智慧能源站监控系统安全防护方法与流程

本申请属于电力自动化和网络安全领域，主要涉及智慧能源站监控系统安全防护方法。

背景技术：

近年来我国电力行业快速发展，越来越多的新技术应用于电力系统，变电站作为电力输送的重要节点，其较高的机房建设标准、天然的电力供应优势以及完善的通信网络，具备建设储能站、电动汽车充电站、数据中心的各项条件；电力行业探索出，将变电站、综合能源站及数据中心站融合建设成智慧能源站的模式，为了保障智慧能源站监控系统的安全，防范黑客及恶意代码等对监控系统的攻击及侵害，防止监控系统的崩溃或瘫痪，以及由此造成设备事故或安全事故，遵循《电力监控系统安全防护规定》、《信息安全等级保护管理办法》以及国家有关规定，结合智慧能源站监控系统的信息交互特点，提出本方法。

目前的电力监控系统安全防护方法针对变电站监控系统提出了较为完善的技术措施，但对于融合了变电站、综合能源站及数据中心站的智慧能源站监控系统安全防护，暂未制定出相应的安全技术方法，现有的变电站监控系统安全防护方法对于智慧能源站监控系统存在以下不足：(1)传统链型拓扑结构，导致部署在数据汇聚区的智能运维管控服务平台获取数据路径太长，影响信息交换效率；(2)链型拓扑的中间节点安全区网络需承担末端节点安全区网络的数据转发工作，加重了中间节点网络的负载，降低了网络整体效能；(3)链型拓扑结构不适应智慧能源站智能运维管控服务平台数据集中统一网络应用场景。

因此，需要研究设计一种智慧能源站监控系统安全防护方法，在系统的安全区连接拓扑结构、区域边界安全方面去建立一种适应智慧能源站监控系统信息交换需求的安全防护方法。

技术实现要素：

本发明旨在解决上述现有技术中存在的技术问题，提出一种智慧能源站监控系统安全防护方法。

为实现上述技术目的，本发明采用以下技术方案。1.智慧能源站监控系统安全防护方法，其特征在于包括以下步骤：

将智慧能源站监控系统总体分为五个安全区，分别是实时控制区、非实时控制区、生产管理区、管理信息区及数据汇聚区，所述生产管理区与管理信息区构成管理信息大区；

其中实时控制区通过防火墙与所述数据汇聚区连接；所述非实时控制区通过防火墙与所述数据汇聚区连接；

在数据汇聚区与管理信息大区连接处部署正向安全隔离装置和反向安全隔离装置。

进一步地，在实时控制区和非实时控制区与调度数据网设备的连接处部署纵向加密装置，实现数据加密传送和访问控制。

进一步地，在所述数据汇聚区部署数据服务器、网络安全监测设备、入侵监测设备、恶意代码防护设备、安全审计设备和/或安全堡垒机实现安全区的网络建设。

进一步地，所述数据汇聚区部署数据中心的设备、智慧能源站智能运维管控服务平台以及智慧能源站安全管理平台。

进一步地，所述数据汇聚区通过通信链路与调度端安全管理主站连接，用于将智慧能源站监控系统安全监测信息的上送。

进一步地，所述数据汇聚区通过通信链路与调度端安全管理主站连接，用于从调度端安全管理主站获取包括病毒库、恶意代码库和/或网络行为监测的更新数据。

有益技术效果：

本发明采用的拓扑结构更适应智慧能源站的信息交换需求，各安全分区间的独立性更强，有利于提升各安全区的安全性，提升信息交换效率。

附图说明

图1为本发明中的智慧能源站监控系统的安全防护方法架构图；

图2为本发明中的智慧能源站监控系统的安全区连接拓扑结构图。

具体实施方式

下面结合附图和具体实施例对本发明提供的基于线性加权法的电网自动分区方法进行详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。

本实施例提供的智慧能源站监控系统安全防护方法，包括以下步骤：

将智慧能源站监控系统总体分为五个安全区，分别是实时控制区、非实时控制区、生产管理区、管理信息区及数据汇聚区，所述生产管理区与管理信息区构成管理信息大区；

其中实时控制区通过防火墙与所述数据汇聚区连接；所述非实时控制区通过防火墙与所述数据汇聚区连接；

在数据汇聚区与管理信息大区连接处部署正向安全隔离装置和反向安全隔离装置。

安全分区是网络拓扑结构的基础，本方法将智慧能源站监控系统总体分为五个安全区，分别是实时控制区、非实时控制区、生产管理区、管理信息区及数据汇聚区，其中生产管理区与管理信息区合称为管理信息大区(如图1所示)。实时控制区、非实时控制区、管理信息大区的业务应用或设备的部署，遵循相关要求；数据汇聚区主要部署数据中心的设备、智慧能源站智能运维管控服务平台以及智慧能源站安全管理平台。

本方法提出一种安全区连接拓扑，数据汇聚区作为智慧能源站监控系统的中心点，直接与实时控制区、非实时控制区、管理信息大区连接，便于部署在数据汇聚区内的智慧能源站智能运维管控服务平台与实时控制区、非实时控制区、管理信息大区的数据交换，提升各安全区间的数据交换效率；同时便于部署在数据汇聚区内的智慧能源站安全管理平台，进行网络及信息安全管理，保证智慧能源站监控系统的安全可靠运行。

在数据汇聚区与实时控制区连接处部署防火墙，实现两个区域的逻辑隔离、报文过滤、访问控制功能；

在数据汇聚区与非实时控制区连接处部署防火墙，实现两个区域的逻辑隔离、报文过滤、访问控制功能；

在数据汇聚区与管理信息大区连接处部署正向安全隔离装置和反向安全隔离装置，实现两个区域之间非网络方式的单向数据传输，正向安全隔离装置用于数据汇聚区至生产管理区的数据单向传送，反向安全隔离装置用于生产管理区至数据汇聚区的数据单向传送；

在实时控制区和非实时控制区与调度数据网设备的连接处部署纵向加密装置，实现数据加密传送和访问控制；在管理信息大区与综合数据网设备的连接处部署防火墙设备，实现报文过滤、访问控制功能。

在数据汇聚区统一部署安全监控装置，建立智慧能源站安全管理平台对各安全区节点设备、安全区边界和安全通信网络的安全机制，统一管理、统一监控、统一审计、综合分析和协同防护，实现对智慧能源站监控系统网络行为的实时监控和分析，对安全风险进行评估和预警，可以大大提高监控系统的安全性能；同时通过通信链路与调度端安全管理主站连接，实现智慧能源站监控系统安全监测信息的上送，以及从调度端安全管理主站获取病毒库、恶意代码库、网络行为监测等各类更新数据，及时完成智慧能源站内安全防护设备的数据库更新，确保安全防护系统的高效运行，保证监控系统的安全。

综上所述，本发明具有如下有益效果：本发明采用的拓扑结构更适应智慧能源站的信息交换需求，各安全分区间的独立性更强，有利于提升各安全区的安全性，提升信息交换效率。

1)安全区网络建设，将智慧能源站监控系统总体分为五个安全区，分别是实时控制区、非实时控制区、生产管理区、管理信息区及数据汇聚区，其中生产管理区与管理信息区合称为管理信息大区。

实时控制区、非实时控制区、管理信息大区的业务应用或设备的部署，遵循相关要求，构建实时控制区网络、非实时控制区网络、管理信息大区网络；

数据汇聚区网络部署数据服务器、网络安全监测设备、入侵监测设备、恶意代码防护设备，安全审计设备及安全堡垒机实现安全区的网络建设。

2)安全区连接，如图1、图2的所示，以数据汇聚区为中心构建网络拓扑架构。

智慧能源站将变电站、综合能源站及数据中心站融合建设，本发明遵循电力监控系统安全防护的相关规定，结合智慧能源站的信息交换需求，提出一种智慧能源站监控系统安全防护方法，从安全分区、安全区连接拓扑、安全防护三个方面去完善优化现在安全防护方法的不足。

本发明的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。