CN109698826B - 一种电力服务器内交换系统端口间安全隔离的实现方法 - Google Patents

一种电力服务器内交换系统端口间安全隔离的实现方法 Download PDF

Info

Publication number
CN109698826B
CN109698826B CN201811489217.8A CN201811489217A CN109698826B CN 109698826 B CN109698826 B CN 109698826B CN 201811489217 A CN201811489217 A CN 201811489217A CN 109698826 B CN109698826 B CN 109698826B
Authority
CN
China
Prior art keywords
ports
isolation
configuration
power server
switching system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811489217.8A
Other languages
English (en)
Other versions
CN109698826A (zh
Inventor
梁正波
高腾达
杨文勇
史明杰
庄红军
杨登平
欧自敏
白义
罗逊
白焕云
赵舒畅
王成龙
晏创
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Power Grid Co Ltd
Original Assignee
Guizhou Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Power Grid Co Ltd filed Critical Guizhou Power Grid Co Ltd
Priority to CN201811489217.8A priority Critical patent/CN109698826B/zh
Publication of CN109698826A publication Critical patent/CN109698826A/zh
Application granted granted Critical
Publication of CN109698826B publication Critical patent/CN109698826B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种电力服务器内交换系统端口间安全隔离的实现方法,所述电力服务器内交换系统端口间安全隔离方法通过先对待测装置进行上电处理并将芯片缺省处于复位状态,此时配置端口与软件和其他配置隔离,并解除复位,使得内置芯片开始工作,而当配置改变隔离位时,隔离配置保护任务开启,通过用户确认,当通过时,实现配置继续改变隔离位,否则将不允许配置并进行告警日志记录;电力服务器的交换系统相关端口之间的彻底实现隔离,使得设备在任何时候,任何报文都不互通,极大的增加了电力服务器的安全性,避免了网络流量堵塞的情况,同时另一方面也避免了被其他设备攻击的安全隐患,解决了电力服务器内交换系统端口间不便进行安全隔离的问题。

Description

一种电力服务器内交换系统端口间安全隔离的实现方法
技术领域
本发明属于变电站通讯领域,涉及一种电力服务器内交换系统端口间安全隔离的实现方法。
背景技术
目前智能变电站内的数据通讯,除了原有的61850/104/103/101/modbus等规约外,以太网交换也是常用的通讯手段。电力服务器是一种集成式保护控制设备,整个变电站的测控、保护、交换和远动等专用功能集成在一台通用电力服务器上。所有专用功能在通用电力服务器上一起建模:保护、测控、交换、远动、GOOSE处理,SV处理。进一步,通用电力服务器还集成有故障录波、网络通信、记录分析和防火墙等功能。因此,电力服务器内也集成了交换系统,该系统的交换实现了站控层设备、调度、网络分析和电力服务器的接口。
按照安全的要求,调度接口,以及站控层设备之间要严格要求互相之间隔离,也就是在任何时刻他们之间不能互通任何报文,而且闲置端口和这些端口之间也不能互通,否则可能会有打接入非法设备攻击的可能。但是以太网交换方式本质上是共享数据模式:1、广播数据可以发送到所有的端口上;2、未知目的的报文也会从所有端口转发出去;3、VLAN隔离,只能一定程度解决广播域的问题,广播域内仍然存在上述问题;4、在设备上电启动,配置文件丢失重启的情况下,VLAN的隔离等效果失效,又继续恢复到全部端口广播域开发的状态。这些问题,一方面会引起网络流量堵塞,另一方面有被其他设备攻击的安全隐患的问题,为此我们提出一种电力服务器内交换系统端口间安全隔离的实现方法。
发明内容
有鉴于此,本发明的目的在于提供一种电力服务器内交换系统端口间安全隔离的实现方法。
为达到上述目的,本发明提供如下技术方案:一种电力服务器内交换系统端口间安全隔离的实现方法,所述电力服务器内交换系统端口间安全隔离方法通过先对待测装置进行上电处理并将芯片缺省处于复位状态,此时配置端口与软件和其他配置隔离,并解除复位,使得内置芯片开始工作,而当配置改变隔离位时,隔离配置保护任务开启,通过用户确认,当通过时,实现配置继续改变隔离位,否则将不允许配置并进行告警日志记录。
优选的,所述面板划分永久隔离端口组域,该组域内的所有端口任何时间,报文不能互通。
优选的,所述设备出厂配置面板上所有端口都在一个隔离端口组域,包括上述永久隔离群组。
优选的,所述设备出厂配置所有端口为关闭状态,需要使用的端口使能打开,避免非法接入。
优选的,所述设备上电期间交换芯片处于复位状态,待软件就绪而且配置完成端口隔离状态之后,再解除复位,使能交换芯片工作。
优选的,所述对交换芯片的端口隔离配置实施监控保护,如有外部配置改变需要改变隔离配置的时候,必须通过用户确认,确认后方可实际生效。
优选的,所述当设备软件出现死机或者异常时,软件看门狗工作重启,使能系统重新进入复位状态,该复位状态和上电复位状态相同,在软件就绪配置隔离后才使能交换芯片工作。
本发明的有益效果在于:电力服务器的交换系统相关端口之间的彻底实现隔离,使得设备在任何时候,都不能互通,任何报文都不互通,极大的增加了电力服务器的安全性,避免了网络流量堵塞的情况,同时另一方面也避免了被其他设备攻击的安全隐患,解决了电力服务器内交换系统端口间不便进行安全隔离的问题。
附图说明
为了使本发明的目的、技术方案和有益效果更加清楚,本发明提供如下附图进行说明:
图1为本发明的系统流程图示意图。
具体实施方式
下面将结合附图,对本发明的优选实施例进行详细的描述。
请参阅图1,本发明提供一种技术方案:一种电力服务器内交换系统端口间安全隔离方法通过先对待测装置进行上电处理并将芯片缺省处于复位状态,此时配置端口与软件和其他配置隔离,并解除复位,使得内置芯片开始工作,而当配置改变隔离位时,隔离配置保护任务开启,通过用户确认,当通过时,实现配置继续改变隔离位,否则将不允许配置并进行告警日志记录。
本发明中,优选的,端口隔离配置是交换芯片内一种较为特殊的寄存器,有个端口隔离群组,凡是在隔离组内的端口之间,无论如何都无法通信。
本发明中,优选的,上电期间,端口可能会瞬间打开由于交换芯片的广播性,所有端口都会主动转发引起网络的广播泛洪。
本发明中,优选的,端口隔离掩码寄存器为通用地址访问方式配置,可以通过内存保护的方式来进行保护,一旦发生配置,即将触发动作提示用户有人在改变配置。
最后说明的是,以上优选实施例仅用以说明本发明的技术方案而非限制,尽管通过上述优选实施例已经对本发明进行了详细的描述,但本领域技术人员应当理解,可以在形式上和细节上对其作出各种各样的改变,而不偏离本发明权利要求书所限定的范围。

Claims (6)

1.一种电力服务器内交换系统端口间安全隔离的实现方法,其特征在于:所述电力服务器内交换系统端口间安全隔离方法通过先对待测装置进行上电处理并将芯片缺省处于复位状态,此时配置端口与软件和其他配置隔离,并解除复位,使得内置芯片开始工作,而当配置改变隔离位时,隔离配置保护任务开启,通过用户确认,当通过时,实现配置继续改变隔离位,否则将不允许配置并进行告警日志记录;
通过设备出厂配置面板划分永久隔离端口组域,该组域内的所有端口任何时间,报文不能互通。
2.根据权利要求1所述的一种电力服务器内交换系统端口间安全隔离的实现方法,其特征在于:所述设备出厂配置面板上所有端口都在一个隔离端口组域,包括上述永久隔离端口组域,对交换部分进行配置,使某些端口之间能互通,但这个配置不支持永久隔离端口组域内成员端口之间的互通,而是使非永久组域内端口能互通以及非永久组域内端口与永久组域内端口能互通。
3.根据权利要求1所述的一种电力服务器内交换系统端口间安全隔离的实现方法,其特征在于:所述设备出厂配置所有端口为关闭状态,需要使用的端口时能打开,避免非法接入。
4.根据权利要求1所述的一种电力服务器内交换系统端口间安全隔离的实现方法,其特征在于:所述设备上电期间交换芯片处于复位状态,待软件就绪而且配置完成端口隔离状态之后,再解除复位,使能交换芯片工作。
5.根据权利要求1所述的一种电力服务器内交换系统端口间安全隔离的实现方法,其特征在于:所述对交换芯片的端口隔离配置实施监控保护,如有外部配置需要改变隔离配置的时候,通过用户确认,确认后实际生效。
6.根据权利要求1所述的一种电力服务器内交换系统端口间安全隔离的实现方法,其特征在于:所述当设备软件出现死机或者异常时,软件看门狗工作重启,使能系统重新进入复位状态,该复位状态和上电复位状态相同,在软件就绪配置隔离后才使能交换芯片工作。
CN201811489217.8A 2018-12-06 2018-12-06 一种电力服务器内交换系统端口间安全隔离的实现方法 Active CN109698826B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811489217.8A CN109698826B (zh) 2018-12-06 2018-12-06 一种电力服务器内交换系统端口间安全隔离的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811489217.8A CN109698826B (zh) 2018-12-06 2018-12-06 一种电力服务器内交换系统端口间安全隔离的实现方法

Publications (2)

Publication Number Publication Date
CN109698826A CN109698826A (zh) 2019-04-30
CN109698826B true CN109698826B (zh) 2021-07-27

Family

ID=66230400

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811489217.8A Active CN109698826B (zh) 2018-12-06 2018-12-06 一种电力服务器内交换系统端口间安全隔离的实现方法

Country Status (1)

Country Link
CN (1) CN109698826B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257418A (zh) * 2021-11-26 2022-03-29 国家电投集团科学技术研究院有限公司 基于树莓派的负荷预测方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104426757A (zh) * 2013-09-09 2015-03-18 贵州电网公司六盘水供电局 一种智能变电站专用数据交互方法及装置
CN104486336A (zh) * 2014-12-12 2015-04-01 冶金自动化研究设计院 工业控制网络安全隔离交换装置
CN104868436A (zh) * 2015-05-21 2015-08-26 浙江大学 一种海底观测网接驳保护系统
CN105511394A (zh) * 2016-01-29 2016-04-20 桂林电子科技大学 一种在fpga平台实现plc控制的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160277158A1 (en) * 2015-03-16 2016-09-22 Terry Brown Data communications troubleshooting device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104426757A (zh) * 2013-09-09 2015-03-18 贵州电网公司六盘水供电局 一种智能变电站专用数据交互方法及装置
CN104486336A (zh) * 2014-12-12 2015-04-01 冶金自动化研究设计院 工业控制网络安全隔离交换装置
CN104868436A (zh) * 2015-05-21 2015-08-26 浙江大学 一种海底观测网接驳保护系统
CN105511394A (zh) * 2016-01-29 2016-04-20 桂林电子科技大学 一种在fpga平台实现plc控制的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
林初建 张四海 王海英 冯雷 赵君 .基于非对称VLAN的端口隔离技术研究与应用.《华东师范大学学报(自然科学版)》.2015, *

Also Published As

Publication number Publication date
CN109698826A (zh) 2019-04-30

Similar Documents

Publication Publication Date Title
US8793767B2 (en) Network access management via a secondary communication channel
Fairley Cybersecurity at US utilities due for an upgrade: Tech to detect intrusions into industrial control systems will be mandatory [News]
JP5411916B2 (ja) 保護継電器とこれを備えるネットワークシステム
CN102404254A (zh) 多网融合的智能家庭网关装置及系统
CN105208352B (zh) 一种网络视频安全监控系统及物理隔离方法
CN109617923A (zh) 一种智能变电站过程层网络报文过滤转发装置
CN103872640B (zh) 一种配电自动化终端单元离线故障快速自愈控制方法
CN103809517B (zh) 数控机床的控制系统及其加密方法
CN103401756A (zh) 一种用于工业网络的安全防护系统
DE102020213844A1 (de) Taktsteuerung zum erhöhen von robustheit einer schnittstelle mit seriellem bus
CN109698826B (zh) 一种电力服务器内交换系统端口间安全隔离的实现方法
WO2012014509A1 (ja) 不正アクセス遮断制御方法
CN204089849U (zh) 一种基于工业控制协议的网络隔离装置
CN202042898U (zh) 一种网络设备的程控旁路保护电路
CN202979014U (zh) 网络隔离装置
CN109257291A (zh) 一种新型智能路由器
WO2023098408A1 (zh) 断电监控装置、方法及外接式防护设备
KR101449422B1 (ko) 스카다시스템에서 플랜트 자동복구 및 보안 시스템
CN103595728B (zh) 一种保障网络设备安全可靠的系统和方法
CN210112051U (zh) 一种基于安全隔离网闸的多信息源通讯管理装置
KR102160537B1 (ko) 스마트 게이트웨이를 구비한 디지털변전소
Cisco D1
Cisco D1
Cisco Data Encryption Service Adapter
KR102145421B1 (ko) 스마트 게이트웨이를 구비한 디지털변전소

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant