一种继电保护远程运维网络安全多级阻断方法及系统与流程

1.本发明属于电力系统调度自动化技术领域，具体地，涉及一种继电保护远程运维网络安全多级阻断方法及系统。


背景技术：

2.随着国内电网行业信息化和智能化水平的不断提升，对电力监控系统网络安全防护提出了更高的要求。国家近年来先后出台相关法律法规以及顶层设计文件。随着国家对电力监控系统安全防护的重视，促进了安全防护技术的不断向前发展。2017年，电力监控系统网络安全的技术人员逐渐发现基于黑名单机制的恶意代码防护设备无法对新型的病毒，提出将白名单的防御应用到恶意代码防护措施上，并在电网企业开始了试点应用。
3.网络安全可从区域上分为边界安全和设备本体安全(本质安全)。现有技术中，国内在边界安全上主要还是遵从安全分区、网络专用、纵向认证、横向隔离的防护措施。本体安全方面，二次系统本质安全能力不足。设备本质安全方面存在重功能轻防护，操作系统和应用漏洞多、安全策略缺失，通信协议健壮性不足、缺乏加密和认证，存在危险服务和系统未最小化裁剪，操作系统未国产化等问题。在设备远程运维的本质安全方面，智能变电站的新设备得到广泛的应用，对于站内二次设备的运维工作变得更加复杂，目前大多数的运维主站系统主要解决功能的问题，安全方面的考虑相对不足。一旦边界防护被突破将会给整个电网的运行带来不可估量的损失。
4.当前，本质安全成为电力系统研究的热点，主要研究方面包括建立设备的本体安全能力，设备硬件及基础组件实现自主可控，从硬件和软件层面全面提升设备的内生安全；建立健全网络协议健壮性，并且具备访问控制、数据保密、记录审计等安全防护措施；开展站内通信协议的自主可控以替代mms通信的相关操作及技术规范的编写工作；开展可信计算在主机设备中的研究和验证。针对继电保护远程运维的本质安全关键技术，目前还缺少深入的研究，尤其涉及一种继电保护远程运维网络安全多级阻断方法更是未见报道。
5.继电保护远程运维网络由主站、子站、通道、二次设备等环节组成，每一个环节都可能存在网络安全风险，任一环节的网络安全入侵都可能影响系统的正常运行，甚至对电网造成破坏。因此针对各环节的风险、安全现状进行研究，制定相应的安全策略措施以阻断安全入侵并消除风险，成为当前的重要工作。
6.随着网络安全越来越受到重视，特别是等保2.0等规范的发布及推广，越来越多的网络安全措施在继电保护远程维护系统中应用，以实现对网络安全入侵的监测及处理，如防火墙及网关安全策略、漏洞扫描及加固、权限管理增强、安防软件部署等。这些安全策略措施可对多种安全入侵进行监测及处理，降低了各环节自身的安全风险。既有的安全措施也存在一些不足：
7.1)既有安全措施大多基于计算机网络安全技术，仅从计算机软件系统、计算机网络层面阻止安全入侵，对业务应用层面的安全性风险关注很少。由于缺乏对业务系统的了解，较难辨识业务层面的风险；
8.2)既有安全措施主要关注上述环节内部的安全性，较少关注由各环节组成的应用系统的整体安全，如各环节间的数据通信是否可信、传输的数据是否合规等；
9.3)为了确保安全措施不对业务系统运行造成影响，除白名单、防火墙安全策略等措施外，大部分既有安全措施仅实现对网络风险的监视及告警，并不根据发现的风险直接阻断安全风险，一定程度上会导致风险处理延迟，增大了风险的危害程度。


技术实现要素：

10.为解决现有技术中存在的不足，本发明的目的在于，提供一种一种继电保护远程运维网络安全多级阻断方法及系统，通过分析现有网络安全措施的不足，辨识出继电保护远程运维系统的风险点及薄弱环节，明确了适宜和不适宜阻断的网络环境，形成多层级、全方位风险阻断部署方案。结合危害程度和风险概率对安全风险进行分级，建立安全风险多级阻断策略，为网络安全多级阻断提供决策依据。最后，设计和开发了报文多级阻断模块和“一键阻断”式的紧急控制模块，大大提升了继电保护远程运维网络本质安全水平。
11.本发明采用如下的技术方案。
12.本发明一方面提出了一种继电保护远程运维网络安全多级阻断方法，继电保护远程运维系统中的数据经过装置、子站、通道和主站，继电保护远程运维系统从计算机信息安全层面实现对装置、子站、通道和主站遭受网络入侵的监测与防护。
13.方法包括：
14.步骤1，对二次设备、子站、通道和主站的网络入侵风险进行监测；基于网络入侵风险确定在主站安装第一安全阻断模块、在子站安装第二安全阻断模块；
15.步骤2，在主站与子站之间的通道上安装带硬开入的一键阻断模块；
16.步骤3，闭合硬开入后一键阻断模块投入运行；利用第一安全阻断模块和第二安全阻断模块对报文进行在线监测，报文的在线监测包括：报文加密验证，调度证书身份验证，报文合规验证；
17.步骤4，当报文无法通过第一安全阻断模块和/或第二安全阻断模块的报文合规验证时，一键阻断模块禁止从主站发往子站的下行控制命令。
18.优选地，步骤3中第一安全阻断模块和第二安全阻断模块对报文进行在线监测包括：
19.步骤3.1，基于加密算法对通道进行报文加密验证；通过加密验证的报文进入步骤3.2；否则，对报文进行阻断；
20.步骤3.2，基于加密算法和调度数字证书对主站和子站之间进行双向身份验证；通过身份验证的报文进入步骤3.3；否则，对报文进行阻断；
21.步骤3.3，提取报文特征，当报文特征与报文合规规则匹配时通过验证，并将报文传输至对应的业务应用端；否则，对报文进行阻断。
22.优选地，步骤3.1中，加密算法包括国密sm2算法；在报文发送端基于国密sm2算法对报文进行加密，在报文接收端基于国密sm2算法对报文进行解密。
23.优选地，步骤3.2包括：
24.步骤3.2.1，调度数字证书系统为主站签发标识主站身份的数字证书，为子站签发标识子站身份的数字证书；
25.步骤3.2.2，在传输控制协议链接建立后，基于安全认证协议完成主站和子站的双向身份认证；通过双向身份认证后进入步骤2.2.3；
26.步骤3.2.3，主站和子站通过密钥协商机制生成加密密钥，对主站和子站之间传输的报文进行加密。
27.优选地，步骤3.3包括：
28.步骤3.3.1，提取报文特征；报文特征包括：报文类型，报文格式，报文业务属性，报文行为属性，报文统计属性；
29.步骤3.3.2，基于通信对象合法性、格式合法性、业务逻辑合法性、行为模式合法性分别建立报文合规规则；报文合规规则存储在报文合规专家库中；其中，每一条报文合规规则包括不合规报文特征，风险程度，可容忍程度和阻断措施，各项阻断措施根据风险程度和可容忍程度而确定；
30.步骤3.3.3，基于风险程度对非法报文进行危害分级，结合非法报文的判定概率确定报文合规阻断策略；其中，报文合规阻断策略是多项阻断措施的组合；
31.步骤3.3.4，应用报文合规专家库及报文合规阻断策略，对报文进行合规验证；在报文匹配为不合规报文时，根据阻断策略对报文进行阻断处理。
32.优选地，步骤4中，对无法通过报文合规验证的报文进行阻断时，子站发往主站的主动上送信息不受影响，主站和子站之间交互的初始化及总召唤、数据召唤不受影响。
33.本发明另一方面提出了一种继电保护远程运维网络安全多级阻断系统，包括：第一安全阻断模块，第二安全阻断模块和一键阻断模块；利用第一安全阻断模块和第二安全阻断模块对报文进行在线监测；在线监测包括：报文加密验证，调度证书身份验证，报文合规验证；当报文无法通过第一安全阻断模块和/或第二安全阻断模块的报文合规验证时，一键阻断模块用于禁止从主站发往子站的下行控制命令。
34.第一安全阻断模块是布置在主站通信模块上的软件功能模块，第二安全阻断模块是布置在子站通信模块上的软件功能模块。
35.第一安全阻断模块和第二安全阻断模块均包括：底层链路及报文处理单元，报文阻断过滤单元，调度证书身份验证单元，加密解密验证单元，报文群行为模式知识库，报文合法性知识库，业务报文处理单元，阻断告警单元，阻断历史记录单元。
36.一键阻断模块包括：硬开入，一键阻断按钮，网关功能整合单元；
37.其中，硬开入闭合时，一键阻断模块投入运行，硬开入开断时，一键阻断模块退出运行；
38.网关功能整合单元，用于对远程运维安全管控授权认证网关的功能进行整合；整合的功能包括：网关功能，对时，报文认证功能，适用规约，配置功能，告警及报告，日志存储及查询，安全性要求，设备状态指示灯，部署位置。
39.本发明的有益效果在于，与现有技术相比，充分分析了现有网络安全措施的不足，辨识出继电保护远程运维系统的风险点及薄弱环节，明确了适宜和不适宜阻断的网络环境，形成多层级、全方位风险阻断部署方案。进一步地，结合危害程度和风险概率对安全风险进行分级，建立安全风险多级阻断策略，为网络安全多级阻断提供决策依据。最后，设计和开发了报文多级阻断模块和“一键阻断”式的紧急控制模块，大大提升了继电保护远程运维网络本质安全水平。
附图说明
40.图1是本发明实施例中继电保护远程运维系统的安全防护措施；
41.图2是本发明实施例中多级验证阻断策略图；
42.图3是本发明实施例中报文合规验证流程图；
43.图4是本发明实施例中阻断系统架构图；
44.图5是本发明实施例中一键阻断流程图。
具体实施方式
45.下面结合附图对本技术作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本技术的保护范围。
46.本发明一方面提出了一种继电保护远程运维网络安全多级阻断方法，继电保护远程运维系统中的数据经过装置、子站、通道和主站，继电保护远程运维系统从计算机信息安全层面实现对装置、子站、通道和主站遭受网络入侵的监测与防护。
47.方法包括：
48.步骤1，对二次设备、子站、通道和主站的网络入侵风险进行监测；基于网络入侵风险确定在主站安装第一安全阻断模块、在子站安装第二安全阻断模块。
49.本实施例中，针对继电保护远程运维系统中主站、通道、子站、装置等环节，考虑在主站、子站分别部署入侵阻断模块，暂不考虑在通道、装置上部署，如图1所示，原因如下：
50.1)通道环节上，目前阶段主要通过网关上的网络安全策略实现对通信对象(源、目的)、通信端口的限制，通过纵向加密装置实现对传输数据的保护，较好地阻断了通道链路上的安全风险。同时通道环节中没有业务应用系统的功能模块，因此较难在通道环节上部署应用层面的入侵阻断模块。
51.2)装置环节涉及的厂家较多，同时装置本身的资源有限，入侵阻断所需的在线任务分析将给装置带来较大的负荷，容易影响到装置本身的业务功能。
52.图1中可以看出主站、子站和装置的安全防护措施包括但不限于：白名单配置、漏洞扫描及加固，优化安全策略配置、权限管理增强、安防软件部署；通道的安全防护措施包括但不限于：防火墙及网关安全策略、安防软件部署、纵向加密。
53.步骤2，在主站与子站之间的通道上安装带硬开入的一键阻断模块。
54.步骤3，闭合硬开入后一键阻断模块投入运行；利用第一安全阻断模块和第二安全阻断模块对报文进行在线监测，报文的在线监测包括：报文加密验证，调度证书身份验证，报文合规验证。
55.优选地，步骤3中第一安全阻断模块和第二安全阻断模块对报文进行在线监测包括：
56.步骤3.1，基于加密算法对通道进行报文加密验证；通过加密验证的报文进入步骤3.2；否则，对报文进行阻断。
57.具体地，步骤3.1中，加密算法包括国密sm2算法；在报文发送端基于国密sm2算法对报文进行加密，在报文接收端基于国密sm2算法对报文进行解密。
58.综合考虑安全性、效率和成本等方面的因素，本实施例仅考虑对运维通道采用报文加密。
59.步骤3.2，基于加密算法和调度数字证书对主站和子站之间进行双向身份验证；通过身份验证的报文进入步骤3.3；否则，对报文进行阻断。
60.保信主站与子站在进行数据报文传输前要进行安全认证，只有通过双方的安全认证后才能进行数据传输。采用国密sm2算法和调度数字证书实现保信主站和子站之间的双向身份认证。
61.具体地，步骤3.2包括：
62.步骤3.2.1，调度数字证书系统为主站签发标识主站身份的数字证书，为子站签发标识子站身份的数字证书。
63.步骤3.2.2，在传输控制协议链接建立后，基于安全认证协议完成主站和子站的双向身份认证；通过双向身份认证后进入步骤2.2.3。
64.步骤3.2.3，主站和子站通过密钥协商机制生成加密密钥，对主站和子站之间传输的报文进行加密。
65.确保了数据传输的机密性、完整，在tcp链接建立后，通信双方先进行通信身份认证，只有在通过认证后，才允许进行业务上的数据交互。
66.步骤3.3，提取报文特征，当报文特征与报文合规规则匹配时通过验证，并将报文传输至对应的业务应用端；否则，对报文进行阻断。报文合规验证流程如图3所示。
67.具体地，步骤3.3包括：
68.步骤3.3.1，提取报文特征；报文特征包括：报文类型，报文格式，报文业务属性，报文行为属性，报文统计属性；
69.步骤3.3.2，基于通信对象合法性、格式合法性、业务逻辑合法性、行为模式合法性分别建立报文合规规则；报文合规规则存储在报文合规专家库中；其中，每一条报文合规规则包括不合规报文特征，风险程度，可容忍程度和阻断措施，各项阻断措施根据风险程度和可容忍程度而确定。
70.报文合规专家库规则的数据结构如表1所示。
71.表1报文合规专家库规则数据结构
[0072][0073]
步骤3.3.3，基于风险程度对非法报文进行危害分级，结合非法报文的判定概率确定报文合规阻断策略；其中，报文合规阻断策略是多项阻断措施的组合。
[0074]
针对不合规报文的风险程度、可容忍程度等属性，确定具体的阻断措施，包括但不限于断网、仅维持链路、仅阻断本报文、仅告警提示和仅记录异常报文等。
[0075]
阻断策略与报文的危害程度(风险程度)密切相关，应对非法报文危害进行分级，并结合非法报文判定概率，来确定具体的阻断措施，报文合规阻断策略如表2所示。
[0076]
表2报文合规阻断策略
[0077][0078]
步骤3.3.4，应用报文合规专家库及报文合规阻断策略，对报文进行合规验证；在报文匹配为不合规报文时，根据阻断策略对报文进行阻断处理。
[0079]
步骤4，当报文无法通过第一安全阻断模块和/或第二安全阻断模块的报文合规验证时，一键阻断模块禁止从主站发往子站的下行控制命令。
[0080]
具体地，步骤4中，对无法通过报文合规验证的报文进行阻断时，子站发往主站的主动上送信息不受影响，主站和子站之间交互的初始化及总召唤、数据召唤不受影响。
[0081]
报文多级阻断模块的功能架构如图4所示，即分别在主站端和子站端构建报文多级阻断模块，依据报文合规规则对收到的报文进行在线监视与分析，在发现不合规报文时依据阻断策略进行阻断。该功能模块的部署，不采用增加外部硬件的方式，而是在主站和子站的通信模块上增加软件功能模块，分别实现主站和子站的阻断功能。
[0082]
本发明另一方面提出了一种继电保护远程运维网络安全多级阻断系统，包括：第一安全阻断模块，第二安全阻断模块和一键阻断模块；利用第一安全阻断模块和第二安全阻断模块对报文进行在线监测；在线监测包括：报文加密验证，调度证书身份验证，报文合规验证；当报文无法通过第一安全阻断模块和/或第二安全阻断模块的报文合规验证时，一键阻断模块用于禁止从主站发往子站的下行控制命令。
[0083]
第一安全阻断模块是布置在主站通信模块上的软件功能模块，第二安全阻断模块是布置在子站通信模块上的软件功能模块。
[0084]
第一安全阻断模块和第二安全阻断模块均包括：底层链路及报文处理单元，报文阻断过滤单元，调度证书身份验证单元，加密解密验证单元，报文群行为模式知识库，报文合法性知识库，业务报文处理单元，阻断告警单元，阻断历史记录单元。
[0085]
一键阻断模块包括：硬开入，一键阻断按钮，网关功能整合单元；
[0086]
其中，硬开入闭合时，一键阻断模块投入运行，硬开入开断时，一键阻断模块退出
运行；
[0087]
网关功能整合单元，用于对远程运维安全管控授权认证网关的功能进行整合；整合的功能包括：网关功能，对时，报文认证功能，适用规约，配置功能，告警及报告，日志存储及查询，安全性要求，设备状态指示灯，部署位置。
[0088]
本实施例中，一键阻断模块，即在紧急情况下，可以进行人工干预，阻断智能录波器执行任何下发命令。所述一键阻断模块的阻断流程如图5所示，当用户按下一键阻断按钮后，从主站发往子站的下行控制命令被禁止，其他数据如：主动上送信息、初始化及总召唤、数据召唤等的交互不受影响。
[0089]
根据阻断位置、阻断方式的不同，本发明采用独立阻断装置的方式，即在主站、子站之间的通道上，增加独立的带硬开入的一键阻断装置，在硬开入变位后，投入或退出阻断功能。在投入阻断功能时，对前置或通道上发来的报文进行监测分析，阻断下行控制命令。同时考虑到主、子站间已经存在“继电保护远方控制授权网关”，为避免串接过多硬件导致系统复杂度提升、增加报文延时等问题，进一步考虑在阻断装置中合并继电保护远方控制授权网关的功能，即远程运维安全管控网关。
[0090]
关于远程运维安全管控网关，是指主、子站间除了纵向加密装置，还在主站端部署了继电保护远方控制授权网关(以下简称授权认证网关)，为避免在主子站间增加过多硬件环节，降低系统的复杂度，本方案考虑在一键阻断装置中整合授权认证网关的功能，形成集一键阻断、应用报文入侵检测、报文加密/解密、控制授权等多种安全功能于一体的安全监控装置。
[0091]
依据《继电保护远方控制授权网关技术规范(报批稿)》，授权认证网关主要有许可策略配置、下行报文分析及远方控制命令识别、控制命令认证(合法放行、非法失效)等功能，同时具备配置、控制命令认证等操作的日志记录及查询功能，其中报文分析功能要求跟一键阻断装置功能要求类似，此外对于授权认证网关本身的安全性要求、旁路要求等也与一键阻断装置功能要求类似。授权认证网关的详细功能要求、对应的一键阻断功能的对应功能要求及整合措施如表3所示。
[0092]
表3功能要求及整合措施
[0093]
[0094][0095][0096]
可以看出，除业务层面的授权认证外，授权认证网关的网关功能、报文分析及阻断(失效)功能、适用规约、日志记录及查询、告警、安全性及其他基础功能要求，大部分功能跟一键阻断功能的要求具有相似性。因此，综合授权认证网关、一键阻断的功能，形成远程运维安全管控网关具备可行性，在实现一键阻断功能的基础上，实现对授权认证网关的替代。
[0097]
本发明的有益效果在于，与现有技术相比，充分分析了现有网络安全措施的不足，
辨识出继电保护远程运维系统的风险点及薄弱环节，明确了适宜和不适宜阻断的网络环境，形成多层级、全方位风险阻断部署方案。进一步地，结合危害程度和风险概率对安全风险进行分级，建立安全风险多级阻断策略，为网络安全多级阻断提供决策依据。最后，设计和开发了报文多级阻断模块和“一键阻断”式的紧急控制模块，大大提升了继电保护远程运维网络本质安全水平。
[0098]
本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述，但是本领域技术人员应该理解，以上实施示例仅为本发明的优选实施方案，详尽的说明只是为了帮助读者更好地理解本发明精神，而并非对本发明保护范围的限制，相反，任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。