CN209607185U - 一种电力监控系统网络安全防护实训系统 - Google Patents
一种电力监控系统网络安全防护实训系统 Download PDFInfo
- Publication number
- CN209607185U CN209607185U CN201822033572.6U CN201822033572U CN209607185U CN 209607185 U CN209607185 U CN 209607185U CN 201822033572 U CN201822033572 U CN 201822033572U CN 209607185 U CN209607185 U CN 209607185U
- Authority
- CN
- China
- Prior art keywords
- electric power
- power monitoring
- station side
- experience system
- main station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本实用新型属于电力系统实训系统技术领域,具体涉及一种电力监控系统网络安全防护实训系统。针对市场上尚无电力监控系统网络安全防护实训系统的不足,本实用新型采用如下技术方案:一种电力监控系统网络安全防护实训系统,包括主站端和厂站端,所述主站端和场站端分别包括路由器、主机、交换机,所述主站端与厂站端的主机之间经过纵向加密认证装置进行纵向通信,所述主站端和场站端还被区分为生产控制大区和管理信息大区,所述生产控制大区和管理信息大区之间的主机经过正反向隔离装置进行横向通信。本实用新型的实训系统的有益效果是:可模拟电力监控系统,在同一拓扑环境中同时满足网络安全防护系统和电力调度数据网的培训需求。
Description
技术领域
本实用新型属于电力系统实训系统技术领域,具体涉及一种电力监控系统网络安全防护实训系统。
背景技术
随着网络技术的发展,网络安全的形势也越来越严峻,针对工业控制系统的网络安全,已经成为各国黑客竞相攻击的目标。网络攻击已经成为一种新的杀伤力更强的战争手段,一旦电力监控系统遭受网络攻击发生大电网崩溃事故,将会带来灾难性的后果。对此,国家经贸委、电监会、发改委,作为电力主管部门,先后发布了3项强制命令,推动整个电力行业监控系统、安全防护体系的建立。电力企业也高度重视电力监控系统的网络安全,及时采取加强法制、技术、管理、人力保障、资金支持等一系列措施。
根据电力二次系统的特点,划分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。信息管理大区分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。不同安全区确定不同安全防护要求,其中安全区Ⅰ安全等级最高,安全区Ⅱ次之,其余依次类推。安全区Ⅰ典型系统:调度自动化系统、变电站自动化系统、继电保护、安全自动控制系统等。安全区Ⅱ典型系统:水库调度自动化系统、电能量计量系统、继保及故障录波信息管理系统等。安全区Ⅲ典型系统:调度生产管理系统(DMIS)、雷电监测系统、统计报表系统等。安全区Ⅳ典型系统:管理信息系统(MIS)、办公自动化系统(OA)、客户服务系统等。
目前电网企业的电力监控系统安防系统中,不仅包含纵向加密认证装置、电力专用单向隔离装置、内网安全监测装置、内网监控平台、电力调度数字证书系统等相关专用安防设备,还包括防火墙、入侵监测装置、防病毒系统等通用安防设备,同时包括Windows 主机加固、Linux 主机加固、数据库加固、安全操作系统等技术。电力监控系统安防系统涉及的安全设备种类众多、知识庞杂、技术更替迅速、专业性很强,急需一套先进、全面、完备、简明、可扩展的培训系统,以满足对电力监控系统网络安全防护的培训需要。而目前市面上尚无此类实训产品,或者此类实训产品仍有提升空间。
发明内容
本实用新型针对市场上尚无电力监控系统网络安全防护实训系统的不足,提供一种电力监控系统网络安全防护实训系统,可模拟电力监控系统,满足培训需求。
为实现上述目的,本实用新型采用如下技术方案:一种电力监控系统网络安全防护实训系统,包括主站端和厂站端,所述主站端和场站端分别包括路由器、主机、交换机,所述主站端与厂站端的主机之间经过纵向加密认证装置进行纵向通信,所述主站端和场站端还被区分为生产控制大区和管理信息大区,所述生产控制大区和管理信息大区之间的主机经过正反向隔离装置进行横向通信。
本实用新型的电力监控系统网络安全防护实训系统,结合电力监控系统网络安全的专业特点,既包含安防设备又包含网络设备,可在同一拓扑环境中同时满足网络安全防护系统和电力调度数据网的培训需求。
作为改进,所述主站端和场站端分别设有与路由器相连的纵向加密认证装置,所述纵向加密认证装置为双进双出纵向加密装置。
作为改进,所述主站端生产控制大区的主机配置有用于模拟业务前置机或者用于内网安全监视平台的部署培训的安全操作系统;所述主站端管理信息大区和厂站端主机配置为用于模拟业务主机或用于提供安全加固等环境。
作为改进,所述实训系统还包括用于正反向隔离装置和纵向加密认证装置的安装培训的调试主机,所述调试主机分别与正反向隔离装置和纵向加密认证装置相连接。
作为改进,所述实训系统还包括用于漏洞扫描的部署培训的调试主机。
作为改进,所述生产控制大区包括I区和II区,所述I区和II区之间设有防火墙。
作为改进,所述厂站端部署有Ⅱ型安全监测装置。
作为改进,所述主站端的I区部署有I型网络安全监测装置。
作为改进,所述主站端部署有内网安全监管平台。
作为改进,所述实训系统具有多个工位,每个工位配有两套实训环境,每套实训环境包括所述主站端和厂站端;所述实训系统的各设备均位于同一实训室内。
本实用新型的实训系统的有益效果是:可模拟电力监控系统,在同一拓扑环境中同时满足网络安全防护系统和电力调度数据网的培训需求。
附图说明
图1是本实用新型实施例的实训系统的实训室房间内的布局图。
图2是本实用新型实施例的实训系统的工位内实训环境拓扑图。
具体实施方式
下面结合本发明创造实施例的附图,对本发明创造实施例的技术方案进行解释和说明,但下述实施例仅为本发明创造的优选实施例,并非全部。基于实施方式中的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的其他实施例,都属于本发明创造的保护范围。
参见图1和图2,一种电力监控系统网络安全防护实训系统,包括主站端和厂站端,所述主站端和场站端分别包括路由器、主机、交换机,所述主站端与厂站端的主机之间经过纵向加密认证装置进行纵向通信,所述主站端和场站端还被区分为生产控制大区和管理信息大区,所述生产控制大区和管理信息大区之间的主机经过正反向隔离装置进行横向通信。
作为改进,所述实训系统具有多个工位,每个工位配有两套实训环境,每套实训环境包括所述主站端和厂站端;所述实训系统的各设备均位于同一实训室内。具体地,所述实训系统包括6个工位,每个工位包含两个相对独立的实训环境,可同时供2-6人开展实训,共12套实训环境。整个实训系统部署于一间实训教室中。
实训系统包括网络安全监管平台共计6 套,主站、厂站纵向加密认证装置共计12台,正向/反向型横向隔离装置共计12 台,网络安全监测装置(Ⅱ 型)共计6 台,网络安全监测装置(I型)共计6 台,主站/厂站路由器共计12 台,交换机共计24 台,工作站/调试工作站/PC 共计 24 台,服务器共计12 台,防火墙共计12 台。每套实训环境内,Ⅰ/Ⅱ区与Ⅲ区的主机之间经过正反向隔离装置实现物理隔离,I区与Ⅱ区之间通过防火墙实现逻辑隔离,主站与厂站的主机之间经过纵向加密认证装置进行纵向通信,通过主机agent、安防设备SYSLOG、I型/Ⅱ型网络安全监测装置和网络安全管理平台实现“监测对象自身感知、监测装置分布采集、管理平台统一管控”的网络安全管理体系。通过虚拟机和物理机结合,实现国产安全操作系统、Windows操作系统、数据库、防火墙的安全加固。通过路由器、交换机等网络设备,实现OSPF、IS-IS、BGP、MPLS、VPN等电力调度数据网所用的网络技术。
每个工位内的两个实训环境,采用相同的配置结构,分别配置国内主流的两个厂家的产品,其区别主要在于一套实训环境内的隔离装置、纵向加密认证装置、网络安全监测装置和内网监视平台采购自不同供应商,其他主机(工作站)的设置均相同。
在网络拓扑上,通过两台路由器和4台交换机,分别模拟接入网和骨干网。可实现OSPF、IS-IS、BGP、MPLS、VPN等电力调度数据网文件的模拟。
在横向边界上,按照生产现场实际分为安全I区(控制区)、安全Ⅱ区(非控制区)和安全Ⅲ区。在安全I区和安全Ⅱ区之间部署国产硬件防火墙,实现两个VPN之间的逻辑隔离;在生产控制大区和管理信息大区之间部署电力专用横向单向正反向隔离装置,实现物理隔离。
在纵向边界上,实训环境分为主站端和厂站端,并在两端配备两台纵向加密认证装置,实现了对“纵向隔离”环境的模拟。其中,主站端纵向加密认证装置部署于局域网交换机和骨干网路由器之间,厂站端纵向加密认证装置部署于站控层交换机和接入网路由器之间,模拟了纵向加密认证装置的两种典型的部署方式。
各分区内的工作站作为业务主机,由交换机实现业务接入,模拟了调度数据网的业务接入环境。在主站和厂站端分别部署I型和II型网络安全监测装置,Ⅰ型网络安全监测装置主要实现对主站调度机构内部的主机设备、网络设备、安全设备进行监测;Ⅱ型网络安全监测装置主要实现对变电站站控层、发电厂涉网部分的主机设备、网络设备、安全设备进行监测。系统按照设备自身感知、监测装置分布采集、管理平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系,支持网络安全监管业务的统一管控、分级管理。
三台工作站具备多种培训功能。其中,Ⅰ/Ⅱ区主站侧工作站部署凝思安全操作系统,可模拟Ⅰ区业务前置机,还可用于内网安全监视平台的部署和培训;Ⅲ区工作站和厂站端工作站可用于模拟业务主机,还可以提供安全加固等环境的配置和培训。另有一台PC机配置Windows系统,可用于横向隔离、纵向加密等设备管理工具的安装和培训,还可用于漏洞扫描等工具的部署和培训。
纵向加密认证装置具有配置工具,可实现各种配置模式,隧道配置、策略配置、管理中心配置等相关操作,能够根据网络拓扑环境完成设备配置的基本操作,能够根据实际业务需求设置精确的安全隧道和安全策略。
纵向加密认证装置具备网络报文分析能力,观察纵向加密认证装置工作状态,能够分析并精准定位纵向加密认证装置运行问题,具备独立解决常见问题的能力。
横向隔离装置,包括正向型横向隔离装置和反向型横向隔离装置。正向型横向隔离装置具有配置工具,可实现各种配置模式,规则配置等相关操作,能够根据网络拓扑环境完成设备配置的基本操作,能够根据实际业务需求设置精准的安全规则。反向型横向隔离装置具有配置工具,可实现规则配置、隧道配置等相关操作,能够根据网络拓扑环境完成设备配置的基本操作,能够根据实际业务需求设置精准的安全规则和建立安全隧道。
横向隔离装置,专用传输软件发送端和接收端的安装设置及传输任务的建立,能够完成CIM-E 文本的反向跨区传输。
横向隔离装置,具备网络报文分析能力,能够分析并精准定位隔离装置运行问题,具备独立解决常见问题的能力。
作为改进,所述主站端和场站端分别设有与路由器相连的纵向加密认证装置,所述纵向加密认证装置为双进双出纵向加密装置。
作为改进,所述主站端生产控制大区的主机配置有用于模拟业务前置机或者用于内网安全监视平台的部署培训的安全操作系统;所述主站端管理信息大区和厂站端主机配置为用于模拟业务主机或用于提供安全加固等环境。
作为改进,所述实训系统还包括用于正反向隔离装置和纵向加密认证装置的安装培训的调试主机,所述调试主机分别与正反向隔离装置和纵向加密认证装置相连接。
作为改进,所述实训系统还包括用于漏洞扫描的部署培训的调试主机。
作为改进,所述生产控制大区包括I区和II区,所述I区和II区之间设有防火墙。
作为改进,所述厂站端部署有Ⅱ型安全监测装置。网络安全监测装置,能够根据网络拓扑环境完成设备配置,对所监测的设备接入配置等相关操作。网络安全监测装置,具备网络报文及日志分析能力,能够分析并精准定位网络安全监测装置配置及运行问题,具备独立解决常见问题的能力。
作为改进,所述主站端的I区部署有I型网络安全监测装置。
作为改进,所述主站端部署有内网安全监管平台。内网安全监管平台,可实现监管平台各类监视对象资产(主机设备、网络设备、数据库、安全设备与系统)的操作,包含添加、修改、删除等各类资产指标项的监视,以使及时了解安防资产的运行情况。
内网安全监管平台,可实现对纵向加密认证装置的远程管理操作,包含添加设备策略,隧道等基本操作,还可操作远程添加厂站新业务。
内网安全监管平台,可实现对网络安全监测装置的远程管理操作,包含添加设备资产,对接入的监测设备(主机设备、网络设备、数据库、安全设备与系统)进行告警处理;对服务器进行安全核查。
内网安全监管平台,可实现告警信息历史审计,建立各种查询条件,包含按设备类型,告警时间,日志类型查询告警信息。
内网安全监管平台,可实现实时告警监视,包含查找主要运行指标含义,告警详情查看,告警确认和按区域、设备类型选择监视信息。
内网安全监管平台,可实现按时间段统计分析设备运行情况,包含统计在线率、密通率、告警信息和设备数量信息,按照电压等级统计安全指数和运行趋势等。
内网安全监管平台,可实现日志查询操作,包括查询平台、对接入的监测设备(主机设备、网络设备、数据库、安全设备与系统)的操作日志以及错误日志等。为追溯和解决问题提供依据。
本实用新型实施例的实训系统的有益效果是:1、结合电力监控系统网络安全的专业特点,既包含安防设备又包含网络设备,可在同一拓扑环境中同时满足网络安全防护系统和电力调度数据网的培训需求;2、针对电力监控系统网络安全防护系统的独特要求,结构精简、功能全面、设备齐全,可满足智能电网网络安全防护系统的全面实训需要;3、在布局完备、保障功能的前提下,合理精简网络结构,实现一机多用;5、可实现对内网监视平台、纵向加密认证装置、横向隔离装置、安全操作系统、安全加固操作的教学和练习;6、可实现主流厂家的电力安全专用设备、操作平台和管理软件的特性对比,可体现不同厂家对电力监控系统安全防护的具体实现方法;7、可实现调度数据网网络设备基础配置、交换技术、路由技术的教学和练习。
以上所述,仅为本发明创造的具体实施方式,但本发明创造的保护范围并不局限于此,熟悉该本领域的技术人员应该明白本发明创造包括但不限于附图和上面具体实施方式中描述的内容。任何不偏离本发明创造的功能和结构原理的修改都将包括在权利要求书的范围中。
Claims (10)
1.一种电力监控系统网络安全防护实训系统,其特征在于:所述实训系统包括主站端和厂站端,所述主站端和场站端分别包括路由器、主机、交换机,所述主站端与厂站端的主机之间经过纵向加密认证装置进行纵向通信,所述主站端和场站端还被区分为生产控制大区和管理信息大区,所述生产控制大区和管理信息大区之间的主机经过正反向隔离装置进行横向通信。
2.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述主站端和场站端分别设有与路由器相连的纵向加密认证装置,所述纵向加密认证装置为双进双出纵向加密装置。
3.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述主站端生产控制大区的主机配置有用于模拟业务前置机或者用于内网安全监视平台的部署培训的安全操作系统;所述主站端管理信息大区和厂站端主机配置为用于模拟业务主机或用于提供安全加固环境。
4.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述实训系统还包括用于正反向隔离装置和纵向加密认证装置的安装培训的调试主机,所述调试主机分别与正反向隔离装置和纵向加密认证装置相连接。
5.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述实训系统还包括用于漏洞扫描的部署培训的调试主机。
6.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述生产控制大区包括I区和II区,所述I区和II区之间设有防火墙。
7.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述厂站端部署有Ⅱ型安全监测装置。
8.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述主站端的I区部署有I型网络安全监测装置。
9.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述主站端部署有内网安全监管平台。
10.根据权利要求1所述的一种电力监控系统网络安全防护实训系统,其特征在于:所述实训系统具有多个工位,每个工位配有两套实训环境,每套实训环境包括所述主站端和厂站端;所述实训系统的各设备均位于同一实训室内。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201822033572.6U CN209607185U (zh) | 2018-12-05 | 2018-12-05 | 一种电力监控系统网络安全防护实训系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201822033572.6U CN209607185U (zh) | 2018-12-05 | 2018-12-05 | 一种电力监控系统网络安全防护实训系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN209607185U true CN209607185U (zh) | 2019-11-08 |
Family
ID=68396618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201822033572.6U Active CN209607185U (zh) | 2018-12-05 | 2018-12-05 | 一种电力监控系统网络安全防护实训系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN209607185U (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110867967A (zh) * | 2019-11-27 | 2020-03-06 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统通信的背景流量回放方法 |
CN111049686A (zh) * | 2019-12-20 | 2020-04-21 | 北京科东电力控制系统有限责任公司 | 一种电力监控系统安全防护虚拟实验室及其构建方法 |
CN111208779A (zh) * | 2020-01-15 | 2020-05-29 | 中能融合智慧科技有限公司 | 基于单独组网的工控系统数据处理系统及方法 |
CN111262862A (zh) * | 2020-01-16 | 2020-06-09 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
CN112383150A (zh) * | 2020-11-27 | 2021-02-19 | 中能电力科技开发有限公司 | 一种新能源电力监控系统安全监测装置 |
CN112600789A (zh) * | 2020-11-18 | 2021-04-02 | 南方电网数字电网研究院有限公司 | 信息传输方法、装置、电力计量设备和存储介质 |
CN113542100A (zh) * | 2021-07-30 | 2021-10-22 | 国网青海省电力公司信息通信公司 | 电厂安全防护系统及方法 |
CN113746852A (zh) * | 2021-09-08 | 2021-12-03 | 滨州学院 | 一种电力监控系统的网络安全风险监控系统及方法 |
CN115134127A (zh) * | 2022-06-09 | 2022-09-30 | 国网浙江省电力有限公司 | 电力监控网络安全测试系统 |
-
2018
- 2018-12-05 CN CN201822033572.6U patent/CN209607185U/zh active Active
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110867967A (zh) * | 2019-11-27 | 2020-03-06 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统通信的背景流量回放方法 |
CN110867967B (zh) * | 2019-11-27 | 2023-11-10 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统通信的背景流量回放方法 |
CN111049686A (zh) * | 2019-12-20 | 2020-04-21 | 北京科东电力控制系统有限责任公司 | 一种电力监控系统安全防护虚拟实验室及其构建方法 |
CN111049686B (zh) * | 2019-12-20 | 2022-07-22 | 北京科东电力控制系统有限责任公司 | 一种电力监控系统安全防护虚拟实验室及其构建方法 |
CN111208779A (zh) * | 2020-01-15 | 2020-05-29 | 中能融合智慧科技有限公司 | 基于单独组网的工控系统数据处理系统及方法 |
CN111262862A (zh) * | 2020-01-16 | 2020-06-09 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
CN111262862B (zh) * | 2020-01-16 | 2021-11-23 | 中能融合智慧科技有限公司 | 基于单独组网及数据加密的工控系统数据处理系统及方法 |
CN112600789A (zh) * | 2020-11-18 | 2021-04-02 | 南方电网数字电网研究院有限公司 | 信息传输方法、装置、电力计量设备和存储介质 |
CN112383150A (zh) * | 2020-11-27 | 2021-02-19 | 中能电力科技开发有限公司 | 一种新能源电力监控系统安全监测装置 |
CN113542100A (zh) * | 2021-07-30 | 2021-10-22 | 国网青海省电力公司信息通信公司 | 电厂安全防护系统及方法 |
CN113746852A (zh) * | 2021-09-08 | 2021-12-03 | 滨州学院 | 一种电力监控系统的网络安全风险监控系统及方法 |
CN115134127A (zh) * | 2022-06-09 | 2022-09-30 | 国网浙江省电力有限公司 | 电力监控网络安全测试系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN209607185U (zh) | 一种电力监控系统网络安全防护实训系统 | |
CN105429133B (zh) | 一种面向信息网络攻击的电网脆弱性节点评估方法 | |
CN106230032B (zh) | 一种基于电力调度数据网的风电场群生产调度运维系统 | |
CN103227797A (zh) | 分布式电力企业信息网络安全管理系统 | |
CN104506507A (zh) | 一种sdn网络的蜜网安全防护系统及方法 | |
CN107171293A (zh) | 智能电网中实现继电保护运维信息多维发布的系统及方法 | |
CN103036727B (zh) | 电力通信网络区域安全预警方法及其系统 | |
CN105847021A (zh) | 一种智能电网调度控制系统集中运维安全审计系统 | |
CN108170073B (zh) | 一种智能光伏云平台 | |
CN106878466B (zh) | 一种水电机组数据管理和设备控制一体化平台 | |
CN105867347B (zh) | 一种基于机器学习技术的跨空间级联故障检测方法 | |
CN104538957A (zh) | 用于统计低频低压切负荷容量的电网模型自适应处理方法 | |
CN105306471A (zh) | 智能电网安全域边界设备访问控制策略管控系统及方法 | |
CN201741234U (zh) | 城市消防远程监控管理系统 | |
Ravikumar et al. | Next-generation cps testbed-based grid exercise-synthetic grid, attack, and defense modeling | |
CN104468184B (zh) | 一种电力通信设备业务支持能力的分析方法及系统 | |
CN108510162B (zh) | 一种有源配电网安全效能评估方法 | |
CN103854230A (zh) | 电力安全风险管控系统和方法 | |
CN105703479B (zh) | 通道延伸实现主站、厂站自动化设备上下联动的方法 | |
Zou et al. | Research and implementation of intelligent substation information security risk assessment tool | |
CN103034231B (zh) | 一种用于工控设备的测试床方法 | |
CN106789182B (zh) | 电厂等级保护自动测评装置的检测评分系统和实现方法 | |
Nan et al. | Hidden vulnerabilities due to interdependencies between two systems | |
CN106878103A (zh) | 一种mms报文遥测数据提取方法 | |
CN104125082B (zh) | 用于电力系统通讯网络的监测方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant |