CN107294998A - 一种智能电力二次系统的安全防护系统 - Google Patents

一种智能电力二次系统的安全防护系统 Download PDF

Info

Publication number
CN107294998A
CN107294998A CN201710558118.XA CN201710558118A CN107294998A CN 107294998 A CN107294998 A CN 107294998A CN 201710558118 A CN201710558118 A CN 201710558118A CN 107294998 A CN107294998 A CN 107294998A
Authority
CN
China
Prior art keywords
control system
production management
data communication
electric power
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201710558118.XA
Other languages
English (en)
Inventor
王红涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201710558118.XA priority Critical patent/CN107294998A/zh
Publication of CN107294998A publication Critical patent/CN107294998A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种智能电力二次系统的安全防护系统,包括控制系统,生产管理系统,远程通信、远程维护及现场维护系统,所述控制系统内部中的数据通信为双向流,所述控制系统与生产管理系统中的数据通信为单向流,即控制系统流向生产管理系统,所述控制系统与远程通信、远程维护及现场维护系统之间的数据通信为双向流,所述单向流采用OPC进行数据通信,且采用单项隔离部件进行防护。本发明通过将控制系统与生产管理系统中的数据通信设置为单向流,且在控制系统与生产管理系统之间增加单向隔离部件实现数据的单向安全传输,阻断生产管理系统对控制系统的潜在通信途径,提高控制系统的网络边界防护强度。

Description

一种智能电力二次系统的安全防护系统
技术领域
本发明涉及电力系统安全保护技术领域,尤其涉及一种智能电力二次系统的安全防护系统。
背景技术
电力二次系统是指对电力一次设备进行控制、监视和管理等的信息系统, 一般主要包括电力监控系统、电力调度运行管理系统和电力通信及数据网络等等;随着智能电网的建设和发展,电力二次系统的功能、形态、部署架构和实现技术也发生了明显变化,主要表现为:一体化程度加强,即各业务系统以服务的形式部署在总线上,供服务请求者调用;部署架构松散耦合,保持各业务模块(或者服务)的独立性;各业务功能模块实现技术灵活多样,实现方式不局限于某一种开发语言等等;现有技术中,电力系统安全保护系统存在着系统运行环境安全系数低,防护强度不高,设备间互操作能力弱的问题,因此,设计一种运行环境安全系数高,防护强度高,设备间互操作能力强的安全防护系统具有重大的意义。
发明内容
本发明的目的是为了解决上述技术问题,提供一种运行环境安全系数高,防护强度高,设备间互操作能力强的安全防护系统。
第一方面,提供一种智能电力二次系统的安全防护系统,包括控制系统,生产管理系统,远程通信、远程维护及现场维护系统,所述控制系统内部中的数据通信为双向流,所述控制系统与生产管理系统中的数据通信为单向流,即控制系统流向生产管理系统,所述控制系统与远程通信、远程维护及现场维护系统之间的数据通信为双向流。
结合第一方面,在第一方面的第一种可能的实现方式中,所述单向流,即控制系统流向生产管理系统的工业通信标准采用OPC进行数据通信,且采用单项隔离部件进行防护。
结合第一方面,在第一方面的第二种可能的实现方式中,所述单向隔离部件内部采用双主板结构,单向通信由单向光或FIFO无反向通道的硬件模式实现,内网数据剥离到应用层之后单向传输到外网,内网主板工作于 OPC Client 状态,外网主板以OPC Server方式对外提供数据服务。
结合第一方面,在第一方面的第三种可能的实现方式中,所述双向流的通信采用通信规约,且采用模式匹配、异常检测、协议分析、网络审计等技术进行综合监管。
本发明的有益效果在于:
本发明通过将控制系统与生产管理系统中的数据通信设置为单向流,且在控制系统与生产管理系统之间增加单向隔离部件实现数据的单向安全传输,阻断生产管理系统对控制系统的潜在通信途径,提高控制系统的网络边界防护强度。
附图说明
图1为本发明智能电力二次系统的安全防护系统的总体结构示意图。
图2为本发明控制系统代理访问架构图。
图3为双向数据流监测示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
应理解,现有的电力系统安全保护系统存在着系统运行环境安全系数低,防护强度不高的问题。
下面结合图1、图2、图3对本发明的实施例的智能电力二次系统的安全防护系统进行详细描述。
本发明提供了一种智能电力二次系统的安全防护系统,包括控制系统,生产管理系统,远程通信、远程维护及现场维护系统,所述控制系统内部中的数据通信为双向流,所述控制系统与生产管理系统中的数据通信为单向流,即控制系统流向生产管理系统,所述控制系统与远程通信、远程维护及现场维护系统之间的数据通信为双向流。
所述单向流,即控制系统流向生产管理系统的工业通信标准采用OPC进行数据通信,且采用单项隔离部件进行防护。所述单向隔离部件内部采用双主板结构,单向通信由单向光或FIFO无反向通道的硬件模式实现,内网数据剥离到应用层之后单向传输到外网,内网主板工作于 OPC Client 状态,外网主板以OPC Server方式对外提供数据服务。以上单向隔离部件与电力二次系统的正向隔离设备有所不同,是因为控制系统大量采用OPC 服务,因而可以把两端数据通信网关集成到单向部件内部,便于现场安装使用。同时,可以在单向部件中部署数据流监控模块进行协议深度分析,控制所有测点读写权限,防止用户未经授权访问OPC 服务,并将异常信息递交到安全管理平台。
控制系统内部单元之间信息是双向数据流,尽管它们之间通信主要采用通信规约,但是仍有部分使用通用网络协议,一旦病毒木马突破边界安全设备,潜入其中一个自动化单元区域之后,就能通过网络迅速蔓延,从而造成更大破坏。因此双向数据流宜采用模式匹配、异常检测、协议分析、网络审计等技术进行综合监管。
模式匹配就将网络信息与已知的攻击特征和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该方法只需采集相关的数据集合就能进行判断,技术成熟且检测准确率高,不足之处是需要升级特征库以对付新的攻击手段。其主要有3 个方面应用:
一、防 IP 地址欺骗,对所监视网络中主机的 IP和 MAC 地址进行绑定,防止 IP 或MAC 地址盗用,并对非法 IP 的访问提供详细的记录,防止来自内部的地址欺骗攻击,有效定位内部攻击来源。
二、IP 碎片重组,对所监视网络中的 IP 碎片报文重组后分析,防止 IP 碎片欺骗。
三、采用网络攻击特征库检测多种典型的通用网络攻击手段。
异常检测首先给工控系统通信对象创建一个统计模型,包括统计正常使用时的带宽流量、联接方向、访问次数、操作失败次数和延时等,构造一个通信模型。当观察值在正常值范围之外时,数据流监管就会判断有入侵发生。
针对工控通信协议的特点对网络数据报文进行分析,监测可疑的或违反授权的行为。对协议的深度分析具有寻找任何偏离标准或期望值行为的能力,能够检测到已知和未知攻击,工控通信采用IEC61850协议,其实施方法为:主任务初始时分配一个空闲发送报文缓冲区链表,每个发送报文缓冲区的大小比系统配置的会话层协议数据单元长度多7个字节,每建立一个套接字,就创建一个相应的管道,管道消息结构包括的数据成员有报文缓冲区起始指针、报文缓冲区长度、报文起始指针、报文实际长度、传输层报文类型,该实施方法能够提高传输效率。
网络审计即对网络中的工控协议异常进行事件记录,结合已记录完整的网络历史数据,再现网络被攻击时的运行状况。该方法不仅能发现孤立的攻击事件,还可以分析整个攻击过程,了解攻击确实发生与否以及攻击造成的危害,并可由此修订后续的防护策略。
总之,本发明运行环境安全系数高,防护强度高,提高传输效率。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现;总之,以上所述仅为本发明技术方案的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种智能电力二次系统的安全防护系统,其特征在于:包括控制系统,生产管理系统,远程通信、远程维护及现场维护系统,所述控制系统内部中的数据通信为双向流,所述控制系统与生产管理系统中的数据通信为单向流,即控制系统流向生产管理系统,所述控制系统与远程通信、远程维护及现场维护系统之间的数据通信为双向流。
2.根据权利要求1所述的智能电力二次系统的安全防护系统,其特征在于:所述单向流,即控制系统流向生产管理系统的工业通信标准采用OPC进行数据通信,且采用单项隔离部件进行防护。
3.根据权利要求2所述的智能电力二次系统的安全防护系统,其特征在于:所述单向隔离部件内部采用双主板结构,单向通信由单向光或FIFO无反向通道的硬件模式实现,内网数据剥离到应用层之后单向传输到外网,内网主板工作于 OPC Client 状态,外网主板以OPC Server方式对外提供数据服务。
4.根据权利要求1所述的智能电力二次系统的安全防护系统,其特征在于:所述双向流的通信采用通信规约,且采用模式匹配、异常检测、协议分析、网络审计等技术进行综合监管。
CN201710558118.XA 2017-07-10 2017-07-10 一种智能电力二次系统的安全防护系统 Withdrawn CN107294998A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710558118.XA CN107294998A (zh) 2017-07-10 2017-07-10 一种智能电力二次系统的安全防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710558118.XA CN107294998A (zh) 2017-07-10 2017-07-10 一种智能电力二次系统的安全防护系统

Publications (1)

Publication Number Publication Date
CN107294998A true CN107294998A (zh) 2017-10-24

Family

ID=60101512

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710558118.XA Withdrawn CN107294998A (zh) 2017-07-10 2017-07-10 一种智能电力二次系统的安全防护系统

Country Status (1)

Country Link
CN (1) CN107294998A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109104424A (zh) * 2018-08-13 2018-12-28 浙江中控技术股份有限公司 一种opc通讯的安全防护方法及装置
CN109768997A (zh) * 2019-03-07 2019-05-17 贵州电网有限责任公司 一种电力现场巡检远程监控设备及其监控方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109104424A (zh) * 2018-08-13 2018-12-28 浙江中控技术股份有限公司 一种opc通讯的安全防护方法及装置
CN109768997A (zh) * 2019-03-07 2019-05-17 贵州电网有限责任公司 一种电力现场巡检远程监控设备及其监控方法
CN109768997B (zh) * 2019-03-07 2023-06-16 贵州电网有限责任公司 一种电力现场巡检远程监控设备及其监控方法

Similar Documents

Publication Publication Date Title
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
US9369434B2 (en) Whitelist-based network switch
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
Yang et al. Rule-based intrusion detection system for SCADA networks
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
Lee et al. Cyber attack scenarios on smart city and their ripple effects
CN104219218A (zh) 一种主动安全防御的方法及装置
CN110113336B (zh) 一种用于变电站网络环境的网络流量异常分析与识别方法
GB2532630A (en) Network intrusion alarm method and system for nuclear power station
CN103378991A (zh) 一种在线服务异常监测方法及其监测系统
KR20160006915A (ko) 사물인터넷 관리 방법 및 장치
Cruz et al. Improving cyber-security awareness on industrial control systems: The cockpitci approach
KR101887544B1 (ko) Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
CN107294998A (zh) 一种智能电力二次系统的安全防护系统
CN114584366A (zh) 电力监控网络安全检测系统及方法
Berthier et al. Monitoring advanced metering infrastructures with amilyzer
Feng et al. Snort improvement on profinet RT for industrial control system intrusion detection
Graveto et al. A network intrusion detection system for building automation and control systems
KR101871406B1 (ko) 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템
CN101547127B (zh) 一种内、外网络报文的识别方法
CN116781380A (zh) 一种校园网安全风险终端拦截溯源系统
Kim et al. Abnormal traffic detection mechanism for protecting IIoT environments
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
CN114301796B (zh) 预测态势感知的验证方法、装置及系统
Matoušek et al. Security monitoring of iot communication using flows

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20171024