本發明涉及一種電力終端接入方法及系統，包括步驟：對地區電力終端設備的IP進行掃描；抓取各個電力終端設備的指紋信息；將各個電力終端設備的指紋信息與設備漏洞建立聯系，并形成設備漏洞多因素指紋庫；當有電力終端設備要求接入電力工業網絡時，判斷當前威脅來源是來自局域網的外部還是內部，并根據結果進行不同的處理。本發明解決了電力終端設備缺乏良好的身份認證問題。

技術領域

本發明涉及電力終端安全技術領域，特別是一種電力終端接入方法及系統。

背景技術

隨著“電力物聯網”的不斷推動發展，越來越多的物聯網設備連接到電力工業網絡當中，從該網絡當中獲取其自身工作需要的信息，同時也在其中留下了自己探索的“痕跡”。物聯網環境下終端接入網若不能提供有效身份保護機制，一旦發生惡意入侵、受到破壞性攻擊、信息泄露等安全事故，造成的損失是不可估量的。因此，由于電力系統物聯網環境的特殊性，為其設立足夠健壯且高效的身份保護機制，是為實現廣泛互聯、開放共享的電網系統的一個亟待解決的問題。

發明內容

有鑒于此，本發明的目的是提出一種電力終端接入方法及系統，解決了電力終端設備缺乏良好的身份認證問題。

本發明采用以下方案實現：一種電力終端接入方法，具體包括以下步驟：

對地區電力終端設備的IP進行掃描；

抓取各個電力終端設備的指紋信息；

將各個電力終端設備的指紋信息與設備漏洞建立聯系，并形成設備漏洞多因素指紋庫；

當有電力終端設備要求接入電力工業網絡時，判斷當前威脅來源是來自局域網的外部還是內部；

若當前威脅來源是來自局域網的外部，則抓取欲入網電力終端設備的指紋信息，并在設備漏洞多因素指紋庫中進行漏洞匹配，如果不存在漏洞風險，則允許接入網絡，否則禁止該電力終端設備訪問；

若當前威脅來源為自局域網的內部，則直接從設備漏洞多因素指紋庫中檢索對應型號的設備是否存在高危身份安全漏洞，若存在，將受威脅設備提取出來單獨處理，并建立訪問控制因素庫，由漏洞的危險性，決定設備的訪問控制等級。

進一步地，所述對地區電力終端設備的IP進行掃描具體為：

根據該地區的IP存活情況、網絡延時率、網絡丟包率和服務器不同配置的負載能力在內的因素綜合決定分發到每個地區的IP任務數量，以減輕后續云子節點服務器由于掃描任務分配不均帶來的額外負載壓力。

具體的，為解決由于IP任務分配不合理造成的掃描精度低和系統復雜度增加的問題，根據目標網絡的地理環境、網絡環境等因素綜合考慮，基于多因素的IP任務分片思想，根據該地區的IP存活情況、網絡延時率、網絡丟包率和服務器不同配置的負載能力等因素綜合決定分發到每個地區的IP任務數量，如果IP并不存活，網絡延遲率高，網絡丟包率高、服務器負載能力低，則分配的IP任務數較少；如果IP存活，網絡延遲率低，網絡丟包率低、服務器負載能力高，則分配的IP任務數較多，在保證經濟花銷最小和時間最短的前提下，盡可能減輕后續云子節點服務器由于掃描任務分配不均帶來的額外負載壓力。

進一步地，所述指紋信息包括電力終端設備的相關運行數據與運行狀態特征值。

進一步地，所述設備漏洞多因素指紋庫是從NVD漏洞庫中抽取所有的CPE條目，根據NVD漏洞庫中的CPE標識符為基準進行CVE匹配而形成的，能夠有效提高識別CPE的準確性。其中，所述CPE為Common Platform Enumeration，是一種結構化的命名方案，用于描述和識別企業計算資產中存在的軟件、應用程序、操作系統和硬件設備的類別。所述CVE為Common Vulnerabilities and Exposures，公共漏洞與披露實施例。