CN106534110B - 一种三位一体的变电站二次***安全防护体系架构*** - Google Patents
一种三位一体的变电站二次***安全防护体系架构*** Download PDFInfo
- Publication number
- CN106534110B CN106534110B CN201610981634.9A CN201610981634A CN106534110B CN 106534110 B CN106534110 B CN 106534110B CN 201610981634 A CN201610981634 A CN 201610981634A CN 106534110 B CN106534110 B CN 106534110B
- Authority
- CN
- China
- Prior art keywords
- safety
- network
- behavior
- subsystem
- secondary system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
本发明公开一种三位一体的变电站二次***安全防护体系架构。该体系架构集成结构安全子***作为第一道安全防线、本体安全子***作为第二道安全防线、行为安全子***作为网络行为安全的监测和管控。结构安全在二次***的网络边界上设置加密认证装置、网络隔离装置和防火墙设备;本体安全在网络节点设备上进行***加固;行为安全在二次***网络通信的整个过程中,设置网络行为安全监控装置和网络主机设备核查代理程序,实时监测网络通信,评估安全风险,推送预警提示,并进行安全审计。本发明从***结构边界、网络节点设备、网络动态行为三个层次构建立体的安防体系,可以大大提高二次***的安全性能。
Description
技术领域
本发明属于网络安全和电力自动化领域,特别涉及到有关变电站二次***的安全防护的架构设计。
背景技术
随着变电站二次***的网络化、数字化和智能化,变电站二次信息安全的形势变得日益严峻,当前比较明显的安全风险主要有:从结构上讲,二次***组网边界上存在安全风险。二次***作为相对独立的应用***,其组网结构安全性比较高,如果是和别的***开放性互联的甚至直接连接到公共通信网,则风险就比较高。从网络设备来讲,二次***中网络设备本身存在安全风险。每个网络设备的操作***有没有漏洞,应用软件会不会有逻辑炸弹,端口是否合理开放,通信协议是不是保密传输,网络设备在受到攻击时是否健壮等。从网络行为来讲,二次***不同业务复杂的通信交互带来风险,外部接入的运维也带来的风险。因此变电站二次安防体系的架构设计是否全面并且实用非常重要。
传统的变电站二次安防体系侧重***结构的边界安全,网络设备的本体安全尤其是网络通信的行为安全监控不足。现在智能变电站的二次***功能日益复杂,通信的网络化已经普遍,运维手段日趋多样化,因而变电站传统的侧重边界的安全防护体系显出不足。
因此,需要研究设计一种更全面适用的安全防护体系,在***的边界结构安全、网络节点设备的本体安全、通信交互的行为安全三个方面去建立一种多层次的立体的安全防护体系架构。
发明内容
本发明的目的,在于提出一种三位一体的变电站二次***安全防护体系架构,在***的边界结构安全、网络节点设备的本体安全、通信交互的行为安全三个方面去完善优化现在安全防护的不足。
为了达成上述目的,本发明的解决方案具体如下:
1)构建一种三位一体的变电站二次***安全防护体系架构,包括结构安全子***、本体安全子***、行为安全子***的多层次的立体的组合,其特征在于:
构建集成结构安全、本体安全、行为安全的多层次的立体的变电站二次***安全防护体系,在***网络的边界上设置电力专用纵向加密认证装置、正反向网络隔离装置、防火墙作为第一道安全防线,守护二次***整体的边界安全;在网络节点设备本身上,进行***加固设置第二道安全防线,守护二次***中各个网络设备在业务上基本的功能安全;在二次***网络通信的整个过程中,建立网络行为安全管控***,包括网络行为安全监控装置和网络节点设备核查代理程序,实时监测网络通信行为,评估安全风险,实时推送预警提示,并对***的网络安全进行审计。
2)构建结构安全子***,作为三位一体多层次立体组合的安防体系的第一道安全防线,在二次***网络独立组网的边界上设置加密认证装置、网络隔离装置和防火墙设备。结构安全实现二次***的业务出口、内部不同安全等级区域间交互的通信的安全防护,防止非法访问和外部攻击,保障二次***整体的边界安全。
3)构建本体安全子***,作为三位一体多层次立体组合的安防体系的第二道安全防线,是在二次***的网络节点设备上进行***加固,采用安全的硬件***和安全的操作***,关闭不安全的端口服务,增强用户口令的复杂度和强度,建立基于角色的访问控制,建立事件的记录和审计,对外通信建立加密认证控制。第二道安全防线实现网络节点设备本身的运行安全,防止对设备本身的非法访问和恶意攻击,保障二次***设备在功能运行上的安全。
4)构建行为安全子***,作为三位一体多层次立体组合的安防体系对网络行为的安全管控,包括独立设置行为安全监控装置和在网络节点设备中安装设备核查代理程序。行为安全监控装置通过***关键交换机上的镜像网口,获取***网络交互的全部通信数据,实时监测网络通信行为,核查网络节点设备的网络行为,存储原始报文和***日志,评估安全风险,实时推送预警提示,并对***的网络安全进行审计。网络行为安全管控实现对二次***网络行为的实时监控和分析,对安全风险进行评估和预警,保障二次***网络交互的安全水平。
本发明的有益效果是:构建集成结构安全、本体安全、行为安全的多层次立体的变电站二次***的安全防护体系,改变了变电站二次***安防体系上长期侧重于边界防护而缺少立体纵深防护的安全设计,在***网络的边界、节点设备、通信行为上全面监管安全风险,进行全***立体的实时监测和风险评估,可以大大提高二次***的安全性能。
附图说明
图1为本发明中的体系整体架构图;
图2为本发明中的体系架构中的结构安全子***图;
图3为本发明中的体系架构中的本体安全子***图;
图4为本发明中的体系架构中的行为安全子***图;
具体实施方式
为使本发明的技术方案和特点更加明确,下面对本发明作进一步的阐述。
1)本发明中的体系整体架构图如图1所示,构建集成结构安全子***、本体安全子***、行为安全子***的多层次立体的变电站二次***的安全防护体系架构。
2)在***网络的边界上设置电力专用纵向加密认证装置、正反向网络隔离装置、防火墙作为第一道安全防线,守护二次***整体的边界安全。
3)在网络节点设备本身上,进行***加固设置第二道安全防线,守护二次***中各个独立设备在业务上基本的功能安全。
4)在***网络通信的整个过程中,建立网络行为安全管控***,实时监测和审计网络通信行为,评估安全风险。
1)本发明中的体系架构中的结构安全子***图如图2所示,作为第一道安全防线的结构安全子***,在变电站二次***网络的边界上按照“网络专用、安全分区、横向隔离、纵向认证”的原则设置安全措施,其特征还在于以下步骤:
步骤一,二次***的网络按照物理独立的原则建设,和外部网络没有直接相连的环节;
步骤二,将二次***的网络结构划分为生产控制区和信息管理区,两个区域分别具备不同的安全等级;
步骤三,在二次***的生产控制区向主站的远动通信出口处,设置电力专用纵向加密认证装置,实现通信建立的认证和信息传输的加密;
步骤四,在二次***的生产控制区和信息管理区之间,设置正反向物理隔离装置,实现不能安全等级区域之间的数据单向传输;
步骤五,在二次***的信息管理区向主站的通信出口处,设置防火墙,实现通信访问和数据交互的安全过滤;
5)本发明中的体系架构中的本体安全子***图如图3所示,作为第二道安全防线的本体安全子***,在网络节点设备上进行***加固,其特征还在于以下步骤:
步骤一,采用安全的芯片、主板,设计网络设备的硬件***;
步骤二,采用安全的操作***,设计网络设备的软件***环境;
步骤三,关闭不安全的端口和服务;
步骤四,增强用户口令的复杂度和强度;
步骤五,在设备访问上建立基于角色的访问控制;
步骤六,建立事件的记录和审计;
步骤七,对外通信建立加密认证控制;
6)本发明中的体系架构中的行为安全子***图如图4所示,作为网络行为安全管控的行为安全子***,在***网络通中设置独立的行为安全监控装置和安装在网络节点设备中的设备核查代理程序两个部分,其特征还在于以下步骤:
步骤一,在***网络的关键交换机上建立镜像口,获取通过该交换机的全部交互数据;
步骤二,通过监测交换机通信数据,监测网络行为,监测网络流量,监视分析网络设备和网络连接的合法性;
步骤三,通过交换机镜像口,采集原始报文,存储原始报文;
步骤四,建立网络异常行为和原始现场报文的关联佐证;
步骤五,发现网络异常后立即推送到界面告警提醒;
步骤六,网络节点设备中的设备核查代理程序实时扫描设备中的进程、移动存储设备接入的特征变化,发送消息给行为安全监控装置,进行记录、告警;
步骤七,日志记录和事件审计;
步骤八,行为安全监控装置实时评估网络安全的风险,给出分析结果;
需要说明的是,以上所述仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (2)
1.一种三位一体的变电站二次***安全防护体系架构***,包括结构安全子***、本体安全子***、行为安全子***,其特征在于:
所述结构安全子***通过在二次***的网络边界上设置加密认证装置、网络隔离装置和防火墙设备,构建第一道安全防线;
所述本体安全子***在网络节点设备上进行***加固,构建第二道安全防线;
所述行为安全子***在二次***网络通信的整个过程中,设置网络行为安全监控装置和网络主机设备核查代理程序,实时监测网络通信行为,评估安全风险,实时推送预警提示,并对***的网络安全进行审计,构建对网络行为的安全管控;
第一道安全防线守护二次***的整体边界安全,第一道安全防线失守后由第二道安全防线守护各个网络节点设备的功能安全,整个二次***网络通信行为的安全动态由行为安全子***实时监测和风险分析;
其中,所述行为安全子***,作为安全防护体系架构***中对网络行为的安全管控,包括独立设置的行为安全监控装置和安装在网络节点设备中的设备核查代理程序两个部分;行为安全监控装置通过***关键交换机上的镜像网口,获取***网络交互的全部通信数据,实时监测网络通信行为,核查网络节点设备的网络行为,存储原始报文和***日志,评估安全风险,实时推送预警提示,并对***的网络安全进行审计;网络节点设备中的设备核查代理程序实时扫描设备中的进程、移动存储设备接入的特征变化,发送消息给行为安全监控装置,进行记录、告警;网络行为安全管控实现对二次***网络行为的实时监控和分析,对安全风险进行评估和预警,保障二次***网络交互的安全水平。
2.如权利要求1所述的一种三位一体的变电站二次***安全防护体系架构***,其特征在于,所述本体安全子***,采用安全的硬件***和安全的操作***,关闭不安全的端口服务,增强用户口令的复杂度和强度,建立基于角色的访问控制,建立事件的记录和审计,对外通信建立加密认证控制,安全防护第二道安全防线实现网络节点设备本身的运行安全,防止对设备本身的非法访问和恶意攻击,保障二次***设备在功能运行上的安全。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610981634.9A CN106534110B (zh) | 2016-11-08 | 2016-11-08 | 一种三位一体的变电站二次***安全防护体系架构*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610981634.9A CN106534110B (zh) | 2016-11-08 | 2016-11-08 | 一种三位一体的变电站二次***安全防护体系架构*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106534110A CN106534110A (zh) | 2017-03-22 |
CN106534110B true CN106534110B (zh) | 2020-07-28 |
Family
ID=58350005
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610981634.9A Active CN106534110B (zh) | 2016-11-08 | 2016-11-08 | 一种三位一体的变电站二次***安全防护体系架构*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106534110B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426171A (zh) * | 2017-06-02 | 2017-12-01 | 国家电网公司 | 电力信息内网的安全防护方法和装置 |
CN109586409B (zh) * | 2018-11-28 | 2020-11-10 | 广东电网有限责任公司 | 自动化调度***和自动化调度方法 |
CN109639681B (zh) * | 2018-12-14 | 2022-04-05 | 三门核电有限公司 | 一种在线堆芯功率分布监测*** |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103269332A (zh) * | 2013-04-22 | 2013-08-28 | 中国南方电网有限责任公司 | 面向电力二次***的安全防护*** |
CN103532776A (zh) * | 2013-09-30 | 2014-01-22 | 广东电网公司电力调度控制中心 | 业务流量检测方法及*** |
CN103546488A (zh) * | 2013-11-05 | 2014-01-29 | 上海电机学院 | 电力二次***的主动安全防御***及方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7327221B1 (en) * | 2003-09-30 | 2008-02-05 | Rockwell Automation Technologies, Inc. | Power supply communication system and method |
CN103473626A (zh) * | 2013-08-20 | 2013-12-25 | 国家电网公司 | 一种基于调度数据网集中运维***的安全防护方法 |
CN105847021B (zh) * | 2015-01-13 | 2019-06-14 | 国家电网公司 | 一种智能电网调度控制***集中运维安全审计*** |
-
2016
- 2016-11-08 CN CN201610981634.9A patent/CN106534110B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103269332A (zh) * | 2013-04-22 | 2013-08-28 | 中国南方电网有限责任公司 | 面向电力二次***的安全防护*** |
CN103532776A (zh) * | 2013-09-30 | 2014-01-22 | 广东电网公司电力调度控制中心 | 业务流量检测方法及*** |
CN103546488A (zh) * | 2013-11-05 | 2014-01-29 | 上海电机学院 | 电力二次***的主动安全防御***及方法 |
Non-Patent Citations (1)
Title |
---|
"电力二次***网络信息安全防护的设计与实现";潘路;《中国优秀硕士学位论文全文数据库工程科技Ⅱ辑2015年第01期》;20150115;第2-4章,图2-4至图2-6,图4-1 * |
Also Published As
Publication number | Publication date |
---|---|
CN106534110A (zh) | 2017-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Asghar et al. | Cybersecurity in industrial control systems: Issues, technologies, and challenges | |
CN107493265B (zh) | 一种面向工业控制***的网络安全监控方法 | |
Yang et al. | Impact of cyber-security issues on smart grid | |
Goel et al. | Security challenges in smart grid implementation | |
CN103036886B (zh) | 工业控制网络安全防护方法 | |
CN109976239A (zh) | 工控***终端安全防护*** | |
CN109995796A (zh) | 工控***终端安全防护方法 | |
CN106534110B (zh) | 一种三位一体的变电站二次***安全防护体系架构*** | |
CN108833425A (zh) | 一种基于大数据的网络安全***及方法 | |
CN108259478A (zh) | 基于工控终端设备接口hook的安全防护方法 | |
CN115314286A (zh) | 一种安全保障*** | |
Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
Mahboob et al. | Intrusion avoidance for SCADA security in industrial plants | |
CN114124450A (zh) | 一种蓄电池远程核容的网络安全***及方法 | |
Zou et al. | Research and implementation of intelligent substation information security risk assessment tool | |
CN110417769A (zh) | 一种工业互联网平台多重身份认证方法 | |
CN105471857A (zh) | 一种电网终端非法外联监测阻断方法 | |
Tefek et al. | A Smart Grid Ontology: Vulnerabilities, Attacks, and Security Policies | |
Alkaeed et al. | Distributed framework via block-chain smart contracts for smart grid systems against cyber-attacks | |
Qassim et al. | An anomaly detection technique for deception attacks in industrial control systems | |
CN102970188B (zh) | 一种110kV数字化变电站安全网络 | |
Chen et al. | Research on the active defense security system based on cloud computing of wisdom campus network | |
CN212084141U (zh) | 一种用于工业控制终端的安全加固管理装置 | |
Sarralde et al. | Cyber security applied to P&C IEDs | |
McKay | Lessons to learn for US electric grid critical infrastructure protection: Organizational challenges for utilities in identification of critical assets and adequate security measures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |