CN109639466B - 一种基于“源网荷”的电力工控系统网络安全检测系统 - Google Patents
一种基于“源网荷”的电力工控系统网络安全检测系统 Download PDFInfo
- Publication number
- CN109639466B CN109639466B CN201811434380.4A CN201811434380A CN109639466B CN 109639466 B CN109639466 B CN 109639466B CN 201811434380 A CN201811434380 A CN 201811434380A CN 109639466 B CN109639466 B CN 109639466B
- Authority
- CN
- China
- Prior art keywords
- layer
- equipment
- minutes
- center
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 110
- 238000004519 manufacturing process Methods 0.000 claims abstract description 7
- 230000036541 health Effects 0.000 claims description 77
- 238000004891 communication Methods 0.000 claims description 27
- 230000003993 interaction Effects 0.000 claims description 22
- 241000700605 Viruses Species 0.000 claims description 21
- 238000012544 monitoring process Methods 0.000 claims description 18
- 230000009545 invasion Effects 0.000 claims description 15
- 230000004048 modification Effects 0.000 claims description 10
- 238000012986 modification Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 4
- 238000009792 diffusion process Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 abstract description 16
- 238000000034 method Methods 0.000 abstract description 13
- 230000008569 process Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000013642 negative control Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H02J13/0062—
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
一种基于“源网荷”的电力工控系统网络安全检测方法,“源网荷”中,包括位于生产控制大区的主站层,位于营销控制大区的地市层、变电站层以及用户终端层,主站层对地市层、变电站层以及用户终端层进行层级控制,除用户终端层外的各层中均设有检测设备,实时检测相应层中入网设备的运行情况,包括接入变电站的路由、交换机、纵向加密设备及负荷控制终端,将检测到的设备异常情况回传给主站层控制中心进行处理,以保证主站层控制中心远程对用户进行正常的断/供电操作。
Description
技术领域
本发明涉及电力工控系统网络安全领域,尤其涉及一种基于源网荷的工控系统网络安全检测系统。
背景技术
江苏电网的建设日趋完善,目前已经形成了一张巨大的‘网’。连接在这张网上的有:发电站、输配电线路、变压设备、负荷等。由‘网’负责电力的输送。江苏省的电网结构正向着‘源网荷’的结构进行发展,在‘源网荷’中每一个用户都视为一个‘荷’,实际的应用表现是:每户都通过配电线路连接到变电站,在用户与变电站之间加装了两个设备:‘加密设备’及‘负荷控制开关’。‘源网荷’中的这个结构相比较普通的入网用户不同,普通的用户在连接入网之后,电力系统便无法远程控制用户的用电,而‘源网荷’由于加装了这两个设备,可以通过控制中心远程对用户进行断/供电。这样做的优势为:提高对负荷的控制能力。在针对负荷有异常,负荷可能超过承载量等情况有重大的作用。
目前的源网荷仍然存在的问题是,如南京电网由于受到特高压输电异常的影响,区外来电不足,如果不采取一定的措施那么有可能会导致重要的机构、工厂、学校、政府等组织单位断电的情况,为了避免出现这些情况,‘网’就需要将其中一些负荷较重且签署负控协议的用户进行断电,以保障整个大电网的安全,等到用电的负荷和电源的供应逐渐的稳定下来之后,‘网’将会对这些用户陆续恢复供电。而整个过程当中有可能会出现一些不可控制的情况出现,比如:遥控开关未入网、遥控开关损坏、指令被干扰、设备被攻击、设备老化、设备被非法改造了等等。若是出现了以上的问题,就会导致无法正确的对用户负荷进行断/供电操作,极易引发上述中重要组织机构设施断电的情况,潜在的危害较大。
发明内容
针对现有源网荷工控系统负荷控制相关网络设备检测技术的缺陷或改进需求,本发明提供一种基于源网荷的工控系统网络安全检测系统,能够保证‘源网荷’的工控系统具有较高的准确性和安全性,使‘源网荷’系统中控制负荷的可靠性得到了保证。
为实现上述发明目的,本发明采用如下技术方案:一种基于“源网荷”的电力工控系统网络安全检测系统,其特征在于:“源网荷”中,包括位于生产控制大区的主站层,位于营销控制大区的地市层、变电站层以及用户终端层,主站层对地市层、变电站层以及用户终端层进行层级控制,除用户终端层外的各层中均设有检测设备,主站层检测设备实时检测主站层中的路由、交换机、纵向加密设备和防火墙的运行健康值,并将检测到的设备健康值回传给主站层控制中心;地市层检测设备实时检测地市层中的路由、交换机、防火墙的运行健康值,变电站层检测设备实时检测该层内的路由、交换以及接入变电站的用户终端层中的交换机、纵向加密设备、网荷互动终端的运行健康值,地市层、变电站层中的检测设备将检测到的设备健康值回传给地市层中的控制分中心,控制分中心对设备健康度进行评估后,将健康值较低的回传给主站层控制中心进行处理,以保证主站层控制中心远程对用户进行正常的断/供电操作,同时,变电站层检测设备还实时监控通过变电站层交换机的数据和指令,当发现大量的数据从用户终端层传输过来且严重占用带宽时,向控制分中心报警,控制分中心实时转发至主站层控制中心,当存在从用户侧产生的非法违规操作、病毒入侵时,直接在变电站交换机上禁止掉用户负荷通信端口,向控制分中心报警,控制分中心实时转发至主控制中心。
所述主站层中设有控制中心和检测设备,控制中心用于电网调度与监视控制,在需要对用户进行切负荷的时候发出切负荷指令;主站层检测设备用于检测该层中包括路由、交换机、防火墙、纵向加密设备的基本配置信息,实时监控设备运行健康值,当地市层的检测设备发生掉线、故障、病毒侵入时,主站层检测设备将接管地市层检测设备管辖的所有设备,并及时关闭病毒入侵利用的上传端口并向控制中心发送告警信息。
所述地市层中设有控制分中心及检测设备,控制分中心用于对地市层、变电站层和用户终端层中的数据通信设备、加密装置、负荷控制开关以及对地市层、变电站层的检测设备进行监控;地市层检测设备用于检测包括地市调度路由、交换机、防火墙设备的基本配置,实时监控设备运行健康值,当某个变电站发生病毒入侵导致变电站内的检测设备无法正常工作时,地市层检测设备将接管变电站层检测设备管辖的所有设备,同时,为了防止病毒扩散,地市层检测设备将关闭这个变电站向上传输的数据通信端口并通过控制分中心向主控制中心发送告警信息。
所述变电站层的检测设备用于检测层内的路由、交换以及接入变电站的用户终端层中的交换机、纵向加密设备、网荷互动终端的运行健康值,并将设备的健康值实时上送至控制分中心进行处理;变电站层检测设备还实时监控从主控制中心或控制分中心发送至变电站层及用户终端层的数据和指令,检测到有切负荷的命令发向变电站层交换机时,检测设备首先检查控制中心是否允许对该用户负荷进行切负荷的操作,若查询到控制中心并未允许切负荷则向控制分中心报警,控制分中心实时转发至主控制中心,及时发现误操作或未经许可的非法操作;变电站层检测设备还实时监控通过变电站层交换机的通信数据,当检测到短时间内有大量的数据从用户终端层传输过来、严重占用带宽则向控制分中心报警,控制分中心实时转发至主控制中心;变电站层检测设备还实时监控经过变电站层交换机的数据和指令,当检测到从用户终端层发送过来的数据中带有包括变电站层交换机配置修改指令、向其他用户负荷发送切负荷修改控制命时,即表示存在非法违规操作、有病毒入侵,此时直接在变电站交换机上禁止掉用户负荷通信端口,并且向控制分中心报警,控制分中心实时转发至主控制中心。
所述健康值为预设定值,包括路由、交换机、纵向加密设备、防火墙、网荷互动终端设备,以设备健康值将设备分为危急、紧急、一般、正常四种状态,60分以下的设备为危急状态、60~80分的设备为紧急状态、80~99分的设备为一般状态、100分的设备为正常状态。
所述纵向加密设备健康值包括在线、配置符合安全防护要求、日志上送、数据加密四部分,网荷互动终端健康值满分100分,包括在线30分、日志上送10分、能接收分/合指令并进行动作30分、分合动作流畅30分四部分,交换机健康值满分100分,包括在线30分、配置符合安全防护要求30分、数据吞吐量在正常的负载范围内20分、存在数据丢包10分、日志上送10分五部分,路由健康值满分100分,包括在线30分、配置符合安全防护要求30分、数据吞吐量在正常的负载范围内20分、存在数据丢包10分、日志上送10分五部分,防火墙健康值满分100分,包括在线30分、配置符合安全防护要求30分、数据转发量在正常的负载范围内20分、存在数据丢包10分、日志上送10分五部分。
所述变电站层还设有变电站路由器及用户网络汇聚交换机,路由器根据信道的情况自动设定通信参数保证连接设备之间的通讯,交换机为变电站层与用户终端层之间的网络节点提供独享的电信号通路。
所述用户终端层中设有用于与变电站层通讯交互的交换机以及用于将网络中的数据包加密后进行传输的微型纵向加密设备和在接收到开/合信号的时候,能够将设备上连接的节点进行开/合动作的用户网荷互动终端。
本发明的优点及显著效果:
可靠性高:本发明中的检测设备支持24小时不间断监测,能够及时的发现‘源网荷’用户终端层设备存在的问题,响应速度能够达到秒级,并且将设备问题及时传回控制中心,提高运维工作的精细化管理水平。
安全性强:本发明为一种高安全性的检测方案,具备检测‘源网荷’变电站层、用户终端层中数据通信、控制设备异常数据的能力,可以及时有效的发现设备中存在的安全隐患,对出现了异常数据的端口及时的断开,避免网络中连接的设备被不断入侵,保障整个‘源网荷’数据通信的安全。
可追踪性高:本发明能够记录变电站接入层、用户终端层中的设备操作信息,包括设备配置发生的变化、通信数据异常、从生产控制大区发送的切负荷、配置修改等命令,方便未来进行‘源网荷’数据分析。
附图说明
图1为本发明的全局结构简要示意图;
图2为检测设备部署示意图;
图3为变电站级检测设备检测范围示意图;
图4为检测设备的工作流程示意图;
图5为异常流量的情况及处理方法;
图6为设备健康值检测及回传方法;
图7为监控操作及非法操作处理方法;
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施案例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参看图1,本发明检测系统包括位于生产控制大区的主站层,位于营销控制大区的地市层、变电站层以及用户终端层,主站层对地市层、变电站层以及用户终端层进行层级控制,除用户终端层外的各层中均设有检测设备,主站层检测设备实时检测主站层中的路由、交换机、纵向加密设备和防火墙的运行健康值,并将检测到的设备健康值回传给主站层控制中心;地市层检测设备实时检测地市层中的路由、交换机、防火墙的运行健康值,变电站层检测设备实时检测该层内的路由、交换以及接入变电站的用户终端层中的交换机、纵向加密设备、网荷互动终端的运行健康值,地市层、变电站层中的检测设备将检测到的设备健康值回传给地市层中的控制分中心,控制分中心对设备健康度进行评估后,将健康值较低的回传给主站层控制中心进行处理,以保证主站层控制中心远程对用户进行正常的断/供电操作,同时,变电站层检测设备还实时监控通过变电站层交换机的数据和指令,当发现大量的数据从用户终端层传输过来且严重占用带宽时,向控制分中心报警,控制分中心实时转发至主站层控制中心,当存在从用户侧产生的非法违规操作、病毒入侵时,直接在变电站交换机上禁止掉用户负荷通信端口,向控制分中心报警,控制分中心实时转发至主控制中心。
变电站层中的检测设备实时检测站内的路由、交换以及接入变电站的用户终端层中的交换机、纵向加密设备、网荷互动终端的运行健康值,地市层检测设备实时检测地市层中的路由、交换机、防火墙的运行健康值,主站层检测设备实时检测主站层中的路由、交换机、纵向加密设备和防火墙的运行健康值。
主站层检测设备将检测到的设备健康值回传给主站层控制中心,地市层、变电站层中的检测设备将检测到的设备健康值回传给地市层中的控制分中心,控制分中心对设备健康度进行评估后,将健康值较低的回传给主站层控制中心进行处理。
变电站层检测设备发现站内的路由、交换以及接入变电站的用户终端层中的交换机、纵向加密设备、网荷互动终端接收到异常数据(修改配置指令、传输的数据量超出正常范围)时,检测设备主动对出现异常的设备进行控制并且通知控制分中心,控制分中心实时转发给控制中心进行处理。
地市层中检测设备发现地市层中路由、交换机、防火墙设备接收到异常数据(修改配置指令、传输的数据量超出正常范围)时,检测设备主动对出现异常的设备进行控制并且通知控制分中心,控制分中心实时转发给控制中心进行处理。
主站层中检测设备发现主站层中路由、交换机、防火墙设备接收到异常数据(修改配置指令、传输的数据量超出正常范围)时,检测设备主动对出现异常的设备进行控制并且通知控制中心进行处理。
参看图2,(1)、(3)控制中心:负责电网调度与监视控制,在需要对用户进行切负荷的时候发出切负荷指令。其中,(1)部署在主站层,作为主控制中心接收(2)主站层检测设备传回的设备健康值,接收(3)控制分中心传回的设备健康值,并根据设备健康值进行处理;(3)部署在地市层,作为控制分中心接收(4)地市层检测设备和(5)变电站层检测设备传回的设备健康值,并根据设备健康值进行处理,同时发转给(1)主控制中心。(2)、(4)、(5)检测设备:本发明中的检测设备,分为变电站层、地市层、主站层三种,用于检测网络中的路由、交换、纵向加密、防火墙、网荷互动终端设备配置项,监控上述设备实时运行情况,当发生病毒入侵等紧急情况时,及时关闭病毒上送的通信端口,以最快的技术手段将风险降低到最小。(2)主站层检测设备:安装在生产控制大区中,正常情况下,用于检测生产大区中路由、交换机、防火墙设备基本信息,实时监控设备运行健康值,当(4)地市级检测设备发生掉线、故障、病毒侵入时,(2)检测设备接管(4)地市级检测设备管辖的所有设备,并及时关闭病毒入侵利用的端口。(4)地市级检测设备:安装在市调度主站内,正常情况下,用于检测地市层路由、交换机、防火墙设备基本配置,实时监控设备运行状态,当发生某个变电站发生病毒入侵导致变电站内(17)检测设备无法正常工作时,(4)检测设备将接管(5)检测设备管辖的所有设备,同时,为了防止病毒扩散,(4)检测设备将关闭这个变电站向上传输的数据通信端口。(5)变电站级检测设备:安装在变电站内,用于检测、监控变电站内交换机、路由、变电站出线的用户负荷侧交换机、纵向加密、网荷互动终端,并在发现用户存在非法违规操作、病毒入侵等异常情况时及时关闭用户侧通信端口。(17)、(21)防火墙:位于两个网络之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出,(17)防火墙控制主站层与地市层之间的数据包进出,(21)防火墙控制地市层与变电站层之间的数据包进出。(6)用户终端。
参看图2、图3,(12)、(13)、(16)、(20)交换机:一种用于电信号转发的网络设备,其中,(12)用户网络汇聚交换机为变电站层与用户终端层之间的网络节点提供独享的电信号通路,部署于变电站层,(13)二层交换机将用户网荷终端、微型纵向加密设备数据转发至变电站层,(16)交换机将地市层数据转发至主站层(1)控制中心,(20)交换机将变电站层、用户终端层数据转发至地市层中(3)控制分中心。(11)、(19)、(22)路由器:是连接局域网/广域网的设备,它会根据信道的情况自动设定通信参数保证连接设备之间的通讯。(14)、(18)纵向加密设备:将网络中的数据包加密后进行传输的设备,(18)为微型纵向加密设备,数据传输量较小。(6)、(15)用户网荷互动终端:在接收到开/合信号的时候可以将设备上连接的节点进行开/合动作的开关设备。
参看图4,本发明检测设备包括三个子流程。
1、设备健康度检测子流程(图4,2.1),由位于各层的检测设备执行:
(1)主站层检测设备不间断检测主站层中的路由、交换机、防火墙、纵向加密设备的健康性,地市层检测设备不间断检测地市层中的路由、交换机、防火墙设备的健康性,变电站层检测设备不间断检测变电站内的路由、交换以及接入变电站的用户终端层中的交换机、纵向加密设备、网荷互动终端设备的健康性。针对上述需要被检测的所有设备,当设备的健康值分数超过预设定值则视为该设备已经出现了故障(60分以下的设备为危急状态、60~80分的设备为紧急状态、80~100分的设备为一般状态)。
1)加密设备的健康表现(主站层、变电站层):
2)切负荷设备健康表现(变电站层):
3)交换机的健康表现(主站层、地市层、变电站层):
4)路由的健康表现(主站层、地市层、变电站层):
5)防火墙的健康表现(主站层、地市层):
权重值应该按照实际的情况来进行分析,并且需要按照使用的实际情况来进行调整。在此提供的示例供参考。
(2)传回设备健康值的方案(图6)将以上检测设备检测出来的加密、网荷互动终端、交换机、路由、防火墙设备健康值发回到控制中心,交给控制中心处理。
方案:控制分中心接收地市层检测设备和变电站层检测设备传回的设备健康值,并根据设备健康值进行处理,将评估结果分值低于设定范围的设备信息或者主控制中心设置为需要重点监视的设备信息转发至主控制中心。主站层检测设备将设备运行健康值全部传给主控制中心,主控制中心对设备进行处理。
优点:主控制中心和控制分中心各司其职,减少主控制中心数据负载量;数据交互量小,设备的利用率高。
缺点:可能健康度权重值人为设置不严谨,造成存在隐患的设备不会被及时发现。
综合考虑,当前,‘源网荷’系统才处于建设初期,接入的设备在不断更新,设备的接入量比较大,因此使用本方案。
2、监控操作子流程,由变电站层的检测设备执行(图7):
变电站层检测设备实时监控从主控制中心或控制分中心发送至变电站层及用户终端层的数据和指令,检测到有切负荷的命令发向变电站层交换机时,检测设备首先检查控制中心是否允许对该用户负荷进行切负荷的操作,若查询到控制中心并未允许切负荷则向控制分中心报警,控制分中心实时转发至主控制中心,及时发现误操作或未经许可的非法操作。
3、异常流量拦截子流程,由变电站层的检测设备执行(图4的2.3):变电站层检测设备实时监控通过变电站层交换机的通信数据,当检测到短时间内有大量的数据从用户终端层传输过来,并且严重占用带宽则向控制分中心报警,控制分中心实时转发至主控制中心。具体如图5所示。
变电站层检测设备实时监控经过变电站层交换机的数据和指令,当检测到从用户终端层发送过来的数据中带有修改控制命令(包括变电站层交换机配置修改指令、向其他用户负荷发送切负荷指令等),即存在非法违规操作、病毒入侵时,直接在变电站交换机上禁止掉用户负荷通信端口,并且向控制分中心报警,控制分中心实时转发至主控制中心。
Claims (5)
1.一种基于“源网荷”的电力工控系统网络安全检测系统,其特征在于:“源网荷”中,包括位于生产控制大区的主站层,位于营销控制大区的地市层、变电站层以及用户终端层,主站层对地市层、变电站层以及用户终端层进行层级控制,除用户终端层外的各层中均设有检测设备,主站层检测设备实时检测主站层中的路由、交换机、纵向加密设备和防火墙的运行健康值,并将检测到的设备健康值回传给主站层控制中心;地市层检测设备实时检测地市层中的路由、交换机、防火墙的运行健康值,变电站层检测设备实时检测该层内的路由、交换以及接入变电站的用户终端层中的交换机、纵向加密设备、网荷互动终端的运行健康值,地市层、变电站层中的检测设备将检测到的设备健康值回传给地市层中的控制分中心,控制分中心对设备健康值进行评估后,将健康值低于设定范围的回传给主站层控制中心进行处理,以保证主站层控制中心远程对用户进行正常的断/供电操作,同时,变电站层检测设备还实时监控通过变电站层交换机的数据和指令,当发现大量的数据从用户终端层传输过来且严重占用带宽时,向控制分中心报警,控制分中心实时转发至主站层控制中心,当存在从用户侧产生的非法违规操作、病毒入侵时,直接在变电站交换机上禁止掉用户负荷通信端口,向控制分中心报警,控制分中心实时转发至主控制中心;
所述主站层中设有控制中心和检测设备,控制中心用于电网调度与监视控制,在需要对用户进行切负荷的时候发出切负荷指令;主站层检测设备用于检测该层中包括路由、交换机、防火墙、纵向加密设备的基本配置信息,实时监控设备运行健康值,当地市层的检测设备发生掉线、故障、病毒侵入时,主站层检测设备将接管地市层检测设备管辖的所有设备,并及时关闭病毒入侵利用的上传端口并向控制中心发送告警信息;
所述地市层中设有控制分中心及检测设备,控制分中心用于对地市层、变电站层和用户终端层中的数据通信设备、加密装置、负荷控制开关以及对地市层、变电站层的检测设备进行监控;地市层检测设备用于检测包括地市调度路由、交换机、防火墙设备的基本配置,实时监控设备运行健康值,当某个变电站发生病毒入侵导致变电站内的检测设备无法正常工作时,地市层检测设备将接管变电站层检测设备管辖的所有设备,同时,为了防止病毒扩散,地市层检测设备将关闭这个变电站向上传输的数据通信端口并通过控制分中心向主控制中心发送告警信息;
所述变电站层的检测设备用于检测层内的路由、交换以及接入变电站的用户终端层中的交换机、纵向加密设备、网荷互动终端的运行健康值,并将设备的健康值实时上送至控制分中心进行处理;变电站层检测设备还实时监控从主控制中心或控制分中心发送至变电站层及用户终端层的数据和指令,检测到有切负荷的命令发向变电站层交换机时,检测设备首先检查控制中心是否允许对该用户负荷进行切负荷的操作,若查询到控制中心并未允许切负荷则向控制分中心报警,控制分中心实时转发至主控制中心,及时发现误操作或未经许可的非法操作;变电站层检测设备还实时监控通过变电站层交换机的通信数据,当检测到短时间内有大量的数据从用户终端层传输过来、严重占用带宽则向控制分中心报警,控制分中心实时转发至主控制中心;变电站层检测设备还实时监控经过变电站层交换机的数据和指令,当检测到从用户终端层发送过来的数据中带有包括变电站层交换机配置修改指令、向其他用户负荷发送切负荷修改控制命时,即表示存在非法违规操作、有病毒入侵,此时直接在变电站交换机上禁止掉用户负荷通信端口,并且向控制分中心报警,控制分中心实时转发至主控制中心。
2.根据权利要求1所述的基于“源网荷”的电力工控系统网络安全检测系统,其特征在于:所述健康值为预设定值,包括路由、交换机、纵向加密设备、防火墙、网荷互动终端设备,以设备健康值将设备分为危急、紧急、一般、正常四种状态, 60分以下的设备为危急状态、60~80分的设备为紧急状态、80~99分的设备为一般状态、100分的设备为正常状态。
3.根据权利要求2所述的基于“源网荷”的电力工控系统网络安全检测系统,其特征在于:所述纵向加密设备健康值满分100分,包括在线30分、配置符合安全防护要求30分、日志上送10分、数据加密30分四部分,网荷互动终端健康值满分100分,包括在线30分、日志上送10分、能接收分/合指令并进行动作30分、分合动作流畅30分四部分,交换机健康值满分100分,包括在线30分、配置符合安全防护要求30分、数据吞吐量在正常的负载范围内20分、存在数据丢包10分、日志上送10分五部分,路由健康值满分100分,包括在线30分、配置符合安全防护要求30分、数据吞吐量在正常的负载范围内20分、存在数据丢包10分、日志上送10分五部分,防火墙健康值满分100分,包括在线30分、配置符合安全防护要求30分、数据转发量在正常的负载范围内20分、存在数据丢包10分、日志上送10分五部分。
4.根据权利要求1所述的基于“源网荷”的电力工控系统网络安全检测方法,其特征在于:所述变电站层还设有变电站路由器及用户网络汇聚交换机,路由器根据信道的情况自动设定通信参数保证连接设备之间的通讯,交换机为变电站层与用户终端层之间的网络节点提供独享的电信号通路。
5.根据权利要求1所述的基于“源网荷”的电力工控系统网络安全检测方法,其特征在于:所述用户终端层中设有用于与变电站层通讯交互的交换机以及用于将网络中的数据包加密后进行传输的微型纵向加密设备和在接收到开/合信号的时候,能够将设备上连接的节点进行开/合动作的用户网荷互动终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811434380.4A CN109639466B (zh) | 2018-11-28 | 2018-11-28 | 一种基于“源网荷”的电力工控系统网络安全检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811434380.4A CN109639466B (zh) | 2018-11-28 | 2018-11-28 | 一种基于“源网荷”的电力工控系统网络安全检测系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109639466A CN109639466A (zh) | 2019-04-16 |
| CN109639466B true CN109639466B (zh) | 2022-04-08 |
Family
ID=66069892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811434380.4A Active CN109639466B (zh) | 2018-11-28 | 2018-11-28 | 一种基于“源网荷”的电力工控系统网络安全检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109639466B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111583064B (zh) * | 2020-05-11 | 2022-09-09 | 国网四川省电力公司电力科学研究院 | 基于动态时间规整的负荷生产时段检测方法和存储介质 |
| CN114285600A (zh) * | 2021-11-24 | 2022-04-05 | 上海电气风电集团股份有限公司 | 风电场的数据传输系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902348A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 网络安全系统及其系统负荷自动调整方法 |
| CN105515045A (zh) * | 2015-12-25 | 2016-04-20 | 国家电网公司 | 基于多代理的输配网与分布式电源协调控制系统和方法 |
| CN106849997A (zh) * | 2017-02-15 | 2017-06-13 | 国网江苏省电力公司电力科学研究院 | 基于电力线宽带载波的混合组网方法 |
| CN107359617A (zh) * | 2017-08-08 | 2017-11-17 | 国网江苏省电力公司盐城供电公司 | 一种包含微网群的主动配电网源‑网‑荷协调控制系统 |
| WO2017217284A1 (ja) * | 2016-06-16 | 2017-12-21 | ソニー株式会社 | モジュール装置および放送用システム |
| CN107528385A (zh) * | 2017-06-29 | 2017-12-29 | 国网辽宁省电力有限公司 | 一种基于新能源消纳的源网荷协调控制方法及系统 |
| CN107703926A (zh) * | 2017-11-13 | 2018-02-16 | 国网江苏省电力公司电力科学研究院 | 一种电网系统保护快速切负荷多点位控制时间测试方法 |
| CN108510162A (zh) * | 2018-03-13 | 2018-09-07 | 南京邮电大学 | 一种有源配电网安全效能评估方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104376372A (zh) * | 2014-10-30 | 2015-02-25 | 国电南瑞科技股份有限公司 | 基于源网荷互动模式的智能配电网调度业务优化方法 |
| CN107862466A (zh) * | 2017-11-21 | 2018-03-30 | 国网新疆电力有限公司 | 考虑系统双侧随机性的源荷跨时空互补效益评价方法 |
-
2018
- 2018-11-28 CN CN201811434380.4A patent/CN109639466B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902348A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 网络安全系统及其系统负荷自动调整方法 |
| CN105515045A (zh) * | 2015-12-25 | 2016-04-20 | 国家电网公司 | 基于多代理的输配网与分布式电源协调控制系统和方法 |
| WO2017217284A1 (ja) * | 2016-06-16 | 2017-12-21 | ソニー株式会社 | モジュール装置および放送用システム |
| CN106849997A (zh) * | 2017-02-15 | 2017-06-13 | 国网江苏省电力公司电力科学研究院 | 基于电力线宽带载波的混合组网方法 |
| CN107528385A (zh) * | 2017-06-29 | 2017-12-29 | 国网辽宁省电力有限公司 | 一种基于新能源消纳的源网荷协调控制方法及系统 |
| CN107359617A (zh) * | 2017-08-08 | 2017-11-17 | 国网江苏省电力公司盐城供电公司 | 一种包含微网群的主动配电网源‑网‑荷协调控制系统 |
| CN107703926A (zh) * | 2017-11-13 | 2018-02-16 | 国网江苏省电力公司电力科学研究院 | 一种电网系统保护快速切负荷多点位控制时间测试方法 |
| CN108510162A (zh) * | 2018-03-13 | 2018-09-07 | 南京邮电大学 | 一种有源配电网安全效能评估方法 |
Non-Patent Citations (1)
| Title |
|---|
| 大规模源网荷友好互动系统网络建设方案研究;杨鑫,钱君霞,徐春雷;《浙江电力》;20181028;第37卷(第10期);第25-30页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109639466A (zh) | 2019-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106058831B (zh) | 一种自适应配电网的智能分布式快速保护及故障隔离方法 | |
| EP3301784B1 (en) | Intelligent power server applied to protection and control system for intelligent substation | |
| CN107433883B (zh) | 铁路牵引供电臂一体化监控系统 | |
| CN102037630A (zh) | 馈线自动化系统及其实现方法 | |
| CN105896490B (zh) | 一种配电网的故障处理方法及装置 | |
| CN106451373A (zh) | 利用主站识别动态拓扑的配电线路双向允许式保护方法 | |
| CN110493031A (zh) | 一种变电站控制系统网络设备状态在线监测方法 | |
| CN109639466B (zh) | 一种基于“源网荷”的电力工控系统网络安全检测系统 | |
| CN106100130A (zh) | 一种城市轨道交通直流供电系统的保护方法 | |
| CN102208996B (zh) | 用于数字化变电站网络化智能设备的网络安全监视方法 | |
| Kumar et al. | Performance analysis of substation automation systems architecture based on IEC 61850 | |
| CN105977923A (zh) | 一种实现即插即用的变电站继电保护装置及系统 | |
| CN113517940A (zh) | 一种电力光纤专网与5g公网智能切换系统 | |
| CN104882959B (zh) | 配电网区域管理方法及系统 | |
| CN102664466A (zh) | 一种馈线自动化系统 | |
| CN105391038B (zh) | 一种电力网络中基于区域保护的智能终端及其控制方法 | |
| CN104158294B (zh) | 一种调度防误操作控制方法 | |
| Kulkarni et al. | Integrating SCADA, load shedding, and high-speed controls on an Ethernet network at a North American refinery | |
| Tan et al. | IEC 61850 based substation automation system architecture design | |
| CN104201657A (zh) | 基于功率方向判断的配电线路双向闭锁保护方法 | |
| CN104184134A (zh) | 基于主站决策识别的配电线路双向闭锁保护方法 | |
| Yin et al. | The research and the development of the wide area relaying protection based on fault element identification | |
| Drayer et al. | Resilient distribution grids—cyber threat scenarios and test environment | |
| Kalra et al. | Using software-defined networking to build modern, secure IEC 61850-based substation automation systems | |
| CN204992783U (zh) | 分布式电力监控系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |