一种废弃矿井瓦斯电站信息网络防护系统的制作方法

本发明涉及废弃矿井瓦斯治理领域，具体涉及一种废弃矿井瓦斯电站信息网络防护系统。

背景技术：

现有的数字化废弃矿井瓦斯电站信息网络系统存在黑客、病毒、恶意代码等通过各种形式对数字化瓦斯电站的信息网络系统发起的恶意破坏和攻击，以及其它非法操作，从而导致废弃矿井瓦斯电站的信息网络系统瘫痪和失控，影响废弃矿井瓦斯电站正常安全生产。

技术实现要素：

本发明的目的就是针对现有的废弃矿井瓦斯电站信息网络系统存在的安全漏洞问题，提出一种废弃矿井瓦斯电站信息网络防护系统，实现设备控制区和设备非控制区进行分区防护、纵向加密、横向隔离的全方位防护策略，以抵御黑客、病毒、恶意代码等对电站安全生产系统发起的攻击和破坏。

为了实现上述目的，本发明的技术方案为：一种废弃矿井瓦斯电站信息网络防护系统，该信息网络防护系统包括设备控制防护区、设备非控制防护区以及相应的横向隔离装置和外部数据网；

设备控制防护区包括站内层数据交换机、数据处理服务器、业务数据交换机、纵向加密装置、网络安全监测装置，其中站内层数据交换机的一端与生产设备网络连接，站内层数据交换机的另一端与数据处理服务器的一端网络连接，站内层数据交换机用于采集生产设备的实时运行信息同时将采集到的生产实时运行信息传输至数据处理服务器内转换识别、处理并实现统一信息管理；数据处理服务器的另一端与业务数据交换机的一端网络连接，数据处理服务器将处理后的设备运行信息传输至业务数据交换机内，通过业务数据交换机将设备运行信息传输至外部数据网，再通过外部数据网将设备运行信息传输至外部平台；

纵向加密装置通过网路设置在业务数据交换机和外部数据网之间，形成线性拓扑结构，确保外部网络与业务数据交换机交换、互访的安全可靠；以实现业务数据交换机和外部数据网之间的网络隔离，纵向加密装置具有双向身份认证、加密数据和口令访问的功能，以抵御外部网络黑客、病毒、恶意代码等对电站生产、电网系统发起的攻击和破坏；

网络安全监测装置的一端与站内交换机网络连接，网络安全监测装置的另一端与业务交换机网络连接，同时与数据处理服务器形成并联结构，用于实时采集、监测和管理数据处理服务器上行和下行信息，防止内、外部网络非法侵入和非法操作、导致数据处理服务器内的信息出现异常，进而造成生产异常。

设备控制防护区用于监测和控制废弃矿井电站生产设备，其中以实现对发电机组、瓦斯抽采装置、辅机设备、电力变压器、开关柜以及电力继电保护装置运行状态的监控，实现生产状态的实时监测和控制；

设备非控制防护区包括数据采集服务器、业务数据交换机、纵向加密装置；其中数据采集服务器一端与计量设备网络连接，数据采集服务器另一端与业务数据交换机网络连接，数据采集服务器用于将生产计量数据进行采集、归纳和存储后传送至业务数据交换机，通并过业务数据交换机将计量及运行数据传输至外部数据网，再通过外部数据网将设备计量及运行数据传输至外部平台；

纵向加密装置通过网路设置在业务数据交换机和外部数据网之间，形成线性拓扑结构，确保外部网络与业务数据交换机交换、互访的安全可靠；以实现业务数据交换机和外部数据网之间的网络隔离，纵向加密装置具有双向身份认证、加密数据和口令访问的功能，以抵御外部网络黑客、病毒、恶意代码等对电站生产、电网系统发起的攻击和破坏；

设备非控制防护区用于采集、计量生产及设备运行数据。

横向隔离装置在控制防护区与设备非控制防护区之间，起到设备控制防护区和设备非控制防护区之间非法信息隔离和异常代码监测、过滤以及访问控制等功能，达到阻止病毒传播的目的。横向隔离装置设置正向隔离设备和反向隔离设备，正向隔离设备分别与设备控制防护区的数据处理器服务器和设备非控制防护区的数据采集服务器网络连接，实现设备控制防护区单向访问设备非控制防护区，信息只从设备控制防护区发送信息，实现数据单向传输，使外部数据不能从此网络途径访问设备控制防护区；反向隔离设备分别与设备控制防护区的数据处理器服务器和设备非控制防护区的数据采集服务器网络连接，实现设备控制防护区单向收取设备非控制防护区的信息，只收取信息不对外访问，上述功能实现对设备控制防护区与设备非控制防护区两个区域数据间的安全隔离和控制。

外部数据网分别与设备控制防护区与设备非控制防护区网络连接，用于将设备控制防护区和设备非控制防护区实时数据传输至外部平台。

本发明的有益效果：根据业务特性、安全需求、影响程度以及威胁和风险不同，对信息网络分区防护，进行片区化管理和防范，重点对瓦斯电站生产系统进行防护，以保障它的平稳有效运行，实现对瓦斯电站生产网络设备的集中管理、监控和运维，以此降低事故影响范围。

附图说明

图1是本发明废弃矿井瓦斯电站信息网络防护系统示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合说明书附图，对本申请具体实施方式进行清楚、完整的描述。

一种废弃矿井瓦斯电站信息网络防护系统，该信息网络防护系统包括设备控制防护区、设备非控制防护区以及相应的横向隔离装置和外部数据网；

设备控制防护区包括站内层数据交换机、数据处理服务器、业务数据交换机、纵向加密装置、网络安全监测装置，其中站内层数据交换机的一端与生产设备网络连接，这些生产设备包括发电机组、瓦斯抽采装置、辅机设备、电力变压器、开关柜以及电力继电保护装置。站内层数据交换机的另一端与数据处理服务器的一端网络连接；数据处理服务器的另一端与业务数据交换机的一端网络连接，数据处理服务器将处理后的设备运行信息传输至业务数据交换机内，通过业务数据交换机将设备运行信息传输至外部数据网，再通过外部数据网将设备运行信息传输至外部平台；

纵向加密装置通过网路设置在业务数据交换机和外部数据网之间，形成线性拓扑结构，确保外部网络与业务数据交换机交换、互访的安全可靠；以实现业务数据交换机和外部数据网之间的网络隔离，纵向加密装置具有双向身份认证、加密数据和口令访问的功能，以抵御外部网络黑客、病毒、恶意代码等对电站生产、电网系统发起的攻击和破坏；

网络安全监测装置的一端与站内交换机网络连接，网络安全监测装置的另一端与业务数据交换机和站内层数据交换机网络连接，同时与数据处理服务器形成并联结构，用于实时采集、监测和管理数据处理服务器上行和下行信息，防止内、外部网络非法侵入和非法操作、导致数据处理服务器内的信息出现异常，进而造成生产异常。

设备非控制防护区包括数据采集服务器、业务数据交换机、纵向加密装置；其中数据采集服务器一端与计量设备网络连接，数据采集服务器另一端与业务数据交换机网络连接，数据采集服务器用于将生产计量数据进行采集、归纳和存储后传送至业务数据交换机，通并过业务数据交换机将计量及运行数据传输至外部数据网，再通过外部数据网将设备计量及运行数据传输至外部平台；

纵向加密装置通过网路设置在业务数据交换机和外部数据网之间，形成线性拓扑结构，确保外部网络与业务数据交换机交换、互访的安全可靠；以实现业务数据交换机和外部数据网之间的网络隔离。

设备非控制防护区用于采集、计量生产及设备运行数据，通过数据采集服务器与生产电表、水表、压力表、流量表、瓦斯气体流量计相连。

横向隔离装置在控制防护区与设备非控制防护区之间，起到设备控制防护区和设备非控制防护区之间非法信息隔离和异常代码监测、过滤以及访问控制等功能，达到阻止病毒传播的目的。横向隔离装置设置正向隔离设备和反向隔离设备；正向隔离设备分别与设备控制防护区的数据处理器服务器和设备非控制防护区的数据采集服务器网络连接，实现设备控制防护区单向访问设备非控制防护区，信息只从设备控制防护区发送信息，实现数据单向传输，使外部数据不能从此网络途径访问设备控制防护区；反向隔离设备分别与设备控制防护区的数据处理器服务器和设备非控制防护区的数据采集服务器网络连接，实现设备控制防护区单向收取设备非控制防护区的信息，只收取信息不对外访问，上述功能实现对设备控制防护区与设备非控制防护区两个区域数据间的安全隔离和控制。

外部数据网分别与设备控制防护区与设备非控制防护区网络连接，用于将设备控制防护区和设备非控制防护区实时数据传输至外部平台。

本发明所描述的具体实施方式仅仅是最佳实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，包括对这些实施例所述装置进行多种变化、修改、替换和变型，都应当属于本申请保护的范围。