CN103269332B - 面向电力二次系统的安全防护系统 - Google Patents

Abstract

一种面向电力二次系统的安全防护系统，包括：部署在生产控制区的应用安全设备及系统，以及部署在生产控制区、生产管理区、管理信息区的安全运维系统，设置在生产控制区与生产管理区之间的正反向隔离装置，以及设置在生产管理区与管理信息区之间的专用通信网关；生产控制区包括电力二次系统实时或准实时业务的业务模块，生产管理区包括对生产控制区的数据进行收集和管理的业务模块，管理信息区包括进行信息管理的业务模块。本发明基于电力二次系统的技术特点和部署架构，对电力二次系统进行了重新分区，基于这种安全区的划分进行安全防护的部署，通过不同的层面实现对电力二次系统的纵深防护，提高了电力二次系统的安全性。

Description

面向电力二次系统的安全防护系统

技术领域

本发明涉及电力系统的安全防护领域，特别涉及一种面向电力二次系统的安全防护系统。

背景技术

电力二次系统是指对电力一次设备进行控制、监视和管理等的信息系统，一般主要包括电力监控系统、电力调度运行管理系统和电力通信及数据网络等等。随着智能电网的建设和发展，电力二次系统的功能、形态、部署架构和实现技术也发生了明显变化，主要表现为：一体化程度加强，即各业务系统以服务的形式部署在总线上，供服务请求者调用；部署架构松散耦合，保持各业务模块(或者服务)的独立性；各业务功能模块实现技术灵活多样，实现方式不局限于某一种开发语言等等。

目前的针对电力二次系统的安全防护技术架构，主要是着眼于系统网络边界的安全防护，即通过在电力二次系统网络边界部署纵向加密装置、正反向隔离装置和硬件防火墙等方式，来限制不同安全区之间的数据访问，然而，这种安全防护技术架构并未考虑到系统主机层面的安全性问题。另一方面，智能电网的新一代电力二次系统主要是基于面向服务架构(Service-orientedArchitecture)，这种架构的最大的特点是“一切皆服务”，即系统中的所有功能都是以提供服务的形式老实现。实现某项具体的操作，例如远程调阅、指令下发等，都只需要调用相应的服务即可，各个模块之间松散耦合，因而具有很高的灵活性，但是也存在明显的信息安全隐患，目前的电力二次系统的安全防护技术架构并未考虑这种模块服务松散耦合情况下所带来的信息安全问题。

发明内容

基于此，有必要针对电力二次系统的安全性问题，提供一种面向电力二次系统的安全防护系统。

为达到上述目的，本发明采用以下技术方案：

一种面向电力二次系统的安全防护系统，包括：部署在生产控制区的应用安全设备及系统，部署在生产控制区、生产管理区、管理信息区的安全运维系统，设置在生产控制区与生产管理区之间的正反向隔离装置，设置在生产管理区与管理信息区之间的专用通信网关，部署在所述生产管理区与综合数据网络的边界的硬件防火墙，部署在所述管理信息区与综合数据网络的边界的硬件防火墙，还包括部署在所述生产控制区与调度数据网络的互联边界的纵向加密网关，所述纵向加密网关用于对从生产控制区向调度数据网络发送的数据包进行加密，对从调度数据网络发向生产控制区的加密数据包进行解密；

所述生产控制区包括电力二次系统实时或准实时业务的业务模块，所述电力二次系统实时或准实时业务的业务模块包括：能量管理模块、继电保护与故障录波信息管理模块、电能量计量模块、广域相量测量模块、调度员培训模块；所述生产管理区包括对生产控制区的数据进行收集和管理的业务模块，所述管理信息区包括进行信息管理的业务模块，所述进行信息管理的业务模块包括：MIS信息管理系统、OA管理信息系统、人力资源管理信息系统；

所述应用安全设备及系统包括安全接入系统、部署在生产控制区的各业务模块前端的安全控制系统、部署在生产控制区的各安全区业务模块前端的应用安全代理，所述安全控制系统实现对电力二次系统中的服务请求者和服务提供者之间的访问控制，所述安全接入系统实现对电力二次系统的各类远程接入进行安全控制，所述应用安全代理进行加解密及对服务请求者的身份合法性进行验证；

所述安全控制系统实现对电力二次系统中的服务请求者和服务提供者之间的访问控制的方式包括：接收安全应用代理发送的应用层数据包，将该应用层数据包的服务请求者的安全标记与所要调用的服务提供者的安全标记进行比对，根据比对结果判断是否允许访问，若允许访问，将该应用层数据包转发给所述服务提供者；

所述安全运维系统实现对各设备的配置信息进行安全检测管理，所述安全运维系统实现对各设备的配置信息进行安全检测管理的方式包括：将各设备的配置信息与对应的安全配置基线进行比对，在设备的配置信息发生变更或者设备的配置信息在安全配置基线的预设合理范围之外时，发出告警信息。

如上所述的本发明的安全防护系统是基于生产控制区、生产管理区、管理信息区来进行相应防护设施的部署，其中，生产控制区主要包括了电力二次系统实时或准实时业务的业务模块，生产管理区包括了对生产控制区的数据进行收集和管理的业务模块，管理信息区包括了进行信息管理的业务模块。这种方式，实际上是基于电力二次系统的技术特点和部署架构，对电力二次系统进行了重新分区，使得安全区的划分方式更为简洁，不同重要程度和安全等级的业务系统之间的边界划分更为清晰，并且基于这种安全区的划分进行安全防护的部署，通过不同的层面实现对电力二次系统的纵深防护，提高了电力二次系统的安全性。

附图说明

图1是本发明的面向电力二次系统的安全防护系统实施例的结构示意图。

具体实施方式

以下结合其中的较佳实施方式对本发明方案进行详细描述。

图1中示出了本发明的面向电力二次系统的安全防护系统实施例的结构示意图。

如图1所示，本实施例的安全防护系统包括有：部署在生产控制区的应用安全设备及系统，以及部署在生产控制区、生产管理区、管理信息区的安全运维系统，设置在生产控制区与生产管理区之间的正反向隔离装置，以及设置在生产管理区与管理信息区之间的专用通信网关；所述生产控制区包括电力二次系统实时或准实时业务的业务模块，所述生产管理区包括对生产控制区的数据进行收集和管理的业务模块，所述管理信息区包括进行信息管理的业务模块。

如上所述，本实施例的安全防护系统是基于生产控制区、生产管理区、管理信息区来进行相应防护设施的部署，其中，生产控制区主要包括了电力二次系统实时或准实时业务的业务模块，生产管理区包括了对生产控制区的数据进行收集和管理的业务模块，管理信息区包括了进行信息管理的业务模块。这种方式，实际上是基于电力二次系统的技术特点和部署架构，对电力二次系统进行了重新分区，使得安全区的划分方式更为简洁，不同重要程度和安全等级的业务系统之间的边界划分更为清晰，并且基于这种安全区的划分进行安全防护的部署，通过不同的层面实现对电力二次系统的纵深防护，提高了电力二次系统的安全性。

其中，在对电力二次系统进行分区时，可以基于实际的电力二次系统进行具体的分区，如上所述，生产控制区中包含的主要是与电力二次系统实时或准实时业务相关的业务模块，这些业务模块，主要可实现对一次设备的监视功能，具体可以是包括能量管理模块、继电保护与故障录波信息管理模块、电能量计量模块、广域相量测量模块、调度员培训模块等业务模块，当然，基于实际电力二次系统的不同，还可以是包含其他的类似功能的业务模块。

上述生产管理区中，包含的主要是对生产控制区的数据进行收集和管理的业务模块，主要是对电力调度进行运行管理。

上述管理信息区中，包含的主要是进行信息管理的业务模块，主要是一些传统的管理信息系统，例如MIS信息管理系统、OA管理信息系统、人力资源管理信息系统，在该管理信息区中，还可以对来自生产管理区的数据进行展示，具体可以只是展示来自生产管理去的一部分数据。

基于这种对电力二次系统的分区方式，实质上是将目前已有的电力二次系统的控制区和非控制区合并为生产控制区，以适应电力二次系统的发展需求，并将目前的管理信息区进一步划分为生产管理区和管理信息区，以便于根据生产管理系统和传统的管理信息系统在安全防护方面侧重点的不同进行安全防护设施的部署，而且能够在管理职责上对界面进行区分。基于这种分区方式，能够使得安全区的分区方式更趋简洁，而且能够使得不同重要程度和安全等级的业务系统之间的边界划分也更为清晰。

其中，在上述生产控制区中，在生产控制区的交换机上，可以通过划分VLAN等方式将不同时间敏感等级和重要性的业务系统分割开来，并通过QOS等流量管理措施，优先保证实时数据的通信带宽。

如图1所示，设置在生产控制区的应用安全设备及系统，具体可以包括安全接入系统、安全控制系统，还可以包括有安全应用代理，以实现应用系统安全的代理。其中，上述安全控制系统，部署在生产控制区的各业务模块的前端，主要是实现对电力二次系统中的服务请求者和服务提供者之间的访问控制，具体实现时，可以是基于强制访问控制模式来实现这种访问控制。上述安全接入系统，主要是实现对电力二次系统的各类远程接入进行安全控制。上述应用安全代理，部署在生产控制区的各安全区业务模块前端，主要进行加解密及对服务请求者的身份合法性进行验证。

如上所述，在生产控制区与生产管理区之间设置有正反向隔离装置，生产控制区与生产管理区之间通过该正反向隔离装置进行通信，其中，正向隔离装置负责将生产控制区的数据发往生产管理区，反向隔离装置则负责将生产管理区的数据发往生产控制区，正反向隔离装置中，都可以对数据包的格式和长度进行严格控制，具体的正反向隔离装置的具体的数据控制方式，可以采用目前已有的以及以后出现的任何方式或者规则进行。图1所示中是以一个正反向隔离装置为例进行说明，在实际的实施过程中，基于实际需要的不同，正反向隔离装置的数目可以有多个，可以根据实际需要增加正反向隔离装置的数目。

如上所述，在生产管理区与管理信息区之间设置有专用通信网关，生产管理区与管理信息区之间通过该专用通信网关进行安全通信。该专用通信网关可以是准物理隔离强度的专用通信网关，从而可以通过该专用通信网关阻止生产管理区和管理信息区之间直接建立网络连接，从而对生产管理区与管理信息区之间的通信进行限制。

其中，上述应用安全代理进行加解密及对服务请求者的身份合法性进行验证的方式具体可以是：

对发出的应用层数据包进行加密和添加身份认证信息，该身份认证信息通常可以指服务请求者的身份认证信息，例如用户名、用户口令、令牌、数字证书等等；

对接收的应用层数据包进行解密后提取用户身份认证信息，根据用户身份认证信息判断用户身份的合法性，若合法，将该应用层数据包向安全控制系统发送。

上述安全控制系统实现对电力二次系统中的服务请求者和服务提供者之间的访问控制的方式具体可以是：

接收安全应用代理发送的应用层数据包，将该应用层数据包的服务请求者的安全标记与所要调用的服务提供者的安全标记进行比对，根据比对结果判断是否允许访问，若允许访问，将该应用层数据包转发给所述服务提供者。

上述安全接入系统实现对电力二次系统的各类远程接入进行安全控制的方式具体可以是：

接收远程用户的身份认证请求，对该身份认证请求中的证书进行验证远程用户是否为合法用户，若为合法用户，向所述远程用户返回验证通过信息以及连接票据，由所述远程用户根据该连接票据与安全接入系统建立加密通道。

在其中一个具体的应用过程中，对应用层数据包的安全处理过程可以是如下所述。

安全应用代理接收到应用层数据包后，对该应用层数据包进行解密操作，并从解密后的应用层数据包中提取出用户身份认证信息，基于该用户身份认证信息判断用户身份的合法性。若不合法，则直接将该应用层数据包予以丢弃，或者也可以向该应用层数据包的发出方返回不合法或者没有权限的反馈信息。若合法，则将该应用层数据包向安全控制系统发送。

安全控制系统接收到该应用层数据包后，提取出该应用层数据包中服务请求者的安全标记，并将服务请求者的安全标记与所请求服务者(服务提供者)的安全标记进行比对，并根据比对结果来判断该服务请求者是否有权限访问所请求的服务(服务提供者)。若没有访问权限，则直接将该应用层数据包予以丢弃，或者也可以是返回没有访问权限的反馈信息。若有访问权限，则将该应用层数据包向服务提供者发送。其中，对安全标记进行比对来判断是否有访问权限的方式，可以采用目前已有的以及以后可能出现的任何方式进行，在此不予赘述。

安全接入系统对电力二次系统的各类远程接入的安全控制，具体可以包括远程拨号、无线终端接入、远程网络接入的远程接入的安全控制。安全接入系统在接收到远程用户的接入请求后，首先对用户身份的合法性进行验证，验证通过之后，才可以进行正常的数据通信。其中一个具体的远程接入的安全控制方式可以如下所述：

远程用户向安全接入系统发出身份认证请求；

安全加入系统接收到该身份认证请求后，对该远程用户提交的证书进行验证，判断该远程用户是否为合法用户，若是非法用户，则向该远程用户返回拒绝连接信息，若为合法用户，则向该远程用户返回验证通过信息，并且向该远程用户发送连接票据；

随后，远程用户凭接收到的来自安全接入系统的该连接票据，与安全接入系统建立加密通道，并经过该加密通道进行远程通信。

上述安全运维系统，可以是在生产控制区、生产管理区以及管理信息区中分别部署。安全运维系统主要实现对各设备的配置信息的安全检测管理，安全运维系统实现对各设备的配置信息进行安全检测管理的方式具体可以是：

将各设备的配置信息与对应的安全配置基线进行比对，在设备的配置信息发生变更或者设备的配置信息在安全配置基线的预设合理范围之外时，发出告警信息。

在其中一个具体实现方式中，安全运维系统主要实现对各区的主机设备、网络设备和安全设备的安全基线的检测和集中运维管理。安全运维系统中提供电力二次系统中的各个主机设备、网络设备和安全设备的安全配置基线，周期性的(例如每24小时)将各个设备的配置信息同对应的安全配置基线进行比对，一旦发现配置信息有变更或配置信息不在安全配置基线设置的预设合理范围内时，即发出告警信息，提示用户查看设备配置情况。另一方面，安全运维系统能够对各个设备进行集中运维管理，即管理员只有登录到安全运维系统才能查看或修改各设备的配置，安全运维系统和各设备之间建立安全的数据通道。此外，安全运维系统还可以对用户的所有操作进行日志记录。

如图1所示，本发明实施例的面向电力二次系统的安全防护系统中，还可以包括有部署在生产控制区与调度数据网络的互联边界的纵向加密网关，以实现生产控制区与调度数据网络之间通信的安全防护。具体实现时，该纵向加密网关对从生产控制区向调度数据网络发送的数据包进行加密，对从调度数据网络发向生产控制区的加密数据包进行解密。

如图1所示，本发明实施例的面向电力二次系统的安全防护系统中，还可以包括有部署在生产管理区与综合数据网络的边界的硬件防火墙，以及部署在管理信息区与综合数据网络的边界的硬件防火墙，从而实现生产管理区、管理信息区与综合数据网络之间通信的安全防护。具体的硬件防火墙中的访问控制规则，可以基于实际的安全控制需要进行设置，基于在硬件防火墙上的访问控制规则的配置，可以限制对基于综合数据网络对生产管理区、管理信息区的访问。

基于如上所述的本发明的面向电力二次系统的安全防护系统，从主机安全、网络安全和应用安全三个层面实现了对电力二次系统的纵深防御，相对于传统的电力二次系统的安全防护架构来说，加强了对主机安全和应用层面的安全防护考虑，构筑了全面的电力二次系统纵深防御架构。另一方面，如上所述的本发明的面向电力二次系统的安全防护系统，着重对松散耦合架构的电力二次系统应用安全进行针对性保护。无论是网络安全和主机安全防御，最终都是为了保证电力二次系统的应用安全，进而保证电力生产业务连续性。本发明通过密码技术实现对应用层消息的加密、签名以及服务请求者的身份认证，保证电力二次系统的保密性、完整性和可用性。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims (3)

1.一种面向电力二次系统的安全防护系统，其特征在于，包括：部署在生产控制区的应用安全设备及系统，部署在生产控制区、生产管理区、管理信息区的安全运维系统，设置在生产控制区与生产管理区之间的正反向隔离装置，设置在生产管理区与管理信息区之间的专用通信网关，部署在所述生产管理区与综合数据网络的边界的硬件防火墙，部署在所述管理信息区与综合数据网络的边界的硬件防火墙，以及部署在所述生产控制区与调度数据网络的互联边界的纵向加密网关，所述纵向加密网关用于对从生产控制区向调度数据网络发送的数据包进行加密，对从调度数据网络发向生产控制区的加密数据包进行解密；

所述生产控制区包括电力二次系统实时或准实时业务的业务模块，所述电力二次系统实时或准实时业务的业务模块包括：能量管理模块、继电保护与故障录波信息管理模块、电能量计量模块、广域相量测量模块、调度员培训模块；所述生产管理区包括对生产控制区的数据进行收集和管理的业务模块，所述管理信息区包括进行信息管理的业务模块，所述进行信息管理的业务模块包括：MIS信息管理系统、OA管理信息系统、人力资源管理信息系统；

所述应用安全设备及系统包括安全接入系统、部署在生产控制区的各业务模块前端的安全控制系统、部署在生产控制区的各安全区业务模块前端的应用安全代理，所述安全控制系统实现对电力二次系统中的服务请求者和服务提供者之间的访问控制，所述安全接入系统实现对电力二次系统的各类远程接入进行安全控制，所述应用安全代理进行加解密及对服务请求者的身份合法性进行验证；

所述安全控制系统实现对电力二次系统中的服务请求者和服务提供者之间的访问控制的方式包括：接收安全应用代理发送的应用层数据包，将该应用层数据包的服务请求者的安全标记与所要调用的服务提供者的安全标记进行比对，根据比对结果判断是否允许访问，若允许访问，将该应用层数据包转发给所述服务提供者；

所述安全运维系统实现对各设备的配置信息进行安全检测管理，所述安全运维系统实现对各设备的配置信息进行安全检测管理的方式包括：将各设备的 配置信息与对应的安全配置基线进行比对，在设备的配置信息发生变更或者设备的配置信息在安全配置基线的预设合理范围之外时，发出告警信息。

2.根据权利要求1所述的面向电力二次系统的安全防护系统，其特征在于，所述安全接入系统实现对电力二次系统的各类远程接入进行安全控制的方式包括：

接收远程用户的身份认证请求，对该身份认证请求中的证书进行验证远程用户是否为合法用户，若为合法用户，向所述远程用户返回验证通过信息以及连接票据，由所述远程用户根据该连接票据与安全接入系统建立加密通道。

3.根据权利要求1所述的面向电力二次系统的安全防护系统，其特征在于，所述应用安全代理进行加解密及对服务请求者的身份合法性进行验证的方式包括：

对发出的应用层数据包进行加密和添加身份认证信息；

对接收的应用层数据包进行解密后提取用户身份认证信息，根据用户身份认证信息判断用户身份的合法性，若合法，将该应用层数据包向安全控制系统发送。