[发明专利]一种运维网关免配置运维方法、系统、装置及存储介质

说明书

本发明公开了一种运维网关免配置运维方法、系统、装置及存储介质，其中方法包括：基于运维终端通过IP自动分配类协议获取IP后建立的管理通道，获取运维终端发起的运维连接；根据所述运维连接自动识别应用协议，对管控列表中的应用协议进行代理和管控，对非管控列表中的应用协议进行透明转发和记录审计。本发明在不改变原有变电站运维方式、不增加额外配置、不增加额外IP资源的前提下，实现对被运维对象的运维，不会降低现场运维的效率，且整个运维过程可管控、可审计、可回放、可追溯，大大提高了变电站的网络安全性。

技术领域

本发明属于安全运维技术领域，具体涉及一种运维网关免配置运维方法、系统、装置及存储介质。

背景技术

随着网络安全法、网络安全等级保护和关键信息基础设施安全保护条例的实施，变电站的网络安全越来越得到重视。目前，变电站的边界防护，安全监测已经部署了相应的设备，但是安全运维方面仍有所欠缺。

由于变电站通常都是一个局域网，变电站设备的运维调试，主要方法是运维人员在运维终端配置一个同网段的IP地址，然后将运维终端接入变电站的交换机进行配置和调试。为了实现对运维过程的管控，在运维终端和被运维对象之间加入了运维网关。但是由于运维人员经验水平不同，无法有效的对运维网关进行配置，错误的配置可能会影响现场运维的效率和效果，甚至有可能造成对错误的被运维对象进行运维进而导致严重的安全事故。

因此，目前无法实现对变电站各类设备的安全运维调试，特别是对尽可能不改变目前运维方式，不降低运维效率的方法或设备的需求越来越迫切。

发明内容

本发明的目的在于克服现有技术中的不足，提供一种运维网关免配置运维方法、系统、装置及存储介质，在不改变原有变电站运维方式、不增加额外配置、不增加额外IP资源的前提下，实现对被运维对象的运维，不会降低现场运维的效率，且整个运维过程可管控、可审计、可回放、可追溯，进一步提高了变电站的网络安全性。

本发明提供了如下的技术方案：

第一方面，提供一种运维网关免配置运维方法，包括：

基于运维终端通过IP自动分配类协议获取IP后建立的管理通道，获取运维终端发起的运维连接；

根据所述运维连接自动识别应用协议，对管控列表中的应用协议进行代理和管控，对非管控列表中的应用协议进行透明转发和记录审计。

进一步的，所述运维网关存储有序列化的IP并开启IP自动分配功能；所述运维终端设有管控软件，所述管控软件通过IP自动分配类协议从运维网关处获取IP后，采用所述IP与运维网关建立管理通道，所述运维终端支持以手动方式添加IP。

进一步的，所述运维终端设有管控软件，所述管控软件在管理通道中作为TCP连接的客户端与运维网关通信；通信采用私有协议，所述私有协议含有加密和认证功能，所述私有协议用于实现运维终端的接入认证、运维终端的状态传输和运维过程的屏幕录制数据；所述管理通道初始化时将合法的运维源IP通知运维网关，运维连接建立时对源IP进行合法性校验。

进一步的，所述运维终端设有运维工具软件，所述运维工具软件根据被运维对象的运维参数发起运维连接；所述运维参数包括网络连接中的协议类型、目的IP、目的端口参数以及串口连接中的波特率、数据位、停止位、校验位参数。

进一步的，所述自动识别应用协议包括根据应用协议的特征判断其协议类型，所述应用协议包括网络运维协议、串口运维协议和工控协议，所述网络运维协议包括SSH和TELNET，所述串口运维协议包括CONSOLE，所述工控协议包括网络类工控协议IEC104和IEC61850以及串口类工控协议IEC101。

进一步的，对应用协议进行的管控包括：需阻断或告警的非法协议端口、对命令控制类协议需阻断或告警的危险命令、对文件传输类协议需阻断或告警的病毒特征库；