一种新能源场站安全智能策略计算控制系统

技术领域

本发明涉及电力行业网络安全方面的技术领域，尤其涉及一种新能源场站安全智能策略计算控制系统。

背景技术

我国电力行业网络安全方面的工作起步较早，也已取得一定的成效，但随着新能源行业的迅速发展，新的网络安全风险逐渐呈现，且新能源场站属于关键信息基础设施，现有的安全策略控制体系不足之处也逐渐暴露。

现有技术主要存在以下问题：(1)安全策略存在隐患，现有安全策略控制技术往往缺少对威胁的研判定性，主要以人工配置为主，当出现配置问题时，管理员需要根据策略路径节点逐个分析，效率较低且容易出错，系统安全与稳定性存在隐忧；(2)安全策略优化耗时久，不同设备厂商对策略的表达方式各不相同，操作流程不规范，需要反复进行策略分析优化，缺乏聚合导致安全设备性能损耗；(3)安全策略开通工作复杂，新能源场站建成后出于政策及安全需求，往往配备多种安全防护设备，各安全设备相对独立运行，人工操作环节多，检查内容复杂，缺少自动化流程，导致效率低；(4)安全策略的不可视响应，由于对安全策略的管理缺乏有效的手段，处于“不可见”的状态，无法检查全策略配置的正确性、合规性、执行结果等。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有存在的问题，提出了本发明。

因此，本发明解决的技术问题是：现有技术安全策略存在安全隐患以及耗时久操作复杂的问题。

为解决上述技术问题，本发明提供如下技术方案：一种新能源场站安全智能策略计算控制系统，包括：全息采集分析模块、自动化响应编排模块、智能策略聚合模块、联动实体模块、安全策略全生命周期可视化管理模块；

首先，全息采集分析模块对威胁进行检测、关联和研判，然后由自动化响应编排模块实现对威胁事件的自动化响应闭环处置，接着通过智能策略聚合模块对下发的安全策略进行智能化管理，最后通过联动实体模块实现配置联动和精细化策略下发，整个系统通过安全策略全生命周期可视化管理模块实现对威胁事件处理的流程和结果进行展示。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：所述全息采集分析模块实现了全链条数据采集及威胁检测关联分析，针对多源异构数据全面接入并归一化，通过分析引擎及技术手段对威胁进行检测、关联和研判。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：所述全息采集分析模块可以对Syslog、MetaData、NetFlow等数据进行接入，全面覆盖流量、主机、ICO以及异构厂家的安全设备日志等信息；基于分布式实时流处理引擎，对每个事件进行流式处理，利用机器学习、统计分析、特征检测等多种技术手段结合IOC情报进行深度关联分析及威胁检测，并提供层次化联动响应闭环机制，基于分析研判结果自动化联动相关安全实体下发安全策略。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：所述自动化响应编排模块实现了威胁事件的自动化响应闭环处置，通过剧本方式将满足触发机制的威胁事件进行自动处置，与实体联动下发安全策略。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：所述自动化响应编排模块基于剧本引擎承载，将传统的网络安全系统进行封装和建模，抽象为联动实体；将网络安全系统提供的功能进行封装和建模，抽象为联动实体的动作，通过触发机制，对满足条件的威胁事件进行联动实体并下发安全策略。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：所述智能策略聚合模块针对下发的安全策略进行智能化管理，所下发的安全策略均会通过聚合模型下发，避免安全实体上出现大量重复或相似的安全策略。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：所述智能策略聚合模块每次下发安全策略，均会针对特定联动实体，同样安全策略聚合也会针对特定联动实体；每个安全策略对象包含源安全域、目的安全域、源IP、目的IP、服务这五个维度，每次新的安全策略下发，首先会解析这五个维度，判断新安全策略与现有安全策略是否存在相同、子集、超集、相似等可聚合关系，再基于聚合规则，对可聚合的安全策略，通过不同维度的结果集取交集操作进行安全策略聚合。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：所述联动实体模块实现与具备阻断能力的安全实体进行配置联动、支持精细化策略下发，包括虚拟化安全设备/系统、网络安全设备/系统、终端安全设备/系统。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：所述联动实体模块可以覆盖联动云、网、端侧相关安全防护实体，并做到精细化的安全策略下发；

针对云环境安全防护设备可以做到时间、IP、端口、服务、协议等精细化安全策略管控；

针对网络安全防护设备可以做到时间、IP、端口、服务、协议等精细化安全策略管控；

针对终端安全管理系统可以做到访问控制、结束进程、隔离文件、重启系统、USB白名单、组织非信任USB等精细化安全策略管控。

作为本发明所述的新能源场站安全智能策略计算控制系统，其中：每一个安全策略自动化响应闭环均以一个剧本形式进行呈现，所述安全策略全生命周期可视化管理模块对剧本的响应执行过程及结果进行全流程记录，提高可读性的同时便于追溯执行过程，会将安全策略的基础信息、触发逻辑、响应记录、运行数据、配置详情、执行结果等，以图形列表方式呈现，对安全策略实现全生命周期的可视化管理。

本发明的有益效果：本发明提供的新能源场站安全智能策略计算控制系统，集多源数据采集、分析、研判、响应于一体，简化了人工做操流程的同时提高安全策略的精准性；利用安全策略聚合模型对安全策略下发前进行聚合，避免安全实体上出现大量重复或相似的安全策略，影响安全实体的性能，同时保证安全策略的有效性合法性；安全策略控制下发覆盖云、网、端侧安全实体，适用安全场景更为全面；安全策略全生命周期可视化呈现，一目了然，提升工作效率。与现有技术相比，本发明具备更好的自动化、智能化、可视化安全策略计算控制能力。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：

图1为本发明一个实施例提供的新能源场站安全智能策略计算控制系统的模块构成图；

图2为本发明一个实施例提供的新能源场站安全智能策略计算控制系统的宏观处理流程图；

图3为本发明一个实施例提供的新能源场站安全智能策略计算控制系统的DAG有向无环数据结构图；

图4为本发明一个实施例提供的新能源场站安全智能策略计算控制系统的剧本动态执行调度结构图；

图5为本发明一个实施例提供的新能源场站安全智能策略计算控制系统的安全策略聚合算法模型流程图；

图6为本发明一个实施例提供的新能源场站安全智能策略计算控制系统的安全策略联动管控实体及动作图

图7为本发明一个实施例提供的新能源场站安全智能策略计算控制系统的安全策略计算管控全生命周期可视化图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。

本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。

同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

参照图1—6，为本发明的一个实施例，该实施例提供了一种新能源场站安全智能策略计算控制系统，包括：全息采集分析模块、自动化响应编排模块、智能策略聚合模块、联动实体模块、安全策略全生命周期可视化管理模块；首先，全息采集分析模块对威胁进行检测、关联和研判，然后由自动化响应编排模块实现对威胁事件的自动化响应闭环处置，接着通过智能策略聚合模块对下发的安全策略进行智能化管理，最后通过联动实体模块实现配置联动和精细化策略下发，整个系统通过安全策略全生命周期可视化管理模块实现对威胁事件处理的流程和结果进行展示

具体的，全息采集分析模块实现了全链条数据采集及威胁检测关联分析，针对多源异构数据全面接入并归一化，通过分析引擎及技术手段对威胁进行检测、关联和研判。全息采集分析模块可以对Syslog、MetaData、NetFlow等数据进行接入，全面覆盖流量、主机、ICO以及异构厂家的安全设备日志等信息；基于分布式实时流处理引擎，对每个事件进行流式处理，利用机器学习、统计分析、特征检测等多种技术手段结合IOC情报进行深度关联分析及威胁检测，并提供层次化联动响应闭环机制，基于分析研判结果自动化联动相关安全实体下发安全策略。

具体的，自动化响应编排模块实现了威胁事件的自动化响应闭环处置，通过剧本方式将满足触发机制的威胁事件进行自动处置，与实体联动下发安全策略。自动化响应编排模块基于剧本引擎承载，将传统的网络安全系统进行封装和建模，抽象为联动实体；将网络安全系统提供的功能进行封装和建模，抽象为联动实体的动作，通过触发机制，对满足条件的威胁事件进行联动实体并下发安全策略。

应说明的是，剧本执行引擎将数字化的剧本构造为DAG(有向无环图)数据结构，如图3所示，DAG的每一个顶点表达安全响应的一个独立的过程，每一条边表达安全响应过程之间的先后依赖关系。由于剧本中每一个安全响应过程对外暴露统一的接口，剧本执行引擎无需了解每一个接口内部的实现细节，所以将每一个动作进行抽象建模，实现统一的剧本动作接口。剧本执行引擎将剧本的执行过程抽象为一个状态机，DAG的每一个顶点表达状态机的一个状态，每一条边表达状态机的状态转移过程。剧本执行引擎执行剧本时，通过对当前剧本的DAG进行拓扑排序，得到剧本状态机需要转移的下一个状态，然后执行该状态对应的安全响应的过程，如图4所示。安全响应执行完以后，将该过程对应的顶点从DAG中删除，再将剩余的剧本数据结构重新构造为新的DAG。DAG的所有顶点按照相同的过程执行，直到DAG不再包含顶点，状态机下一个转移状态是结束状态时，剧本执行结束。

具体的，智能策略聚合模块针对下发的安全策略进行智能化管理，所下发的安全策略均会通过聚合模型下发，避免安全实体上出现大量重复或相似的安全策略。智能策略聚合模块每次下发安全策略，均会针对特定联动实体，同样安全策略聚合也会针对特定联动实体；每个安全策略对象包含源安全域、目的安全域、源IP、目的IP、服务这五个维度，每次新的安全策略下发，首先会解析这五个维度，判断新安全策略与现有安全策略是否存在相同、子集、超集、相似等可聚合关系，再基于聚合规则，对可聚合的安全策略，通过不同维度的结果集取交集操作进行安全策略聚合。

具体的，联动实体模块实现与具备阻断能力的安全实体进行配置联动、支持精细化策略下发，包括虚拟化安全设备/系统、网络安全设备/系统、终端安全设备/系统。联动实体模块可以覆盖联动云、网、端侧相关安全防护实体，并做到精细化的安全策略下发，如图6所示；针对云环境安全防护设备(如虚拟化防火墙、微隔离管控等)可以做到时间、IP、端口、服务、协议等精细化安全策略管控；针对网络安全防护设备(如防火墙、IDS、IPS等)可以做到时间、IP、端口、服务、协议等精细化安全策略管控；针对终端安全管理系统(如EDR类产品)可以做到访问控制、结束进程、隔离文件、重启系统、USB白名单、组织非信任USB等精细化安全策略管控。

具体的，每一个安全策略自动化响应闭环均以一个剧本形式进行呈现，所述安全策略全生命周期可视化管理模块对剧本的响应执行过程及结果进行全流程记录，提高可读性的同时便于追溯执行过程，会将安全策略的基础信息、触发逻辑、响应记录、运行数据、配置详情、执行结果等，以图形列表方式呈现，对安全策略实现全生命周期的可视化管理。

实施例2

参照图2—7，为本发明的一个实施例，该实施例提供了一种新能源场站安全智能策略计算控制系统，为了验证本发明的有益效果，通过具体的实施场景进行科学论证。

如图2所示，基于新能源场站的网络结构以及安全设备情况部署本发明提供的系统，实现对新能源场站网络流量、安全设备、主机数据等信息的接入，通过自动化关联分析响应闭环机制，对威胁进行关联分析研判，同时联动实体，进行安全策略的下发管控，安全策略下发前进行智能聚合，并提供可视化流程编排能力。

以“虚拟生产”威胁事件为例，通过剧本对该类事件进行配置编排，实现针对该类事件的安全策略自动化响应闭环：

①系统基于前端采集的多源数据，通过内置检测引擎，对原始流量进行解析，分析其协议特征(属于stratum协议)，提取Metadata日志(与IOC情报比对，属于恶意域名)，同时结合终端状态检测(进程、CPU使用率)判定其为恶意行为；

②满足触发条件，执行编排的自动化响应剧本流程，与相关安全实体联动(防火墙、EDR)；

③如图5所示，安全策略下发前通过策略聚合模型进行策略重复、相似、合法性检测，完成后对防火墙下发阻断IP及阻断时长策略，对EDR下发结束进程并隔离策略；

④如图7所示，系列会对该剧本的执行响应过程进行全流程记录。

应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。