CN110022325A

CN110022325A - 电力通信网监控平台跨区数据安全高效交互系统及方法

Info

Publication number: CN110022325A
Application number: CN201910312966.1A
Authority: CN
Inventors: 杨志敏; 洪丹轲; 杨俊权; 徐键; 罗会洪; 黄强
Original assignee: China Southern Power Grid Co Ltd
Current assignee: China Southern Power Grid Co Ltd
Priority date: 2019-04-18
Filing date: 2019-04-18
Publication date: 2019-07-16
Anticipated expiration: 2039-04-18
Also published as: CN110022325B

Abstract

本发明公开了电力通信网监控平台跨区数据安全高效交互系统及方法，解决了电力通信网监控平台跨区数据交互存在安全隐患，且效率不高而延时高的问题。本发明系统包括监控信息采集模块、监控应用模块和隔离装置；监控信息采集模块，用于采集各个网管的运行数据，并把采集的数据传送至监控应用模块，用于各业务模块使用；隔离装置包括正向隔离装置和反向隔离装置，正向隔离装置用于实现监控信息采集模块到监控应用模块的数据单向传送，反向隔离装置用于实现监控应用模到监控信息采集模块的数据单向传送；监控应用模块，用于接收监控信息采集模块的发送来的数据，并进行存储、分析处理，并进行反向地向监控信息采集模块发送请求任务。

Description

电力通信网监控平台跨区数据安全高效交互系统及方法

技术领域

本发明涉及电力通信网监控平台跨区数据交互技术领域，具体涉及电力通信网监控平台跨区数据安全高效交互系统及方法。

背景技术

主干通信网运行管控系统是南方电网主干通信网运行、调度工作的技术支持系统，包括资源管理、综合监视、运行控制3大子系统，该3大子系统分别实现对通信物理、逻辑资源管理和资源调度与分析，通信网络运行实时监视，通信运维流程表单的信息化管控等功能。整个系统在提高电力通信网运行的技术支持水平和通信网运行的驾驭能力方面，发挥了显著的作用，为主干网通信网络运行及调度工作的智能化管控提供了强有力的技术支撑，提高了工作效率，改善了工作质量，是通信运行、调度不可缺少的工具之一，保障电网安全稳定运行发挥着重要作用。

然而，随着电力监控系统安全防护工作应当落实国家信息安全等级保护制度。因此，我们需要一种电力通信网监控平台跨区数据安全高效交互系统及方法，遵循电力防护安全规定，生产控制大区非控制区(安全区II)对应电力监控系统中的监控信息采集模块(II区域)，管理信息大区对应电力监控系统中的监控应用模块(III区域)，实现跨区(监控信息采集模块 II区域与监控应用模块III区域之间)数据安全高效交互，在数据流向多层隔离，安全度高；将数据打包进行发送，以避免大量数据直接传递造成堵塞，达到低延时；同时，采用负载均衡分布式应用服务解析跨区域数据，可同时多台虚拟机进行解析处理，实现高效率通信。

发明内容

本发明所要解决的技术问题是：电力通信网监控平台跨区数据交互存在安全隐患，且效率不高而延时高问题，本发明提供了解决上述问题的电力通信网监控平台跨区数据安全高效交互系统及方法，实现跨区(监控信息采集模块II区域与监控应用模块III区域之间)数据安全高效交互。

本发明通过下述技术方案实现：

一种电力通信网监控平台跨区数据安全高效交互系统，包括监控信息采集模块、监控应用模块和隔离装置；

所述监控信息采集模块，用于采集各个网管的运行数据，并把采集的数据传送至监控应用模块，用于各业务模块使用；

所述隔离装置设置于所述监控信息采集模块与所述监控应用模块之间，所述隔离装置包括正向隔离装置和反向隔离装置，所述正向隔离装置用于实现所述监控信息采集模块到所述监控应用模块的数据单向传送，所述反向隔离装置用于实现所述监控应用模到所述监控信息采集模块的数据单向传送；

所述监控应用模块，用于接收所述监控信息采集模块的发送来的数据，并进行存储、分析处理，并进行反向地向所述监控信息采集模块发送请求任务。

进一步地，所述监控应用模块包括防火墙、交换机、负载均衡装置和数据存储单元；

所述防火墙，用于对通过所述正向隔离装置后传输数据的安全加固，安全加固策略包括添加访问白名单策略、NAT转换策略；

所述交换机，用于实现对通过所述防火墙后的数据转发和数据过虑；

所述负载均衡装置，用于接收通过所述交换机转发和过滤的数据请求，分配指定分布式服务器服务进行请求响应；

所述数据存储单元，用于通过所述负载均衡装置指定的分布式服务器服务接收到数据后，进行解压后的数据存储。

进一步地，所述防火墙、所述交换机均采用双机冗余架构，当对应设备出现故障时，能较快恢复对应设备的运行。

进一步地，所述正向隔离装置和所述反向隔离装置均包括主备用两台。

一种电力通信网监控平台跨区数据安全高效交互方法，包括正向隔离和反向隔离，所述正向隔离通过监控信息采集模块采集各个网管的运行数据，并对采集的数据进行压缩，经过正向隔离装置传送至监控应用模块接收服务，并进行解压解析和数据存储；所述反向隔离由用户在各业务模块上发起请求，监控应用模块后台接收到请求，通过对请求数据按照自定义协议进行封装并加密后经过反向隔离装置发送至监控信息采集模块的各个网管指令接收服务，进行数据解密，校验协议是否一致，若一致后生成网管执行命令发送给指定网管，若不一致中止执行。

进一步地，正向隔离包括如下步骤：

A1.由监控信息采集模块的物理PC机采集各个网管运行的数据；

A2.由物理PC机发起请求，对步骤A1采集到的数据添加验证码指定目标SIP，压缩打包后发送至正向隔离装置；

A3.正向隔离装置接收到步骤A2发送来的数据，进行目标SIP是否在配置的白名单内进行确认，并发送至监控应用模块的防火墙；

A4.防火墙接收到步骤A3发送来的数据包后，进行NAT地址转换，并对发送者是否在白名单内进行确认，确认无误后将请求发送给负载均衡装置；

A5.负载均衡装置接收步骤A4发送来的请求，进行调派，指定分布式服务器服务进行处理；

A6.被指定的分布式服务器服务接收到步骤A5的数据后，进行解压和数据分析存储。

正向隔离经过正向隔离装置和防火墙(NAT和地址白名单配置)的策略配置，安全度高；由于监控信息采集模块II区域推送的数据量大，要求正向隔离装置吞吐量大并且不丢包，配合在监控信息采集模块II区域采集应用服务进行对数据压缩后再进行发送，提升全系统吞吐量，同时监控应用模块III区域对应地采用分布式多服务器响应处理，达到低延迟，效率提高 2倍。

进一步地，反向隔离包括如下步骤：

B1.监控应用模块的用户在各业务模块上发起请求操作；

B2.负载均衡装置接收步骤B1发送来的请求，并指派单台分布式服务器服务进行处理；

B3.根据步骤B2，被指定的分布式虚拟机发起请求，将发送指令按照自定义协议进行封装并加密，指向监控应用模块在防火墙NAT转换后的目标地址；

B4.根据步骤B3，监控应用模块防火墙做NAT转换后，转发给反向隔离装置；

B5.根据步骤B4，反向隔离装置接收到数据后，查看请求的目标地址是否在配置的白名单内部，以文件摆渡方式转发给监控信息采集模块的物理PC机；

B6.根据步骤B5，物理PC机接收到文件后，进行数据解密，并根据协议解析数据是否能够识别，如果能够识别，则根据请求生成网管执行指令发送给网管，如不能够识别，则放弃该数据包；

B7.根据步骤B6，网管接收物理PC机发送的指令并执行。

反向隔离经过防火墙(NAT和地址白名单配置)和反向隔离装置的策略配置，安全度高，同时监控应用模块III区域后台应用服务对请求数据按照自定义协议封装后再进行加密，监控信息采集模块II区域采集服务器接收到发来的请求进行解密后，再根据协议解析数据是否识别，数据识别后才生成网管执行指令，追求绝对安全。

本发明具有如下的优点和有益效果：

1、本发明的正向隔离经过正向隔离装置和防火墙(NAT和地址白名单配置)的策略配置，安全度高；由于监控信息采集模块II区域推送的数据量大，要求正向隔离装置吞吐量大并且不丢包，配合在监控信息采集模块II区域采集应用服务进行对数据压缩后再进行发送，提高全系统吞吐量，同时监控应用模块III区域对应地采用分布式多服务器响应处理，达到低延迟，效率提高2倍；

2、本发明的反向隔离经过防火墙(NAT和地址白名单配置)和反向隔离装置的策略配置，安全度高，同时监控应用模块III区域后台应用服务对请求数据按照自定义协议封装后再进行加密，监控信息采集模块II区域采集服务器接收到发来的请求进行解密后，再根据协议解析数据是否识别，数据识别后才生成网管执行指令，追求绝对安全；

3、本发明的电力通信网监控平台跨区数据安全高效交互系统及方法，实现跨区数据安全高效交互；首先，安全高，体现在数据流向多层隔离，安全度高，每过一层装置都需要配置白名单放行；监控应用模块III区域往监控信息采集模块II区域发送请求数据，应用层对实时数据进行数据封装并加密，保证反向的高安全度要求；其次，低延时，监控信息采集模块 II区域往监控应用模块III区域应用层发送数据时，将数据打包进行发送，以避免大量数据直接传递造成堵塞，同时监控应用模块III区域采用负载均衡分布式应用服务解析跨区域数据，达到低延时；最后，高效率：相比传统的P to P(PC to PC)，监控应用模块III区域采用负载均衡分布式应用服务解析跨区域数据，可同时多台虚拟机进行解析处理，效率比传统的单台 PC机处理效率高几倍。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1为本发明的电力通信网监控平台跨区数据安全高效交互系统框架图。

图2为本发明的电力通信网监控平台跨区数据安全高效交互方法的业务数据流程图。

图3为本发明的电力通信网监控平台跨区数据安全高效交互方法中正向隔离的正向完整数据流程图。

图4为本发明的电力通信网监控平台跨区数据安全高效交互方法中反向隔离的反向完整数据流程图。

附图中标记及对应的零部件名称：

1-监控信息采集模块，2-监控应用模块，3-隔离装置，21-防火墙，22-交换机，23-负载均衡装置，24-数据存储单元。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例1

如图1所示，一种电力通信网监控平台跨区数据安全高效交互系统，包括监控信息采集模块1、监控应用模块2和隔离装置3；

所述监控信息采集模块1，用于采集各个网管的运行数据，并把采集的数据传送至监控应用模块2，用于各业务模块使用；

所述隔离装置3设置于所述监控信息采集模块1与所述监控应用模块2之间，所述隔离装置3包括正向隔离装置和反向隔离装置，所述正向隔离装置用于实现所述监控信息采集模块1到所述监控应用模块2的数据单向传送，所述反向隔离装置用于实现所述监控应用模块 2到所述监控信息采集模块1的数据单向传送；

所述监控应用模块2，用于接收所述监控信息采集模块1的发送来的数据，并进行存储、分析处理，并进行反向地向所述监控信息采集模块1发送请求任务。

所述监控应用模块2包括防火墙21、交换机22、负载均衡装置23和数据存储单元24；

所述防火墙21，用于对通过所述正向隔离装置后传输数据的安全加固，安全加固策略包括添加访问白名单策略、NAT转换策略；

所述交换机22，用于实现对通过所述防火墙21后的数据转发和数据过虑，系统使用时需要针对各区域进行VLAN配置；

所述负载均衡装置23，用于接收通过所述交换机22转发和过滤的数据请求，分配指定分布式服务器服务进行请求响应；

所述数据存储单元24采用数据库，用于通过所述负载均衡装置23指定的分布式服务器服务接收到数据后，进行解压后的数据存储。

所述防火墙21、所述交换机22均采用双机冗余架构，当对应设备出现故障时，能较快恢复对应设备的运行；

所述正向隔离装置和所述反向隔离装置均包括主备用两台，主用设备故障时可以较快运营备用设备。

监控信息采集模块1(II区域)主要通过接口适配服务器接通三层汇聚交换机和在各省的互联交换机采集各中调、总调网管告警、设备性能等信息后，经过隔离装置3后接收数据入库(监控应用模块2(III区域)连接的私网内部)，综合监视系统前台查询最新数据。

工作原理是：根据电力通信网作为电力监控系统的基础支撑网络，应遵循电力防护安全规定，应当划分为生产控制大区和管理信息大区；本发明的系统中生产控制大区对应电力监控系统中的监控信息采集模块1(II区域)，管理信息大区对应电力监控系统中的监控应用模块2(III区域)，正向隔离由监控信息采集模块1的物理PC机采集各个网管的运行网络数据，并对采集的数据进行压缩，经过正向隔离装置传送至监控应用模块2接收服务，并进行解压解析和数据存储；反向隔离由用户在各业务模块上发起请求，监控应用模块2后台接收到请求，通过对请求数据按照自定义协议进行封装并加密后经过反向隔离装置发送至监控信息采集模块1的各个网管指令接收服务，进行数据解密，校验协议是否一致，若一致后生成网管执行命令发送给指定网管，若不一致中止执行；经过正向隔离和反向隔离实现跨区监控信息采集模块1(II区域)与监控应用模块2(III区域)之间数据安全高效交互，实现电力监控系统的二三区安全互联，安全隔离数据传递，确保数据流向的可靠。

实施例2

如图2至图4所示，本实施例与实施例1的区别在于，一种电力通信网监控平台跨区数据安全高效交互方法，包括正向隔离和反向隔离，所述正向隔离通过监控信息采集模块采集各个网管的运行数据，并对采集的数据进行压缩，经过正向隔离装置传送至监控应用模块接收服务，并进行解压解析和数据存储；所述反向隔离由用户在各业务模块上发起请求，监控应用模块后台接收到请求，通过对请求数据按照自定义协议进行封装并加密后经过反向隔离装置发送至监控信息采集模块的各个网管指令接收服务，进行数据解密，校验协议是否一致，若一致后生成网管执行命令发送给指定网管，若不一致中止执行。

其中，正向隔离包括如下步骤：

A4.防火墙接收到步骤A3发送来的数据包后，进行NAT地址转换，这样确保隐藏监控信息采集模块1(II区域)的地址，防止被攻击；并对发送者是否在白名单内进行确认，确认无误后将请求发送给负载均衡装置；

正向隔离经过正向隔离装置和防火墙(NAT和地址白名单配置)的策略配置，安全度高；由于监控信息采集模块1(II区域)推送的数据量大，要求正向隔离装置吞吐量大并且不丢包，配合在监控信息采集模块1(II区域)采集应用服务进行对数据压缩后再进行发送，提高全系统吞吐量，同时监控应用模块2(III区域)对应地采用分布式多服务器响应处理，达到低延迟，效率提高2倍。

反向隔离包括如下步骤：

B1.监控应用模块的用户在各业务模块上发起请求操作；

B4.根据步骤B3，监控应用模块防火墙做NAT转换，这样确保隐藏监控应用模块2(III 区域)的地址，防止被攻击，转换后转发给反向隔离装置；

B7.根据步骤B6，网管接收物理PC机发送的指令并执行。

反向隔离经过防火墙(NAT和地址白名单配置)和反向隔离装置的策略配置，安全度高，同时监控应用模块2(III区域)后台应用服务对请求数据按照自定义协议封装后再进行加密，监控信息采集模块1(II区域)采集服务器接收到发来的请求进行解密后，再根据协议解析数据是否识别，数据识别后才生成网管执行指令，追求绝对安全。

本发明的电力通信网监控平台跨区数据安全高效交互系统及方法，实现跨区监控信息采集模块1(II区域)与监控应用模块2(III区域)之间数据安全高效交互；首先，安全高，体现在数据流向多层隔离，安全度高，每过一层装置都需要配置白名单放行，监控应用模块 2(III区域)往监控信息采集模块1(II区域)发送请求数据，应用层对实时数据进行数据封装并加密，保证反向的高安全度要求；其次，低延时，监控信息采集模块1(II区域)往监控应用模块2(III区域)应用层发送数据时，将数据打包进行发送，以避免大量数据直接传递造成堵塞，同时监控应用模块2(III区域)采用负载均衡分布式应用服务解析跨区域数据，达到低延时；最后，高效率：相比传统的P to P(PC to PC)，监控应用模块2(III区域)采用负载均衡分布式应用服务解析跨区域数据，可同时多台虚拟机进行解析处理，效率比传统的单台PC机处理效率高几倍。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种电力通信网监控平台跨区数据安全高效交互系统，其特征在于：包括监控信息采集模块、监控应用模块和隔离装置；

2.根据权利要求1所述的一种电力通信网监控平台跨区数据安全高效交互系统，其特征在于：所述监控应用模块包括防火墙、交换机、负载均衡装置和数据存储单元；

3.根据权利要求2所述的一种电力通信网监控平台跨区数据安全高效交互系统，其特征在于：所述防火墙、所述交换机均采用双机冗余架构，当对应设备出现故障时，能较快恢复对应设备的运行。

4.根据权利要求1所述的一种电力通信网监控平台跨区数据安全高效交互系统，其特征在于：所述正向隔离装置和所述反向隔离装置均包括主备用两台。

5.一种电力通信网监控平台跨区数据安全高效交互方法，其特征在于：包括正向隔离和反向隔离，所述正向隔离通过监控信息采集模块采集各个网管的运行数据，并对采集的数据进行压缩，经过正向隔离装置传送至监控应用模块接收服务，并进行解压解析和数据存储；所述反向隔离由用户在各业务模块上发起请求，监控应用模块后台接收到请求，通过对请求数据按照自定义协议进行封装并加密后经过反向隔离装置发送至监控信息采集模块的各个网管指令接收服务，进行数据解密，校验协议是否一致，若一致后生成网管执行命令发送给指定网管，若不一致中止执行。

6.根据权利要求5所述的一种电力通信网监控平台跨区数据安全高效交互方法，其特征在于：正向隔离包括如下步骤：

7.根据权利要求5所述的一种电力通信网监控平台跨区数据安全高效交互方法，其特征在于：反向隔离包括如下步骤：

B1.监控应用模块的用户在各业务模块上发起请求操作；

B7.根据步骤B6，网管接收物理PC机发送的指令并执行。