CN114338096B - 一种过程层隔离装置配置方法 - Google Patents
一种过程层隔离装置配置方法 Download PDFInfo
- Publication number
- CN114338096B CN114338096B CN202111506947.6A CN202111506947A CN114338096B CN 114338096 B CN114338096 B CN 114338096B CN 202111506947 A CN202111506947 A CN 202111506947A CN 114338096 B CN114338096 B CN 114338096B
- Authority
- CN
- China
- Prior art keywords
- goose
- process layer
- isolation device
- matching
- data stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000002955 isolation Methods 0.000 title claims abstract description 27
- 241000272814 Anser sp. Species 0.000 claims abstract 18
- 238000004891 communication Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 abstract description 4
- 230000008676 import Effects 0.000 description 3
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 102100035190 GPI ethanolamine phosphate transferase 3 Human genes 0.000 description 1
- 101001093756 Homo sapiens GPI ethanolamine phosphate transferase 3 Proteins 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E60/00—Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/16—Electric power substations
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种过程层隔离装置配置方法,步骤1,将变电站的SCD模型导入过程层隔离装置;步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块;步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。本发明提供的一种过程层隔离装置配置方法,减少了现场的配置工作,提高了变电站运维管理的效率和准确性。
Description
技术领域
本发明涉及一种过程层隔离装置配置方法,属于智能变电站控制方法技术领域。
背景技术
随着智能变电站的普及和变电站网络安全重要性的日益提高,变电站过程层网络的安全性问题也逐渐显现。传统变电站的网络安全主要考虑站控层网络或调度数据网的网络安全,但是过程层网络的安全却往往被忽视。事实上,作为最接近一次设备的网络,过程层网络直接影响了数据的采集和控制,如果过程层网络被入侵,影响重大。
过程层网络的主要风险,来自于站外配网过程层网络和站内的互联。由于站外网络暴露和被攻击的可性能性较大,站外网络接入站内的安全性需要谨慎考虑。而工程人员往往缺乏专业的知识来对过程层隔离装置进行深入的配置,现场工作的效率或安全性受到了影响。
上述问题是本领域技术人员急需要解决的问题。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种过程层隔离装置配置方法,考虑到变电站中有全站模型的SCD文件,通过对SCD模型中有效GOOSE/SV数据流的提取,并匹配过程层隔离装置的流量信息,获得过程层隔离装置的白名单配置,提高了变电站运维管理的效率和准确性。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
一种过程层隔离装置配置方法,包括如下步骤:
步骤1,将变电站的SCD模型导入过程层隔离装置。
步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块。
步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接。
步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。
优选的,步骤1中,变电站的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型。
优选的,所述导入过程层隔离装置的方式包括:通过过程层隔离装置的web配置界面导入,或者是将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
优选的,步骤2具体包括:通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识。
优选的,步骤2具体包括:通过匹配IED标签下,GSEControl标签来获得有效的GOOSE数据流的GOOSE控制块属性。
优选的,步骤2具体包括:通过匹配IED标签下,SMV和SampledValueControl标签来获得有效的SV数据流的SMV控制块属性。
优选的,步骤3中从流量中提取的GOOSE/SV连接的属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口。
优选的,所述步骤4的中的具体匹配方法为:将嗅探到的GOOSE/SV连接,与步骤2中的有效GOOSE/SV数据流进行逐个属性的对比;若匹配成功,则形成一条白名单配置。
优选的,所述步骤4中的匹配若没有成功,则未匹配到的数据流进行告警。告警方式可以是syslog方式或snmp方式。
有益效果:本发明提供的一种过程层隔离装置配置方法,能够减少现场的配置工作,提高了变电站运维管理的效率和准确性。
附图说明
图1为本发明方法的流程示意图。
具体实施方式
下面结合具体实施例对本发明作更进一步的说明。
本申请中的相关技术用语解释如下:
SCD(substation configuration description)变电站配置描述Communication通信。
GOOSE(Generic Object Oriented Substation Event)面向通用对象的变电站事件。
SV(Sampled Value)采样值。
SMV(Sampled Measured Value)采样测量值。
SubNetwork子网。
ied 智能电子设备。
apName(access point name)访问点名称。
本申请的一种过程层隔离装置配置方法实施例,如图1所示,包括如下步骤:
S100,将变电站的SCD模型导入过程层隔离装置。
这里的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型。导入方法可以选择通过过程层隔离装置的web配置界面导入,或将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
S200,从SCD模型中提取有效的GOOSE/SV数据流。
SCD模型为标准的XML格式,通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识。
SCD实例中相关内容举例如下:
<Communication>
<SubNetwork desc="" name="ProceseGoose" type="IECGOOSE">
<ConnectedAP apName="G1" desc="过程层GOOSE" iedName="PCSDA2">
<GSE cbName="GO_Gcb1" ldInst="PIGO">
<Address>
<P type="MAC-Address">01-0C-CD-01-02-1B</P>
<P type="VLAN-ID">000</P>
<P type="APPID">0211</P>
<P type="VLAN-PRIORITY">4</P>
</Address>
<MinTime multiplier="m" unit="s">2</MinTime>
<MaxTime multiplier="m" unit="s">5000</MaxTime>
</GSE>
<SubNetwork desc="" name="ProceseSMV" type="SMV">
<ConnectedAP apName="M1" desc="SMV服务功能" iedName="PCSASSIST">
<SMV cbName="Smvcb1" ldInst="MUSV">
<Address>
<P type="MAC-Address">01-0C-CD-04-40-04</P>
<P type="VLAN-ID">000</P>
<P type="VLAN-PRIORITY">4</P>
<P type="APPID">4004</P>
</Address>
</SMV>
可以看到GOOSE/SV数据流,且有目的MAC地址、VLAN-ID、APPID。
<GSEControl appID="PCSASSISTPIGO/LLN0.gocb0" confRev="1" datSet="dsGOOSE21" desc="" name="gocb0" type="GOOSE"/>
可以看到GOOSE数据流的Datset(上面的datSet), GoID(上面的appID)。
<SampledValueControl confRev="1" datSet="dsSMV1" multicast="true"name="Smvcb1" nofASDU="1" smpRate="80" smvID="PCSASSISTMUSV/LLN0.Smvcb1">
<SmvOpts refreshTime="false" sampleRate="false"sampleSynchronized="true" security="false"/>
</SampledValueControl>
可以看到SV数据流的SVID(上面的smvID)。
依此类推,将符合要求的参数全部提取出来。
S300,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;
从流量中提取的GOOSE/SV连接属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口。
例如此时过程层隔离装置获得了两个通信对:
(1)源MAC地址B4:4C:C4:02:22:24, 目的MAC地址01:0C:CD:01:02:1B,报文类型0x88B8(GOOSE报文),虚拟局域网ID为0x00,应用标识0x0211,GOOSE控制块属性包括:DatSet为dsGOOSE21、GoID为PCSASSISTPIGO/LLN0.gocb0,流量入接口eth0,流量出接口eth1。
(2)源MAC地址B4:4C:C4:02:22:24, 目的MAC地址01:0C:CD:04:40:04,报文类型0x88BA(SV报文),虚拟局域网ID为0x00,应用标识0x4004,SMV控制块属性包括:smvID为PCSASSISTMUSV/LLN0.Smvcb2,流量入接口eth0,流量出接口eth1。
S400,对步骤S300中提取的GOOSE/SV连接匹配步骤S200中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。告警方式可以是syslog方式或snmp方式。
此处的匹配方式为属性的逐一匹配,未能匹配的属性包括:源MAC地址,流入接口和流出接口。这几个属性可以直接按照实际获得的值来填入白名单。除非装置有对这些属性的控制,如MAC地址绑定等,否则不对其进行额外的判断。
根据上例生成一条GOOSE流的白名单,SV流由于smvID不匹配产生告警,告警既可以在本地查询得到,也可以通过syslog或snmp发送到远端集中管理服务器,由运维人员进行进一步的判断。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (1)
1.一种过程层隔离装置配置方法,其特征在于:包括如下步骤:
步骤1,将变电站的SCD模型导入过程层隔离装置;
步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块;
步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;
步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警;
步骤1中,变电站的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型;
所述导入过程层隔离装置的方式包括:通过过程层隔离装置的web配置界面导入,或者是将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录;
步骤2具体包括:通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识;
步骤2具体包括:通过匹配IED标签下,GSEControl标签来获得有效的GOOSE数据流的GOOSE控制块属性;
步骤2具体包括:通过匹配IED标签下,SMV和SampledValueControl标签来获得有效的SV数据流的SMV控制块属性;
步骤3中从流量中提取的GOOSE/SV连接的属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口;
所述步骤4的中的具体匹配方法为:将嗅探到的GOOSE/SV连接,与步骤2中的有效GOOSE/SV数据流进行逐个属性的对比;若匹配成功,则形成一条白名单配置;
所述步骤4中的匹配若没有成功,则未匹配到的数据流进行告警,告警方式是syslog方式或者snmp方式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111506947.6A CN114338096B (zh) | 2021-12-10 | 2021-12-10 | 一种过程层隔离装置配置方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111506947.6A CN114338096B (zh) | 2021-12-10 | 2021-12-10 | 一种过程层隔离装置配置方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338096A CN114338096A (zh) | 2022-04-12 |
CN114338096B true CN114338096B (zh) | 2023-11-17 |
Family
ID=81051551
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111506947.6A Active CN114338096B (zh) | 2021-12-10 | 2021-12-10 | 一种过程层隔离装置配置方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338096B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106408207A (zh) * | 2016-10-12 | 2017-02-15 | 国网辽宁省电力有限公司朝阳供电公司 | 一种智能变电站二次虚回路建模方法及系统 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN108494578A (zh) * | 2018-02-05 | 2018-09-04 | 国电南瑞科技股份有限公司 | 一种智能变电站过程层交换机配置信息分析方法 |
CN109379255A (zh) * | 2018-12-12 | 2019-02-22 | 国网宁夏电力有限公司电力科学研究院 | 一种基于智能交换机过程层网络流量监测预警方法 |
CN111817889A (zh) * | 2020-07-02 | 2020-10-23 | 中国南方电网有限责任公司 | 一种智能变电站过程层端口连接错误定位方法 |
CN112003740A (zh) * | 2020-08-06 | 2020-11-27 | 南京国电南自电网自动化有限公司 | 一种变电站交换机组播自动配置方法和系统 |
CN112073326A (zh) * | 2020-07-30 | 2020-12-11 | 许继集团有限公司 | 一种智能变电站过程层网络数据流控制方法 |
CN112615808A (zh) * | 2020-10-27 | 2021-04-06 | 国网浙江省电力有限公司绍兴供电公司 | 智能变电站过程层报文白名单的表示方法及装置及设备 |
CN113542110A (zh) * | 2020-04-15 | 2021-10-22 | 中国南方电网有限责任公司 | 一种智能变电站过程层网络风暴定位及消除方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11005822B2 (en) * | 2019-05-03 | 2021-05-11 | Cisco Technology, Inc. | Securing substation communications using security groups based on substation configurations |
-
2021
- 2021-12-10 CN CN202111506947.6A patent/CN114338096B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106408207A (zh) * | 2016-10-12 | 2017-02-15 | 国网辽宁省电力有限公司朝阳供电公司 | 一种智能变电站二次虚回路建模方法及系统 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN108494578A (zh) * | 2018-02-05 | 2018-09-04 | 国电南瑞科技股份有限公司 | 一种智能变电站过程层交换机配置信息分析方法 |
CN109379255A (zh) * | 2018-12-12 | 2019-02-22 | 国网宁夏电力有限公司电力科学研究院 | 一种基于智能交换机过程层网络流量监测预警方法 |
CN113542110A (zh) * | 2020-04-15 | 2021-10-22 | 中国南方电网有限责任公司 | 一种智能变电站过程层网络风暴定位及消除方法及系统 |
CN111817889A (zh) * | 2020-07-02 | 2020-10-23 | 中国南方电网有限责任公司 | 一种智能变电站过程层端口连接错误定位方法 |
CN112073326A (zh) * | 2020-07-30 | 2020-12-11 | 许继集团有限公司 | 一种智能变电站过程层网络数据流控制方法 |
CN112003740A (zh) * | 2020-08-06 | 2020-11-27 | 南京国电南自电网自动化有限公司 | 一种变电站交换机组播自动配置方法和系统 |
CN112615808A (zh) * | 2020-10-27 | 2021-04-06 | 国网浙江省电力有限公司绍兴供电公司 | 智能变电站过程层报文白名单的表示方法及装置及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN114338096A (zh) | 2022-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN214228280U (zh) | 边缘物联代理设备 | |
CN109922160B (zh) | 一种基于电力物联网的终端安全接入方法、装置及系统 | |
CN105471656B (zh) | 一种针对智能变电站自动化系统运维信息模型的抽象方法 | |
CN111564903B (zh) | 一种智能配变终端和智能电表接入方法以及配电物联网 | |
CN107018127A (zh) | 一种兼容多种协议的物联网虚拟网关及节点接入认证方法 | |
CN100369434C (zh) | 无线局域网中实现基于wapi体制的虚拟局域网的方法 | |
CN106953749A (zh) | 一种智能变电站过程层网络实时监测方法 | |
CN104135740B (zh) | 配电自动化无线通信故障定位的方法 | |
CN109714206A (zh) | 电力监控系统网络拓扑图生成方法、总线式网络拓扑图 | |
CN109831783A (zh) | 开通微基站的方法和系统 | |
CN105401771A (zh) | 立体车库集成管理系统 | |
CN109617732A (zh) | 一种电力无线专网一体化混合组网及综合管理方法 | |
CN106787189A (zh) | 智能变电站可视化方法及系统 | |
CN111131274A (zh) | 一种非侵入式智能变电站漏洞检测方法 | |
CN112862232A (zh) | 一种电力无线异构网络的一体化监控方法及装置 | |
US8675822B2 (en) | Methods and systems to avoid unproductive dispatches | |
CN103532746A (zh) | 工业系统的业务拓扑生成方法和系统 | |
CN114338096B (zh) | 一种过程层隔离装置配置方法 | |
CN109639492B (zh) | 一种智能变电站设备自动识别方法及网络管理系统 | |
CN103023737B (zh) | 基于唯一家庭定位标识的智慧家庭业务处理方法及系统 | |
CN113902583A (zh) | 利用低压网络设备数据的配网侧运维方法及系统 | |
JPH11219388A (ja) | 遠隔管理システム | |
CN110855724A (zh) | 智能摄像机的云运维管理方法、系统及在停车计费的应用 | |
CN206147757U (zh) | 线缆运维管理系统 | |
CN201657204U (zh) | 实现互联网平台下的网络视频监控的系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |