Nothing Special   »   [go: up one dir, main page]

CN113794714A - 一种用于智慧电厂架构的网络安全系统 - Google Patents

一种用于智慧电厂架构的网络安全系统 Download PDF

Info

Publication number
CN113794714A
CN113794714A CN202111069950.6A CN202111069950A CN113794714A CN 113794714 A CN113794714 A CN 113794714A CN 202111069950 A CN202111069950 A CN 202111069950A CN 113794714 A CN113794714 A CN 113794714A
Authority
CN
China
Prior art keywords
network
production control
area
management information
power plant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111069950.6A
Other languages
English (en)
Inventor
吴恒运
桑永福
温荣斌
寇媛媛
董芳
耿林霄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Thermal Power Research Institute Co Ltd
Xian Xire Control Technology Co Ltd
Original Assignee
Xian Thermal Power Research Institute Co Ltd
Xian Xire Control Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Thermal Power Research Institute Co Ltd, Xian Xire Control Technology Co Ltd filed Critical Xian Thermal Power Research Institute Co Ltd
Priority to CN202111069950.6A priority Critical patent/CN113794714A/zh
Publication of CN113794714A publication Critical patent/CN113794714A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于网络安全技术领域,且公开了一种用于智慧电厂架构的网络安全系统,包括生产控制大区、管理信息大区、外部公共因特网、电力企业数据网和电力调度数据网,生产控制大区划分为控制区和非控制区,管理信息大区划分为若干个业务安全区,生产控制大区和管理信息大区之间通过正向安全隔离装置和反向安全隔离装置相连接,正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输,反向安全隔离装置用于管理信息大区到生产控制大区的单向数据传输。该用于智慧电厂架构的网络安全系统,不仅有效提高智慧电厂的网络安全等级,而且可有效防止蠕虫和恶意入侵者破坏网络安全。

Description

一种用于智慧电厂架构的网络安全系统
技术领域
本发明属于网络安全技术领域,具体为一种用于智慧电厂架构的网络安全系统。
背景技术
建设智慧电厂就是在智能发电的基础上,通过发电与其他产业的融合延伸,形成循环经济,提高能源和资源的利用率,承担更多保护环境和服务社会的功能,不仅可以成为电厂参与市场经济的资本,也是新时代生态环境建设和经济社会发展对电力企业的要求。
而目前的智慧电厂架构的网络安全系统建设还较为薄弱,往往凭借安全技术人员的个人经验部署安全防护设备或者哪里出现问题就在哪里部署安全防护设备,缺乏规范的安全系统部署方法,不能有效发挥系统的安全防护作用,无法保障网络系统的安全性,而且随着黑客攻击技术水平的不断提高,导致智慧电厂网络极易受到黑客入侵,存在一定的安全隐患。
发明内容
针对现有技术的不足,本发明提供了一种用于智慧电厂架构的网络安全系统,具备网络安全等级高和防入侵保护的优点,解决了现有技术中,智慧电厂架构的网络安全系统建设较为薄弱,以及智慧电厂网络极易受到黑客入侵的问题。
本发明采用如下技术方案来实现的:
一种用于智慧电厂架构的网络安全系统,包括生产控制大区、管理信息大区、外部公共因特网、电力企业数据网和电力调度数据网;
所述生产控制大区划分为控制区和非控制区,所述生产控制大区和管理信息大区之间通过正向安全隔离装置和反向安全隔离装置相连接,所述正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输,所述反向安全隔离装置用于管理信息大区到生产控制大区的单向数据传输,所述反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据,并进行签名验证、内容过滤和有效性检查后转发给生产控制大区内部的接收程序,所述电力调度数据网由实时子网和非实时子网组成,所述实时子网和非实时子网分别通过纵向加密认证装置与控制区和非控制区相连接,所述外部公共因特网和电力企业数据网分别通过防火墙与管理信息大区相连接,所述防火墙用于对外部公共因特网和电力企业数据网的网络连接活动进行访问控制,并对网络之间的攻击入侵和病毒传播进行检测和阻断,所述生产控制大区的边界上部署入侵防护系统IPS,所述控制区和非控制区之间通过逻辑隔离装置相连接。
本发明进一步的改进在于,所述管理信息大区划分为若干个业务安全区。
本发明进一步的改进在于,所述非控制区的内部业务系统采用B/S结构,且内部业务系统间采取VLAN和访问控制的措施。
本发明进一步的改进在于,所述生产控制大区部署恶意代码防护系统。
本发明进一步的改进在于,所述逻辑隔离装置为具有访问控制功能的设备。
本发明进一步的改进在于,所述生产控制大区的远程通信采用加密认证机制。
本发明进一步的改进在于,所述管理信息大区为生产控制大区以外的电力企业管理业务系统的集合。
本发明进一步的改进在于,所述生产控制大区的拨号访问服务器和用户端均使用安全加固的操作系统,并采取加密、认证和访问控制的措施。与现有技术相比,本发明提供了一种用于智慧电厂架构的网络安全系统,具备以下有益效果:
该用于智慧电厂架构的网络安全系统,通过设置生产控制大区、管理信息大区、外部公共因特网、电力企业数据网、电力调度数据网、控制区、非控制区、安全区、正向安全隔离装置、反向安全隔离装置、纵向加密认证装置、防火墙、入侵防护系统IPS和逻辑隔离装置,按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则对智慧电厂网络安全系统进行架构,从而有效提高网络安全等级,通过防火墙可对不同安全区域之间的网络连接活动进行严格的访问控制,并且不仅仅如此,通过防火墙可对往来这些网络之间的攻击入侵和病毒传播进行有效的检测和阻断,从而将高安全区域有效的隔离保护起来,从网络层到应用层进行立体化的区域边界防御,通过实施该一体化的集成安全网关,使智慧电厂项目的网络安全等级得到有效提升和保证,入侵防护系统IPS可以透明的串接进用户网络,不需要更改现有的网络结构,无缝地整合了现有的基础架构,在不影响系统或系统用户工作的情况下即可发挥作用,可以防止已知和未知漏洞被利用,从而有助于防止蠕虫和恶意入侵者破坏安全。
附图说明
图1为本发明提出的一种用于智慧电厂架构的网络安全系统的系统框图。
附图标记说明:
1生产控制大区、101控制区、102非控制区、2管理信息大区、201业务安全区、3外部公共因特网、4电力企业数据网、5电力调度数据网、501实时子网、502非实时子网、6正向安全隔离装置、7反向安全隔离装置、8纵向加密认证装置、9防火墙、10逻辑隔离装置。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,一种用于智慧电厂架构的网络安全系统,包括生产控制大区1、管理信息大区2、外部公共因特网3、电力企业数据网4和电力调度数据网5,管理信息大区2为生产控制大区1以外的电力企业管理业务系统的集合,生产控制大区1划分为控制区101和非控制区102,禁止在生产控制大区1内部使用E-Mail服务和通用的WEB服务,非控制区102的内部业务系统采用B/S结构,但仅限于业务系统内部使用,允许提供纵向安全WEB服务,可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站,生产控制大区1的内部业务系统间采取VLAN和访问控制的措施,限制系统间的直接互通,生产控制大区1的拨号访问服务器和用户端均使用安全加固的操作系统,并采取加密、认证和访问控制的措施,生产控制大区1部署恶意代码防护系统,生产控制大区1的远程通信采用加密认证机制,管理信息大区2划分为若干个业务安全区201,电力企业可根据具体情况划分业务安全区201,但不应影响生产控制大区1的安全生产,控制大区1和管理信息大区2之间通过正向安全隔离装置6和反向安全隔离装置7相连接,正向安全隔离装置6用于生产控制大区1到管理信息大区2的非网络方式的单向数据传输,反向安全隔离装置7用于管理信息大区2到生产控制大区1的单向数据传输,反向安全隔离装置7集中接收管理信息大区2发向生产控制大区1的数据,并进行签名验证、内容过滤和有效性检查后转发给生产控制大区1内部的接收程序,严格禁止E-Mail、WEB、Telnet、Rlogin、FTP安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越正向安全隔离装置6和反向安全隔离装置7,仅允许纯数据的单向安全传输,电力调度数据网5由实时子网501和非实时子网502组成,实时子网501和非实时子网502分别通过纵向加密认证装置8与控制区101和非控制区102相连接,外部公共因特网3和电力企业数据网4分别通过防火墙9与管理信息大区2相连接,防火墙9用于对外部公共因特网3和电力企业数据网4的网络连接活动进行访问控制,并对网络之间的攻击入侵和病毒传播进行检测和阻断,从而将高安全区域有效的隔离保护起来,从网络层到应用层进行立体化的区域边界防御,通过实施该一体化的集成安全网关,使智慧电厂项目的网络安全等级得到有效提升和保证,生产控制大区1的边界上部署入侵防护系统IPS,入侵防护系统IPS是一种主动的、积极的入侵防范及阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,入侵防护系统IPS的检测功能类似于入侵检测(IDS),但入侵防护系统IPS检测到攻击后会采取行动阻止攻击,入侵防护系统IPS可以透明的串接进用户网络,不需要更改现有的网络结构,无缝地整合了现有的基础架构,在不影响系统或系统用户工作的情况下即可发挥作用,可以防止已知和未知漏洞被利用,从而有助于防止蠕虫和恶意入侵者破坏安全,控制区101和非控制区102之间通过具有访问控制功能的设备进行逻辑隔离。
综上所述,该用于智慧电厂架构的网络安全系统,按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则对智慧电厂网络安全系统进行架构,从而有效提高网络安全等级,通过防火墙可对不同安全区域之间的网络连接活动进行严格的访问控制,并且不仅仅如此,通过防火墙可对往来这些网络之间的攻击入侵和病毒传播进行有效的检测和阻断,从而将高安全区域有效的隔离保护起来,从网络层到应用层进行立体化的区域边界防御,通过实施该一体化的集成安全网关,使智慧电厂项目的网络安全等级得到有效提升和保证,入侵防护系统IPS可以透明的串接进用户网络,不需要更改现有的网络结构,无缝地整合了现有的基础架构,在不影响系统或系统用户工作的情况下即可发挥作用,可以防止已知和未知漏洞被利用,从而有助于防止蠕虫和恶意入侵者破坏安全。
需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (8)

1.一种用于智慧电厂架构的网络安全系统,其特征在于,包括生产控制大区(1)、管理信息大区(2)、外部公共因特网(3)、电力企业数据网(4)和电力调度数据网(5);
所述生产控制大区(1)划分为控制区(101)和非控制区(102),所述生产控制大区(1)和管理信息大区(2)之间通过正向安全隔离装置(6)和反向安全隔离装置(7)相连接,所述正向安全隔离装置(6)用于生产控制大区(1)到管理信息大区(2)的非网络方式的单向数据传输,所述反向安全隔离装置(7)用于管理信息大区(2)到生产控制大区(1)的单向数据传输,所述反向安全隔离装置(7)集中接收管理信息大区(2)发向生产控制大区(1)的数据,并进行签名验证、内容过滤和有效性检查后转发给生产控制大区(1)内部的接收程序,所述电力调度数据网(5)由实时子网(501)和非实时子网(502)组成,所述实时子网(501)和非实时子网(502)分别通过纵向加密认证装置(8)与控制区(101)和非控制区(102)相连接,所述外部公共因特网(3)和电力企业数据网(4)分别通过防火墙(9)与管理信息大区(2)相连接,所述防火墙(9)用于对外部公共因特网(3)和电力企业数据网(4)的网络连接活动进行访问控制,并对网络之间的攻击入侵和病毒传播进行检测和阻断,所述生产控制大区(1)的边界上部署入侵防护系统IPS,所述控制区(101)和非控制区(102)之间通过逻辑隔离装置(10)相连接。
2.根据权利要求1所述的一种用于智慧电厂架构的网络安全系统,其特征在于,所述管理信息大区(2)划分为若干个业务安全区(201)。
3.根据权利要求1所述的一种用于智慧电厂架构的网络安全系统,其特征在于,所述非控制区(102)的内部业务系统采用B/S结构,且内部业务系统间采取VLAN和访问控制的措施。
4.根据权利要求1所述的一种用于智慧电厂架构的网络安全系统,其特征在于,所述生产控制大区(1)部署恶意代码防护系统。
5.根据权利要求1所述的一种用于智慧电厂架构的网络安全系统,其特征在于,所述逻辑隔离装置(10)为具有访问控制功能的设备。
6.根据权利要求1所述的一种用于智慧电厂架构的网络安全系统,其特征在于,所述生产控制大区(1)的远程通信采用加密认证机制。
7.根据权利要求1所述的一种用于智慧电厂架构的网络安全系统,其特征在于,所述管理信息大区(2)为生产控制大区(1)以外的电力企业管理业务系统的集合。
8.根据权利要求1所述的一种用于智慧电厂架构的网络安全系统,其特征在于,所述生产控制大区(1)的拨号访问服务器和用户端均使用安全加固的操作系统,并采取加密、认证和访问控制的措施。
CN202111069950.6A 2021-09-13 2021-09-13 一种用于智慧电厂架构的网络安全系统 Pending CN113794714A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111069950.6A CN113794714A (zh) 2021-09-13 2021-09-13 一种用于智慧电厂架构的网络安全系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111069950.6A CN113794714A (zh) 2021-09-13 2021-09-13 一种用于智慧电厂架构的网络安全系统

Publications (1)

Publication Number Publication Date
CN113794714A true CN113794714A (zh) 2021-12-14

Family

ID=78880134

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111069950.6A Pending CN113794714A (zh) 2021-09-13 2021-09-13 一种用于智慧电厂架构的网络安全系统

Country Status (1)

Country Link
CN (1) CN113794714A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115361232A (zh) * 2022-10-19 2022-11-18 广东卓维网络有限公司 电力信息网的安全防护系统
CN115802341A (zh) * 2023-01-30 2023-03-14 北京亚信兴源科技有限公司 5g系统的通信方法、装置、5g系统、电子设备及存储介质
CN115865500A (zh) * 2022-12-01 2023-03-28 贵州电网有限责任公司 一种新能源电力系统风险控制方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004097584A2 (en) * 2003-04-28 2004-11-11 P.G.I. Solutions Llc Method and system for remote network security management
CN103546488A (zh) * 2013-11-05 2014-01-29 上海电机学院 电力二次系统的主动安全防御系统及方法
CN113132296A (zh) * 2019-12-30 2021-07-16 南京南瑞继保工程技术有限公司 智慧能源站监控系统安全防护方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004097584A2 (en) * 2003-04-28 2004-11-11 P.G.I. Solutions Llc Method and system for remote network security management
CN103546488A (zh) * 2013-11-05 2014-01-29 上海电机学院 电力二次系统的主动安全防御系统及方法
CN113132296A (zh) * 2019-12-30 2021-07-16 南京南瑞继保工程技术有限公司 智慧能源站监控系统安全防护方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
杨非等: "水电厂二次自动化系统安全防护的设计与研究", 《水电厂自动化》 *
靳帅等: "浅谈枕头坝电站电力监控二次安全防护系统建设", 《四川水力发电》 *
马晓杰: "调度自动化系统的安全防护", 《中国电力教育》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115361232A (zh) * 2022-10-19 2022-11-18 广东卓维网络有限公司 电力信息网的安全防护系统
CN115865500A (zh) * 2022-12-01 2023-03-28 贵州电网有限责任公司 一种新能源电力系统风险控制方法
CN115802341A (zh) * 2023-01-30 2023-03-14 北京亚信兴源科技有限公司 5g系统的通信方法、装置、5g系统、电子设备及存储介质

Similar Documents

Publication Publication Date Title
Faquir et al. Cybersecurity in smart grids, challenges and solutions
Bull et al. Flow based security for IoT devices using an SDN gateway
CN113794714A (zh) 一种用于智慧电厂架构的网络安全系统
Zhang et al. Multi-agent based intrusion detection architecture
Iyengar et al. A multilevel thrust filtration defending mechanism against DDoS attacks in cloud computing environment
Tasneem et al. Intrusion detection prevention system using SNORT
Sharifi et al. An overview of intrusion detection and prevention systems (IDPS) and security issues
KR20040036228A (ko) 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
CN109495448A (zh) 基于核电应急控制的信息安全系统
Rekik et al. A cyber-physical threat analysis for microgrids
Li Security requirements in IoT architecture
Gaba et al. A comprehensive survey on VANET security attacks
Safa et al. Cyber security of smart grid and SCADA systems, threats and risks
Patidar et al. Information theory-based techniques to detect DDoS in SDN: A survey
Kamaev et al. Attacks and intrusion detection in wireless sensor networks of industrial SCADA systems
Aboti Studies of challenges to mitigating cyber risks in iot-based commercial aviation
Ganesh et al. Intrusion detection and prevention systems: A review
Botvinkin et al. Analysis, classification and detection methods of attacks via wireless sensor networks in SCADA systems
Maulana et al. Analysis of the Demilitarized Zone Implementation in Java Madura Bali Electrical Systems to Increase the Level of IT/OT Cyber Security With the Dual DMZ Firewall Architecture Method
Sulieman et al. Detecting zero-day polymorphic worm: A review
Bai et al. Detection and defence method of low-rate DDoS attacks in vehicle edge computing network using information metrics
Kfouri et al. Design of a Distributed HIDS for IoT Backbone Components.
Bayou Assessment and enforcement of wireless sensor network-based SCADA systems security
Mahmood et al. Securing Industrial Internet of Things (Industrial IoT)-A Reviewof Challenges and Solutions
Lee et al. A Study on Security Management Service System for Wireless Network Environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211214

RJ01 Rejection of invention patent application after publication