CN114338096A - 一种过程层隔离装置配置方法 - Google Patents

一种过程层隔离装置配置方法 Download PDF

Info

Publication number
CN114338096A
CN114338096A CN202111506947.6A CN202111506947A CN114338096A CN 114338096 A CN114338096 A CN 114338096A CN 202111506947 A CN202111506947 A CN 202111506947A CN 114338096 A CN114338096 A CN 114338096A
Authority
CN
China
Prior art keywords
goose
isolation device
steps
data stream
configuring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111506947.6A
Other languages
English (en)
Other versions
CN114338096B (zh
Inventor
曹翔
陈桂友
林青
汤震宇
缪海飞
陶耕宇
周岩
胡绍谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NR Electric Co Ltd
NR Engineering Co Ltd
Original Assignee
NR Electric Co Ltd
NR Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NR Electric Co Ltd, NR Engineering Co Ltd filed Critical NR Electric Co Ltd
Priority to CN202111506947.6A priority Critical patent/CN114338096B/zh
Publication of CN114338096A publication Critical patent/CN114338096A/zh
Application granted granted Critical
Publication of CN114338096B publication Critical patent/CN114338096B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S10/00Systems supporting electrical power generation, transmission or distribution
    • Y04S10/16Electric power substations
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种过程层隔离装置配置方法,步骤1,将变电站的SCD模型导入过程层隔离装置;步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块;步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。本发明提供的一种过程层隔离装置配置方法,减少了现场的配置工作,提高了变电站运维管理的效率和准确性。

Description

一种过程层隔离装置配置方法
技术领域
本发明涉及一种过程层隔离装置配置方法,属于智能变电站控制方法技术领域。
背景技术
随着智能变电站的普及和变电站网络安全重要性的日益提高,变电站过程层网络的安全性问题也逐渐显现。传统变电站的网络安全主要考虑站控层网络或调度数据网的网络安全,但是过程层网络的安全却往往被忽视。事实上,作为最接近一次设备的网络,过程层网络直接影响了数据的采集和控制,如果过程层网络被入侵,影响重大。
过程层网络的主要风险,来自于站外配网过程层网络和站内的互联。由于站外网络暴露和被攻击的可性能性较大,站外网络接入站内的安全性需要谨慎考虑。而工程人员往往缺乏专业的知识来对过程层隔离装置进行深入的配置,现场工作的效率或安全性受到了影响。
上述问题是本领域技术人员急需要解决的问题。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种过程层隔离装置配置方法,考虑到变电站中有全站模型的SCD文件,通过对SCD模型中有效GOOSE/SV数据流的提取,并匹配过程层隔离装置的流量信息,获得过程层隔离装置的白名单配置,提高了变电站运维管理的效率和准确性。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
一种过程层隔离装置配置方法,包括如下步骤:
步骤1,将变电站的SCD模型导入过程层隔离装置。
步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块。
步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接。
步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。
优选的,步骤1中,变电站的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型。
优选的,所述导入过程层隔离装置的方式包括:通过过程层隔离装置的web配置界面导入,或者是将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
优选的,步骤2具体包括:通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识。
优选的,步骤2具体包括:通过匹配IED标签下,GSEControl标签来获得有效的GOOSE数据流的GOOSE控制块属性。
优选的,步骤2具体包括:通过匹配IED标签下,SMV和SampledValueControl标签来获得有效的SV数据流的SMV控制块属性。
优选的,步骤3中从流量中提取的GOOSE/SV连接的属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口。
优选的,所述步骤4的中的具体匹配方法为:将嗅探到的GOOSE/SV连接,与步骤2中的有效GOOSE/SV数据流进行逐个属性的对比;若匹配成功,则形成一条白名单配置。
优选的,所述步骤4中的匹配若没有成功,则未匹配到的数据流进行告警。告警方式可以是syslog方式或snmp方式。
有益效果:本发明提供的一种过程层隔离装置配置方法,能够减少现场的配置工作,提高了变电站运维管理的效率和准确性。
附图说明
图1为本发明方法的流程示意图。
具体实施方式
下面结合具体实施例对本发明作更进一步的说明。
本申请中的相关技术用语解释如下:
SCD(substation configuration description)变电站配置描述Communication通信。
GOOSE(Generic Object Oriented Substation Event)面向通用对象的变电站事件。
SV(Sampled Value)采样值。
SMV(Sampled Measured Value)采样测量值。
SubNetwork子网。
ied 智能电子设备。
apName(access point name)访问点名称。
本申请的一种过程层隔离装置配置方法实施例,如图1所示,包括如下步骤:
S100,将变电站的SCD模型导入过程层隔离装置。
这里的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型。导入方法可以选择通过过程层隔离装置的web配置界面导入,或将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
S200,从SCD模型中提取有效的GOOSE/SV数据流。
SCD模型为标准的XML格式,通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识。
SCD实例中相关内容举例如下:
<Communication>
<SubNetwork desc="" name="ProceseGoose" type="IECGOOSE">
<ConnectedAP apName="G1" desc="过程层GOOSE" iedName="PCSDA2">
<GSE cbName="GO_Gcb1" ldInst="PIGO">
<Address>
<P type="MAC-Address">01-0C-CD-01-02-1B</P>
<P type="VLAN-ID">000</P>
<P type="APPID">0211</P>
<P type="VLAN-PRIORITY">4</P>
</Address>
<MinTime multiplier="m" unit="s">2</MinTime>
<MaxTime multiplier="m" unit="s">5000</MaxTime>
</GSE>
<SubNetwork desc="" name="ProceseSMV" type="SMV">
<ConnectedAP apName="M1" desc="SMV服务功能" iedName="PCSASSIST">
<SMV cbName="Smvcb1" ldInst="MUSV">
<Address>
<P type="MAC-Address">01-0C-CD-04-40-04</P>
<P type="VLAN-ID">000</P>
<P type="VLAN-PRIORITY">4</P>
<P type="APPID">4004</P>
</Address>
</SMV>
可以看到GOOSE/SV数据流,且有目的MAC地址、VLAN-ID、APPID。
<GSEControl appID="PCSASSISTPIGO/LLN0.gocb0" confRev="1" datSet="dsGOOSE21" desc="" name="gocb0" type="GOOSE"/>
可以看到GOOSE数据流的Datset(上面的datSet), GoID(上面的appID)。
<SampledValueControl confRev="1" datSet="dsSMV1" multicast="true"name="Smvcb1" nofASDU="1" smpRate="80" smvID="PCSASSISTMUSV/LLN0.Smvcb1">
<SmvOpts refreshTime="false" sampleRate="false"sampleSynchronized="true" security="false"/>
</SampledValueControl>
可以看到SV数据流的SVID(上面的smvID)。
依此类推,将符合要求的参数全部提取出来。
S300,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;
从流量中提取的GOOSE/SV连接属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口。
例如此时过程层隔离装置获得了两个通信对:
(1)源MAC地址B4:4C:C4:02:22:24, 目的MAC地址01:0C:CD:01:02:1B,报文类型0x88B8(GOOSE报文),虚拟局域网ID为0x00,应用标识0x0211,GOOSE控制块属性包括:DatSet为dsGOOSE21、GoID为PCSASSISTPIGO/LLN0.gocb0,流量入接口eth0,流量出接口eth1。
(2)源MAC地址B4:4C:C4:02:22:24, 目的MAC地址01:0C:CD:04:40:04,报文类型0x88BA(SV报文),虚拟局域网ID为0x00,应用标识0x4004,SMV控制块属性包括:smvID为PCSASSISTMUSV/LLN0.Smvcb2,流量入接口eth0,流量出接口eth1。
S400,对步骤S300中提取的GOOSE/SV连接匹配步骤S200中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。告警方式可以是syslog方式或snmp方式。
此处的匹配方式为属性的逐一匹配,未能匹配的属性包括:源MAC地址,流入接口和流出接口。这几个属性可以直接按照实际获得的值来填入白名单。除非装置有对这些属性的控制,如MAC地址绑定等,否则不对其进行额外的判断。
根据上例生成一条GOOSE流的白名单,SV流由于smvID不匹配产生告警,告警既可以在本地查询得到,也可以通过syslog或snmp发送到远端集中管理服务器,由运维人员进行进一步的判断。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (9)

1.一种过程层隔离装置配置方法,其特征在于:包括如下步骤:
步骤1,将变电站的SCD模型导入过程层隔离装置;
步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块;
步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;
步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。
2.根据权利要求1所述的一种过程层隔离装置配置方法,其特征在于:步骤1中,变电站的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型。
3.根据权利要求1所述的一种过程层隔离装置配置方法,其特征在于:所述导入过程层隔离装置的方式包括:通过过程层隔离装置的web配置界面导入,或者是将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
4.根据权利要求1所述的一种过程层隔离装置配置方法,其特征在于:步骤2具体包括:通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识。
5.根据权利要求1所述的一种过程层隔离装置配置方法,其特征在于:步骤2具体包括:通过匹配IED标签下,GSEControl标签来获得有效的GOOSE数据流的GOOSE控制块属性。
6.根据权利要求1所述的一种过程层隔离装置配置方法,其特征在于:步骤2具体包括:通过匹配IED标签下,SMV和SampledValueControl标签来获得有效的SV数据流的SMV控制块属性。
7.根据权利要求1所述的一种过程层隔离装置配置方法,其特征在于:步骤3中从流量中提取的GOOSE/SV连接的属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口。
8.根据权利要求1所述的一种过程层隔离装置配置方法,其特征在于:所述步骤4的中的具体匹配方法为:将嗅探到的GOOSE/SV连接,与步骤2中的有效GOOSE/SV数据流进行逐个属性的对比;若匹配成功,则形成一条白名单配置。
9.根据权利要求1所述的一种过程层隔离装置配置方法,其特征在于:所述步骤4中的匹配若没有成功,则未匹配到的数据流进行告警,所述告警方式是syslog方式或者snmp方式。
CN202111506947.6A 2021-12-10 2021-12-10 一种过程层隔离装置配置方法 Active CN114338096B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111506947.6A CN114338096B (zh) 2021-12-10 2021-12-10 一种过程层隔离装置配置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111506947.6A CN114338096B (zh) 2021-12-10 2021-12-10 一种过程层隔离装置配置方法

Publications (2)

Publication Number Publication Date
CN114338096A true CN114338096A (zh) 2022-04-12
CN114338096B CN114338096B (zh) 2023-11-17

Family

ID=81051551

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111506947.6A Active CN114338096B (zh) 2021-12-10 2021-12-10 一种过程层隔离装置配置方法

Country Status (1)

Country Link
CN (1) CN114338096B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106408207A (zh) * 2016-10-12 2017-02-15 国网辽宁省电力有限公司朝阳供电公司 一种智能变电站二次虚回路建模方法及系统
CN106982235A (zh) * 2017-06-08 2017-07-25 江苏省电力试验研究院有限公司 一种基于iec 61850的电力工业控制网络入侵检测方法及系统
CN108494578A (zh) * 2018-02-05 2018-09-04 国电南瑞科技股份有限公司 一种智能变电站过程层交换机配置信息分析方法
CN109379255A (zh) * 2018-12-12 2019-02-22 国网宁夏电力有限公司电力科学研究院 一种基于智能交换机过程层网络流量监测预警方法
CN111817889A (zh) * 2020-07-02 2020-10-23 中国南方电网有限责任公司 一种智能变电站过程层端口连接错误定位方法
US20200351249A1 (en) * 2019-05-03 2020-11-05 Cisco Technology, Inc. Securing substation communications using security groups based on substation configurations
CN112003740A (zh) * 2020-08-06 2020-11-27 南京国电南自电网自动化有限公司 一种变电站交换机组播自动配置方法和系统
CN112073326A (zh) * 2020-07-30 2020-12-11 许继集团有限公司 一种智能变电站过程层网络数据流控制方法
CN112615808A (zh) * 2020-10-27 2021-04-06 国网浙江省电力有限公司绍兴供电公司 智能变电站过程层报文白名单的表示方法及装置及设备
CN113542110A (zh) * 2020-04-15 2021-10-22 中国南方电网有限责任公司 一种智能变电站过程层网络风暴定位及消除方法及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106408207A (zh) * 2016-10-12 2017-02-15 国网辽宁省电力有限公司朝阳供电公司 一种智能变电站二次虚回路建模方法及系统
CN106982235A (zh) * 2017-06-08 2017-07-25 江苏省电力试验研究院有限公司 一种基于iec 61850的电力工业控制网络入侵检测方法及系统
CN108494578A (zh) * 2018-02-05 2018-09-04 国电南瑞科技股份有限公司 一种智能变电站过程层交换机配置信息分析方法
CN109379255A (zh) * 2018-12-12 2019-02-22 国网宁夏电力有限公司电力科学研究院 一种基于智能交换机过程层网络流量监测预警方法
US20200351249A1 (en) * 2019-05-03 2020-11-05 Cisco Technology, Inc. Securing substation communications using security groups based on substation configurations
CN113542110A (zh) * 2020-04-15 2021-10-22 中国南方电网有限责任公司 一种智能变电站过程层网络风暴定位及消除方法及系统
CN111817889A (zh) * 2020-07-02 2020-10-23 中国南方电网有限责任公司 一种智能变电站过程层端口连接错误定位方法
CN112073326A (zh) * 2020-07-30 2020-12-11 许继集团有限公司 一种智能变电站过程层网络数据流控制方法
CN112003740A (zh) * 2020-08-06 2020-11-27 南京国电南自电网自动化有限公司 一种变电站交换机组播自动配置方法和系统
CN112615808A (zh) * 2020-10-27 2021-04-06 国网浙江省电力有限公司绍兴供电公司 智能变电站过程层报文白名单的表示方法及装置及设备

Also Published As

Publication number Publication date
CN114338096B (zh) 2023-11-17

Similar Documents

Publication Publication Date Title
CN105471656B (zh) 一种针对智能变电站自动化系统运维信息模型的抽象方法
CN214228280U (zh) 边缘物联代理设备
CN106953749A (zh) 一种智能变电站过程层网络实时监测方法
CN101022340B (zh) 实现城域以太网交换机接入安全的智能控制方法
CN104967533B (zh) 一种sdn控制器上增加iec 61850配置接口的方法和装置
CN101728869A (zh) 电站自动化系统数据网络安全监控方法
CN110138092A (zh) 具有调控主站安全校核功能的变电站顺序控制系统及方法
CN104135740B (zh) 配电自动化无线通信故障定位的方法
CN110444000A (zh) 一种基于物联网技术的多表计量数据采集方法及系统
CN102307129A (zh) 一种ip城域网网元拓扑实时发现方法
CN101409017A (zh) 面向快速公交的优先信号控制系统和方法
CN111131274A (zh) 一种非侵入式智能变电站漏洞检测方法
CN105162251A (zh) 一种适用于保护信息系统应用分析功能的保护装置建模方法
CN106341296A (zh) 一种变电站内通信网络中避免数据报文碰撞的方法
CN103532746A (zh) 工业系统的业务拓扑生成方法和系统
CN111028386A (zh) 一种信息化共享设备箱控制系统及方法
CN114338096A (zh) 一种过程层隔离装置配置方法
CN102647027A (zh) 一种实现建立电能质量数据交换接口的方法
CN112073326B (zh) 一种智能变电站过程层网络数据流控制方法
CN102131072A (zh) 实现互联网平台下的网络视频监控的系统和方法
CN107437286A (zh) 一种出租房网络化智能门锁管理系统
CN107566370A (zh) 一种智能电网报文传输方法
CN103281199B (zh) 基于id的感知层设备在网络层的统一识别方法
CN109587025A (zh) 一种端口自学习的智能变电站交换机
CN101651670A (zh) 以太网业务运营中的业务和用户一体化管理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant