[发明专利]电力监控主机操作系统网络安全基线快速核查及配置方法

说明书

本发明公开了一种电力监控主机操作系统网络安全基线快速核查及配置方法，根据国家、行业和电网公司电力监控系统网络安全主机基线配置相关要求，构建操作系统配置信息模板库，便于用户根据具体业务系统防护需求灵活选择配置项；提出一种操作系统配置信息解析方法，将配置模板文件转换为目标操作系统能够执行的脚本文件，实现半自动化的主机基线快速配置功能；提出一种操作系统培训信息提取及解析方法，通过提取到的主机配置信息与目标配置模板进行比对，快速分析查找出当前目标操作系统基线配置存在的问题。

技术领域

本发明涉及电力技术领域，更为具体地说，涉及一种电力监控的主机操作系统网络安全基线核查及配置方法。

背景技术

近年来，国内外针对电力监控系统的网络攻击日益频发、规模不断增长，并逐渐演变为国家级的网络空间对抗。我国在信息基础设施、基础软件、信息安全产品、应用软件、网络安全服务等方面，虽然技术和产品与国外同类相比存在一定差距，但基本可以实现对国外产品的替代。但涉及网络安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低，关键芯片、核心软件和部件严重依赖进口，与西方国家差距明显。

随着信息技术与电力调度业务的深入融合，现代智能电网越来越依赖于计算机通信与控制技术，而主机操作系统则是承接电网各业务功能模块的载体，也是电网网络安全防护的最后一道防线。电力监控系统主机一旦被网络入侵和攻陷，则意味着电网控制权的丧失，甚至可能造成对电网一次设备实体的直接破坏。在此背景下，为持续提升我国电力监控系统网络安全风险防控水平和本质安全水平，有效防范黑客及恶意代码等侵入电力监控系统，杜绝因网络安全导致一般及以上电网运行事故，国家和行业提出了建设全面感知、纵深防御的电力监控系统防护体系建设要求，期望通过构建多道防线以阻断来自电网内外部的网络攻击。第一道防线要“堵住入口”，即通过杜绝跨网互联、移动媒介摆渡、源代码缺陷和人为直接操作四大安全风险入口，将电力监控系统网络与互联网实现强隔离；第二道防线要“消除隐患”，即通过全面监视电力监控系统的运行情况，对感知到的安全漏洞即隐患进行持续整改和消缺；第三道防线要“隔离故障”，即通过快速采取设备断网、系统隔离、启动备用系统等解列措施，最大限度减低网络安全事件可能造成的影响。

主机基线配置是为保障电力监控系统主机本体安全而提出的基本要求，是防范来自系统内部安全威胁的重要技术措施和手段。由于电力监控系统网络本身的强隔离特性，导致电网和发电企业无法统一部署远程内网安全管理平台或采取相关技术手段，主机操作系统的基线配置及核查工作主要依赖各单位运维人员人工逐站逐条完成，电力监控系统分布地域广泛、系统及网络设备组成差异大、人员技术参差不齐，导致相关工作的进度和质量难以得到有效管控，全网仍面临较大的网络安全运行风险。本发明提供了一种电力监控系统主机操作系统网络安全基线快速核查及配置方法，用于针对电网电力监控系统网络安全基线配置要求，提供操作系统主机基线配置信息模板，以便用户根据具体业务系统网络安全防护需求快速配置防护策略；通过配置文本解析工具将防护策略文本转义为操作系统能够执行的脚本文件，实现网络安全基线的快速配置功能；通过配置信息解析工具对导出的基线配置信息进行解析，与标准配置模板进行对比后实现基线配置信息的快速核查功能。

发明内容

本发明的目的是提供一种电力监控的主机操作系统网络安全基线核查及配置方法，根据国家、行业和电网公司电力监控系统网络安全主机基线配置相关要求，构建操作系统配置信息模板库，便于用户根据具体业务系统防护需求灵活选择配置项；提出一种操作系统配置信息解析方法，将配置模板文件转换为目标操作系统能够执行的脚本文件，实现半自动化的主机基线快速配置功能；提出一种操作系统培训信息提取及解析方法，通过提取到的主机配置信息与目标配置模板进行比对，快速分析查找出当前目标操作系统基线配置存在的问题。

本发明实施例提供了一种电力监控主机操作系统网络安全基线快速核查及配置方法，包括：

构建操作系统基线配置策略模板，生成基线配置描述文件；