CN114726627A - 基于安全网关的防护方法、装置、系统 - Google Patents

基于安全网关的防护方法、装置、系统 Download PDF

Info

Publication number
CN114726627A
CN114726627A CN202210372368.5A CN202210372368A CN114726627A CN 114726627 A CN114726627 A CN 114726627A CN 202210372368 A CN202210372368 A CN 202210372368A CN 114726627 A CN114726627 A CN 114726627A
Authority
CN
China
Prior art keywords
operation instruction
instruction message
condition
security
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210372368.5A
Other languages
English (en)
Inventor
吴金宇
陶文伟
胡荣
朱文
高宏慧
苏扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202210372368.5A priority Critical patent/CN114726627A/zh
Publication of CN114726627A publication Critical patent/CN114726627A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00002Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by monitoring
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00006Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
    • H02J13/00028Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment involving the use of Internet protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及电力监控技术领域,具体公开了一种基于安全网关的防护方法、装置、系统,所述方法包括:获取业务系统发送的操作指令报文;在第一模式下,获取针对所述操作指令报文的业务安全分析结果,以及所述操作指令报文对应的四元组数据;在所述安全分析结果为安全的情况下,根据所述四元组数据判断所述操作指令报文是否满足指令下发条件;在所述安全分析结果为安全时,且判断满足指令下发条件的情况下,下发所述操作指令报文;根据所述操作指令报文生成目标指令报文,将所述目标指令报文传输至厂站系统。本公开有效提高了业务系统操作指令在下发至变电站或者发电厂的过程中的数据安全性。

Description

基于安全网关的防护方法、装置、系统
技术领域
本公开涉及电力监控技术领域,特别是涉及一种基于安全网关的防护方法、装置、系统。
背景技术
在电网信息安全领域,目前全网已按照“安全分区、网络专用、横向隔离、纵向认证” 的总体策略,初步建立了安全防护体系。但随着分布式新能源、配网自动化、智能电网、无 人值守变电站等新技术的快速发展和应用,电力监控系统使用无线公网进行数据通信的情况 日益普遍,已突破传统的分区网络隔离。同时随着数字电网的改革,电力监控系统已由一区、 二区、三区向四、五区延伸,部分电力监控系统由一区、二区直接面向公网,传统的安全防 护体系已无法完全满足电力监控系统的安全防护要求,因此亟须提出全面的安全防护策略, 有效提高业务系统(如主站系统和保信系统)纵向调度数据采集网络上的安全防护,防止非 法控制指令从业务系统内部网络下发到变电站。
发明内容
基于此,有必要针对上述技术问题,提供一种基于安全网关的防护方法、装置、系统、 计算机设备、存储介质和计算机程序产品。
第一方面,本公开提供了一种基于安全网关的防护方法。所述方法包括:
获取业务系统发送的操作指令报文;
在第一模式下,获取针对所述操作指令报文的业务安全分析结果,以及所述操作指令报 文对应的四元组数据;
在所述安全分析结果为安全的情况下,根据所述四元组数据判断所述操作指令报文是否 满足指令下发条件;
在所述安全分析结果为安全时,且判断满足指令下发条件的情况下,下发所述操作指令 报文;
根据所述操作指令报文生成目标指令报文,将所述目标指令报文传输至厂站系统。
在其中一个实施例中,所述安全分析结果根据所述业务系统的关键操作数据分析获得。
在其中一个实施例中,所述根据所述四元组数据判断所述操作指令报文是否满足指令下 发条件包括:
解析所述操作指令报文,确定所述操作指令报文中的操作指令;
根据所述四元组数据对所述操作指令进行验证,在验证通过的情况下,判断所述操作指 令报文满足指令下发条件。
在其中一个实施例中,所述方法还包括:
确定所述操作指令报文的传输协议,并根据所述传输协议确定对应的匹配规则;
根据所述匹配规则对所述操作指令报文进行识别,判断所述操作指令报文是否为异常协 议报文;
在判断所述操作指令报文为异常协议报文的情况下,判定所述操作指令报文不满足指令 下发条件。
在其中一个实施例中,所述根据所述操作指令报文生成目标指令报文,将所述目标指令 报文传输至厂站系统包括:
提取所述操作指令报文中的目标数据;
基于所述目标数据生成目标指令报文;
将所述目标指令报文传输至所述厂站系统。
在其中一个实施例中,所述方法包括:
在第二模式下,将获取的所述操作指令报文直接下发;
在第三模式下,阻断所述操作指令报文的下发。
第二方面,本公开还提供了一种基于安全网关的防护装置。所述装置包括:
输入模块,用于获取业务系统发送的操作指令报文;
安全分析模块,用于在第一模式下,获取针对所述操作指令报文的业务安全分析结果, 以及所述操作指令报文对应的四元组数据;
下发条件模块,用于在所述安全分析结果为安全的情况下,根据所述四元组数据判断所 述操作指令报文是否满足指令下发条件;
指令下发模块,在所述安全分析结果为安全时,且判断满足指令下发条件的情况下,下 发所述操作指令报文;
传输模块,用于根据所述操作指令报文生成目标指令报文,将所述目标指令报文传输至 厂站系统。
在其中一个实施例中,所述安全分析结果根据所述业务系统的关键操作数据分析获得。
在其中一个实施例中,所述指令下发模块包括:
指令单元,用于解析所述操作指令报文,确定所述操作指令报文中的操作指令;
验证单元,用于根据所述四元组数据对所述操作指令进行验证,在验证通过的情况下, 判断所述操作指令报文满足指令下发条件。
在其中一个实施例中,所述指令下发模块还包括:
协议单元,用于确定所述操作指令报文的传输协议,并根据所述传输协议确定对应的匹 配规则;
识别单元,用于根据所述匹配规则对所述操作指令报文进行识别,判断所述操作指令报 文是否为异常协议报文;
判断单元,用于在判断所述操作指令报文为异常协议报文的情况下,判定所述操作指令 报文不满足指令下发条件。
在其中一个实施例中,所述传输模块包括:
目标数据单元,用于提取所述操作指令报文中的目标数据;
目标指令单元,用于基于所述目标数据生成目标指令报文;
传输单元,用于将所述目标指令报文传输至所述厂站系统。
在其中一个实施例中,所述装置还包括:
全通模块,用于指示将获取的所述操作指令报文直接下发;
全拦模块,用于指示阻断所述操作指令报文的下发。
第三方面,本公开还提供了一种基于安全网关的防护系统。所述系统包括安全网关设备 和安全控制中心,其中,所述安全网关设备包括:
第一通信单元,与业务系统连接,用于接收所述业务系统发送的操作指令报文,以及接 收所述业务系统发送的四元组数据;
第二通信单元,与所述安全控制中心连接,用于接收所述安全控制中心发送的针对所述 操作指令报文的安全分析结果;
第一处理单元,分别与所述第一通信单元、第二通信单元连接,所述第一处理单元用于 获取四元组数据、所述操作指令报文、所述安全分析结果,并在所述安全分析结果为安全的 情况下,根据所述四元组数据判断所述操作指令报文是否满足指令下发条件;所述第一处理 单元还用于在所述安全分析结果为安全时,且判断满足指令下发条件的情况下,下发所述操 作指令报文中的目标数据;
第二处理单元,与所述第一处理单元连接,用于根据所述目标数据生成目标指令报文;
第三通信单元,分别与所述第二处理单元、厂站系统连接,所述第三通信单元用于将所 述目标指令报文传输至厂站系统。
在其中一个实施例中,所述第一处理单元与所述第二处理单元之间连接有隔离部件。
在其中一个实施例中,所述安全控制中心包括:
第四通信单元,与所述业务系统连接,用于接收所述业务系统发送的关键操作数据、四 元组数据;
第三处理单元,用于根据所述关键操作数据对所述操作指令报文进行安全分析,获得所 述业务安全分析结果;
第五处理单元,分别与所述第三处理单元、第二通信单元连接,所述第五处理单元用于 接收所述业务安全分析结果并发送至所述第二通信单元,以及用于将所述四元组数据发送至 所述第二通信单元。
第四方面,本公开还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所 述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述基于安全网关的防 护方法的步骤。
第五方面,本公开还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上 存储有计算机程序,所述计算机程序被处理器执行时实现上述基于安全网关的防护方法的步 骤。
第六方面,本公开还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程 序,该计算机程序被处理器执行时实现上述基于安全网关的防护方法的步骤。
上述基于安全网关的防护方法、装置、系统、计算机设备、存储介质和计算机程序产品, 至少包括以下有益效果:
本公开对业务系统下发的操作指令报文进行安全分析和下发条件的双重判断,根据业务 安全分析结果触发指令下发条件判断,根据四元组数据判断操作指令报文是否满足指令下发 条件,有效提高了业务系统操作指令在下发至变电站或者发电厂的过程中的数据安全性;且 操作指令报文的末端以目标指令报文方式传输至厂站系统,传输通道更加稳定,减小目标指 令报文被篡改的风险。
附图说明
为了更清楚地说明本公开实施例或传统技术中的技术方案,下面将对实施例或传统技术 描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一 些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些 附图获得其他的附图。
图1为一个实施例中基于安全网关的防护方法的应用环境图;
图2为一个实施例中基于安全网关的防护方法的流程示意图;
图3为一个实施例中基于安全网关的防护方法的流程示意图;
图4为一个实施例中基于安全网关的防护方法的流程示意图;
图5为一个实施例中基于安全网关的防护方法的流程示意图;
图6为一个实施例中基于安全网关的防护方法的流程示意图;
图7为一个实施例中基于安全网关的防护装置的结构框图;
图8为一个实施例中基于安全网关的防护装置的结构框图;
图9为一个实施例中基于安全网关的防护装置的结构框图;
图10为一个实施例中基于安全网关的防护装置的结构框图;
图11为一个实施例中基于安全网关的防护系统的结构框图;
图12为一个实施例中基于安全网关的防护系统的结构框图;
图13为一个实施例中基于安全网关的防护系统的结构框图;
图14为一个实施例中计算机设备的内部结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申 请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于 限定本申请。
除非另有定义,本文所使用的所有的技术和科学术语与属于本公开的技术领域的技术人 员通常理解的含义相同。本文中在本公开的说明书中所使用的术语只是为了描述具体的实施 例的目的,不是旨在于限制本公开。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等 是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据 在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那 些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有 实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装 置和方法的例子。术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从 而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明 确列出的其它要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有 更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的 相同或等同要素。例如若使用到第一,第二等词语用来表示名称,而并不表示任何特定的顺 序。
需要说明的是,当一个元件被认为是“连接”另一个元件时,它可以是直接连接到另一 个元件,或者通过居中元件连接另一个元件。此外,以下实施例中的“连接”,如果被连接的 对象之间具有电信号或数据的传递,则应理解为“电连接”、“通信连接”等。
在此使用时,单数形式的“一”、“一个”和“所述/该”也可以包括复数形式,除非上下 文清楚指出另外的方式。还应当理解的是,术语“包括/包含”或“具有”等指定所陈述的特 征、整体、步骤、操作、组件、部分或它们的组合的存在,但是不排除存在或添加一个或更多个其他特征、整体、步骤、操作、组件、部分或它们的组合的可能性。同时,在本说明书 中,术语“和/或”包括相关所列项目的任何及所有组合。
本申请实施例提供的基于安全网关的防护方法,可以应用于如图1所示的应用环境中。 其中,终端102通过网络与服务器104、业务系统106进行通信。终端102连接厂站系统108, 厂站系统可以包括变电站和发电厂等设备。服务器104与业务系统106通信连接。本方法可 以应用在电力监控系统中,业务系统106可以包括电力监控系统的调度自动化主站系统和操 作票系统等。所述调度自动化主站系统可以包括主站运行控制系统(OperationalControl System,OCS)、自动发电控制(Automatic Gain Control,AGC)系统和自动电压控制(Automatic Voltage Control,AVC)系统等。其中,终端102可以是安全网关设备。安全网关设备可以串 接在调度自动化主站系统前置采集网络与纵向加密装置之间,实时动态的分析业务系统下发 的操作指令报文的传输协议和操作指令,并结合服务器104发送的业务安全分析结果和所述 操作指令报文对应的四元组数据(包括操作用户、操作设备、操作类型和操作时间),对操作 指令报文进行合法性判断,实现对非法控制指令的拦截功能,保障业务系统操作指令在下发 至变电站或者发电厂的过程中的数据安全性。服务器104可以用独立的服务器或者是多个服 务器组成的服务器集群来实现。
在本公开的一些实施例中,如图2所示,提供了一种基于安全网关的防护方法,以该方 法应用于图1中的终端、服务器为例进行说明,包括以下步骤:
步骤S10:获取业务系统发送的操作指令报文。
步骤S30:在第一模式下,获取针对所述操作指令报文的业务安全分析结果,以及所述 操作指令报文对应的四元组数据。
具体地,安全网关设备与业务系统通信连接,接收业务系统发送的操作指令报文。本方 法可以包括多个模式,例如,在第一模式下,将接收到的操作指令报文经过业务安全分析和 判断指令下发条件后进行下发。在第一模式下,获取服务器发送的业务安全分析结果,以及 服务器发送的操作指令报文对应的四元组数据。其中,服务器获取业务系统发送的四元组数 据并传输至安全网关设备。
步骤S50:在所述安全分析结果为安全的情况下,根据所述四元组数据判断所述操作指 令报文是否满足指令下发条件。
具体地,获得的安全分析结果为安全的情况下,判断操作指令报文是否满足指令下发条 件。四元组数据可以包括操作用户数据、控制设备数据、控制类型数据和操作时间数据。根 据四元组数据对操作指令报文进行判断是否满足指令下发条件。
步骤S70:在所述安全分析结果为安全时,且判断满足指令下发条件的情况下,下发所 述操作指令报文。
具体地,根据四元组数据判断操作指令报文满足指令下发条件的情况下,安全网关设备 将操作指令报文下发。在断操作指令报文不满足指令下发条件的情况下,阻断该操作指令报 文的下发。
步骤S90:根据所述操作指令报文生成目标指令报文,将所述目标指令报文传输至厂站 系统。
具体地,对操作指令报文进行解析处理以生成目标指令报文,直接将目标指令报文传输 至厂站系统。其中,目标指令报文中包括目标指令,目标指令可以是指相比于操作指令更加 准确明确的针对厂站系统的指令。
上述基于安全网关的防护方法中,对业务系统下发的操作指令报文进行安全分析和下发 条件的双重判断,根据业务安全分析结果触发指令下发条件判断,根据四元组数据判断操作 指令报文是否满足指令下发条件,有效提高了业务系统操作指令在下发至变电站或者发电厂 的过程中的数据安全性;且操作指令报文的末端以目标指令报文方式传输至厂站系统,传输 通道更加稳定,减小目标指令报文被篡改的风险。
在本公开的一些实施例中,安全分析结果根据所述业务系统的关键操作数据分析获得。 具体地,关键操作数据可以包括基础负荷数据、计划数据、操作票数据等。服务器根据业务 数据进行多源联合安全分析,得到操作指令报文对应的业务安全分析结果。服务器将业务安 全分析结果发送至安全网关设备。多源联合安全分析可以包括对操作用户、操作设备、操作 时间和操作内容等进行分析,以判断上述内容是否合规、一致,如果判定上述内容合规、一 致,则可以确定业务安全分析结果为安全,如果判定上述内容不合规或者不一致,则可以确 定业务安全分析结果为不安全。
本实施例通过基于业务系统的关键操作数据的多源联合安全分析,实时接收四元组数据, 进而得到操作指令报文对应的业务安全分析结果,提高了操作指令报文安全分析的时效性。
在本公开的一些实施例中,如图3所示,步骤S50包括:
步骤S52:解析所述操作指令报文,确定所述操作指令报文中的操作指令。
具体地,对操作指令报文进行解析,提取出操作指令报文中的操作指令。
步骤S54:根据所述四元组数据对所述操作指令进行验证,在验证通过的情况下,判断 所述操作指令报文满足指令下发条件。
具体地,根据所述四元组数据对所述操作指令进行时序逻辑验证和操作权限验证,在时 序逻辑验证和操作权限验证均通过的情况下,判断所述操作指令报文满足指令下发条件。
本实施例利用业务系统发送的四元组数据对操作指令报文进行时序逻辑验证和操作权限 验证,并基于验证结果进行报文的阻断和告警,能够进一步保证报文的合法性和安全性。
在本公开的一些实施例中,如图4所示,所述方法还包括步骤S60,所述步骤S60包括:
步骤S62:确定所述操作指令报文的传输协议,并根据所述传输协议确定对应的匹配规 则。
具体地,对操作指令报文进行解析,确定操作指令报文的传输协议,并根据传输协议确 定对应的匹配规则。其中,匹配规则可以为应用层(工业协议)规则,匹配规则可以根据实 际需要进行预先设置,也可以由服务器或者发送至安全网关设备,本发明实施例对此不作限 制。
步骤S64:根据所述匹配规则对所述操作指令报文进行识别,判断所述操作指令报文是 否为异常协议报文。
步骤S66:在判断所述操作指令报文为异常协议报文的情况下,判定所述操作指令报文 不满足指令下发条件。
具体地,根据匹配规则对操作指令报文进行识别,判断操作指令报文是否为异常协议报 文。当所述操作指令报文不是异常协议报文时,判定操作指令报文满足指令下发条件。当所 述操作指令报文是异常协议报文时,判定操作指令报文不满足指令下发条件。
可选择地,还可以定制开发针对特定协议的安全检测,例如维护一个传输协议的白名单/ 黑名单,如果识别所述操作指令报文的传输协议位于所述白名单/黑名单中,直接判定满足/ 不满足指令下发条件。
进一步地,在一些可能的实施例中,还可以通过其它方法来判断所述操作指令报文是否 满足指令下发条件,本发明实施例对此不作限制。例如,针对某些特定传输协议,还可以通 过关键字过滤等方式来判断所述操作指令报文是否满足指令下发条件。具体地,可以根据传 输协议确定所述传输协议对应的关键字信息,并判断所述操作指令报文是否包含所述关键字 信息。当所述操作指令报文包含(或者不包含)所述关键字信息,则可以判定满足指令下发 条件。
本实施例通过利用操作指令报文的传输协议对应的匹配规则对操作指令报文进行合法性 分析,可以快速准确地判断所述操作指令报文的合法性,以实现应用层报文的阻断和告警, 进一步保证报文的合法性和安全性。本实施例在报文下发过程中还可以通过多种信息对报文 进行过滤,仅响应符合安全策略的报文,能够实现对可疑报文和具有潜在威胁报文的阻挡和 管控。
在本公开的一些实施例中,如图5所示,所述步骤S90包括:
步骤S92:提取所述操作指令报文中的目标数据。
具体地,解析所述操作指令报文,提取操作指令报文中的目标数据。
步骤S94:基于所述目标数据生成目标指令报文。
步骤S96:将所述目标指令报文传输至所述厂站系统。
具体地,将目标数据整合生成目标指令报文,并将所述目标指令报文传输至所述厂站系 统。
本实施例以目标指令报文的方式传输至厂站系统,传输通道更加稳定,减小目标指令报 文被篡改的风险。
在本公开的一些实施例中,如图6所示,所述方法还包括:
步骤A10:在第二模式下,将获取的所述操作指令报文直接下发。
步骤A20:在第三模式下,阻断所述操作指令报文的下发。
具体地,前述步骤S30-S70为在第一模式下的处理步骤。在第二模式下,为全通模式, 终端直接将获取的操作指令报文直接下发。进一步地,第二模式下,在终端出现问题时,操 作指令报文还可以硬旁路通过。在第三模式下,为全拦模式,阻断所有操作指令报文的下发。
本实施例支持多种模式下的操作指令报文下发,满足全通模式和全拦模式的应用场景需 求。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示 依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说 明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上 所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些 步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者 阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段 的至少一部分轮流或者交替地执行。
基于同样的发明构思,本公开实施例还提供了一种用于实现上述所涉及的基于安全网关 的防护方法的基于安全网关的防护装置。该装置所提供的解决问题的实现方案与上述方法中 所记载的实现方案相似,故下面所提供的一个或多个基于安全网关的防护装置实施例中的具 体限定可以参见上文中对于基于安全网关的防护方法的限定,在此不再赘述。
所述装置可以包括使用了本说明书实施例所述方法的系统(包括分布式系统)、软件(应 用)、模块、组件、服务器、客户端等并结合必要的实施硬件的装置。基于同一创新构思,本 公开实施例提供的一个或多个实施例中的装置如下面的实施例所述。由于装置解决问题的实 现方案与方法相似,因此本说明书实施例具体的装置的实施可以参见前述方法的实施,重复 之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬 件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件 的组合的实现也是可能并被构想的。
在本公开的一些实施例中,如图7所示,提供了一种基于安全网关的防护装置,所述装 置可以为前述所述终端,或者集成于所述终端的模块、组件、器件、单元等。该装置Z00可 以包括:
输入模块Z10,用于获取业务系统发送的操作指令报文;
安全分析模块Z20,用于在第一模式下,获取针对所述操作指令报文的业务安全分析结 果,以及所述操作指令报文对应的四元组数据;
下发条件模块Z30,用于在所述安全分析结果为安全的情况下,根据所述四元组数据判 断所述操作指令报文是否满足指令下发条件;
指令下发模块Z40,在所述安全分析结果为安全时,且判断满足指令下发条件的情况下, 下发所述操作指令报文;
传输模块Z50,用于根据所述操作指令报文生成目标指令报文,将所述目标指令报文传 输至厂站系统。
在本公开的一些实施例中,所述安全分析结果根据所述业务系统的关键操作数据分析获 得。
在本公开的一些实施例中,如图8所示,所述指令下发模块Z40包括:
指令单元Z412,用于解析所述操作指令报文,确定所述操作指令报文中的操作指令;
验证单元Z414,用于根据所述四元组数据对所述操作指令进行验证,在验证通过的情况 下,判断所述操作指令报文满足指令下发条件。
在本公开的一些实施例中,如图9所示,所述指令下发模块Z40包括:
协议单元Z422,用于确定所述操作指令报文的传输协议,并根据所述传输协议确定对应 的匹配规则;
识别单元Z424,用于根据所述匹配规则对所述操作指令报文进行识别,判断所述操作指 令报文是否为异常协议报文;
判断单元Z426,用于在判断所述操作指令报文为异常协议报文的情况下,判定所述操作 指令报文不满足指令下发条件。
在本公开的一些实施例中,如图10所示,所述传输模块Z50包括:
目标数据单元Z52,用于提取所述操作指令报文中的目标数据;
目标指令单元Z54,用于基于所述目标数据生成目标指令报文;
传输单元Z56,用于将所述目标指令报文传输至所述厂站系统。
在本公开的一些实施例中,所述装置还包括:
全通模块,用于指示将获取的所述操作指令报文直接下发;
全拦模块,用于指示阻断所述操作指令报文的下发。
上述基于安全网关的防护装置中的各个模块可全部或部分通过软件、硬件及其组合来实 现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式 存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。需要说 明的是,本公开实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时 可以有另外的划分方式。
基于前述基于安全网关的防护方法的实施例描述,在本公开提供的另一个实施例中,提 供了一种基于安全网关的防护系统。如图11所示,所述系统X00包括安全网关设备X10和 安全控制中心X20,其中,所述安全网关设备X10包括:
第一通信单元X12,与业务系统连接,用于接收所述业务系统发送的操作指令报文,以 及接收所述业务系统发送的四元组数据;
第二通信单元X13,与所述安全控制中心X20连接,用于接收所述安全控制中心X20发 送的针对所述操作指令报文的安全分析结果;
第一处理单元X11,分别与所述第一通信单元X12、第二通信单元X13连接,所述第一 处理单元X11用于获取四元组数据、所述操作指令报文、所述安全分析结果,并在所述安全 分析结果为安全的情况下,根据所述四元组数据判断所述操作指令报文是否满足指令下发条 件;所述第一处理单元X11还用于在所述安全分析结果为安全时,且判断满足指令下发条件 的情况下,下发所述操作指令报文中的目标数据;
第二处理单元X14,与所述第一处理单元X11连接,用于根据所述目标数据生成目标指 令报文;
第三通信单元X15,分别与所述第二处理单元X14、厂站系统连接,所述第三通信单元X15用于将所述目标指令报文传输至厂站系统。
其中,安全网关设备X10可以采用双嵌入式主机(即包括第一处理单元X11和第二处理 单元X14)。第一处理单元X11可以采用代理机制,与业务系统的设备实现传输控制协议 (Transmission Control Protocol,TCP)握手和断开机制,该过程终止于第一处理单元X11; 第二处理单元X14可以采用代理机制,与厂站系统的设备实现TCP握手和断开机制,该过程 终止于第二处理单元X14。
在实际应用中,第一处理单元X11、第一通信单元X12、第二通信单元X13、第二处理单元X14、第三通信单元X15可以采用国产化零部件,以保证设备的硬件安全。安全网关设备X10的操作系统也可以采用国产化系统,如凝思、麒麟等国产自主可控的操作系统,以保证操作系统的安全性。
在本公开的一些实施例中,如图12所示,所述第一处理单元X11与所述第二处理单元 X14之间连接有隔离部件X16。即安全网关设备X10采用“2+1”硬件体系结构,即可以包含双嵌入式主机和专用隔离部件X16。第一处理单元X11与第二处理单元X14之间采用专用隔离部件X16进行单向通信。第一处理单元X11可以运行专用的软件,负责根据规则识别、过滤、丢弃、封装各种网络信息,通过隔离部件X16向第二处理单传递信息,从而提供一条安全信息通道。且第一处理单元X11与第二处理单元X14之间通过隔离部件X16进行数据传输,由于第一处理单元X11与第二处理单元X14之间没有任何协议如TCP的握手或断开等 信息,是纯粹的应用数据传输,因此可以为业务系统和厂站系统内的设备提供一条安全的信息通道。
在本公开的一些实施例中,如图13所示,所述安全控制中心X20包括:
第四通信单元X22,与所述业务系统连接,用于接收所述业务系统发送的关键操作数据、 四元组数据;
第三处理单元X21,用于根据所述关键操作数据对所述操作指令报文进行安全分析,获 得所述业务安全分析结果;
第五处理单元,分别与所述第三处理单元X21、第二通信单元X13连接,所述第五处理 单元用于接收所述业务安全分析结果并发送至所述第二通信单元X13,以及用于将所述四元 组数据发送至所述第二通信单元X13。
其中,第五通信单元X23可以与第二通信单元X13通信连接,以实现安全网关设备X10 和安全控制中心X20之间的通信。具体地,安全控制中心X20可以采用高效多任务并发处理 机制,在接收到操作指令报文对应的第一个四元组数据就启动业务安全性分析,从时序上保 证业务安全分析结果在操作指令报文抵达前送达安全网关设备X10。
本实施例中,安全网关设备X10可以采用高性能多任务并发处理机制设计,充分利用CPU 资源,对所述操作指令报文中的操作指令进行动态实时的识别,以及对控制指令的时序逻辑 和操作权限进行验证,能够提高操作指令的分析效率,并且将所述操作指令报文流经安全网 关设备X10的延时控制在毫秒级别,满足主站系统对实时采集的性能要求。
进一步地,第一通信单元X12可以被配置成通过第一传输协议与所述业务系统通信,第 三通信单元X15可以被配置成通过第二传输协议与所述厂站系统通信。
具体地,所述第一传输协议/第二传输协议可以为预设的工控协议、常用的TCP/IP协议 以及自定义的传输协议等。其中,所述工控协议可以为电力系统常见的工控协议,包括 IEC61850、IEC60870-101/102/104/103、tase2、dl476、MODBUS、OPC等协议中的任意一种或多种,所述TCP/IP协议可以包括HTTP、SFTP、SMTP、FTP、RPC等协议。
在一个可能的实施例中,安全网关设备X10还支持向密码服务平台发起密钥申请、报文 加密与解密等密码相关工作请求。所述密码服务平台支持基于数字证书的认证功能、支持国 家密码管理局批准的标准密码算法(SM1、SM2、SM3和SM4)、支持明通、密通等密码策略设置、手动/自动毁钥功能。可以理解,通过请求密码服务平台对报文进行加密和解密,能够进一步提高报文传输的安全性。
进一步地,安全网关设备X10可以设置为多个。
具体地,可以通过使用多个安全网关设备X10对流量进行负载均衡,以减轻各个安全网 关设备X10的压力,不仅能够避免拥塞,提高报文传输的效率,还能够避免安全网关设备 X10因压力过大导致崩溃的现象,保证安全网关系统正常运行,提高防护效率。
进一步地,所述系统还可以包括安全网关设备X10备机和安全控制中心X20备机。
具体地,所述安全网关设备X10备机可以被配置成检测安全网关设备X10发送的心跳报 文,根据所述心跳报文确定安全网关设备X10的状态,当安全网关设备X10的状态异常时自 动启动,以使得所述安全网关设备X10备机替代安全网关设备X10实现业务系统与厂站系统 之间的操作指令报文传输。
具体地,所述安全网关设备X10备机还可以通过检测安全网关设备X10发送的心跳报文, 来完成链路状态数据的备份;当所述安全网关设备X10备机检测到安全网关设备X10故障后, 立刻启动,由于链路状态数据是实时备份的,因而能够实现链路的无缝切换;当所述安全网 关设备X10备机检测到安全网关设备X10恢复后,立即将链路切换到安全网关设备X10,该 过程无需人工干预,能够自动完成链路的切换和持续运行。
具体地,安全控制中心X20可以采用主备服务、双网卡通信设计,以解决单点故障问题。 所述安全控制中心X20备机与安全控制中心X20之间的链路切换方法与安全网关设备X10100及其备机之间的链路切换方法相同,本发明实施例在此不再赘述。
可以理解,通过设计实现双机热备、双机容错服务功能,使用2台设备互相备份,共同 执行同一服务,当主机链路出现故障时,可以由备机设备承担报文传输任务,从而在不需要 人工干预的情况下,自动保证系统能持续提供服务。
基于前述基于安全网关的防护方法的实施例描述,在本公开提供的另一个实施例中,提 供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图14所示。该计算机 设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计 算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、 内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储 介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终 端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或 其他技术实现。该计算机程序被处理器执行时以实现一种基于安全网关的防护方法。该计算 机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显 示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是 外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图中示出的结构,仅仅是与本申请方案相关的部分结构的框 图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括 比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
基于前述基于安全网关的防护方法的实施例描述,在本公开提供的另一个实施例中,提 供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上 述各方法实施例中的步骤。
基于前述基于安全网关的防护方法的实施例描述,在本公开提供的另一个实施例中,提 供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法 实施例中的步骤。
需要说明的是,本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息 等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权 或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计 算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存 储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所 提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和 易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、 磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁 变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储 器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓 冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory, DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数 据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请 所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号 处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
在本说明书的描述中,参考术语“有些实施例”、“其他实施例”、“理想实施例”等的描 述意指结合该实施例或示例描述的具体特征、结构、材料或者特征包含于本发明的至少一个 实施例或示例中。在本说明书中,对上述术语的示意性描述不一定指的是相同的实施例或示 例。
可以理解的是,本说明书中上述方法的各个实施例均采用递进的方式描述,各个实施例 之间相同/相似的部分互相参见即可,每个实施例重点说明的都是与其它实施例的不同之处。 相关之处参见其他方法实施例的描述说明即可。
上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例各个 技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当 认为是本说明书记载的范围。
以上所述实施例仅表达了本公开的几种实施方式,其描述较为具体和详细,但并不能因 此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不 脱离本公开构思的前提下,还可以做出若干变形和改进,这些都属于本公开的保护范围。因 此,本公开专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于安全网关的防护方法,其特征在于,所述方法包括:
获取业务系统发送的操作指令报文;
在第一模式下,获取针对所述操作指令报文的业务安全分析结果,以及所述操作指令报文对应的四元组数据;
在所述安全分析结果为安全的情况下,根据所述四元组数据判断所述操作指令报文是否满足指令下发条件;
在所述安全分析结果为安全时,且判断满足指令下发条件的情况下,下发所述操作指令报文;
根据所述操作指令报文生成目标指令报文,将所述目标指令报文传输至厂站系统。
2.根据权利要求1所述的方法,其特征在于,所述安全分析结果根据所述业务系统的关键操作数据分析获得。
3.根据权利要求1所述的方法,其特征在于,所述根据所述四元组数据判断所述操作指令报文是否满足指令下发条件包括:
解析所述操作指令报文,确定所述操作指令报文中的操作指令;
根据所述四元组数据对所述操作指令进行验证,在验证通过的情况下,判断所述操作指令报文满足指令下发条件。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述操作指令报文的传输协议,并根据所述传输协议确定对应的匹配规则;
根据所述匹配规则对所述操作指令报文进行识别,判断所述操作指令报文是否为异常协议报文;
在判断所述操作指令报文为异常协议报文的情况下,判定所述操作指令报文不满足指令下发条件。
5.根据权利要求1所述的方法,其特征在于,所述根据所述操作指令报文生成目标指令报文,将所述目标指令报文传输至厂站系统包括:
提取所述操作指令报文中的目标数据;
基于所述目标数据生成目标指令报文;
将所述目标指令报文传输至所述厂站系统。
6.根据权利要求1所述的方法,其特征在于,所述方法包括:
在第二模式下,将获取的所述操作指令报文直接下发;
在第三模式下,阻断所述操作指令报文的下发。
7.一种基于安全网关的防护装置,其特征在于,所述装置包括:
输入模块,用于获取业务系统发送的操作指令报文;
安全分析模块,用于在第一模式下,获取针对所述操作指令报文的业务安全分析结果,以及所述操作指令报文对应的四元组数据;
下发条件模块,用于在所述安全分析结果为安全的情况下,根据所述四元组数据判断所述操作指令报文是否满足指令下发条件;
指令下发模块,在所述安全分析结果为安全时,且判断满足指令下发条件的情况下,下发所述操作指令报文;
传输模块,用于根据所述操作指令报文生成目标指令报文,将所述目标指令报文传输至厂站系统。
8.一种基于安全网关的防护系统,其特征在于,所述系统包括安全网关设备和安全控制中心,其中,所述安全网关设备包括:
第一通信单元,与业务系统连接,用于接收所述业务系统发送的操作指令报文,以及接收所述业务系统发送的四元组数据;
第二通信单元,与所述安全控制中心连接,用于接收所述安全控制中心发送的针对所述操作指令报文的安全分析结果;
第一处理单元,分别与所述第一通信单元、第二通信单元连接,所述第一处理单元用于获取四元组数据、所述操作指令报文、所述安全分析结果,并在所述安全分析结果为安全的情况下,根据所述四元组数据判断所述操作指令报文是否满足指令下发条件;所述第一处理单元还用于在所述安全分析结果为安全时,且判断满足指令下发条件的情况下,下发所述操作指令报文中的目标数据;
第二处理单元,与所述第一处理单元连接,用于根据所述目标数据生成目标指令报文;
第三通信单元,分别与所述第二处理单元、厂站系统连接,所述第三通信单元用于将所述目标指令报文传输至厂站系统。
9.根据权利要求8所述的系统,其特征在于,所述第一处理单元与所述第二处理单元之间连接有隔离部件。
10.根据权利要求8所述的系统,其特征在于,所述安全控制中心包括:
第四通信单元,与所述业务系统连接,用于接收所述业务系统发送的关键操作数据、四元组数据;
第三处理单元,用于根据所述关键操作数据对所述操作指令报文进行安全分析,获得所述业务安全分析结果;
第五处理单元,分别与所述第三处理单元、第二通信单元连接,所述第五处理单元用于接收所述业务安全分析结果并发送至所述第二通信单元,以及用于将所述四元组数据发送至所述第二通信单元。
CN202210372368.5A 2022-04-11 2022-04-11 基于安全网关的防护方法、装置、系统 Pending CN114726627A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210372368.5A CN114726627A (zh) 2022-04-11 2022-04-11 基于安全网关的防护方法、装置、系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210372368.5A CN114726627A (zh) 2022-04-11 2022-04-11 基于安全网关的防护方法、装置、系统

Publications (1)

Publication Number Publication Date
CN114726627A true CN114726627A (zh) 2022-07-08

Family

ID=82241768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210372368.5A Pending CN114726627A (zh) 2022-04-11 2022-04-11 基于安全网关的防护方法、装置、系统

Country Status (1)

Country Link
CN (1) CN114726627A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150163201A1 (en) * 2013-12-06 2015-06-11 Shape Security, Inc. Client/server security by an intermediary rendering modified in-memory objects
CN110386107A (zh) * 2018-04-20 2019-10-29 比亚迪股份有限公司 车辆及其解锁方法、解锁装置
CN111147524A (zh) * 2020-02-19 2020-05-12 深圳市腾讯计算机系统有限公司 报文发送端的识别方法、装置和计算机可读存储介质
WO2021008412A1 (zh) * 2019-07-17 2021-01-21 深圳市智物联网络有限公司 一种物联网设备的控制方法及系统
CN112395259A (zh) * 2021-01-21 2021-02-23 北京鲲鲸云科技有限公司 一种文件的操作系统、操作方法、计算机设备和介质
CN113944749A (zh) * 2021-09-30 2022-01-18 广西汽车集团有限公司 一种电动汽车p档控制的方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150163201A1 (en) * 2013-12-06 2015-06-11 Shape Security, Inc. Client/server security by an intermediary rendering modified in-memory objects
CN110386107A (zh) * 2018-04-20 2019-10-29 比亚迪股份有限公司 车辆及其解锁方法、解锁装置
WO2021008412A1 (zh) * 2019-07-17 2021-01-21 深圳市智物联网络有限公司 一种物联网设备的控制方法及系统
CN111147524A (zh) * 2020-02-19 2020-05-12 深圳市腾讯计算机系统有限公司 报文发送端的识别方法、装置和计算机可读存储介质
CN112395259A (zh) * 2021-01-21 2021-02-23 北京鲲鲸云科技有限公司 一种文件的操作系统、操作方法、计算机设备和介质
CN113944749A (zh) * 2021-09-30 2022-01-18 广西汽车集团有限公司 一种电动汽车p档控制的方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵辉程;孙玉文;陈韶伟;: "变电站程序化操作若干问题探讨", 江苏电机工程, no. 05 *

Similar Documents

Publication Publication Date Title
US12010251B2 (en) Electric border gateway device and method for chaining and storage of sensing data based on the same
Drias et al. Analysis of cyber security for industrial control systems
US11283835B1 (en) Systems and methods for establishing a secure communication link in an electric power distribution system
CN106789015B (zh) 一种智能配电网通信安全系统
US7673337B1 (en) System for secure online configuration and communication
CN111818032A (zh) 基于云平台的数据处理方法、装置及计算机程序
CN111209334A (zh) 基于区块链的电力终端数据安全管理方法
US11489554B2 (en) Systems and methods for establishing secure communication in an electric power distribution system with software defined network
Kong et al. Framework of decentralized multi-chain data management for power systems
US11777931B2 (en) Systems and methods for authorizing access to a component in an electric power distribution system
US11502825B2 (en) Systems and methods for using entropy data in an electric power distribution system
US11470059B2 (en) Systems and methods for establishing secure communication in an electric power distribution system
Jain et al. SCADA security: a review and enhancement for DNP3 based systems
CN110972136A (zh) 物联网安全通信模组、终端、安全控制系统及认证方法
CN106326736A (zh) 数据处理方法及系统
US11843479B2 (en) Systems and methods for establishing a secure communication link in an electric power distribution system
CN114124514A (zh) 一种电力全域物联网安全防护系统
CN108833500B (zh) 服务调用方法、服务提供方法、数据传递方法和服务器
Sun et al. Research on distributed feeder automation communication based on XMPP and GOOSE
KR20130068872A (ko) 원격 검침 시스템에서 검침 정보의 암호화를 위한 장치 및 방법
CN114726627A (zh) 基于安全网关的防护方法、装置、系统
CN106411559A (zh) 一种低压台区反窃电诊断系统
CN114745454A (zh) 边界防护装置、系统、方法、计算机设备及存储介质
US11811947B2 (en) Systems and methods for communicating data securely for an electric power delivery system
US11843583B2 (en) Systems and methods for adjusting a secure communication link in an electric power distribution system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination