CN111756693A - 一种加密型电力监控系统网络安全监测装置 - Google Patents

一种加密型电力监控系统网络安全监测装置 Download PDF

Info

Publication number
CN111756693A
CN111756693A CN202010428510.4A CN202010428510A CN111756693A CN 111756693 A CN111756693 A CN 111756693A CN 202010428510 A CN202010428510 A CN 202010428510A CN 111756693 A CN111756693 A CN 111756693A
Authority
CN
China
Prior art keywords
data
encryption
module
network
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010428510.4A
Other languages
English (en)
Inventor
栗会峰
刘哲
李宣义
李均强
李铁成
杨立波
马斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
State Grid Hebei Energy Technology Service Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
State Grid Hebei Energy Technology Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd, State Grid Hebei Energy Technology Service Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202010428510.4A priority Critical patent/CN111756693A/zh
Publication of CN111756693A publication Critical patent/CN111756693A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00006Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/12Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/12Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment
    • Y04S40/124Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment using wired telecommunication networks or data transmission busses
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Selective Calling Equipment (AREA)

Abstract

本发明公开了一种加密型电力监控系统网络安全监测装置,涉及电力监控系统网络安全防护技术领域;其包括数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块,数据采集模块,用于采集并获得采集信息,对服务器、工作站、网络设备、安全防护设备和数据库实时监测,采集信息包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联和外部设备接入的信息;其通过数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块等,实现了网络安全监测数据传输过程保密性较好。

Description

一种加密型电力监控系统网络安全监测装置
技术领域
本发明涉及电力监控系统网络安全防护技术领域,尤其涉及一种加密型电力监控系统网络安全监测装置。
背景技术
电力监控系统是整个电力系统的神经网络和控制中枢,对于保障电网安全稳定运行和电力可靠供应具有重要意义。为落实网络安全法要求,国网公司大力开展电力监控系统网络安全管理平台建设,通过网络安全监测装置对服务器、安全防护设备、网络设备、数据库的运行状态、操作行为等信息进行监测,同时将监测数据发送至网络安全管理平台,实现对电力监控系统网络空间的实时监视。网络安全管理平台可根据监测数据及异常情况,对网络安全监测装置下发控制指令,实现对服务器、安全防护设备、网络设备、数据库的端口开放、网络状态的远程控制。
当前,网络安全监测装置通过调度数据网与网络安全管理平台进行通信,由纵向加密认证装置对监测数据进行加密,实现数据的密文传输。纵向加密认证装置优先保证业务数据传输,一旦纵向加密认证装置发生故障或者加密隧道协商错误,网络安全监测数据则以明文形式进行传输,在远距离传输过程中面临数据窃听、数据篡改等网络安全风险。
现有技术问题及思考:
如何解决网络安全监测数据传输过程中保密性差的技术问题。
发明内容
本发明所要解决的技术问题是提供一种加密型电力监控系统网络安全监测装置,其通过数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块等,实现了网络安全监测数据传输过程保密性较好。
为解决上述技术问题,本发明所采取的技术方案是:一种加密型电力监控系统网络安全监测装置包括数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块,所述数据采集单元通过消息总线与数据分析处理单元连接并通信,所述数据分析处理单元通过数据总线与数据加密单元连接并通信,所述数据加密单元通过消息总线与远动通信单元连接并通信,所述远动通信单元通过网络与网络安全管理平台连接并通信;数据采集模块,用于采集并获得采集信息,将采集信息存储在实时数据库并对服务器、工作站、网络设备、安全防护设备和数据库实时监测,所述采集信息包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联和外部设备接入的信息。
进一步的技术方案在于:数据采集模块,还用于通过SNMP或者SNMP TRAP协议方式与交换机通信,获取采集信息。
进一步的技术方案在于:数据采集模块,还用于通过TCP协议方式与服务器和工作站通信,获取采集信息。
进一步的技术方案在于:数据采集模块,还用于通过消息总线获取数据库设备的采集信息。
进一步的技术方案在于:数据采集模块,还用于通过GB/T 31992协议与安全防护设备通信,获取采集信息;
数据分析处理模块,用于对采集信息进行分析处理,根据参数设定形成事件信息,将事件信息发送至数据加密模块;
数据加密模块,用于接收数据分析处理模块发送来的事件信息,根据纵向加密认证装置运行状态和加密隧道协商状态对接收到的事件信息进行加密处理并发送至远动通信模块;
远动通信模块,用于通过TCP/IP协议与调度数据网的网络设备进行通信,将数据加密模块发送来的事件信息通过调度数据网发送至网络安全管理平台。
进一步的技术方案在于:数据加密模块,还用于采用对称加密算法对事件信息进行加密计算。
进一步的技术方案在于:数据加密模块,还用于采用非对称加密算法,完成网络安全监测装置与网络安全管理平台之间的身份认证及对称加密秘钥的协商与同步。
进一步的技术方案在于:数据加密模块,还用于若纵向加密认证装置运行状态为离线或者纵向加密认证装置加密隧道协商错误,则数据加密模块对接收到的事件信息进行加密;否则,数据加密模块对接收到的事件信息不进行加密。
进一步的技术方案在于:数据加密模块,还用于当加密隧道协商错误是指纵向加密认证装置安全日志中报送私钥解密错误、验证签名错误、证书不存在、隧道未配置、公钥加密错误、私钥签名错误或者隧道由密通变明通的告警信息。
进一步的技术方案在于:数据加密模块,还用于通过两种途径中的一种途径获得纵向加密认证装置运行状态及加密隧道协商状态,第一种途径为纵向加密认证装置接入网络安全监测装置,其运行状态及安全日志数据发送至网络安全监测装置的数据采集模块,数据分析处理模块对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密模块;第二种途径为纵向加密认证装置接入网络安全管理平台,其运行状态及安全日志数据通过调度数据网发送至网络安全管理平台,网络安全管理平台对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密模块。
采用上述技术方案所产生的有益效果在于:
一种加密型电力监控系统网络安全监测装置包括数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块,所述数据采集单元通过消息总线与数据分析处理单元连接并通信,所述数据分析处理单元通过数据总线与数据加密单元连接并通信,所述数据加密单元通过消息总线与远动通信单元连接并通信,所述远动通信单元通过网络与网络安全管理平台连接并通信;数据采集模块,用于采集并获得采集信息,将采集信息存储在实时数据库并对服务器、工作站、网络设备、安全防护设备和数据库实时监测,所述采集信息包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联和外部设备接入的信息。其通过数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块等,实现了网络安全监测数据传输过程保密性较好。
详见具体实施方式部分描述。
附图说明
图1是本发明实施例1的原理框图;
图2是本发明实施例1的数据传输示意图;
图3是本发明实施例2的数据传输示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本申请及其应用或使用的任何限制。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本申请,但是本申请还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施例的限制。
实施例1:
如图1和图2所示,本发明公开了一种加密型电力监控系统网络安全监测装置包括数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块,所述数据采集单元通过消息总线与数据分析处理单元连接并单向通信,所述数据分析处理单元通过数据总线与数据加密单元连接并单向通信,所述数据加密单元通过消息总线与远动通信单元连接并单向通信,所述远动通信单元通过网络与网络安全管理平台连接并单向通信。
数据采集模块,用于采集并获得采集信息,将采集信息存储在实时数据库并对服务器、工作站、网络设备、安全防护设备和数据库实时监测,所述采集信息包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联和外部设备接入的信息。
数据采集模块,还用于通过SNMP或者SNMP TRAP协议方式与交换机通信,获取采集信息。
数据采集模块,还用于通过TCP协议方式与服务器和工作站通信,获取所述采集信息。
数据采集模块,还用于通过消息总线获取数据库设备的采集信息。
数据采集模块,还用于通过GB/T 31992协议与安全防护设备通信,获取采集信息。
数据分析处理模块,用于对采集信息进行分析处理,根据参数设定形成事件信息,将事件信息发送至数据加密模块。
数据加密模块,用于接收数据分析处理模块发送来的事件信息,根据纵向加密认证装置运行状态和加密隧道协商状态对接收到的事件信息进行加密处理并发送至远动通信模块。
数据加密模块,还用于采用对称加密算法对所述事件信息进行加密计算。
数据加密模块,还用于采用非对称加密算法,完成网络安全监测装置与网络安全管理平台之间的身份认证及对称加密秘钥的协商与同步。
数据加密模块,还用于若纵向加密认证装置运行状态为离线或者纵向加密认证装置加密隧道协商错误,则所述数据加密模块对接收到的事件信息进行加密;否则,所述数据加密模块对接收到的事件信息不进行加密。
数据加密模块,还用于当加密隧道协商错误是指纵向加密认证装置安全日志中报送私钥解密错误、验证签名错误、证书不存在、隧道未配置、公钥加密错误、私钥签名错误或者隧道由密通变明通的告警信息。
数据加密模块,还用于通过如下途径获得所述纵向加密认证装置运行状态及加密隧道协商状态:纵向加密认证装置接入网络安全监测装置,其运行状态及安全日志数据发送至网络安全监测装置所述数据采集模块,所述数据分析处理模块对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密模块。
远动通信模块,用于通过TCP/IP协议与调度数据网的网络设备进行通信,将数据加密模块发送来的事件信息通过调度数据网发送至网络安全管理平台。
其中,数据采集单元、数据分析处理单元、数据加密单元和远动通信单元本身以及相应的通信连接技术为现有技术在此不再赘述。
实施例2:
如图3所示,本发明公开了一种加密型电力监控系统网络安全监测装置包括数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块,所述数据采集单元通过消息总线与数据分析处理单元连接并单向通信,所述数据分析处理单元通过数据总线与数据加密单元连接并单向通信,所述数据加密单元通过消息总线与远动通信单元连接并双向通信,所述远动通信单元通过网络与网络安全管理平台连接并双向通信。
数据采集模块,用于采集并获得采集信息,将采集信息存储在实时数据库并对服务器、工作站、网络设备、安全防护设备和数据库实时监测,所述采集信息包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联和外部设备接入的信息。
数据采集模块,还用于通过SNMP或者SNMP TRAP协议方式与交换机通信,获取采集信息。
数据采集模块,还用于通过TCP协议方式与服务器和工作站通信,获取采集信息。
数据采集模块,还用于通过消息总线获取数据库设备的采集信息。
数据采集模块,还用于通过GB/T 31992协议与安全防护设备通信,获取采集信息。
数据分析处理模块,用于对所述采集信息进行分析处理,根据参数设定形成事件信息,将事件信息发送给数据加密模块。
数据加密模块,用于接收数据分析处理模块发送来的事件信息,根据纵向加密认证装置运行状态和加密隧道协商状态,对接收到的事件信息进行加密处理并发送至远动通信模块。
数据加密模块,还用于采用对称加密算法对所述事件信息进行加密计算。
数据加密模块,还用于采用非对称加密算法,完成网络安全监测装置与网络安全管理平台之间的身份认证及对称加密秘钥的协商与同步。
数据加密模块,还用于若纵向加密认证装置运行状态为离线或者纵向加密认证装置加密隧道协商错误,则所述数据加密模块对接收到的事件信息进行加密;否则,所述数据加密模块对接收到的事件信息不进行加密。
数据加密模块,还用于所述加密隧道协商错误是指纵向加密认证装置安全日志中报送私钥解密错误、验证签名错误、证书不存在、隧道未配置、公钥加密错误、私钥签名错误或隧道由密通变明通的告警信息。
数据加密模块,还用于通过如下途径获得所述纵向加密认证装置运行状态及加密隧道协商状态:纵向加密认证装置接入网络安全管理平台,其运行状态及安全日志数据通过调度数据网发送至网络安全管理平台,所述网络安全管理平台对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密模块。
远动通信模块,用于通过TCP/IP协议与调度数据网的网络设备进行通信,将数据加密模块发送来的事件信息通过调度数据网发送至网络安全管理平台。
其中,数据采集单元、数据分析处理单元、数据加密单元和远动通信单元本身以及相应的通信连接技术为现有技术在此不再赘述。
本申请的发明构思:
为了解决现有技术方案中存在的网络安全监测数据传输过程中保密性差的技术问题,本发明提供一种加密型电力监控系统网络安全监测装置,通过对纵向加密认证装置运行状态和隧道协商情况进行监测、分析,实现加密型电力监控系统网络安全监测装置与纵向加密认证装置对网络安全监测数据的协同加密,保证网络安全监测数据传输过程中的保密性与完整性。
本申请的技术特点:
本发明的目的是针对现有技术存在的上述问题,提供一种加密型电力监控系统网络安全监测装置。本发明解决其技术问题所采用的技术方案如下。
如图1所示,一种加密型电力监控系统网络安全监测装置,包括数据采集单元、数据分析处理单元、数据加密单元、远动通信单元:所述数据采集单元通过消息总线与数据分析处理单元连接,所述数据分析处理单元通过数据总线与数据加密单元连接,所述数据加密单元通过消息总线与远动通信单元连接。所述远动通信单元与外部网络连接,实现与网络安全管理平台通信。
所述数据采集单元实现对服务器、工作站、网络设备、安全防护设备、数据库等设备的实时监测。
所述数据采集单元的采集内容包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联、外部设备接入等信息,并将信息存储在实时数据库。
进一步的,所述数据采集单元支持通过SNMP、SNMP TRAP协议方式与交换机通信,获取所述采集内容。
进一步的,所述数据采集单元支持通过TCP协议方式与服务器、工作站通信,获取所述采集内容。
进一步的,所述数据采集单元支持通过消息总线功能获取数据库设备所述采集内容。
进一步的,所述数据采集单元支持通过GB/T 31992协议与安全防护设备通信,获取所述采集内容。
所述数据分析处理单元对所述采集内容进行分析处理,根据参数设定形成事件信息,并将事件信息发送给数据加密单元。
所述数据加密单元接收数据分析处理单元发送来的事件信息,并根据纵向加密认证装置运行状态、加密隧道协商状态,对接收到的事件信息进行加密或不加密处理,并发送至远动通信单元。
进一步的,所述数据加密单元采用对称加密算法对所述事件信息进行加密计算。
进一步的,所述数据加密单元采用非对称加密算法,完成网络安全监测装置与网络安全管理平台之间的身份认证及对称加密秘钥的协商与同步。
进一步的,若纵向加密认证装置运行状态为离线或者纵向加密认证装置加密隧道协商错误,则所述数据加密单元对接收到的事件信息进行加密。否则,所述数据加密单元对接收到的事件信息不进行加密。
进一步的,所述加密隧道协商错误是指纵向加密认证装置安全日志中报送如下告警:
1)私钥解密错误;2)验证签名错误;3)证书不存在;4)隧道未配置;5)公钥加密错误;6)私钥签名错误;7)隧道由密通变明通。
进一步的,所述数据加密单元支持通过两种途径获得所述纵向加密认证装置运行状态及加密隧道协商状态:
1)若纵向加密认证装置接入网络安全监测装置,其运行状态及安全日志数据发送至网络安全监测装置所述数据采集单元,则所述数据分析处理单元对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密单元。
2)若纵向加密认证装置接入网络安全管理平台,其运行状态及安全日志数据通过调度数据网发送至网络安全管理平台,则所述网络安全管理平台对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密单元。
所述远动通信单元支持通过TCP/IP协议与调度数据网的网络设备进行通信,将数据加密单元发送来的事件信息通过调度数据网发送至网络安全管理平台。
实施例1说明:
如图2所示,纵向加密认证装置接入方式1,本实施提供的一种加密型电力监控系统网络安全监测装置,包括以下部分:
一种加密型电力监控系统网络安全监测装置,包括数据采集单元、数据分析处理单元、数据加密单元、远动通信单元:所述数据采集单元通过消息总线与数据分析处理单元连接,所述数据分析处理单元通过数据总线与数据加密单元连接,所述数据加密单元通过消息总线与远动通信单元连接。所述远动通信单元与外部网络连接,实现与网络安全管理平台通信。
所述数据采集单元实现对服务器、工作站、网络设备、安全防护设备、数据库等设备的实时监测。
所述数据采集单元的采集内容包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联、外部设备接入等信息,并将信息存储在实时数据库。
进一步的,所述数据采集单元支持通过SNMP、SNMP TRAP协议方式与交换机通信,获取所述采集内容。
进一步的,所述数据采集单元支持通过TCP协议方式与服务器、工作站通信,获取所述采集内容。
进一步的,所述数据采集单元支持通过消息总线功能获取数据库设备所述采集内容。
进一步的,所述数据采集单元支持通过GB/T 31992协议与安全防护设备通信,获取所述采集内容。
所述数据分析处理单元对所述采集内容进行分析处理,根据参数设定形成事件信息,并将事件信息发送给数据加密单元。
所述数据加密单元接收数据分析处理单元发送来的事件信息,并根据纵向加密认证装置运行状态、加密隧道协商状态,对接收到的事件信息进行加密或不加密处理,并发送至远动通信单元。
进一步的,所述数据加密单元采用对称加密算法对所述事件信息进行加密计算。
进一步的,所述数据加密单元采用非对称加密算法,完成网络安全监测装置与网络安全管理平台之间的身份认证及对称加密秘钥的协商与同步。
进一步的,若纵向加密认证装置运行状态为离线或者纵向加密认证装置加密隧道协商错误,则所述数据加密单元对接收到的事件信息进行加密。否则,所述数据加密单元对接收到的事件信息不进行加密。
进一步的,所述加密隧道协商错误是指纵向加密认证装置安全日志中报送如下告警:
1)私钥解密错误;2)验证签名错误;3)证书不存在;4)隧道未配置;5)公钥加密错误;6)私钥签名错误;7)隧道由密通变明通。
进一步的,所述数据加密单元通过如下途径获得所述纵向加密认证装置运行状态及加密隧道协商状态:纵向加密认证装置接入网络安全监测装置,其运行状态及安全日志数据发送至网络安全监测装置所述数据采集单元,所述数据分析处理单元对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密单元;
所述远动通信单元支持通过TCP/IP协议与调度数据网的网络设备进行通信,将数据加密单元发送来的事件信息通过调度数据网发送至网络安全管理平台。
实施例2说明:
如图3所示,纵向加密认证装置接入方式2,本实施提供的一种加密型电力监控系统网络安全监测装置,包括以下部分:
一种加密型电力监控系统网络安全监测装置,包括数据采集单元、数据分析处理单元、数据加密单元、远动通信单元:所述数据采集单元通过消息总线与数据分析处理单元连接,所述数据分析处理单元通过数据总线与数据加密单元连接,所述数据加密单元通过消息总线与远动通信单元连接。所述远动通信单元与外部网络连接,实现与网络安全管理平台通信。
所述数据采集单元实现对服务器、工作站、网络设备、安全防护设备、数据库等设备的实时监测。
所述数据采集单元的采集内容包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联、外部设备接入等信息,并将信息存储在实时数据库。
进一步的,所述数据采集单元支持通过SNMP、SNMP TRAP协议方式与交换机通信,获取所述采集内容。
进一步的,所述数据采集单元支持通过TCP协议方式与服务器、工作站通信,获取所述采集内容。
进一步的,所述数据采集单元支持通过消息总线功能获取数据库设备所述采集内容。
进一步的,所述数据采集单元支持通过GB/T 31992协议与安全防护设备通信,获取所述采集内容。
所述数据分析处理单元对所述采集内容进行分析处理,根据参数设定形成事件信息,并将事件信息发送给数据加密单元。
所述数据加密单元接收数据分析处理单元发送来的事件信息,并根据纵向加密认证装置运行状态、加密隧道协商状态,对接收到的事件信息进行加密或不加密处理,并发送至远动通信单元。
进一步的,所述数据加密单元采用对称加密算法对所述事件信息进行加密计算。
进一步的,所述数据加密单元采用非对称加密算法,完成网络安全监测装置与网络安全管理平台之间的身份认证及对称加密秘钥的协商与同步。
进一步的,若纵向加密认证装置运行状态为离线或者纵向加密认证装置加密隧道协商错误,则所述数据加密单元对接收到的事件信息进行加密。否则,所述数据加密单元对接收到的事件信息不进行加密。
进一步的,所述加密隧道协商错误是指纵向加密认证装置安全日志中报送如下告警:
1)私钥解密错误;2)验证签名错误;3)证书不存在;4)隧道未配置;5)公钥加密错误;6)私钥签名错误;7)隧道由密通变明通。
进一步的,所述数据加密单元通过如下途径获得所述纵向加密认证装置运行状态及加密隧道协商状态:纵向加密认证装置接入网络安全管理平台,其运行状态及安全日志数据通过调度数据网发送至网络安全管理平台,所述网络安全管理平台对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密单元;
所述远动通信单元支持通过TCP/IP协议与调度数据网的网络设备进行通信,将数据加密单元发送来的事件信息通过调度数据网发送至网络安全管理平台。
本申请保密运行一段时间后,现场技术人员反馈的有益之处在于:
与现有技术相比,本发明技术方案的有益效果是:本发明提供一种具有数据加密单元的网络安全监测装置。
1、具备数据加密功能,可对传输数据进行加密计算,提高电力监控系统抵御数据监听、篡改等网络风险的能力。
2、网络安全监测装置对纵向加密认证装置运行状态及加密隧道协商状态进行实时监测,若纵向加密认证装置运行故障或加密隧道协商错误,则启动数据加密单元,实现了纵向加密认证装置与数据加密单元的协同加密,保证事件信息始终为密文传输的同时,避免因二次加密导致数据传输效率降低的问题。

Claims (10)

1.一种加密型电力监控系统网络安全监测装置,其特征在于:包括数据采集单元、数据分析处理单元、数据加密单元和远动通信单元以及数据采集模块、数据分析处理模块、数据加密模块和远动通信模块,所述数据采集单元通过消息总线与数据分析处理单元连接并通信,所述数据分析处理单元通过数据总线与数据加密单元连接并通信,所述数据加密单元通过消息总线与远动通信单元连接并通信,所述远动通信单元通过网络与网络安全管理平台连接并通信;数据采集模块,用于采集并获得采集信息,将采集信息存储在实时数据库并对服务器、工作站、网络设备、安全防护设备和数据库实时监测,所述采集信息包括监测对象的运行状态、运行参数、操作信息、用户登录、网络外联和外部设备接入的信息。
2.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据采集模块,还用于通过SNMP或者SNMP TRAP协议方式与交换机通信,获取采集信息。
3.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据采集模块,还用于通过TCP协议方式与服务器和工作站通信,获取采集信息。
4.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据采集模块,还用于通过消息总线获取数据库设备的采集信息。
5.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据采集模块,还用于通过GB/T 31992协议与安全防护设备通信,获取采集信息;
数据分析处理模块,用于对采集信息进行分析处理,根据参数设定形成事件信息,将事件信息发送至数据加密模块;
数据加密模块,用于接收数据分析处理模块发送来的事件信息,根据纵向加密认证装置运行状态和加密隧道协商状态对接收到的事件信息进行加密处理并发送至远动通信模块;
远动通信模块,用于通过TCP/IP协议与调度数据网的网络设备进行通信,将数据加密模块发送来的事件信息通过调度数据网发送至网络安全管理平台。
6.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据加密模块,还用于采用对称加密算法对事件信息进行加密计算。
7.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据加密模块,还用于采用非对称加密算法,完成网络安全监测装置与网络安全管理平台之间的身份认证及对称加密秘钥的协商与同步。
8.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据加密模块,还用于若纵向加密认证装置运行状态为离线或者纵向加密认证装置加密隧道协商错误,则数据加密模块对接收到的事件信息进行加密;否则,数据加密模块对接收到的事件信息不进行加密。
9.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据加密模块,还用于当加密隧道协商错误是指纵向加密认证装置安全日志中报送私钥解密错误、验证签名错误、证书不存在、隧道未配置、公钥加密错误、私钥签名错误或者隧道由密通变明通的告警信息。
10.根据权利要求1所述的一种加密型电力监控系统网络安全监测装置,其特征在于:数据加密模块,还用于通过两种途径中的一种途径获得纵向加密认证装置运行状态及加密隧道协商状态,第一种途径为纵向加密认证装置接入网络安全监测装置,其运行状态及安全日志数据发送至网络安全监测装置的数据采集模块,数据分析处理模块对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密模块;第二种途径为纵向加密认证装置接入网络安全管理平台,其运行状态及安全日志数据通过调度数据网发送至网络安全管理平台,网络安全管理平台对纵向加密认证装置运行状态及加密隧道协商状态进行分析,并将分析结果发送至数据加密模块。
CN202010428510.4A 2020-05-20 2020-05-20 一种加密型电力监控系统网络安全监测装置 Pending CN111756693A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010428510.4A CN111756693A (zh) 2020-05-20 2020-05-20 一种加密型电力监控系统网络安全监测装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010428510.4A CN111756693A (zh) 2020-05-20 2020-05-20 一种加密型电力监控系统网络安全监测装置

Publications (1)

Publication Number Publication Date
CN111756693A true CN111756693A (zh) 2020-10-09

Family

ID=72673281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010428510.4A Pending CN111756693A (zh) 2020-05-20 2020-05-20 一种加密型电力监控系统网络安全监测装置

Country Status (1)

Country Link
CN (1) CN111756693A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112311867A (zh) * 2020-10-27 2021-02-02 国网河北省电力有限公司雄安新区供电公司 一种电力信息通信用设备信息监控系统
CN112565279A (zh) * 2020-12-09 2021-03-26 苗改燕 一种基于安全网络用传感器信号处理系统
CN112672113A (zh) * 2020-12-21 2021-04-16 湖北道融电子科技有限公司 一种gsm数字式手机收发监控系统
CN112738078A (zh) * 2020-12-28 2021-04-30 中铁第一勘察设计院集团有限公司 铁路供电系统网络安全监测系统
CN113595758A (zh) * 2021-06-18 2021-11-02 国网浙江省电力有限公司电力科学研究院 一种变电站加密通信下的故障定位方法
CN113783837A (zh) * 2021-08-03 2021-12-10 国网福建省电力有限公司检修分公司 一种自适应变电站纵向加密主机校验方法与终端

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105207991A (zh) * 2015-08-14 2015-12-30 上海银天下科技有限公司 数据加密方法及系统
CN106559436A (zh) * 2017-01-20 2017-04-05 北京立思辰新技术有限公司 一种应用于电力系统变压器的安全监测管理方法
CN107241295A (zh) * 2016-03-28 2017-10-10 阿里巴巴集团控股有限公司 加密管理方法及装置、控制集群
CN108683549A (zh) * 2018-06-08 2018-10-19 湖北鑫英泰系统技术股份有限公司 一种应用于电力监控系统中的网络安全监测系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105207991A (zh) * 2015-08-14 2015-12-30 上海银天下科技有限公司 数据加密方法及系统
CN107241295A (zh) * 2016-03-28 2017-10-10 阿里巴巴集团控股有限公司 加密管理方法及装置、控制集群
CN106559436A (zh) * 2017-01-20 2017-04-05 北京立思辰新技术有限公司 一种应用于电力系统变压器的安全监测管理方法
CN108683549A (zh) * 2018-06-08 2018-10-19 湖北鑫英泰系统技术股份有限公司 一种应用于电力监控系统中的网络安全监测系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112311867A (zh) * 2020-10-27 2021-02-02 国网河北省电力有限公司雄安新区供电公司 一种电力信息通信用设备信息监控系统
CN112565279A (zh) * 2020-12-09 2021-03-26 苗改燕 一种基于安全网络用传感器信号处理系统
CN112672113A (zh) * 2020-12-21 2021-04-16 湖北道融电子科技有限公司 一种gsm数字式手机收发监控系统
CN112738078A (zh) * 2020-12-28 2021-04-30 中铁第一勘察设计院集团有限公司 铁路供电系统网络安全监测系统
CN113595758A (zh) * 2021-06-18 2021-11-02 国网浙江省电力有限公司电力科学研究院 一种变电站加密通信下的故障定位方法
CN113595758B (zh) * 2021-06-18 2024-05-14 国网浙江省电力有限公司电力科学研究院 一种变电站加密通信下的故障定位方法
CN113783837A (zh) * 2021-08-03 2021-12-10 国网福建省电力有限公司检修分公司 一种自适应变电站纵向加密主机校验方法与终端

Similar Documents

Publication Publication Date Title
CN111756693A (zh) 一种加密型电力监控系统网络安全监测装置
CN106789015B (zh) 一种智能配电网通信安全系统
CN107483444A (zh) 一种智能电网信息传输安全防护装置及安全防护方法
CN106656960B (zh) 一种基于Hilscher的可信数据采集系统和方法
CN105245329A (zh) 一种基于量子通信的可信工业控制网络实现方法
CN113824705B (zh) 一种Modbus TCP协议的安全加固方法
CN106549502B (zh) 一种配电安全防护监控系统
CN115549932B (zh) 一种面向海量异构物联网终端的安全接入系统及接入方法
CN110224822A (zh) 一种密钥协商方法及系统
Musa et al. Secure security model implementation for security services and related attacks base on end-to-end, application layer and data link layer security
CN111988328A (zh) 一种新能源厂站发电单元采集终端数据安全保障方法及系统
CN102413144B (zh) 一种用于c/s架构业务的安全接入系统及相关接入方法
CN106875532B (zh) 一种智能门锁及控制设备及系统及远程控制开锁方法
CN107231378A (zh) 一种基于电力移动办公设备的安全管控方法、装置及系统
CN113472520A (zh) 一种ModbusTCP协议安全增强方法及系统
CN111245604A (zh) 一种服务器数据安全交互系统及方法
CN116684875A (zh) 一种电力5g网络切片的通信安全认证方法
CN109560928A (zh) 一种基于国网加密协议的加密方法
CN107968777B (zh) 网络安全监控系统
CN114928486A (zh) 一种基于数字证书的工控协议安全摆渡方法、装置、系统和存储介质
CN216391430U (zh) 一种具有量子加密的配电自动化终端准入控制系统
CN113539523B (zh) 一种基于国产商用密码算法的物联网设备身份认证方法
CN111065091B (zh) 一种基于lora的无线数据采集系统及数据传输方法
Zhang et al. Design and implementation of IEC61850 communication security protection scheme for smart substation based on bilinear function
CN115225415B (zh) 用于新能源集控系统的密码应用平台及监测预警方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20201009

RJ01 Rejection of invention patent application after publication