CN111683042A

CN111683042A - 电网数据安全通信传输系统、方法

Info

Publication number: CN111683042A
Application number: CN202010332037.XA
Authority: CN
Inventors: 王世杰; 高鑫; 王鹏
Original assignee: Northwest Branch Of State Grid Power Grid Co; Beijing Kedong Electric Power Control System Co Ltd
Current assignee: Northwest Branch Of State Grid Power Grid Co; Beijing Kedong Electric Power Control System Co Ltd
Priority date: 2020-04-24
Filing date: 2020-04-24
Publication date: 2020-09-18

Abstract

本发明公开了一种电网数据安全通信传输系统、方法，所述系统中：信息内网服务器，用于向所述电网数据库获取电网数据信息；应用服务器，接收所述信息内网服务器转送的所述电网数据信息，并将所述电网数据信息发送至移动终端；第一安全防护墙，用于实现电网数据信息单向传输至信息内网服务器；第二安全防护墙，用于筛选所述信息内网服务器与所述应用服务器之间传输的预设类型的数据；第三安全防护墙，用于对向所述应用服务器发送数据请求指令的移动终端进行认证。采用上述方案，可以实现移动终端获取电网数据信息，并且在通信获取的过程中，电网数据信息管理机构内部避免了外界网络攻击的风险，同时数据信息传输的安全性有所保证。

Description

电网数据安全通信传输系统、方法

技术领域

本发明涉及通信领域，尤其涉及一种电网数据安全通信传输系统、方法。

背景技术

如今通信技术以及成熟并且广泛应用于各种行业，包括传统的电力行业。

在电力行业中，为了可以实时监控电力系统的运行，需要实现实时对电力数据的获取，通信移动终端可以通过接入电网数据库获取电网数据，但存在的问题是电网数据是十分重要的保密信息，而现有技术中使用的通信移动终端获取电网数据的方式在安全性能方面上较弱，不适合应用于电网数据的通信传输。

发明内容

发明目的：本发明旨在提供一种电网数据安全通信传输系统、方法。

技术方案：本发明实施例中提供一种电网数据安全通信传输系统，包括：电网数据库、信息内网服务器、应用服务器、第一安全防护墙、第二安全防护墙和第三安全防护墙，其中：

所述电网数据库，用于存储电网数据信息；

所述信息内网服务器，用于依据数据查询指令向所述电网数据库获取电网数据信息，并将获取得到的所述电网数据信息进行转送；

所述应用服务器，用于依据移动终端发送来的数据请求指令，向所述信息内网服务器发送数据查询指令，接收所述信息内网服务器转送的所述电网数据信息，并将所述电网数据信息发送至移动终端；

所述第一安全防护墙，用于实现电网数据库发送的电网数据信息单向传输至信息内网服务器；

所述第二安全防护墙，用于筛选所述信息内网服务器与所述应用服务器之间传输的预设类型的数据通过；

所述第三安全防护墙，用于对向所述应用服务器发送数据请求指令的移动终端进行认证，若认证通过，则将所述数据请求指令转送至所述应用服务器。

具体的，还包括：电网服务器，用于响应所述信息内网服务器的请求，向所述电网数据库获取电网数据信息，并将所述电网数据信息转送至所述信息内网服务器。

具体的，所述第三安全防护墙还包括：网络防火墙、应用层防火墙、入侵防御系统、抗DDoS设备以及信息安全接入网关。

具体的，所述第三安全防护墙，还用于实现以下至少一种功能：网络访问控制、恶意代码渗透阻断以及网络入侵攻击防护。

具体的，所述信息安全接入网关，还用于与移动终端之间进行数字证书双向认证。

具体的，所述信息安全接入网关采用SSL-VPN协议对移动终端进行身份认证。

具体的，所述信息安全接入网关，还用于使用加密算法对传输的数据进行加密。

具体的，所述网络防火墙，用于实现对未经预授权的移动终端的访问和数据信息传递进行筛选和屏蔽。

具体的，所述第二安全防护墙，用于实现逻辑隔离，保留SQL类型数据进行传输。

本发明实施例中还提供一种电网数据安全通信传输方法，包括：

对向应用服务器发送数据请求指令的移动终端进行认证，若认证通过，则将所述数据请求指令转送至所述应用服务器；

应用服务器依据移动终端发送来的数据请求指令，向信息内网服务器发送数据查询指令；

筛选所述信息内网服务器与所述应用服务器之间传输的预设类型的数据通过；

信息内网服务器依据数据查询指令向所述电网数据库获取电网数据信息，电网数据库发送的电网数据信息单向传输至信息内网服务器，将获取得到的所述电网数据信息转送至应用服务器；

应用服务器接收所述信息内网服务器转送的所述电网数据信息，并将所述电网数据信息发送至移动终端。

有益效果：与现有技术相比，本发明具有如下显著优点：可以实现移动终端获取电网数据信息，并且在通信获取的过程中，电网数据信息管理机构内部避免了外界网络攻击的风险，同时数据信息传输的安全性有所保证。

附图说明

图1为本发明实施例中提供的电网数据安全通信传输系统的结构示意图。

具体实施方式

下面结合附图对本发明的技术方案作进一步说明。

参阅图1，其为本发明实施例中提供的电网数据安全通信传输系统的结构示意图，包括具体组成部分。

本发明实施例中，提供一种电网数据安全通信传输系统，包括：电网数据库、信息内网服务器、应用服务器、第一安全防护墙、第二安全防护墙和第三安全防护墙，其中：

所述电网数据库，用于存储电网数据信息；

所述第一安全防护墙，实现电网数据库发送的电网数据信息单向传输至信息内网服务器；

在具体实施中，电网数据信息是保密程度很高的重要信息，因此，需要本发明实施例中所提供的传输系统中设置多层传输架构进行危险过滤，避免来自外界网络的攻击可以影响内部的电网数据库。

在具体实施中，电网数据库、信息内网服务器以及应用服务器均属于电网数据管理机构的内网，其中只有应用服务器与外界网络通信连接，因此，如果查询电网数据信息，在本发明实施例中提供的传输系统中，只能通过传输系统的既定方式进行，提升了传输的安全性能，保护了电网数据库。

在具体实施中，电网数据库、信息内网服务器、应用服务器和外界的移动终端，两两之间均设有安全防护墙，其目的在于层层进行安全防护，做到来自外界网络的攻击无法接触保护电网数据信息的电网数据库，以及内网中的数据信息的传输安全。

在具体实施中，第一安全防护墙的单向传输，保证信息内网服务器不能向电网数据库写入数据，只能从电网数据库获取数据信息，实现网络逻辑隔离，避免网络攻击入侵。

本发明实施例中，电网数据安全通信传输系统还包括：电网服务器，用于响应所述信息内网服务器的请求，向所述电网数据库获取电网数据信息，并将所述电网数据信息转送至所述信息内网服务器。

在具体实施中，应用于存储电网三区的用户的所有电网数据信息。

本发明实施例中，所述第三安全防护墙包括：网络防火墙、应用层防火墙、入侵防御系统、抗DDoS设备以及信息安全接入网关。

本案实施例中，所述第三安全防护墙，还用于实现以下至少一种功能：网络访问控制、恶意代码渗透阻断以及网络入侵攻击防护。

本发明实施例中，所述网络防火墙，用于实现对未经预授权的移动终端的访问和数据信息传递进行筛选和屏蔽。

在具体实施中，第三安全防护墙可以用于采取攻击防护措施，包括互联网访问控制措施(内部平台与互联网访问之间进行逻辑隔离与访问控制)、拒绝服务攻击防护措施(对异常大流量进行清洗和回注)、入侵防护措施(对互联网流量进行深度分析，有效识别攻击行为并给予阻断)、恶意代码防护措施(阻止网络层恶意代码向平台的渗透)。

在具体实施中，网络防火墙是一介于内网和外界网络之间的安全屏障,防火墙的基本功能是对未经预授权(管理者授权)的移动终端访问和数据传递进行筛选和屏蔽，保护着内网数据的安全。从逻辑上讲防火墙既是一个分析器又是一个限制器,要求所有进出内网的数据信息流都必须通过确认与授权,，并在逻辑上实现内外网络的分离,从而保证内网的安全。

在具体实施中，应用层防火墙工作在应用层，对来自外网应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对系统进行有效防护。

在具体实施中，在网络防火墙、应用层防火墙的基础上，可以补充入侵防御系统(IPS，Intrusion prevention system)，可以监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为，实现更加全面的安全防护。

在具体实施中，抗DDoS设备，用于抵御DDoS攻击。

本发明实施例中，所述第三安全防护墙，包括信息安全接入网关，用于与移动终端之间进行数字证书双向认证。

本发明实施例中，所述信息安全接入网关采用SSL-VPN协议对移动终端进行身份认证。

在具体实施中，通过数字证书的双向认证，采用移动终端认证安全接入模式，可以有效的防止了移动终端被仿冒、通信链路被攻击的风险。

本发明实施例中，所述信息安全接入网关，用于使用加密算法对传输的数据进行加密。

在具体实施中，加密算法可以应用SM2、SM3等加密算法。实现了移动终端在与应用服务器进行数据传输过程中的保密性，避免在数据传输中被他人识别后而产生的安全风险。

本发明实施例中，所述第二安全防护墙，用于实现逻辑隔离。

本发明实施例中，所述第二安全防护墙的逻辑隔离，用于保留SQL(SQL，(Structured Query Language)类型数据进行传输。

在具体实施中，仅保留SQL结构化查询语言，在于避免其他类型的语言存在安全风险。

本发明实施例中，电网服务器响应所述信息内网服务器的请求，向所述电网数据库获取电网数据信息，并将所述电网数据信息单向转送至所述信息内网服务器。

本发明实施例中，对移动终端发送的指令进行以下至少一种监控：网络访问控制、恶意代码渗透阻断以及网络入侵攻击防护。

本发明实施例中，与移动终端之间进行数字证书双向认证。

本发明实施例中，采用SSL-VPN协议对移动终端进行身份认证。

本发明实施例中，对所述信息内网服务器与所述应用服务器之间传输的预设类型的数据进行逻辑隔离，保留SQL类型数据进行传输。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims

1.一种电网数据安全通信传输系统，其特征在于，包括：电网数据库、信息内网服务器、应用服务器、第一安全防护墙、第二安全防护墙和第三安全防护墙，其中：

所述电网数据库，用于存储电网数据信息；

2.根据权利要求1所述的电网数据安全通信传输系统，其特征在于，还包括：电网服务器，用于响应所述信息内网服务器的请求，向所述电网数据库获取电网数据信息，并将所述电网数据信息单向转送至所述信息内网服务器。

3.根据权利要求1所述的电网数据安全通信传输系统，其特征在于，所述第三安全防护墙包括：网络防火墙、应用层防火墙、入侵防御系统、抗DDoS设备以及信息安全接入网关。

4.根据权利要求3所述的电网数据安全通信传输系统，其特征在于，所述第三安全防护墙，还用于实现以下至少一种功能：网络访问控制、恶意代码渗透阻断以及网络入侵攻击防护。

5.根据权利要求3所述的电网数据安全通信传输系统，其特征在于，所述信息安全接入网关，还用于与移动终端之间进行数字证书双向认证。

6.根据权利要求5所述的电网数据安全通信传输系统，其特征在于，所述信息安全接入网关采用SSL-VPN协议对移动终端进行身份认证。

7.根据权利要求3所述的电网数据安全通信传输系统，其特征在于，所述信息安全接入网关，还用于使用加密算法对传输的数据进行加密。

8.根据权利要求3所述的电网数据安全通信传输系统，其特征在于，所述网络防火墙，用于实现对未经预授权的移动终端的访问和数据信息传递进行筛选和屏蔽。

9.根据权利要求1所述的电网数据安全通信传输系统，其特征在于，所述第二安全防护墙，用于实现逻辑隔离，保留SQL类型数据进行传输。

10.一种电网数据安全通信传输方法，其特征在于，包括：