本发明涉及电力系统自动化领域,尤其是涉及一种非统调电厂自动化信息接入安全管理系统及方法。
背景技术:
随着电网调度计划精益化管理深度的提高,对接入电厂实现电厂电力、电量采集全覆盖要求也越来越高。很多地区小水电站数量多,加之风电、光伏等新能源迅猛发展,在电厂信息接入生产控制大区过程中,由于相关通信条件限制、不同行业集中监控需求等因素,导致接入过程中存在各种潜在的安全风险,在电力数据采集更加全面和准确的同时,也对电网控制系统安全产生严重威胁。所以需要通过对非统调电厂接入生产控制大区信息安全管理的研究和对电厂信息安全接入进行深入的分析,针对不同电厂现状及相关条件,选择不同的接入方案,不断调整优化接入方案,确保生产控制大区低电压等级厂站信息安全风险管控力度,减少外来设备接入生产控制大区,杜绝生产控制大区与互联网连接产生电网控制系统信息安全风险。
申请号为201410281316.2,名称为“面向大规模风电接入的发电能力预测方法及信息管理系统”的专利说明书中公开了一种面向大规模风电接入的发电能力预测方法及信息管理系统,该发明虽然可以对采集的电力数据进行相关处理,但是不能保证系统的安全,容易导致系统被入侵和数据流失。
技术实现要素:
本发明主要是解决现有技术中对非统调电厂信息采集安全性低的问题,提供了一种非统调电厂自动化信息接入安全管理系统及方法。
本发明的上述技术问题主要是通过下述技术方案得以解决的:一种非统调电厂自动化信息接入安全管理系统,包括对非统调电厂信息进行采集的数据采集模块、对所采集信息进行物理隔离的第一正向隔离模块、控制通信的前置机、路由器、对信息进行加密处理的纵向加密模块、提供独享电信号通路的接入区交换机、安全接入区边界网管机、第二隔离模块、第三隔离模块、信息管理大区、生产控制大区、内网监视平台采集模块、入侵检测模块、信息管理大区边界网管机、生产控制大区边界网管机以及日志审计模块,所述数据采集模块、第一正向隔离模块、前置机、路由器、纵向加密模块、接入区交换机、安全介入区边界网管机依次连接,所述第二隔离模块和第三隔离模块分别与安全接入区边界网管机连接,所述第二隔离模块、生产控制大区边界网管以及与生产控制大区依次连接,所述第三隔离模块、信息管理大区边界网管机以及信息管理大区依次连接,所述内网监视平台采集模块和入侵检测模块分别与接入区交换机连接,所述日志审计模块与入侵检测模块连接。
本发明通过隔离模块、纵向加密模块和入侵检测模块充分保护了整个系统信息的安全性,确保电力信息不会违规外联,最后将安全的电力信息存入信息管理大区和生产控制大区,可以有效防止电力二次系统边界防护事件的发生。
作为一种优选方案,所述前置机与路由器采用移动apn网络无线连接,接入方式简单,所需设备少,成本低。
作为一种优选方案,所述第二隔离模块包括第二正向隔离模块和第二反向隔离模块,用于对传输的信息进行物理隔离,保证信息的安全性。
作为一种优选方案,所述第三隔离模块包括第三正向隔离模块和第三反向隔离模块,用于对传输的信息进行物理隔离,保证信息的安全性。
一种非统调电厂自动化信息接入安全管理方法,包括以下步骤:
s1.数据采集模块对非统调电厂信息进行采集;
s2.第一正向隔离模块对数据采集模块所采集的信息进行物理隔离并将信息发送到前置机;
s3.前置机通过移动apn网络连接路由器将信息发送到纵向加密模块,所述纵向加密模块将加密后的信息通过接入区交换机传输到入侵检测模块,同时内网监视平台采集模块将采集的内网监测信息通过接入区交换机传输到入侵检测模块;
s4.入侵检测模块对加密后的信息和内网监测信息进行检测,判断信息是否安全,日志审计模块对所有的信息进行集中存储和管理;
s5.当入侵检测模块判断信息安全时,所述接入区交换机将加密后的信息发送到安全接入区边界网管机,当入侵检测模块判断信息不安全时,日志审计模块第一时间告知管理员系统被入侵;
s6.安全介入区边界网管机把安全的加密信息分别通过第二隔离模块和第三隔离模块传输到生产控制大区和信息管理大区存储管理。
因此,本发明的优点是:采用无线方式接入非统调电厂,接入方式简单,所需设备少,成本低,通过隔离模块、纵向加密模块和入侵检测模块对整个系统信息安全进行有效保护,使信息传输安全得到有效保证。
附图说明
图1是本发明的一种控制结构框图。
1-数据采集模块2-第一正向隔离模块3-前置机4-路由器5-纵向加密模块6-接入区交换机7-安全接入区边界网管机8-内网监视平台采集模块9-入侵检测模块10-日志审计模块11-第二隔离模块12-第二正向隔离模块13-第二反向隔离模块14-第三隔离模块15-第三正向隔离模块16-第三反向隔离模块17-生产控制大区边界网管机18-信息管理大区边界网管机19-生产控制大区20-信息管理大区。
具体实施方式
下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。
实施例:
本实施例一种非统调电厂自动化信息接入安全管理系统,如图1所示,包括对非统调电厂信息进行采集的数据采集模块1、对所采集信息进行物理隔离的第一正向隔离模块2、控制通信的前置机3、路由器4、对信息进行加密处理的纵向加密模块5、提供独享电信号通路的接入区交换机6、安全接入区边界网管机7、第二隔离模块11、第三隔离模块14、信息管理大区20、生产控制大区19、内网监视平台采集模块8、入侵检测模块9、信息管理大区边界网管机18、生产控制大区边界网管机17以及日志审计模块10,所述数据采集模块、第一正向隔离模块、前置机、路由器、纵向加密模块、接入区交换机、安全介入区边界网管机依次连接,所述第二隔离模块和第三隔离模块分别与安全接入区边界网管机连接,所述第二隔离模块、生产控制大区边界网管以及与生产控制大区依次连接,所述第三隔离模块、信息管理大区边界网管机以及信息管理大区依次连接,所述内网监视平台采集模块和入侵检测模块分别与接入区交换机连接,所述日志审计模块与入侵检测模块连接。
本发明通过隔离模块、纵向加密模块和入侵检测模块充分保护了整个系统信息的安全性,确保电力信息不会违规外联,最后将安全的电力信息存入信息管理大区和生产控制大区,可以有效防止电力二次系统边界防护事件的发生。
所述前置机与路由器采用移动apn网络无线连接,接入方式简单,所需设备少,成本低。所述第二隔离模块包括第二正向隔离模块12和第二反向隔离模块13,所述第三隔离模块包括第三正向隔离模块15和第三反向隔离模块16,用于对传输的信息进行物理隔离,保证信息的安全性。
具体的,所述数据采集模块采用电力数据采集器,所述隔离模块为常见的隔离装置,所述纵向加密模块、入侵检测模块、日志审计模块、内网监视平台采集模块、生产控制大区和信息管理大区皆为计算机的子处理器模块。
一种非统调电厂自动化信息接入安全管理方法,包括以下步骤:
s1.数据采集模块对非统调电厂信息进行采集;
s2.第一正向隔离模块对数据采集模块所采集的信息进行物理隔离并将信息发送到前置机;
s3.前置机通过移动apn网络连接路由器将信息发送到纵向加密模块,所述纵向加密模块将加密后的信息通过接入区交换机传输到入侵检测模块,同时内网监视平台采集模块将采集的内网监测信息通过接入区交换机传输到入侵检测模块;
s4.入侵检测模块对加密后的信息和内网监测信息进行检测,判断信息是否安全,日志审计模块对所有的信息进行集中存储和管理;
s5.当入侵检测模块判断信息安全时,所述接入区交换机将加密后的信息发送到安全接入区边界网管机,当入侵检测模块判断信息不安全时,日志审计模块第一时间告知管理员系统被入侵;
s6.安全介入区边界网管机把安全的加密信息分别通过第二隔离模块和第三隔离模块传输到生产控制大区和信息管理大区存储管理。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了数据采集模块、第一正向隔离模块、前置机、路由器、纵向加密模块、接入区交换机以及安全介入区边界网管机等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。