CN110401661A - 一种电力监控系统的网络安全靶场系统 - Google Patents
一种电力监控系统的网络安全靶场系统 Download PDFInfo
- Publication number
- CN110401661A CN110401661A CN201910686829.4A CN201910686829A CN110401661A CN 110401661 A CN110401661 A CN 110401661A CN 201910686829 A CN201910686829 A CN 201910686829A CN 110401661 A CN110401661 A CN 110401661A
- Authority
- CN
- China
- Prior art keywords
- area
- target range
- main website
- attacking
- defending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
本发明提供了一种电力监控系统的网络安全靶场系统,包括工作区域与机房区域,所述工作区域包括攻防测试区、电力监控系统操作区、实物靶场区以及攻防过程展示区;所述机房区域包括主站监控区、厂站监控区、攻防展示监控区以及虚拟化靶场机池。本系统有利于技术人员构建出以主站监控区、厂站监控区、攻防展示监控区、攻防测试区、电力监控系统操作区、实物靶场区为主体格局的网络安全靶场系统,并且构建出的网络安全靶场系统增强了其内部单元区之间的工作关联度与工作协调度,使得系统格局趋于明朗化,既提升了安全程度、也提升了应变能力。采用虚实结合的攻防靶场,既具有快速部署与恢复能力的虚拟靶场又具备直观性强,效果明显的实物靶场。
Description
技术领域
本发明涉及电力领域,尤其涉及一种电力监控系统的网络安全靶场系统。
背景技术
电力行业作为关系国计民生的重要基础行业,同时也是技术、资金密集型行业,在注重信息化建设的同时,对于网络安全工作也历来高度重视。2010年“震网”(stuxnet)病毒的爆发,让全球再一次明白,工业控制系统已成为黑客的主要目标,随后“毒区”(duqu)和“火焰”(flame)病毒又相继出现,与“震网”共同形成“网络战”攻击群;2014年,功能更为强大的Havex以不同工业领域为目标进行攻击,至2016年已发展到88个变种;2015年底发生的乌克兰大面积停电事件又一次为电力监控系统网络安全拉响警报。这些事例说明电力监控系统所面临的安全风险日益增大,直接威胁到电力系统安全稳定运行和电力可靠供应。
伴随“云、大、物、移、智”等新兴IT技术的全面覆盖,网络威胁也变得日趋复杂,作为防守方,需要紧跟趋势,比“敌人”更快,拥抱技术创新的同时做好上下游的紧密联动,才能在日益紧张的网安环境下构建系统的防御生态。电力行业在新技术发展应用过程中,可能牵涉到更多的潜在安全需求。如大数据平台建设推进,为实现跨专业业务协同与信息共享、用数据管理企业、用信息驱动业务应用等方面提供了坚实的软硬件基础设施,但是,大数据在为业务带来巨大价值的同时,也带来了潜在的安全风险。一方面,传统业务系统面临的安全风险如网络攻击、系统漏洞等依然存在;另一方面,针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显,一旦数据被非法访问甚至泄漏损失非常巨大。智能电网安全需要保证的是全网行为安全性,但随着新能源接入、移动互联网的非法互联、各种系统软件漏洞层出不穷,为智能电网的安全带来新的挑战,其安全防护不到位,可能构成攻击电网内部的跳板,给全网安全带来重要隐患,并且随着配网等业务的增长,也对电力安全提出了新的需求,需从电力行业全局的角度指导、推进网络安全工作。
随着全球网络空间信息安全态势日趋严重,我国相关政府部门也相继密集出台了多项重磅政策,包括《网络安全法》、《国家网络空间安全战略》等,强调了包括电力系统在内的国家重要基础设施应强化网络安全防护。目前,针对电力系统的网络攻击急剧增加,网络安全事故层出不穷,给企业安全生产和社会稳定带了极大的安全隐患。
因此,开展网络安全靶场研究是提升网络安全防护能力,提高网络安全防护技能的重要措施。目前,网络安全攻防能力不足或攻防靶场不具备代表性,很难支撑整体网络安全防御能力建设。
发明内容
本发明针对现有技术的不足,提供一种电力监控系统的网络安全靶场系统,包括:工作区域与机房区域,其中,所述工作区域包括攻防测试区、电力监控系统操作区、实物靶场区以及攻防过程展示区;所述机房区域包括主站监控区、厂站监控区、攻防展示监控区以及虚拟化靶场机池,所述厂站监控区、攻防展示监控区以及虚拟化靶场机池分别与所述主站监控区连接;所述攻防测试区分别与所述主站监控区、所述厂站监控区、所述虚拟化靶场机池和所述实物靶场区相连接,用于对所述主站监控区、所述厂站监控区、所述虚拟化靶场机池和所述实物靶场区进行攻击测试;所述攻防展示监控区用于展示所述攻击测试的攻击过程和安全防护情况;所述电力监控系统操作区用于对电力监控系统主站和厂站侧相关业务系统进行监控;所述攻防过程展示区用于对攻防过程进行动态展示。
优选的,所述主站监控区还包括主站安全控制区、主站安全非控制区、生产管理安全区和安全接入区,其中,所述主站安全控制区用于模拟生产系统安全区的系统环境,所述安全接入区用于在所述生产管理安全区与公共数据网之间进行通信;所述主站安全控制区与所述主站安全非控制区之间通过日志分析模块相连接;所述主站安全控制区与所述生产管理安全区之间配置有用于在所述主站安全控制区与所述生产管理安全区之间进行正向隔离与反向隔离的第一正反向隔离模块;所述主站安全非控制区与所述生产管理安全区之间配置有用于在所述主站安全非控制区与所述生产管理安全区之间进行正向隔离与反向隔离的第二正反向隔离模块。
优选的,所述主站安全控制区与所述主站安全非控制区各自的纵向互联网交换机之间设置工控协议审计模块。
优选的,所述实物靶场区包括操作站、PLC300设备、靶场交换机以及连接在靶场交换机与PLC300设备之间的工控协议保护模块。
优选的,所述主站安全控制区内的各个服务器与操作员站均通过控制区纵向互联网交换机接入纵向加密认证网关,所述纵向加密认证网关通过调度数据网交换机连接至调度数据网。
优选的,所述日志分析模块与防火墙相连接,所述防火墙通过控制区纵向互联网交换机接入主站安全控制区的服务器和操作员站;所述防火墙分别接入所述主站安全非控制区的运维开发交换机、以及运维审计服务器。
优选的,所述生产管理安全区所配置的服务器采用两台相接的WEB应用服务器与报表服务器。
优选的,所述攻防测试区包括用于攻击研究的USB设备、若干台PC机以及使PC机接入主站及子站的测试区交换机。
本发明有利于技术人员构建出以主站监控区、厂站监控区、攻防展示监控区、攻防测试区、电力监控系统操作区、实物靶场区为主体格局的网络安全靶场系统,并且构建出的网络安全靶场系统增强了其内部单元区之间的工作关联度与工作协调度,使得系统格局趋于明朗化,既提升了安全程度、也提升了应变能力。采用虚实结合的攻防靶场,既具有快速部署与恢复能力的虚拟靶场又具备直观性强,效果明显的实物靶场。
附图说明
为了更清楚的说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单介绍,显而易见的,对于本领域技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种电力监控系统的网络安全靶场系统的结构示意图;
图2为本发明实施例提供的一种主站监控区的结构示意图;
图3为本发明实施例提供的一种厂站监控区的结构示意图;
图中所示:
1、主站监控区;101、主站安全控制区;102、主站安全非控制区;103、生产管理安全区;104、安全接入区;2、厂站监控区;201、厂站安全控制区;202、厂站安全非控制区;1011、日志分析模块;10121、第一正反向隔离模块;10122、第二正反向隔离模块;1013、入侵检测单元;1014、防火墙;1015、交换机;1016、服务器;1017、认证网关;1018、调度数据网交换机;1019、工控协议审计模块;1020、公用数据网;1021、调度数据网;1022、测控装置;1023、操作员站;1024、测试区交换机;3、攻防展示监控区;4、虚拟化靶场机池;5、攻防测试区;6、电力监控系统操作区;7、实物靶场区;71、操作站;72、PLC300设备;73、靶场交换机;8、攻防过程展示区;9、工控协议保护模块。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护范围。
研究网络安全靶场研究,有利于逐步建立起电网工控安全实验室,以安全实验室为依托,完善电力行业工控网络安全、信息系统验证等信息化实验环境建设,开展漏洞挖掘、风险分析、网络攻击、防护策略验证、物联网技术等前瞻性技术的研究与应用,提升在智能电网条件下的信息安全攻防能力和信息系统测评能力,提升电网信息系统实验、测评和验证能力,加大信息安全方面的技术服务力度。
在本发明技术方案设计之先,首先要考虑与电力监控系统网络安全靶场构建相关的一些因素,一般是从发现其网络安全问题、分析研究系统网络安全问题、解决系统网络安全问题三个阶段构出发:其中,需要发现的网络安全问题包括攻击库、电力行业工业防护设备库、电力行业典型工业控制系统;其中,需要分析研究的系统网络安全问题包括工控威胁检测工具、设备指纹提取环节、工控系统漏洞检测与挖掘、电力行业工艺仿真模型、电力行业网络模型库、工控漏洞挖掘平台等;其中,解决的问题包括电力行业工控安全防御技术、电力行业攻防竞技、以及电力行业工控安全靶场。
根据当前实际情况,在以上相关的因素中,电力监控系统网络安全攻防靶场系统的实现是本发明要解决的问题,要考虑到的设计内容通常包括靶场区域设计、靶场仿真设计、监控系统网络安全攻击系统设计和网络安全攻防过程监视设计四个环节。
由于本申请技术方案之系统需要布局在相应的区域,因此,系统中不同的单元环节也处于对应的区域,这些区域主要用于部署靶场系统所需的工控系统仿真设备、网络设备及安全设备。按照电力监控系统网络安全攻防靶场提供的建设场所,在本发明技术方案实施之前,技术人员预先对本发明技术方案之靶场系统所需场地划分的区域,其场地规划主要包括工作区域和机房区域,其中的机房区域用于部署靶场建设所需业务系统设备以及部署虚拟化攻击场景搭建环境物理设备,所装配的设备通过以太网连接到机房交换机,和电力监控仿真系统、智能变电站仿真系统网络处于同一网络,可直接对网络发起攻击。
本申请结合实际应用,构建出一种主体格局稳定、安全级别较高、关联度与协调度较强的网络安全靶场系统,所形成的技术方案用于解决靶场系统目前在运行时其主体格局、安全级别、系统内部关联度与协调度方面存在的问题,同时也有利于同一技术领域的众多技术问题的解决以及提高技术方案的可拓展性。
请参考图1,所示为本发明实施例提供的一种电力监控系统的网络安全靶场系统的结构示意图。由图1可见,该系统包括:工作区域100与机房区域200,其中,所述工作区域100包括攻防测试区5、电力监控系统操作区6、实物靶场区7以及攻防过程展示区8;所述机房区域200包括主站监控区1、厂站监控区2、攻防展示监控区3以及虚拟化靶场机池4,所述厂站监控区2、攻防展示监控区3以及虚拟化靶场机池4分别与所述主站监控区1连接;所述攻防测试区5分别与所述主站监控区1、所述厂站监控区2、所述虚拟化靶场机池4和所述实物靶场区7相连接,用于对所述主站监控区1、所述厂站监控区2、所述虚拟化靶场机池4和所述实物靶场区7进行攻击测试;所述攻防展示监控区3用于展示所述攻击测试的攻击过程和安全防护情况;所述电力监控系统操作区6用于对电力监控系统主站和厂站侧相关业务系统进行监控;所述攻防过程展示区8用于对攻防过程进行动态展示。
其中,主站监控区1是电力监控系统涉网侧,厂站监控区2用于模拟厂站端生产系统,虚拟化靶场机池4用于模拟各种具备攻击场景的虚拟靶机。电力监控系统具体包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等。
所实施的攻防测试区5具体位置优选处于所规划的工作区域的其中一侧,用于提供给现场技术人员做攻防技术研究的区域,同时可以提供攻击防护研究培训的业务,所配置的设备包括部署用于攻击研究的USB设备(图中未示出)、若干台PC机(图中未示出)以及使PC机接入主站及子站的测试区交换机1024;
电力监控系统操作区6具体位置优选处于所规划的工作区域的中心位置,用于部署业务系统操作台面,可对业务系统进行操作培训,所配置的设备包括若干台PC机以及使其接入系统内部的交换机。
攻防过程展示区8具体位置优选设置处于所规划的工作区域的公共区域,用于通过大屏展示的方式,对攻防过程进行动态展示。
实物靶场区7包括操作站71、PLC300设备72、靶场交换机73以及连接在靶场交换机73与PLC300设备72之间的工控协议保护模块9。其中,操作站71为WinCC操作站。
在攻防测试前可以在受攻击区域进行部署落实安全防护措施,准备就绪后,攻防测试区5可以向电力监控主站区1、电力监控系统厂站区2、虚拟化服务靶机区4、实物靶场区7,进行攻击测试;攻击过程和安全防护情况在攻防展示监控PC区3呈现;最后,根据攻防展示情况分析研究安全防护策略、防护技术。
本发明有利于技术人员构建出以主站监控区、厂站监控区、攻防展示监控区、攻防测试区、电力监控系统操作区、实物靶场区为主体格局的网络安全靶场系统,并且构建出的网络安全靶场系统增强了其内部单元区之间的工作关联度与工作协调度,使得系统格局趋于明朗化,既提升了安全程度、也提升了应变能力。采用虚实结合的攻防靶场,既具有快速部署与恢复能力的虚拟靶场又具备直观性强,效果明显的实物靶场。
本发明技术方案之电力监控系统的网络安全靶场系统,所实施的现有环境的总体架构和安全防护设计遵循了国家、行业相关标准规范要求,通过合理部署,有利于系统性地反映上下级电力监控系统之间的相关数据业务的需求,便于解决网络的纵向互联、横向互联以及数据通信的安全性问题。
请参考图2和图3,所示为本发明实施例提供的一种主站监控区的结构示意图和本发明实施例提供的一种厂站监控区的结构示意图。由图2和3可见,主站监控区1还包括主站安全控制区101、主站安全非控制区102、生产管理安全区103和安全接入区104。
所述主站安全控制区101用于模拟生产系统安全区的系统环境,是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或者专用通道的各业务系统构成的安全区域。主站安全非控制区102是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。生产管理安全区103控制区模拟生产系统安全区的系统环境,是指生产控制大区以外的电力企业管理业务系统的集合。管理信息大区的传统典型业务系统包括调度生产管理系统、性子电话网管系统、电力企业数据网等。安全接入区104用于在所述生产管理安全区103与公共数据网1020之间进行通信。
进一步的,主站安全控制区101包括若干台服务器1016以及操作员站1023,包括从左至右依次连接的SCADA应用服务器、前置数据采集服务器、后台机以及操作员站1023,这些服务器1016与操作员站1023通过控制区横向互联网交换机1015接入认证网关1017(优选设置为纵向加密认证网关),然后再接入此主站监控区1的调度数据网交换机1018,最终连接至调度数据网1021;
进一步地,其中的主站安全非控制区102与主站安全控制区101之间具有日志分析模块1011,此日志分析模块1011接入防火墙1014,以此防火墙1014通过控制区纵向互联网交换机1015接入主站安全控制区101的服务器1016、操作员站1023,同时,此防火墙1014还接入主站安全非控制区102的交换机(优选运维开发交换机)以及服务器1016(优选配置运维开发交换机)、操作员站1023(优选配置运维审计服务器);相应地,该主站安全非控制区102所配置的服务器1016、操作员站1023通过该主站安全非控制区102的纵向互联网交换机1015接入该非控制区的认证网关1017(优选设置为纵向加密认证网关),然后再接入此主站监控区1的调度数据网交换机1018,最终连接至调度数据网1021。
进一步地,其中的生产管理安全区103所配置的服务器1016优选采用两台相邻连接的WEB应用服务器与报表服务器,并且该生产管理安全区103的服务器1016与操作员站1023均接入配置于安全接入区104的公用数据网1020;同时,该生产管理安全区103增设一入侵检测单元1013并且直接接入该生产管理安全区103的交换机1015;安全接入区104内部采用公网前置机与公用数据网1020相接。
本发明技术方案之电力监控系统的网络安全靶场系统,所实施的主站监控区1各个单元分区之间的关联包括:所实施的主站安全控制区101与主站安全非控制区102各自的纵向互联网交换机之间设置工控协议审计模块1019。主站安全控制区101与所述生产管理安全区103之间配置有用于在所述主站安全控制区101与所述生产管理安全区103之间进行正向隔离与反向隔离的第一正反向隔离模块10121;主站安全非控制区102与所述生产管理安全区103之间配置有用于在所述主站安全非控制区102与所述生产管理安全区103之间进行正向隔离与反向隔离的第二正反向隔离模块10122。
厂站监控区2与主站监控区1之间通过调度数据网1021连接,并且通过该调度数据网1021依次经过厂站监控区2内的纵向加密认证网关1017、纵向互联网交换机1015连接至该分区内的服务器,该分区内的服务器包括通信处理单元、SCADA后台服务器、电能量采集单元,该厂站监控区2的若干台操作员站1023主要用于智能终端并且通过增加的测控装置1022与本分区内的服务器1016相连接。
本发明技术方案之电力监控系统的网络安全靶场系统,所实施的主站监控区1分别与位置处于其两侧的攻防展示监控区3、虚拟化靶场机池4相连接,其中的攻防展示监控区3包括攻击过程展示PC机、安全防护监控PC机,其中的虚拟化靶场机池4包括虚拟WinCC服务器以及若干台虚拟靶机,该虚拟化靶场机池4同时与工作区域的实物靶场区7相连接。
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护范围。
Claims (8)
1.一种电力监控系统的网络安全靶场系统,其特征在于,包括:工作区域与机房区域,其中,
所述工作区域包括攻防测试区、电力监控系统操作区、实物靶场区以及攻防过程展示区;
所述机房区域包括主站监控区、厂站监控区、攻防展示监控区以及虚拟化靶场机池,所述厂站监控区、攻防展示监控区以及虚拟化靶场机池分别与所述主站监控区连接;
所述攻防测试区分别与所述主站监控区、所述厂站监控区、所述虚拟化靶场机池和所述实物靶场区相连接,用于对所述主站监控区、所述厂站监控区、所述虚拟化靶场机池和所述实物靶场区进行攻击测试;
所述攻防展示监控区用于展示所述攻击测试的攻击过程和安全防护情况;
所述电力监控系统操作区用于对电力监控系统主站和厂站侧相关业务系统进行监控;
所述攻防过程展示区用于对攻防过程进行动态展示。
2.根据权利要求1所述的系统,其特征在于,所述主站监控区还包括主站安全控制区、主站安全非控制区、生产管理安全区和安全接入区,其中,
所述主站安全控制区用于模拟生产系统安全区的系统环境,所述安全接入区用于在所述生产管理安全区与公共数据网之间进行通信;
所述主站安全控制区与所述主站安全非控制区之间通过日志分析模块相连接;
所述主站安全控制区与所述生产管理安全区之间配置有用于在所述主站安全控制区与所述生产管理安全区之间进行正向隔离与反向隔离的第一正反向隔离模块;
所述主站安全非控制区与所述生产管理安全区之间配置有用于在所述主站安全非控制区与所述生产管理安全区之间进行正向隔离与反向隔离的第二正反向隔离模块。
3.根据权利要求2所述的系统,其特征在于,所述主站安全控制区与所述主站安全非控制区各自的纵向互联网交换机之间设置工控协议审计模块。
4.根据权利要求1所述的系统,其特征在于,所述实物靶场区包括操作站、PLC300设备、靶场交换机以及连接在靶场交换机与PLC300设备之间的工控协议保护模块。
5.根据权利要求1所述的系统,其特征在于,所述主站安全控制区内的各个服务器与操作员站均通过控制区纵向互联网交换机接入认证网关,所述认证网关通过调度数据网交换机连接至调度数据网。
6.根据权利要求2所述的系统,其特征在于,所述日志分析模块与防火墙相连接,所述防火墙通过控制区纵向互联网交换机接入主站安全控制区的服务器和操作员站;所述防火墙分别接入所述主站安全非控制区的运维开发交换机、以及运维审计服务器。
7.根据权利要求2所述的系统,其特征在于,所述生产管理安全区所配置的服务器1016采用两台相接的WEB应用服务器与报表服务器。
8.根据权利要求1所述的系统,其特征在于,所述攻防测试区包括用于攻击研究的USB设备、若干台PC机以及使PC机接入主站及子站的测试区交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910686829.4A CN110401661B (zh) | 2019-07-29 | 2019-07-29 | 一种电力监控系统的网络安全靶场系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910686829.4A CN110401661B (zh) | 2019-07-29 | 2019-07-29 | 一种电力监控系统的网络安全靶场系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110401661A true CN110401661A (zh) | 2019-11-01 |
| CN110401661B CN110401661B (zh) | 2022-06-10 |
Family
ID=68325182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910686829.4A Active CN110401661B (zh) | 2019-07-29 | 2019-07-29 | 一种电力监控系统的网络安全靶场系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110401661B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110941232A (zh) * | 2019-11-21 | 2020-03-31 | 博智安全科技股份有限公司 | 针对工控网络的便携式安全靶场装置及其方法 |
| CN111800420A (zh) * | 2020-07-06 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种电力系统网络安全靶场系统 |
| CN112153010A (zh) * | 2020-08-31 | 2020-12-29 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全靶场系统及其运行方法 |
| CN113507653A (zh) * | 2021-07-07 | 2021-10-15 | 中国电建集团河北省电力勘测设计研究院有限公司 | 一种基于智能识别的电厂升压站电气五防系统及方法 |
| CN113542100A (zh) * | 2021-07-30 | 2021-10-22 | 国网青海省电力公司信息通信公司 | 电厂安全防护系统及方法 |
| CN114040408A (zh) * | 2021-11-02 | 2022-02-11 | 恒安嘉新(北京)科技股份公司 | 一种基于4g移动网络模拟环境的靶场系统 |
| CN114996703A (zh) * | 2022-06-06 | 2022-09-02 | 南方电网科学研究院有限责任公司 | 一种电力系统网络安全靶场混合仿真方法、系统及设备 |
| CN115134127A (zh) * | 2022-06-09 | 2022-09-30 | 国网浙江省电力有限公司 | 电力监控网络安全测试系统 |
| CN117411768A (zh) * | 2023-10-07 | 2024-01-16 | 国家电网有限公司华东分部 | 信息展示方法及装置、计算机设备和可读存储介质 |
| CN117852048A (zh) * | 2024-03-08 | 2024-04-09 | 华中科技大学 | 一种基于多维度攻击向量的软硬结合车联网靶场构建方法 |
| CN117852048B (zh) * | 2024-03-08 | 2024-06-07 | 华中科技大学 | 一种基于多维度攻击向量的软硬结合车联网靶场构建方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104333551A (zh) * | 2014-10-31 | 2015-02-04 | 上海电机学院 | 一种电力二次系统主动安全防御系统 |
| WO2015026393A1 (en) * | 2013-08-18 | 2015-02-26 | Ftorion, Inc. | Flow battery and regeneration system with improved safety |
| US20150344152A1 (en) * | 2014-06-03 | 2015-12-03 | Hamilton Sundstrand Corporation | Aircraft external dc power voltage protection |
| CN107203722A (zh) * | 2016-03-16 | 2017-09-26 | 中国电子科技集团公司电子科学研究院 | 一种虚拟化数据隔离交换方法及装置 |
| CN207283594U (zh) * | 2017-09-09 | 2018-04-27 | 广西电网有限责任公司电力科学研究院 | 基于网络安全分区的输变电设备状态监测系统 |
| CN108521423A (zh) * | 2018-04-10 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 半实物仿真工控网络靶场系统 |
| CN108922298A (zh) * | 2018-07-23 | 2018-11-30 | 贵州电网有限责任公司信息中心 | 一种电力安全操作培训系统 |
| CN109147447A (zh) * | 2017-06-16 | 2019-01-04 | 云南电网有限责任公司信息中心 | 一种基于虚拟化技术的网络攻防靶场实战系统 |
| CN208335565U (zh) * | 2017-12-07 | 2019-01-04 | 国网浙江省电力公司培训中心 | 一种智能电网网络安全防护暨电力调度数据网实训系统 |
| CN109298855A (zh) * | 2018-10-16 | 2019-02-01 | 国网河北省电力有限公司电力科学研究院 | 一种网络靶场管理系统及其实现方法、装置、存储介质 |
-
2019
- 2019-07-29 CN CN201910686829.4A patent/CN110401661B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015026393A1 (en) * | 2013-08-18 | 2015-02-26 | Ftorion, Inc. | Flow battery and regeneration system with improved safety |
| US20150344152A1 (en) * | 2014-06-03 | 2015-12-03 | Hamilton Sundstrand Corporation | Aircraft external dc power voltage protection |
| CN104333551A (zh) * | 2014-10-31 | 2015-02-04 | 上海电机学院 | 一种电力二次系统主动安全防御系统 |
| CN107203722A (zh) * | 2016-03-16 | 2017-09-26 | 中国电子科技集团公司电子科学研究院 | 一种虚拟化数据隔离交换方法及装置 |
| CN109147447A (zh) * | 2017-06-16 | 2019-01-04 | 云南电网有限责任公司信息中心 | 一种基于虚拟化技术的网络攻防靶场实战系统 |
| CN207283594U (zh) * | 2017-09-09 | 2018-04-27 | 广西电网有限责任公司电力科学研究院 | 基于网络安全分区的输变电设备状态监测系统 |
| CN208335565U (zh) * | 2017-12-07 | 2019-01-04 | 国网浙江省电力公司培训中心 | 一种智能电网网络安全防护暨电力调度数据网实训系统 |
| CN108521423A (zh) * | 2018-04-10 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 半实物仿真工控网络靶场系统 |
| CN108922298A (zh) * | 2018-07-23 | 2018-11-30 | 贵州电网有限责任公司信息中心 | 一种电力安全操作培训系统 |
| CN109298855A (zh) * | 2018-10-16 | 2019-02-01 | 国网河北省电力有限公司电力科学研究院 | 一种网络靶场管理系统及其实现方法、装置、存储介质 |
Non-Patent Citations (4)
| Title |
|---|
| 何永远: "电力行业管理信息系统网络安全靶场平台系统设计", 《第三届智能电网会议论文集》 * |
| 吴怡晨等: "面向网络空间的攻防靶场设计", 《通信技术》 * |
| 张宝全: "网络攻防靶场实战核心系统研究及应用", 《中国优秀硕士学位论文全文数据库·信息科技辑》 * |
| 杨家全: "云南电网GIC的综合性评估指标", 《云南电力技术》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110941232A (zh) * | 2019-11-21 | 2020-03-31 | 博智安全科技股份有限公司 | 针对工控网络的便携式安全靶场装置及其方法 |
| CN111800420A (zh) * | 2020-07-06 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种电力系统网络安全靶场系统 |
| CN112153010B (zh) * | 2020-08-31 | 2023-01-20 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全靶场系统及其运行方法 |
| CN112153010A (zh) * | 2020-08-31 | 2020-12-29 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全靶场系统及其运行方法 |
| CN113507653A (zh) * | 2021-07-07 | 2021-10-15 | 中国电建集团河北省电力勘测设计研究院有限公司 | 一种基于智能识别的电厂升压站电气五防系统及方法 |
| CN113507653B (zh) * | 2021-07-07 | 2023-09-26 | 中国电建集团河北省电力勘测设计研究院有限公司 | 一种基于智能识别的电厂升压站电气五防系统及方法 |
| CN113542100A (zh) * | 2021-07-30 | 2021-10-22 | 国网青海省电力公司信息通信公司 | 电厂安全防护系统及方法 |
| CN114040408A (zh) * | 2021-11-02 | 2022-02-11 | 恒安嘉新(北京)科技股份公司 | 一种基于4g移动网络模拟环境的靶场系统 |
| CN114040408B (zh) * | 2021-11-02 | 2024-05-28 | 恒安嘉新(北京)科技股份公司 | 一种基于4g移动网络模拟环境的靶场系统 |
| CN114996703A (zh) * | 2022-06-06 | 2022-09-02 | 南方电网科学研究院有限责任公司 | 一种电力系统网络安全靶场混合仿真方法、系统及设备 |
| CN114996703B (zh) * | 2022-06-06 | 2024-04-19 | 南方电网科学研究院有限责任公司 | 一种电力系统网络安全靶场混合仿真方法、系统及设备 |
| CN115134127A (zh) * | 2022-06-09 | 2022-09-30 | 国网浙江省电力有限公司 | 电力监控网络安全测试系统 |
| CN117411768A (zh) * | 2023-10-07 | 2024-01-16 | 国家电网有限公司华东分部 | 信息展示方法及装置、计算机设备和可读存储介质 |
| CN117411768B (zh) * | 2023-10-07 | 2024-05-17 | 国家电网有限公司华东分部 | 信息展示方法及装置、计算机设备和可读存储介质 |
| CN117852048A (zh) * | 2024-03-08 | 2024-04-09 | 华中科技大学 | 一种基于多维度攻击向量的软硬结合车联网靶场构建方法 |
| CN117852048B (zh) * | 2024-03-08 | 2024-06-07 | 华中科技大学 | 一种基于多维度攻击向量的软硬结合车联网靶场构建方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110401661B (zh) | 2022-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110401661A (zh) | 一种电力监控系统的网络安全靶场系统 | |
| Stefanov et al. | Cyber-power system security in a smart grid environment | |
| Jarmakiewicz et al. | Cybersecurity protection for power grid control infrastructures | |
| Zhang | Distributed network security framework of energy internet based on internet of things | |
| CN104333551A (zh) | 一种电力二次系统主动安全防御系统 | |
| CN103227797A (zh) | 分布式电力企业信息网络安全管理系统 | |
| CN105429133A (zh) | 一种面向信息网络攻击的电网脆弱性节点评估方法 | |
| Dondossola et al. | Cyber risk assessment of power control systems—A metrics weighed by attack experiments | |
| CN110350664A (zh) | 一种电力监控系统主站仿真系统 | |
| Ryu et al. | Reducing security vulnerabilities for critical infrastructure | |
| Ravikumar et al. | Next-generation cps testbed-based grid exercise-synthetic grid, attack, and defense modeling | |
| Jarmakiewicz et al. | Development of cyber security testbed for critical infrastructure | |
| Park et al. | An advanced persistent threat (apt)-style cyberattack testbed for distributed energy resources (der) | |
| Wang et al. | Deducing cascading failures caused by cyberattacks based on attack gains and cost principle in cyber-physical power systems | |
| Domínguez et al. | Cybersecurity training in control systems using real equipment | |
| Ten et al. | Cybersecurity for electric power control and automation systems | |
| Jørgensen et al. | Building a hardware-in-the-loop (HiL) digital energy station infrastructure for cyber operation resiliency testing | |
| Bi et al. | Impact assessment and defense for smart grids with FDIA against AMI | |
| Tuinema et al. | Cyber-physical system modeling for assessment and enhancement of power grid cyber security, resilience, and reliability | |
| CN105391066A (zh) | 一种智能电网模拟运行系统 | |
| Shangting et al. | Industrial cyber range based on QEMU-IOL | |
| Shu et al. | Research on construction technology of network security shooting range for power monitoring system | |
| CN103034231A (zh) | 一种用于工控设备的测试床方法 | |
| Balas | Research on the construction of network security attack and defense range system in power monitoring system | |
| Mohamed et al. | Cyber-physical systems forensics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |