CN106534110A - 一种三位一体的变电站二次***安全防护体系架构 - Google Patents

一种三位一体的变电站二次***安全防护体系架构 Download PDF

Info

Publication number
CN106534110A
CN106534110A CN201610981634.9A CN201610981634A CN106534110A CN 106534110 A CN106534110 A CN 106534110A CN 201610981634 A CN201610981634 A CN 201610981634A CN 106534110 A CN106534110 A CN 106534110A
Authority
CN
China
Prior art keywords
security
network
behavior
safety
subsystem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610981634.9A
Other languages
English (en)
Other versions
CN106534110B (zh
Inventor
汤震宇
沈全荣
李力
朱晓彤
张春合
文继锋
林青
张阳
胡绍谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NR Electric Co Ltd
NR Engineering Co Ltd
Original Assignee
NR Electric Co Ltd
NR Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NR Electric Co Ltd, NR Engineering Co Ltd filed Critical NR Electric Co Ltd
Priority to CN201610981634.9A priority Critical patent/CN106534110B/zh
Publication of CN106534110A publication Critical patent/CN106534110A/zh
Application granted granted Critical
Publication of CN106534110B publication Critical patent/CN106534110B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)

Abstract

本发明公开一种三位一体的变电站二次***安全防护体系架构。该体系架构集成结构安全子***作为第一道安全防线、本体安全子***作为第二道安全防线、行为安全子***作为网络行为安全的监测和管控。结构安全在二次***的网络边界上设置加密认证装置、网络隔离装置和防火墙设备;本体安全在网络节点设备上进行***加固;行为安全在二次***网络通信的整个过程中,设置网络行为安全监控装置和网络主机设备核查代理程序,实时监测网络通信,评估安全风险,推送预警提示,并进行安全审计。本发明从***结构边界、网络节点设备、网络动态行为三个层次构建立体的安防体系,可以大大提高二次***的安全性能。

Description

一种三位一体的变电站二次***安全防护体系架构
技术领域
本发明属于网络安全和电力自动化领域,特别涉及到有关变电站二次***的安全防护的架构设计。
背景技术
随着变电站二次***的网络化、数字化和智能化,变电站二次信息安全的形势变得日益严峻,当前比较明显的安全风险主要有:从结构上讲,二次***组网边界上存在安全风险。二次***作为相对独立的应用***,其组网结构安全性比较高,如果是和别的***开放性互联的甚至直接连接到公共通信网,则风险就比较高。从网络设备来讲,二次***中网络设备本身存在安全风险。每个网络设备的操作***有没有漏洞,应用软件会不会有逻辑炸弹,端口是否合理开放,通信协议是不是保密传输,网络设备在受到攻击时是否健壮等。从网络行为来讲,二次***不同业务复杂的通信交互带来风险,外部接入的运维也带来的风险。因此变电站二次安防体系的架构设计是否全面并且实用非常重要。
传统的变电站二次安防体系侧重***结构的边界安全,网络设备的本体安全尤其是网络通信的行为安全监控不足。现在智能变电站的二次***功能日益复杂,通信的网络化已经普遍,运维手段日趋多样化,因而变电站传统的侧重边界的安全防护体系显出不足。
因此,需要研究设计一种更全面适用的安全防护体系,在***的边界结构安全、网络节点设备的本体安全、通信交互的行为安全三个方面去建立一种多层次的立体的安全防护体系架构。
发明内容
本发明的目的,在于提出一种三位一体的变电站二次***安全防护体系架构,在***的边界结构安全、网络节点设备的本体安全、通信交互的行为安全三个方面去完善优化现在安全防护的不足。
为了达成上述目的,本发明的解决方案具体如下:
1)构建一种三位一体的变电站二次***安全防护体系架构,包括结构安全子***、本体安全子***、行为安全子***的多层次的立体的组合,其特征在于:
构建集成结构安全、本体安全、行为安全的多层次的立体的变电站二次***安全防护体系,在***网络的边界上设置电力专用纵向加密认证装置、正反向网络隔离装置、防火墙作为第一道安全防线,守护二次***整体的边界安全;在网络节点设备本身上,进行***加固设置第二道安全防线,守护二次***中各个网络设备在业务上基本的功能安全;在二次***网络通信的整个过程中,建立网络行为安全管控***,包括网络行为安全监控装置和网络节点设备核查代理程序,实时监测网络通信行为,评估安全风险,实时推送预警提示,并对***的网络安全进行审计。
2)构建结构安全子***,作为三位一体多层次立体组合的安防体系的第一道安全防线,在二次***网络独立组网的边界上设置加密认证装置、网络隔离装置和防火墙设备。结构安全实现二次***的业务出口、内部不同安全等级区域间交互的通信的安全防护,防止非法访问和外部攻击,保障二次***整体的边界安全。
3)构建本体安全子***,作为三位一体多层次立体组合的安防体系的第二道安全防线,是在二次***的网络节点设备上进行***加固,采用安全的硬件***和安全的操作***,关闭不安全的端口服务,增强用户口令的复杂度和强度,建立基于角色的访问控制,建立事件的记录和审计,对外通信建立加密认证控制。第二道安全防线实现网络节点设备本身的运行安全,防止对设备本身的非法访问和恶意攻击,保障二次***设备在功能运行上的安全。
4)构建行为安全子***,作为三位一体多层次立体组合的安防体系对网络行为的安全管控,包括独立设置行为安全监控装置和在网络节点设备中安装设备核查代理程序。行为安全监控装置通过***关键交换机上的镜像网口,获取***网络交互的全部通信数据,实时监测网络通信行为,核查网络节点设备的网络行为,存储原始报文和***日志,评估安全风险,实时推送预警提示,并对***的网络安全进行审计。网络行为安全管控实现对二次***网络行为的实时监控和分析,对安全风险进行评估和预警,保障二次***网络交互的安全水平。
本发明的有益效果是:构建集成结构安全、本体安全、行为安全的多层次立体的变电站二次***的安全防护体系,改变了变电站二次***安防体系上长期侧重于边界防护而缺少立体纵深防护的安全设计,在***网络的边界、节点设备、通信行为上全面监管安全风险,进行全***立体的实时监测和风险评估,可以大大提高二次***的安全性能。
附图说明
图1为本发明中的体系整体架构图;
图2为本发明中的体系架构中的结构安全子***图;
图3为本发明中的体系架构中的本体安全子***图;
图4为本发明中的体系架构中的行为安全子***图;
具体实施方式
为使本发明的技术方案和特点更加明确,下面对本发明作进一步的阐述。
1)本发明中的体系整体架构图如图1所示,构建集成结构安全子***、本体安全子***、行为安全子***的多层次立体的变电站二次***的安全防护体系架构。
2)在***网络的边界上设置电力专用纵向加密认证装置、正反向网络隔离装置、防火墙作为第一道安全防线,守护二次***整体的边界安全。
3)在网络节点设备本身上,进行***加固设置第二道安全防线,守护二次***中各个独立设备在业务上基本的功能安全。
4)在***网络通信的整个过程中,建立网络行为安全管控***,实时监测和审计网络通信行为,评估安全风险。
1)本发明中的体系架构中的结构安全子***图如图2所示,作为第一道安全防线的结构安全子***,在变电站二次***网络的边界上按照“网络专用、安全分区、横向隔离、纵向认证”的原则设置安全措施,其特征还在于以下步骤:
步骤一,二次***的网络按照物理独立的原则建设,和外部网络没有直接相连的环节;
步骤二,将二次***的网络结构划分为生产控制区和信息管理区,两个区域分别具备不同的安全等级;
步骤三,在二次***的生产控制区向主站的远动通信出口处,设置电力专用纵向加密认证装置,实现通信建立的认证和信息传输的加密;
步骤四,在二次***的生产控制区和信息管理区之间,设置正反向物理隔离装置,实现不能安全等级区域之间的数据单向传输;
步骤五,在二次***的信息管理区向主站的通信出口处,设置防火墙,实现通信访问和数据交互的安全过滤;
5)本发明中的体系架构中的本体安全子***图如图3所示,作为第二道安全防线的本体安全子***,在网络节点设备上进行***加固,其特征还在于以下步骤:
步骤一,采用安全的芯片、主板,设计网络设备的硬件***;
步骤二,采用安全的操作***,设计网络设备的软件***环境;
步骤三,关闭不安全的端口和服务;
步骤四,增强用户口令的复杂度和强度;
步骤五,在设备访问上建立基于角色的访问控制;
步骤六,建立事件的记录和审计;
步骤七,对外通信建立加密认证控制;
6)本发明中的体系架构中的行为安全子***图如图4所示,作为网络行为安全管控的行为安全子***,在***网络通中设置独立的行为安全监控装置和安装在网络节点设备中的设备核查代理程序两个部分,其特征还在于以下步骤:
步骤一,在***网络的关键交换机上建立镜像口,获取通过该交换机的全部交互数据;
步骤二,通过监测交换机通信数据,监测网络行为,监测网络流量,监视分析网络设备和网络连接的合法性;
步骤三,通过交换机镜像口,采集原始报文,存储原始报文;
步骤四,建立网络异常行为和原始现场报文的关联佐证;
步骤五,发现网络异常后立即推送到界面告警提醒;
步骤六,网络节点设备中的设备核查代理程序实时扫描设备中的进程、移动存储设备接入的特征变化,发送消息给行为安全监控装置,进行记录、告警;
步骤七,日志记录和事件审计;
步骤八,行为安全监控装置实时评估网络安全的风险,给出分析结果;
需要说明的是,以上所述仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (3)

1.一种三位一体的变电站二次***安全防护体系架构,包括结构安全子***、本体安全子***、行为安全子***,其特征在于:
所述结构安全子***通过在二次***的网络边界上设置加密认证装置、网络隔离装置和防火墙设备,构建第一道安全防线;
所述本体安全子***在网络节点设备上进行***加固,构建第二道安全防线;
所述行为安全子***在二次***网络通信的整个过程中,设置网络行为安全监控装置和网络主机设备核查代理程序,实时监测网络通信行为,评估安全风险,实时推送预警提示,并对***的网络安全进行审计,构建对网络行为的安全管控;
第一道安全防线守护二次***的整体边界安全,第一道安全防线失守后由第二道安全防线守护各个网络节点设备的功能安全,整个二次***网络通信行为的安全动态由行为安全子***实时监测和风险分析。
2.如权利1所述的一种三位一体的变电站二次***安全防护体系架构,其特征在于,所述本体安全子***,采用安全的硬件***和安全的操作***,关闭不安全的端口服务,增强用户口令的复杂度和强度,建立基于角色的访问控制,建立事件的记录和审计,对外通信建立加密认证控制,安全防护第二道安全防线实现网络节点设备本身的运行安全,防止对设备本身的非法访问和恶意攻击,保障二次***设备在功能运行上的安全。
3.如权利1所述的一种三位一体的变电站二次***安全防护体系架构,其特征在于,所述行为安全子***,作为安防体系架构中对网络行为的安全管控,包括独立设置的行为安全监控装置和安装在网络节点设备中的设备核查代理程序两个部分;行为安全监控装置通过***关键交换机上的镜像网口,获取***网络交互的全部通信数据,实时监测网络通信行为,核查网络节点设备的网络行为,存储原始报文和***日志,评估安全风险,实时推送预警提示,并对***的网络安全进行审计;网络行为安全管控实现对二次***网络行为的实时监控和分析,对安全风险进行评估和预警,保障二次***网络交互的安全水平。
CN201610981634.9A 2016-11-08 2016-11-08 一种三位一体的变电站二次***安全防护体系架构*** Active CN106534110B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610981634.9A CN106534110B (zh) 2016-11-08 2016-11-08 一种三位一体的变电站二次***安全防护体系架构***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610981634.9A CN106534110B (zh) 2016-11-08 2016-11-08 一种三位一体的变电站二次***安全防护体系架构***

Publications (2)

Publication Number Publication Date
CN106534110A true CN106534110A (zh) 2017-03-22
CN106534110B CN106534110B (zh) 2020-07-28

Family

ID=58350005

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610981634.9A Active CN106534110B (zh) 2016-11-08 2016-11-08 一种三位一体的变电站二次***安全防护体系架构***

Country Status (1)

Country Link
CN (1) CN106534110B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426171A (zh) * 2017-06-02 2017-12-01 国家电网公司 电力信息内网的安全防护方法和装置
CN109586409A (zh) * 2018-11-28 2019-04-05 广东电网有限责任公司 自动化调度***和自动化调度方法
CN109639681A (zh) * 2018-12-14 2019-04-16 三门核电有限公司 一种在线堆芯功率分布监测***

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7907050B1 (en) * 2003-09-30 2011-03-15 Rockwell Automation Technologies, Inc. Power supply communication system and method
CN103269332A (zh) * 2013-04-22 2013-08-28 中国南方电网有限责任公司 面向电力二次***的安全防护***
CN103473626A (zh) * 2013-08-20 2013-12-25 国家电网公司 一种基于调度数据网集中运维***的安全防护方法
CN103532776A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 业务流量检测方法及***
CN103546488A (zh) * 2013-11-05 2014-01-29 上海电机学院 电力二次***的主动安全防御***及方法
CN105847021A (zh) * 2015-01-13 2016-08-10 国家电网公司 一种智能电网调度控制***集中运维安全审计***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7907050B1 (en) * 2003-09-30 2011-03-15 Rockwell Automation Technologies, Inc. Power supply communication system and method
CN103269332A (zh) * 2013-04-22 2013-08-28 中国南方电网有限责任公司 面向电力二次***的安全防护***
CN103473626A (zh) * 2013-08-20 2013-12-25 国家电网公司 一种基于调度数据网集中运维***的安全防护方法
CN103532776A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 业务流量检测方法及***
CN103546488A (zh) * 2013-11-05 2014-01-29 上海电机学院 电力二次***的主动安全防御***及方法
CN105847021A (zh) * 2015-01-13 2016-08-10 国家电网公司 一种智能电网调度控制***集中运维安全审计***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
潘路: ""电力二次***网络信息安全防护的设计与实现"", 《中国优秀硕士学位论文全文数据库工程科技Ⅱ辑2015年第01期》 *
焦伟: ""电力调度自动化网络安全防护***的研究与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑 2015年第03期》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426171A (zh) * 2017-06-02 2017-12-01 国家电网公司 电力信息内网的安全防护方法和装置
CN109586409A (zh) * 2018-11-28 2019-04-05 广东电网有限责任公司 自动化调度***和自动化调度方法
CN109639681A (zh) * 2018-12-14 2019-04-16 三门核电有限公司 一种在线堆芯功率分布监测***

Also Published As

Publication number Publication date
CN106534110B (zh) 2020-07-28

Similar Documents

Publication Publication Date Title
Gunduz et al. Cyber-security on smart grid: Threats and potential solutions
Goel et al. Security challenges in smart grid implementation
CN104639624B (zh) 一种实现移动终端远程控制门禁的方法和装置
CN103269332B (zh) 面向电力二次***的安全防护***
CN108063751A (zh) 一种用于新能源电厂的公网安全接入方法
Fan et al. Overview of cyber-security of industrial control system
CN103856345B (zh) 服务器账号密码管理方法、***及服务器
CN109995796A (zh) 工控***终端安全防护方法
CN104184735A (zh) 电力营销移动应用安全防护***
CN106911529A (zh) 基于协议解析的电网工控安全检测***
CN106992984A (zh) 一种基于电力采集网的移动终端安全接入信息内网的方法
CN109543301A (zh) 一种基于工业控制的网络安全攻击原型建模方法
CN103546488A (zh) 电力二次***的主动安全防御***及方法
CN109347847A (zh) 一种智慧城市信息安全保障***
CN106534110A (zh) 一种三位一体的变电站二次***安全防护体系架构
CN107920089A (zh) 一种智能网荷互动终端信息安全防护认证加密方法
Czechowski et al. Cyber security in communication of SCADA systems using IEC 61850
CN106603489A (zh) 一种变电站网络安全管控装置
Mahboob et al. Intrusion avoidance for SCADA security in industrial plants
Cagalaban et al. Improving SCADA control systems security with software vulnerability analysis
CN105471857A (zh) 一种电网终端非法外联监测阻断方法
KR20170093429A (ko) 비상 상황에 대비한 전력 제어 시스템
Tefek et al. A Smart Grid Ontology: Vulnerabilities, Attacks, and Security Policies
Zou et al. Research and implementation of intelligent substation information security risk assessment tool
Saadat et al. Smart grid and cybersecurity challenges

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant