一种电力监控系统主站仿真系统的制作方法

本发明涉及电力领域，尤其涉及一种电力监控系统主站仿真系统。

背景技术：

伴随新兴it技术的全面覆盖，网络威胁也变得日趋复杂，作为防守方，需要紧跟趋势，比“敌人”更快，拥抱技术创新的同时做好上下游的紧密联动，才能在日益紧张的网安环境下构建系统的防御生态。电力行业在新技术发展应用过程中，可能牵涉到更多的潜在安全需求，如大数据平台建设推进，为实现跨专业业务协同与信息共享、用数据管理企业、用信息驱动业务应用等方面提供了坚实的软硬件基础设施，但是，大数据在为业务带来巨大价值的同时，也带来了潜在的安全风险。一方面，传统业务系统面临的安全风险如网络攻击、系统漏洞等依然存在；另一方面，针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显，一旦数据被非法访问甚至泄漏损失非常巨大。

智能电网安全需要保证的是全网行为安全性，但随着新能源接入、移动互联网的非法互联、各种系统软件漏洞层出不穷，为智能电网的安全带来新的挑战，其安全防护不到位，可能构成攻击电网内部的跳板，给全网安全带来重要隐患，并且随着配网等业务的增长，也对电力安全提出了新的需求，需从电力行业全局的角度指导、推进网络安全工作。

技术实现要素：

本发明针对现有技术的不足，提供一种电力监控系统主站仿真系统，包括主站监控区，所述主站监控区包括主站安全控制区、主站安全非控制区、生产管理安全区和安全接入区，其中，所述主站安全控制区内部设置有位置相邻且相互连接的scada应用服务器与前置数据采集服务器，所述的scada应用服务器、所述前置数据采集服务器与操作员站均通过所述主站安全控制区内的横向互联网交换机接入第一认证网关，所述第一认证网关通过第一调度数据网交换机连接至调度数据网；所述主站安全非控制区内部设置有在线监测采集服务器并且通过所述主站安全非控制区内的纵向互联网交换机接入第二认证网关，所述第二认证网关通过第二调度数据网交换机连接至调度数据网；所述生产管理安全区，其内部带有位置相邻且相互连接的web应用服务器与报表服务器，所述web应用服务器、所述报表服务器和操作员站均接入公用数据网；所述安全接入区，其内部采用公网前置机与公用数据网相接。

优选的，所述主站安全控制区与所述生产管理安全区之间配置有用于在所述主站安全控制区与所述生产管理安全区之间进行正向隔离与反向隔离的第一正反向隔离模块；所述主站安全非控制区与所述生产管理安全区之间配置有用于在所述主站安全非控制区与所述生产管理安全区之间进行正向隔离与反向隔离的第二正反向隔离模块。

优选的，所述主站安全控制区与所述主站安全非控制区之间具有日志分析模块。

优选的，所述日志分析模块与防火墙相连接，所述防火墙通过控制区纵向互联网交换机接入主站安全控制区的服务器和操作员站。

优选的，所述防火墙分别接入所述主站安全非控制区的运维开发交换机和运维审计服务器。

优选的，所述主站安全控制区与所述主站安全非控制区各自的纵向互联网交换机之间设置工控协议审计模块。

优选的，还包括：厂站监控区，所述主站监控区与相匹配的厂站监控区之间通过调度数据网连接，所述调度数据网依次经过厂站监控区内的第三认证网关、纵向互联网交换机连接至厂站监控区内的服务器。

优选的，所述厂站监控区的服务器包括通信处理单元、scada后台服务器、电能量采集单元。

优选的，所述厂站监控区具有用于智能终端的若干操作员站。

优选的，所述厂站监控区的操作员站通过测控装置与服务器相连接。

本发明技术方案之电力监控系统主站仿真系统，所实施的现有环境的总体架构和安全防护设计遵循了国家、行业相关标准规范要求，通过合理部署，有利于系统性地反映上下级电力监控系统之间的相关数据业务的需求，便于解决网络的纵向互联、横向互联以及数据通信的安全性问题。

附图说明

为了更清楚的说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单介绍，显而易见的，对于本领域技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种电力监控系统主站仿真系统的结构示意图；

图2为本发明实施例提供的一种厂站监控区的结构示意图；

图中所示：

1、主站监控区；101、主站安全控制区；102、主站安全非控制区；103、生产管理安全区；104、安全接入区；2、厂站监控区；1011、日志分析模块；10121、第一正反向隔离模块；10122、第二正反向隔离模块；1013、入侵检测单元；1014、防火墙；横向互联网交换机10151；纵向互联网交换机10152；1016、服务器；10161、scada应用服务器；10162、前置数据采集服务器；10163、在线监测采集服务器；10164、web应用服务器；10165、报表服务器；10171、第一认证网关；10172、第二认证网关；10173、第三认证网关；10181、第一调度数据网交换机；10182、第二调度数据网交换机；1019、工控协议审计模块；1020、公用数据网；1021、调度数据网；1022、测控装置；1023、操作员站。

具体实施方式

为了使本技术领域的人员更好地理解本发明中的技术方案,下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护范围。

在本发明技术方案设计之先，技术人员首先要考虑与电力监控系统主站仿真系统构建相关的一些因素，一般是从发现其网络安全问题、分析研究系统网络安全问题、解决系统网络安全问题三个阶段构出发。根据当前实际情况，在以上相关的因素中，如何实现一种能够融入并合理适用于网络安全靶场系统的电力监控系统主站仿真系统体系是本发明要解决的问题，本申请技术方案之系统需要布局在网络安全靶场系统的机房区域，因此，系统中不同的单元环节也处于对应的区域。

在本发明技术方案实施之前，技术人员预先对应用本发明主站仿真系统的以往靶场系统所划分的区域进行介绍，其场地规划主要包括工作区域机房区域，其中的机房区域用于部署靶场建设所需业务系统设备以及部署虚拟化攻击场景搭建环境物理设备，所装配的设备通过以太网连接到机房交换机，和电力监控仿真系统、智能变电站仿真系统网络处于同一网络，可直接对网络发起攻击。

请参考图1和图2，所示分别为本发明实施例提供的一种电力监控系统主站仿真系统的结构示意图和本发明实施例提供的一种厂站监控区的结构示意图。由图1和图2可见，该系统包括主站监控区1，主站监控区1具体位置优选处于所规划的机房区域的中间位置，其同样包括四个分区单元，即主站安全控制区101、主站安全非控制区102、生产管理安全区103、安全接入区104：其中，

所述主站安全控制区101内部设置有位置相邻且相互连接的scada应用服务器10161与前置数据采集服务器10162，所述的scada应用服务器10161、所述前置数据采集服务器10162与操作员站1023均通过所述主站安全控制区101内的横向互联网交换机10151接入第一认证网关10171(优选设置为纵向加密认证网关)，所述第一认证网关10171通过第一调度数据网交换机10181连接至调度数据网1021；

所述主站安全非控制区102内部设置有在线监测采集服务器10163并且通过所述主站安全非控制区内的纵向互联网交换机10152接入第二认证网关10172，所述第二认证网关10172通过第二调度数据网交换机10182连接至调度数据网1021；所述生产管理安全区103，其内部带有位置相邻且相互连接的web应用服务器10164与报表服务器10165，所述web应用服务器10164、所述报表服务器10165和操作员站1023均接入公用数据网1020；该生产管理安全区103增设一入侵检测单元1013并且直接接入该生产管理安全区103的交换机；

所述安全接入区104，其内部采用公网前置机与公用数据网1020相接。

优选的，所述主站安全控制区101与所述主站安全非控制区102之间具有日志分析模块1011，日志分析模块1011与防火墙1014相连接，所述防火墙1014通过主站安全控制区101的纵向互联网交换机10152接入主站安全控制区101的服务器(优选配置运维开发交换机)和操作员站(优选配置运维审计服务器)。

本发明技术方案之电力监控系统主站仿真系统，所实施的主站监控区1各个单元分区之间的关联包括：

所实施的主站安全控制区101与主站安全非控制区102各自的纵向互联网交换机之间设置工控协议审计模块1019；

所实施的主站安全控制区101与生产管理安全区103各自的交换机之间配置有用于这两个分区之间正向与反向均能够隔离的第一正反向隔离模块10121；

所实施的主站安全非控制区102与生产管理安全区103各自的交换机之间配置有用于这两个分区之间正向与反向均能够隔离的第二正反向隔离模块10122。

进一步，本系统还包括：厂站监控区2，所述主站监控区1与相匹配的厂站监控区2之间通过调度数据网1021连接。所述调度数据网1021依次经过厂站监控区内的第三认证网关10173、纵向互联网交换机10152连接至厂站监控区2内的服务器1016。所述厂站监控区2的服务器1016包括通信处理单元、scada后台服务器、电能量采集单元。

优选的，所述厂站监控区2具有用于智能终端的若干操作员站1023，所述厂站监控区2的操作员站1023通过测控装置1022与服务器1016相连接。

本发明技术方案之电力监控系统主站仿真系统，所实施的现有环境的总体架构和安全防护设计遵循了国家、行业相关标准规范要求，通过合理部署，有利于系统性地反映上下级电力监控系统之间的相关数据业务的需求，便于解决网络的纵向互联、横向互联以及数据通信的安全性问题。

为了使本技术领域的人员更好地理解本发明中的技术方案,下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护范围。