(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111571693.6 (22)申请日 2021.12.21 (71)申请人 南方电网数字电网研究院有限公司 地址 510000 广东省广州市黄埔区中新广 州知识城 亿创街1号 406房之86 (72)发明人 张凌志　敖知琪　姜唯　杨漾　 康旖　刘竹青　刘明伟　 (74)专利代理 机构 汕头兴邦华腾 专利代理事务 所(特殊普通 合伙) 44547 代理人 张树峰　梁凤德 (51)Int.Cl. G06Q 10/10(2012.01) G06Q 50/06(2012.01) (54)发明名称 一种基于共享服务的电网设备全生命周期 监控系统 (57)摘要 本发明涉及电网管理系统技术领域的一种 基于共享服务的电网设备全生命周期监控系统， 包括网络通信安全监控模块、 硬件设备安全监控 模块、 数据安全监控模块、 运维安全监控模块， 所 述网络通信安全监控模块用于对电网设备的网 络通信安全进行监控， 所述硬件设备安全监控模 块用于对电网设备中的硬件安全进行监控， 所述 数据安全监控模块用于对电网设备的数据安全 进行监控， 所述运维安全监控模块用于对电网设 备的运维安全进行监控。 与现有技术相比， 本发 明的有益效果是： 从硬件、 数据安全方面对电网 设备整个生命周期内的安全状态进行监控， 实现 无人化监控， 提高了工作效率， 另外能够主动对 设备的安全 进行防护。 权利要求书2页 说明书4页 附图2页 CN 114372771 A 2022.04.19 CN 114372771 A 1.一种基于共享服务的电网设备全生命周期监控系统， 其特征在于， 包括网络通信安 全监控模块(1)、 硬件设备安全监控模块(2)、 数据安全监控模块(3)、 运维安全监控模块 (4)， 所述网络通信安全监控模块(1)用于对电网设备的网络通信安全进行监控， 所述硬件 设备安全监控模块(2)用于对电网设备中的硬件安全进 行监控， 所述数据安全监控模块(3) 用于对电网设备 的数据安全进行监控， 所述运维安全监控模块(4)用于对电网设备的运维 安全进行监控。 2.根据权利要求1所述的一种基于共享服务的电网设备全生命周期监控系统， 其特征 在于， 所述网络通信安全监控模块(1)包括网络拓扑结构单元(11)、 网络边界防护单元 (12)、 网络安全审计单元(13)， 所述网络拓扑结构单元(11)用于保证网络设备的业务处理 能力具备冗余空间和链路负载均衡能力， 满足业务高峰期需要， 所述网络边界防护单元 (12)通过ACL技术或 防火墙技术， 在网络边界或区域之间根据访问控制策 略设置访问控制 规则， 实现端口级访问控制， 默认情况下除允许通信外， 受控接口拒绝所有通信， 删除多余 或无效的访问控制规则， 优化访问控制列表， 并保证访问控制规则数量最小化， 并对源地 址、 目的地址、 源端口、 目的端口和协 议进行检查， 以允许或拒绝数据包进 出， 保证信息及网 络资源不被非法使用和访问， 通过入侵监测技术， 在网络边界处监视攻击行为， 并给予告警 以及响应和处理， 在 网络边界及核心业务网段处对恶意代码进行检测和清除， 及时实现恶 意代码库升级和检测系统更新， 通过网络安全扫描工具， 利用优化系统配置和打补丁弥补 最新的安全漏洞和消除安全隐患， 所述网络安全审计单元(13)对网络设备、 安全设备运行 状况、 网络流 量、 用户行为进行日志信息实时采集、 集中监控及实时预警。 3.根据权利要求2所述的一种基于共享服务的电网设备全生命周期监控系统， 其特征 在于， 所述日志信息应包括事 件的日期和时间、 用户、 事 件类型、 事 件是否成功。 4.根据权利要求1所述的一种基于共享服务的电网设备全生命周期监控系统， 其特征 在于， 所述硬件设备安全监控模块(2)包括硬件安全单元(21)、 操作系统安全单元(22)、 中 间件安全 单元(23)， 所述硬件安全 单元(21)采用服务器 设备， 具备冗余配置、 不间断电源保 障、 服务器运行状态监控功能， 确保本系统中硬件设备的处理性能要求， 所述操作系统安全 单元(22)用于加强操作系统账号管 理、 认证授权、 安全日志， 实现从身份鉴别、 访问控制、 安 全审计入侵防范、 恶意代码规范、 资源控制方面进 行主机安全基线加固， 所述中间件安全单 元(23)从身份鉴别、 访问控制、 安全审计、 通信完整性、 通信保密性、 软件容错、 资源控制方 面进行中间件安全基线加固。 5.根据权利要求1所述的一种基于共享服务的电网设备全生命周期监控系统， 其特征 在于， 所述数据安全监控模块(3)包括数据安全单元(31)、 应用安全单元(32)、 终端安全单 元(33)， 所述数据安全单元(31)采用身份认证、 权限控制、 加密存储、 加密传输、 数据防泄密 技术， 加强本系统数据机密性及安全性防护， 所述应用安全单元(32)具备完善的权限管 理、 分级授权和界面信息操作控制、 完整的应用程序日志记录和审计机制、 提供访问控制功能， 通过角色划分实现各层各级人员对于功能页面的访问控制， 依据安全策略控制用户对文 件、 数据库 表客体的访问， 访问控制的覆盖范围包括与资源访问相关的主体、 客体及它们之 间的操作， 授权主体配置访问控制策略， 并严格限制默认帐户的访问权限， 实现对登录用户 的统一身份标识和鉴别， 实现身份鉴别信息的防截获、 防假冒和防重用， 保证本系统用户身 份的真实性， 启用身份鉴别、 用户身份标识唯一性检查、 用户身份鉴别信息复杂度检查以及权　利　要　求　书 1/2 页 2 CN 114372771 A 2登录失败处理功能， 并根据安全策 略配置相关参数， 所述终端安全单元(33)通过桌面终端 准入控制， 加强桌面终端监控审 计管理， 重点提高移动存储介质使用管理 能力与病毒、 木马 检测防护、 桌面 终端行为监控审 计能力建设， 通过上网行为管理系统， 加强信息外网办公终 端internet访问控制， 如网络应用控制、 带宽流量管理、 上网行为分析， 对内部网络中出现 的内部用户未通过准许私自联到外部网络的行为进行检查， 存储设备报废前按照规定通过 消磁粉碎一体机进 行信息彻底清除， 确保数据不能被恢复、 还原， 对访问的移动终端进行安 全防护， 通过沙箱技术确保本地数据安全存储， 通过身份认证及权限控制技术确保访问安 全， 通过加密技术实现传输安全了通过设备远程控制技术， 如设备定位、 设备远程数据擦 除、 锁定、 更改密码确保重要数据一键式擦除。 6.根据权利要求1所述的一种基于共享服务的电网设备全生命周期监控系统， 其特征 在于， 所述运维安全监控模块(4)用于定期更新漏洞库， 采用漏洞扫描、 数据库扫描检测技 术， 定期检测操作系统、 中间件、 数据库、 本系统的安全漏洞， 全面评估安全漏洞和认证、 授 权、 完整性方面的问题， 并进 行安全加固， 实现本系统统一IT资产统一管理以及运 维管理服 务， 实现本系统统一的安全运 维及集中监控及预警， 对本系统实现定期本地备份， 对本系统 实现远程数据级灾备， 定制应急预案并加强定期演练， 对本系统实现应用级灾备防护， 定制 应急预案并加强定期演练， 实现安全事件快速响应、 及时处理， 正确使用密码相关产品， 原 则上自主运 维， 如确实 需要外包运 维的， 需与选定的外包运 维服务商签订服务协 议， 明确约 定外包运维的范围、 工作内容及工作要求。权　利　要　求　书 2/2 页 3 CN 114372771 A 3