电力终端及其嵌入式系统的信息安全防护方法与体系.pdf

《电力终端及其嵌入式系统的信息安全防护方法与体系.pdf》由会员分享，可在线阅读，更多相关《电力终端及其嵌入式系统的信息安全防护方法与体系.pdf（14页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910291696.0 (22)申请日 2019.04.12 (71)申请人 长沙理工大学 地址 410114 湖南省长沙市天心区万家丽 南路2段960号 (72)发明人 刘东奇曾祥君习伟丁凯 (74)专利代理机构 长沙市护航专利代理事务所 (特殊普通合伙) 43220 代理人 莫晓齐 (51)Int.Cl. G06F 21/55(2013.01) G06F 21/57(2013.01) G06F 21/51(2013.01) (54)发明名称 一种电力终端及其嵌入式系统的。

2、信息安全 防护方法与体系 (57)摘要 本发明公开了一种电力终端及其嵌入式系 统的信息安全防护方法与体系， 依据人工免疫原 理通过免疫自稳、 免疫监视和免疫防御方式主动 进行信息安全防护， 包括如下步骤： S1， 建立用于 免疫自稳的嵌入式系统内生可信运行环境； S2， 加载用于免疫监视的嵌入式系统异常检测逻辑 检查程序； S3， 根据步骤S2检查的结果， 选择是否 加载用于免疫防御的故障应急处理及事件记录 程序： 若步骤S2检查的结果异常， 则加载用于免 疫防御的故障应急处理及事件记录程序； 否则， 则不加载。 本发明模拟人体免疫三大功能免疫自 稳、 免疫监视和免疫防御， 赋予电力终端拟人的。

3、 主动免疫安全防护能力， 在一定程度上维护了电 力工控终端的信息安全， 降低了电力终端的安全 风险。 权利要求书3页 说明书7页 附图3页 CN 109992963 A 2019.07.09 CN 109992963 A 1.一种电力终端嵌入式系统的信息安全防护方法， 其特征在于， 依据人工免疫原理通 过免疫自稳、 免疫监视和免疫防御方式主动进行信息安全防护， 包括如下步骤： S1， 建立用于免疫自稳的嵌入式系统内生可信运行环境； S2， 加载用于免疫监视的嵌入式系统异常检测逻辑检查程序； S3， 根据步骤S2检查的结果， 选择是否加载用于免疫防御的故障应急处理及事件记录 程序： 若步骤S2检。

4、查的结果异常， 则加载用于免疫防御的故障应急处理及事件记录程序； 否 则， 则不加载。 2.根据权利要求1所述的电力终端嵌入式系统的信息安全防护方法， 其特征在于， 步骤 S1所述的建立用于免疫自稳的嵌入式系统内生可信运行环境的具体步骤包括： S11,在电力终端投入运行前， 针对终端上所有合法加载的业务应用， 调用加密算法对 所有可执行程序进行哈希度量， 将所有生成的度量结果加入知识库中， 形成应用程序的白 名单列表； S12， 电力终端可执行程序在运行之前， 将捕获的可执行程序镜像交给完整性度量模 块； S13,完整性度量模块调用密码模块的功能， 采用加密算法对可执行程序镜像实施度 量； S。

5、14,将度量模块的实际度量值与白名单中的预期度量值进行匹配， 并根据匹配结果给 出安全判定， 符合白名单策略的被认为可信， 不符合白名单策略的被认为不可信； S15， 如果判定为可信， 则表示该可执行程序通过了安全策略， 允许其执行， 将其加载运 行恢复到正常系统流程， 并将度量值记录到度量日志； S16， 如果判定为不可信， 则表示该可执行程序没有通过安全策略， 禁止该程序执行， 将 相关信息记录到报警日志。 3.根据权利要求1所述的电力终端嵌入式系统的信息安全防护方法， 其特征在于， 步骤 S2所述的加载用于免疫监视的嵌入式系统异常检测逻辑检查程序的具体步骤包括： S21,非法数据防御:对。

6、电力终端输入数据进行奇偶校验、 合法性校验和完整性校验， 并 经同源冗余数据检查， 判断设备是否可能存在异常； S22,业务逻辑合法性检查:在逻辑门校验的基础上， 设置反向标志位与时间戳检查机 制， 对每一道逻辑门的执行情况进行标志记录， 并标志时间戳， 只有所有的标志记录齐全， 且时间戳顺序前后一致， 才允许关键执行命令出口； S23,设备状态评估:通过故障树分析机制， 识别各类故障进行状态评估， 并根据状态评 估结果建立风险预警系统。 4.根据权利要求3所述的电力终端嵌入式系统的信息安全防护方法， 其特征在于， 步骤 S23设备状态评估的详细步骤为建立包含所有已知故障的树状图,在该树状图基。

7、础上通过 如下步骤操作： S231， 通过多个事件综合分析， 找出导致危险失效发生的所有潜在可能的故障模式， 对 可能导致同一个危险事件的一类故障模式设定在同一个安全等级； S232， 通过长时间尺度分析， 根据设备历史告警信息的频次， 对设备当前状态进行评 估； S233， 通过历史运行数据分析， 对设备各模块的使用情况和服务年限、 服务次数进行定 权利要求书 1/3 页 2 CN 109992963 A 2 量统计， 判断设备当前寿命， 并结合故障树分析可能导致的后果， 作出提前预警。 5.根据权利要求1至4中任一项所述的电力终端嵌入式系统的信息安全防护方法， 其特 征在于， 步骤S3中用。

8、于免疫防御的故障应急处理及事件记录程序具体包括以下步骤: S31,故障检测模块是否检测到异常， 若是， 进入步骤S32， 否则， 程序结束； S32， 故障是否已就地消除， 若是， 程序结束， 否则， 进入步骤S33； S33,查询故障树对故障进行安全分级， 依据安全等级确定是否需要立即处理， 若是， 则 进入步骤S34,否则， 不处理； S34， 判断故障点的故障类型， 在排除故障后， 将处理结果记录日志并通过内部通信上 报。 6.根据权利要求5所述的电力终端嵌入式系统的信息安全防护方法， 其特征在于， 步骤 S34的详细步骤包括： S341,判断故障点是否设计了冗余， 若是则进入步骤S34。

9、2， 否则， 则进入步骤S343； S342,切除故障模块， 再进入步骤S346； S343,判断是否为软件故障， 若是， 则进入步骤S344,否则， 则进入步骤S345； S344,软件自愈， 调用恢复块， 再判断故障是否消除， 如是则进入步骤S346， 否则， 进入 步骤S345； S345,向前状态恢复， 并评估设备状态， 判断系统能否继续工作， 若是， 则进入步骤 S346， 否则闭锁设备； S346， 记录日志并内部通信上报。 7.一种电力终端嵌入式系统的信息安全防护体系， 其特征在于， 包括： 可信防护组件， 所述可信防护组件用于建立免疫自稳的嵌入式系统内生可信运行环 境； 容错自。

10、检单元， 所述容错自检单元用于加载免疫监视的嵌入式系统异常检测逻辑检查 程序； 容侵防御单元， 所述容侵防御单元用于加载免疫防御的故障应急处理及事件记录程 序。 8.根据权利要求7所述的电力终端嵌入式系统的信息安全防护体系， 其特征在于， 所述 可信防护组件包括度量模块、 密码模块、 度量日志、 报警日志和白名单， 所述度量模块对所 有加载到内存的可执行程序进行度量， 通过调用密码模块采用加密算法， 将度量结果加入 度量日志， 同时亦将度量结果与白名单进行匹配， 如果在白名单中， 则放行； 否则， 拒绝模块 加载与执行， 并将度量结果存入报警日志。 9.根据权利要求7所述的电力终端嵌入式系统的。

11、信息安全防护体系， 其特征在于， 所述 容错自检单元包括奇偶校验模块、 合法性校验模块、 完整性校验模块、 同源冗余数据检查模 块、 业务逻辑检测模块和ECC校验模块： 所述奇偶校验模块用于判断短字长数据在存储过程中是否发生了比特位错误； 所述合法性校验模块用于对外部采集的数据做合法性检查， 看是否超过合理的限值； 所述完整性校验模块用于对数据块进行多项式计算， 并将得到的结果附在数据帧的后 面， 确保数据传输的正确性和完整性； 所述同源冗余数据检查模块用于对不同设备或信号点的同一数据进行比较， 判断设备 权利要求书 2/3 页 3 CN 109992963 A 3 是否可能存在异常； 所述业。

12、务逻辑检测模块用于对每一道逻辑门的执行情况进行标志记录和时间戳记录， 只有所有的标志记录齐全， 且时间戳前后顺序一致， 才允许关键执行命令出口； 所述ECC校验模块用于对设备状态评估进行预警。 10.根据权利要求7所述的电力终端嵌入式系统的信息安全防护体系， 其特征在于， 其 特征在于， 所述容错防御单元包括： 在线检修专家库： 专家事前总结针对每类设备故障的处理方法， 将其固化为软件代码 写到设备程序中； 软件自愈模块： 根据专家库专家推荐意见， 通过异常进程检测及复位、 芯片接口复位、 看门狗或reboot复位实现整个系统复位； 事件报告模块： 通过整理分析所有相关设备的日志， 对同一事件。

13、过程进行现场回溯。 11.一种电力终端， 其特征在于， 包括应用层、 硬件层以及权利要求7至10中任一项所述 的电力终端嵌入式系统的信息安全防护体系。 权利要求书 3/3 页 4 CN 109992963 A 4 一种电力终端及其嵌入式系统的信息安全防护方法与体系 技术领域 0001 本发明涉及电力系统信息安全技术领域， 特别是涉及一种电力终端及其嵌入式系 统的信息安全防护方法与体系。 背景技术 0002 电力系统传统上主要依赖边界隔离和专用系统私有协议保障网络安全， 一般基于 通用软、 硬件平台研发电力终端， 除用户智能终端依赖较简单的SM1国密算法保障安全外， 极少考虑网络安全防护。 00。

14、03 近年来， 以 “震网”“火焰” 和 “Black Energy” 等恶意代码为主要技术手段的高级持 续性威胁(advanced persistent threat， APT)对能源等工业控制系统造成了巨大危害， 其 扩散和破坏过程非常隐蔽， 可以突破现有以 “隔离、 检测、 查杀” 为主的安全防护措施， 给系 统致命一击。 目前， 中国电网已经全面建成了以网络隔离及边界防护为主的网络安全纵深 防护体系， 但面对以快速演进的恶意代码为主要技术手段的APT攻击， 存在防护技术滞后于 攻击手段、 安全功能制约于业务功能、 防护措施影响控制业务实时性等问题。 0004 自然界中， 生物的免疫系统。

15、主要用于识别属于正常机体本身的 “自我” 以及来自生 物体内和体外的异常的 “非我” ， 并且随时主动检测和查杀不属于机体本身的抗原。 从上述 描述中可以看出， 电力终端嵌入式系统的安全问题与生物免疫系统所遇到的问题具有惊人 的相似性， 两者都要在不断变化的环境中维持系统的稳定性。 因此， 人工免疫系统 (Artificial Immune System， AIS)的主要思想是借鉴生物免疫系统， 以生物体免疫系统所 具有的诸多特性为基础理论， 结合实际工程与应用中实际情况来解决问题。 目前人工免疫 系统已经在病毒检测、 恶意代码分析等方面的应用有研究。 但是， 如何将人工免疫应用于电 力终端嵌。

16、入式系统的信息安全防护方面， 则仍然是一项亟待解决的关键技术问题。 发明内容 0005 有鉴于此， 本发明的目的在于借鉴人体免疫学的相关理念， 提供一种电力终端及 其嵌入式系统的信息安全防护方法与体系， 降低攻击破坏和故障异常导致的电力终端安全 风险。 0006 一方面， 本发明提供了一种电力终端嵌入式系统的信息安全防护方法， 依据人工 免疫原理通过免疫自稳、 免疫监视和免疫防御方式主动进行信息安全防护， 包括如下步骤： 0007 S1， 建立用于免疫自稳的嵌入式系统内生可信运行环境； 0008 S2， 加载用于免疫监视的嵌入式系统异常检测逻辑检查程序； 0009 S3， 根据步骤S2检查的结。

17、果， 选择是否加载用于免疫防御的故障应急处理及事件 记录程序： 若步骤S2检查的结果异常， 则加载用于免疫防御的故障应急处理及事件记录程 序； 否则， 则不加载。 0010 进一步地， 步骤S1所述的建立用于免疫自稳的嵌入式系统内生可信运行环境的具 体步骤包括： 说明书 1/7 页 5 CN 109992963 A 5 0011 S11,在电力终端投入运行前， 针对终端上所有合法加载的业务应用， 调用加密算 法对所有可执行程序进行哈希度量， 将所有生成的度量结果加入知识库中， 形成应用程序 的白名单列表； 0012 S12， 电力终端可执行程序在运行之前， 将捕获的可执行程序镜像交给完整性度量。

18、 模块； 0013 S13,完整性度量模块调用密码模块的功能， 采用加密算法对可执行程序镜像实施 度量； 0014 S14,将度量模块的实际度量值与白名单中的预期度量值进行匹配， 并根据匹配结 果给出安全判定， 符合白名单策略的被认为可信， 不符合白名单策略的被认为不可信； 0015 S15， 如果判定为可信， 则表示该可执行程序通过了安全策略， 允许其执行， 将其加 载运行恢复到正常系统流程， 并将度量值记录到度量日志； 0016 S16， 如果判定为不可信， 则表示该可执行程序没有通过安全策略， 禁止该程序执 行， 将相关信息记录到报警日志。 0017 进一步地， 步骤S2所述的加载用于免。

19、疫监视的嵌入式系统异常检测逻辑检查程序 的具体步骤包括： 0018 S21,非法数据防御:对电力终端输入数据进行奇偶校验、 合法性校验和完整性校 验， 并经同源冗余数据检查， 判断设备是否可能存在异常； 0019 S22,业务逻辑合法性检查:在逻辑门校验的基础上， 设置反向标志位与时间戳检 查机制， 对每一道逻辑门的执行情况进行标志记录， 并标志时间戳， 只有所有的标志记录齐 全， 且时间戳顺序前后一致， 才允许关键执行命令出口； 0020 S23,设备状态评估:通过故障树分析机制， 识别各类故障进行状态评估， 并根据状 态评估结果建立风险预警系统。 0021 进一步地， 步骤S23设备状态评。

20、估的详细步骤为建立包含所有已知故障的树状图, 在该树状图基础上通过如下步骤操作： 0022 S231， 通过多个事件综合分析， 找出导致危险失效发生的所有潜在可能的故障模 式， 对可能导致同一个危险事件的一类故障模式设定在同一个安全等级； 0023 S232， 通过长时间尺度分析， 根据设备历史告警信息的频次， 对设备当前状态进行 评估； 0024 S233， 通过历史运行数据分析， 对设备各模块的使用情况和服务年限、 服务次数进 行定量统计， 判断设备当前寿命， 并结合故障树分析可能导致的后果， 作出提前预警。 0025 进一步地， 步骤S3中用于免疫防御的故障应急处理及事件记录程序具体包括。

21、以下 步骤: 0026 S31,故障检测模块是否检测到异常， 若是， 进入步骤S32， 否则， 程序结束； 0027 S32， 故障是否已就地消除， 若是， 程序结束， 否则， 进入步骤S33； 0028 S33,查询故障树对故障进行安全分级， 依据安全等级确定是否需要立即处理， 若 是， 则进入步骤S34,否则， 不处理； 0029 S34， 判断故障点的故障类型， 在排除故障后， 将处理结果记录日志并通过内部通 信上报。 0030 进一步地， 步骤S34的详细步骤包括： 说明书 2/7 页 6 CN 109992963 A 6 0031 S341,判断故障点是否设计了冗余， 若是则进入步骤。

22、S342， 否则， 则进入步骤S343； 0032 S342,切除故障模块， 再进入步骤S346； 0033 S343,判断是否为软件故障， 若是， 则进入步骤S344,否则， 则进入步骤S345； 0034 S344,软件自愈， 调用恢复块， 再判断故障是否消除， 如是则进入步骤S346， 否则， 进入步骤S345； 0035 S345,向前状态恢复， 并评估设备状态， 判断系统能否继续工作， 若是， 则进入步骤 S346， 否则闭锁设备； 0036 S346， 记录日志并内部通信上报。 0037 另一方面， 本发明还提供了一种电力终端嵌入式系统的信息安全防护体系， 包括： 0038 可信防。

23、护组件， 所述可信防护组件用于建立免疫自稳的嵌入式系统内生可信运行 环境； 0039 容错自检单元， 所述容错自检单元用于加载免疫监视的嵌入式系统异常检测逻辑 检查程序； 0040 容侵防护单元， 所述容侵防御单元用于加载免疫防御的故障应急处理及事件记录 程序。 0041 进一步地， 所述可信防护组件包括度量模块、 密码模块、 度量日志、 报警日志和白 名单， 所述度量模块对所有加载到内存的可执行程序进行度量， 通过调用密码模块采用加 密算法， 将度量结果加入度量日志， 同时亦将度量结果与白名单进行匹配， 如果在白名单 中， 则放行； 否则， 拒绝模块加载与执行， 并将度量结果存入报警日志。 。

24、0042 进一步地， 所述容错自检单元包括奇偶校验模块、 合法性校验模块、 完整性校验模 块、 同源冗余数据检查模块、 业务逻辑检测模块和ECC校验模块： 0043 所述奇偶校验模块用于判断短字长数据在存储过程中是否发生了比特位错误； 0044 所述合法性校验模块用于对外部采集的数据做合法性检查， 看是否超过合理的限 值； 0045 所述完整性校验模块用于对数据块进行多项式计算， 并将得到的结果附在数据帧 的后面， 确保数据传输的正确性和完整性； 0046 所述同源冗余数据检查模块用于对不同设备或信号点的同一数据进行比较， 判断 设备是否可能存在异常； 0047 所述业务逻辑检测模块用于对每一。

25、道逻辑门的执行情况进行标志记录和时间戳 记录， 只有所有的标志记录齐全， 且时间戳前后顺序一致， 才允许关键执行命令出口； 0048 所述ECC校验模块用于对设备状态评估进行预警。 0049 进一步地， 所述容错防御单元包括： 0050 在线检修专家库： 专家事前总结针对每类设备故障的处理方法， 将其固化为软件 代码写到设备程序中； 0051 软件自愈模块： 根据专家库专家推荐意见， 通过异常进程检测及复位、 芯片接口复 位、 看门狗或reboot复位实现整个系统复位； 0052 事件报告模块： 通过整理分析所有相关设备的日志， 对同一事件过程进行现场回 溯。 0053 最后， 本发明还提供了。

26、一种电力终端包括应用层、 硬件层以及其上任一项所述的 说明书 3/7 页 7 CN 109992963 A 7 电力终端嵌入式系统的信息安全防护体系。 0054 相比现有技术， 本发明通过建立用于免疫自稳的嵌入式系统内生可信运行环境； 通过设计用于免疫监视的嵌入式系统异常检测逻辑检查程序， 实施非法数据防御、 业务逻 辑合法性检查及设备状态评估， 实现对电力终端对自身安全状态的实时感知及评估； 通过 用于免疫防御的故障应急处理及事件记录程序使电力终端从异常安全状态自恢复。 本发明 通过模拟人体免疫三大功能免疫自稳、 免疫监视和免疫防御， 赋予电力终端拟人的主动免 疫安全防护能力， 能够在一定程。

27、度上提高电力工控终端的信息安全防护能力， 系统科学完 整且具有可拓展性。 附图说明 0055 构成本发明的一部分的附图用来提供对本发明的进一步理解， 本发明的示意性实 施例及其说明用于解释本发明， 并不构成对本发明的不当限定。 在附图中： 0056 图1为本发明一实施例提供的电力终端嵌入式系统的信息安全防护方法的流程 图； 0057 图2为本发明用于免疫防御的故障应急处理及事件记录程序一实施例的流程图 0058 图3为本发明电力终端嵌入式系统的信息安全防护体系的框架示意图； 0059 图4为本发明电力终端的框架示意图。 具体实施方式 0060 需要说明的是， 在不冲突的情况下， 本发明中的实施。

28、例及实施例中的特征可以相 互组合。 下面将参考附图并结合实施例来详细说明本发明。 0061 如图1所示， 一种电力终端嵌入式系统的信息安全防护方法， 依据人工免疫原理通 过免疫自稳、 免疫监视和免疫防御方式主动进行信息安全防护， 包括如下步骤： 0062 S1， 建立用于免疫自稳的嵌入式系统内生可信运行环境； 0063 S2， 加载用于免疫监视的嵌入式系统异常检测逻辑检查程序； 0064 S3， 根据步骤S2检查的结果， 选择是否加载用于免疫防御的故障应急处理及事件 记录程序： 若步骤S2检查的结果异常， 则加载用于免疫防御的故障应急处理及事件记录程 序； 否则， 则不加载。 0065 在进一。

29、步的技术方案中， 步骤S1所述的建立用于免疫自稳的嵌入式系统内生可信 运行环境具体包括如下步骤： 0066 S11,在电力终端投入运行前， 针对终端上所有合法加载的业务应用， 调用加密算 法对所有可执行程序进行哈希度量， 将所有生成的度量结果加入知识库中， 形成应用程序 的白名单列表， 需要说明的是， 所有可执行程序包含应用程序、 动态链接库和内核模块； 0067 S12， 电力终端可执行程序在运行之前， 将捕获的可执行程序镜像交给完整性度量 模块； 0068 S13,完整性度量模块调用密码模块的功能， 采用加密算法对可执行程序镜像实施 度量； 0069 S14,将度量模块的实际度量值与白名单。

30、中的预期度量值进行匹配， 并根据匹配结 果给出安全判定， 符合白名单策略的被认为可信， 不符合白名单策略的被认为不可信； 说明书 4/7 页 8 CN 109992963 A 8 0070 S15， 如果判定为可信， 则表示该可执行程序通过了安全策略， 允许其执行， 将其加 载运行恢复到正常系统流程， 并将度量值记录到度量日志； 0071 S16， 如果判定为不可信， 则表示该可执行程序没有通过安全策略， 禁止该程序执 行， 将相关信息记录到报警日志。 0072 需要说明的是， 上述度量日志具体由内核通过管道将其传递给应用层度量代理， 度量代理再进一步通过通信机制(如Socket等)将度量日志。

31、传递给界面， 供管理员实时观察 度量日志， 掌握电力终端的当前运行状态。 0073 优选地， 步骤S2所述的加载用于免疫监视的嵌入式系统异常检测逻辑检查程序的 具体步骤包括S21非法数据防御、 S22业务逻辑合法性检查及S23设备状态评估三个部分。 其 中， 0074 S21， 非法数据防御:对电力终端外设开入量、 模拟量输入数据及通信输入数据进 行： 0075 奇偶校验： 应用于处理器的数据总线和处理器的寄存器中， 用于判断短字长数 据在存储过程中是否发生了比特位错误； 0076 合法性校验： 外部采集的数据要做合法性检查， 看是否超过合理的限值； 0077 完整性校验： 当传输数据来自外部。

32、时， 应采用CRC校验对数据块进行多项式计 算， 并将得到的结果附在数据帧的后面， 接收设备也执行类似的算法， 以保证数据传输的正 确性和完整性； 0078 同源冗余数据检查： 同源数据指同一实际数据由不同的设备或信号点采集， 通 过对这些不同设备或信号点的数据进行比较， 判断设备是否可能存在异常。 0079 S22,业务逻辑合法性检查:在逻辑门校验的基础上， 设置反向标志位与时间戳检 查机制， 对每一道逻辑门的执行情况进行标志记录， 并标志时间戳， 只有所有的标志记录齐 全， 且时间戳顺序前后一致， 才允许关键执行命令出口。 0080 S23,设备状态评估， 细分为如下步骤： 0081 1)。

33、故障树分析： 采用故障树分析机制， 建立包含所有已知故障的树状图。 在该树状 图基础上对： 0082 S231， 多个事件的综合分析求出故障的所有最小割集， 找出导致危险失效发 生的所有潜在可能的故障模式， 进而对可能导致同一个危险事件的一类故障模式定在同一 个安全等级； 0083 S232， 长时间尺度分析根据设备历史告警信息的频次， 对设备当前状态进行 评估。 对某些告警/异常事件做长时间尺度的统计， 定位系统潜在的故障点， 提醒运维人员 进行装置的维护检修； 0084 S233， 历史运行数据分析对设备各模块的使用情况和服务年限、 服务次数进 行定量统计， 在统计数据的支持下， 判断设备。

34、当前寿命， 并结合故障树分析可能导致的后 果， 并作出提前预警。 0085 2)状态评估： 根据单发性故障的失效告警信息和多发性故障的故障树分析结果， 识别潜在导致系统进入严重危急状态的各类故障， 并在此基础上对设备进行全面的安全评 估和状态分级。 将设备安全等级分为五级： 正常、 异常、 恶劣、 严重、 危机。 0086 3)风险预警： 根据状态评估结果， 建立基于时空多维度故障分析的电力工控终端 说明书 5/7 页 9 CN 109992963 A 9 风险预警系统， 将告警信号映射为具体的故障性质、 影响范围和故障原因， 将结果记录在系 统日志中， 并通过通信界面通知运维人员， 实现对系。

35、统安全风险全生命周期的把控。 0087 具体地， 如图2所示， 步骤S3中用于免疫防御的故障应急处理及事件记录程序具体 包括以下步骤: 0088 S31,故障检测模块是否检测到异常， 若是， 进入步骤S32， 否则， 程序结束； 0089 S32， 故障是否已就地消除， 若是， 程序结束， 否则， 进入步骤S33； 0090 S33,查询故障树对故障进行安全分级， 依据安全等级确定是否需要立即处理， 若 是， 则进入步骤S34,否则， 不处理； 0091 S34， 判断故障点的故障类型， 在排除故障后， 将处理结果记录日志并通过内部通 信上报。 0092 优选地， 上述步骤S34的详细步骤包括。

36、： 0093 S341,判断故障点是否设计了冗余， 若是则进入步骤S342， 否则， 则进入步骤S343； 0094 S342,切除故障模块， 再进入步骤S346； 0095 S343,判断是否为软件故障， 若是， 则进入步骤S344,否则， 则进入步骤S345； 0096 S344,软件自愈， 调用恢复块， 再判断故障是否消除， 如是则进入步骤S346， 否则， 进入步骤S345； 0097 S345,向前状态恢复， 并评估设备状态， 判断系统能否继续工作， 若是， 则进入步骤 S346， 否则闭锁设备； 0098 S346， 记录日志并内部通信上报。 0099 同时， 本发明还提供了一种电。

37、力终端嵌入式系统的信息安全防护体系， 包括可信 防护组件、 容错自检单元与容错防御单元， 可信防护组件用于建立免疫自稳的嵌入式系统 内生可信运行环境； 容错自检单元用于加载免疫监视的嵌入式系统异常检测逻辑检查程 序； 容错防御单元用于加载免疫防御的故障应急处理及事件记录程序。 通过上述模拟人工 免疫原理的可信防护组件、 容错自检单元与容错防御单元， 赋予电力终端拟人的主动免疫 安全防护能力， 能够在一定程度上维护电力工控终端的信息安全， 降低攻击破坏和故障异 常导致的电力终端安全风险。 0100 具体地， 如图3所示， 上述可信防护组件包括度量模块、 密码模块、 度量日志、 报警 日志和白名单。

38、， 所述度量模块对所有加载到内存的可执行程序进行度量， 通过调用密码模 块采用加密算法， 将度量结果加入度量日志， 同时亦将度量结果与白名单进行匹配， 如果在 白名单中， 则放行； 否则， 拒绝模块加载与执行， 并将度量结果存入报警日志。 需要说明的 是， 上述可信防护组件还包括信任链， 该信任链以基于安全启动BootROM、 安全启动密钥、 固 件证书、 硬件安全模块等组件为可信根进行构建。 在信任链支持下， 系统实时加载度量模块 更好地实现嵌入式系统内生可信运行环境的免疫自稳。 0101 同时， 如图3所示， 上述容错自检单元具体包括奇偶校验模块、 合法性校验模块、 完 整性校验模块、 同。

39、源冗余数据检查模块、 业务逻辑检测模块和ECC校验模块。 上述奇偶校验 模块用于判断短字长数据在存储过程中是否发生了比特位错误； 合法性校验模块用于对外 部采集的数据做合法性检查， 看是否超过合理的限值； 完整性校验模块用于对数据块进行 多项式计算， 并将得到的结果附在数据帧的后面， 确保数据传输的正确性和完整性； 同源冗 余数据检查模块用于对不同设备或信号点的同一数据进行比较， 判断设备是否可能存在异 说明书 6/7 页 10 CN 109992963 A 10 常； 业务逻辑检测模块用于对每一道逻辑门的执行情况进行标志记录， 并标志时间戳， 只有 所有的标志记录齐全， 且时间戳顺序前后一致。

40、， 才允许关键执行命令出口； ECC校验模块用 于对设备状态评估进行预警。 0102 优选地， 上述容错防御单元包括在线检修专家库、 软件自愈模块和事件报告模块。 0103 (1)在线检修专家库。 专家库针对故障原因给出较为详细的在线推荐处理措施。 由 经验丰富的电力工控终端设备专家事前总结针对每类设备故障的处理方法， 将其固化为软 件代码写到设备程序中去。 专家库的组成要素为： 告警描述、 告警原因、 处理措施、 累计处理 成功率。 0104 (2)软件自愈模块 0105 1)通过异常进程检测及复位、 芯片接口复位、 看门狗或reboot复位可以实现整个 系统复位， 帮助系统从 “指针跑飞”。

41、 、“进程卡死” 等软件系统不正常运行中自愈恢复； 0106 2)建立软件恢复块。 恢复块的运行使通过存储系统的状态， 执行一个备用块， 并使 它的计算通过内置的错误检测机制以及让输出通过验收测试。 如果备用块失效， 则恢复块 存储系统的状态， 执行下一个备用块。 这个过程一直持续到输出被确定为能够被验收测试 接受， 或者使恢复块执行完所有的备用块， 并且都失效。 0107 (3)事件报告 0108 整理分析所有相关设备的日志， 对同一事件过程(如一次告警、 一次故障跳闸等) 进行现场回溯。 将双套保护的录波、 告警、 变位等日志进行时间顺序排序， 复盘事件发生时 段内数据的变化， 以分析某套。

42、保护设备异常、 或回路异常等； 将相关联设备的录波、 告警、 动 作、 变位等日志进行顺序排列， 可分析推断回路完整性、 事故定位等信息。 0109 综上所述， 本发明提供的电力终端及其嵌入式系统的信息安全防护方法与体系， 通过模拟人体免疫三大功能免疫自稳、 免疫监视和免疫防御， 建立用于免疫自稳的嵌入式 系统内生可信运行环境， 加载用于免疫监视的嵌入式系统异常检测逻辑检查程序； 并根据 前述逻辑检查的结果， 选择是否加载用于免疫防御的故障应急处理及事件记录程序， 从而 实现电力终端嵌入式系统全生命周期的安全看护， 科学可靠， 且能够在一定程度上提高电 力工控终端的信息安全防护能力， 维护体系。

43、完整且具有可拓展性。 0110 如图4所示， 本发明还提供了一种电力终端， 包括应用层、 硬件层以及其上所述的 电力终端嵌入式系统的信息安全防护体系。 上述与应用层包括保护、 测量、 控制、 通信、 计量 及应用等模块。 该电力终端显然具有前述电力终端嵌入式系统的信息安全防护体系能够主 动防范外部恶意攻击和内部故障的优点， 此处不再一一展开论述。 0111 以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明， 凡在本发明的精 神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。 说明书 7/7 页 11 CN 109992963 A 11 图1 说明书附图 1/3 页 12 CN 109992963 A 12 图2 图3 说明书附图 2/3 页 13 CN 109992963 A 13 图4 说明书附图 3/3 页 14 CN 109992963 A 14 。