[发明专利]电力行业泛在物联网安全防护网关系统、方法及部署架构

权利要求书

1.一种电力行业泛在物联网安全防护网关系统，物联网终端设备分别通过对应的各物联网安全防护网关接入到核心企业网；物联网终端设备支持旁路管控、串行管控、接入认证管控三种方式接入物联网安全防护网关；每一物联网安全防护网关包括系统状态模块、系统管理模块、网络发现模块、流量自学习模块、终端指纹探测模块、终端指纹变化感知识别模块、行为感知模块、终端准入白名单模块、安全规则模块、网络防护模块、VPN配置模块、集中管理模块、日志审计模块；其特征在于：

所有物联网安全防护网关均通过可视化集控平台连接到可视大屏；

系统状态模块用于对所接入物联网终端设备的状态监控、会话统计和记录阻断事件；

系统管理模块用于系统设置和网络设置；

网络发现模块用于自动发现物联网终端，并实现设备和网络访问的可视化呈现；

流量自学习模块用于根据网络流量自动发现资产、连接关系、通信协议以及应用层访问指令，并自动推荐安全策略，协助管理员轻松生成、维护网络安全策略；

终端指纹探测模块用于设备指纹信息探测，并根据探测内容为物联网终端建立指纹基线并对其进行审批，实现物联网终端准入控制；所述设备指纹信息包括IP、MAC、操作系统、软件版本和开发端口信息；

终端指纹变化感知识别模块用于实时监控已准入物联网终端的指纹信息变化情况，当已接入终端指纹信息发生变化时，自动采取隔离告警通知管理员或在可视化集控平台进行告警展示，或直接启动阻断策略第一时间将可疑终端进行隔离；

行为感知模块用于与上级可视化集控平台互动提供物联网终端支持漏洞发现、弱口令风险和威胁感知能力；

终端准入白名单模块通过白名单机制实现将指纹信息发生变化及行为异常的终端排除在可信流量之外，从而达到有效隔离的目的；

安全规则模块用于对网络行为进行实时管控，包括自定义规则和自定义特征；

网络防护模块用于提供防火墙策略、地址绑定、地址转换、协议管理、地址管理、会话管理和安全选项；

VPN配置模块用于VPN基本配置、隧道配置和隧道监控，实现基于物联网协议的数据加密传输；

集中管理模块用于泛在物联网安全防护网关系统大规模部署并进行集中管理，全网策略统一下发，设备情况统一展现，日志告警集中显示；

日志审计模块用于日志配置和日志访问，还用于设备管理日志和系统日志的记录和外发。

2.根据权利要求1所述的一种电力行业泛在物联网安全防护网关系统，其特征在于：

系统状态模块包括状态监控模块、会话统计模块和事件中心模块；

所述状态监控模块实现对导览信息、网络信息、设备信息、接口信息、license信息和日志信息的实时监控；

所述导览信息包括发现资产数、日志数和规则数；所述网络信息包括会话数ip排行、资产类型统计、网络吞吐量、并发会话和协议分布图；所述设备信息包括系统信息、CPU和内存使用的仪器盘；所述接口信息包括接口名称、ip地址、发送和接受流量以及启用状态；所述license信息包括模块名称、有效期限、描述和状态；所述日志信息包括触发日志的时间、类型、级别和详细信息；

会话统计模块实现对会话连接进行统计和对连接排行榜进行可视化展示；

统计信息包括当前并发连接数，TCP、UDP、ICMP的连接数，TCP连接的处于各状态的连接数和ICMP处于非应答状态的连接数；连接排行榜展示以源地址统计的连接数的前十名和以目的地址统计的连接数排名的前十名；

事件中心模块用于报告策略中心模块产生的阻断事件，如果设备阻断了一条未放通的连接，策略中心模块将产生一个阻断事件，并将其记录下来；事件中心模块为每个事件提供相应的处理机制来解决误阻断情况；所述事件共有四种状态：未读、已读、已处理和忽略，四种状态的统计个数可查询和筛选；事件中心模块提供处理机制和忽略机制两种方式；事件中心模块为每个事件提供两种处理机制，一是生成一条相应的白名单策略，放通此连接；二是从策略中心模块找到与对应事件相关的白名单策略，更新已有策略放通此连接；事件中心模块提供两种不同程度的忽略机制，一是不再在系统主界面显示，但可查看此事件，当此事件再次产生时，将会重新变为可见；二是添加事件过滤器，此类事件将不再报告。