一种发电厂数据中心网络安全预警管理系统的制作方法

本发明公开一种电厂网络安全管理系统，尤其是涉及一种发电厂数据中心网络安全预警管理系统。

背景技术：

1、传统电厂及核电厂的工业控制管理采用封闭系统，黑客入侵只能通过外围设备和控制系统直接接入,随着工业互联网的推进，电厂的控制管理中心以太网改以采用树形拓扑结构，使用工业交换机进行域内通讯，使用网关设备进行域间和外部通讯，实现it和ot互联，而当某一节点的网关或终端设备被黑客破解后，黑客以该节点作为入侵入口攻击整个网络管理中心，而一旦黑客成功入侵后整个工业控制管理中心即暴露和处于黑客操纵之下，而发电厂的供电满足民生的电力需求，特别是核电行业除了供电外还关乎国家战略安全，如果遭到破坏将影响社会环境民众的一系列问题。

技术实现思路

1、本发明的目的是为了解决上述的问题而提供一种发电厂数据中心网络安全预警管理系统。

2、为实现上述目的，本发明提供了如下技术方案：一种发电厂数据中心网络安全预警管理系统，其体系包括：若干独立且带有it端和ot端的工作站，各所述工作站的内部网络和外部网络隔离；

3、管理主机防护系统和接收工作站上传数据的云端管理平台，所述云端管理平台包括黑白名单管理模块、整理上传数据的云端数据库模块及上传数据分析管理模块；

4、应用库，所述应用库包括漏洞数据接收模块、漏洞分析和管理模块及远程下发修复模块；

5、所述工作站的外部网络均部署有主机防护系统，所述主机防护系统包括身份识别匹配模块、程序识别和阻止模块及警告模块，所述工作站的it端和ot端数据交互，所述工作站内部网络和外部网络通过dmz区隔离，所述dmz区部署在工作站的主机防护系统和云端管理平台的通道之间，所述身份识别匹配模块包括随机密钥生成系统和密钥加密解码上传系统，所述云端管理平台可将接收的随机密钥下发给终端设备。

6、作为优选，所述随机密钥生成系统的算法系统采用量子随机数生成器，所述量子随机数生成器包括工控板和盖革计数器，所述盖革计数器以工作站的电离辐射量为熵源，所述工控板可将盖革计数器周期生成的随机数编组成随机密码组。

7、作为优选，终端设备访问工作站过程：

8、01-终端设备向云端管理平台发送访问请求，云端管理平台对终端设备进行设备识别和访问记录；

9、02-云端管理平台识别终端设备认证成功，云端管理平台对工作站下发访问请求，访问请求业务通过工作站的外部网络穿透dmz区请求工作站的内部网络；

10、or云端管理平台识别终端设备认证失败，重复验证失败若干次后将终端设备列入黑名单禁止访问；

11、03-工作站的随机密钥生成系统根据该工作站的电离辐射量生成随机密码组通过密钥加密解码上传系统的加密后上传给云端管理平台，云端管理平台将加密后的随机密钥下发给终端设备；

12、04-终端设备访问时随机密钥匹配成功，开放内部网络it端访问控制权限。

13、作为优选，在上述步骤02-04中，所述云端管理平台下发的访问请求业务为特定跨网穿透业务，与所述it端的控制权限业务隔离。

14、作为优选，所述终端设备访问工作站通道均经由云端管理平台，所述云端管理平台和访问端的工作站可监控记录终端设备操作日志，并可阻止终端设备的操作命令执行。

15、作为优选，所述云端管理平台和应用库通过虚拟机隔离，所述虚拟机构造有办公虚拟子网和试验虚拟子网，所述云端管理平台和应用库分别与办公虚拟子网和试验虚拟子网连接，且办公虚拟子网和试验虚拟子网网间不连通，所述工作站的外部网络均与办公虚拟子网和试验虚拟子网连接。

16、作为优选，所述终端设备可在工作站的it端或云端管理平台进行设备注册，且终端设备的注册信息通过云端管理平台的黑白名单管理模块下发到各工作站主机防护系统的身份识别匹配模块。

17、作为优选，所述it端的对外接口端通过串口适配器进行数据交换，所述串口适配器设置有数据交换器和警报器，所述串口适配器的电源插头两触点处设有电磁换电开关，所述电磁换电开关包括连通两触点的继电壳体、套设在继电壳体内部的继电环、在继电环一侧滑动的衔铁环和另一侧固定的固定环及驱动衔铁环滑动的极靴，所述衔铁环的一端通过拉簧与继电壳体连接，所述继电环两侧分别与数据交换器输入端和警报器输入端连通，所述滑动环和固定环接通可短路数据交换器输入端。

18、与现有技术相比，本发明的有益效果是：

19、其一，各工作站的内部网络和外部网络通过dmz区隔离，黑客无法直接通过外部网络侵入ip端控制ot端，主机防护系统可以识别、阻止任何白名单外的终端设备、程序及脚本运行，对通过网络侵入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别和警告提示功能；

20、其二，云端管理平台统一管理工业控制系统内部所有主机防护系统，并收集、汇总、更新、同步各工作站的黑白名单数据库，并且监管各终端设备访问访问控制记录，并可远程进行阻止访问取消操作执行等行为控制；

21、其三，各工作站的主机防护系统的随机密钥生成系统的算法系统采用以各工作站的电离辐射量为熵源的量子随机数生成器，各工作站的主机防护系统产生随机密钥各自独立，黑客即使获取其中一组随机密钥也无法侵入其它工作站的主机防护系统。

技术特征：

1.一种发电厂数据中心网络安全预警管理系统，其特征在于，其体系包括：若干独立且带有it端和ot端的工作站(7)，各所述工作站(7)的内部网络和外部网络隔离；

2.根据权利要求1所述的一种发电厂数据中心网络安全预警管理系统，其特征在于，所述随机密钥生成系统的算法系统采用量子随机数生成器(18)，所述量子随机数生成器(18)包括工控板和盖革计数器，所述盖革计数器以工作站(7)的电离辐射量为熵源，所述工控板可将盖革计数器周期生成的随机数编组成随机密码组。

3.根据权利要求2所述的一种发电厂数据中心网络安全预警管理系统，其特征在于，终端设备(19)访问工作站(7)过程：

4.根据权利要求3所述的一种发电厂数据中心网络安全预警管理系统，其特征在于，在上述步骤02-04中，所述云端管理平台(1)下发的访问请求业务为特定跨网穿透业务，与所述it端的控制权限业务隔离。

5.根据权利要求4所述的一种发电厂数据中心网络安全预警管理系统，其特征在于，所述终端设备(19)访问工作站(7)通道均经由云端管理平台(1)，所述云端管理平台(1)和访问端的工作站(7)可监控记录终端设备(19)操作日志，并可阻止终端设备(19)的操作命令执行。

6.根据权利要求1所述的一种发电厂数据中心网络安全预警管理系统，其特征在于，所述云端管理平台(1)和应用库(2)通过虚拟机(5)隔离，所述虚拟机(5)构造有办公虚拟子网(3)和试验虚拟子网(4)，所述云端管理平台(1)和应用库(2)分别与办公虚拟子网(3)和试验虚拟子网(4)连接，且办公虚拟子网(3)和试验虚拟子网(4)网间不连通，所述工作站(7)的外部网络均与办公虚拟子网(3)和试验虚拟子网(4)连接。

7.根据权利要求1所述的一种发电厂数据中心网络安全预警管理系统，其特征在于，所述终端设备(19)可在工作站(7)的it端或云端管理平台(1)进行设备注册，且终端设备(19)的注册信息通过云端管理平台(1)的黑白名单管理模块(12)下发到各工作站(7)主机防护系统(6)的身份识别匹配模块(8)。

8.根据权利要求7所述的一种发电厂数据中心网络安全预警管理系统，其特征在于，所述it端的对外接口端通过串口适配器进行数据交换，所述串口适配器设置有数据交换器(20)和警报器(22)，所述串口适配器的电源插头两触点处设有电磁换电开关(21)，所述电磁换电开关(21)包括连通两触点的继电壳体(26)、套设在继电壳体(26)内部的继电环(28)、在继电环(28)一侧滑动的衔铁环(24)和另一侧固定的固定环(27)及驱动衔铁环(24)滑动的极靴(25)，所述衔铁环(24)的一端通过拉簧(23)与继电壳体(26)连接，所述继电环(28)两侧分别与数据交换器(20)输入端和警报器(22)输入端连通，所述滑动环和固定环(27)接通可短路数据交换器(20)输入端。

技术总结
本发明公开一种发电厂数据中心网络安全预警管理系统，属于电厂网络安全管理系统领域，其体系包括：若干独立且带有IT端和OT端的工作站，各所述工作站的内部网络和外部网络隔离；管理主机防护系统和接收工作站上传数据的云端管理平台，所述云端管理平台包括黑白名单管理模块、整理上传数据的云端数据库模块及上传数据分析管理模块；应用库，所述应用库包括漏洞数据接收模块、漏洞分析和管理模块及远程下发修复模块；本发明通过云端管理平台统一管理工业控制系统内部所有主机防护系统，并收集、汇总、更新、同步各工作站的黑白名单数据库，并且监管各终端设备访问访问控制记录，并可远程进行阻止访问取消操作执行等行为控制。

技术研发人员：朱章南
受保护的技术使用者：中核国电漳州能源有限公司
技术研发日：
技术公布日：2024/1/15