[发明专利]一种现场作业终端安全接入防护和检测系统

权利要求书

1.一种现场作业终端安全接入防护和检测系统，其特征在于：包括设备层、数据层、业务层和应用层，其中：

接入层：用于现场作业终端接入防护系统；

数据层：用于存储基础数据、构建数据模型和分析实时数据；

业务层：由安全接入、安全防护和安全监测三部分组成：

应用层：由具备可信档案管理、防护策略设置、监控及预警、漏洞扫描、入侵检测业务功能的WEB端的统一管理平台组成。

所述安全接入是指从现场作业终端在接入阶段的身份认证层面进行安全控制，通过防护系统读取现场作业终端的档案信息与防护系统中的可信绑定档案关系进行校验，并由防护系统监控和记录接入过程的日志，实现设备接入业务系统前即接入阶段的安全校验管理；

所述安全防护是指通过对传输数据采取加密、压缩和脱敏防篡改策略，以及对现场作业终端端口扫描和运行时漏洞检测措施，并在安全防护的策略中增加数据完整性的校验机制；从数据防篡改、漏洞检测、安全防御和入侵检测几个方面进行防护，保障现场作业终端与系统通信过程中作业终端、链路和内网系统的安全；

所述安全监测是指通过对现场作业终端运行状态、操作行为和SIM卡流量的监控，采用数据建模分析和大数据分析，对异常突变行为能够及时判断出来并发出告警；通过操作日志和请求历史记录的存储记录对数据信息流的审计和识别，采集运维闭环模块；

所述数据防篡改通过对数据和链路采用数据加密、数据压缩、数据脱敏处理，预防数据被攻击篡改；

所述数据加密在现场作业终端与用电信息采集系统进行数据传输阶段，通过对数据加密和链路加密保障数据的安全性和完整性，利用电能计量密码机和现场作业终端安全单元的密钥体系，对通信信道中的数据进行统一双向加解密和数据完整性校验，保障数据在传输过程中的安全性和完整性；现场作业终端安全接入防护及监控管理系统接入电能计量密码机，当现场作业终端请求业务系统的数据时，防护与监控管理系统会根据现场作业终端安全单元的版本，调用密码机函数生成随机数、密文、签名和消息鉴别码对数据进行加密，由安全单元进行解密，并通过对应的密钥以及与之相匹配的密匙进行校验，有效防止通信信道上的主动攻击：

所述数据压缩采用基于JDK deflate的压缩算法，对传输的数据根据业务需求综合压缩程度和压缩效率选用压缩级别；在数据传输中结合MD5，实现数据一致性的校验；

所述数据脱敏采用脱敏规则进行数据的变形，实现敏感数据的可靠保护，对现场作业终端请求接口数据的敏感字段定义包含掩码、截断、空值、加密四种敏感规则；

所述漏洞检测采用对要安装到现场作业终端的应用软件进行安全漏洞检测，主要包括权限漏洞检测、静态漏洞检测、运行漏洞检测；

安全监测：通过对现场作业终端运行状态、操作行为和SIM卡流量的监控，采用数据建模分析和大数据分析，对异常突变行为能够及时判断出来并发出告警；通过操作日志和请求历史记录的存储记录对数据信息流的审计和识别，采集运维闭环模块；安全检测将设备在接入和防护过程中的数据和日志信息进行识别、记录、存储和分析，监测到谁对这个活动负责，提供安全审计的数据支持；同时，根据防护策略和预定的安全标准设置告警机制；终端接入监测：实现对现场作业终端的实时在线监测，包括合法和非法的设备接入请求，通过安全接入管理的身份认证、访问控制、权限管理以及登录注销日志的实时监测、记录、存储和分析，针对不符合规范的请求接口、非法设备接入和频繁登录异常情况设置告警；根据在安全防护部分已定义的防护策略进行系统自动或人工断开连接和限制访问；提供日志记录、存储、分析和告警识别，能够按照日期、日志类型、告警级别条件进行检索；实现设备异常时通过弹框提示、声音形式进行主动告警；提供根据已定义的防护策略进行系统自动或人工断开连接和限制访问的设备管理；终端运行状态监控：实现对现场作业终端的性能数据实时在线监测，包括终端主机资源占用情况；终端应用安装和运行情况信息；进程运行状态、网络访问状态、硬件接口状态信息；能够依照定义的防护策略进行告警管理；提供运行状态的日志记录、存储、分析和告警识别，能够按照日期、日志类型、告警级别条件进行检索；实现设备异常时通过弹框提示、声音形式进行主动告警；提供根据已定义的防护策略进行系统自动或人工断开连接和限制访问的设备管理，且能够记录加固策略升级的完成情况；包括终端主机资源占用情况；终端应用安装和运行情况信息；进程运行状态、网络访问状态、硬件接口状态运行状态时的信息获取与上传；终端操作日志监测和审计：现场作业终端的操作日志；现场作业终端应用的操作通过应用与系统接口请求记录日志，并进行分析；对于不符合规范的操作日志进行颜色标记、弹框提示和声音提示；登录连续输入多次错误密码的日志上传到系统；流量监控和审计：通过获取现场作业终端各个应用使用SIM卡上传和下载的流量数据，按照日期和时段进行流量建模分析，将当前的SIM卡总流量和某个应用当前使用的流量与系统自动建模的流量模型进行比对，及时发现流量突变异常情况，并进行告警；记录、存储、分析流量使用情况，并根据日期和时间要素构建流量使用模型，将当前的流量使用情况与流量模型进行比对，异常突变给出流量使用告警；实现流量使用异常时通过弹框提示、声音形式进行主动告警；定期获取现场作业终端SIM卡总流量使用情况，各个应用上传和下载使用的流量情况；并能将流量数据定期上传到系统；

入侵检测分为异常检测和误用检测两种模式；

异常检测根据已定义的正常情况下的数据或日常运行和使用过程中正常情况的建模数据，与当前的数据进行比对，判断当前行为的异常性，发现可能有入侵行为；

误用检测根据收集的信息与网络入侵和系统误用模式数据库中的已知信息进行模式匹配或已知入侵行为的特征库进行匹配，判定当前行为为入侵行为，需要对入侵检测的异常进行预警；实现入侵检测需要的工作；支持定义数据的正常运行范围，根据上传的数据按照时段对运行环境、SIM卡流量和应用安装使用情况进行建模，并将上传的当前数据与历史建模的数据进行比对，进行异常报警；建立已知入侵的特征库，并对非法登录、非法攻击和数据篡改入侵的特征与特征库进行匹配，匹配上的发出入侵告警；现场作业终端的运行环境和终端上系统安装的情况实时或定期上传到安全接入防护及监控系统，上传的数据包括：内存使用情况、CPU使用情况、网络类型、SIM卡流量使用情况、系统应用安装和运行情况；入侵检测：每日下载数据量；同一个掌机对前置频繁、重复、紧凑的访问同一接口；分析使用非正常的通讯协议访问日志记录，分析什么时间多少次的异常恶意访问。