CN104579784A - 基于多维虚链路的电力工业控制系统网络管理方法 - Google Patents
基于多维虚链路的电力工业控制系统网络管理方法 Download PDFInfo
- Publication number
- CN104579784A CN104579784A CN201510020017.8A CN201510020017A CN104579784A CN 104579784 A CN104579784 A CN 104579784A CN 201510020017 A CN201510020017 A CN 201510020017A CN 104579784 A CN104579784 A CN 104579784A
- Authority
- CN
- China
- Prior art keywords
- control system
- network
- network management
- power industry
- industry control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Supply And Distribution Of Alternating Current (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明旨在提供一种能有效提升电力工业控制系统的网络管理水平的基于多维虚链路的电力工业控制系统网络管理方法。本发明方法是针对电力工业控制系统网络管理特点,采用抽象电力工业控制系统业务逻辑关系,建立基于多维虚链路的网络管理模型,从而全面系统的提升电力工业控制系统的网络管理水平。本发明可应用于网络管理领域。
Description
技术领域
本发明涉及一种网络管理方法,尤其涉及一种基于多维虚链路的电力工业控制系统网络管理方法。
背景技术
近年来,随着电力通信网络与计算机信息技术的迅速发展,智能电网新技术的应用、电网设备管理规范化以及一体化推进使得电网设备运行水平大幅提升。当前,各级电力企业已建立了较为完善的电力二次系统,但在电力生产运行中,设备质量、人为误操作、自然灾害等等因素,难以避免地造成了电力工业控制系统设备运行可靠率下降,进而直接威胁到电力一次设备安全稳定运行。当前,电力工业控制系统网络管理面对的问题也更加复杂多样,其一是采集信息过于简单,现有电力工业控制系统已能将站内设备的少量运行状态信息递交到主站,但这些简单信息难以详细地反映出系统与设备的完整运行状况,对系统异常的定位和原因分析带来了巨大困难。其二是事件缺乏关联,电力工业控制系统不同业务系统的事件信息缺乏进行统一关联分析,难以实现总体风险管理。其三是故障现场无法准确分析,一旦电力工业控制系统出现装置故障后,由于数据采集涉及环节多,缺乏数据业务的逻辑模型,从而使故障原因难以分析及查找定位。如图1所示,现有的网络管理方法是针对网络管理对象1按照不同系统或设备的要求,采集相关的状态、告警、事件、日志2等信息,上述信息数据量大且处于同一平面进行信息叠加,往往难以详细地反映出系统与设备的完整运行状况,因此,在网络管理人机界面3上表现的是故障现象,不能对技术人员提供出辅助决策信息,从而对系统异常的定位和原因分析带来了巨大困难。因此,如何采用技术手段对电力工业控制系统网络管理并与主站交互的应用需求已日益迫切。本发明方法是在以上技术背景为基础结合发明人多年的电力工业控制领域网络管理经验而形成的针对电力工业控制系统网络管理领域的专有方法。
发明内容
本发明所要解决的技术问题是克服现有技术的不足,提供一种能有效提升电力工业控制系统的网络管理水平的基于多维虚链路的电力工业控制系统网络管理方法。
本发明所采用的技术方案是:本发明方法是在网络管理对象与网络管理人机界面之间建立多维关联链路,针对网络管理对象按照不同系统或设备的要求,采集相关的状态、告警、事件、日志信息,对电力专用协议分析并与电力业务模块通信,该方法包括以下步骤:
(1)根据电力工业控制系统网络结构特点,利用通用网络管理技术自动或手动补充生成现场的物理网络拓扑实际链路,从而得到网络数据可能的物理路径与通道;
(2)将网管对象划分为不同的业务,每项业务中包含业务运行所依赖的各类服务,服务再细化关联到其所依赖的各类监视对象,通过对应用业务细化并重新分类,抽象出相关的软件模块资源和硬件设施资源支撑服务,每种服务为相关的业务提供一种服务能力,每种服务又与相应的具体的资源相关联,进行对象去耦合并建立模型;
(3)根据电力工业控制系统信息安全的技术要求,通过对现场的风险分析,考虑到威胁的严重程度和范围,对工业控制系统进行网络边界认定、内部区域划分、节点权限分配、部件网络流量的上下限约束以及节点安全性的关联梳理,生成工业控制系统网络环境中部件与节点的安全特性约束虚拟链路,监视网络数据并与安全设备进行交互,一旦网络遭到入侵攻击或节点安全失效,可以迅速定性、定量得出在该虚拟链路中的关联范围;
(4)根据电力工业控制系统子系统的逻辑块的属性,采用面向对象的方法,依据逻辑块对象业务功能服务的关系建立系统功能服务虚拟链路,通过与应用程序进行通信而获取相应逻辑块的运行状态,结合采取监视分析网络数据报文中的电力专用通信规约,验证部分逻辑块的运行情况,一旦系统中某个逻辑部件功能服务失效,该虚拟链路可以迅速确定关联的功能失效范围;
(5)根据电力工业系统逻辑块对象的性能加权程度以及业务性能约束的关系建立系统性能虚拟链路,通过与应用程序进行通信而获取相应逻辑块的性能状态,结合采取监视分析网络数据报文中的电力专用通信规约,验证部分逻辑块的性能情况,一旦系统中某个逻辑部件性能下降或严重失效,该虚拟链路可以迅速确定关联的隐性的或显性的影响范围;
(6)依据上述各个链路的情况,建立彼此之间的有机联系,形成多维关联,其综合指标是一个多维的状态集合,并可根据现场需求进行维度增加。
进一步地,所述网络管理对象包括网络设备、主机、数据库、中间件、安全设备以及应用系统。
本发明的有益效果是:在本发明中,通过建立安全特性约束、系统功能服务、系统性能关联等多维虚链路,避免仅停留在表面而进行的事件分析,可以达到具有多维特性的电力工业控制系统网络管理的本质抽象;可以更为快速地发现系统故障或异常,准确评估出电力工业控制系统在安全性、可靠性、可用性等多个维度的系统现状;可以方便发现电力工业控制系统的运行隐患,追溯故障的产生根源、定位故障的影响范围及预测故障的蔓延趋势。
附图说明
图1是现有的网络管理方法的环境示意图;
图2是本发明的网络管理方法的环境示意图;
图3是本发明方法的流程图。
具体实施方式
本发明的“电力工业控制系统”是指:电力工业控制系统(Power Industrial Control Systems,ICS)是由各种电力系统自控组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保电力工业控制设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)以及通信接口技术等。
本发明的“网络管理系统”是指:对计算机网络和设备进行的维护和管理。网络管理是为了实现控制、规划、分配、部署、协调及监视一个网络的资源所需的整套官能的具体实施,它包括执行如下官能,如:初始的网络规划、频率分配、为支持负载均衡预先确定流量路由规则、授权、配置管理、故障管理、安全管理、性能管理、带宽管理及记账管理。
本发明的“基于多维虚链路的电力工业控制系统网络管理方法”是指:一种电力工业控制系统网络管理领域的专有方法,该方法根据系统业务的数据通信与关联特点,结合物理网络拓扑实链路,建立系统安全特性约束虚链路、系统功能服务虚链路、系统性能关联虚链路,能更为快速的发现系统故障或异常,并准确评估出电力工业控制系统在安全性、可靠性、可用性等多个维度的现状,发现潜在的运行隐患,追溯故障的产生根源、定位故障的影响范围及预测故障的蔓延趋势。
本发明与其它方法的区别是:
区别a:与智能变电站“虚端子”的区别:虚端子是传统保护和测控装置的I/O端子采用网络信号表述的虚拟形态,输出特性虚端子采用GOOSE进行定义,输入特性虚端子依据二次接线图与相关装置的输出虚端子连接。虚端子的核心是硬件实体端子的逻辑形式,且局限于站端自动化系统范围之内,在电力工业控制系统网络管理中没有应用。
区别b:与“通用网络管理系统”的区别:传统的通用网络管理系统具备网络拓扑及自动发现功能,也采用了资源管理信息模型,但其本质是对网络拓扑实链路以及网络层面协议的监视与管理,没有对电力工业控制系统应用层业务的逻辑依赖关系进行多维分析与关联,往往收集到大量的状态、日志、事件及告警信息,而无法准确表述业务系统的运行状态与故障根本原因所在。
本发明方法根据电力工业控制系统网络结构特点,利用通用网络管理技术自动或手动补充生成现场的物理网络拓扑实际链路,得到网络数据可能的物理路径与通道。
根据电力工业控制系统的网管对象存在着千丝万缕的依赖关系,本发明方法将网管对象划分为不同的业务,每项业务中包含业务运行所依赖的各类服务,服务再细化关联到其所依赖的各类监视对象。通过对应用业务细化并重新分类,抽象出相关的软件模块和硬件设施等资源支撑服务,每种服务为相关的业务提供一种服务能力,比如网络服务提供网络互联与通讯能力、计算服务提供数据处理与运算的能力、数据库服务提供数据存取能力、应用服务提供业务所需的各种应用功能。每种服务又与具体的资源相关联,比如网络服务与具体的交换机、路由器、网络安全设备等关联,计算服务与服务器关联,数据库服务与具体的数据库实例关联,应用服务与具体的子系统或功能模块关联。通过对网管对象的逻辑或物理资源解耦建模,为以下步骤提供模型基础。
根据电力工业控制系统信息安全的技术要求,通过对现场的风险分析,考虑到威胁的严重程度和范围,对工业控制系统进行网络边界认定、内部区域划分、节点权限分配、部件网络流量的上下限约束以及节点安全性的关联梳理,生成工业控制系统网络环境中部件与节点的安全特性约束虚拟链路关系,同时,监视网络数据并与安全设备进行交互,一旦网络遭到入侵攻击或节点安全失效,可以迅速定性、定量得出在该虚拟链路中的关联范围。
电力工业控制系统往往有众多的子系统或模块等称为“逻辑块”而组成,它们彼此之间存在错综复杂的依赖关联,因此,采用面向对象的方法,依据逻辑块对象(包含的子对象)业务功能服务的关系建立系统功能服务虚拟链路,通过与应用程序进行通信而获取相应逻辑块的运行状态,同时,也采取监视分析网络数据报文中的电力专用通信规约,验证部分逻辑块的运行情况,一旦系统中某个逻辑部件功能服务失效,该虚拟链路可以迅速确定关联的功能失效范围。
电力工业控制系统的 “逻辑块”的性能设计通常包含较大的裕度,正常运行时的CPU负荷率/内存容量/网络带宽等指标均在较低的范围,但是,核心逻辑块的性能下降将导致整可一拖垮整个系统的正常运行,因此,依据逻辑块对象(包含的子对象)的性能加权程度以及业务性能约束的关系建立系统性能虚拟链路,通过与应用程序进行通信而获取相应逻辑块的性能状态,同时,也采取监视分析网络数据报文中的电力专用通信规约,验证部分逻辑块的性能情况,一旦系统中某个逻辑部件性能下降或严重失效,该虚拟链路可以迅速确定关联的隐性的或显性的影响范围。
上述各个链路并非彼此孤立,它们之间存在有机的联系,为了达到某维链路指标的提升,可能是以降低另一维链路指标为代价,反之,某维链路指标的部分下降,另一维链路指标有裕度也弥补总体系统的正常运行。因此,本方法对电力工业控制系统的网络管理其综合指标是一个多维的状态集合,同时也可根据现场需求进行维度增加,这样它更能客观、准确的反映电力工业控制系统的总体运行状况。
如图2所示,本发明应用后的网络管理方法是采用对网络管理对象的状态、告警、事件、日志等进行通用的数据采集为基础,增加与电力业务模块通信4以及针对电力专用协议分析5两大重要功能,相关采集数据信息可以更全面的反映电力工业控制系统应用层面上的状态,同时针对网络管理对象去耦合并建立模型6,对上述数据在物理网络拓扑实链路7、安全特性约束虚链路8、系统功能服务虚链路9、系统性能关联虚链路10等四个维度抽象出电力工业控制系统业务逻辑关系模型,形成具有多维关联11特性的网络管理体系,从而可以通过多条链路线索的路径搜寻,能更为快速的发现系统故障或异常,并准确评估出电力工业控制系统在安全性、可靠性、可用性等多个维度的现状,发现潜在的运行隐患,追溯故障的产生根源、定位故障的影响范围及预测故障的蔓延趋势。
如图3所示,本方法发明实现流程:根据电力工业控制系统网络结构特点,利用通用网络管理技术生成现场的物理网络拓扑实链路12,根据电力工业控制系统信息安全的技术要求建立系统安全特性约束虚链路13,针对电力工业控制系统的“逻辑块”建立系统功能服务虚拟链路14,以便确定关联的功能失效范围。同时,根据电力工业控制系统的 “逻辑块”的性能设计裕度及关联关系,建立系统性能虚链路15。最后,综合上述各个链路的情况,建立彼此之间的有机联系,形成多维关联16与深度挖掘与人机界面17,更为准确地评估出电力工业控制系统的运行状况。
本发明可应用于网络管理领域。
需要注意的是,上述仅以优选实施例对本发明进行了说明,并不能就此局限本发明的权利范围,因此在不脱离本发明思想的情况下,凡运用本发明说明书和附图部分的内容所进行的等效变化,均理同包含在本发明的权利要求范围内。
Claims (2)
1.基于多维虚链路的电力工业控制系统网络管理方法,其特征在于,该方法在网络管理对象与网络管理人机界面之间建立多维关联链路,针对网络管理对象按照不同系统或设备的要求,采集相关的状态、告警、事件、日志信息,对电力专用协议分析并与电力业务模块通信,该方法包括以下步骤:
(1)根据电力工业控制系统网络结构特点,利用通用网络管理技术自动或手动补充生成现场的物理网络拓扑实际链路,从而得到网络数据可能的物理路径与通道;
(2)将网管对象划分为不同的业务,每项业务中包含业务运行所依赖的各类服务,服务再细化关联到其所依赖的各类监视对象,通过对应用业务细化并重新分类,抽象出相关的软件模块资源和硬件设施资源支撑服务,每种服务为相关的业务提供一种服务能力,每种服务又与相应的具体的资源相关联,进行对象去耦合并建立模型;
(3)根据电力工业控制系统信息安全的技术要求,通过对现场的风险分析,考虑到威胁的严重程度和范围,对工业控制系统进行网络边界认定、内部区域划分、节点权限分配、部件网络流量的上下限约束以及节点安全性的关联梳理,生成工业控制系统网络环境中部件与节点的安全特性约束虚拟链路,监视网络数据并与安全设备进行交互,一旦网络遭到入侵攻击或节点安全失效,可以迅速定性、定量得出在该虚拟链路中的关联范围;
(4)根据电力工业控制系统子系统的逻辑块的属性,采用面向对象的方法,依据逻辑块对象业务功能服务的关系建立系统功能服务虚拟链路,通过与应用程序进行通信而获取相应逻辑块的运行状态,结合采取监视分析网络数据报文中的电力专用通信规约,验证部分逻辑块的运行情况,一旦系统中某个逻辑部件功能服务失效,该虚拟链路可以迅速确定关联的功能失效范围;
(5)根据电力工业系统逻辑块对象的性能加权程度以及业务性能约束的关系建立系统性能虚拟链路,通过与应用程序进行通信而获取相应逻辑块的性能状态,结合采取监视分析网络数据报文中的电力专用通信规约,验证部分逻辑块的性能情况,一旦系统中某个逻辑部件性能下降或严重失效,该虚拟链路可以迅速确定关联的隐性的或显性的影响范围;
(6)依据上述各个链路的情况,建立彼此之间的有机联系,形成多维关联,其综合指标是一个多维的状态集合,并可根据现场需求进行维度增加。
2.根据权利要求1所述的基于多维虚链路的电力工业控制系统网络管理方法,其特征在于:所述网络管理对象包括网络设备、主机、数据库、中间件、安全设备以及应用系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510020017.8A CN104579784B (zh) | 2015-01-15 | 2015-01-15 | 基于多维虚链路的电力工业控制系统网络管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510020017.8A CN104579784B (zh) | 2015-01-15 | 2015-01-15 | 基于多维虚链路的电力工业控制系统网络管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104579784A true CN104579784A (zh) | 2015-04-29 |
| CN104579784B CN104579784B (zh) | 2017-12-22 |
Family
ID=53095049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510020017.8A Active CN104579784B (zh) | 2015-01-15 | 2015-01-15 | 基于多维虚链路的电力工业控制系统网络管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104579784B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106168757A (zh) * | 2015-05-22 | 2016-11-30 | 费希尔-罗斯蒙特系统公司 | 工厂安全系统中的可配置鲁棒性代理 |
| CN109218292A (zh) * | 2018-08-15 | 2019-01-15 | 全球能源互联网研究院有限公司 | 一种电力网络边界安全协同防御方法及系统 |
| CN110019368A (zh) * | 2017-12-29 | 2019-07-16 | 西门子(中国)有限公司 | 工业数据分析方法及装置、计算机存储介质 |
| CN110855660A (zh) * | 2019-11-08 | 2020-02-28 | 珠海市鸿瑞信息技术股份有限公司 | 基于虚拟链路的电力工业网络管理系统 |
| CN111953685A (zh) * | 2020-08-12 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 一种动态电力监控网络安全分析系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100332638A1 (en) * | 2000-07-13 | 2010-12-30 | Computer Associates Think, Inc. | Method and apparatus for comprehensive network management system |
| CN102752142A (zh) * | 2012-07-05 | 2012-10-24 | 深圳市易聆科信息技术有限公司 | 一种基于多维建模的信息系统的监控方法及监控系统 |
| CN102932179A (zh) * | 2012-10-31 | 2013-02-13 | 国网电力科学研究院 | 一种综合性跨网多保护的电力通信业务可靠性分析方法 |
| CN103825755A (zh) * | 2013-11-27 | 2014-05-28 | 广东电网公司电力调度控制中心 | 电力二次系统的建模方法与系统 |
| CN104092311A (zh) * | 2014-07-31 | 2014-10-08 | 山东网聪信息科技有限公司 | 一种智能变电站业务状态监测的系统与方法 |
-
2015
- 2015-01-15 CN CN201510020017.8A patent/CN104579784B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100332638A1 (en) * | 2000-07-13 | 2010-12-30 | Computer Associates Think, Inc. | Method and apparatus for comprehensive network management system |
| CN102752142A (zh) * | 2012-07-05 | 2012-10-24 | 深圳市易聆科信息技术有限公司 | 一种基于多维建模的信息系统的监控方法及监控系统 |
| CN102932179A (zh) * | 2012-10-31 | 2013-02-13 | 国网电力科学研究院 | 一种综合性跨网多保护的电力通信业务可靠性分析方法 |
| CN103825755A (zh) * | 2013-11-27 | 2014-05-28 | 广东电网公司电力调度控制中心 | 电力二次系统的建模方法与系统 |
| CN104092311A (zh) * | 2014-07-31 | 2014-10-08 | 山东网聪信息科技有限公司 | 一种智能变电站业务状态监测的系统与方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106168757A (zh) * | 2015-05-22 | 2016-11-30 | 费希尔-罗斯蒙特系统公司 | 工厂安全系统中的可配置鲁棒性代理 |
| CN106168757B (zh) * | 2015-05-22 | 2022-03-18 | 费希尔-罗斯蒙特系统公司 | 工厂安全系统中的可配置鲁棒性代理 |
| CN110019368A (zh) * | 2017-12-29 | 2019-07-16 | 西门子(中国)有限公司 | 工业数据分析方法及装置、计算机存储介质 |
| CN109218292A (zh) * | 2018-08-15 | 2019-01-15 | 全球能源互联网研究院有限公司 | 一种电力网络边界安全协同防御方法及系统 |
| CN110855660A (zh) * | 2019-11-08 | 2020-02-28 | 珠海市鸿瑞信息技术股份有限公司 | 基于虚拟链路的电力工业网络管理系统 |
| CN110855660B (zh) * | 2019-11-08 | 2021-10-01 | 珠海市鸿瑞信息技术股份有限公司 | 基于虚拟链路的电力工业网络管理系统 |
| CN111953685A (zh) * | 2020-08-12 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 一种动态电力监控网络安全分析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104579784B (zh) | 2017-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107241224B (zh) | 一种变电站的网络风险监测方法及系统 | |
| CN112102111B (zh) | 一种发电厂数据智能处理系统 | |
| CN105471656A (zh) | 一种针对智能变电站自动化系统运维信息模型的抽象方法 | |
| CN106557991B (zh) | 电压监测数据平台 | |
| RU2583703C2 (ru) | Обнаружение и анализ злоумышленной атаки | |
| CN107180314B (zh) | 一种基于一二次系统关联关系的运维业务模型建模方法 | |
| Miclea et al. | About dependability in cyber-physical systems | |
| CN103441572B (zh) | 变电站设备监控方法 | |
| CN101413981B (zh) | 电力系统运行备用可靠性测试系统 | |
| Wang et al. | Research on the remote maintenance system architecture for the rapid development of smart substation in China | |
| CN102752142B (zh) | 一种基于多维建模的信息系统的监控方法及监控系统 | |
| CN107203816B (zh) | 一种电力系统二次设备的故障检修方法及系统 | |
| CN106130185B (zh) | 一种基于状态监测信息的变电站监控系统建模方法 | |
| CN104579784A (zh) | 基于多维虚链路的电力工业控制系统网络管理方法 | |
| CN105205231A (zh) | 一种基于dcom的配电网数字仿真系统 | |
| CN105790441A (zh) | 一种智能变电站继电保护巡检系统 | |
| CN105631522A (zh) | It系统运维管理系统 | |
| CN102435868A (zh) | 电能质量监测系统 | |
| CN104463696A (zh) | 电网运行风险识防方法及系统 | |
| CN105117532A (zh) | 一种智能变电站二次设备间隔信息模型的建模方法 | |
| CN104063761A (zh) | 基于智能电网scada数据拓展系统 | |
| CN103236745A (zh) | 一种变电站误报遥信和正确遥信的区别方法 | |
| Bo et al. | Substation cloud computing for secondary auxiliary equipment | |
| CN108510162B (zh) | 一种有源配电网安全效能评估方法 | |
| Yang et al. | Technology research on panoramic situation awareness of operation state of smart distribution network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 519080 Tsinghua Science Park A605, 101 Tang Cheng Road, Zhuhai, Guangdong Applicant after: Zhuhai Hongrui information technology Limited by Share Ltd Address before: 519080 Tsinghua Science Park A606, 101 Tang Cheng Road, Zhuhai, Guangdong Applicant before: Zhuhai City Hongrui Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |