物联网终端安全防护措施；控制模块分析终端流量数据和终端本体运行数据，决定并控制每个电力物联网终端的安全防护策略变化，控制数据模块调整终端安全防护措施。本发明无需改造现有的各类电力物联网终端，并且通过结合终端网络状态监测和终端本体状态监测来实现对电力物联网终端的安全防护，可实现对常见的各类终端漏洞安全监测及阻断，且对于同类型终端无需重复操作，有效提高了电力物联网不可靠环境下网络安全攻击的防御效果，减少防御成本。

技术领域

本发明涉及一种网络安全防护技术领域，是一种基于软件定义的电力物联网安全防护装置及方法。

背景技术

近年来，随着电力物联网的建设与发展，各类新型信息技术和能源技术深度融合，新技术的广泛应用使电力系统的业务模式发生变革，海量异构电力物联网终端广泛接入，网络边界模糊、数据交互多元，电力系统由封闭独立向互联互通转变。电力物联网终端种类众多、安全标准不统一、供应链不可信，终端漏洞频发且部分终端无法实时更新安全补丁。攻击者一旦利用漏洞控制物联网终端作跳板发起对电力主要业务系统的攻击，将造成电力关键信息基础设施被破坏，危害国家安全和社会稳定。

目前，现有的电力物联网安全防护方法仍然以基于边界防护的传统方法为主，如使用防火墙、IDS、IPS等安全设备，不适用于大量物联终端接入的情况。虽然已经有一些基于软件定义的物联网控制方法，但是这些方法主要聚焦于通过把终端进行硬件改造的方式来增加物联网安全性，或是仅能监测单个漏洞，成本较高且实现难度大、安全防护性低，无法适用于当前电力物联网安全防护需求。

发明内容

本发明提供了一种基于软件定义的电力物联网安全防护装置及方法，克服了上述现有技术之不足，其能有效解决现有电力物联网环境下存在的应对各类网络安全攻击防御效果不佳、防御代价较大的问题。

本发明的技术方案之一是通过以下措施来实现的：一种基于软件定义的电力物联网安全防护装置，包括：

数据模块，连接电力物联网终端和上层网络，监控终端流量数据和终端本体运行数据，部署电力物联网终端安全防护措施；

控制模块，分析终端流量数据和终端本体运行数据，决定并控制每个电力物联网终端的安全防护策略变化，控制数据模块调整终端安全防护措施。

下面是对上述发明技术方案的进一步优化或/和改进：

上述数据模块，包括：

虚拟电力物联网关，连接电力物联网终端本地通信网络及上层网络，所有和终端通信的流量均经过虚拟电力物联网关传输，反馈终端流量数据至控制模块；

物联终端接口单元，连接不同类型的电力物联网终端，获取并反馈终端本体运行数据至控制模块，并控制电力物联网终端运行状态切换；

漏洞监测处置单元链，针对每一类电力物联网终端部署一组漏洞监测处置单元，每个漏洞监测处置单元对应一类漏洞，漏洞监测处置单元之间相互连接形成单元链，通过单元链之间数据流转判定当前单元是否监测到对应漏洞。

上述漏洞监测处置单元能够监测终端流量包并检查其内容，生成并发送终端流量告警信息至控制模块。

上述控制模块，包括：

策略状态机，分析终端流量数据和终端本体运行数据确定对否产生终端本体告警信息和终端流量告警信息，并依据预设的策略状态转换模型确定电力物联网终端的安全防护策略，其中安全防护策略包括终端运行状态切换和对应的安全响应策略；

终端控制单元，定期处理终端本体告警信息，并依据策略状态机判断结果，确定是否产生终端告警；

漏洞监测处置控制器，接收数据模块产生的终端流量告警信息并进行相应管理。