基于变电站信息安全的通信网络安全检测系统及方法与流程

文档序号:12377005阅读:1349来源:国知局
基于变电站信息安全的通信网络安全检测系统及方法与流程

本发明涉及变电站信息安全领域,具体涉及到一种基于变电站信息安全的通信网络安全检测系统及方法。



背景技术:

智能电网时代,通信及信息系统成为电力系统安全可靠运行的重大影响部分。随着变电站继电保护等设备远方操作的推广,保护人员更多地进行远程定值及压板召唤及修改。在这种情况下,变电站内部的通信网络以及变电站与调度端的通信网络信息安全变得尤为重要,通信网络中存在的信息安全隐患可能破坏继电保护定值系统,给电网运行造成灾难性后果。信息安全隐患主要体现在以下方面:

(1)随着通信技术的发展,大量的数字化变电站投入运行,基于采用数据信息的数字化采集、网络化传输、开放的IEC61850标准体系,构筑了一个统一的二次系统信息平台,二次系统的基本结构更多地体现了网络通信技术的特点,但是,其开放式的信息平台也给网络攻击带来了更大的滋生空间及更广阔的生存环境;

(2)无论是洪水攻击、网络病毒、非法用户登录、网络穿透,还是电网关键设备IED暂时或永久性功能失效、无法获取通信资源、业务报文发送异常等,均具有很大的随机性及隐蔽性,难以及时发现;

(3)站内通信网络目前对非授权的节点还无法拒绝,IED设备开启了哪些服务,是否存在后门等都不得而知,这些都给入侵式攻击留下了可能性;

(4)网络通信内容监视手段欠缺,多数变电站缺少网络监视设备,无法及时有效捕获安全威胁,给监视网络安全留下了较大的空白区域。

本发明针对上述变电站通信网络可能出现的安全威胁,引入了一种基于变电站信息安全的通信网络安全检测系统及方法,通过对站内网络和调度网络的实时监测,检查网络信息的正确性及合法性,对于电力系统的安全稳定运行起着十分重要的作用。



技术实现要素:

本发明的目的是提供一种基于变电站信息安全的通信网络安全检测系统及方法,通过网络信息安全检测仪截取交换机的镜像数据,综合检测通信链路的安全。

为了实现上述目的,本发明的解决方案是:

基于变电站信息安全的网络安全检测方法,包括如下步骤:

镜像采集步骤:通过镜像连接,实时采集远程调度端发往站控层各个保护装置的报文;

信息检测步骤:根据采集到的报文信息,将每一级报文信息与前一级获取的数据信息进行比对,检测是否一致:如果数据信息一致,则表示全线传递指令无误;若某一级监测到的数据信息与之前获取的不一致,则表示两级之间的报文传递出现错误,发出告警;

信息内容检测步骤:检测的内容包含有数据合法性和数据完整性。

作为优选,所述数据合法性检测具体为:通信报文的用户是否为合法用户,合法用户为固定IP地址的用户,在安全策略中添加白名单,将符合条件的用户添加到白名单中,当有获取到通信报文首先检查下发的报文的IP地址来源是否合法,不合法则告警。

作为优选,所述数据的完整性检测具体为:检查报文的内容是否完整,通过对远方下发操作命令,解析报文的操作内容,根据相应的操作目的,对报文的内容进行分析,当报文内容不符合规范时则告警。

上述基于变电站信息安全的网络安全检测方法采用一种基于变电站信息安全的网络安全检测系统,所述检测系统包括网络信息安全检测仪,以及与网络信息安全检测仪镜像连接的数个网络交换机,所述网络交换机分别与远程调度端和站控层的各个保护装置相连,网络信息安全检测仪通过对各个交换机端口的镜像连接完成通信报文采集,同时检测由调远程度端发往站控层保护装置的报文信息的安全性及完整性,当报文信息出现异常时,网络信息安全检测仪发出告警信息上送给远程调度端,分析诊断出信息在哪个环节被篡改。

作为优选,所述网络交换机采用以太网交换机。

本发明所述的基于变电站信息安全的通信网络安全检测系统及方法具有如下优点:

(1)实现变电站远方操作全过程监测:通过采集远方操作通道每个节点报文,网络安全检测系统能够获得每一级数据信息并辨别各级数据是否一致,源节点数据是否按指定路径到达目的节点,从而实现远方操作全过程监测;

(2)实现变电站站控层网络健康状况诊断:通过对站控层网络负载、网络风暴监视、报文合法性校验、站控层设备运行状况监视,实现网络健康状况诊断;

(3)实现非法连接、恶意篡改监测:在变电站端接收到远方调度的指令信息时,网络安全检测系统获取该指令的报文、校验该报文中的发信用户信息并与预先在通信网络信息安全监测仪中设定的合法用户信息进行对比,若用户信息一致则表明该指令由合法用户发出;若用户信息不一致,则表明该指令由非法用户发出,有可能为恶意篡改命令,网络安全检测系统将发出危险警告;

(4)实现常见工业病毒、木马的监测:网络安全检测系统通过对网络数据的实时采集,对IP源地址、目的地址进行分析从而有效的监测网络中存在的木马。建立常见的高危木马以及工业病毒库,从而可以及时准确的判别木马或工业病毒的任何非法网络传输,并发出危险警告。

以下结合附图及具体实施例对本发明做进一步详细描述。

附图说明

图1为本实施例的基于变电站信息安全的网络安全检测系统连接图;

图2为本实施例的基于变电站信息安全的网络安全检测方法信息检测步骤流程图。

具体实施方式

本实施例所述的基于变电站信息安全的网络安全检测方法采用一种基于变电站信息安全的网络安全检测系统,所述检测系统包括网络信息安全检测仪1,以及与网络信息安全检测仪1镜像连接的第一网络交换机2、第二网络交换机3、第三网络交换机4,所述第一网络交换机2与远程调度端5相连,所述第二网络交换机3、第三网络交换机4均与站控层的各个保护装置6相连。

网络信息安全检测仪1定时更新病毒库,添加常见的高危木马以及工业病毒的网络特征,对IP源地址、目的地址进行分析从而有效的检测网络中存在的木马。在本实施例中,所述网络信息安全检测仪1采用中元华电公司ZD-9500网络信息安全检测仪,运行内存达到4G,1us以内的报文记录分辨率以及6路千兆以太网接口。能全面监测变电站网络信息安全,监测的内容包含报文格式正确性、通道链路通断状态、网络风暴、流量突变量侦测以及链路有效性等。

所述第一网络交换机2、第二网络交换机3、第三网络交换机4均采用思科公司WS-C4506千兆以太网交换机,运行内存128M,48个以太网接口,4个模块化插槽,具有很强的交换能力并支持VLAN功能。

基于变电站信息安全的网络安全检测方法,包括如下步骤:

镜像采集步骤:网络信息安全检测仪1通过对各个交换机端口的镜像连接,实时采集远程调度端5发往站控层各个保护装置6的报文,所述报文包括IEC101/104报文和MMS报文等;

信息检测步骤:根据网络信息安全检测仪1采集到的报文信息,将每一级报文信息与前一级获取的数据信息进行比对,检测是否一致:如果数据信息一致,则表示全线传递指令无误;若某一级监测到的数据信息与之前获取的不一致,则表示两级之间的报文传递出现错误,发出告警;整个过程需要逐级甄别,网络信息安全监测仪1才能够获得每一级的数据信息并辨别各级数据是否一致,实现全线监测;

信息内容检测步骤:检测的内容包含有数据合法性和数据完整性。所述数据合法性检测具体为:通信报文的用户是否为合法用户,合法用户为固定IP地址的用户,在安全策略中添加白名单,将符合条件的用户添加到白名单中,当有获取到通信报文首先检查下发的报文的IP地址来源是否合法,不合法则告警。所述数据的完整性检测具体为:检查报文的内容是否完整,通过对远方下发操作命令,解析报文的操作内容,根据相应的操作目的,对报文的内容进行分析,当报文内容不符合规范时则告警。

网络信息安全检测仪1定时更新病毒库,添加常见的高危木马以及工业病毒的网络特征,对IP源地址、目的地址进行分析从而有效的检测网络中存在的木马。

本实施例所述的基于变电站信息安全的通信网络安全检测系统及方法,通过网络信息安全检测仪1监控调远程度端5发往站控层保护装置6的报文信息安全性及完整性(一是检查通信链路数据的完整性,二是检查通信链路数据的合法性)。当报文信息出现异常时,网络信息安全检测仪1发出告警信息上送给远程调度端5,并分析诊断出信息在哪个环节被篡改,最终实现电力系统的安全稳定运行。具有如下优点:

(1)实现变电站远方操作全过程监测:通过采集远方操作通道每个节点报文,网络安全检测系统能够获得每一级数据信息并辨别各级数据是否一致,源节点数据是否按指定路径到达目的节点,从而实现远方操作全过程监测;

(2)实现变电站站控层网络健康状况诊断:通过对站控层网络负载、网络风暴监视、报文合法性校验、站控层设备运行状况监视,实现网络健康状况诊断;

(3)实现非法连接、恶意篡改监测:在变电站端接收到远方调度的指令信息时,网络安全检测系统获取该指令的报文、校验该报文中的发信用户信息并与预先在通信网络信息安全监测仪中设定的合法用户信息进行对比,若用户信息一致则表明该指令由合法用户发出;若用户信息不一致,则表明该指令由非法用户发出,有可能为恶意篡改命令,网络安全检测系统将发出危险警告;

(4)实现常见工业病毒、木马的监测:网络安全检测系统通过对网络数据的实时采集,对IP源地址、目的地址进行分析从而有效的监测网络中存在的木马。建立常见的高危木马以及工业病毒库,从而可以及时准确的判别木马或工业病毒的任何非法网络传输,并发出危险警告。

上述实施例和图式并非限定本发明的产品形态和式样,任何所属技术领域的普通技术人员对其所做的适当变化或修饰,皆应视为不脱离本发明的专利范畴。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1