[发明专利]一种基于零信任的能源站安全监控系统及方法

说明书

本发明公开了一种基于零信任的能源站安全监控系统及方法，包括有安装于能源站的若干数据采集终端、零信任边代设备、零信任网关设备、镜像设备、防火墙以及平台服务器；若干所述数据采集终端通过零信任边代设备与防火墙建立通信，所述平台服务器通过零信任网关设备与防火墙建立通信，所述镜像设备分别与防火墙和平台服务器进行信息交互，所述镜像设备通过提取平台服务器的特征信息搭建虚拟仿真运行环境进行能源网络安全验证服务。本方案通过镜像设备搭建匹配平台服务器的模拟运行环境，可以对连通的零信任边代设备的信息进行预运行分析，根据异常等级制定不同的网络通信模式，极大的保证了平台服务器的安全运行。

技术领域

本发明涉及物联网技术领域，具体的，涉及一种基于零信任的能源站安全监控系统及方法。

背景技术

目前电力物联网存在大量弱信号应用场景，且由体量庞大的低速率、低功耗、高密度的传感终端设备组成，数据由传感终端设备采集后上传至零信任边缘代理，经由边缘代理传送到零信任网关进行信号处理和决策后传送至监控平台，实现电力系统各环节访问的安全。

随着泛在电力物联网建设的快速推进，原有的网络边界不断向用户侧延伸，其计算能力和安全防护特性也更多向终端和边缘侧下沉。根据泛在电力物联网总体建设方案，边缘物联代理将作为终端接入和边缘计算的核心装置将进行大规模部署，使得在距离风险源更近边缘侧采集和分析终端的网络行为成为可能。一方面，作为下接终端、上连网络的关键节点，环境采集终端数据安全保证十分重要，但是现阶段缺乏快速有效的数据传输访问的安全保护措施；另一方面，边缘物联终端的种类繁多，无论架构还是系统，都存在较大差异，现有安全防护技术无法很好地覆盖。

发明内容

本发明的目的是提出一种基于零信任的能源站安全监控系统及方法，通过镜像设备搭建匹配平台服务器的模拟运行环境，可以对连通的零信任边代设备的信息进行预运行分析，根据异常等级制定不同的网络通信模式，极大的保证了平台服务器的安全运行。

为实现上述技术目的，本发明提供的一种技术方案是，一种基于零信任的能源站安全监控系统，包括有安装于能源站的若干数据采集终端、零信任边代设备、零信任网关设备、镜像设备、防火墙以及平台服务器；若干所述数据采集终端通过零信任边代设备与防火墙建立通信，所述平台服务器通过零信任网关设备与防火墙建立通信，所述镜像设备分别与防火墙和平台服务器进行信息交互，所述镜像设备通过提取平台服务器的特征信息搭建虚拟仿真运行环境进行能源网络安全验证服务。

作为优选，所述镜像设备包括有软件池、操作系统池、特征提取单元、更新单元以及虚拟环境模拟器；所述软件池和操作系统池中存储有平台服务器运行所依赖的操作系统以及应用软件，所述特征提取单元获取平台服务器中的操作系统和应用软件的IP以及版本号，所述虚拟环境模拟器根据特征提取单元获取的操作系统和应用软件的IP以及版本号调取软件池和操作系统池对应的操作系统和应用软件进行模拟运行；所述更新单元用于软件池和操作系统池的系统和软件的更新。

作为优选，所述防火墙包括有安全基线提取单元、危情分析单元、白名单单元以及网关设置单元，所述安全基线提取单元设置有零信任边代设备的若干零信任指纹信息；所述危情分析单元通过对零信任指纹信息进行验证打分进而确定危情等级，根据危情信息等级确定信息安全传输方式；所述白名单单元用于存储有可信的零信任边代设备的MAC地址；所述网关设置单元与零信任网关设备进行通信，确定对应的网络通信模式。

作为优选，所述零信任指纹信息包括有零信任边代设备的操作系统版本信息、MAC地址、端口信息、协议信息、服务信息、上线时间信息、IP信息、接入位置信息以及业务流量信息；防火墙与零信任边代设备连通后，安全基线提取单元获取对应的零信任边代设备的零信任指纹信息，通过与镜像设备进行交互运行，判断零信任指纹信息是否存在异常，若其中某一项异常，则异常分值加1，通过异常分值确定异常等级，网关设置单元根据对应的异常等级确定网络通信模式。

作为优选，异常分值小于3分，表示低风险，网络通信模式为访问通道保持畅通，同时生成异常日志；