电力信息网的安全防护方法、装置和系统与流程

本发明涉及电网领域，具体而言，涉及一种电力信息网的安全防护方法、装置和系统。

背景技术：

随着我国信息技术的快速发展，计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用。加强对重要领域内计算机信息系统安全保护工作的监督管理，打击各类计算机违法犯罪活动，是我国信息化顺利发展的重要保障。

目前，现有的省电力公司的信息系统主要面临两个方面的问题：一是来自外部对省电力公司的信息系统的非法侵入，对信息系统的蓄意破坏和盗窃、篡改信息行为；二是来自省电力公司内部员工对网络中运行的各类业务系统的合法、授权、正常访问。由于现有的省电力公司信息网络中存在大量的用户，因此，各种账号的安全性管理，以及对服务器资源的集中维护和运维管理，对于保障电力信息网的安全十分重要。

针对上述现有的电力信息网由于没有完善的网络安全保障体系架构导致电力信息网存在安全隐患的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种电力信息网的安全防护方法、装置和系统，以至少解决现有的电力信息网由于没有完善的网络安全保障体系架构导致电力信息网存在安全隐患的技术问题。

根据本发明实施例的一个方面，提供了一种电力信息网的安全防护方法，包括：将电力信息网划分为至少一个网络安全域，其中，网络安全域为电力信息网中具有相同安全防护需求的子网络；在网络安全域之间部署网络隔离设备，其中，网络隔离设备用于执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复。

根据本发明实施例的另一方面，还提供了一种电力信息网的安全防护系统，包括：电力信息网，包括：多个电力设备，其中，多个电力设备构成电力信息网；至少一个网络隔离设备，与电力设备连接，用于将电力信息网划分为至少一个网络安全域，并执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复，其中，网络安全域为电力信息网中具有相同安全防护需求的子网络。

根据本发明实施例的另一方面，还提供了一种电力信息系统，包括上述的电力信息网的安全防护系统。

根据本发明实施例的另一方面，还提供了一种电力信息网的安全防护装置，包括：划分单元，用于将电力信息网划分为至少一个网络安全域，其中，网络安全域为电力信息网中具有相同安全防护需求的子网络；部署单元，用于在网络安全域之间部署网络隔离设备，其中，网络隔离设备用于执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复。

在本发明实施例中，通过将电力信息网划分为至少一个网络安全域，其中，网络安全域为电力信息网中具有相同安全防护需求的子网络；在网络安全域之间部署网络隔离设备，其中，网络隔离设备用于执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复，达到了根据电力信息网的不同的安全防护需求建立不同的安全防护机制的目的，从而实现了提高电力信息网的安全性并降低安全防护成本的技术效果，进而解决了现有的电力信息网由于没有完善的网络安全保障体系架构导致电力信息网存在安全隐患的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种电力信息网的安全防护方法流程图；

图2是根据本发明实施例的一种可选的电力信息网的安全防护方法流程图；

图3是根据本发明实施例的一种电力信息网的安全防护系统示意图；以及

图4是根据本发明实施例的一种可选的电力信息网的安全防护系统示意图；以及

图5是根据本发明实施例的一种电力信息网的安全防护装置示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

根据本发明实施例，提供了一种电力信息网的安全防护方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种电力信息网的安全防护方法流程图，如图1所示，该方法包括如下步骤：

步骤s102，将电力信息网划分为至少一个网络安全域，其中，网络安全域为电力信息网中具有相同安全防护需求的子网络。

具体地，在上述步骤中，上述电力信息网包括但不限于各省级、各地市级、各县级供电局或供电所的信息网络；上述网络安全域(或称网络安全区)可以为将电力信息网按照不同的安全防护需求划分的多个子网络。

此处需要说明的是，由于电网业务覆盖广，因而，现有的电力信息系统通常采用业务分布处理、数据集中存储的方式。由于各个区域运维水平差距较大、经济、技术、人才发展不均，因而，各个区域的安全保障能力差别较大。作为一种可选的实施方式，根据电力行业业务发展相似性的特点，可以将电力信息网按照不同的安全防护需求划分为多个网络安全域，建立全面的信息网络安全保障体系架构。

步骤s104，在网络安全域之间部署网络隔离设备，其中，网络隔离设备用于执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复。

具体地，在上述步骤中，上述网络隔离设备可以用于在各个网络安全域之间执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复，该网络隔离设备包括但不限于防火墙、vpn、ids、ips、病毒过滤网关等安全设备。

此处需要说明的是，现有的电力信息网(包括外网和内网)的边界均未部署防病毒网关，无法识别和防范来自互联网、或广域网的恶意代码和病毒的恶意传播，恶意代码和病毒通过网络边界进行渗透，可能对网络内部的各类终端机、服务器造成严重威胁。为了降低恶意代码和病毒所带来的安全威胁，有必要将外网、内网的边界部署网络隔离设备(包括但不限于防病毒网关)，进一步地，将外网、内网划分为多个网络安全域，在各个网络安全域之间部署网络隔离设备，可以降低由于恶意代码和病毒传播带来的安全风险。

作为一种可选的实施例，在上述网络隔离设备为病毒过滤网关的情况下，对于防病毒网关系统的安全策略，按照下述内容尽心设计：

①病毒过滤策略：病毒过滤网关对smtp、pop3、imap、http和ftp等应用协议进行病毒扫描和过滤，通过恶意代码特征过滤，对病毒、木马、蠕虫以及移动代码进行过滤、清除和隔离，有效地防止可能的病毒威胁，将病毒阻断在敏感数据处理区之外。

②恶意代码防护策略：病毒过滤网关支持对数据内容进行检查，可以采用关键字过滤，url过滤等方式来阻止非法数据进入敏感数据处理区域，同时支持对java等小程序进行过滤等，防止可能的恶意代码进入敏感数据处理区。

③蠕虫防范策略：病毒过滤网关可以实现实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断，从而有效防止信息网络因遭受蠕虫攻击而陷于瘫痪。

④病毒库升级策略：病毒过滤网关支持自动和手动两种升级方式，在自动方式下，系统可自动到互联网上的厂家网站搜索最新的病毒库和病毒引擎，进行及时的升级。

⑤日志策略：防病毒网关提供完整的病毒日志、访问日志和系统日志等记录，这些记录能够被部署在三级计算环境中的日志审计系统所收集。

由上可知，在本申请上述实施例中，按照不同安全防护需求，将各省级、各地市级、各县级供电局或供电所的信息网络划分为多个网络安全域，并在各个网络安全域之间部署网络隔离设备，容易注意的是，该网络隔离设备可以实现各个网络安全域之间访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复等功能，达到了根据电力信息网的不同的安全防护需求建立不同的安全防护机制的目的，从而实现了提高电力信息网的安全性并降低安全防护成本的技术效果，进而解决了现有的电力信息网由于没有完善的网络安全保障体系架构导致电力信息网存在安全隐患的技术问题。

在一种可选的实施例中，上述电力信息网包括：至少一级网络，其中，每一级网络包括外网和内网。

具体地，在上述实施例中，按照电力系统的机构设置，电力信息网包括国网、各省级、各地市级、各县级及以下等多个级别，每一级电力信息网都包括外网和内网(也称生产网)，作为一种可选的实施方式，可以按照现有电力系统的等级划分，针对每一级电力信息网的外网和内网分别进行网络安全域划分。

基于上述实施例，如图2所示，步骤s102，将电力信息网划分为至少一个网络安全域，可以包括如下至少之一：

步骤s102a，将每一级网络的外网划分为如下至少之一：互联网接入域、外网访问域和安全管理域；

步骤s102b，将每一级网络的内网划分为如下至少之一：广域网接入域、安全管理域和服务器域。

具体地，在上述步骤中，将国网、各省级、各地市级、各县级及以下中的每一级电力信息网的外网划分为互联网接入域、外网访问域和安全管理域，将国网、各省级、各地市级、各县级及以下中的每一级电力信息网的内网划分为广域网接入域、安全管理域和服务器域。

需要说明的是，上述步骤s102a和s102b的顺序可以互换。

此处需要说明的是，在将电力信息网的每一级网络的外网和内网分别划分为多个网络安全域后，可以在省级、地市级、县级网络的区域边界，采用边界访问控制技术，对安全域之间的进出数据流进行网络层的基础访问控制。网络访问控制的具体技术措施为如下的一到多种：①通过安全网关设备或网络设备划分vlan进行逻辑隔离；②通过防火墙等边界访问设备进行逻辑隔离；③通过安全隔离网闸等设备进行物理隔离。

实施例2

根据本发明实施例，提供了一种电力信息网的安全防护系统实施例。

图3是根据本发明实施例的一种电力信息网的安全防护系统示意图，如图3所示，该系统包括：多个电力设备11和至少一个网络隔离设备12。

多个电力设备11，其中，多个电力设备构成电力信息网；

至少一个网络隔离设备12，与电力设备连接，用于将电力信息网划分为至少一个网络安全域，并执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复，其中，网络安全域为电力信息网中具有相同安全防护需求的子网络。

具体地，上述电力信息网包括但不限于各省级、各地市级、各县级供电局或供电所的信息网络；上述网络安全域(或称网络安全区)可以为将电力信息网按照不同的安全防护需求划分的多个子网络；上述网络隔离设备可以用于在各个网络安全域之间执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复，该网络隔离设备包括但不限于防火墙、vpn、ids、ips、病毒过滤网关等安全设备。

由上可知，在本申请上述实施例中，通过部署至少一个网络隔离设备，将由多个电力设备构成的电力信息网(例如，各省级、各地市级、各县级供电局或供电所的信息网络)按照不同安全防护需求划分为多个网络安全域，容易注意的是，该网络隔离设备可以实现各个网络安全域之间访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复等功能，达到了根据电力信息网的不同的安全防护需求建立不同的安全防护机制的目的，从而实现了提高电力信息网的安全性并降低安全防护成本的技术效果，进而解决了现有的电力信息网由于没有完善的网络安全保障体系架构导致电力信息网存在安全隐患的技术问题。

在一种可选的实施例中，上述电力信息网包括：至少一级网络，其中，每一级网络包括外网和内网。

具体地，在上述实施例中，按照电力系统的机构设置，电力信息网包括国网、各省级、各地市级、各县级及以下等多个级别，每一级电力信息网都包括外网和内网(也称生产网)，作为一种可选的实施方式，可以按照现有电力系统的等级划分，针对每一级电力信息网的外网和内网分别进行网络安全域划分。

作为一种可选的实施例，上述网络隔离设备用于将每一级网络的外网划分为如下至少之一：互联网接入域、外网访问域和安全管理域。

具体地，在上述实施例中，通过在国网、各省级、各地市级、各县级及以下中的每一级电力信息网的外网部署多个网络隔离设备，可以将国网、各省级、各地市级、各县级及以下中的每一级电力信息网的外网划分为互联网接入域、外网访问域和安全管理域。

作为一种可选的实施例，上述网络隔离设备用于将每一级网络的内网划分为如下至少之一：广域网接入域、安全管理域和服务器域。

具体地，在上述实施例中，通过在国网、各省级、各地市级、各县级及以下中的每一级电力信息网的内网部署多个网络隔离设备，可以将国网、各省级、各地市级、各县级及以下中的每一级电力信息网的内网划分为广域网接入域、安全管理域和服务器域。

作为一种优选的实施例，在每一级电力信息网的外网和内网界采用独立的防火墙设备、入侵防御(ips)或入侵检测设备(ids)等设备进行网络层访问控制及应用层恶意流量清洗，具体地，以x省为例，在省级互联网边界，采用双机、双链路冗余架构部署，采用nat模式，以便屏蔽内部网络结构；在防火墙的内侧依次透明部署ips设备、防病毒网关设备；这些设备均采用双机热备的高可用性部署方式，一台设备宕机后，本侧的流量会自动切换到另一侧；在省级内网网络边界，采用双机、双链路冗余架构部署，可以采用透明模式或nat模式；在防火墙的内侧透明部署ips设备；这些设备均采用双机热备的高可用性部署方式，一台设备宕机后，本侧的流量会自动切换到另一侧；在地市级外网网络边界：部署模式可以采用透明模式或nat模式，在防火墙的内测地市级核心交换机上部署入侵检测设备(ids)，在地市级外网网络边界对进，出数据流进行实时检测和监控，发现入侵行为，并及时进行报警或人工阻断；地市级生产网网络边界：采用双机、双链路冗余架构部署，可以采用透明模式或nat模式，在防火墙的内测地市级核心交换机上部署入侵检测设备(ids)，在地市级外网网络边界对进出数据流进行实时检测和监控，发现入侵行为，并及时进行报警或人工阻断；这些设备均采用双机热备的高可用性部署方式，一台设备宕机后，本侧的流量会自动切换到另一侧；县级外网网络边界：部署模式可以采用透明模式或nat模式，以便屏蔽内部网络结构，根据业务需求和经费预算，需要在核心交换机上部署入侵检测设备(ids)，保障县级网络的稳定性和安全性。县级生产网网络边界：部署模式可以采用透明模式或nat模式，以便屏蔽内部网络结构，根据业务需求和经费预算，需要在核心交换机上部署入侵检测设备(ids)，保障县级生产网络的稳定性和安全性。

在一种可选的实施例中，上述网络隔离设备采用双机、双链路冗余架构部署于网络安全域之间。

通过上述实施例，采用双机、双链路冗余架构，可以保证其中一条链路通信中断的情况线，可以采用另一条链路进行通信。

在一种可选的实施例中，上述网络隔离设备包括如下至少之一：入侵防御设备、入侵检测设备、防火墙、网关、网闸。

具体地，在上述实施例中，在省级、地市级外网、内网(生产网)部署入侵防御设备(ips)或入侵检测设备(ids)等，可以对应用层恶意流量检测和预警，并结合人工阻断；在省级、地市级、县级外网、生产网网络边界处采用独立的防火墙设备进行网络层访问控制，通过vlan或核心交换机自带防火墙模块进行小安全域边界的网络访问控制，可以实现网络分域分级管理，层层把控，在小范围内严控安全事件的扩大和蔓延。可选地，上述网关可以是防病毒网关，在网关层面进行病毒检测与阻断。在工控系统的区域边界采用网闸来进行访问控制，由于网闸可以在硬件上实现了接近于物理隔离的效果，采用网闸使得各个网络安全域的硬件相互独立，最大限度地降低此边界的安全风险。

在一种可选的实施例中，如图4所示，上述系统还包括：堡垒机13，与网络隔离设备连接，用于运维认证授权管理。

具体地，在上述实施例中，在省级、地市级外网和内网的安全管理域分别部署堡垒机，通过堡垒机实现集帐号管理、授权管理、认证管理和综合审计于一体，加强应用系统、网络设备、主机系统的统一管控，有效地保障支撑系统安全可靠地运行。

在一种可选的实施例中，如图4所示，上述系统还包括：上网行为管理设备14，与网络隔离设备连接，用于用户上网行为管控、网络带宽管理和数据流量审计。

具体地，在上述实施例中，上网行为管理设备14部署于省级、地市级外网互联网域，即在互联网出口处部署用户行为管理设备，可以对公司用户的上网行为、进出网络的数据量进行严格管控。可选地，可以采用双机双链路冗余结构。需要说明的是，通过部署上网行为管理系统，可以实现以下功能：

(1)用户管理，用户是上网行为管理产品的基本要素，任何的行为管理策略都是以用户为核心。因此，对于用户的识别、认证与管理成了行为管理的前提要素，同时也决定了行为管理的效果。上网行为管理产品通过不断地深入实践与研发，提供了灵活而全面的用户管理方式，很好的满足了广大企业对用户管理的需求。

(2)网络流量识别，上网行为管理设备以dpi(deeppacketinspect，深度包检测)技术为核心，结合基于报文内容及基于行为特征的技术，实现网络中应用的自动识别和智能分类。上网行为管理设备可以探测和跟踪动态端口分配，通过比对协议的特征库，能够识别变动端口的流量，并能够对使用同一端口的不同协议进行自动识识别。

(3)带宽资源管理，通过专业的带宽管理和分配算法，上网行为管理设备提供流量优先级、最大带宽限制、保障带宽、预留带宽、以及随机公平队列等一系列的应用优化和带宽管理控制功能。

(4)基于时间管理，上网行为管理设备支持自定义时间对象，实现针对时间段进行带宽分配和上网行为的管理。比如，上班时间要对关键业务和重要人员的带宽进行保障，对p2p等非关键业务进行严格控制；下班时间可以对p2p、网络电视等业务给与适当宽松的流量。

(5)上网行为管理，用于限制门户网站、社区论坛、交友网站、博客等娱乐网页的访问，提高企业内部公司员工的工作效率。

一种可选的实施例中，上网行为管理设备14还可以对经过链路的数据流进行安全审计，并实时记录审计日志，在出现网络安全事件后可以查询审计日志，为网络管理员判断事件原因，解决问题提供解决方案。

在一种可选的实施例中，如图4所示，上述系统还包括：安全运营中心服务器15，与网络隔离设备连接，用于对电力信息网中的安全设备、网络设备的日志进行收集。

具体地，在上述实施例中，在内网安全管理域内部署安全运营中心服务器(soc)，统一管理和配置安全设备，收集和分析安全设备日志，监控安全管理设备状态，可以提升设备安全管理水平和效率，配合管理和服务层级的提升。

需要说明的是，作为安全管理运营中心的技术运维平台，现有技术主要依据iso/iec27000信息安全标准，结合安全服务的最佳实践，以资产管理为基础，以风险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的网络管理与监视、安全报警响应、工单处理等功能，对企业内部各类安全事件进行集中管理和智能分析，最终实现对企业全风险态势的统一监控分析和预警处理。通过部署安全运营管理平台，可以实现以下功能：

(1)统一资产与风险管理，通过对关键资产的实时监控，以及对资产所产生的事件进行风险分析和处理，从而维护企业中各种资产的安全性。通过各种资产视图可以查看资产的软件硬件信息、漏洞补丁列表，通过查看该资产的最新的扫描报告可以了解最新的漏洞信息。同时，资产管理支持导入导出功能。

(2)统一的网络与安全管理平台，网络管理与安全管理无缝集成，为用户提供统一管理平台，有效降低客户总体拥有成本(tco)。系统支持全面的拓扑管理，包括自动的拓扑发现、网元状态监控、网元维护、集成的风险与事件展现界面。同时支持多级管理，可对大规模的分层系统进行统一的管理。

(3)统一事件处理与策略管理，综合运用事件归一化与归并技术、实时关联分析技术、专家决策系统等不同层面的技术方案，为用户提供了一个集成化的威胁与风险识别的平台。事件归一化与归并技术可将用户的海量数据大幅缩减，为进一步的数据挖掘做准备；基于状态机的实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发，可有效地帮助用户准确、实时地进行高精度威胁识别，并通过专家决策系统选择优化的解决方案。

(3)全方位的信息监控，满足用户多元化的监控需求，提供基于事件、性能、状态、安全等方面的对设备、服务的健康性观察。不同的用户可以拥有自定义的个性化仪表盘；配置方便，布局灵活，可根据需要方便地增加、删除和修改仪表盘上的仪表，并可所见即所得地排布仪表；展现方式多样，每个仪表都可支持表格、指示灯、图形、树型等展示方式。

在一种可选的实施例中，在各省级、地市级、县级外网的互联网域的边界部署web应用防火墙，实现对sql注入、跨站脚本、csrf(伪造跨站请求)等攻击进行全方位的防护，确保外网网站或与互联网有关联业务的web业务系统免遭攻击或盗链所造成的损失；waf需配置一个管理口(需配置ip)，用来远程管理设备；网页防篡改软件需要在web服务器安装代理客户端，同时，部署服务器用来部署服务器端并存储备份网站程序、网页水印库等数据，以便于在网页被篡改后能够及时恢复。

作为一种可选的实施例，上述系统还可以包括：网络设备管理服务器，用于对交换机、路由器、防火墙、服务器、链路等的全方位管理，并提供了丰富的拓扑、设备配置、故障告警、性能、安全、报表等it网络管理功能。通过部署网络管理系统，可以实现如下功能：

(1)全自动拓扑发现技术，自动搜索网络、发现网络节点，包括：网络设备、服务器、非网管设备的发现、pc主机等，并基于网络的二层连接关系构建物理拓扑。

(2)故障智能预测与分析，通过实时的网络运行监测，系统可智能分析和预测潜在故障，并根据告警程度的不同发送警报。

(3)支持分布式管理，支持多用户，多角色，it运维人员，决策人员，不同角色有不同权限，不同区域级别也有不同权限。

(4)多维度监控，支持从路由、设备、终端、流量、故障等方面多角度、细颗粒度地监控、管理整个it网络。

(5)配置变更告警及比对，对用户端交换机定期进行配置备份并支持配置检查工作，可根据配置模板自动进行配置比对，并以告警方式提供报告。

(6)支持多操作平台，支持包括windows、linux、solaris等主流操作平台。

根据本发明实施例的另一方面，还提供了一种电力信息系统，包括上述任意一项可选的或优选的电力信息网的安全防护系统。

实施例3

根据本发明实施例，还提供了一种用于实现上述电力信息网的安全防护方法的装置实施例，图5是根据本发明实施例的一种电力信息网的安全防护装置示意图，如图5所示，该装置包括：划分单元501和部署单元503。

其中，划分单元501，用于将电力信息网划分为至少一个网络安全域，其中，网络安全域为电力信息网中具有相同安全防护需求的子网络；

部署单元503，用于在网络安全域之间部署网络隔离设备，其中，网络隔离设备用于执行如下至少一种功能：网络访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复。

由上可知，在本申请上述实施例中，通过划分单元501按照不同安全防护需求，将各省级、各地市级、各县级供电局或供电所的信息网络划分为多个网络安全域，并通过部署单元503在各个网络安全域之间部署网络隔离设备，容易注意的是，该网络隔离设备可以实现各个网络安全域之间访问控制、数据传输限制、安全检测、病毒阻断、流量清洗、网络恢复等功能，达到了根据电力信息网的不同的安全防护需求建立不同的安全防护机制的目的，从而实现了提高电力信息网的安全性并降低安全防护成本的技术效果，进而解决了现有的电力信息网由于没有完善的网络安全保障体系架构导致电力信息网存在安全隐患的技术问题。

在一种可选的实施例中，上述电力信息网包括：至少一级网络，其中，每一级网络包括外网和内网。

在一种可选的实施例中，上述划分单元501包括：第一划分模块，用于将每一级网络的外网划分为如下至少之一：互联网接入域、外网访问域和安全管理域；第二划分模块，用于将每一级网络的内网划分为如下至少之一：广域网接入域、安全管理域和服务器域。

实施例4

根据本发明实施例，还提供了一种存储介质，存储介质包括存储的程序，其中，程序执行实施例1中任意一项可选的或优选的电力信息网的安全防护方法。

实施例5

根据本发明实施例，还提供了一种处理器，其特征在于，处理器用于运行程序，其中，程序运行时执行实施例1中任意一项可选的或优选的电力信息网的安全防护方法。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。