CN114338096B - 一种过程层隔离装置配置方法 - Google Patents

一种过程层隔离装置配置方法 Download PDF

Info

Publication number
CN114338096B
CN114338096B CN202111506947.6A CN202111506947A CN114338096B CN 114338096 B CN114338096 B CN 114338096B CN 202111506947 A CN202111506947 A CN 202111506947A CN 114338096 B CN114338096 B CN 114338096B
Authority
CN
China
Prior art keywords
goose
process layer
isolation device
matching
data stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111506947.6A
Other languages
English (en)
Other versions
CN114338096A (zh
Inventor
曹翔
陈桂友
林青
汤震宇
缪海飞
陶耕宇
周岩
胡绍谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NR Electric Co Ltd
NR Engineering Co Ltd
Original Assignee
NR Electric Co Ltd
NR Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NR Electric Co Ltd, NR Engineering Co Ltd filed Critical NR Electric Co Ltd
Priority to CN202111506947.6A priority Critical patent/CN114338096B/zh
Publication of CN114338096A publication Critical patent/CN114338096A/zh
Application granted granted Critical
Publication of CN114338096B publication Critical patent/CN114338096B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S10/00Systems supporting electrical power generation, transmission or distribution
    • Y04S10/16Electric power substations
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种过程层隔离装置配置方法,步骤1,将变电站的SCD模型导入过程层隔离装置;步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块;步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。本发明提供的一种过程层隔离装置配置方法,减少了现场的配置工作,提高了变电站运维管理的效率和准确性。

Description

一种过程层隔离装置配置方法
技术领域
本发明涉及一种过程层隔离装置配置方法,属于智能变电站控制方法技术领域。
背景技术
随着智能变电站的普及和变电站网络安全重要性的日益提高,变电站过程层网络的安全性问题也逐渐显现。传统变电站的网络安全主要考虑站控层网络或调度数据网的网络安全,但是过程层网络的安全却往往被忽视。事实上,作为最接近一次设备的网络,过程层网络直接影响了数据的采集和控制,如果过程层网络被入侵,影响重大。
过程层网络的主要风险,来自于站外配网过程层网络和站内的互联。由于站外网络暴露和被攻击的可性能性较大,站外网络接入站内的安全性需要谨慎考虑。而工程人员往往缺乏专业的知识来对过程层隔离装置进行深入的配置,现场工作的效率或安全性受到了影响。
上述问题是本领域技术人员急需要解决的问题。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种过程层隔离装置配置方法,考虑到变电站中有全站模型的SCD文件,通过对SCD模型中有效GOOSE/SV数据流的提取,并匹配过程层隔离装置的流量信息,获得过程层隔离装置的白名单配置,提高了变电站运维管理的效率和准确性。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
一种过程层隔离装置配置方法,包括如下步骤:
步骤1,将变电站的SCD模型导入过程层隔离装置。
步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块。
步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接。
步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。
优选的,步骤1中,变电站的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型。
优选的,所述导入过程层隔离装置的方式包括:通过过程层隔离装置的web配置界面导入,或者是将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
优选的,步骤2具体包括:通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识。
优选的,步骤2具体包括:通过匹配IED标签下,GSEControl标签来获得有效的GOOSE数据流的GOOSE控制块属性。
优选的,步骤2具体包括:通过匹配IED标签下,SMV和SampledValueControl标签来获得有效的SV数据流的SMV控制块属性。
优选的,步骤3中从流量中提取的GOOSE/SV连接的属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口。
优选的,所述步骤4的中的具体匹配方法为:将嗅探到的GOOSE/SV连接,与步骤2中的有效GOOSE/SV数据流进行逐个属性的对比;若匹配成功,则形成一条白名单配置。
优选的,所述步骤4中的匹配若没有成功,则未匹配到的数据流进行告警。告警方式可以是syslog方式或snmp方式。
有益效果:本发明提供的一种过程层隔离装置配置方法,能够减少现场的配置工作,提高了变电站运维管理的效率和准确性。
附图说明
图1为本发明方法的流程示意图。
具体实施方式
下面结合具体实施例对本发明作更进一步的说明。
本申请中的相关技术用语解释如下:
SCD(substation configuration description)变电站配置描述Communication通信。
GOOSE(Generic Object Oriented Substation Event)面向通用对象的变电站事件。
SV(Sampled Value)采样值。
SMV(Sampled Measured Value)采样测量值。
SubNetwork子网。
ied 智能电子设备。
apName(access point name)访问点名称。
本申请的一种过程层隔离装置配置方法实施例,如图1所示,包括如下步骤:
S100,将变电站的SCD模型导入过程层隔离装置。
这里的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型。导入方法可以选择通过过程层隔离装置的web配置界面导入,或将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
S200,从SCD模型中提取有效的GOOSE/SV数据流。
SCD模型为标准的XML格式,通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识。
SCD实例中相关内容举例如下:
<Communication>
<SubNetwork desc="" name="ProceseGoose" type="IECGOOSE">
<ConnectedAP apName="G1" desc="过程层GOOSE" iedName="PCSDA2">
<GSE cbName="GO_Gcb1" ldInst="PIGO">
<Address>
<P type="MAC-Address">01-0C-CD-01-02-1B</P>
<P type="VLAN-ID">000</P>
<P type="APPID">0211</P>
<P type="VLAN-PRIORITY">4</P>
</Address>
<MinTime multiplier="m" unit="s">2</MinTime>
<MaxTime multiplier="m" unit="s">5000</MaxTime>
</GSE>
<SubNetwork desc="" name="ProceseSMV" type="SMV">
<ConnectedAP apName="M1" desc="SMV服务功能" iedName="PCSASSIST">
<SMV cbName="Smvcb1" ldInst="MUSV">
<Address>
<P type="MAC-Address">01-0C-CD-04-40-04</P>
<P type="VLAN-ID">000</P>
<P type="VLAN-PRIORITY">4</P>
<P type="APPID">4004</P>
</Address>
</SMV>
可以看到GOOSE/SV数据流,且有目的MAC地址、VLAN-ID、APPID。
<GSEControl appID="PCSASSISTPIGO/LLN0.gocb0" confRev="1" datSet="dsGOOSE21" desc="" name="gocb0" type="GOOSE"/>
可以看到GOOSE数据流的Datset(上面的datSet), GoID(上面的appID)。
<SampledValueControl confRev="1" datSet="dsSMV1" multicast="true"name="Smvcb1" nofASDU="1" smpRate="80" smvID="PCSASSISTMUSV/LLN0.Smvcb1">
<SmvOpts refreshTime="false" sampleRate="false"sampleSynchronized="true" security="false"/>
</SampledValueControl>
可以看到SV数据流的SVID(上面的smvID)。
依此类推,将符合要求的参数全部提取出来。
S300,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;
从流量中提取的GOOSE/SV连接属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口。
例如此时过程层隔离装置获得了两个通信对:
(1)源MAC地址B4:4C:C4:02:22:24, 目的MAC地址01:0C:CD:01:02:1B,报文类型0x88B8(GOOSE报文),虚拟局域网ID为0x00,应用标识0x0211,GOOSE控制块属性包括:DatSet为dsGOOSE21、GoID为PCSASSISTPIGO/LLN0.gocb0,流量入接口eth0,流量出接口eth1。
(2)源MAC地址B4:4C:C4:02:22:24, 目的MAC地址01:0C:CD:04:40:04,报文类型0x88BA(SV报文),虚拟局域网ID为0x00,应用标识0x4004,SMV控制块属性包括:smvID为PCSASSISTMUSV/LLN0.Smvcb2,流量入接口eth0,流量出接口eth1。
S400,对步骤S300中提取的GOOSE/SV连接匹配步骤S200中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警。告警方式可以是syslog方式或snmp方式。
此处的匹配方式为属性的逐一匹配,未能匹配的属性包括:源MAC地址,流入接口和流出接口。这几个属性可以直接按照实际获得的值来填入白名单。除非装置有对这些属性的控制,如MAC地址绑定等,否则不对其进行额外的判断。
根据上例生成一条GOOSE流的白名单,SV流由于smvID不匹配产生告警,告警既可以在本地查询得到,也可以通过syslog或snmp发送到远端集中管理服务器,由运维人员进行进一步的判断。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (1)

1.一种过程层隔离装置配置方法,其特征在于:包括如下步骤:
步骤1,将变电站的SCD模型导入过程层隔离装置;
步骤2,从SCD模型中提取有效的GOOSE/SV数据流,数据流属性包括:目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块;
步骤3,将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探,从流量中提取GOOSE/SV连接;
步骤4,对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成白名单配置,对未匹配到的数据流进行告警;
步骤1中,变电站的SCD模型包含了全站需要通过GOOSE/SV通信的装置的模型;
所述导入过程层隔离装置的方式包括:通过过程层隔离装置的web配置界面导入,或者是将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录;
步骤2具体包括:通过匹配Communication标签下,SubNetwork标签中属性为“IECGOOSE”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、报文类型、虚拟局域网ID、应用标识;
步骤2具体包括:通过匹配IED标签下,GSEControl标签来获得有效的GOOSE数据流的GOOSE控制块属性;
步骤2具体包括:通过匹配IED标签下,SMV和SampledValueControl标签来获得有效的SV数据流的SMV控制块属性;
步骤3中从流量中提取的GOOSE/SV连接的属性包括:源MAC地址、目的MAC地址、报文类型、虚拟局域网ID、应用标识、GOOSE控制块/SMV控制块、流量入接口和流量出接口;
所述步骤4的中的具体匹配方法为:将嗅探到的GOOSE/SV连接,与步骤2中的有效GOOSE/SV数据流进行逐个属性的对比;若匹配成功,则形成一条白名单配置;
所述步骤4中的匹配若没有成功,则未匹配到的数据流进行告警,告警方式是syslog方式或者snmp方式。
CN202111506947.6A 2021-12-10 2021-12-10 一种过程层隔离装置配置方法 Active CN114338096B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111506947.6A CN114338096B (zh) 2021-12-10 2021-12-10 一种过程层隔离装置配置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111506947.6A CN114338096B (zh) 2021-12-10 2021-12-10 一种过程层隔离装置配置方法

Publications (2)

Publication Number Publication Date
CN114338096A CN114338096A (zh) 2022-04-12
CN114338096B true CN114338096B (zh) 2023-11-17

Family

ID=81051551

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111506947.6A Active CN114338096B (zh) 2021-12-10 2021-12-10 一种过程层隔离装置配置方法

Country Status (1)

Country Link
CN (1) CN114338096B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106408207A (zh) * 2016-10-12 2017-02-15 国网辽宁省电力有限公司朝阳供电公司 一种智能变电站二次虚回路建模方法及系统
CN106982235A (zh) * 2017-06-08 2017-07-25 江苏省电力试验研究院有限公司 一种基于iec 61850的电力工业控制网络入侵检测方法及系统
CN108494578A (zh) * 2018-02-05 2018-09-04 国电南瑞科技股份有限公司 一种智能变电站过程层交换机配置信息分析方法
CN109379255A (zh) * 2018-12-12 2019-02-22 国网宁夏电力有限公司电力科学研究院 一种基于智能交换机过程层网络流量监测预警方法
CN111817889A (zh) * 2020-07-02 2020-10-23 中国南方电网有限责任公司 一种智能变电站过程层端口连接错误定位方法
CN112003740A (zh) * 2020-08-06 2020-11-27 南京国电南自电网自动化有限公司 一种变电站交换机组播自动配置方法和系统
CN112073326A (zh) * 2020-07-30 2020-12-11 许继集团有限公司 一种智能变电站过程层网络数据流控制方法
CN112615808A (zh) * 2020-10-27 2021-04-06 国网浙江省电力有限公司绍兴供电公司 智能变电站过程层报文白名单的表示方法及装置及设备
CN113542110A (zh) * 2020-04-15 2021-10-22 中国南方电网有限责任公司 一种智能变电站过程层网络风暴定位及消除方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11005822B2 (en) * 2019-05-03 2021-05-11 Cisco Technology, Inc. Securing substation communications using security groups based on substation configurations

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106408207A (zh) * 2016-10-12 2017-02-15 国网辽宁省电力有限公司朝阳供电公司 一种智能变电站二次虚回路建模方法及系统
CN106982235A (zh) * 2017-06-08 2017-07-25 江苏省电力试验研究院有限公司 一种基于iec 61850的电力工业控制网络入侵检测方法及系统
CN108494578A (zh) * 2018-02-05 2018-09-04 国电南瑞科技股份有限公司 一种智能变电站过程层交换机配置信息分析方法
CN109379255A (zh) * 2018-12-12 2019-02-22 国网宁夏电力有限公司电力科学研究院 一种基于智能交换机过程层网络流量监测预警方法
CN113542110A (zh) * 2020-04-15 2021-10-22 中国南方电网有限责任公司 一种智能变电站过程层网络风暴定位及消除方法及系统
CN111817889A (zh) * 2020-07-02 2020-10-23 中国南方电网有限责任公司 一种智能变电站过程层端口连接错误定位方法
CN112073326A (zh) * 2020-07-30 2020-12-11 许继集团有限公司 一种智能变电站过程层网络数据流控制方法
CN112003740A (zh) * 2020-08-06 2020-11-27 南京国电南自电网自动化有限公司 一种变电站交换机组播自动配置方法和系统
CN112615808A (zh) * 2020-10-27 2021-04-06 国网浙江省电力有限公司绍兴供电公司 智能变电站过程层报文白名单的表示方法及装置及设备

Also Published As

Publication number Publication date
CN114338096A (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
CN214228280U (zh) 边缘物联代理设备
CN109922160B (zh) 一种基于电力物联网的终端安全接入方法、装置及系统
CN105471656B (zh) 一种针对智能变电站自动化系统运维信息模型的抽象方法
CN111564903B (zh) 一种智能配变终端和智能电表接入方法以及配电物联网
CN107018127A (zh) 一种兼容多种协议的物联网虚拟网关及节点接入认证方法
CN100369434C (zh) 无线局域网中实现基于wapi体制的虚拟局域网的方法
CN106953749A (zh) 一种智能变电站过程层网络实时监测方法
CN104135740B (zh) 配电自动化无线通信故障定位的方法
CN109714206A (zh) 电力监控系统网络拓扑图生成方法、总线式网络拓扑图
CN109831783A (zh) 开通微基站的方法和系统
CN105401771A (zh) 立体车库集成管理系统
CN109617732A (zh) 一种电力无线专网一体化混合组网及综合管理方法
CN106787189A (zh) 智能变电站可视化方法及系统
CN111131274A (zh) 一种非侵入式智能变电站漏洞检测方法
CN112862232A (zh) 一种电力无线异构网络的一体化监控方法及装置
US8675822B2 (en) Methods and systems to avoid unproductive dispatches
CN103532746A (zh) 工业系统的业务拓扑生成方法和系统
CN114338096B (zh) 一种过程层隔离装置配置方法
CN109639492B (zh) 一种智能变电站设备自动识别方法及网络管理系统
CN103023737B (zh) 基于唯一家庭定位标识的智慧家庭业务处理方法及系统
CN113902583A (zh) 利用低压网络设备数据的配网侧运维方法及系统
JPH11219388A (ja) 遠隔管理システム
CN110855724A (zh) 智能摄像机的云运维管理方法、系统及在停车计费的应用
CN206147757U (zh) 线缆运维管理系统
CN201657204U (zh) 实现互联网平台下的网络视频监控的系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant