一种电力二次系统主动安全防御系统的制作方法
【专利摘要】本发明涉及一种电力二次系统主动安全防御系统,包括生产控制大区和管理信息大区,二者之间通过防火墙实现数据的传输;所述生产控制大区包括控制区、非控制区以及生产管理大区;所述控制区与非控制区之间,通过防火墙实现数据的传输,所述非控制区与生产管理大区之间设有正反向隔离设备;所述控制区、非控制区以及生产管理大区的数据接收和传输端均设有智能入侵防御系统。本发明创建的电力二次系统主动安全防御系统,可对网络进行立体、纵深、动态防护。集异常行为事件监控、检测、查杀病毒、阻断防御攻击、多重防护于一体,实现病毒及攻击实时智能监控、检测分析和安全防御一体化。既可快速进行实时智能防护,也可清除病毒及垃圾文件等降低消耗。
【专利说明】一种电力二次系统主动安全防御系统
【技术领域】
[0001]本发明涉及计算机网络信息安全【技术领域】,尤其涉及一种电力二次系统主动安全防御系统。
【背景技术】
[0002]电力二次系统,即控制、保护供电系统的回路,它是由各级电力监控系统和电力调度数据网络(31:511:6 ?0^61~ 0181)81:0111118 116切01^,8?0 1161:),以及电力数据通信网络〈3?丁加七)、电网管理信息系统(113)、电厂管理信息系统和电力通信系统等构成的复杂系统。目前,我国部署的防火墙和入侵检测系统1)61:601:1011 3781:6111,103)等安全防御系统,都存在着一定缺陷和不足,只能被动防护或只检测无阻断,且有漏报误报,因而存在一定的安全风险和隐患。
[0003]现有的电力二次系统安全防御系统如图1所示,包括四个安全区,其中安全区I为实时控制区,安全区II为非控制生产区,安全区III为生产管理区,安全区IV为管理信息区,并按照“安全分区、网络专用、横向隔离、纵向认证”基本原则,对四个安全区分别采用不同安全措施。但现有的电力二次系统安全防御系统存在以下问题:一是电力系统采用的防火墙和入侵检测技术等,存在着一定缺陷或不足,被动防御或漏报误报率高;二是系统之间信息交换缺乏加密及认证机制、入侵检测等预警机制、漏洞扫描和审计手段,接入存在安全隐患;三是基本手动更新病毒库,缺乏实时性,导致各厂站端、工控机房难管理;四是安全防护目标、策略和体系不健全,所采取的安全措施几乎都基于被动防护;五是管理区与生产区的数据双向交互,各级调度系统结构复杂,数据交互缺乏规则性,很难对系统及数据进行统一安全防护、动态管理和应急处理。
【发明内容】
[0004]本发明提供一种电力二次系统主动安全防御系统,以解决上述技术问题。
[0005]为解决上述技术问题,本发明提供一种电力二次系统主动安全防御系统,包括生产控制大区和管理信息大区,二者之间通过防火墙实现数据的传输;所述生产控制大区包括控制区、非控制区以及生产管理大区;所述控制区与非控制区之间,通过防火墙实现数据的传输,所述非控制区与生产管理大区之间设有正反向隔离设备;所述控制区、非控制区以及生产管理大区的数据接收和传输端均设有智能入侵防御系统。
[0006]较佳地,所述控制区内至少包括£13和广域相量测量系统;所述非控制区内至少包括水调自动化系统、电能量计量系统和电力交易系统;所述生产管理大区内至少包括胃必、雷电监测、气象卫星云图、计划、日报/早报以及文件服务。
[0007]较佳地,每两个所述的控制区之间设有I?认证加密装置;每两个所述的非控制区之间也设有I?认证加密装置。
[0008]较佳地,所述生产管理大区通过防火墙、电力企业数据网以及虚拟专用网络与系统内外机构进行数据传输。
[0009]较佳地,所述管理信息大区内包括电力信息系统和信息管理、发布统一威胁管理
T D O
[0010]较佳地,所述电力信息系统包括E-Mail用户、Web用户以及Web服务器。
[0011]较佳地,所述管理信息大区通过防火墙与外网及终端客户相连。
[0012]与现有技术相比,本发明提供的一种电力二次系统主动安全防御系统,集成了网络安全新技术、管理、策略和机制,针对系统不同层次结构和需求采取针对性有效措施,多层次整体联动、交互协调,利用一种新设计思想构建出一种新型多层次的主动安全防御系统。以多角度、全方位,构建具有主动、综合、协同主动安全防御一体化功能,对网络可进行立体、纵深、动态防护的多功能网络监控与防御的新体系。集异常行为事件监控、检测、查杀病毒、阻断防御攻击、多重防护于一体,实现病毒及攻击实时智能监控、检测分析和安全防御一体化。既可快速进行实时智能防护,也可清除病毒及垃圾文件等降低消耗。
【专利附图】
【附图说明】
[0013]图1为现有的电力二次系统主动安全防御系统的结构示意图;
[0014]图2为本发明一【具体实施方式】的电力二次系统主动安全防御系统的结构示意图。
【具体实施方式】
[0015]为了更详尽的表述上述发明的技术方案,以下列举出具体的实施例来证明技术效果;需要强调的是,这些实施例用于说明本发明而不限于限制本发明的范围。
[0016]本发明提供的一种电力二次系统主动安全防御系统,如图2所示,包括生产控制大区和管理信息大区,二者之间通过防火墙实现数据的传输;所述生产控制大区包括控制区(安全区I)、非控制区(安全区II)以及生产管理大区(安全区III);所述控制区与非控制区之间,通过防火墙实现数据的传输,所述非控制区与生产管理大区之间设有正反向隔离设备;所述控制区、非控制区以及生产管理大区的数据接收和传输端均设有智能入侵防御系统。本发明通过重新划分安全区的等级,并在系统内添加智能入侵防御系统(Intrus1n Prevent1n System, IPS),采用纵深防御策略机制、统一威胁管理(UnifiedThreat Management, UTM)平台、智能入侵防御系统、认证与加密和隔离技术,利用上述主动安全防御新模型构建安全防御体系。以多角度、全方位,构建具有主动、综合、协同主动安全防御一体化功能,对网络可进行立体、纵深、动态防护的多功能网络监控与防御的新体系。集异常行为事件监控、检测、查杀病毒、阻断防御攻击、多重防护于一体,实现病毒及攻击实时智能监控、检测分析和安全防御一体化。既可快速进行实时智能防护,也可清除病毒及垃圾文件等降低消耗。
[0017]较佳地,请继续参考图2,所述控制区内至少包括EMS和广域相量测量系统;所述非控制区内至少包括水调自动化系统、电能量计量系统和电力交易系统;所述生产管理大区内至少包括Web、雷电监测、气象卫星云图、计划、日报/早报以及文件服务;所述管理信息大区内包括电力信息系统和信息管理、发布统一威胁管理平台,具体地,所述电力信息系统包括E-Mail用户、Web用户以及Web服务器。
[0018]较佳地,请继续参考图2,每两个所述的控制区之间设有IP认证加密装置;每两个所述的非控制区之间也设有IP认证加密装置;所述生产管理大区通过防火墙、电力企业数据网以及虚拟专用网络与系统内外机构进行数据传输;所述管理信息大区通过防火墙与外网及终端客户相连。从而实现网络专用、横向隔离以及纵向认证。
[0019]另夕卜,本发明在网络系统安全?0册模型:防护、检测响应(0621(31:1011)和恢复(06⑶的基础上,以“检查准备、防护加固、检测发现、快速反映、应急恢复、反省改进”原则改进得到?1~01:601:10117 £)61:601:1011,
1^6801:1011, 06(30^61*7,1^6^1601:1011)模型,即围绕安全管理、策略、机制和标准的中心,以“准备预防、加固防护、检测反馈、响应阻断、备份恢复、总结改进(并审计追踪、取证和侦破的渐进防御过程,6个环节相互作用、补充和完善,有助于构建主动安全纵深防御体系。
[0020]本发明还通过对电力二次系统安全需求分析,经过对安全防护体系的探究,利用国家电网公司“电网信息安全等级保护纵深防御示范工程”项目成果,并参照130/12(:27001信息安全管理标准,新构建的企业电力二次系统主动安全防御系统为一个三维立体防御体系,具体地,所述的主动安全防御体系结构的3个层面:一是水平方向的法律管理基础层,分为网络安全法律、政策、安全管理和道德规范教育;二是策略机制技术服务层,分为安全通信协议、网络防御策略、机制、防御技术和安全服务;三是多层(纵深)防御层,包括准备预防、加固防御、检测反馈、响应阻断、备份恢复和总结改进(审计侦破纵深的多层防御需要各层的安全防御策略、机制、技术和服务支持,将各种系统资源进行划分,从边界防御、网络防御、管理平台等层面构建更有效的主动深层防御策略、机制和实现方案。
[0021]利用通用的模拟测试方法对本发明构件的电力二次系统主动安全防御系统进行模拟测试,在网络环境下入侵数据集1(00 0^2012采集5组数据,对系统进行多种入侵检测防御模拟实验。通过实验对比分析,并将新模型和主动安全防御体系用于某地区电网的电力二次系统安全防护工程的防护方案和实施中,实践结果表明其安全防御的实效具有较大改善,提高了安全检测与防御能力,而且降低了对异常行为的漏报率和误报率。有效地提高了整个网络的动态智能检测、辨识和阻断防御的性能,增强了整体智能防御的效能,并对研发云智能肥?3具有极重要价值,不仅具有重大经济价值,而且还具有巨大的社会效益,对计算机网络资源安全和社会稳定极为重要。
[0022]综上所述,本发明提供的一种电力二次系统主动安全防御系统,包括生产控制大区和管理信息大区,二者之间通过防火墙实现数据的传输;所述生产控制大区包括控制区、非控制区以及生产管理大区;所述控制区与非控制区之间,通过防火墙实现数据的传输,所述非控制区与生产管理大区之间设有正反向隔离设备;所述控制区、非控制区以及生产管理大区的数据接收和传输端均设有智能入侵防御系统。本发明创建的电力二次系统主动安全防御系统,可对网络进行立体、纵深、动态防护。集异常行为事件监控、检测、查杀病毒、阻断防御攻击、多重防护于一体,实现病毒及攻击实时智能监控、检测分析和安全防御一体化。既可快速进行实时智能防护,也可清除病毒及垃圾文件等降低消耗。
[0023]显然,本领域的技术人员可以对发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包括这些改动和变型在内。
【权利要求】
1.一种电力二次系统主动安全防御系统,其特征在于,包括生产控制大区和管理信息大区,二者之间通过防火墙实现数据的传输;所述生产控制大区包括控制区、非控制区以及生产管理大区;所述控制区与非控制区之间,通过防火墙实现数据的传输,所述非控制区与生产管理大区之间设有正反向隔离设备;所述控制区、非控制区以及生产管理大区的数据接收和传输端均设有智能入侵防御系统。
2.如权利要求1所述的一种电力二次系统主动安全防御系统,其特征在于,所述控制区内至少包括EMS和广域相量测量系统;所述非控制区内至少包括水调自动化系统、电能量计量系统和电力交易系统;所述生产管理大区内至少包括Web、雷电监测、气象卫星云图、计划、日报/早报以及文件服务。
3.如权利要求1所述的一种电力二次系统主动安全防御系统,其特征在于,每两个所述的控制区之间设有IP认证加密装置;每两个所述的非控制区之间也设有IP认证加密装置。
4.如权利要求1所述的一种电力二次系统主动安全防御系统,其特征在于,所述生产管理大区通过防火墙、电力企业数据网以及虚拟专用网络与系统内外机构进行数据传输。
5.如权利要求1所述的一种电力二次系统主动安全防御系统,其特征在于,所述管理信息大区内包括电力信息系统和信息管理、发布统一威胁管理平台。
6.如权利要求5所述的一种电力二次系统主动安全防御系统,其特征在于,所述电力信息系统包括E-Mail用户、Web用户以及Web服务器。
7.如权利要求5所述的一种电力二次系统主动安全防御系统,其特征在于,所述管理信息大区通过防火墙与外网及终端客户相连。
【文档编号】H04L29/06GK104333551SQ201410608031
【公开日】2015年2月4日 申请日期:2014年10月31日 优先权日:2014年10月31日
【发明者】贾铁军, 肖惜明, 张福杰 申请人:上海电机学院