1.一種現場作業終端安全接入防護和檢測系統，其特征在于：包括設備層、數據層、業務層和應用層，其中：

接入層：用于現場作業終端接入防護系統；

數據層：用于存儲基礎數據、構建數據模型和分析實時數據；

業務層：由安全接入、安全防護和安全監測三部分組成：

應用層：由具備可信檔案管理、防護策略設置、監控及預警、漏洞掃描、入侵檢測業務功能的WEB端的統一管理平臺組成。

所述安全接入是指從現場作業終端在接入階段的身份認證層面進行安全控制，通過防護系統讀取現場作業終端的檔案信息與防護系統中的可信綁定檔案關系進行校驗，并由防護系統監控和記錄接入過程的日志，實現設備接入業務系統前即接入階段的安全校驗管理；

所述安全防護是指通過對傳輸數據采取加密、壓縮和脫敏防篡改策略，以及對現場作業終端端口掃描和運行時漏洞檢測措施，并在安全防護的策略中增加數據完整性的校驗機制；從數據防篡改、漏洞檢測、安全防御和入侵檢測幾個方面進行防護，保障現場作業終端與系統通信過程中作業終端、鏈路和內網系統的安全；

所述安全監測是指通過對現場作業終端運行狀態、操作行為和SIM卡流量的監控，采用數據建模分析和大數據分析，對異常突變行為能夠及時判斷出來并發出告警；通過操作日志和請求歷史記錄的存儲記錄對數據信息流的審計和識別，采集運維閉環模塊；

所述數據防篡改通過對數據和鏈路采用數據加密、數據壓縮、數據脫敏處理，預防數據被攻擊篡改；

所述數據加密在現場作業終端與用電信息采集系統進行數據傳輸階段，通過對數據加密和鏈路加密保障數據的安全性和完整性，利用電能計量密碼機和現場作業終端安全單元的密鑰體系，對通信信道中的數據進行統一雙向加解密和數據完整性校驗，保障數據在傳輸過程中的安全性和完整性；現場作業終端安全接入防護及監控管理系統接入電能計量密碼機，當現場作業終端請求業務系統的數據時，防護與監控管理系統會根據現場作業終端安全單元的版本，調用密碼機函數生成隨機數、密文、簽名和消息鑒別碼對數據進行加密，由安全單元進行解密，并通過對應的密鑰以及與之相匹配的密匙進行校驗，有效防止通信信道上的主動攻擊：

所述數據壓縮采用基于JDK deflate的壓縮算法，對傳輸的數據根據業務需求綜合壓縮程度和壓縮效率選用壓縮級別；在數據傳輸中結合MD5，實現數據一致性的校驗；

所述數據脫敏采用脫敏規則進行數據的變形，實現敏感數據的可靠保護，對現場作業終端請求接口數據的敏感字段定義包含掩碼、截斷、空值、加密四種敏感規則；

所述漏洞檢測采用對要安裝到現場作業終端的應用軟件進行安全漏洞檢測，主要包括權限漏洞檢測、靜態漏洞檢測、運行漏洞檢測；

安全監測：通過對現場作業終端運行狀態、操作行為和SIM卡流量的監控，采用數據建模分析和大數據分析，對異常突變行為能夠及時判斷出來并發出告警；通過操作日志和請求歷史記錄的存儲記錄對數據信息流的審計和識別，采集運維閉環模塊；安全檢測將設備在接入和防護過程中的數據和日志信息進行識別、記錄、存儲和分析，監測到誰對這個活動負責，提供安全審計的數據支持；同時，根據防護策略和預定的安全標準設置告警機制；終端接入監測：實現對現場作業終端的實時在線監測，包括合法和非法的設備接入請求，通過安全接入管理的身份認證、訪問控制、權限管理以及登錄注銷日志的實時監測、記錄、存儲和分析，針對不符合規范的請求接口、非法設備接入和頻繁登錄異常情況設置告警；根據在安全防護部分已定義的防護策略進行系統自動或人工斷開連接和限制訪問；提供日志記錄、存儲、分析和告警識別，能夠按照日期、日志類型、告警級別條件進行檢索；實現設備異常時通過彈框提示、聲音形式進行主動告警；提供根據已定義的防護策略進行系統自動或人工斷開連接和限制訪問的設備管理；終端運行狀態監控：實現對現場作業終端的性能數據實時在線監測，包括終端主機資源占用情況；終端應用安裝和運行情況信息；進程運行狀態、網絡訪問狀態、硬件接口狀態信息；能夠依照定義的防護策略進行告警管理；提供運行狀態的日志記錄、存儲、分析和告警識別，能夠按照日期、日志類型、告警級別條件進行檢索；實現設備異常時通過彈框提示、聲音形式進行主動告警；提供根據已定義的防護策略進行系統自動或人工斷開連接和限制訪問的設備管理，且能夠記錄加固策略升級的完成情況；包括終端主機資源占用情況；終端應用安裝和運行情況信息；進程運行狀態、網絡訪問狀態、硬件接口狀態運行狀態時的信息獲取與上傳；終端操作日志監測和審計：現場作業終端的操作日志；現場作業終端應用的操作通過應用與系統接口請求記錄日志，并進行分析；對于不符合規范的操作日志進行顏色標記、彈框提示和聲音提示；登錄連續輸入多次錯誤密碼的日志上傳到系統；流量監控和審計：通過獲取現場作業終端各個應用使用SIM卡上傳和下載的流量數據，按照日期和時段進行流量建模分析，將當前的SIM卡總流量和某個應用當前使用的流量與系統自動建模的流量模型進行比對，及時發現流量突變異常情況，并進行告警；記錄、存儲、分析流量使用情況，并根據日期和時間要素構建流量使用模型，將當前的流量使用情況與流量模型進行比對，異常突變給出流量使用告警；實現流量使用異常時通過彈框提示、聲音形式進行主動告警；定期獲取現場作業終端SIM卡總流量使用情況，各個應用上傳和下載使用的流量情況；并能將流量數據定期上傳到系統；

入侵檢測分為異常檢測和誤用檢測兩種模式；

異常檢測根據已定義的正常情況下的數據或日常運行和使用過程中正常情況的建模數據，與當前的數據進行比對，判斷當前行為的異常性，發現可能有入侵行為；

誤用檢測根據收集的信息與網絡入侵和系統誤用模式數據庫中的已知信息進行模式匹配或已知入侵行為的特征庫進行匹配，判定當前行為為入侵行為，需要對入侵檢測的異常進行預警；實現入侵檢測需要的工作；支持定義數據的正常運行范圍，根據上傳的數據按照時段對運行環境、SIM卡流量和應用安裝使用情況進行建模，并將上傳的當前數據與歷史建模的數據進行比對，進行異常報警；建立已知入侵的特征庫，并對非法登錄、非法攻擊和數據篡改入侵的特征與特征庫進行匹配，匹配上的發出入侵告警；現場作業終端的運行環境和終端上系統安裝的情況實時或定期上傳到安全接入防護及監控系統，上傳的數據包括：內存使用情況、CPU使用情況、網絡類型、SIM卡流量使用情況、系統應用安裝和運行情況；入侵檢測：每日下載數據量；同一個掌機對前置頻繁、重復、緊湊的訪問同一接口；分析使用非正常的通訊協議訪問日志記錄，分析什么時間多少次的異常惡意訪問。