CN209233564U - 电力监控系统多层布局网络安全态势感知系统 - Google Patents
电力监控系统多层布局网络安全态势感知系统 Download PDFInfo
- Publication number
- CN209233564U CN209233564U CN201920868435.6U CN201920868435U CN209233564U CN 209233564 U CN209233564 U CN 209233564U CN 201920868435 U CN201920868435 U CN 201920868435U CN 209233564 U CN209233564 U CN 209233564U
- Authority
- CN
- China
- Prior art keywords
- area
- main website
- situation awareness
- network
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本实用新型公开电力监控系统多层布局网络安全态势感知系统,在厂站的I区、Ⅲ区均分别布置用于采集网络安全态势感知数据信息的网络安全态势感知采集装置;在地市主站、省级主站、网级主站的I区、Ⅱ区、Ⅲ区均分别布置有用于采集网络安全态势感知数据信息的网络安全态势感知采集装置;在省级主站、网级主站的Ⅱ区、Ⅲ区均分别布置有的用于应用和存储网络安全态势感知数据信息的态势感知主站系统;厂站、地市主站的生产控制大区内的网络安全态势感知采集装置通过调度数据网上传到省级主站、网级主站的态势感知主站系统;厂站、地市主站的管理信息大区内的网络安全态势感知采集装置通过综合业务数据网分上传到省级主站、网级主站的态势感知主站系统。
Description
技术领域
本实用新型涉及电力监控系统安全结构设计技术领域,主要涉及电力监控系统多层布局网络安全态势感知系统。
背景技术
电力监控系统安全防护尚存在安全态势感知布局结构不完善等问问题,具体表现在:对于主站端和厂站端安全运行数据采集手段不足,缺乏上下监管连接;电力监控系统安全合规性过于依赖人工手段,核查效率低下。基于微处理器的采集装置,当系统收到外界干扰时,程序就会跑飞,采集的数据就会丢失,系统就会瘫痪。
近期关于网络安全工作是电力系统重要的研究课题,现需要加快构建关键信息基础设施安全保障体系、全天候全方位感知网络安全态势等具体要求;
目前的网络安全设计是:无论是在主站、还是厂站,其网络安全监控都是自己在自身计算机或网络设备自我监管,没有形成上下关系的监管,现目前需要实现一种能系统的网络监控结构,来全方位支持对整个电力系统完成监控。
发明内容
本发明目的提供电力监控系统多层布局网络安全态势感知系统,该系统从多层交互互联采集的网络布局结构角度对电力监控系统的网络安全数据采集作出改进,从而提出一种完整的互联系统。
本发明通过下述技术方案实现:
电力监控系统多层布局网络安全态势感知系统,
接入地区调度数据网、地区综合业务数据网的厂站;
接入地区调度数据网、地区综合业务数据网的地市主站;
接入省干调度数据网、省干综合业务数据网的省级主站;
接入主干调度数据网、主干综合业务数据网的网级主站;
地区调度数据网、省干调度数据网、主干调度数据网互联通信,地区综合业务数据网、省干综合业务数据网、主干综合业务数据网互联通信;
其中,厂站、地市主站、省级主站、网级主站均分为生产控制大区和管理信息大区,生产控制大区分为生产类的I区、控制类的Ⅱ区,管理信息大区分为管理类的Ⅲ区、办公类的Ⅳ区,其中I区、控制类的Ⅱ区之间采用防火墙隔离,管理类的Ⅲ区、办公类的Ⅳ区之间采用防火墙隔离;
在厂站的I区、Ⅲ区均分别布置有用于采集网络安全态势感知数据信息的网络安全态势感知采集装置;在地市主站、省级主站、网级主站的I区、Ⅱ区、Ⅲ区均分别布置有用于采集网络安全态势感知数据信息的网络安全态势感知采集装置;在省级主站、网级主站的Ⅱ区、Ⅲ区均分别布置有的用于应用和存储网络安全态势感知数据信息的态势感知主站系统;
各主站和厂站汇总网络安全态势感知数据信息时按网络分别进行汇总:
其中,
厂站、地市主站的生产控制大区内的网络安全态势感知采集装置通过调度数据网非实时VPN的方式上传到省级主站、网级主站的态势感知主站系统;
厂站、地市主站的管理信息大区内的网络安全态势感知采集装置通过综合业务数据网分上传到省级主站、网级主站的态势感知主站系统;
厂站的上级为省级主站、网级主站,地市主站的上级为省级主站、网级主站。
在网级主站、省级主站的I区的网络安全态势感知采集装置对I区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的I区的网络安全态势感知采集装置通过I区与II区之间的横向互联防火墙将I区内网络设备的网络安全态势感知数据信息传递给II区的态势感知主站系统;
在网级主站、省级主站的II区的网络安全态势感知采集装置对II区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的II区的网络安全态势感知采集装置将II区内网络设备的网络安全态势感知数据信息传递给II区的态势感知主站系统;
在网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给Ⅲ区的态势感知主站系统。
网级主站、省级主站的I区的网络设备包括:控制区横向交换机、控制区纵向交换机,控制区横向交换机、控制区纵向交换机的数量均有2个,网级主站、省级主站的I区的网络安全态势感知采集装置同时与控制区横向交换机、控制区纵向交换机交互连接;
网级主站、省级主站的II区的网络设备包括:非控制区横向交换机、非控制区纵向交换机,非控制区横向交换机、非控制区纵向交换机的数量均有2个,网级主站、省级主站的II区的网络安全态势感知采集装置同时与非控制区横向交换机、非控制区纵向交换机交互连接;
网级主站、省级主站的Ⅲ区的网络设备包括:局域交换机,局域交换机的数量均有2个,网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置同时与局域交换机交互连接。
在厂站的I区的网络安全态势感知采集装置对I区、II区内网络设备的网络安全态势感知数据信息进行采集,厂站的I区的网络安全态势感知采集装置将I区、II区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站II区的态势感知主站系统;
在厂站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,厂站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站Ⅲ区的态势感知主站系统;
在地市主站的I区、II区的网络安全态势感知采集装置分别对I区、II区内网络设备的网络安全态势感知数据信息进行采集,厂站的I区、II区的网络安全态势感知采集装置分别将I区、II区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站II区的态势感知主站系统;
在地市主站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,地市主站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站Ⅲ区的态势感知主站系统。
地市主站的I区的网络设备包括:控制区横向交换机、控制区纵向交换机,控制区横向交换机、控制区纵向交换机的数量均有2个,地市主站的I区的网络安全态势感知采集装置同时与控制区横向交换机、控制区纵向交换机交互连接;
地市主站的II区的网络设备包括:非控制区横向交换机、非控制区纵向交换机,非控制区横向交换机、非控制区纵向交换机的数量均有2个,地市主站的II区的网络安全态势感知采集装置同时与非控制区横向交换机、非控制区纵向交换机交互连接;
地市主站的Ⅲ区的网络设备包括:局域交换机,局域交换机的数量均有2个,地市主站的Ⅲ区的网络安全态势感知采集装置同时与局域交换机交互连接。
厂站的I区的网络设备包括:控制区互联交换机、站控层交换机、安稳交换机、PMU交换机、保信交换机、故障录播交换机,厂站的II区的网络设备包括:非控制区互联交换机;控制区互联交换机、站控层交换机、非控制区互联交换机的数量均有2个,厂站的I区的网络安全态势感知采集装置同时与控制区互联交换机、站控层交换机、安稳交换机、PMU交换机、保信交换机、故障录播交换机、非控制区互联交换机交互连接;
厂站的Ⅲ区的网络设备包括:综合数据网交换机、视频监控系统交换机、在线监测交换机,厂站的Ⅲ区的网络安全态势感知采集装置同时与综合数据网交换机、视频监控系统交换机、在线监测交换机交互连接。
网络安全态势感知采集装置通过上述交换机采集上述交换机本身的网络安全态势感知数据信息,同时网络安全态势感知采集装置通过上述交换机采集通用主机、嵌入式主机、其他网络设备、安全设备的网络安全态势感知数据信息;所述通用主机包括采用通用操作系统的服务器、工作站,嵌入式主机采用非通用操作系统或无操作系统的嵌入式装置;其他网络设备包括路由器,安全设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、入侵检测系统设备、运维操作审计系统设备、防病毒系统设备。
生产控制大区和管理信息大区采用正向隔离装置、反向隔离装置进行隔离。
采集通用主机、嵌入式主机、安全设备的网络安全态势感知数据信息时,网络安全态势感知数据信息包括日志信息;采集网络设备的网络安全态势感知数据信息时,网络安全态势感知数据信息包括日志信息、通信流信息。
采集时,采用主动采集通信模式和被动采集通信模式进行采集,其中主动采集方式包括SNMP、Agent、ICMP、SSH、网络主动扫描主动采集通信模式,被动采集通信模式包括Trap、Syslog、流量嗅探。
本发明与现有技术相比,具有如下的优点和有益效果:本发明在电力监控系统中布置网络安全态势感知采集装置,其中在厂站布局有2台,一台布局在I区、一台布局在Ⅲ区,在地市主站、网级主站、省级主站均各自布局有3台,一台布局的I区、一台布局在II区、一台布局在Ⅲ区;并且在网级主站、省级主站布局态势感知主站系统,态势感知主站系统由数据库服务器、应用服务器、前置服务器组成,其用来统一汇总、分析及展示采集来的网络安全态势感知数据信息;而本实用新型通过上述布局、以及上述通信连接关系,将上述网络安全态势感知采集装置有效的与电力监控系统融合,其中还直接采用与网络设备交互的方式通过对网络设备从而获取各个与网络设备交互的安全设备、以及通用主机、嵌入式主机的网络安全态势感知数据信息的采集,其不必直接对具体的设备进行监控和采集,避免复杂的布线。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:
图1为本实用新型总体布局图。
图2为厂站中网络安全态势感知采集装置与其它设备的互连图。
图3为主站中网络安全态势感知采集装置与其它设备的互连图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
如图1所示,
电力监控系统多层布局网络安全态势感知系统,其特征在于:
接入地区调度数据网、地区综合业务数据网的厂站;
接入地区调度数据网、地区综合业务数据网的地市主站;
接入省干调度数据网、省干综合业务数据网的省级主站;
接入主干调度数据网、主干综合业务数据网的网级主站;
地区调度数据网、省干调度数据网、主干调度数据网互联通信,地区综合业务数据网、省干综合业务数据网、主干综合业务数据网互联通信;
其中,厂站、地市主站、省级主站、网级主站均分为生产控制大区和管理信息大区,生产控制大区分为生产类的I区、控制类的Ⅱ区,管理信息大区分为管理类的Ⅲ区、办公类的Ⅳ区,其中I区、控制类的Ⅱ区之间采用防火墙隔离,管理类的Ⅲ区、办公类的Ⅳ区之间采用防火墙隔离;
在厂站的I区、Ⅲ区均分别布置有用于采集网络安全态势感知数据信息的网络安全态势感知采集装置;在地市主站、省级主站、网级主站的I区、Ⅱ区、Ⅲ区均分别布置有用于采集网络安全态势感知数据信息的网络安全态势感知采集装置;在省级主站、网级主站的Ⅱ区、Ⅲ区均分别布置有的用于应用和存储网络安全态势感知数据信息的态势感知主站系统;
各主站和厂站汇总网络安全态势感知数据信息时按网络分别进行汇总:
其中,
厂站、地市主站的生产控制大区内的网络安全态势感知采集装置通过调度数据网非实时VPN的方式上传到省级主站、网级主站的态势感知主站系统;
厂站、地市主站的管理信息大区内的网络安全态势感知采集装置通过综合业务数据网分上传到省级主站、网级主站的态势感知主站系统;
厂站的上级为省级主站、网级主站,地市主站的上级为省级主站、网级主站。
如图1所示,本发明在电力监控系统中布置网络安全态势感知采集装置,其中在厂站布局有2台,一台布局在I区、一台布局在Ⅲ区,在地市主站、网级主站、省级主站均各自布局有3台,一台布局的I区、一台布局在II区、一台布局在Ⅲ区;并且在网级主站、省级主站布局态势感知主站系统,态势感知主站系统由数据库服务器、应用服务器、前置服务器组成,其用来统一汇总、分析及展示采集来的网络安全态势感知数据信息;而本实用新型通过上述布局、以及上述通信连接关系,将上述网络安全态势感知采集装置有效的与电力监控系统融合。同时,如图1所示,生产控制大区内的网络安全态势感知采集装置通过调度数据网上传汇总,管理信息大区内的网络安全态势感知采集装置通过综合业务数据网分上传汇总,本实用新型还采用了上述分网传输的方式进行传输线路设计,进行数据的有效隔离。
电力监控系统网络安全态势感知主站系统、厂站装置在生产控制大区的态势感知数据信息通过调度数据网非实时VPN进行交互;主站系统、厂站装置在管理信息大区的态势感知数据信息通过综合数据网进行交互。
总的来说,在网、省级主站部署态势感知主站系统。网级态势感知主站系统实现对网级电力监控系统主站系统、各省市电力监控系统以及厂站电力监控系统网络安全态势感知数据的汇总、以及展示;省级态势感知主站系统实现对省级电力监控系统主站系统、各地市电力监控系统以及厂站的态势感知数据的汇总、以及展示;在地市级及以下主站端部署态势感知采集汇聚服务器,实现对本地市局本部电力监控系统及厂站态势感知数据采集,上送至省级主站系统进行统一汇总、及展示。
如图3所示,图3为主站中网络安全态势感知采集装置与其它设备的互连图,其中该主站包括网级主站、省级主站,但对于地市主站,参考其在图3中没有态势感知主站系统的结构布局。在图3中,设置了网络设备,以及与网络设备连接的通用主机、嵌入式主机。
如图3所示,具体部署说明有:
1)在安全I、II、III区分别部署采集装置;
2)安全I区采集装置实现安全I区设备的数据采集、处理及通信功能,并通过横向互联防火墙与安全II区主站系统实现通信;
3)安全II区采集装置实现安全II区设备的数据采集、处理及通信功能,并与安全II区主站系统实现通信;
4)安全III区采集装置实现安全III区设备的数据采集、处理及通信功能,并与安全III区主站系统实现通信。
其结构设计点在于通过网络安全态势感知采集装置与各区的交换机交互,从而采集数据。具体的:
在网级主站、省级主站的I区的网络安全态势感知采集装置对I区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的I区的网络安全态势感知采集装置通过I区与II区之间的横向互联防火墙将I区内网络设备的网络安全态势感知数据信息传递给II区的态势感知主站系统;
在网级主站、省级主站的II区的网络安全态势感知采集装置对II区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的II区的网络安全态势感知采集装置将II区内网络设备的网络安全态势感知数据信息传递给II区的态势感知主站系统;
在网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给Ⅲ区的态势感知主站系统。
网级主站、省级主站的I区的网络设备包括:控制区横向交换机、控制区纵向交换机,控制区横向交换机、控制区纵向交换机的数量均有2个,网级主站、省级主站的I区的网络安全态势感知采集装置同时与控制区横向交换机、控制区纵向交换机交互连接;
网级主站、省级主站的II区的网络设备包括:非控制区横向交换机、非控制区纵向交换机,非控制区横向交换机、非控制区纵向交换机的数量均有2个,网级主站、省级主站的II区的网络安全态势感知采集装置同时与非控制区横向交换机、非控制区纵向交换机交互连接;
网级主站、省级主站的Ⅲ区的网络设备包括:局域交换机,局域交换机的数量均有2个,网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置同时与局域交换机交互连接。
如图2所示,图2为厂站中网络安全态势感知采集装置与其它设备的互连图,其中,在图2中,设置了网络设备,以及与网络设备连接的通用主机、嵌入式主机、安全设备,具体设备名称和连接关系请参考附图得出即可,上述设备名称和连接关系仅代表一种布置关系,并非唯一性,其设计要点在于厂站中网络安全态势感知采集装置通过各个交换机连接,从而与其它被采设备交互,获得被采设备的安全数据,因此只要基于该点设计均应纳入本实用新型的保护范畴中。
如图2所示,其部署说明有:
1)在安全I区、III区分别部署采集装置;
2)安全I区采集装置实现对安全I区、安全II区和站控层等设备的数据采集、处理及通信功能,并通过横向互联防火墙与上级安全II区主站系统实现通信;
3)安全III区采集装置对安全III区设备的数据采集、处理及通信功能,并通过安全III区与上级主站系统实现通信。
在厂站的I区的网络安全态势感知采集装置对I区、II区内网络设备的网络安全态势感知数据信息进行采集,厂站的I区的网络安全态势感知采集装置将I区、II区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站II区的态势感知主站系统;
在厂站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,厂站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站Ⅲ区的态势感知主站系统;
在地市主站的I区、II区的网络安全态势感知采集装置分别对I区、II区内网络设备的网络安全态势感知数据信息进行采集,厂站的I区、II区的网络安全态势感知采集装置分别将I区、II区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站II区的态势感知主站系统;
在地市主站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,地市主站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站Ⅲ区的态势感知主站系统。
地市主站的I区的网络设备包括:控制区横向交换机、控制区纵向交换机,控制区横向交换机、控制区纵向交换机的数量均有2个,地市主站的I区的网络安全态势感知采集装置同时与控制区横向交换机、控制区纵向交换机交互连接;
地市主站的II区的网络设备包括:非控制区横向交换机、非控制区纵向交换机,非控制区横向交换机、非控制区纵向交换机的数量均有2个,地市主站的II区的网络安全态势感知采集装置同时与非控制区横向交换机、非控制区纵向交换机交互连接;
地市主站的Ⅲ区的网络设备包括:局域交换机,局域交换机的数量均有2个,地市主站的Ⅲ区的网络安全态势感知采集装置同时与局域交换机交互连接。
厂站的I区的网络设备包括:控制区互联交换机、站控层交换机、安稳交换机、PMU交换机、保信交换机、故障录播交换机,厂站的II区的网络设备包括:非控制区互联交换机;控制区互联交换机、站控层交换机、非控制区互联交换机的数量均有2个,厂站的I区的网络安全态势感知采集装置同时与控制区互联交换机、站控层交换机、安稳交换机、PMU交换机、保信交换机、故障录播交换机、非控制区互联交换机交互连接;
厂站的Ⅲ区的网络设备包括:综合数据网交换机、视频监控系统交换机、在线监测交换机,厂站的Ⅲ区的网络安全态势感知采集装置同时与综合数据网交换机、视频监控系统交换机、在线监测交换机交互连接。
网络安全态势感知采集装置通过上述交换机采集上述交换机本身的网络安全态势感知数据信息,同时网络安全态势感知采集装置通过上述交换机采集通用主机、嵌入式主机、其他网络设备、安全设备的网络安全态势感知数据信息;所述通用主机包括采用通用操作系统的服务器、工作站,嵌入式主机采用非通用操作系统或无操作系统的嵌入式装置;其他网络设备包括路由器,安全设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、入侵检测系统设备、运维操作审计系统设备、防病毒系统设备。
生产控制大区和管理信息大区采用正向隔离装置、反向隔离装置进行隔离。
采集通用主机、嵌入式主机、安全设备的网络安全态势感知数据信息时,网络安全态势感知数据信息包括日志信息;采集网络设备的网络安全态势感知数据信息时,网络安全态势感知数据信息包括日志信息、通信流信息。
采集时,采用主动采集通信模式和被动采集通信模式进行采集,其中主动采集方式包括SNMP、Agent、ICMP、SSH、网络主动扫描主动采集通信模式,被动采集通信模式包括Trap、Syslog、流量嗅探。
对于具体的采集内容,本实施例仅举例说明:
例如:对于通用主机-Windows主机的采集,其采集内容有:
| 序号 | 采集内容 | 采集频率 | 采集方式 |
| 1 | 登录 | 触发 | Agent |
| 2 | 关键文件变更 | 周期(5分钟) | Agent |
| 3 | USB设备 | 触发 | Agent |
| 4 | CPU利用率 | 周期(5分钟) | SNMP |
| 5 | 内存利用率 | 周期(5分钟) | SNMP |
| 6 | 磁盘使用率 | 周期(5分钟) | SNMP |
| 7 | 网口状态 | 触发或周期(5分钟) | SNMP或SNMP Trap |
| 8 | 在线状态 | 周期(5分钟) | ICMP |
| 9 | 设备信息(IP、MAC) | 周期(15分钟) | 网络主动扫描 |
| 10 | 设备信息(开放端口) | 周期(24小时) | 网络主动扫描 |
| 11 | 操作系统版本 | 周期(24小时) | 网络主动扫描 |
例如:对于通用主机-类Unix主机采集的采集,其采集内容有:
例如:对于嵌入式主机的采集,其采集内容有:
| 序号 | 采集内容 | 采集频率 | 采集方式 |
| 1 | 在线状态 | 周期(5分钟) | ICMP |
| 2 | 设备信息(IP、MAC) | 周期(15分钟) | 网络主动扫描 |
| 3 | 设备信息(开放端口) | 周期(24小时) | 网络主动扫描 |
| 4 | 操作系统版本 | 周期(24小时) | 网络主动扫描 |
例如:对于网络设备-交换机的采集,其采集内容有:
例如:对于网络设备-路由器的采集,其采集内容有:
例如:对于安全设备-纵向加密认证装置的采集,其采集内容有:
| 序号 | 采集内容 | 采集频率 | 采集方式 |
| 1 | 登录成功 | 触发 | Syslog |
| 2 | 登录失败 | 触发 | Syslog |
| 3 | 退出登录 | 触发 | Syslog |
| 4 | 修改配置 | 触发 | Syslog |
| 5 | CPU利用率 | 周期(1分钟) | Syslog |
| 6 | 内存利用率 | 周期(1分钟) | Syslog |
| 7 | 网口状态 | 触发 | Syslog |
| 8 | 备机心跳丢失 | 触发 | Syslog |
| 9 | 装置明密文数据统计 | 触发 | Syslog |
| 10 | 隧道建立错误 | 触发 | Syslog |
| 11 | 不符合安全策略的访问 | 触发 | Syslog |
| 12 | 在线状态 | 周期(5分钟) | ICMP或Syslog |
| 13 | 设备信息(IP、MAC) | 周期(15分钟) | 网络主动扫描 |
| 14 | 设备信息(开放端口) | 周期(24小时) | 网络主动扫描 |
| 15 | 操作系统版本 | 周期(24小时) | 网络主动扫描 |
例如:对于安全设备-正向隔离装置的采集,其采集内容有:
| 序号 | 采集内容 | 采集频率 | 采集方式 |
| 1 | 登录成功 | 触发 | Syslog |
| 2 | 登录失败 | 触发 | Syslog |
| 3 | 退出登录 | 触发 | Syslog |
| 4 | 修改配置 | 触发 | Syslog |
| 5 | CPU利用率 | 周期(1分钟) | Syslog |
| 6 | 内存利用率 | 周期(1分钟) | Syslog |
| 7 | 不符合安全策略的访问 | 触发 | Syslog |
| 8 | 在线状态 | 触发 | ICMP或Syslog |
| 9 | 设备信息(IP、MAC) | 触发 | 网络主动扫描 |
| 10 | 设备信息(开放端口) | 周期(24小时) | 网络主动扫描 |
| 11 | 操作系统版本 | 周期(24小时) | 网络主动扫描 |
例如:对于安全设备-反向隔离装置的采集,其采集内容有:
例如:对于安全设备-硬件防火墙设备的采集,其采集内容有:
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.电力监控系统多层布局网络安全态势感知系统,其特征在于:包括
接入地区调度数据网、地区综合业务数据网的厂站;
接入地区调度数据网、地区综合业务数据网的地市主站;
接入省干调度数据网、省干综合业务数据网的省级主站;
接入主干调度数据网、主干综合业务数据网的网级主站;
地区调度数据网、省干调度数据网、主干调度数据网互联通信,地区综合业务数据网、省干综合业务数据网、主干综合业务数据网互联通信;
其中,厂站、地市主站、省级主站、网级主站均分为生产控制大区和管理信息大区,生产控制大区分为生产类的I区、控制类的Ⅱ区,管理信息大区分为管理类的Ⅲ区、办公类的Ⅳ区,其中I区、控制类的Ⅱ区之间采用防火墙隔离,管理类的Ⅲ区、办公类的Ⅳ区之间采用防火墙隔离;
在厂站的I区、Ⅲ区均分别布置有用于采集网络安全态势感知数据信息的网络安全态势感知采集装置;在地市主站、省级主站、网级主站的I区、Ⅱ区、Ⅲ区均分别布置有用于采集网络安全态势感知数据信息的网络安全态势感知采集装置;在省级主站、网级主站的Ⅱ区、Ⅲ区均分别布置有的用于应用和存储网络安全态势感知数据信息的态势感知主站系统;
各主站和厂站汇总网络安全态势感知数据信息时按网络分别进行汇总:
其中,
厂站、地市主站的生产控制大区内的网络安全态势感知采集装置通过调度数据网非实时VPN的方式上传到省级主站、网级主站的态势感知主站系统;
厂站、地市主站的管理信息大区内的网络安全态势感知采集装置通过综合业务数据网分上传到省级主站、网级主站的态势感知主站系统;
厂站的上级为省级主站、网级主站,地市主站的上级为省级主站、网级主站。
2.根据权利要求1所述的电力监控系统多层布局网络安全态势感知系统,其特征在于:
在网级主站、省级主站的I区的网络安全态势感知采集装置对I区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的I区的网络安全态势感知采集装置通过I区与II区之间的横向互联防火墙将I区内网络设备的网络安全态势感知数据信息传递给II区的态势感知主站系统;
在网级主站、省级主站的II区的网络安全态势感知采集装置对II区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的II区的网络安全态势感知采集装置将II区内网络设备的网络安全态势感知数据信息传递给II区的态势感知主站系统;
在网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给Ⅲ区的态势感知主站系统。
3.根据权利要求2所述的电力监控系统多层布局网络安全态势感知系统,其特征在于:
网级主站、省级主站的I区的网络设备包括:控制区横向交换机、控制区纵向交换机,控制区横向交换机、控制区纵向交换机的数量均有2个,网级主站、省级主站的I区的网络安全态势感知采集装置同时与控制区横向交换机、控制区纵向交换机交互连接;
网级主站、省级主站的II区的网络设备包括:非控制区横向交换机、非控制区纵向交换机,非控制区横向交换机、非控制区纵向交换机的数量均有2个,网级主站、省级主站的II区的网络安全态势感知采集装置同时与非控制区横向交换机、非控制区纵向交换机交互连接;
网级主站、省级主站的Ⅲ区的网络设备包括:局域交换机,局域交换机的数量均有2个,网级主站、省级主站的Ⅲ区的网络安全态势感知采集装置同时与局域交换机交互连接。
4.根据权利要求1所述的电力监控系统多层布局网络安全态势感知系统,其特征在于:
在厂站的I区的网络安全态势感知采集装置对I区、II区内网络设备的网络安全态势感知数据信息进行采集,厂站的I区的网络安全态势感知采集装置将I区、II区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站II区的态势感知主站系统;
在厂站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,厂站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站Ⅲ区的态势感知主站系统;
在地市主站的I区、II区的网络安全态势感知采集装置分别对I区、II区内网络设备的网络安全态势感知数据信息进行采集,厂站的I区、II区的网络安全态势感知采集装置分别将I区、II区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站II区的态势感知主站系统;
在地市主站的Ⅲ区的网络安全态势感知采集装置对Ⅲ区内网络设备的网络安全态势感知数据信息进行采集,地市主站的Ⅲ区的网络安全态势感知采集装置将Ⅲ区内网络设备的网络安全态势感知数据信息传递给网级主站、省级主站Ⅲ区的态势感知主站系统。
5.根据权利要求4所述的电力监控系统多层布局网络安全态势感知系统,其特征在于:
地市主站的I区的网络设备包括:控制区横向交换机、控制区纵向交换机,控制区横向交换机、控制区纵向交换机的数量均有2个,地市主站的I区的网络安全态势感知采集装置同时与控制区横向交换机、控制区纵向交换机交互连接;
地市主站的II区的网络设备包括:非控制区横向交换机、非控制区纵向交换机,非控制区横向交换机、非控制区纵向交换机的数量均有2个,地市主站的II区的网络安全态势感知采集装置同时与非控制区横向交换机、非控制区纵向交换机交互连接;
地市主站的Ⅲ区的网络设备包括:局域交换机,局域交换机的数量均有2个,地市主站的Ⅲ区的网络安全态势感知采集装置同时与局域交换机交互连接。
6.根据权利要求4所述的电力监控系统多层布局网络安全态势感知系统,其特征在于:
厂站的I区的网络设备包括:控制区互联交换机、站控层交换机、安稳交换机、PMU交换机、保信交换机、故障录播交换机,厂站的II区的网络设备包括:非控制区互联交换机;控制区互联交换机、站控层交换机、非控制区互联交换机的数量均有2个,厂站的I区的网络安全态势感知采集装置同时与控制区互联交换机、站控层交换机、安稳交换机、PMU交换机、保信交换机、故障录播交换机、非控制区互联交换机交互连接;
厂站的Ⅲ区的网络设备包括:综合数据网交换机、视频监控系统交换机、在线监测交换机,厂站的Ⅲ区的网络安全态势感知采集装置同时与综合数据网交换机、视频监控系统交换机、在线监测交换机交互连接。
7.根据权利要求3、5、6中任意一项所述的电力监控系统多层布局网络安全态势感知系统,其特征在于:
网络安全态势感知采集装置通过上述交换机采集上述交换机本身的网络安全态势感知数据信息,同时网络安全态势感知采集装置通过上述交换机采集通用主机、嵌入式主机、其他网络设备、安全设备的网络安全态势感知数据信息;所述通用主机包括采用通用操作系统的服务器、工作站,嵌入式主机采用非通用操作系统或无操作系统的嵌入式装置;其他网络设备包括路由器,安全设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、入侵检测系统设备、运维操作审计系统设备、防病毒系统设备。
8.根据权利要求7所述的电力监控系统多层布局网络安全态势感知系统,其特征在于:采集通用主机、嵌入式主机、安全设备的网络安全态势感知数据信息时,网络安全态势感知数据信息包括日志信息;采集网络设备的网络安全态势感知数据信息时,网络安全态势感知数据信息包括日志信息、通信流信息。
9.根据权利要求7所述的电力监控系统多层布局网络安全态势感知系统,其特征在于:采集时,采用主动采集通信模式和被动采集通信模式进行采集,其中主动采集方式包括SNMP、Agent、ICMP、SSH、网络主动扫描主动采集通信模式,被动采集通信模式包括Trap、Syslog、流量嗅探。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201920868435.6U CN209233564U (zh) | 2019-06-11 | 2019-06-11 | 电力监控系统多层布局网络安全态势感知系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201920868435.6U CN209233564U (zh) | 2019-06-11 | 2019-06-11 | 电力监控系统多层布局网络安全态势感知系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN209233564U true CN209233564U (zh) | 2019-08-09 |
Family
ID=67511462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201920868435.6U Active CN209233564U (zh) | 2019-06-11 | 2019-06-11 | 电力监控系统多层布局网络安全态势感知系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN209233564U (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111262862A (zh) * | 2020-01-16 | 2020-06-09 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
| CN112578222A (zh) * | 2020-11-27 | 2021-03-30 | 国网山东省电力公司济宁供电公司 | 一种配电终端离线检测方法、系统及平台 |
| CN112885069A (zh) * | 2021-01-27 | 2021-06-01 | 深圳供电局有限公司 | 计量自动化系统的通信方法、系统、装置和计算机设备 |
| CN113467311A (zh) * | 2021-07-08 | 2021-10-01 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
| CN113949554A (zh) * | 2021-10-13 | 2022-01-18 | 东南大学 | 一种分布式网络全局态势感知数据高速传输方法 |
| CN114422162A (zh) * | 2021-11-26 | 2022-04-29 | 中国大唐集团科学技术研究院有限公司火力发电技术研究院 | 一种火电机组的生产控制大区安全态势感知系统 |
-
2019
- 2019-06-11 CN CN201920868435.6U patent/CN209233564U/zh active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111262862A (zh) * | 2020-01-16 | 2020-06-09 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
| CN111262862B (zh) * | 2020-01-16 | 2021-11-23 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
| CN112578222A (zh) * | 2020-11-27 | 2021-03-30 | 国网山东省电力公司济宁供电公司 | 一种配电终端离线检测方法、系统及平台 |
| CN112885069A (zh) * | 2021-01-27 | 2021-06-01 | 深圳供电局有限公司 | 计量自动化系统的通信方法、系统、装置和计算机设备 |
| CN113467311A (zh) * | 2021-07-08 | 2021-10-01 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
| CN113949554A (zh) * | 2021-10-13 | 2022-01-18 | 东南大学 | 一种分布式网络全局态势感知数据高速传输方法 |
| CN113949554B (zh) * | 2021-10-13 | 2024-02-02 | 东南大学 | 一种分布式网络全局态势感知数据高速传输方法 |
| CN114422162A (zh) * | 2021-11-26 | 2022-04-29 | 中国大唐集团科学技术研究院有限公司火力发电技术研究院 | 一种火电机组的生产控制大区安全态势感知系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN209233564U (zh) | 电力监控系统多层布局网络安全态势感知系统 | |
| CN103236949B (zh) | 一种服务器集群的监控方法、装置与系统 | |
| Chen et al. | Enabling technologies for future data center networking: a primer | |
| CN102638470B (zh) | 一种wifi上网过滤方法 | |
| CN108965256A (zh) | 一种基于ssh反向隧道远程管理嵌入式设备的系统及方法 | |
| CN202183039U (zh) | 一种基于移动网络vpn技术的智能机柜监控系统 | |
| CN105790990B (zh) | 一种监管配用电通信业务的方法及其系统 | |
| WO2008042741A3 (en) | Methods and systems for centralized cluster management in wireless switch architecture | |
| CN105656715B (zh) | 用于监测云计算环境下网络设备的状态的方法和装置 | |
| CN103501345B (zh) | 一种远程集中控制系统的控制方法 | |
| CN106897190A (zh) | 一种整机柜服务器及其管理单元间的数据交互方法及系统 | |
| CN207083085U (zh) | 一种多制式数传电台系统 | |
| CN102340417A (zh) | 一种基于移动网络vpn技术的智能机柜监控系统 | |
| KR102411423B1 (ko) | 이종 네트워크 통합 배선 장애 관리 시스템 및 그 방법 | |
| CN102968837B (zh) | 变电站门禁系统的控制方法和系统 | |
| CN101986658A (zh) | 基于snmp网络协议的视频矩阵远程监控管理系统 | |
| CN106850816A (zh) | 一种基于虚拟局域网的远程网络控制系统 | |
| CN204155134U (zh) | 一种光伏组件发电集中监测系统 | |
| CN108471452B (zh) | 一种单机柜数据中心监控方法、系统及装置 | |
| CN207676391U (zh) | 一种可脱机跨控制器消防联动控制系统 | |
| CN105743782A (zh) | 多网卡设备网络切换时路由的控制方法 | |
| CN114338749B (zh) | 一种多功能智慧酒店rcu网关 | |
| CN109818806A (zh) | 一种电网公司带内管理与带外管理相结合的应用网络管控方法 | |
| CN106559341B (zh) | 一种报文转发方法及装置 | |
| CN205029682U (zh) | 一种it设备状态监控装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190805 Address after: 510000 Unit 1604, Main Building 371-1 Wushan Road, Tianhe District, Guangzhou City, Guangdong Province (Office only) Patentee after: Guangzhou Zhaohe Power Technology Co., Ltd. Address before: 610000 Chengdu City, Sichuan Province, China (Sichuan) Free Trade Pilot Zone Patentee before: Chengdu Wide Area Information Security Technology Co., Ltd. |