本發(fā)明涉及電力系統(tǒng)的安全防護領(lǐng)域,特別涉及一種面向電力二次系統(tǒng)的安全防護系統(tǒng)。
背景技術(shù):
電力二次系統(tǒng)是指對電力一次設備進行控制、監(jiān)視和管理等的信息系統(tǒng),一般主要包括電力監(jiān)控系統(tǒng)、電力調(diào)度運行管理系統(tǒng)和電力通信及數(shù)據(jù)網(wǎng)絡等等。隨著智能電網(wǎng)的建設和發(fā)展,電力二次系統(tǒng)的功能、形態(tài)、部署架構(gòu)和實現(xiàn)技術(shù)也發(fā)生了明顯變化,主要表現(xiàn)為:一體化程度加強,即各業(yè)務系統(tǒng)以服務的形式部署在總線上,供服務請求者調(diào)用;部署架構(gòu)松散耦合,保持各業(yè)務模塊(或者服務)的獨立性;各業(yè)務功能模塊實現(xiàn)技術(shù)靈活多樣,實現(xiàn)方式不局限于某一種開發(fā)語言等等。目前的針對電力二次系統(tǒng)的安全防護技術(shù)架構(gòu),主要是著眼于系統(tǒng)網(wǎng)絡邊界的安全防護,即通過在電力二次系統(tǒng)網(wǎng)絡邊界部署縱向加密裝置、正反向隔離裝置和硬件防火墻等方式,來限制不同安全區(qū)之間的數(shù)據(jù)訪問,然而,這種安全防護技術(shù)架構(gòu)并未考慮到系統(tǒng)主機層面的安全性問題。另一方面,智能電網(wǎng)的新一代電力二次系統(tǒng)主要是基于面向服務架構(gòu)(Service-orientedArchitecture),這種架構(gòu)的最大的特點是“一切皆服務”,即系統(tǒng)中的所有功能都是以提供服務的形式老實現(xiàn)。實現(xiàn)某項具體的操作,例如遠程調(diào)閱、指令下發(fā)等,都只需要調(diào)用相應的服務即可,各個模塊之間松散耦合,因而具有很高的靈活性,但是也存在明顯的信息安全隱患,目前的電力二次系統(tǒng)的安全防護技術(shù)架構(gòu)并未考慮這種模塊服務松散耦合情況下所帶來的信息安全問題。
技術(shù)實現(xiàn)要素:
基于此,有必要針對電力二次系統(tǒng)的安全性問題,提供一種面向電力二次系統(tǒng)的安全防護系統(tǒng)。為達到上述目的,本發(fā)明采用以下技術(shù)方案:一種面向電力二次系統(tǒng)的安全防護系統(tǒng),包括:部署在生產(chǎn)控制區(qū)的應用安全設備及系統(tǒng),部署在生產(chǎn)控制區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)的安全運維系統(tǒng),設置在生產(chǎn)控制區(qū)與生產(chǎn)管理區(qū)之間的正反向隔離裝置,設置在生產(chǎn)管理區(qū)與管理信息區(qū)之間的專用通信網(wǎng)關(guān),部署在所述生產(chǎn)管理區(qū)與綜合數(shù)據(jù)網(wǎng)絡的邊界的硬件防火墻,部署在所述管理信息區(qū)與綜合數(shù)據(jù)網(wǎng)絡的邊界的硬件防火墻,還包括部署在所述生產(chǎn)控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)絡的互聯(lián)邊界的縱向加密網(wǎng)關(guān),所述縱向加密網(wǎng)關(guān)用于對從生產(chǎn)控制區(qū)向調(diào)度數(shù)據(jù)網(wǎng)絡發(fā)送的數(shù)據(jù)包進行加密,對從調(diào)度數(shù)據(jù)網(wǎng)絡發(fā)向生產(chǎn)控制區(qū)的加密數(shù)據(jù)包進行解密;所述生產(chǎn)控制區(qū)包括電力二次系統(tǒng)實時或準實時業(yè)務的業(yè)務模塊,所述電力二次系統(tǒng)實時或準實時業(yè)務的業(yè)務模塊包括:能量管理模塊、繼電保護與故障錄波信息管理模塊、電能量計量模塊、廣域相量測量模塊、調(diào)度員培訓模塊;所述生產(chǎn)管理區(qū)包括對生產(chǎn)控制區(qū)的數(shù)據(jù)進行收集和管理的業(yè)務模塊,所述管理信息區(qū)包括進行信息管理的業(yè)務模塊,所述進行信息管理的業(yè)務模塊包括:MIS信息管理系統(tǒng)、OA管理信息系統(tǒng)、人力資源管理信息系統(tǒng);所述應用安全設備及系統(tǒng)包括安全接入系統(tǒng)、部署在生產(chǎn)控制區(qū)的各業(yè)務模塊前端的安全控制系統(tǒng)、部署在生產(chǎn)控制區(qū)的各安全區(qū)業(yè)務模塊前端的應用安全代理,所述安全控制系統(tǒng)實現(xiàn)對電力二次系統(tǒng)中的服務請求者和服務提供者之間的訪問控制,所述安全接入系統(tǒng)實現(xiàn)對電力二次系統(tǒng)的各類遠程接入進行安全控制,所述應用安全代理進行加解密及對服務請求者的身份合法性進行驗證;所述安全控制系統(tǒng)實現(xiàn)對電力二次系統(tǒng)中的服務請求者和服務提供者之間的訪問控制的方式包括:接收安全應用代理發(fā)送的應用層數(shù)據(jù)包,將該應用層數(shù)據(jù)包的服務請求者的安全標記與所要調(diào)用的服務提供者的安全標記進行比對,根據(jù)比對結(jié)果判斷是否允許訪問,若允許訪問,將該應用層數(shù)據(jù)包轉(zhuǎn)發(fā)給所述服務提供者;所述安全運維系統(tǒng)實現(xiàn)對各設備的配置信息進行安全檢測管理,所述安全運維系統(tǒng)實現(xiàn)對各設備的配置信息進行安全檢測管理的方式包括:將各設備的 配置信息與對應的安全配置基線進行比對,在設備的配置信息發(fā)生變更或者設備的配置信息在安全配置基線的預設合理范圍之外時,發(fā)出告警信息。如上所述的本發(fā)明的安全防護系統(tǒng)是基于生產(chǎn)控制區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)來進行相應防護設施的部署,其中,生產(chǎn)控制區(qū)主要包括了電力二次系統(tǒng)實時或準實時業(yè)務的業(yè)務模塊,生產(chǎn)管理區(qū)包括了對生產(chǎn)控制區(qū)的數(shù)據(jù)進行收集和管理的業(yè)務模塊,管理信息區(qū)包括了進行信息管理的業(yè)務模塊。這種方式,實際上是基于電力二次系統(tǒng)的技術(shù)特點和部署架構(gòu),對電力二次系統(tǒng)進行了重新分區(qū),使得安全區(qū)的劃分方式更為簡潔,不同重要程度和安全等級的業(yè)務系統(tǒng)之間的邊界劃分更為清晰,并且基于這種安全區(qū)的劃分進行安全防護的部署,通過不同的層面實現(xiàn)對電力二次系統(tǒng)的縱深防護,提高了電力二次系統(tǒng)的安全性。附圖說明圖1是本發(fā)明的面向電力二次系統(tǒng)的安全防護系統(tǒng)實施例的結(jié)構(gòu)示意圖。具體實施方式以下結(jié)合其中的較佳實施方式對本發(fā)明方案進行詳細描述。圖1中示出了本發(fā)明的面向電力二次系統(tǒng)的安全防護系統(tǒng)實施例的結(jié)構(gòu)示意圖。如圖1所示,本實施例的安全防護系統(tǒng)包括有:部署在生產(chǎn)控制區(qū)的應用安全設備及系統(tǒng),以及部署在生產(chǎn)控制區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)的安全運維系統(tǒng),設置在生產(chǎn)控制區(qū)與生產(chǎn)管理區(qū)之間的正反向隔離裝置,以及設置在生產(chǎn)管理區(qū)與管理信息區(qū)之間的專用通信網(wǎng)關(guān);所述生產(chǎn)控制區(qū)包括電力二次系統(tǒng)實時或準實時業(yè)務的業(yè)務模塊,所述生產(chǎn)管理區(qū)包括對生產(chǎn)控制區(qū)的數(shù)據(jù)進行收集和管理的業(yè)務模塊,所述管理信息區(qū)包括進行信息管理的業(yè)務模塊。如上所述,本實施例的安全防護系統(tǒng)是基于生產(chǎn)控制區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)來進行相應防護設施的部署,其中,生產(chǎn)控制區(qū)主要包括了電力二次 系統(tǒng)實時或準實時業(yè)務的業(yè)務模塊,生產(chǎn)管理區(qū)包括了對生產(chǎn)控制區(qū)的數(shù)據(jù)進行收集和管理的業(yè)務模塊,管理信息區(qū)包括了進行信息管理的業(yè)務模塊。這種方式,實際上是基于電力二次系統(tǒng)的技術(shù)特點和部署架構(gòu),對電力二次系統(tǒng)進行了重新分區(qū),使得安全區(qū)的劃分方式更為簡潔,不同重要程度和安全等級的業(yè)務系統(tǒng)之間的邊界劃分更為清晰,并且基于這種安全區(qū)的劃分進行安全防護的部署,通過不同的層面實現(xiàn)對電力二次系統(tǒng)的縱深防護,提高了電力二次系統(tǒng)的安全性。其中,在對電力二次系統(tǒng)進行分區(qū)時,可以基于實際的電力二次系統(tǒng)進行具體的分區(qū),如上所述,生產(chǎn)控制區(qū)中包含的主要是與電力二次系統(tǒng)實時或準實時業(yè)務相關(guān)的業(yè)務模塊,這些業(yè)務模塊,主要可實現(xiàn)對一次設備的監(jiān)視功能,具體可以是包括能量管理模塊、繼電保護與故障錄波信息管理模塊、電能量計量模塊、廣域相量測量模塊、調(diào)度員培訓模塊等業(yè)務模塊,當然,基于實際電力二次系統(tǒng)的不同,還可以是包含其他的類似功能的業(yè)務模塊。上述生產(chǎn)管理區(qū)中,包含的主要是對生產(chǎn)控制區(qū)的數(shù)據(jù)進行收集和管理的業(yè)務模塊,主要是對電力調(diào)度進行運行管理。上述管理信息區(qū)中,包含的主要是進行信息管理的業(yè)務模塊,主要是一些傳統(tǒng)的管理信息系統(tǒng),例如MIS信息管理系統(tǒng)、OA管理信息系統(tǒng)、人力資源管理信息系統(tǒng),在該管理信息區(qū)中,還可以對來自生產(chǎn)管理區(qū)的數(shù)據(jù)進行展示,具體可以只是展示來自生產(chǎn)管理去的一部分數(shù)據(jù)。基于這種對電力二次系統(tǒng)的分區(qū)方式,實質(zhì)上是將目前已有的電力二次系統(tǒng)的控制區(qū)和非控制區(qū)合并為生產(chǎn)控制區(qū),以適應電力二次系統(tǒng)的發(fā)展需求,并將目前的管理信息區(qū)進一步劃分為生產(chǎn)管理區(qū)和管理信息區(qū),以便于根據(jù)生產(chǎn)管理系統(tǒng)和傳統(tǒng)的管理信息系統(tǒng)在安全防護方面?zhèn)戎攸c的不同進行安全防護設施的部署,而且能夠在管理職責上對界面進行區(qū)分。基于這種分區(qū)方式,能夠使得安全區(qū)的分區(qū)方式更趨簡潔,而且能夠使得不同重要程度和安全等級的業(yè)務系統(tǒng)之間的邊界劃分也更為清晰。其中,在上述生產(chǎn)控制區(qū)中,在生產(chǎn)控制區(qū)的交換機上,可以通過劃分VLAN等方式將不同時間敏感等級和重要性的業(yè)務系統(tǒng)分割開來,并通過QOS等流量 管理措施,優(yōu)先保證實時數(shù)據(jù)的通信帶寬。如圖1所示,設置在生產(chǎn)控制區(qū)的應用安全設備及系統(tǒng),具體可以包括安全接入系統(tǒng)、安全控制系統(tǒng),還可以包括有安全應用代理,以實現(xiàn)應用系統(tǒng)安全的代理。其中,上述安全控制系統(tǒng),部署在生產(chǎn)控制區(qū)的各業(yè)務模塊的前端,主要是實現(xiàn)對電力二次系統(tǒng)中的服務請求者和服務提供者之間的訪問控制,具體實現(xiàn)時,可以是基于強制訪問控制模式來實現(xiàn)這種訪問控制。上述安全接入系統(tǒng),主要是實現(xiàn)對電力二次系統(tǒng)的各類遠程接入進行安全控制。上述應用安全代理,部署在生產(chǎn)控制區(qū)的各安全區(qū)業(yè)務模塊前端,主要進行加解密及對服務請求者的身份合法性進行驗證。如上所述,在生產(chǎn)控制區(qū)與生產(chǎn)管理區(qū)之間設置有正反向隔離裝置,生產(chǎn)控制區(qū)與生產(chǎn)管理區(qū)之間通過該正反向隔離裝置進行通信,其中,正向隔離裝置負責將生產(chǎn)控制區(qū)的數(shù)據(jù)發(fā)往生產(chǎn)管理區(qū),反向隔離裝置則負責將生產(chǎn)管理區(qū)的數(shù)據(jù)發(fā)往生產(chǎn)控制區(qū),正反向隔離裝置中,都可以對數(shù)據(jù)包的格式和長度進行嚴格控制,具體的正反向隔離裝置的具體的數(shù)據(jù)控制方式,可以采用目前已有的以及以后出現(xiàn)的任何方式或者規(guī)則進行。圖1所示中是以一個正反向隔離裝置為例進行說明,在實際的實施過程中,基于實際需要的不同,正反向隔離裝置的數(shù)目可以有多個,可以根據(jù)實際需要增加正反向隔離裝置的數(shù)目。如上所述,在生產(chǎn)管理區(qū)與管理信息區(qū)之間設置有專用通信網(wǎng)關(guān),生產(chǎn)管理區(qū)與管理信息區(qū)之間通過該專用通信網(wǎng)關(guān)進行安全通信。該專用通信網(wǎng)關(guān)可以是準物理隔離強度的專用通信網(wǎng)關(guān),從而可以通過該專用通信網(wǎng)關(guān)阻止生產(chǎn)管理區(qū)和管理信息區(qū)之間直接建立網(wǎng)絡連接,從而對生產(chǎn)管理區(qū)與管理信息區(qū)之間的通信進行限制。其中,上述應用安全代理進行加解密及對服務請求者的身份合法性進行驗證的方式具體可以是:對發(fā)出的應用層數(shù)據(jù)包進行加密和添加身份認證信息,該身份認證信息通常可以指服務請求者的身份認證信息,例如用戶名、用戶口令、令牌、數(shù)字證書等等;對接收的應用層數(shù)據(jù)包進行解密后提取用戶身份認證信息,根據(jù)用戶身份 認證信息判斷用戶身份的合法性,若合法,將該應用層數(shù)據(jù)包向安全控制系統(tǒng)發(fā)送。上述安全控制系統(tǒng)實現(xiàn)對電力二次系統(tǒng)中的服務請求者和服務提供者之間的訪問控制的方式具體可以是:接收安全應用代理發(fā)送的應用層數(shù)據(jù)包,將該應用層數(shù)據(jù)包的服務請求者的安全標記與所要調(diào)用的服務提供者的安全標記進行比對,根據(jù)比對結(jié)果判斷是否允許訪問,若允許訪問,將該應用層數(shù)據(jù)包轉(zhuǎn)發(fā)給所述服務提供者。上述安全接入系統(tǒng)實現(xiàn)對電力二次系統(tǒng)的各類遠程接入進行安全控制的方式具體可以是:接收遠程用戶的身份認證請求,對該身份認證請求中的證書進行驗證遠程用戶是否為合法用戶,若為合法用戶,向所述遠程用戶返回驗證通過信息以及連接票據(jù),由所述遠程用戶根據(jù)該連接票據(jù)與安全接入系統(tǒng)建立加密通道。在其中一個具體的應用過程中,對應用層數(shù)據(jù)包的安全處理過程可以是如下所述。安全應用代理接收到應用層數(shù)據(jù)包后,對該應用層數(shù)據(jù)包進行解密操作,并從解密后的應用層數(shù)據(jù)包中提取出用戶身份認證信息,基于該用戶身份認證信息判斷用戶身份的合法性。若不合法,則直接將該應用層數(shù)據(jù)包予以丟棄,或者也可以向該應用層數(shù)據(jù)包的發(fā)出方返回不合法或者沒有權(quán)限的反饋信息。若合法,則將該應用層數(shù)據(jù)包向安全控制系統(tǒng)發(fā)送。安全控制系統(tǒng)接收到該應用層數(shù)據(jù)包后,提取出該應用層數(shù)據(jù)包中服務請求者的安全標記,并將服務請求者的安全標記與所請求服務者(服務提供者)的安全標記進行比對,并根據(jù)比對結(jié)果來判斷該服務請求者是否有權(quán)限訪問所請求的服務(服務提供者)。若沒有訪問權(quán)限,則直接將該應用層數(shù)據(jù)包予以丟棄,或者也可以是返回沒有訪問權(quán)限的反饋信息。若有訪問權(quán)限,則將該應用層數(shù)據(jù)包向服務提供者發(fā)送。其中,對安全標記進行比對來判斷是否有訪問權(quán)限的方式,可以采用目前已有的以及以后可能出現(xiàn)的任何方式進行,在此不予贅述。安全接入系統(tǒng)對電力二次系統(tǒng)的各類遠程接入的安全控制,具體可以包括 遠程撥號、無線終端接入、遠程網(wǎng)絡接入的遠程接入的安全控制。安全接入系統(tǒng)在接收到遠程用戶的接入請求后,首先對用戶身份的合法性進行驗證,驗證通過之后,才可以進行正常的數(shù)據(jù)通信。其中一個具體的遠程接入的安全控制方式可以如下所述:遠程用戶向安全接入系統(tǒng)發(fā)出身份認證請求;安全加入系統(tǒng)接收到該身份認證請求后,對該遠程用戶提交的證書進行驗證,判斷該遠程用戶是否為合法用戶,若是非法用戶,則向該遠程用戶返回拒絕連接信息,若為合法用戶,則向該遠程用戶返回驗證通過信息,并且向該遠程用戶發(fā)送連接票據(jù);隨后,遠程用戶憑接收到的來自安全接入系統(tǒng)的該連接票據(jù),與安全接入系統(tǒng)建立加密通道,并經(jīng)過該加密通道進行遠程通信。上述安全運維系統(tǒng),可以是在生產(chǎn)控制區(qū)、生產(chǎn)管理區(qū)以及管理信息區(qū)中分別部署。安全運維系統(tǒng)主要實現(xiàn)對各設備的配置信息的安全檢測管理,安全運維系統(tǒng)實現(xiàn)對各設備的配置信息進行安全檢測管理的方式具體可以是:將各設備的配置信息與對應的安全配置基線進行比對,在設備的配置信息發(fā)生變更或者設備的配置信息在安全配置基線的預設合理范圍之外時,發(fā)出告警信息。在其中一個具體實現(xiàn)方式中,安全運維系統(tǒng)主要實現(xiàn)對各區(qū)的主機設備、網(wǎng)絡設備和安全設備的安全基線的檢測和集中運維管理。安全運維系統(tǒng)中提供電力二次系統(tǒng)中的各個主機設備、網(wǎng)絡設備和安全設備的安全配置基線,周期性的(例如每24小時)將各個設備的配置信息同對應的安全配置基線進行比對,一旦發(fā)現(xiàn)配置信息有變更或配置信息不在安全配置基線設置的預設合理范圍內(nèi)時,即發(fā)出告警信息,提示用戶查看設備配置情況。另一方面,安全運維系統(tǒng)能夠?qū)Ω鱾€設備進行集中運維管理,即管理員只有登錄到安全運維系統(tǒng)才能查看或修改各設備的配置,安全運維系統(tǒng)和各設備之間建立安全的數(shù)據(jù)通道。此外,安全運維系統(tǒng)還可以對用戶的所有操作進行日志記錄。如圖1所示,本發(fā)明實施例的面向電力二次系統(tǒng)的安全防護系統(tǒng)中,還可以包括有部署在生產(chǎn)控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)絡的互聯(lián)邊界的縱向加密網(wǎng)關(guān),以實 現(xiàn)生產(chǎn)控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)絡之間通信的安全防護。具體實現(xiàn)時,該縱向加密網(wǎng)關(guān)對從生產(chǎn)控制區(qū)向調(diào)度數(shù)據(jù)網(wǎng)絡發(fā)送的數(shù)據(jù)包進行加密,對從調(diào)度數(shù)據(jù)網(wǎng)絡發(fā)向生產(chǎn)控制區(qū)的加密數(shù)據(jù)包進行解密。如圖1所示,本發(fā)明實施例的面向電力二次系統(tǒng)的安全防護系統(tǒng)中,還可以包括有部署在生產(chǎn)管理區(qū)與綜合數(shù)據(jù)網(wǎng)絡的邊界的硬件防火墻,以及部署在管理信息區(qū)與綜合數(shù)據(jù)網(wǎng)絡的邊界的硬件防火墻,從而實現(xiàn)生產(chǎn)管理區(qū)、管理信息區(qū)與綜合數(shù)據(jù)網(wǎng)絡之間通信的安全防護。具體的硬件防火墻中的訪問控制規(guī)則,可以基于實際的安全控制需要進行設置,基于在硬件防火墻上的訪問控制規(guī)則的配置,可以限制對基于綜合數(shù)據(jù)網(wǎng)絡對生產(chǎn)管理區(qū)、管理信息區(qū)的訪問?;谌缟纤龅谋景l(fā)明的面向電力二次系統(tǒng)的安全防護系統(tǒng),從主機安全、網(wǎng)絡安全和應用安全三個層面實現(xiàn)了對電力二次系統(tǒng)的縱深防御,相對于傳統(tǒng)的電力二次系統(tǒng)的安全防護架構(gòu)來說,加強了對主機安全和應用層面的安全防護考慮,構(gòu)筑了全面的電力二次系統(tǒng)縱深防御架構(gòu)。另一方面,如上所述的本發(fā)明的面向電力二次系統(tǒng)的安全防護系統(tǒng),著重對松散耦合架構(gòu)的電力二次系統(tǒng)應用安全進行針對性保護。無論是網(wǎng)絡安全和主機安全防御,最終都是為了保證電力二次系統(tǒng)的應用安全,進而保證電力生產(chǎn)業(yè)務連續(xù)性。本發(fā)明通過密碼技術(shù)實現(xiàn)對應用層消息的加密、簽名以及服務請求者的身份認證,保證電力二次系統(tǒng)的保密性、完整性和可用性。以上所述實施例僅表達了本發(fā)明的幾種實施方式,其描述較為具體和詳細,但并不能因此而理解為對本發(fā)明專利范圍的限制。應當指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進,這些都屬于本發(fā)明的保護范圍。因此,本發(fā)明專利的保護范圍應以所附權(quán)利要求為準。