[发明专利]电力网络的处理方法、装置和系统

说明书

本发明公开了一种电力网络的处理方法、装置和系统。其中，该方法包括：获取电力网络中安全设备的防护策略；对防护策略进行分析，得到分析结果，其中，分析结果用于表征防护策略是否有效；在分析结果为防护策略无效的情况下，对防护策略进行处理，其中，处理包括如下一种或多种：删除、合并。本发明解决了现有技术的电力网络中安全设备无法满足安全防护要求的技术问题。

技术领域

本发明涉及电力系统领域，具体而言，涉及一种电力网络的处理方法、装置和系统。

背景技术

目前国网青海省电力公司信息通信公司现有的网络安全防御体系综合采用防火墙、入侵检测、主机监控、身份认证、防病毒等多种手段构筑堡垒式的刚性防御体系，阻挡或隔绝外界入侵，如图1所示，由防火墙、入侵检测、入侵防御、信息网络边界安全检测探针、内外网防病毒、内外网统一漏洞补丁管理系统、内外网桌面终端管理系统、系统漏洞扫描设备、未知威胁感应设备、流量控制及溯源等系统组成。

省公司针对数据中心、营销、ERP等边界数据传输安全，在各应用区域边界均部署有安全域边界防火墙，在安全域边界防火墙上设置基于五元组的安全防护策略实现对数据中心、营销、交易等系统端口级的安全访问控制。在各安全域旁路部署IDS/IPS安全设备，采用基于特征库匹配的方式对省公司网络中的异常流量、木马、蠕虫、SQL注入、XSS等已知威胁进行有效检测与呈现。并通过IPS对SQL注入、XSS等应用层攻击行为进行精确阻断，保障业务系统应用级安全。

在骨干网络上部署有防火墙、入侵防御等安全产品，采用防火墙安全策略和IPS特征库保障青海公司纵向骨干网络安全。

地市通过部署入侵检测、防火墙等安全设备，采用源地址+目的地址+端口的方式实现访问控制，降低未知风险和威胁。

但是，这种静态分层的深度防御体系基于先验知识，在面对已知攻击时，具有反应迅速、防护有效的优点，但在对抗未知攻击对手时，则无法进行有效感知、告警与定位，且存在自身易被攻击的危险。在这种防御体系中，由于基本的安全防护设施通常采用固定部署模式，相关的协议、服务、应用和运行参数等也普遍缺少变化部署，使得攻击者可以进行长期分析，查找并利用系统漏洞，攻击得手后即可持续长期控守，持续危害系统安全，而且单个攻击手段一旦对局部生效，很容易扩散开来，对全网造成大面积影响。

针对现有技术的电力网络中安全设备无法满足安全防护要求的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种电力网络的处理方法、装置和系统，以至少解决现有技术的电力网络中安全设备无法满足安全防护要求的技术问题。

根据本发明实施例的一个方面，提供了一种电力网络的处理方法，包括：获取电力网络中安全设备的防护策略；对防护策略进行分析，得到分析结果，其中，分析结果用于表征防护策略是否有效；在分析结果为防护策略无效的情况下，对防护策略进行处理，其中，处理包括如下一种或多种：删除、合并。

进一步地，对防护策略进行分析，得到分析结果包括：对防护策略的逻辑进行分析，判断防护策略中是否存在预设策略，其中，预设策略包括如下一种或多种：交叉策略、冗余策略、冲突策略和合并策略；获取电力网络的数据流量，并判断防护策略与数据流量的第一匹配度是否大于等于第一预设阈值，其中，数据流量包括：业务流量和管理流量；获取预设防护名单，并判断防护策略与预设防护名单的第二匹配度是否大于等于第二预设阈值，其中，预设防护名单包括：黑名单和白名单；在防护策略中不存在预设策略，第一匹配度大于等于第一预设阈值，且第二匹配度大于等于第二预设阈值的情况下，确定分析结果为防护策略有效；在防护策略中存在预设策略，第一匹配度小于第一预设阈值，或第二匹配度小于第二预设阈值的情况下，确定分析结果为防护策略无效。

进一步地，在对防护策略进行处理之后，上述方法还包括：获取电力网络的数据流量，安全设备的第一设备信息，其中，第一设备信息包括：安全设备的操作系统信息和开放的端口信息；基于数据流量和设备信息，得到安全设备之间的关联关系；显示关联关系。