专利名称:用于电力实时系统的可信网络管理系统的制作方法
技术领域:
本实用新型涉及一种可信网络管理系统,特别是一种应用在电力实时系统中的可 信网络管理系统。
背景技术:
为了更好地监视电网的运行情况,在电力行业中,通常都用实时系统来负责采集 电网一、二次设备的运行信息,因此,实时系统是电网安全运行的眼睛,实时系统的安全运 行直接影响着电网的安全运行。一般地,实时系统通过计算机系统、网络设备、数据库系统、应用服务系统来负责 存储、处理和传输电网信息,主站与各个变电所之间通过TCP/IP协议实现网络连接,各个 变电所中的相关信息则又通过每个变电所的路由器传送到主站服务器,于是,全国的实时 系统就构成一个大型的网络结构。由于设备和系统多且分布广,仅仅依靠人工进行安全运 行维护的效率低、效果差,因此,要对实时系统进行管理,就还需要建立一个实时系统的网 络管理系统,并且,该网络管理系统本身必须对病毒和黑客的攻击有一定的免疫力。但是,当前所有的网络管理系统都是在DAC基础上工作的,在DAC的权限模式下, 存在一个在金字塔顶端的根权限,这个根权限是所有资源的奴隶主,也就是在DAC模式下 的操作系统(C2级别)环境里,一切资源都受根权限的支配,而操作系统仅仅依靠密码来验 证根权限是否可信,而这套密码验证机制只是在系统的应用层起作用,很容易被一些手段 绕过,现在的病毒和蠕虫就是利用了 DAC的这个弱点,通过掌握根权限来掌握系统里所有 资源的支配权,所以,在DAC模式下的系统我们称为不可信系统,该模式下的网络管理系统 抗病毒和黑客攻击的能力较差,只要有一点被攻破,整个网络就可能遭受破坏。其次,当前 的网络管理系统对数据信息传送的完整性和准确性缺乏保证,在网络中传送的信息存在被 篡改的可能;此外,随着智能电网的发展,越来越多的IP地址将被占用,可能造成网络管理 系统中IP地址不足的问题。
发明内容本实用新型所要解决的技术问题是针对上述现有技术现状而提供一种网络安全 性高、可用IP地址资源丰富且信息传输更加可靠的用于电力实时系统的可信网络管理系 统。本实用新型解决上述技术问题所采用的技术方案为该用于电力实时系统的可信 网络管理系统,包括有多个主站设备,设置于调度中心,用于处理、转发来自各个变电所的电网信息;多个子站设备,设置在各个变电所内,负责采集和处理电网信息;服务器,和各个所述的主站设备相连,负责识别和处理来自变电所的各种数据以 及与各个变电所之间的信息传递;主站路由器,设置在主站局域网内,用于连接各个所述主站设备和所述服务器,负责主站和各个变电所之间的通信;以及子站路由器,设置在每个变电所的局域网内,用于连接每一变电所内的各个所述 子站设备,负责变电所和主站之间的通信;其特征在于所述的服务器为可信网管服务器,每一所述变电所内还设置有和相 应的所述子站路由器相连的安全隔离与信息交换系统,所述的安全隔离与信息交换系统内 设置有可信模块,该可信模块能与所述可信网管服务器建立可信链路并实现对电网信息的 检查、过滤和交换。作为优选,所述的主站和各个变电所之间通过TCP/IP协议实现网络连接。作为进一步优选,所述的可信网管服务器由网管系统应用层服务器、操作系统安 全内核加固和操作系统三部分构成,该可信网管服务器的代理端包括有网管系统应用层代 理端和操作系统安全内核加固端。与现有技术相比,本实用新型的优点在于在主站和变电所之间增加安全隔离与 信息交换系统,将一个网络分隔成不同的安全域,既不影响相互之间的信息交换,又提高了 安全性,还能节省大量的IP地址资源;同时,通过将主站的服务器换成可信网管服务器,并 在安全隔离与信息交换系统中植入相应的可信模块,从而在服务器和安全隔离与信息交换 系统之间形成可信链路,保证信息的安全性;本实用新型将原有的网络管理系统改造成符合Mac规则的可信网络管理系统,解 决了原先实时系统网络管理系统的网络安全性差、可用IP地址资源少以及信息安全传输 没有保障的问题,丰富了网络中可用的IP地址资源,使得网络自身更加坚固、信息传输更 加可靠,从而有效地提高了实时系统网管系统的安全性。
图1为本实用新型实施例的网络结构示意图。图2为本实用新型的系统工作流程图。
具体实施方式
以下结合附图实施例对本实用新型作进一步详细描述。如图1、图2所示,为本实施例用于电力实时系统的可信网络管理系统,该可信网 络管理系统包括有主站1和各变电所2,其中,主站1在调度中心内设置有多个主站设备 11,主站设备11负责采集、处理和转发来自各个变电所的电网信息,而安装在其上的网管 代理端,主要完成对这些主站设备11的安全监控任务,各个变电所2内设置有负责采集和 处理电网信息的多个子站设备21,主站1和各个变电所2之间通过TCP/IP协议实现网络连 接;在主站调度中心设置有可信网管服务器12,可信网管服务器12由网管系统应用 层服务器、操作系统安全内核加固和操作系统三部分构成,可信网管服务器12的代理端包 括有网管系统应用层代理端和操作系统安全内核加固端,该可信网管服务器12和各个主 站设备11相连,可信网管服务器12负责识别和处理来自变电所2的各种数据以及与各个 变电所2之间的信息传递,可信网管服务器12还具有自动管理代理端发现的所有软件和硬 件的资产库、监测代理端上报的基础设施每一层的性能数据、跟踪代理端上报的所有日志,配置,安全事件数据,对可能出现的问题,提供预警、报警和控制等功能,从而实现对信息的 可信性进行认证和识别;主站1局域网内设置有用于连接各个主站设备11和可信网管服务器12的主站路 由器13,每个变电所2的局域网内则设置有用于连接每一变电所2内的各个子站设备21的 子站路由器22,主站路由器13和子站路由器22分别负责主站和各个变电所之间的通信;每一变电所内还设置有和相应的子站路由器22相连的安全隔离与信息交换系统 23,安全隔离与信息交换系统23主要负责IP包的阻断和重建,该安全隔离与信息交换系统 23内设置有可信模块,可信模块除加强自身的坚固性外,还负责与可信网管服务器12建立 可信链路,从而实现对电网信息的检查、过滤和交换,有效防止黑客和其他攻击。本实施例安全网络管理系统的工作过程,参见图2,具体包括有如下步骤(1)、首先,安装在各个变电所子站设备上的网管代理端收集子站设备的各种性能 状态指标;(2)、子站设备的网管代理端将收集到子站信息和电网信息一起,组成IP包,然后 发给各个变电所的路由器;(3)、各变电所的路由器将接收到的IP信息整合后,发送给各变电所对应的安全 隔离与信息交换系统23的一个端口 ;(4)、安全隔离与信息交换系统23将来自本变电所路由器的IP包全部打开,还原 成纯数据进行检查,同时,通过安全隔离与信息交换系统23内含的可信模块进行可信认 证,并检查来源是否可靠,若是,则进行下一步骤;若否,则丢弃上述IP包;(5)、安全隔离与信息交换系统23检查来自各变电所子站设备发出的IP包无误 后,将可能泄密造成危害的无用信息去掉,重新建立IP包,并发送给主站端口的路由器;(6)、主站路由器13再将重建后的IP包发送给可信网管服务器12 ;(7)、可信网管服务器12接收到上述重建IP包后,对IP包信息的可信性进行分 析,上述重建IP包可信,则进行下一步骤,若上述重建IP包不可信,则丢弃该IP包;(8)、可信网管服务器12将电网信息发送到主站相关设备进行处理,同时,可信网 管服务器12监控各个变电所的实时系统设备状态,若发现异常,则会以邮件短信等方式通 知相关人员进行处理。
权利要求一种用于电力实时系统的可信网络管理系统,包括有多个主站设备,设置于调度中心,用于处理、转发来自各个变电所的电网信息;多个子站设备,设置在各个变电所内,负责采集和处理电网信息;服务器,和各个所述的主站设备相连,负责识别和处理来自变电所的各种数据以及与各个变电所之间的信息传递;主站路由器,设置在主站局域网内,用于连接各个所述主站设备和所述服务器,负责主站和各个变电所之间的通信;以及子站路由器,设置在每个变电所的局域网内,用于连接每一变电所内的各个所述子站设备,负责变电所和主站之间的通信;其特征在于所述的服务器为可信网管服务器,每一所述变电所内还设置有和相应的所述子站路由器相连的安全隔离与信息交换系统,所述的安全隔离与信息交换系统内设置有可信模块,该可信模块能与所述可信网管服务器建立可信链路并实现对电网信息的检查、过滤和交换。
2.根据权利要求1所述的用于电力实时系统的可信网络管理系统,其特征在于所述 的主站和各个变电所之间通过TCP/IP协议实现网络连接。
3.根据权利要求1所述的用于电力实时系统的可信网络管理系统,其特征在于所述 的可信网管服务器由网管系统应用层服务器、操作系统安全内核加固和操作系统三部分构 成,该可信网管服务器的代理端包括有网管系统应用层代理端和操作系统安全内核加固 端。
专利摘要一种用于电力实时系统的可信网络管理系统,包括有多个主站设备;多个子站设备;服务器;主站路由器以及子站路由器;其特征在于所述的服务器为可信网管服务器,每一所述变电所内还设置有和相应的所述子站路由器相连的安全隔离与信息交换系统,所述的安全隔离与信息交换系统内设置有可信模块,该可信模块能与所述可信网管服务器建立可信链路并实现对电网信息的检查、过滤和交换。与现有技术相比,本实用新型的在主站和变电所之间增加安全隔离与信息交换系统,将一个网络分隔成不同的安全域,既不影响相互之间的信息交换,又提高了安全性,还能节省大量的IP地址资源,保证信息的安全性。
文档编号H04L12/24GK201699728SQ20102023030
公开日2011年1月5日 申请日期2010年6月17日 优先权日2010年6月17日
发明者安磊, 张秋菊, 徐孝忠, 戚军, 樊勇, 王彬栩, 王晓辉, 翁格平, 范黎敏, 郑东亚 申请人:宁波电业局;宁波永耀信息科技有限公司