公开(公告)号：CN113220415B

公开(公告)日：2022-08-09

申请号：CN202110449233.X

申请日：2021-04-25

Applicant: 南京南瑞信息通信科技有限公司

Inventor： 孙连文 ,  张骞 ,  潘恒 ,  刘苇 ,  祁龙云 ,  丁晓玉 ,  栾国强 ,  吕小亮 ,  杨维永 ,  杨康乐 ,  闫珺 ,  魏兴慎 ,  朱世顺 ,  刘寅 ,  李向南 ,  孙柏颜 ,  张鸿鹏 ,  徐志超 ,  胡天昊

IPC: G06F9/455 ,  G06F21/60 ,  G06F21/53

Abstract: 本发明公开了面向kata容器持久化数据保护方法及装置，kata容器启动时，kata容器检查业务数据文件中的业务数据信息，确保业务数据文件中的业务数据信息均为加密数据；kata容器内读取业务数据文件时，kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块，使得解密模块对待读取的业务数据文件进行解密；kata容器内发生写业务数据到本地时，kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块，使得加密模块对待写到本地的业务数据进行加密，由kata容器将加密后的业务数据写到本地业务数据文件中。本发明能够实现容器内对业务数据透明加/解密，对容器内业务数据持久化保护能力有显著提高，减少业务信息泄露的风险。

公开(公告)号：CN111930726B

公开(公告)日：2022-08-09

申请号：CN202010571569.9

申请日：2020-06-22

Applicant: 南京南瑞信息通信科技有限公司

Inventor： 唐亚东 ,  刘寅 ,  栾国强 ,  杨维永 ,  罗黎明 ,  朱世顺 ,  刘苇 ,  祁龙云 ,  秦学嘉 ,  张鹏 ,  丁晓玉 ,  徐杰

IPC: G06F16/215 ,  G06F16/27 ,  G06F21/62 ,  G06F21/64

Abstract: 本发明涉及一种基于离线表单的等级保护测评数据采集、分析方法及系统，属于网络安全等级保护数据处理技术领域，包括：根据被测系统特征，定义与生成离线数据采集表单，由人工采集数据并填报；基于应用知识库将采集数据进行校验、解析、清洗后，嵌套结构化数据检索引擎；对结构化数据进行计算分析，并根据风险点匹配安全建议；完成报告本体库构建，基于报告母版、属性索引等元素调用基块库生成报告。本发明以提高等保测评操作效率、量化风险分析结果、减少人工判定介入、避免分布式数据泄露为目标，构建了融合采集、分析、计算、展现于一体的数据处理方法，丰富并规范了等保测评前后端工作的信息化支撑手段。

公开(公告)号：CN110611659B

公开(公告)日：2022-08-09

申请号：CN201910771750.1

申请日：2019-08-21

Applicant: 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网山东省电力公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

Inventor： 刘苇 ,  陶洪铸 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  杨维永 ,  朱世顺 ,  祁龙云 ,  吕小亮 ,  闫珺 ,  王海清 ,  刘勇 ,  裴培

IPC: H04L9/40

Abstract: 本发明公开一种电力监控系统业务本质保护方法、装置及系统，包括如下内容：通过编译阶段的安全检查确保代码安全、进程无病毒感染、进程空间强隔离和程序执行流符合预定轨迹保护业务软件进程安全；通过设备指纹生成密钥的数据加密接口，确保存在本机的敏感数据的存储安全，通过双向认证，以及通信处理函数不可落地执行代码的方式保证通信安全；通过可信授权验证的方式保证服务安全；通过融合操作系统与业务应用用户的统一身份认证和授权管理保护业务软件人机交互安全。本发明通过对进程、存储、通信、服务和人机交互这五个本质方面共同提供安全保护，实现电力监控系统业务本质的安全保护。

公开(公告)号：CN114816549A

公开(公告)日：2022-07-29

申请号：CN202210583967.1

申请日：2022-05-27

Applicant: 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

Inventor： 吕小亮 ,  祁龙云 ,  刘苇 ,  黄海东 ,  霍雪松 ,  李向南 ,  孙连文 ,  杨维永 ,  朱世顺 ,  孙柏颜 ,  张骞 ,  魏兴慎 ,  张鸿鹏 ,  裴培 ,  白晨阳 ,  杨康乐 ,  闫珺 ,  徐志超 ,  胡天昊

IPC: G06F9/4401 ,  G06F21/60

Abstract: 本发明提供一种保护bootloader及其环境变量的方法及系统，可在保证安全性的前提下，可以保护bootloader及其环境变量不被篡改。所述方法包括以下步骤：获取加密后的bootloader的镜像；所述加密后的bootloader内存储有加密后的内部环境变量；对加密后的bootloader的镜像进行验签；若验签失败，阻止系统启动；若验签成功，则在bootloader运行时对内部环境变量进行解密。采用本方法，可以有效提高安全性，保护bootloader及其环境变量不被篡改。

公开(公告)号：CN111565111B

公开(公告)日：2022-07-15

申请号：CN202010473253.6

申请日：2020-05-29

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司

Inventor： 张晓 ,  闫珺 ,  祁龙云 ,  刘苇 ,  魏兴慎 ,  吕小亮 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  赵华 ,  李向南 ,  胡俊军 ,  巫乾军

IPC: H04L9/32 ,  H04L9/40 ,  G06F21/64 ,  G06F21/33

Abstract: 本发明公开了一种基于C/S架构的可信计算管理系统及管理方法，包括：一、可信管理中心为可信计算管理节点安装可信计算功能并配置可信策略，内容包括文件路径、文件摘要、策略模式；二、可信管理中心对策略文件签名后将其同公钥证书一起下发到可信计算管理节点，可信计算客户端验签可信策略文件，验签通过后将其加载至可信计算模块；三、如文件摘要与内核中可信策略对应的文件摘要不一致，可信计算模块根据可信策略模式对异常文件进行处理，并记录告警日志，告警日志由可信计算客户端上报到可信管理中心。本发明通用性强，兼容性好，灵活性高，可以在较小改造的基础上，实现多节点的可信计算管理，适合多节点环境复杂情况下的可信计算安全防护场合。

公开(公告)号：CN113992342A

公开(公告)日：2022-01-28

申请号：CN202111060227.1

申请日：2021-09-10

Applicant: 南京南瑞信息通信科技有限公司 ,  国家电网有限公司

Inventor： 郑强 ,  汪明 ,  周劼英 ,  刘寅 ,  罗黎明 ,  栾国强 ,  丁晓玉 ,  徐杰 ,  刘苇 ,  祁龙云 ,  齐敬 ,  李宽合 ,  沈宇

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/06

Abstract: 本发明公开了一种无损网络安全监测管控方法、装置及系统，所述方法包括从服务器下载加密二进制代码，所述加密二进制代码部署在服务器的web服务框架djangon中，是基于将所需的数据采集脚本转换成二进制代码，并对所述二进制代码进行加密后获得的；对所述加密二进制代码进行解密；基于解密后的二进制代码获得监测信息；将所述监测信息上传至服务器和/或安全管理平台。本发明能够实现远程新增监控功能时，无需对工控终端进行逐个现场升级。

公开(公告)号：CN113595790A

公开(公告)日：2021-11-02

申请号：CN202110861794.0

申请日：2021-07-29

Applicant: 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网河北省电力有限公司信息通信分公司 ,  国家电网有限公司

Inventor： 魏兴慎 ,  吴超 ,  张勃 ,  陈连栋 ,  曹永健 ,  王海清 ,  高鹏 ,  祁龙云 ,  马增洲 ,  葛国栋 ,  赵林丛 ,  杨维永 ,  刘苇 ,  朱世顺

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种电力终端设备的安全访问评估方法及装置，该方法用于在零信任网络中对终端设备的信任度和安全威胁进行持续评估，该方法在终端设备上安装采集探针，采集终端的安全状态，基于电力业务系统上服务器的网络连接关系构建网络拓扑图，并采用WL子树核算法将所构建的网络拓扑图转化为R‑跳的带权攻击树；针对接入的终端设备计算服务器节点R‑跳内的风险值，对带权攻击树进行剪枝，得到最终安全可访问的电力业务系统。本发明不仅考虑终端设备的安全状态，同时考虑终端设备在云端的访问权限、业务系统的安全防护能力等，并最终给出终端可以安全访问的最小安全业务集。

公开(公告)号：CN112054895A

公开(公告)日：2020-12-08

申请号：CN202010793729.4

申请日：2020-08-10

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

Inventor： 刘苇 ,  陶洪铸 ,  祁龙云 ,  王治华 ,  杨维永 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  朱世顺 ,  吕小亮 ,  闫珺 ,  王海清 ,  王晔 ,  叶金波 ,  金明辉 ,  高峰

IPC: H04L9/08 ,  H04L9/06 ,  H04L9/30 ,  H04L9/32

Abstract: 本发明公开了基于熔断机制和TPM芯片的硬件可信根构建方法及其应用，其中硬件可信根构建方法包括：1、根据公钥密码算法生成第一公钥；2、对第一公钥进行hash运算，得到第一公钥hash值；3、将第一公钥hash值烧入芯片的熔断区域；4、对芯片操作系统的内核镜像和初始文件系统进行拼接，生成第一拼接文件，并计算其hash值，采用第一私钥对第一拼接文件的hash值进行签名，生成签名文件；5、将第一拼接文件、第一公钥、签名文件拼接为第二拼接文件，将所述第二拼接文件作为系统镜像烧入芯片。该方法能够解决工控终端硬件可信根构建难题，保障整个工控终端可信计算的安全可信。

公开(公告)号：CN111614491A

公开(公告)日：2020-09-01

申请号：CN202010370523.0

申请日：2020-05-06

Applicant: 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网福建省电力有限公司 ,  国家电网有限公司

Inventor： 王梓 ,  杨维永 ,  朱世顺 ,  黄益彬 ,  刘苇 ,  黄天明 ,  朱江 ,  韩勇 ,  程长春 ,  郑卫波 ,  祁龙云 ,  魏兴慎 ,  李牧野 ,  景娜 ,  张林霞

IPC: H04L12/24 ,  H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种面向电力监控系统安全态势评估指标选取方法及系统，包括：采集能够反映电力监控系统安全状态的历史数据经标准化处理后构造训练样本数据集；分析样本数据集中用于安全评估的候选指标与电力监控系统是否存在安全问题的相关性，确定各个候选指标能否判断电力监控系统安全状态的相关性优先排序；计算两两候选指标之间的冗余性，从相关性优先排序集合中去除冗余度高的特征指标，最终综合考虑分类准确率和指标集规模选取出电力监控系统安全态势评估最优指标集。本发明通过对电力监控系统安全态势评估指标进行特征选取，提高了评估结果准确性，降低了数据采集、存储、传输和处理资源的开销，提升对电力监控系统安全态势实施评估的性能。

公开(公告)号：CN108388793A

公开(公告)日：2018-08-10

申请号：CN201810018832.4

申请日：2018-01-09

Applicant: 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网浙江省电力有限公司信息通信分公司 ,  国家电网有限公司

Inventor： 刘苇 ,  吕小亮 ,  姚一杨 ,  祁龙云 ,  赵保华 ,  丁晓玉 ,  栾国强 ,  刘行 ,  魏兴慎 ,  从正海 ,  屠正伟

IPC: G06F21/55 ,  G06F21/53

Abstract: 本发明公开了一种基于主动防御的虚拟机逃逸防护方法，包括自主学习Hypervisor程序和虚拟机模拟器程序的可信度量值和正常执行时的所有行为，并生成系统日志；解析系统日志，更新可信策略配置文件和强制访问控制策略配置文件；将可信策略配置文件和强制访问控制策略配置文件以强制模式加载到内核增强模块中；内核增强模块根据加载的可信度量值和系统行为，阻止被修改的程序执行，阻止程序的异常行为。本发明采用可信计算和自学习的强制访问控制，保证了被修改的Hypervisor程序或者虚拟机模拟器程序不能被运行，限制异常行为，有效的遏制虚拟机非法权限状态转换。