CN111049686A - 一种电力监控系统安全防护虚拟实验室及其构建方法 - Google Patents

Abstract

本发明公开了一种电力监控系统安全防护虚拟实验室及其构建方法，在OpenStack云平台，分配控制节点和多个计算节点；控制节点用于控制、管理、调度各个计算节点；在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置，搭建电力环境中各种网络拓扑作为虚拟实验室。本发明使用虚拟化技术，可以动态创建各种虚拟化网络设备、组建各种网络拓扑，使用场景比较灵活。

Description

一种电力监控系统安全防护虚拟实验室及其构建方法

技术领域

本发明属于电力监控系统安全防护通信安全技术领域，具体涉及一种电力监控系统安全防护虚拟实验室及其构建方法。

背景技术

近年来，网络安全事件数量呈几何式的增长，电力系统信息安全形势日益严峻。电力系统内部越来越重视信息安全专业技能的培训，但是因其行业的特殊性，现有业务系统和防护系统内部设备较多，而主机设备、网络设备、通用安防设备、专用安防设备等厂家和型号种类更加复杂，组织相关培训时，对于现有电力系统中安全防护体系的学习成本较高。因此，需要针对电力系统安全防护领域内研发一套虚拟实验室，实现对电力系统中主机设备、网络设备和安防设备的虚拟化，提供全面专业的安全防护知识培训，建立有效完整的人员技能评价体系，全面提升培训人员的专业技能水平。

现有技术中电力监控系统安全防护系统存在的缺点有：

1）硬件网络设备不能灵活地调整各种网络拓扑，所以使用场景比较固定；

2）硬件网络设备数量固定，当培训人员规模增长时，需要增加硬件网络设备，成本较高，资源可扩展性较弱；

3）硬件网络设备在配置完成后，下次培训人员配置使用时，需要恢复初始化配置，使用起来比较复杂；

4）硬件电力隔离设备、硬件电力纵向设备在使用时通过硬件UKEY设备进认证，导致需要和硬件电力隔离设备、硬件电力纵向设备相同数量的硬件UKEY设备；使用不够灵活，同时增加硬件成本。

发明内容

本发明的目的在于克服现有技术中的不足，提供了一种电力监控系统安全防护虚拟实验室及其构建方法，使用虚拟化技术，可以动态创建各种虚拟化网络设备、组建各种网络拓扑。

为解决上述技术问题，本发明提供了一种电力监控系统安全防护虚拟实验室构建方法，其特征是，包括以下过程：

搭建OpenStack云平台，分配控制节点和多个计算节点；控制节点用于控制、管理、调度各个计算节点；

在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置，以搭建电力环境中各种网络拓扑；

搭建虚拟设备的管理器以及对外释放调用接口。

进一步的，所述搭建OpenStack云平台，分配控制节点和多个计算节点包括：

1）所需硬件：多台配置相同的硬件服务器和多台交换机，其中硬件服务器至少包括处理器、内存、磁盘、和网卡；交换机用于配合硬件服务器组建网络；

2）从多台硬件服务器中选取其中一台硬件服务器作为OpenStack控制节点，用于控制、管理、调度云平台的资源以及其他组件服务，此控制节点具体部署的服务有：网络服务、认证服务、图形化服务以及镜像服务；

3）多台硬件服务器中其余硬件服务器均作为OpenStack计算节点，用于调度并处理计算资源，各计算节点具体部署的服务有：计算服务、网络代理。

进一步的，所述在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置包括：

在各计算节点中创建虚拟电力纵向装置：

首先，在任意计算节点创建虚拟机；

其次，在创建好的虚拟机中创建电力纵向工作目录，用于存放并运行电力纵向程序；

再次，将已有的电力纵向程序上传至刚创建好的工作目录下，实现创建虚拟电力纵向装置；

最后，将此虚拟电力纵向的管理网卡桥接到计算节点的管理网卡，用于对此虚拟电力纵向进行管理和配置；将此虚拟电力纵向的业务网卡与其他虚拟电力纵向的业务网卡桥接；两台虚拟电力纵向的业务网卡分别桥接到其他虚拟业务主机，用于模拟虚拟主机与虚拟电力纵向之间的链接；

在各计算节点中创建虚拟电力隔离装置：

在各计算节点中创建虚拟机，并成对部署内/外隔离装置可执行程序，完成隔离装置的虚拟化；

将虚拟电力隔离的管理网口桥接到计算节点物理网口，用于配置管理；内/外虚拟隔离设备成对出现，通信网口用于模拟内外两台隔离虚拟的隧道连接；虚拟隔离的业务网卡分别桥接到虚拟业务主机，用于模拟业务主机与虚拟隔离之间的连接。

进一步的，还包括在各计算节点中创建虚拟加密令牌步骤，所述在各计算节点中创建虚拟加密令牌包括：

通过挂载文件的形式，在虚拟电力纵向中记录令牌信息模拟UKEY基本功能；以虚拟化纵向UKEY组件为例，每一个UKEY组件对应一个文件，文件记录了纵向虚拟机id、纵向用户名、纵向用户密码、连接状态信息，与虚拟纵向进行验证匹配即可。

进一步的，在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置后，还需要创建虚拟纵向和隔离与实验室外部真实电力纵向和隔离之间的网络服务，包括：

在OpenStack网络服务的基础上，利用Open vSwitch将各计算节点网卡与云外部交换机组成二层网络，以实现云内虚拟机与云外实体电力设备在网络层面互联互通。

相应的，本发明还提供了一种电力监控系统安全防护虚拟实验室，其特征是，包括云平台搭建模块、虚拟化管理模块和界面管理模块；

云平台搭建模块，用于搭建OpenStack云平台，分配控制节点和多个计算节点；控制节点用于控制、管理、调度各个计算节点；

虚拟化管理模块，用于在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置，以搭建电力环境中各种网络拓扑；

界面管理模块，用于搭建虚拟设备的管理器以及对外释放调用接口。

进一步的，云平台搭建模块中，所述搭建OpenStack云平台，分配控制节点和多个计算节点包括：

1）所需硬件：多台配置相同的硬件服务器和多台交换机，其中硬件服务器至少包括处理器、内存、磁盘、和网卡；交换机用于配合硬件服务器组建网络；

2）从多台硬件服务器中选取其中一台硬件服务器作为OpenStack控制节点，用于控制、管理、调度云平台的资源以及其他组件服务，此控制节点具体部署的服务有：网络服务、认证服务、图形化服务以及镜像服务；

3）多台硬件服务器中其余硬件服务器均作为OpenStack计算节点，用于调度并处理计算资源，各计算节点具体部署的服务有：计算服务、网络代理。

进一步的，虚拟化管理模块，用于所述在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置包括：

在各计算节点中创建虚拟电力纵向装置：

首先，在任意计算节点创建虚拟机；

其次，在创建好的虚拟机中创建电力纵向工作目录，用于存放并运行电力纵向程序；

再次，将已有的电力纵向程序上传至刚创建好的工作目录下，实现创建虚拟电力纵向装置；

最后，将此虚拟电力纵向的管理网卡桥接到计算节点的管理网卡，用于对此虚拟电力纵向进行管理和配置；将此虚拟电力纵向的业务网卡与其他虚拟电力纵向的业务网卡桥接；两台虚拟电力纵向的业务网卡分别桥接到其他虚拟业务主机，用于模拟虚拟主机与虚拟电力纵向之间的链接；

在各计算节点中创建虚拟电力隔离装置：

在各计算节点中创建虚拟机，并成对部署内/外隔离装置可执行程序，完成隔离装置的虚拟化；

将虚拟电力隔离的管理网口桥接到计算节点物理网口，用于配置管理；内/外虚拟隔离设备成对出现，通信网口用于模拟内外两台隔离虚拟的隧道连接；虚拟隔离的业务网卡分别桥接到虚拟业务主机，用于模拟业务主机与虚拟隔离之间的连接。

进一步的，虚拟化管理模块中，还包括在各计算节点中创建虚拟加密令牌步骤，所述在各计算节点中创建虚拟加密令牌包括：

通过挂载文件的形式，在虚拟电力纵向中记录令牌信息模拟UKEY基本功能；以虚拟化纵向UKEY组件为例，每一个UKEY组件对应一个文件，文件记录了纵向虚拟机id、纵向用户名、纵向用户密码、连接状态信息，与虚拟纵向进行验证匹配即可。

进一步的，虚拟化管理模块中，在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置后，还需要创建虚拟纵向和隔离与实验室外部真实电力纵向和隔离之间的网络服务步骤，包括：

在OpenStack网络服务的基础上，利用Open vSwitch将各计算节点网卡与云外部交换机组成二层网络，以实现云内虚拟机与云外实体电力设备在网络层面互联互通。

与现有技术相比，本发明所达到的有益效果是：

1. 使用虚拟化技术，可以动态创建各种虚拟化网络设备、组建各种网络拓扑，使用场景比较灵活。

2. 通过虚拟化技术，可以动态扩展虚拟化网络设备数量，在满足用户规模增长的同时可以节约成本，资源可扩展性较强。

3.在虚拟化网络设备配置使用完成后，可以将虚拟化网络设备删除重建。不需要恢复初始化配置，方便培训人员下次使用。

4. 通过虚拟化技术，可以为虚拟化隔离设备、虚拟化纵向设备动态地创建虚拟化UKEY设备，使用方法更加灵活而且减少硬件成本。

附图说明

图1为本发明虚拟实验室架构图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

动态构建电力监控系统安全防护模型的虚拟实验室目的是设计和配置以一种经济、成本有效的方式为电力系统提供实验、教学以及攻防演练服务的云计算系统。

本发明的电力监控系统安全防护模型的虚拟实验室构建方法，对照上图1中的系统架构，虚拟实验室的具体构建方法如下：

步骤1：在云平台层，利用硬件服务器搭建基于OpenStack（Queens版本）的私有云平台服务；在原生OpenStack网络服务（Neutron）基础上改造网络拓扑实现虚实互通网络场景（即：云内部虚拟设备与云外部物理设备的互联互通）。此平台将为虚拟实验室提供基础云环境支持。

OpenStack是一个开源的云计算管理平台，由多个组件组合起来完成具体工作，目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算平台，通过各种互补的服务提供了基础设置即服务（IaaS）的解决方案。提供的服务有：计算服务（Nova）、网络服务（Neutron）、认证服务（Keystone）、图形化服务（Horizon）以及镜像服务（Glance）。

本发明的虚拟实验室基于OpenStack（Queens版本）搭建云平台，主要部署方式为：

1）所需硬件：多台配置相同的硬件服务器和多台交换机，其中硬件服务器至少包括处理器、内存、磁盘、和网卡，且网卡数量大于等于3块，服务器上安装有CentOS 7操作系统；交换机用于配合硬件服务器组建网络；

2）从多台硬件服务器中选取其中一台硬件服务器作为OpenStack控制节点（Controller），用于控制、管理、调度云平台的资源以及其他组件服务，此控制节点具体部署的服务有：网络服务、认证服务、图形化服务以及镜像服务。控制节点的第一块网卡（eth0）作为管理网络（用于各节点间通讯），第二块网卡（eth1）作为OverLay 网络（即交叉网络：为云内部虚拟机（虚拟电力纵向、隔离）通过Float IP访问外部核心网络）；

镜像服务用于管理虚拟实验室所需的镜像文件，主要是虚拟电力纵向以及虚拟隔离的镜像文件。在虚拟实验室中，通过镜像服务管理的虚拟纵向和隔离镜像文件能够创建出电力纵向和电力隔离的虚拟机；

3）多台硬件服务器中其余硬件服务器均作为OpenStack计算节点（Compute），用于调度并处理计算资源（CPU、内存、磁盘、网络等）。各计算节点具体部署的服务有：计算服务、网络代理（DHCP代理、虚拟交换机代理、虚拟路由器代理，各代理均被控制节点的网络服务所管理，最终实现各自具体功能，DHCP代理实现dhcp服务端以及客户端功能，虚拟交换机代理实现二层交换机功能，虚拟路由代理实现三层路由功能）。计算节点第一块网卡（eth0）作为管理网络（同控制节点管理网络，用于控制节点与各计算节点直接通讯），第二块网卡（eth1）作为隧道网络（用于虚拟机跨计算节点间通讯，即在不同计算节点上的虚拟机之间通讯），第三块网卡（eth2）作为虚实互通网络（用于虚拟机与实验室外部实体设备通讯）。

为了实现实验室内部虚拟纵向和隔离与实验室外部真实电力纵向和隔离以及路由器等真实设备通信，本发明提出了实验室虚实互通场景的网络改造方法：在OpenStack网络服务（Neutron）的基础上，利用Open vSwitch（一个实现虚拟交换机的开源项目）将各计算节点第三块网卡（eth2）与云外部交换机组成二层网络（eth2通过网线直接接入外部交换机接口，接口类型为Trunk，即实验室内容将网络数据包通过eth2转发到外部真实交换机，最终交由外部交换机进行数据包的分发），以实现云内虚拟机与云外实体电力设备在网络层面互联互通。

步骤2：在管理平台层，基于OpenStack，研制电力专用纵向加密认证网关以及电力网络安全隔离装置的虚拟化版本，为虚拟实验室提供电力专用设备的虚拟组件支持。

电力专用纵向加密认证网关的虚拟化：

电力专用纵向加密认证网关（简称：电力纵向）是一种已有的实体硬件设备（实体电力纵向），是为电力调度数据网专门研制开发的广域网边界保护装置，是具有“纵向认证”功能的密码设备。为在虚拟实验室中使用电力纵向设备，需要将原有实体设备改造为虚拟设备（虚拟电力纵向，即能够在虚拟机中正常运行的电力纵向设备）。

改造过程如下：

首先，在任意计算节点创建虚拟机，操作系统为CentOS 7，分配六块网卡（eth0/1/2/3为业务网卡，功能与原实体电力纵向一致；eth4为管理网卡，用于管理并配置电力纵向；eth5为虚拟加解密通信网卡，需要分配Float IP，即通过此网卡与控制节点的管理网卡eth0进行通信）；

其次，在创建好的虚拟机中创建电力纵向工作目录，用于存放并运行电力纵向程序；

再次，将已有的电力纵向程序（此程序与原实体电力纵向程序基本一致，只进行了运行平台的移至适配，即从ARM平台移至到x86平台）上传至刚创建好的工作目录下，并设置为开机自启动，即虚拟机开机后此电力纵向程序会以守护进程的形式自动运行；

最后，将此虚拟电力纵向的管理网卡（eth4）桥接到计算节点的管理网卡（eth0），用于对此虚拟电力纵向进行管理和配置；将此虚拟电力纵向的业务网卡（eth1）与其他虚拟电力纵向（其他虚拟电力纵向的创建方式与此虚拟电力纵向创建方式相同）的业务网卡（eth1）桥接（用于模拟隧道连接）；两台虚拟电力纵向的业务网卡（eth0）分别桥接到其他虚拟业务主机（虚拟实验室中非虚拟电力纵向或隔离的虚拟主机，其上运行着正常的windows或linux系统），用于模拟虚拟主机与虚拟电力纵向之间的链接。

电力网络安全隔离装置的虚拟化：

电力网络安全隔离装置（简称：电力隔离），适用于计算机网络与网络之间，主机与主机之间，主机与网络之间的物理隔离设备，是应用了安全岛专利技术的具有物理隔离能力的硬件网络安全产品（实体电力隔离）。为在虚拟实验室中使用电力隔离设备，需要将原有实体设备改造为虚拟设备（虚拟电力隔离，即能够在虚拟机中正常运行的电力隔离设备）。

其改造过程为：

在各计算节点中创建Linux(CentOS)虚拟机，并成对部署内/外隔离装置可执行程序（此可执行程序即为原有实体电力隔离的可执行程序，此处为应对虚拟化环境只进行了运行平台的移至适配，即从ARM平台移至到x86平台），完成隔离装置的虚拟化。虚拟电力隔离的管理网口（eth0~2皆可）桥接到计算节点物理网口，用于配置管理；内/外虚拟隔离设备成对出现，通信网口（eth3）用于模拟内外两台隔离虚拟的隧道连接；虚拟隔离的业务网卡（eth0）分别桥接到虚拟业务主机（虚拟实验室中非虚拟电力纵向和隔离的其他虚拟主机，其上正常运行着windows或linux系统），用于模拟业务主机与虚拟隔离之间的连接。

加密令牌（UKEY）的虚拟化：

加密令牌是一种数字证书设备（实体加密令牌），每个用户唯一，用于用户登录虚拟电力纵向的唯一认证，其中保存着用户的个人信息（用户名、密码、连接状态信息等）。为在虚拟实验室中使用加密令牌设备，需要将原有实体加密令牌改造成虚拟化版本（虚拟化加密令牌）。

其改造过程为：

通过挂载文件的形式，在虚拟电力纵向中记录令牌信息（用户名、密码、连接状态）模拟UKEY基本功能。以虚拟化纵向UKEY组件为例，每一个UKEY组件对应一个文件，文件记录了纵向虚拟机id、纵向用户名、纵向用户密码、连接状态等信息，与虚拟纵向进行验证匹配即可。

步骤3：在UI层利用多种Web 技术搭建虚拟实验室的管理器以及对外释放调用接口。为用户提供便捷，灵活的操作体验；同时对外部第三方应用提供可调动的接口。

虚拟实验室管理器的一个重要作用是为用户提供电力安防场景下的虚拟化组件，包括但不限于虚拟电力纵向、虚拟电力隔离、虚拟UKey、虚拟主机（Windows 7、CentOS 7）、虚拟路由器、虚拟交换机、虚拟网络线等；虚拟实验室的另一个重要作用是为用户提供一套实验室图形化管理工具，用户可以利用浏览器访问并通过灵活、便捷的操作，完成搭建和配置经典电力安防拓扑实验场景、虚实互通场景、调取实验案例，攻防演练等，为用户了解并熟练搭建、配置电力专有业务安防场景提供实验平台；管理器的第三个作用是可以让实验室灵活的嵌入其他第三方平台，提供完整的API（Application Programming Interface，即应用程序编程接口）。

虚拟实验室管理器（在控制节点上以Web服务的形式运行），后端采用Django（Python Web框架）实现Web服务，利用uWsgi+ Nginx作为Web容器以及访问调度，采用MySQL（数据库）+ Redis（NoSQL）作为数据存储/缓存服务；前端采用当前流行的HTML5 + CSS3 +React实现前端。

相应的，本发明还提供了一种电力监控系统安全防护虚拟实验室，其特征是，包括云平台搭建模块、虚拟化管理模块和界面管理模块；

云平台搭建模块，用于搭建OpenStack云平台，分配控制节点和多个计算节点；控制节点用于控制、管理、调度各个计算节点；

虚拟化管理模块，用于在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置，搭建电力环境中各种网络拓扑；

界面管理模块，用于搭建虚拟设备的管理器以及对外释放调用接口。

进一步的，云平台搭建模块中，所述搭建OpenStack云平台，分配控制节点和多个计算节点包括：

1）所需硬件：多台配置相同的硬件服务器和多台交换机，其中硬件服务器至少包括处理器、内存、磁盘、和网卡；交换机用于配合硬件服务器组建网络；

2）从多台硬件服务器中选取其中一台硬件服务器作为OpenStack控制节点，用于控制、管理、调度云平台的资源以及其他组件服务，此控制节点具体部署的服务有：网络服务、认证服务、图形化服务以及镜像服务；

3）多台硬件服务器中其余硬件服务器均作为OpenStack计算节点，用于调度并处理计算资源，各计算节点具体部署的服务有：计算服务、网络代理。

进一步的，虚拟化管理模块，用于所述在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置包括：

在各计算节点中创建虚拟电力纵向装置：

首先，在任意计算节点创建虚拟机；

其次，在创建好的虚拟机中创建电力纵向工作目录，用于存放并运行电力纵向程序；

再次，将已有的电力纵向程序上传至刚创建好的工作目录下，实现创建虚拟电力纵向装置；

最后，将此虚拟电力纵向的管理网卡桥接到计算节点的管理网卡，用于对此虚拟电力纵向进行管理和配置；将此虚拟电力纵向的业务网卡与其他虚拟电力纵向的业务网卡桥接；两台虚拟电力纵向的业务网卡分别桥接到其他虚拟业务主机，用于模拟虚拟主机与虚拟电力纵向之间的链接。

在各计算节点中创建虚拟电力隔离装置：

在各计算节点中创建虚拟机，并成对部署内/外隔离装置可执行程序，完成隔离装置的虚拟化；

将虚拟电力隔离的管理网口桥接到计算节点物理网口，用于配置管理；内/外虚拟隔离设备成对出现，通信网口用于模拟内外两台隔离虚拟的隧道连接；虚拟隔离的业务网卡分别桥接到虚拟业务主机，用于模拟业务主机与虚拟隔离之间的连接。

进一步的，虚拟化管理模块中，还包括在各计算节点中创建虚拟加密令牌步骤，所述在各计算节点中创建虚拟加密令牌包括：

通过挂载文件的形式，在虚拟电力纵向中记录令牌信息模拟UKEY基本功能；以虚拟化纵向UKEY组件为例，每一个UKEY组件对应一个文件，文件记录了纵向虚拟机id、纵向用户名、纵向用户密码、连接状态信息，与虚拟纵向进行验证匹配即可。

进一步的，虚拟化管理模块中，在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置后，还需要创建虚拟纵向和隔离与实验室外部真实电力纵向和隔离之间的网络服务步骤，包括：

在OpenStack网络服务的基础上，利用Open vSwitch将各计算节点网卡与云外部交换机组成二层网络，以实现云内虚拟机与云外实体电力设备在网络层面互联互通。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims (10)

1.一种电力监控系统安全防护虚拟实验室构建方法，其特征是，包括以下过程：

搭建OpenStack云平台，分配控制节点和多个计算节点；控制节点用于控制、管理、调度各个计算节点；

在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置，以搭建电力环境中各种网络拓扑；

搭建虚拟设备的管理器以及对外释放调用接口。

2.根据权利要求1所述的一种电力监控系统安全防护虚拟实验室构建方法，其特征是，所述搭建OpenStack云平台，分配控制节点和多个计算节点包括：

1）所需硬件：多台配置相同的硬件服务器和多台交换机，其中硬件服务器至少包括处理器、内存、磁盘、和网卡；交换机用于配合硬件服务器组建网络；

2）从多台硬件服务器中选取其中一台硬件服务器作为OpenStack控制节点，用于控制、管理、调度云平台的资源以及其他组件服务，此控制节点具体部署的服务有：网络服务、认证服务、图形化服务以及镜像服务；

3）多台硬件服务器中其余硬件服务器均作为OpenStack计算节点，用于调度并处理计算资源，各计算节点具体部署的服务有：计算服务、网络代理。

3.根据权利要求1所述的一种电力监控系统安全防护虚拟实验室构建方法，其特征是，所述在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置包括：

在各计算节点中创建虚拟电力纵向装置：

首先，在任意计算节点创建虚拟机；

其次，在创建好的虚拟机中创建电力纵向工作目录，用于存放并运行电力纵向程序；

再次，将已有的电力纵向程序上传至刚创建好的工作目录下，实现创建虚拟电力纵向装置；

最后，将此虚拟电力纵向的管理网卡桥接到计算节点的管理网卡，用于对此虚拟电力纵向进行管理和配置；将此虚拟电力纵向的业务网卡与其他虚拟电力纵向的业务网卡桥接；两台虚拟电力纵向的业务网卡分别桥接到其他虚拟业务主机，用于模拟虚拟主机与虚拟电力纵向之间的链接；

在各计算节点中创建虚拟电力隔离装置：

在各计算节点中创建虚拟机，并成对部署内/外隔离装置可执行程序，完成隔离装置的虚拟化；

将虚拟电力隔离的管理网口桥接到计算节点物理网口，用于配置管理；内/外虚拟隔离设备成对出现，通信网口用于模拟内外两台隔离虚拟的隧道连接；虚拟隔离的业务网卡分别桥接到虚拟业务主机，用于模拟业务主机与虚拟隔离之间的连接。

4.根据权利要求1所述的一种电力监控系统安全防护虚拟实验室构建方法，其特征是，还包括在各计算节点中创建虚拟加密令牌步骤，所述在各计算节点中创建虚拟加密令牌包括：

通过挂载文件的形式，在虚拟电力纵向中记录令牌信息模拟UKEY基本功能；以虚拟化纵向UKEY组件为例，每一个UKEY组件对应一个文件，文件记录了纵向虚拟机id、纵向用户名、纵向用户密码、连接状态信息，与虚拟纵向进行验证匹配即可。

5.根据权利要求1所述的一种电力监控系统安全防护虚拟实验室构建方法，其特征是，在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置后，还需要创建虚拟纵向和隔离与实验室外部真实电力纵向和隔离之间的网络服务，包括：

在OpenStack网络服务的基础上，利用Open vSwitch将各计算节点网卡与云外部交换机组成二层网络，以实现云内虚拟机与云外实体电力设备在网络层面互联互通。

6.一种电力监控系统安全防护虚拟实验室，其特征是，包括云平台搭建模块、虚拟化管理模块和界面管理模块；

云平台搭建模块，用于搭建OpenStack云平台，分配控制节点和多个计算节点；控制节点用于控制、管理、调度各个计算节点；

虚拟化管理模块，用于在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置，以搭建电力环境中各种网络拓扑；

界面管理模块，用于搭建虚拟设备的管理器以及对外释放调用接口。

7.根据权利要求6所述的一种电力监控系统安全防护虚拟实验室，其特征是，云平台搭建模块中，所述搭建OpenStack云平台，分配控制节点和多个计算节点包括：

1）所需硬件：多台配置相同的硬件服务器和多台交换机，其中硬件服务器至少包括处理器、内存、磁盘、和网卡；交换机用于配合硬件服务器组建网络；

2）从多台硬件服务器中选取其中一台硬件服务器作为OpenStack控制节点，用于控制、管理、调度云平台的资源以及其他组件服务，此控制节点具体部署的服务有：网络服务、认证服务、图形化服务以及镜像服务；

3）多台硬件服务器中其余硬件服务器均作为OpenStack计算节点，用于调度并处理计算资源，各计算节点具体部署的服务有：计算服务、网络代理。

8.根据权利要求6所述的一种电力监控系统安全防护虚拟实验室，其特征是，虚拟化管理模块，用于所述在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置包括：

在各计算节点中创建虚拟电力纵向装置：

首先，在任意计算节点创建虚拟机；

其次，在创建好的虚拟机中创建电力纵向工作目录，用于存放并运行电力纵向程序；

再次，将已有的电力纵向程序上传至刚创建好的工作目录下，实现创建虚拟电力纵向装置；

最后，将此虚拟电力纵向的管理网卡桥接到计算节点的管理网卡，用于对此虚拟电力纵向进行管理和配置；将此虚拟电力纵向的业务网卡与其他虚拟电力纵向的业务网卡桥接；两台虚拟电力纵向的业务网卡分别桥接到其他虚拟业务主机，用于模拟虚拟主机与虚拟电力纵向之间的链接；

在各计算节点中创建虚拟电力隔离装置：

在各计算节点中创建虚拟机，并成对部署内/外隔离装置可执行程序，完成隔离装置的虚拟化；

将虚拟电力隔离的管理网口桥接到计算节点物理网口，用于配置管理；内/外虚拟隔离设备成对出现，通信网口用于模拟内外两台隔离虚拟的隧道连接；虚拟隔离的业务网卡分别桥接到虚拟业务主机，用于模拟业务主机与虚拟隔离之间的连接。

9.根据权利要求6所述的一种电力监控系统安全防护虚拟实验室，其特征是，虚拟化管理模块中，还包括在各计算节点中创建虚拟加密令牌步骤，所述在各计算节点中创建虚拟加密令牌包括：

通过挂载文件的形式，在虚拟电力纵向中记录令牌信息模拟UKEY基本功能；以虚拟化纵向UKEY组件为例，每一个UKEY组件对应一个文件，文件记录了纵向虚拟机id、纵向用户名、纵向用户密码、连接状态信息，与虚拟纵向进行验证匹配即可。

10.根据权利要求6所述的一种电力监控系统安全防护虚拟实验室，其特征是，虚拟化管理模块中，在各计算节点中创建虚拟电力纵向装置和虚拟电力隔离装置后，还需要创建虚拟纵向和隔离与实验室外部真实电力纵向和隔离之间的网络服务步骤，包括：

在OpenStack网络服务的基础上，利用Open vSwitch将各计算节点网卡与云外部交换机组成二层网络，以实现云内虚拟机与云外实体电力设备在网络层面互联互通。

Images