降低网络安全监测装置资产告警率的方法与流程

1.本发明涉及网络安全监测，具体地，涉及一种降低网络安全监测装置资产告警率的方法。


背景技术：

2.网络安全监测装置是指部署于电力监控系统局域网网络中的安防设备，用以对监测对象的网络安全信息采集，实现对本地电力监控系统设备安全信息的采集、处理，同时把处理的结果通过通信手段送到调度机构部署的网络安全管理平台。
3.所有接入网络安全监测装置的主机设备、网络设备、防火墙、正/反向隔离、入侵检测设备等各类设备统一称为资产，所有资产自身状态均可被网络安全监测装置所感知，资产有网络漏洞即产生告警并经由网络安全监测装置采集上送至网络安全管理平台。
4.网络安全监测装置数据采集软件，简称探针，安装在通用操作系统的服务器、工作站、嵌入式等各类主机中，将主机设备与网络安全监测装置连接起来，通过探针监测主机设备相关安全事件，当主机有安全事件发生时即生成报文发送到网络安全监测装置，同时生成日志记录事件。
5.资产告警率为网络安全监测装置接入资产中产生告警的资产占资产总数的比例：
[0006][0007]
网络安全监测装置产生告警意味着变电站内存在网络漏洞，面临被不法分子从网络层面恶意攻击的风险更大，因此告警产生后需加快告警消除进度。


技术实现要素：

[0008]
为解决现有技术中存在的不足，本发明的目的在于，提供一种降低网络安全监测装置资产告警率的方法。
[0009]
本发明采用如下的技术方案。
[0010]
一种降低网络安全监测装置资产告警率的方法，所述方法包括步骤：
[0011]
(1)对告警资产进行调查分析，找到网络安全监测装置资产告警率高的原因为linux后台机告警数量多；
[0012]
(2)对linux后台机告警数量多展开原因分析，得到主要原因为usb存储设备未禁用和非法端口未关闭；
[0013]
(3)针对usb存储设备未禁用的问题，采用物理封堵usb端口，或者采用软件关闭和物理封堵结合；
[0014]
(4)针对非法端口未关闭的问题，研发端口关闭助手程序，利用程序关闭linux主机开放的非法端口。
[0015]
进一步地，步骤(1)具体包括步骤：
[0016]
(1.1)对不同告警资产类型的告警情况进行统计分析，得到告警资产主要分布在
主机设备中；
[0017]
(1.2)结合告警日志按照主机设备的类型进一步分层分析，得到主机类告警资产中主要为后台机告警；
[0018]
(1.3)按照后台机的操作系统类别继续分层分析，得到在后台机告警资产中，linux后台机占比远高于其他类型后台机。
[0019]
进一步地，不同告警资产类型包括主机设备、网络设备、网监设备、防火墙设备。
[0020]
进一步地，主机设备类型包括后台机、信息子站、故录主机、网分主机、顺控主机。
[0021]
进一步地，步骤(2)中，linux后台机告警数量多的原因包括培训时长短、未张贴安全提示标签、cpu占用率高、运行年限长、usb存储设备未禁用、光驱未禁用、非法端口未关闭、端口白名单未添加业务端口、探针程序误报。
[0022]
进一步地，步骤(3)中，物理封堵为usb端口安全塞，设计有倒刺卡位，内部具有螺旋机关，使其无专用工具无法拔出。
[0023]
进一步地，步骤(3)中，软件关闭为在终端输入命令关闭usb端口。
[0024]
进一步地，步骤(4)中，端口关闭助手程序包括登录端口关闭程序，显示主机当前端口及服务状态，备份主机当前端口及服务状态，然后执行端口关闭，并显示主机当前端口及服务状态，然后判断关闭后主机是否运行正常，是则结束程序，否则还原备份，检查端口及服务再重新执行端口关闭。
[0025]
进一步地，步骤(4)中，使用python语言对端口关闭助手进行开发。
[0026]
进一步地，步骤(4)中，设计端口关闭助手可视化人机交互界面。
[0027]
本发明的有益效果在于，与现有技术相比，降低变电站网络安全监测装置资产告警率，有效减少了公司网络安全监测装置资产告警，提高了变电站内网络安全防护水平，杜绝变电站被黑客或非法组织恶意攻击的可能，从网络层面保障大电网的安全稳定运行，维护国家网络空间主权。
附图说明
[0028]
图1为本发明所述的降低网络安全监测装置资产告警率的方法流程图；
[0029]
图2为端口关闭助手执行流程图。
具体实施方式
[0030]
下面结合附图对本技术作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本技术的保护范围。
[0031]
如图1所示，本发明所述的降低网络安全监测装置资产告警率的方法，包括步骤：
[0032]
(1)对告警资产进行调查分析，找到网络安全监测装置资产告警率高的主要原因，linux后台机告警数量多；
[0033]
(1.1)对不同的告警资产类型的告警情况进行统计分析，包括主机设备、网络设备、网监设备、防火墙设备等，得到告警资产主要分布在主机设备中；
[0034]
(1.2)在确认主机设备是引起网监资产告警的主要问题后，结合告警日志按照主机设备的类型包括后台机、信息子站、故录主机、网分主机、顺控主机进一步分层分析，得到主机类告警资产中主要为后台机告警；
[0035]
(1.3)按照后台机的操作系统类别继续分层分析，得到在后台机告警资产中，linux后台机占比远高于其他类型后台机。
[0036]
(2)对linux后台机告警数量多，展开原因分析，得到linux后台机告警数量多的主要原因为usb存储设备未禁用和非法端口未关闭；
[0037]
linux后台机告警数量多的原因包括培训时长短、未张贴安全提示标签、cpu占用率高、运行年限长、usb存储设备未禁用、光驱未禁用、非法端口未关闭、端口白名单未添加业务端口、探针程序误报。
[0038]
经过现场对诸多原因进行确认分析，得到linux后台机告警数量多的主要原因为usb存储设备未禁用和非法端口未关闭。
[0039]
具体，随机抽样检查linux后台机usb存储设备禁用情况；根据试验方法对usb存储设备未禁用的后台机进行禁用，统计试验前后告警情况。验证linux后台机usb存储设备禁用后是否降低linux后台机告警率，以此判断对症结影响程度。
[0040]
统计所有变电站linux后台机端口白名单添加情况，统计分析是否有linux后台机端口白名单未添加业务端口，并判断对症结影响程度。
[0041]
(3)针对usb存储设备未禁用的问题，采用物理封堵usb端口，或者采用软件关闭和物理封堵结合；
[0042]
可以采用物理封堵usb端口，购买usb安全塞，物理封堵linux后台机usb端口；usb端口安全塞，设计有倒刺卡位，使其无专用工具无法拔出，有效防止他人恶意接入usb存储设备；内部具有螺旋机关，通过专用工具螺旋收紧倒刺从而将安全塞拔出。
[0043]
或者，采用软件关闭和物理封堵结合，既在终端输入命令关闭usb端口，也用usb安全塞物理封堵。结合软件关闭及物理封堵，双重保障，有效关闭usb端口，防止他人恶意接入usb存储设备，引发信息网络安全事件。
[0044]
具体地，查询标准usb端口尺寸，并购买合适规格的usb端口安全塞。制定计划表，前往各变电站在linux后台机安装usb端口安全塞并使用命令从网络层面关闭usb端口。
[0045]
(4)针对非法端口未关闭的问题，研发端口关闭助手程序，利用程序关闭linux主机开放的非法端口；
[0046]
研发端口关闭助手程序，利用程序关闭linux主机开放的非法端口。研发端口关闭助手程序，将人工在linux主机终端输入的检查和关闭命令通过程序来实现，设计端口关闭助手可视化人机交互界面，方便、高效、准确的关闭高危端口和不必要的服务。
[0047]
设计端口关闭助手执行流程图，如图2所示，确定程序框架；根据方案进行端口关闭程序开发，完成各个模块功能；进行程序功能测试；利用端口关闭助手关闭变电站linux后台机所有非法端口。
[0048]
端口关闭助手程序包括登录端口关闭程序，显示主机当前端口及服务状态，备份主机当前端口及服务状态，然后执行端口关闭，并显示显示主机当前端口及服务状态，然后判断关闭后主机是否运行正常，是则结束程序，否则还原备份，检查端口及服务再重新执行端口关闭。
[0049]
完成程序设计后，使用python语言对端口关闭助手进行开发。使用基于python的tkinter图形用户界面库对程序进行开发，tkinter图形用户界面库中包含众多图形界面控件，包括lable标签、button按钮、entry文本框等，利用该库完成开发。
[0050]
完成端口关闭助手开发任务后，在110kv嘉宝变电站对其进行程序测试，测试结果如表1。
[0051]
表1
[0052][0053]
由测试结果可以看出，测试过程中一共登录4个ip地址，即4台linux后台机，每个linux后台机分别开放一些非法端口，利用端口关闭助手，成功将其关闭。
[0054]
以下以具体试验进行本发明方法进行验证。
[0055]
统计使用本发明降低网络安全监测装置资产告警率的方法后的网络安全监测装置资产告警率，如表2。
[0056]
表2
[0057]
月份资产总数告警资产资产告警率2021.04640284.38％2021.05645284.34％2021.06652294.45％总计1937854.39％
[0058]
如表2所示，使用本发明所述的方法可以有效降低网络安全监测装置资产告警率。
[0059]
本发明的有益效果在于，与现有技术相比，降低变电站网络安全监测装置资产告警率，有效减少了公司网络安全监测装置资产告警，提高了变电站内网络安全防护水平，杜
绝变电站被黑客或非法组织恶意攻击的可能，从网络层面保障大电网的安全稳定运行，维护国家网络空间主权。
[0060]
本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述，但是本领域技术人员应该理解，以上实施示例仅为本发明的优选实施方案，详尽的说明只是为了帮助读者更好地理解本发明精神，而并非对本发明保护范围的限制，相反，任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。