智能配电物联安全认证系统

技术领域

本发明属于电力设备技术领域，特别涉及一种基于零信任的智能配电物联安全认证系统。

背景技术

在电力设备网络中，配电物联网已经成为发展趋势。但是由于电力配电终端设备种类多、网络连接复杂、协议差异大，设备资源有限、网络攻击面广、设备行为分析存在难点，在智能配电网业务管理过程中难以兼顾人防和机防。正是由于传统的配电物联网边端侧存在网络软硬件配置与管理水平落后等困难，网络安全技术创新的同时，更需要网络安全体系化建设以满足日益增长的数字化建设需求。

而在现有的配电设备网络安全体系中，对于设备资源的访问保护，传统方式是划分安全区域，不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界，在网络边界处部署边界安全设备，包括防火墙、入侵防御系统(IPS:Intrusion PreventionSystem)、防毒墙、网站应用级入侵防御系统(Web Application Firewall，WAF)等，对来自边界外部的各种攻击进行防范，以此构建企业网络安全体系，这种传统方式可称为边界安全理念。

在边界安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的(不安全的)，没有较多访问权限，边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制；安全区域内的用户默认都是可信的(安全的)，对边界内用户的操作不再做过多的行为监测，但是这就在每个安全区域内部存在过度信任(认为是安全的，给予的权限过大)的问题。同时由于边界安全设备部署在网络边界上，缺少来自终端侧、资源侧的数据，且相互之间缺乏联动，对威胁的安全分析是不够全面的，因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网(互联网)，这种风险就更为明显。

发明内容

有鉴于此，本发明提供一种智能配电物联安全认证系统，以解决上述技术问题。

一种智能配电物联安全认证系统，所述智能配电物联安全认证系统包括安全管理系统，该安全管理系统包括：

身份认证模块，其包含的认证策略授权模块用于设置认证方式和认证强度；

主动隔离模块，其包含的隔离策略模块用于配置隔离策略，包括是否开启进程隔离、文件隔离、网络隔离、容器隔离或应用隔离中的至少一种；

动态信息分析评估模块，其包含的动态评估策略模块用于设置评估周期、评估指标参数。

进一步的，所述安全管理系统还包括：

访问控制模块，其包含的设备策略授权模块和应用策略授权模块分别对于设备的访问控制策略、应用的访问控制策略进行设置；

软件定义边界模块，其包含的物联网网关模块和物联网控制器模块分别对物联网网关、物联网控制器进行边界的软件定义。

进一步的，所述智能配电物联安全认证系统还包括监控中心平台，该监控中心平台包括：

身份可信验证模块，用于展示数据包括授权访问个数、抵御攻击次数、授权访问方、攻击方以及授权访问趋势；

持续度量模块，包括终端评估态势模块、设备评估态势模块、访问评估态势模块，其中，

终端评估态势模块展示数据包括终端设备类型、ID、设备厂商信息，以及设备厂商数量、终端数量、终端类型、消息总量；

设备评估态势模块展示数据包括边缘代理、漏洞数量、用户分布、用户认证趋势；

访问评估态势模块展示数据包括源服务、目标服务、目标端口、时间戳。

进一步的，所述监控中心平台还包括，

运行监控模块，其包含平台监控模块和物联网网关监控模块，

日志监控模块，其包含操作日志模块，用于持续监控操作系统和应用程序日志，掌握操作系统和应用程序错误、不安全的配置、正在尝试和已经成功的恶意入侵、违反策略的行为。

进一步的，该系统包括安全事件监测响应系统，该安全事件监测响应系统包括，

安全监测模块，其包含容器安全监控模块、网络端口监听模块、文件完整性监控模块，

容器安全监控模块，内置对容器的创建、运行、停止、销毁、以及资源消耗的监控，实现对容器运行异常行为监测和报警，展示数据包括安全事件发现时间、ID、镜像、端口、容器IP、安全事件、事件等级数据；

网络端口监听模块展示数据IP&端口、端口状态、历史网络行为量、常用协议；

文件完整性监控模块，结合配电物联设备的文件审计功能，实现对文件的目录结构、权限、关键内容增量式的细粒度监控，及时发现恶意代码入侵。

进一步的，所述安全事件监测响应系统，还包括，

漏洞扫描模块，用于对配电物联设备进行漏洞和基线扫描，并将变化量上报，结合漏洞库实现脆弱性态势感知；

终端准入模块，用于监测配电物联设备终端端口访问与使用，将端口的使用情况上报，并可根据系统策略实施阻断；

安全加固模块，用于根据物联安全管控规则，对配电物联设备安全加固，包括口令加固、内核虚拟补丁。

进一步的，所述动态评估策略模块包括评估周期和指标配置，其中，指标配置包括，

认证评估参数，包括身份认证成功次数、身份认证失败次数、公网IP变动、证书变动；

终端评估参数，包括数据上报频率、数据上报数量、上报参数数量；

设备评估参数，包括系统漏洞情况、新增软件安装情况、sudo操作、用户认证失败、活跃用户、关键文件变动、异常命令执行、基线核查、恶意软件核查、进程监控；

访问评估参数，包括访问成功次数、访问时间段、非法访问、访问资源列表、访问被拒绝次数、相关应用层协议、访问应用清单。

进一步的，所述监控中心平台，对于接入物联网的配电设备以双向身份鉴别机制，进行设备身份的可信认证，

当外部配电设备在接入物联网络时，由所述系统生成可信报告发送给对方，对方的可信计算平台根据收到的可信报告，执行可信认证，确认接入设备的可信状态。

进一步的，包括对于配电物联设备的可信度量模块，并且可信度量模块进一步包括静态度量模块和动态度量模块，

所述的静态度量模块，在系统完成可信启动后，内核安全机制通过系统调用钩子持续对系统服务、应用程序、内核模块和动态库进行监控，同时，

对文件/设备的打开、读、写，程序的执行进行可信度量，并与访问控制策略相比较，判定识别“自己”、“非己”成分，根据判定结果，以执行、阻止、隔离、审计处置方式对受度量对象进行处置，

所述的动态度量模块，实时监视系统内关键进程、模块、执行代码、数据结构、跳转表，对进程的资源访问行为进行实时度量和控制。

进一步的，所述动态度量根据度量对象不同，又包括进程度量和内核模块度量。

本发明的智能配电物联安全认证系统，基于零信任架构体系，通过在安全管理系统中设置身份认证模块、主动隔离模块、动态信息分析评估模块，结合多个维度的多种手段，综合运用各模块的功能，极大提升了智能配电物联系统边缘侧整体安全防护能力以及智能配电云边协同安全管理水平。

附图说明

通过参考附图阅读下文的详细描述，本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本发明的若干实施方式，其中：

图1是智能配电物联安全认证系统的组成示意图。

图2是智能配电物联安全认证系统中安全管理系统的组成示意图。

图3是智能配电物联安全认证系统中监控中心平台的组成示意图。

图4是智能配电物联安全认证系统中安全事件监测响应系统的组成示意图。

具体实施方式

随着云计算、物联网等新技术新应用的兴起，企业的业务架构和网络环境也随之发生了重大的变化，这给传统边界安全理念带来了新的挑战。比如云计算技术的普及带来了物理安全边界模糊的挑战，远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险，各种设备(BYOD、合作伙伴设备)、各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险，高级威胁攻击(钓鱼攻击、水坑攻击、0day漏洞利用等)带来了边界安全防护机制被突破的风险，这些都对传统的边界安全理念和防护手段，如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战，亟需有更好的安全防护理念和解决思路。

传统边界安全理念先天能力存在不足，新技术新应用又带来了全新的安全挑战，在这样的背景下，零信任的概念应势而出。零信任代表了新一代的网络安全防护理念，并非指某种单一的安全技术或产品，其目标是为了降低资源访问过程中的安全风险，防止在未经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系。

在零信任理念下，网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户，还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证，并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型，而是通过持续的安全监测和信任评估，进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。

根据一个或者多个实施例，如图1～4所示，一种基于零信任架构的智能配电物联安全认证系统，包括安全管理系统、监控中心平台、安全事件监测响应系统。智能配电物联安全认证系统具备身份可信验证、终端评估态势、设备评估态势、访问评估态势、平台监控、物联网网关、操作日志、认证策略授权、软件定义边界(包括物联网网关、物联网控制器)、动态评估策略、隔离策略、容器安全监控、网络端口监听等主要功能模块。

可选的，监控中心平台包括身份可信验证模块、终端评估态势模块、设备评估态势模块、访问评估态势模块、平台监控模块、物联网网关模块以及操作日志模块。

身份可信验证模块用于查看授权访问个数、抵御攻击次数、授权访问方top10、攻击方top10以及授权访问趋势。

终端评估态势模块可以用于选择设备类型、ID、设备商家等参数，并对商家数量、终端数量、终端类型、消息总量等数据进行查看。

设备评估态势模块可以用于选择边缘代理，并展示漏洞数量、用户分布、用户认证趋势等数据。

访问评估态势模块，用于展示源服务Source Service、目标服务DestinationService、目标端口Destination Port、时间戳Timestamp等数据。

可选的，终端评估态势模块、设备评估态势模块以及访问评估态势模块可以整合成为持续度量模块。

可选的，平台监控模块和物联网网关监控模块可以整合成运行监控模块，即运行监控模块可以包括平台监控模块和物联网网关监控模块，用于展示所述监控中心平台所存储的各种数据的百分比、内存数据百分比、CPU运行数据百分比等。

操作日志模块可用于对事件类型进行筛选。例如筛选出操作系统和应用程序错误、不安全的配置、正在尝试和已经成功的恶意入侵、违反策略的行为。

所述监控中心平台还包括可信度量模块，用于对于接入物联网的配电设备以双向身份鉴别机制，进行设备身份的可信认证。当外部配电设备在接入物联网络时，由所述智能配电物联安全认证系统生成可信报告发送给外部配电设备，外部配电设备的可信计算平台根据收到的可信报告，执行可信认证，确认接入设备的可信状态。

所述可信度量模块对于配电物联设备进行可信度量，该可信度量模块还包括静态度量模块和动态度量模块。所述的静态度量模块，在系统完成可信启动后，内核安全机制通过系统调用钩子持续对系统服务、应用程序、内核模块和动态库进行监控。所述的动态度量模块，实时监视系统内关键进程、模块、执行代码、数据结构、跳转表，对进程的资源访问行为进行实时度量和控制。

可选的，操作日志模块可以整合到日志监控模块内。

可选的，该安全管理系统包括：

身份认证模块，其包含的认证策略授权模块用于设置认证方式和认证强度；

主动隔离模块，其包含的隔离策略模块用于配置隔离策略，包括是否开启进程隔离、文件隔离、网络隔离、容器隔离、应用隔离中的至少一种；

动态信息分析评估模块，其包含的动态评估策略模块用于设置评估周期、评估指标参数。

认证策略授权模块，用于对于认证策略授权，可以选择认证方式以及认证强度。

动态评估策略模块，用于设置评估周期、指标配置(认证评估、终端评估、设备评估、访问评估)等参数。其中，动态评估策略包括评估周期和指标配置，指标配置包括：认证评估、终端评估、设备评估以及访问评估。

其中，认证评估主要是用于对身份认证成功次数、身份认证失败次数、公网IP变动情况、证书变动情况等情况进行评估；

终端评估主要用于对数据上报频率、数据上报数量、上报参数数量等情况进行评估；

设备评估主要用于对系统漏洞情况、新增软件安装情况、sudo操作情况、用户认证失败情况、活跃用户情况、关键文件变动情况、异常命令执行情况、基线核查情况、恶意软件核查情况、进程监控情况等信息进行评估；

访问评估主要用于对访问成功次数、访问时间段、非法访问情况、访问资源列表、访问被拒绝次数、相关应用层协议、访问应用清单等信息进行评估。

隔离策略模块用于配置隔离策略，包括是否开启进程隔离、文件隔离、网络隔离、容器隔离、应用隔离。

可选的，所述安全管理系统还包括：访问控制模块以及软件定义边界模块。

访问控制模块，其包含的设备策略授权模块和应用策略授权模块分别对于设备的访问控制策略、应用的访问控制策略进行设置；

软件定义边界模块，其包含的物联网网关模块和物联网控制器模块分别对物联网网关、物联网控制器进行边界的软件定义。

可选的，安全事件监测响应系统可以包括安全监控模块，安全监控模块可以包括文件完整性监控模块、网络端口监听模块、容器安全监控模块。

容器安全监控模块可以用于对容器的创建、运行、停止、销毁、以及资源消耗情况进行监控，实现对容器运行异常行为的监测和报警，以及用于展示数据，展示的数据包括用户所查看安全事件的发现时间、ID、镜像、端口、容器IP、安全事件、事件等级等数据。

网络端口监听模块可以用于根据日期搜索查看IP&端口、端口状态、历史网络行为量、常用协议等。

所述文件完整性监控模块，结合配电物联设备的文件审计功能，实现对文件的目录结构、权限、关键内容增量式的细粒度监控，及时发现恶意代码入侵。

可选的，容器安全监控模块、文件完整性监控模块以及网络端口监听模块可以整合成为安全监测模块。

可选的，所述安全事件监测响应系统，还包括，

漏洞扫描模块，用于对配电物联设备进行漏洞和基线扫描，并将变化量上报，结合漏洞库实现脆弱性态势感知；

终端准入模块，用于监测配电物联设备终端端口访问与使用，将端口的使用情况上报，并可根据系统策略实施阻断；

安全加固模块，用于根据物联安全管控规则，对配电物联设备安全加固，包括口令加固、内核虚拟补丁。

根据一个或者多个实施例，一种基于零信任架构的智能配电物联安全认证系统，包括安全事件监测响应系统，用于对终端配电设备本体进行安全监控检测，并根据需求情况将监控检测结果同步给安全管理系统，安全管理系统对监控检测结果进行详细的安全分析，快速发现和预测潜在风险。

监控检测内容可以包括以下内容。

日志监控：持续监控操作系统和应用程序日志，掌握操作系统和应用程序错误、不安全的配置、正在尝试和已经成功的恶意入侵、违反策略的行为、其他安全和操作问题。

文件完整性监控：结合工业智能终端的文件审计功能，实现对文件的目录结构、权限、关键内容等增量式的细粒度监控，及时发现恶意代码等入侵。

容器监控：内置对容器的创建、运行、停止、销毁、以及资源消耗的监控，实现对容器运行异常行为监测和报警。

其他安全监控：设备运行状态、进程的运行监控、命令执行情况、端口监听状态、设备外联状态等进程持续监控，发现潜在安全问题。

在所述安全事件监测响应系统中，根据需求情况将与物联安全管控系统联动，实现云端-边缘计算协同的智能安全处置，包括，

漏洞扫描模块：为工业智能终端等物联设备高定制的增量式的漏洞和基线扫描，将变化量上报至物联安全管控系统，结合漏洞库实现整体的脆弱性态势感知。

终端准入模块：根据工业智能终端端口情况，监测设备的端口访问(USB、CONSOLE、Ethernet)与使用，将端口的使用情况上报至物联安全管控系统，并可根据物联安全管控系统策略实施阻断。

安全加固模块：根据物联安全管控系统下发的规则情况，实现本机安全加固，包括口令加固、内核虚拟补丁等。

基于零信任架构的智能配电物联安全认证系统，还包括监控中心平台，用于身份可信验证模块的可信认证，采用网络控制层的双向身份鉴别机制用以证明设备身份的可信性，可信认证是对设备运行环境的可信评估和完整性度量，以证明设备的软硬件环境是可以信赖的。否则，在设备接入网络后，易产生恶意软件在网络中传播或对网络进行攻击的危害。

在物联网安全可信接入区，引入可信认证机制，设备在接入网络时，由本地生成可信报告发送给对方，远程的证明本地设备的可信性。远程的可信计算平台根据收到的可信报告，执行可信认证，确认接入设备的可信状态。可信认证机制可以有效的证明本地设备所处的运行环境，如设备的硬件、操作系统、软件等是真实可信的，证明本地设备正处在一种符合预期的运行状态中。安全能力云平台为可信报告的内容提供认证依据。

对设备的可信认证又可进一步分为两个层次：对设备的安全策略评估和对设备的完整性度量。安全策略评估，是通过评估设备内各种安全策略、安全软件的版本信息，判断设备的安全策略是否缺失，安全策略版本是否符合策略管理中心的要求。完整性度量，是通过设备的可信报告对设备的运行状态进行评估，通过由可信平台生成可信报告，对设备的整体运行环境进行完整性度量。

在本实施例中，对于终端设备的可信度量方法，又包括静态度量和动态度量。静态度量，是在系统完成可信启动保证系统初态可信性后，内核安全机制通过系统调用钩子等手段将持续对系统服务、应用程序、内核模块和动态库等进行监控，对文件/设备的打开、读、写，程序的执行等进行可信度量，并与访问控制策略相比较，判定识别“自己”、“非己”成分，根据判定结果，以执行、阻止、隔离、审计等处置方式对受度量对象进行处置。系统对访问控制策略进行的任何修改，需要可信度量机制确认其可信性后才能予以修改，即使是CPU或者操作系统存在后门，攻击者也难以利用这些漏洞来篡改访问控制策略。这样，便形成了静态度量机制，它实现了一种“计算的同时进行安全防护”的主动免疫机制，识别“自己”和“非己”，保护“自己”部分不受干扰，破坏和排斥“非己”部分，以确保信息系统的行为符合预期，保障计算任务运行环境的可信。

本实施例中，基于Linux环境下的LSM机制，利用其中安全钩子机制，来实现对系统上层行为的监控。LSM采取钩子机制接入系统调用中对内核的内部对象处理过程：任务，索引节点，文件等等。在系统调用的合适位置插入一个函数调用接口，该调用接口提供一组通用的安全API，用户可以按照这些API自行编写安全策略处理函数，并通过LSM加载机制让用户的安全策略处理程序对接到这些API之上。当用户进程执行系统调用时，首先按照正常的系统调用顺序执行到LSM机制插入的函数调用接口处，调用接口通过安全API访问用户提供的安全策略处理函数，完成后返回处理结果。系统调用可以根据这一处理结果决定调用是否应当返回，也可以存储处理过程中获取的信息以备其它钩子函数使用。

动态度量模块，实时监视系统内所有关键进程、模块、执行代码、数据结构、重要跳转表等，对进程的资源访问行为进行实时度量和控制，是保障系统安全运行、安全机制不被旁路和篡改的核心部件。根据度量对象不同，该度量架构分两种情况实施信息流动态度量。

1.进程度量，当度量请求发生时，首先检查信息流完整性，如果违背强制访问控制策略，则拒绝进程执行，不进行任何度量。如果符合信息流策略，则首先动态度量进程在内存中的镜像，度量结果为H(p),然后再验证H(p)是否符合策略要求。如果验证通过，则获取进程主体、访问客体、实际操作等信息，并形成最终的信息流动态度量结果；如果验证不通过，则拒绝该进程的执行。

2.内核模块度量，由于只需要动态保证内核模块提供的服务是可信的，因此无需信息流度量。操作系统将维护一个内核模块链表,通过查询该链表获取内核模块的关键数据进行动态度量，以此保证它们的可信。

所述动态度量模块，通过动态度量模型进行。在在动态度量模型中，设α为进行度量的上级节点，β为需要被度量的下级节点，设α对β的行为度量值是通过i个行为度量函数综合评估得出的，将α对β的行为度量函数集合表示为，

每一个

在综合评估每个行为度量函数时，对每个行为度量函数赋予不同的权重，设权重为θ＝{θ

α对β的行为度量值可以用函数Trust(α,β,ε)表示，其中，ε表示度量的时间间隔，节点的度量值具有时效性，根据时间而不断变化，Trust(α,β,ε)的值是将每一个行为度量函数被赋予相应权重后的值进行综合，表示为：

经过以上的一系列计算，上级节点α能够得到下级节点β行为度量值，α根据度量值进行分级，不同的级别对下级节点有不同的反馈控制，度量值越高代表了下级节点β的可信等级就越高，则α对β的反馈响应优先程度就越高。

将节点的可信等级λ分为k个等级，即λ＝{λ

设上级节点α对下级节点β的反馈响应优先程度

其中，上级节点α对下级节点β的反馈响应优先程度是在节点的行为度量完成后得到的，通过行为度量能够有效得出不同节点的可信值，从而根据可信值的大小进行反馈响应优先程度的分级，进一步降低了在传输数据时可能遇到的风险。

根据一个或者多个实施例，一种基于零信任架构智能配电物联安全认证系统，安全事件监测响应系统包括配电终端设备的安全行为识别模型，该识别模型的构建方法包括，

首先，利用特征工程的方法，对采集的终端数据其进行筛选和处理，其中特征处理包括数据清洗、数据规范化和特征衍生与提取；特征筛选采用过滤法、包装法和嵌入法。

通过对比模型对特征分布的要求、模型的鲁棒性、模型的资源消耗情况、模型的可更新性、模型的样本外准确率，选择基于Boosting和树形模型的XGBoost。对于涉及到异常行为画像检测算法，则采用PrefixSpan算法。PrefixSpan算法是基于序列模式增长的序列模式挖掘算法。同时，PrefixSpan算法因其在性能及效率等方面的优势，往往成为对大型的序列数据库进行序列模式挖掘时的首选考虑。

对于需要主动扫描的任务，根据用户指点的IP范围，通过主动扫描认为获取设备信息并且生成日志流。对于不需要主动扫描的任务，采集日志数据，生成日志流送入流处理模型。对于其他不在任务列表中的行为数据，旁路解析生成流量日志，也生成日志流，送入流处理模型。

在识别模型训练完成后，对于终端设备类型识别方法，是将终端送入训练好的模型中，预测终端的类型，若场景中需要识别的终端类型有N个，则模型最终输出命中每一类型终端的概率为。取概率最大的类型识别为终端的类型。

因此，对于本实施例中的终端设备的安全行为识别模型，为了更好地适应不同真实场景中的实际情况，提高算法的适应性，针对有用户交互的场景，该模型在预测功能外，添加在线学习的特性。当模型判断的终端类型与用户的预期不符时，用户通过在交互页面上简单地更新终端的类型，从而一方面修正该终端的类型，另一方面更新模型。模型更新逻辑如下：

1)判断用户是否更新了终端的类型；

2)若用户更新了终端类型，记录该设备不同时间段的数据；

3)当数据积累到一定程度，在原模型的基础上，进一步训练模型，且提高最新数据的权重。

更新后，保存训练好的新模型，并将新模型应用到后续的预测中。

根据一个或者多个实施例，一种基于零信任的智能配电云端-边缘计算协同安全认证系统，基于安全策略的云端联动，将云端威胁情报、知识库以安全策略的机制下发赋能到安全接入设备层，与安全能力融合，使得安全能力向边缘位置下沉，降低与平台的交互时延、减轻网络负担、优化服务处理，实现安全能力云平台安全能力前置到用户和终端层，就近提供安全服务，提供更快的服务响应，满足安全接入设备的实时性、准确性要求。

同时终端侧将未知恶意特征和攻击行为提交云端，利用云端大规模的计算能力和检测能力，实现对未知恶意特征和攻击行为的检测，生成新的安全特征和策略，使得安全策略不断自动生成和自动演进，并将安全策略同步到端侧，实现云端联动的闭环机制，从而有效提升对物联网终端的安全防护能力。

由于安全策略是安全控制规则和安全检测规则的基础。云端根据端侧的业务需求、环境需求动态生成安全策略，通过分布式的策略分发机制同步到端侧，满足策略下发可信可控要求。通过基于策略的云端联动机制，将云端知识、计算能力下发赋能到安全接入设备，降低安全接入设备与平台的交互时延、减轻网络负担，与安全服务能力进行融合，就近提供安全服务，提供更快的服务响应。同时云端对策略进行集中统一管理和配置，实现策略的大规模配置分发，确保安全策略在整体上的一致性。

本实施例中，具体的云端-边缘计算协同安全认证管理措施包括：

1)建设安全接入区，设施包括：安全接入控制器、安全接入网关；

2)所有接入设备必须通过安全接入控制器的安全校验后，方可通过安全接入网关访问原有的主站；

3)在入网智能终端上，部署安全接入代理，实现边缘侧安全防护；

4)边缘侧安全态势是安全接入的一个重要因素。

关于安全策略生成及管理方法，则是依托大数据分析能力，实现从接入数据、业务数据、样本数据等海量数据中发现恶意特征，并进行分类、标记，建立域名、IP、证书指纹、蠕虫后门、样本特征、安全漏洞等知识库，实现数据形成安全威胁情报的价值转变，并依据安全威胁情报生成白名单策略、黑名单策略，管控策略、检测策略及内容过滤策略。同时，基于业务需求、业务变化及安全防护需求，依据策略的关联性、时效性、热度特征，动态组合安全策略并分发到安全接入设备，建立自适应的主动免疫安全防御策略，实现安全策略与安全威胁同步进化，使得在安全接入设备有限的资源条件下，有效提升对物联网终端设备的安全防护及管控能力。

而云端对策略进行集中统一管理和配置，实现策略的大规模配置分发，确保安全策略在整体上的一致性。通过管理策略规则，实现策略优先级、规则冗余、规则有效性的检测配置。

根据一个或者多个实施例，一种基于零信任架构智能配电物联安全认证系统，其中，安全事件监测响应系统包括可持续信任评估模型。持续信任评估是零信任架构从零开始构建信任的关键手段，通过采集终端设备的流量日志、终端系统本体安全日志以及安全接入区环境日志等，以最小信任为原则，采用长短期记忆模型、随机生成树等算法，建立终端设备信任评估模型，实现终端设备在智能配电网基于身份的信任评估能力，同时对访问的上下文环境进行风险评估，收集采集访问日志，对终端的访问行为进行异常行为画像，根据异常行为评估结果动态调整新的信任评估模型。常见的影响信任评估的物理或行为因素有：

1、包括主体(所对应的数字身份)个体行为的基线偏差；

2、主体与群体的基线偏差、主体环境的攻击行为；

3、主体环境的风险行为等影响信任的关键要素。

以上述特征指标为基准，结合漏洞库、威胁情报库等信息，建立异常行为模型，并对此进行量化评估，结合身份态势等进行综合度量，持续为信任评估模型提供异常特征指标，允许终端设备在信任范围内安全访问业务需求，提高访问控制的安全性。

本实施例所述的可持续信任评估模块包含两大功能引擎：

1、信任评估引擎：与访问控制引擎联动，集合分析平台对主题访问客体行为进行信任评估，提供主体信任等级评估、资料安全等级评估以及环境安全评估等，为访问控制引擎提供访问策略。

通过采集各种流量日志，例如客户终端设备访问流量日志、客户终端设备系统本体日志和终端访问行为日志等。通过深度学习算法，结合身份库、权限库等数据，建立信任评估模型以及异常行为等模型，对终端设备访问行为进行持续画像，评估访问终端的可信度，并生成基于当前环境下的最小访问策略树。

2、访问控制引擎：续接收来自信任评估引擎的评估数据，以会话为基本单元，遵循最小权限原则，对所有的访问请求进行基于上下文属性，信任等级和安全策略的动态权限判定，最终决定是否为访问请求授予资源的访问权限。

本实施例中基于零信任架构智能配电物联安全认证系统，还包括针对访问控制引擎的动态访问控制模块，该动态访问控制模块包括接入节点的安全态势评估、恶意节点发现及排除机制、安全接入控制。其中，

接入节点的安全态势评估，通过以接入节点可信度量为基础，融合感知网络任务特征、安全强度要求、安全威胁等级及应对安全威胁的反应机制，综合判定节点的安全态势，实现对接入节点实时监控，在可信组网基础上，确定可信边界，发现并排除恶意节点，保障网络在面临安全威胁时，依然能够完成预期的计算和数据传输任务。对接入节点的安全态势评估根据节点的可信状态、任务特征、保护等级、与该节点所处网络环境、安全威胁等级进行评估，可信状态通过可信判定获取，任务特征描述了该接入节点承担的计算和数据传输任务，不同接入节点的安全等级各不相同，根据“近朱者赤，近墨者黑”这个原则，节点所处网络环境安全威胁等级越高，接入节点的安全态势越严峻。

恶意节点发现及排除机制，通过对接入节点进行安全态势评估，可以在任意时刻了解任意节点的安全状态，可以通过设置一个安全阈值来确认节点是否属于恶意节点。管理节点(假设管理节点是安全可信的)设定安全阈值，然后对该感知网络内的接入节点进行安全态势评估，不仅需要获取当前时刻接入节点的安全态势，还需要根据节点历史的安全态势评估结果进行综合判断，如果将该节点归入临界恶意节点集合，首先对其进行安全策略修复，管理节点将根据策略修复后的未来一段时间内的评估结果对其进行反馈控制，接下来如果该节点的安全态势评估值仍小于设定的安全阈值，那么管理节点将其标记成恶意节点并将其隔离。

安全接入控制，通过SPA技术进行网络层会话链接可信接入控制，通过终端MAC、IP、机器特征码、预设权限等信息进行终端可信证书信息、核心文件HASH、以及当前安全状态等信息用于终端接入判断。零信任网关利用有效期内已获取的可信接入认证授权，向可信认证服务中心的零信任接入网关发送建立可信连接请求SPA(Single PacketAuthorization)，建立安全可信连接。在安全可信的条件下，当可信连接建立后，在持续保持可信连接状态下，无需再次申请授权。在可信连接建立后，零信任安全监控中心将持续对零信任网关和智能终端进行管理，实现对边缘侧设备资产的动态监控能力，建立设备可视、可管。

综合前述的实施例，本发明的技术特点包括：

(1)适配边端侧多元异构智能终端设备，实现本体安全防护。

(2)实现在设备资源有限、分布面广且在不受控区域、采用各类不同信息通讯技术的背景下的安全通讯和云边协同。

(3)覆盖包括生产控制区、管理信息区、互联网区在内的多个不同配电物联网场景，兼顾不同场景业务需求和安全需求。

(4)通过终端可信度量方法和端边动态信任评估及边缘韧性判定模块，与配电自动化主站兼容，实现配电终端对主站系统安全访问的完整性、机密性、可审性和高弹性。

(5)兼顾人防和机防，在经济化建设前提下具有高度可复制性和拓展性，可满足日益新增的配电业务发展。

因此，本发明的有益效果包括：

(1)通过研究台区智能融合终端和能源控制器等各类典型配电智能终端设备的本体安全防护，完善了边缘物联代理安全防护。在电力应用场景方面，通过建设覆盖包括生产控制区、管理信息区和互联网区的边缘侧网络安全防护系统，提升系统在智能配电网的广泛适用性。推动智能配电物联网边缘网络实现内生安全和广泛安全接入。

(2)通过云边协同安全管理，以及零信任架构和软件定义安全策略，建立基于零信任架构的物联安全管理体系。通过终端可信度量方法、动态信任评估和访问，实现以大数据分析为核心的主动防御能力。通过网络安全建设体系和智能配电物联网安全需求特性，实现针对智能配电物联网泛在终端的网络安全弹性防御和响应的安全管理系统，保障配电业务系统的持续安全运行。

值得说明的是，虽然前述内容已经参考若干具体实施方式描述了本发明创造的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。