一种在电厂安全一区与分布式控制系统安全集成方法及系统与流程

本发明涉及电厂数据控制，具体为一种在电厂安全一区与分布式控制系统安全集成方法及系统。

背景技术：

1、随着电力企业工业自动化水平的不断提高，在现有的电力生产信息化建设体系中，分散控制系统dcs实现对工业生产过程中数据的自动化采集和控制，通过传统的人机交互方式执行各种任务、如调整设定值、确认报警、启动手动控制等，最终达到对生产过程的实时监视和调整。

2、电力企业网络技术业务系统，原则上划分为生产控制大区和管理信息大区，生产控制大区可以分为控制区(安全区i)和非控制区(安全区ⅱ)。传统的分散控制系统dcs(安全区i)并不能智能的对设备运行异常状态和设备故障进行实时监督、智慧报警、统计分析、参数波动分析等，通过集成提高生产效率和降低运维成本的智慧监盘系统ics是非常有必要的，智慧监盘系统的集成对电厂安全一区的数据安全性和信息安全性提出了更高的要求。

3、安全区i主要负责生产过程的实时监控和控制，而安全区ii则负责非实时性的管理信息处理。传统的dcs系统（位于安全区i）在数据安全性和信息安全性方面存在局限性，难以适用于小规模过程控制，分布式结构导致通信开销，难以满足现代电力企业对智能化和集成化的需求。因此，通过集成智慧监盘系统（ics）来提高生产效率和降低运维成本是非常有必要的。ics系统能够对设备运行状态进行实时监控和智能分析，及时识别和处理潜在的安全威胁，从而提升电厂的运行安全性和稳定性。然而，ics系统的集成也对电厂安全一区的数据安全性和信息安全性提出了更高的要求，现有的集成方法在数据的完整性和安全性并不能满足使用需求，需要在系统架构和安全防护措施上进行进一步的优化和改进。

技术实现思路

1、鉴于上述存在的问题，提出了本发明。

2、因此，本发明解决的技术问题是：现有的dcs系统存在成本较高，通信成本较高，常规的集成难以保证数据的完整性和安全性，以及如何集成智慧监盘系统来提高生产效率和降低运维成本的问题。

3、为解决上述技术问题，本发明提供如下技术方案：一种在电厂安全一区与分布式控制系统安全集成方法，包括在电厂安全区i建立物理隔离的安全通道，在安全通道上建立安全协议；部署分布式智慧监盘系统ics，构建dcs系统和ics系统之间的部署通信；通过ics系统建立实时数据监控机制，对设备运行数据进行实时监控和分析。

4、作为本发明所述的在电厂安全一区与分布式控制系统安全集成方法的一种优选方案，其中：所述在电厂安全区i建立物理隔离的安全通道包括在电厂安全区i ，建立物理隔离的安全通道，采用网络安全防火墙，对通信数据进行实时加密和解密。

5、作为本发明所述的在电厂安全一区与分布式控制系统安全集成方法的一种优选方案，其中：所述在安全通道上建立安全协议包括在安全通道上建立安全协议，对通信数据进行身份验证和访问控制，防止未经授权的访问和操作，安全协议采用aes-ctr加密算法和动态密钥交换技术，先通过aes-ctr加密算法基于用户密码进行身份验证过程，身份验证通过后生成一对密钥包括公钥和私钥，生成的公钥用于加密消息 ，在发送消息前，发送方使用私钥对消息进行数字签名，接收方在收到加密的消息后，使用公钥验证签名，证明数据传输已经过授权并不存在非法操作。

6、作为本发明所述的在电厂安全一区与分布式控制系统安全集成方法的一种优选方案，其中：所述在安全通道上建立安全协议还包括在安全一区中的不同机组之间构建网络隔离，建设dcs网域、ics网域、设备机组网域，不同机组设备设置单向网域隔离或软单向隔离，给每个机组和公用系统单独建设ics系统，然后分别发送不同机组的数据到公用系统侧ics平台，防止机组和机组之间的交互以及互通操作；

7、设定机组安全信息级别，分为高安全级别和其他安全级别；

8、设定机组数据类型，分为关键控制操作和数据分析；

9、针对高安全级别或存在关键控制操作的机组设置单向网域，当设备为其他安全级别且数据类型为数据分析时选择软单向隔离。

10、作为本发明所述的在电厂安全一区与分布式控制系统安全集成方法的一种优选方案，其中：所述通过ics系统建立实时数据监控机制包括在电厂安全一区内部，部署分布式智慧监盘系统ics，对各个安全机组设备进行数据实时采集、智能分析、机组集中管理和监控，通过实时监控安全设备的运行状态和通信数据，识别潜在威胁，以电厂ics的实时数据和历史数据为基础，通过ics数据中心实现数据的实时接入，结合设备不同周期的运行数据作为大数据分析和挖掘的数据来源，针对不同负荷状态下机组正常运行参数范围，整定出运行参数的动态报警阈值，潜在威胁分析包括数据实时采集阶段预警、智能分析预警以及机组集中管理预警；

11、数据实时采集阶段预警包括系统通过ics数据中心实时接入各个机组的运行数据，监测接入延迟，若数据接入延迟超过1秒，记录数据接入延迟警报，若数据缺失率超过0.1%，记录数据完整性警报，若数据接入延迟和数据缺失率在单次数据采集周期内同时超出阈值，视为存在网络或设备故障，触发紧急警报并通知维护人员；

12、智能分析预警包括数据传输过程中，识别发送方和接收方，当监测到同一个发送方连续出现通讯数据异常，将发送方识别为潜在威胁，将公钥和私钥生成的信息发送至运维人员，当监测到同一个接收方连续出现通信数据异常，识别接收方机组，进行机组集中管理预警，并向运维人员发送攻击警报；

13、机组集中管理预警包括基于整定出运行参数的动态报警阈值进行机组单独管控，设定100次数据传输为一个机组的一轮数据传输，当存在数据连续超出阈值范围，触发机组集中管理，将同类型机组数据进行统一比对，当仅存在一个机组出现数据异常或一个以上的机组数据异常但连续异常的区间不同，则保持原有的隔离方式，当存在一个以上的机组存在同一区间的数据异常，将原有的隔离方式切换为单向网域隔离，若原有的隔离方式为单向网域隔离，则发出隔离警报。

14、作为本发明所述的在电厂安全一区与分布式控制系统安全集成方法的一种优选方案，其中：所述对设备运行数据进行实时监控和分析包括在dcs系统和ics系统之间，建立独立的cd网，仅在接口交换机处进行abcd四网互通通信。

15、作为本发明所述的在电厂安全一区与分布式控制系统安全集成方法的一种优选方案，其中：所述对设备运行数据进行实时监控和分析包括在dcs系统和ics系统中，设置数据备份和恢复机制，通过设定系统定时任务，结合当前的服务器资源的利用率，对接入的机组实时数据进行增量备份，增量备份表示为：

16、，

17、其中，为权重系数，表示数据变化量，表示在时间的cpu使用量，表示最大cpu使用量，表示在时间 的内存使用量，表示最大内存使用量，表示衰减系数，表示在时间 的数据完整率，当系统监测到增量备份出现负值，表示资源利用率过高，备份受限；

18、设定定期工作提醒，自动提醒运行人员定期进行数据备份，基于系统内置的diracdelta函数和服务器资源利用率进行提醒，表示为：

19、，

20、其中，表示备份重要性，表示dirac delta函数，表示提醒时间点，表示调节系数，表示在时间  的服务器资源利用率，表示一个周期内总备份次数；

21、建立系统容错机制，通过建设错误码体系、系统异常操作体系、数据集异常监控体系、资源运行监控体系，对异常耗费cpu时间、内存占用异常进行识别。

22、本发明的另外一个目的是提供一种在电厂安全一区与分布式控制系统安全集成系统，其能通过安全集成的智慧监盘系统，可以显著提高电厂生产效率和管理效率，还可以及时的发现并处理潜在的安全威胁和异常行为，降低电厂运行风险。解决了目前的dcs集成技术含有数据的完整性和安全性并不能满足使用需求的问题。

23、作为本发明所述的在电厂安全一区与分布式控制系统安全集成系统的一种优选方案，其中：包括安全协议模块，通讯系统构建模块，监测调控模块；所述安全协议模块用于在电厂安全区i建立物理隔离的安全通道，在安全通道上建立安全协议；所述通讯系统构建模块用于部署分布式智慧监盘系统ics，构建dcs系统和ics系统之间的部署通信；所述监测调控模块用于通过ics系统建立实时数据监控机制，对设备运行数据进行实时监控和分析。

24、一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序是实现在电厂安全一区与分布式控制系统安全集成方法的步骤。

25、一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现在电厂安全一区与分布式控制系统安全集成方法的步骤。

26、本发明的有益效果：本发明提供的在电厂安全一区与分布式控制系统安全集成方法通过物理隔离、数据加密、身份验证、访问控制、实时监控和数据备份等多重安全措施，确保了系统集成后数据的机密性、完整性、可靠性、可用性和实时性。通过安全集成的智慧监盘系统，可以显著提高电厂生产效率和管理效率，还可以及时的发现并处理潜在的安全威胁和异常行为，降低电厂运行风险。本发明在数据传递效率、数据完整性以及数据机密性方面都取得更加良好的效果。