1.本发明属于电力系统通信技术领域,尤其涉及一种电力调度数据网设备配置合规性核查系统。
背景技术:2.电力调度数据网是电网调度自动化、管理现代化的基础,是确保电网安全、稳定、经济运行的重要手段,是电力系统的重要基础设施,在协调电力系统发、送、变、配、用电等组成部分的联合运转及保证电网安全、经济、稳定、可靠的运行方面发挥了重要的作用,并有力的保障了电力生产、电力调度、水库调度、燃料调度、继电保护、安全自动装置、远动、电网调度自动化等通信需要,在电力生产及管理中的发挥着不可替代的作用。国家电网调度数据网采用双平面方式构建,通过对全网的统一规划,全面满足调度业务的实时性、可靠性、安全性要求,实现可持续发展。
3.随着信息化建设的不断发展,设备配置不当造成的后果越发严重,各企业陆续发布出台了各自的配置核查标准,例如:工信部、金融、电信、电力能源等行业。为实现电力调度数据网配置要求以便规范电力调度数据网设备配置,快速有效地对电力调度数据网络中数量繁多的路由器、交换机进行配置核查,一些企业推出了配置核查系统。目前各网络设备厂家的配置核查系统,主要功能是,网管产品内置默认设备和系统检查模板,支持按照配置规范要求对在线设备进行配置核查。然而,各厂商的配置核查系统对于电力调度数据网的定制化能力不足,无法适应大范围的推广和使用。
4.此外,现有的配置核查系统只针对一、两个品牌设备,不能覆盖常见设备型号。华为、新华三、中兴设备在配置的定义或规范上并不相同,甚至不同软件版本的设备之间也有极大的差异,现有配置核查系统无法满足电力调度数据网的要求。
技术实现要素:5.为了解决现有技术存在的问题,本发明提供一种电力调度数据网设备配置合规性核查系统,能够对不同规范的电力调度数据网设备配置进行合规性核查。
6.本发明所要解决的技术问题是通过以下技术方案实现的:第一方面,提供了一种电力调度数据网设备配置合规性核查系统,包括:前端模块、后端管理模块、合规检查引擎模块以及数据采集模块;所述前端模块用于为用户提供人机交互界面完成用户的操作请求;所述后端管理模块用于后端信息的管理;所述合规检查引擎模块用于对配置文件和命令进行合规检查;所述数据采集模块用于采集设备信息。
7.结合第一方面,进一步的,所述前端模块包括合规检查任务管理模块、报表管理模块以及系统管理模块;所述合规检查任务管理模块用于完成用户需要的检查任务配置工作;
所述报表管理模块用于根据配置不合规信息生成不合规项报表;所述系统管理模块用于设备信息录入、字典信息录入、配置采集信息编辑以及权限管理。
8.结合第一方面,进一步的,所述后端管理模块包括:策略管理模块、设备管理模块、任务调度服务模块以及配置规范库模块;所述策略管理模块用于对合规策略进行新增、删除以及编辑;所述设备管理模块用于对设备信息进行录入、删除以及编辑;所述任务调度服务模块用于任务调度管理;所述配置规范库模块用于增加、删除、修改合规检查规范,并针对单任务对合规检查规范进行自定义。
9.结合第一方面,进一步的,所述合规检查引擎模块包括:配置文件解析服务模块以及命令行解析与分析服务模块;所述配置文件解析服务模块用于对路由器配置进行规范化处理和解析,并对解析后的文件进行合规校验;所述命令行解析与分析服务模块用于对获取的命令行进行解析与分析,并对解析后的命令行进行合规校验。
10.结合第一方面,进一步的,所述数据采集模块包括:snmp采集服务模块和ssh采集服务模块;所述snmp采集服务模块用于通过snmp协议获取目标设备的基础配置信息;所述ssh采集服务模块用于通过ssh协议获取目标设备的配置信息。
11.结合第一方面,进一步的,所述基础配置信息包括目标设备的设备名称和公网路由信息。
12.结合第一方面,进一步的,所述任务调度模块采用quartz作业调度框架,通过触发器设置作业定时运行规则,控制作业的运行时间。
13.第二方面,提供了一种电力调度数据网设备配置合规性核查方法,包括:通过数据采集模块获取目标设备信息;通过合规检查引擎模块对获取到目标设备信息进行解析以及合规校验;通过后端管理模块中的配置规范库模块对合规检查规范进行自定义;通过后端管理模块中的策略管理模块用于对合规策略进行编辑;通过后端管理模块中的任务调度服务模块对合规性核查过程中的任务进行调度;通过前端模块中的合规检查任务管理模块完成用户需要的检查任务配置工作;通过前端模块中报表管理模块根据配置不合规信息生成不合规项报表;通过前端模块中系统管理模块进行设备信息录入、字典信息录入、配置采集信息编辑以及权限管理。
14.本发明有益效果:本发明提供合规性核查系统和方法,通过配置系统接入至数据网络中,通过snmp、ssh等方式登录设备,获取配置信息或设备信息,验证了电力调度数据网设备的配置合规性,填补了目前相关项目的检查方法缺乏的现状。
附图说明
15.图1为本发明系统的架构分层示意图;图2为本基于本发明方法的流程示意图。
具体实施方式
16.为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
17.为了更好地理解本发明,下面对本发明技术方案中的相关技术进行说明。
18.实施例1本发明实施例提供一种电力调度数据网设备配置合规性核查系统,参见图1,包括前端模块、后端管理模块、合规检查引擎模块以及数据采集模块。
19.所述前端模块主要为用户提供人机交互界面完成用户一系列的操作请求,其包含的子模块主要有:合规检查任务管理模块:主要用于完成用户需要的检查任务的配置工作。
20.报表管理模块:主要用于根据配置不合规信息生成不合规报表进行展示。
21.系统管理模块:主要用于设备信息录入、字典信息录入、配置采集信息编辑以及权限管理所述后端管理模块主要用于后端的信息管理,其包含的子模块主要有:策略管理模块:用于对合规策略进行新增,删除,编辑。配置好的策略可以作为合规检查的检查项目。
22.设备管理模块:用于对设备信息进行录入、删除、编辑,合规检查过程中需要依靠这些参数才能正常运行。比如采集地址,设定完成后即可采集设备公网路由。
23.任务调度服务模块:采用了quartz作业调度框架,任务调度管理模块用一套松耦合的线程池管理部件来管理线程环境,由quartz调度器负责管理应用运行时环境,采用了基于多线程的架构,通过触发器设置作业定时运行规则,控制作业的运行时间。通过quartz技术,用户可以同时在系统中创建上百个合规检查任务而不会导致调度问题。当用户需求对某任务进行立即执行操作时,框架会根据现有运行任务的最大数量进行判断,当没有达到最大并发执行任务数时,直接执行该任务,当超过并发执行任务数时,会直接插入任务队列,并保证正在执行的某任务执行完毕后,立刻执行该任务。
24.配置规范库模块:用于增加、删除、修改合规检查规范,并可针对单任务进行配置规范的自定义。系统还提供自定义配置检查功能,可以由用户根据需要或者行业标准,自行制定对目标系统执行的各种配置检查操作,可以形成针对自身企业或行业的自定义配置检查策略。
25.所述合规检查引擎模块主要用于对配置文件和命令进行合规检查,其包含的子模块主要有:配置文件解析服务模块:主要用于对路由器配置进行规范化处理和解析,在对某型号设备进行配置合规检查前,由于每种型号设备的配置指令集都有区别,必须在合规检
查前,对路由器配置进行规范化处理和解析。配置文件解析服务模块将路由器的多个命令进行联合分析,将路由器配置以xml格式进行重新定义。在任何设备准备开始进行合规检查前,就导入该设备完整命令集,解析后产生该型号设备的配置数据结构对象。这样以后任何设备的实际配置文件就是对该数据结构的一次实例化。
26.命令行解析与分析服务模块:主要用于对获取的命令行进行解析与分析,对于其他无法通过snmp获取的配置信息必须采用命令行回显的方式进行分析提取。可采用ssh或telnet,通过命令访问方式获取配置信息,对单条命令获取的结果进行解析与分析。
27.所述采集模块主要用于采集设备信息,其包含的子模块主要有:snmp采集服务模块:主要用于通过snmp协议采集设备的基础配置信息(主要包括设备名称,公网路由信息,ip等),作为合规检查工作的原始数据,通过对调度数据网目标设备型号的私有mib库进行分析,经过适配开发,确保可以通过snmp方式获取到目标设备的相关信息。
28.ssh采集服务模块:主要用于采集设备的路由信息、原始配置信息实施例2基于上述的合规性核查系统,本发明还提供了一种合规性核查方法,根据上述的测试系统搭建调度数据网环境,该合规性核查方法包括snmp配置规范性检查、ntp配置规范性检查、登录配置规范性检查、日志配置规范性检查、非必要服务功能关闭检查、设备命名规范性检查,如图2所示,主要流程如下:a、选择路由器或交换机的配置snmp参数,在配置合规性检查工具中配置相应的路由器或交换机的管理ip、登陆方式、snmp参数等。
29.b、选择任务,选择配置合规性检查的设备以及检查内容。
30.c、通过采集服务中的开始原始数据采集,通过snmp获取到设备的公网路由信息、设备名称以及ip等(公有协议能采集到的基础配置信息),通过ssh登录相关设备获取相应的配置文件;d、通过分别对snmp获取到的基础配置信息进行解析得到公网路由信息、设备名称以及ip等,对ssh获取到的配置文件进行解析得到配置命令行。
31.e、对snmp获取到的基础配置信息以及ssh获取到的配置信息进行规则校验,判断是否合规。
32.f、若不存在不合规项,则结束合规性检查任务,提交无不合格项目检查报告,若存在不合规项,则对所有不合规项进行统计,生成不合规项目报告,报告通过报表管理模块在前端进行展示。
33.所述规则校验内容包括:1)snmp配置规范性检查配置范例:acl2000rulepermitsourcex.x.x.x0snmp-agentcommunityreadxxxxxxacl2000该类检查属于单命令的包含与不包含关系检查,以及上下文之间的联系逻辑判断。需要判断acl,rulepermitsource以及snmp-agentcommunityread是否存在,且
最后一条命令的acl号2000是否在上文acl的配置中。如果有才是合规的。
34.2)ntp配置规范性检查配置范例:ntpenablentpserver1.1.1.1priority5该类检查属于单命令的包含与不包含关系检查。在获取配置后,根据命令树分解命令,ntpenable,ntpserver***priority*提取命令。
35.然后,判断是否配置了ntpenable是否存在,如果不存在该配置则直接说明系统没有配置使能ntp服务。而后检查服务器配置以及后续的ip字段,如果没有配置ip则说明ntp服务器地址未配置,以上二者均判断为不合规。如果需要检查优先级则继续可对优先级进行检查,比如:可设定优先级在[x,y]区间内则判断为不合规。
[0036]
3)登录配置规范性检查配置范例:acl2000rulepermitsourcex.x.x.x0user-interfacevty04acl2000inbound该类检查属于单命令的包含与不包含关系检查,以及上下文之间的联系逻辑判断。
[0037]
该配置需要保证首先具备acl配置,即上文前三行,这只是该条合规规则的配置基础。而后需要判定acl***inbound中间的acl号码必须在上文的acl中出现,才能表示合规。需要对于每个设置的acl号进行判断保证均有对应的acl规则,通过上下文判定,才能判断该规则是否真正合规。
[0038]
4)日志配置规范性检查配置范例:启用日志服务info-centerenable指定日志服务器地址info-centerloghostx.x.x.x指定日志发送源端口info-centerloghostsourcex.x.x.x该类检查属于单命令的包含与不包含关系检查。在获取配置后,根据命令树分解命令,info-centerenable,info-centerloghost***,info-centerloghostsource***提取命令。
[0039]
然后,判断是否配置了info-centerenable是否存在,如果不存在则直接说明系统没有配置使能日志服务。而后检查服务器配置以及后续的ip字段,如果没有配置ip则说明日志服务器地址未配置,最后在判断第三条命令,是否指定端口。
[0040]
本领域内的技术人员应明白,本技术的实施例可提供为方法、系统、或计算机程序产品。因此,本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0041]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0042]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0043]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
技术特征:1.一种电力调度数据网设备配置合规性核查系统,其特征在于,包括:前端模块、后端管理模块、合规检查引擎模块以及数据采集模块;所述前端模块用于为用户提供人机交互界面完成用户的操作请求;所述后端管理模块用于后端信息的管理;所述合规检查引擎模块用于对配置文件和命令进行合规检查;所述数据采集模块用于采集设备信息。2.根据权利要求1所述的一种电力调度数据网设备配置合规性核查系统,其特征在于,所述前端模块包括合规检查任务管理模块、报表管理模块以及系统管理模块;所述合规检查任务管理模块用于完成用户需要的检查任务配置工作;所述报表管理模块用于根据配置不合规信息生成不合规项报表;所述系统管理模块用于设备信息录入、字典信息录入、配置采集信息编辑以及权限管理。3.根据权利要求1所述的一种电力调度数据网设备配置合规性核查系统,其特征在于,所述后端管理模块包括:策略管理模块、设备管理模块、任务调度服务模块以及配置规范库模块;所述策略管理模块用于对合规策略进行新增、删除以及编辑;所述设备管理模块用于对设备信息进行录入、删除以及编辑;所述任务调度服务模块用于任务调度管理;所述配置规范库模块用于增加、删除、修改合规检查规范,并针对单任务对合规检查规范进行自定义。4.根据权利要1所述的一种电力调度数据网设备配置合规性核查系统,其特征在于,所述合规检查引擎模块包括:配置文件解析服务模块以及命令行解析与分析服务模块;所述配置文件解析服务模块用于对路由器配置进行规范化处理和解析,并对解析后的文件进行合规校验;所述命令行解析与分析服务模块用于对获取的命令行进行解析与分析,并对解析后的命令行进行合规校验。5.根据权利要1所述的一种电力调度数据网设备配置合规性核查系统,其特征在于,所述数据采集模块包括:snmp采集服务模块和ssh采集服务模块;所述snmp采集服务模块用于通过snmp协议获取目标设备的基础配置信息;所述ssh采集服务模块用于通过ssh协议获取目标设备的配置信息。6.根据权利要5所述的一种电力调度数据网设备配置合规性核查系统,其特征在于,所述基础配置信息包括目标设备的设备名称和公网路由信息。7.根据权利要求1所述的一种电力调度数据网设备配置合规性核查系统,其特征在于,所述任务调度模块采用quartz作业调度框架,通过触发器设置作业定时运行规则,控制作业的运行时间。8.一种电力调度数据网设备配置合规性核查方法,其特征在于,包括:通过数据采集模块获取目标设备信息;通过合规检查引擎模块对获取到目标设备信息进行解析以及合规校验;通过后端管理模块中的配置规范库模块对合规检查规范进行自定义;
通过后端管理模块中的策略管理模块用于对合规策略进行编辑;通过后端管理模块中的任务调度服务模块对合规性核查过程中的任务进行调度;通过前端模块中的合规检查任务管理模块完成用户需要的检查任务配置工作;通过前端模块中报表管理模块根据配置不合规信息生成不合规项报表;通过前端模块中系统管理模块进行设备信息录入、字典信息录入、配置采集信息编辑以及权限管理。
技术总结本发明公开了一种电力调度数据网设备配置合规性核查系统,包括:前端模块、后端管理模块、合规检查引擎模块以及数据采集模块;所述前端模块用于为用户提供人机交互界面完成用户的操作请求;所述后端管理模块用于后端信息的管理;所述合规检查引擎模块用于对配置文件和命令进行合规检查;所述数据采集模块用于采集设备信息,本发明提供合规性核查系统和方法,通过配置系统接入至数据网络中,通过SNMP、SSH等方式登录设备,获取配置信息或设备信息,验证了电力调度数据网设备的配置合规性,填补了目前相关项目的检查方法缺乏的现状。了目前相关项目的检查方法缺乏的现状。了目前相关项目的检查方法缺乏的现状。
技术研发人员:何晓阳 王善详 霍雪松 胡婷 黄鑫 李芹
受保护的技术使用者:国网江苏省电力有限公司
技术研发日:2022.07.08
技术公布日:2022/11/1
