CN110633956A

CN110633956A - 一种互动服务式微电网的信息安全防护系统

Info

Publication number: CN110633956A
Application number: CN201910836474.2A
Authority: CN
Inventors: 张垠; 朱铮; 陈金涛; 朱彬若; 王新刚; 江剑峰; 顾臻; 魏晓川; 赵舫; 朱文君
Original assignee: State Grid Shanghai Electric Power Co Ltd; East China Power Test and Research Institute Co Ltd
Current assignee: State Grid Shanghai Electric Power Co Ltd; East China Power Test and Research Institute Co Ltd
Priority date: 2019-09-05
Filing date: 2019-09-05
Publication date: 2019-12-31

Abstract

本发明涉及一种互动服务式微电网的信息安全防护系统，包括数据防护模块，用于对互动服务式微电网各层的数据进行加密存储、备份和恢复，各层之间数据进行加密传输，在互动服务式主站的应用服务器与数据库之间建立数据库连接池结构；应用防护模块，用于对应用服务器采用身份认证、用户权限及访问控制，同时基于数据库连接池结构进行主站数据库资源控制；网络防护模块，用于在主站层和网络层之间设立防火墙，并采用入侵检测技术对主站层和网络层中的无线通信网络进行监控和防护；安全管理模块，用于收集各模块安全日志，制定指导系统各模块的安全防护策略。与现有技术相比，本发明具有严谨、高效等优点。

Description

一种互动服务式微电网的信息安全防护系统

技术领域

本发明涉及微电网信息安全防护领域，尤其是涉及一种互动服务式微电网的信息安全防护系统。

背景技术

微电网是一种多个分布式电源及其相关负载按照一定的拓扑结构组成的网络，是一组微电源、负荷、储能系统和控制装置构成的系统单元，并通过静态开关关联至常规电网。开发和延伸微电网能够充分促进分布式电源与可再生能源的大规模接入，实现对负荷多种能源形式的高可靠供给，目前微电网发展迅速，清洁化、低碳化、高效化发展的互动服务系统应运而生，以客户为中心、满足多元化用能需求、以能量域-业务域-信息域为三维架构的能源服务新业态成为主流。互动服务系统可以实现工商业用电，家庭用电，电动汽车、分布式电源的智能化管理、互联互通、协同优化等功能，形成了用户、用电设备与电网之间的新型互动模式，实现客户侧能效及节电分析，客户侧与电网之间能源和信息的双向交互与友好互动，从而确保用户长远的社会效益和经济效益。

但是由于互动服务式微电网主要包括依次连接的主站层、通信网络层和终端层，对于主站层与外网通过无线专网或公网连接，因此，微电网会出现主站服务器崩溃、人为破坏、微电网内部和外部人员通过网络对系统发起的攻击和破坏、非授权人员对平台的非法操作和破坏、计算机病毒的感染和侵袭等等安全问题，故微电网的信息安全也是不容忽视的问题，防止非授权人员对平台的配置、数据库结构、数据库文件和数据的修改和破坏，保证数据的生成、存储、传输和使用过程的安全，是微电网安全运行的保证。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种互动服务式微电网的信息安全防护系统。

本发明的目的可以通过以下技术方案来实现：

一种互动服务式微电网的信息安全防护系统，应用于互动服务式微电网，所述互动服务式微电网包括依次连接的主站层、网络层、量测层和设备层；

所述主站层包括互动服务式主站，该主站包括应用服务器、数据库服务器以及用于主站内和主站间联系的无线通信网络；

所述网络层包括用于传输数据的无线通信网络，所述量测层包括互动终端和集中器；

所述设备层包括客户侧资源，所述互动终端采集的客户侧资源数据依次经过集中器和无线通信网络达到互动服务式主站；

该系统包括：

数据防护模块，用于对互动服务式微电网各层的数据进行加密存储和传输，在互动服务式主站的应用服务器与数据库之间建立数据库连接池结构；

数据防护模块，用于对互动服务式微电网各层的数据进行加密存储、备份和恢复，各层之间数据进行加密传输，在互动服务式主站的应用服务器与数据库之间建立数据库连接池结构；

网络防护模块，用于在主站层和网络层之间设立防火墙，并采用入侵检测技术对主站层和网络层中的无线通信网络进行监控和防护；

安全管理模块，用于收集数据防护模块、网络防护模块和应用防护模块的安全日志，根据安全日志监控微电网信息安全，并制定指导系统各模块的安全防护策略。

进一步地，所述数据防护模块在存储数据时根据数据类别进行安全分级并加密存储，在传输数据时进行加密并采用安全传输协议，并对数据接口采用数据完整性校验机制；

所述加密存储为存取控制或密文存储，存取控制考查并限制用户权限，避免信息被非法储存，密文存储利用加密模板以及转换密码等对内部信息进行安全管理。

所述数据类别包括报文、敏感数据、鉴别数据、认证数据和集成数据：

所述报文为网络中交换与传输的数据单元，使用RSA协议加密；

所述敏感数据包括用户隐私数据，使用3DES算法加密；

所述鉴别数据包括服务器的用户名或口令，所述认证数据包括互动服务式微电网层内和层间设备的认证数据；

所述集成数据对各类数据采用统一标准进行集成，对于集成数据采用数字签名技术。

进一步地，所述备份和恢复数据具体为：根据安全管理模块的安全防护策略周期性数据备份，并利用镜像技术进行恢复。

进一步地，所述数据接口包括服务器内数据接口和服务器间数据接口，所述数据完整性校验机制口令或密匙判别对象在介入信息传送过程中是否达到要求，对比验证对象的特征值和拟定参数是否相同，从而监控数据是否完整有效，完整性校验机制具体为：

对服务器内部数据接口采用密码机制实现消息源认证，并采用标准校验码机制保障数据完整性，服务器间数据接口共享口令和用户名。

进一步地，所述应用服务器通过数据库连接池结构访问数据库服务器。

进一步地，所述应用防护模块系统将多个业务应用服务器的访问权限对应授予多个数据库用户，实现数据库访问权限的区分。

进一步地，所述防火墙控制主站层与网络层边界两侧的网络访问，所述防火墙为地址转换型防火墙、代理型防火墙、包过滤型防火墙或监测型防火墙。

进一步地，无线通信网络中的短距离无线通信网络采用标准的WPA或WAPI安全机制，所述主站与互动服务式微电网外的无线公网或无线专网网络启用APN服务、3A接入认证服务和访问控制服务。

进一步地，所述安全管理模块通过对数据防护模块、网络防护模块和应用防护模块进行周期性安全审计，获得并收集各模块的安全日志。

与现有技术相比，本发明具有以如下有益效果：

(1)本发明建立了一种互动服务式微电网的信息安全防护系统，全面保障微电网的信息安全，在数据安全方面针对数据的存储、传输安全进行加密、完整性检测、备份和恢复，在应用安全方面针对微电网的应用服务器访问进行监控，同时对数据库访问权限进行资源合理分配，在网络安全方面通过防火墙技术和入侵检测技术保障微电网的网络安全，整体通过安全管理模块同一监控微电网信息安全状态，并制定和更新信息安全防护策略，全方位地保障了微电网的信息安全；

(2)本发明通过建立数据库连接池结构，通过主站的应用服务器访问数据库服务器，而无法直接对数据库服务器进行操作，同时区分数据库访问权限，避免数据库被某一用户过度使用，实现了数据库的合理使用和分配；

(3)本发明通过安全管理模块对微电网信息安全防护系统的其它模块进行全面的安全审计，根据获得的安全日志统一监控微电网的信息安全，并制定信息安全管理策略以指导各个模块的工作，使得互动服务式微电网安全防护工作严谨且高效。

附图说明

图1为本发明系统结构示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。.

一种互动服务式微电网的信息安全防护系统，所述互动服务式微电网包括依次连接的主站层、网络层、量测层和设备层，所述主站层包括互动服务式主站，该主站包括应用服务器、数据库服务器以及用于主站内和主站间联系的无线通信网络，所述网络层包括用于传输数据的无线通信网络，所述量测层包括互动终端和集中器，所述设备层包括客户侧资源，所述互动终端采集的客户侧资源数据依次经过集中器和无线通信网络达到互动服务式主站，如图1，该系统包括：

数据防护模块，用于对互动服务式微电网各层的数据进行加密存储、备份和恢复，各层之间数据进行加密传输，在互动服务式主站的应用服务器与数据库之间建立数据库连接池结构，应用服务器通过数据库连接池结构访问数据库服务器。

应用防护模块，用于对应用服务器采用身份认证、用户权限及访问控制，同时基于数据库连接池结构进行主站数据库资源控制；

安全管理模块，用于收集数据防护模块、网络防护模块和应用防护模块的安全日志，根据安全日志监控互动服务式微电网信息安全，并制定指导系统各模块的安全防护策略。

数据防护模块在存储数据时根据数据类别进行安全分级并加密存储，在传输数据时进行加密并采用安全传输协议，并对数据接口采用数据完整性校验机制；

加密存储为存取控制或密文存储，存取控制考查并限制用户权限，避免信息被非法储存，密文存储利用加密模板以及转换密码等对内部信息进行安全管理。

安全传输协议包括SFTP安全协议和HTTPS安全协议传输。

数据类别包括报文、敏感数据、鉴别数据、认证数据和集成数据：

报文为网络中交换与传输的数据单元，使用RSA协议加密；敏感数据包括用户隐私数据，使用3DES算法加密；鉴别数据包括主站中主机、主站服务器、网络设备和业务应用的用户名或口令，所述认证数据包括互动服务式微电网层内和层间设备之间的认证数据；集成数据对各类不同数据采用统一标准进行集成，对集成数据采用数字签名进行安全防护；对于通过FTP流转的数据均采用SFTP安全协议传输，其他类型数据使用HTTPS安全协议传输。

备份和恢复数据具体为：根据安全管理模块的安全防护策略周期性数据备份，并利用镜像技术进行恢复。

数据接口包括主站内数据接口和主站间数据接口，所述数据完整性校验机制具体为：

对主站内部数据接口采用密码机制实现消息源认证，并采用标准校验码机制保障数据完整性，对主站间数据接口采用共享口令和用户名。

应用防护模块系统将多个应用服务器的访问权限对应授予多个数据库用户，实现数据库访问权限的区分。

防火墙控制主站和通信网络边界两侧的网络访问，所述防火墙为地址转换型防火墙、代理型防火墙、包过滤型防火墙或监测型防火墙。

通信网络中的短距离无线通信网络采用标准的WPA或WAPI安全机制，所述主站服务器与运营商之间的无线公网或无线专网网络启用APN服务、3A接入认证服务和访问控制服务。

安全管理模块微电网信息安全防护系统各个模块进行全面的，定期对进行全面的安全审计，获得对应模块的安全日志，根据安全日志发现问题并处理。

本实施例建立了一种微电网信息安全防护系统，在数据安全方面、应用安全方面和网络全方位保障微电网信息安全，整体通过安全管理模块同一监控微电网信息安全状态，并制定和更新信息安全防护策略。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims

1.一种互动服务式微电网的信息安全防护系统，所述互动服务式微电网包括依次连接的主站层、网络层、量测层和设备层，所述主站层包括互动服务式主站，该主站包括应用服务器、数据库服务器以及用于主站内和主站间联系的无线通信网络，所述网络层包括用于传输数据的无线通信网络，所述量测层包括互动终端和集中器，所述设备层包括客户侧资源，所述互动终端采集的客户侧资源数据依次经过集中器和无线通信网络达到互动服务式主站，其特征在于，该系统包括：

数据防护模块，用于对互动服务式微电网各层的数据进行加密存储、备份和恢复，各层之间数据进行加密传输，在互动服务式主站的应用服务器与数据库服务器之间建立数据库连接池结构；

2.根据权利要求1所述的一种互动服务式微电网的信息安全防护系统，其特征在于，所述数据防护模块在存储数据时根据数据类别进行安全分级并加密存储，在传输数据时进行加密并采用安全传输协议，并对数据接口采用数据完整性校验机制。

3.根据权利要求2所述的一种互动服务式微电网的信息安全防护系统，其特征在于，所述数据接口包括主站内数据接口和主站间数据接口，所述数据完整性校验机制具体为：

对主站内数据接口采用密码机制实现消息源认证，并采用标准校验码机制保障数据完整性，对主站间数据接口采用共享口令和用户名。

4.根据权利要求1所述的一种互动服务式微电网的信息安全防护系统，其特征在于，所述应用服务器通过数据库连接池结构访问数据库服务器。

5.根据权利要求1所述的一种互动服务式微电网的信息安全防护系统，其特征在于，所述应用防护模块将多个应用服务器的访问权限对应授予多个数据库用户，实现数据库访问权限的区分。

6.根据权利要求1所述的一种互动服务式微电网的信息安全防护系统，其特征在于，所述防火墙控制主站层和通信层边界两侧的网络访问，所述防火墙为地址转换型防火墙、代理型防火墙、包过滤型防火墙或监测型防火墙。

7.根据权利要求1所述的一种互动服务式微电网的信息安全防护系统，其特征在于，所述入侵检测技术对无线通信网络中的数据进行内容审查与过滤，检测网络是否被入侵。

8.根据权利要求1所述的一种互动服务式微电网的信息安全防护系统，其特征在于，所述安全管理模块对数据防护模块、网络防护模块和应用防护模块进行周期性安全审计，获得并收集每个模块的安全日志。