技術領域

本發明屬于網絡安全技術領域，特別涉及一種移動交互平臺網絡加固裝置及其加固方法。

背景技術

當前電力系統的管理信息應用系統包括調度技術支持系統、電力交易系統、電能量采集系統、營銷管理系統等系統，這些系統不能進行很好的擴展和任意的數據交互。為了滿足電力系統信息安全防護要求，目前移動交互平臺網絡常常采用內外網隔離技術，設立防火墻等安全設施來對移動交互平臺網絡進行加固，預防電力系統威脅，雖然能夠避免基本的安全威脅，但是，內網中仍然存在著一定的安全風險，也不能探測到入侵攻擊。

發明內容

本發明為了克服上述現有技術的不足，提供了一種移動交互平臺網絡加固裝置及其加固方法，解決了內網中存在的安全風險，而且能夠快速探測入侵攻擊。

為實現上述目的，本發明采用了以下技術措施：

一種移動交互平臺網絡加固裝置包括設置于信息外網的進口和出口的威脅管理系統，設置于信息外網的支撐服務器處的入侵檢測系統，以及設置在信息內網的數據庫服務器處的數據庫防火墻。

優選的，所述威脅管理系統包括協議分析單元、協議分流單元、過濾單元、數據發送單元，其中，

協議分析單元，用于對輸入的數據包或文件包進行協議匹配識別，確定所述數據包或文件包的實際協議類型；

協議分流單元，根據所述數據包或文件包的實際協議類型將各數據包或文件包分流；

過濾單元，用于對分流后的數據包或文件包進行過濾；

數據發送單元，用于對過濾后的數據包或文件包進行轉發，發送至安全交互平臺。

優選的，所述入侵檢測系統分別設置于內部支撐服務器與外網防火墻之間、外部支撐服務器與外網防火墻之間。

進一步的，所述入侵檢測系統包括節點單元、命令解析單元以及存儲單元，其中，

節點單元，用于接收來自所述安全交互平臺的數據包或文件包，對所述數據包或文件包進行解析，并將數據包或文件包的解析結果發送至命令解析單元；

命令解析單元，用于將接收到的數據包或文件包的解析結果與預先設置的具有攻擊特征的數據包或文件包進行匹配，如果匹配成功，則所述命令解析單元進行報警；

存儲單元，用于存儲具有攻擊特征的數據包或文件包。

本發明還提供了一種移動交互平臺網絡加固裝置的加固方法，本加固方法易于維護，具體包括以下步驟：

S1、在信息外網的進口和出口設置威脅管理系統；在信息外網的支撐服務器處設置入侵檢測系統；在所述信息內網的數據庫服務器處增加數據庫防火墻；

S2、所述協議分析單元對輸入的數據包或文件包進行協議匹配識別，確定所述數據包或文件包的實際協議類型；

S3、所述協議分流單元根據所述數據包或文件包的實際協議類型將各數據包或文件包分流；

S4、所述過濾單元對分流后的數據包或文件包進行過濾；

S5、所述數據發送單元對過濾后的數據包或文件包進行轉發，發送至安全交互平臺；

S6、所述節點單元獲取來自所述安全交互平臺的數據包或文件包，對所述數據包或文件包進行解析，并將數據包或文件包的解析結果發送至命令解析單元；

S7、所述命令解析單元將接收到的數據包或文件包的解析結果與預先設置在存儲單元中的具有攻擊特征的數據包或文件包進行匹配，如果匹配成功，則所述命令解析單元進行報警。

本發明的有益效果在于：本發明包括威脅管理系統、入侵檢測系統、數據庫防火墻，所述威脅管理系統包括協議分析單元、協議分流單元、過濾單元、數據發送單元，實現了對數據包或文件包的分析、分流、過濾、協議轉換；所述入侵檢測系統包括節點單元、命令解析單元以及存儲單元，本發明通過對數據包或文件包進行協議解碼，利用命令解析單元快速探測攻擊的存在，因此本發明解決了內網中存在的安全風險，而且能夠快速探測入侵攻擊。

附圖說明

圖1為本發明的威脅管理系統安裝位置圖；

圖2為本發明的入侵檢測系統安裝位置圖；

圖3為本發明的數據庫防火墻安裝位置圖；

圖4為本發明的威脅管理系統的結構框圖；

圖5為本發明的入侵檢測系統的結構框圖；

圖6為本發明的移動交互平臺網絡加固裝置的加固方法的流程圖。

圖中的附圖標記含義如下：

10—威脅管理系統 11—協議分析單元 12—協議分流單元

13—過濾單元 14—數據發送單元 20—入侵檢測系統

21—節點單元 22—命令解析單元 23—存儲單元