當(dāng)前位置: 首頁 > 專利查詢>中國電建集團(tuán)福建省電力勘測設(shè)計(jì)院有限公司專利>正文

一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法及系統(tǒng)技術(shù)方案

技術(shù)編號：44437654 閱讀：4 留言：0更新日期：2025-02-28 18:47

本發(fā)明專利技術(shù)涉及一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法及系統(tǒng)，該方法包括：構(gòu)建的智能電廠網(wǎng)絡(luò)拓?fù)浒ㄖ悄馨l(fā)電和智慧管理兩平臺，以及生產(chǎn)大區(qū)、管理大區(qū)和工業(yè)無線三網(wǎng)絡(luò)。各網(wǎng)絡(luò)內(nèi)設(shè)置日志采集模塊，兩平臺部署SIEM系統(tǒng)處理并分類日志，根據(jù)事件緊急度、受影響資源重要性和發(fā)生頻率加權(quán)分析安全事件。同時在網(wǎng)絡(luò)邊界和關(guān)鍵節(jié)點(diǎn)(如核心交換機(jī)、路由器)部署DPI模塊識別攻擊流量，將結(jié)果反饋至SIEM。SIEM綜合加權(quán)分析和DPI反饋?zhàn)R別跨層次攻擊模式。這一結(jié)構(gòu)通過簡化安全運(yùn)維層級，提升了電廠網(wǎng)絡(luò)的安全性和管理效率。

全部詳細(xì)技術(shù)資料下載

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法及系統(tǒng)，屬于電力系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域。

技術(shù)介紹

1、隨著全球能源危機(jī)的深化和低碳經(jīng)濟(jì)的倡導(dǎo)，智能電網(wǎng)和智能電廠的建設(shè)已成為各國經(jīng)濟(jì)發(fā)展的重要引擎。智能電廠作為智能電網(wǎng)的重要組成部分，通過集成信息技術(shù)、通信技術(shù)和自動化技術(shù)，實(shí)現(xiàn)了電力系統(tǒng)的優(yōu)化調(diào)度、高效運(yùn)行和可靠供電。其中，“兩平臺三網(wǎng)絡(luò)”架構(gòu)是智能電廠建設(shè)的關(guān)鍵，它涵蓋了智能發(fā)電系統(tǒng)ics、智慧管理系統(tǒng)ims以及多個通信網(wǎng)絡(luò)，為電廠的生產(chǎn)和管理提供了強(qiáng)大的技術(shù)支持。

2、傳統(tǒng)智能電廠的網(wǎng)絡(luò)防護(hù)體系可能缺乏系統(tǒng)性和完整性。例如，一些電廠可能只關(guān)注于某些特定的安全威脅，而忽視了其他潛在的風(fēng)險。這可能導(dǎo)致防護(hù)體系存在漏洞，使得攻擊者能夠利用這些漏洞進(jìn)行網(wǎng)絡(luò)攻擊。訪問控制是網(wǎng)絡(luò)安全的重要組成部分，它決定了哪些用戶或設(shè)備可以訪問網(wǎng)絡(luò)資源。然而，一些傳統(tǒng)智能電廠可能存在訪問控制不嚴(yán)格的問題。例如，一些電廠可能允許未經(jīng)授權(quán)的用戶或設(shè)備訪問關(guān)鍵系統(tǒng)，這可能導(dǎo)致敏感信息的泄露或系統(tǒng)的破壞。

3、現(xiàn)有技術(shù)如專利號為“cn107547228b”的中國專利公開了一種基于大數(shù)據(jù)的安全運(yùn)維管理平臺的實(shí)現(xiàn)架構(gòu)。

4、上述現(xiàn)有技術(shù)存在的問題是，涉及邊緣管理節(jié)點(diǎn)、區(qū)域管理節(jié)點(diǎn)和全局管理節(jié)點(diǎn)三個層次，這種多層次結(jié)構(gòu)可能導(dǎo)致信息傳遞延遲，特別是在處理緊急安全事件時。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述現(xiàn)有技術(shù)中存在的問題，本專利技術(shù)提出了一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法及系統(tǒng)。

2、本專利技術(shù)的技術(shù)方案如下：

3、一方面，本專利技術(shù)提供了一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，包括以下步驟：

4、構(gòu)建包含兩平臺和三網(wǎng)絡(luò)的智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，所述兩平臺為智能發(fā)電平臺以及智慧管理平臺，所述三網(wǎng)絡(luò)為生產(chǎn)大區(qū)網(wǎng)絡(luò)、管理大區(qū)網(wǎng)絡(luò)以及工業(yè)無線網(wǎng)絡(luò)；

5、在三網(wǎng)絡(luò)結(jié)構(gòu)中設(shè)置日志采集模塊記錄信息，并在兩平臺結(jié)構(gòu)中部署siem系統(tǒng)，根據(jù)預(yù)設(shè)的分類規(guī)則處理日志采集模塊記錄的日志信息，得到日志信息中對應(yīng)的安全事件，根據(jù)安全事件的緊急程度、受影響的資源重要性、事件發(fā)生的頻率對安全事件對應(yīng)的日志進(jìn)行加權(quán)分析；

6、在網(wǎng)絡(luò)邊界和關(guān)鍵節(jié)點(diǎn)部署dpi模塊識別攻擊流量，將識別結(jié)果反饋至siem系統(tǒng)；所述關(guān)鍵節(jié)點(diǎn)包括核心交換機(jī)、路由器，所述網(wǎng)絡(luò)邊界為兩平臺和三網(wǎng)絡(luò)的隔離邊界；

7、siem系統(tǒng)基于加權(quán)分析結(jié)果與dpi模塊反饋結(jié)果，識別跨層次的攻擊模式。

8、作為優(yōu)選實(shí)施方式，所述日志采集模塊包括本地日志采集模塊、集中式安全日志服務(wù)器以及安全事件日志服務(wù)器；

9、針對生產(chǎn)大區(qū)網(wǎng)絡(luò)，在工業(yè)控制設(shè)備上安裝本地日志采集模塊，所述本地日志采集模塊實(shí)時監(jiān)控設(shè)備運(yùn)行狀態(tài)、指令流、端口訪問，所述工業(yè)控制設(shè)備包括plc、scada系統(tǒng)；

10、在控制中心部署集中式安全日志服務(wù)器，采集工業(yè)控制設(shè)備的日志信息；

11、針對管理大區(qū)網(wǎng)絡(luò)，在管理大區(qū)網(wǎng)絡(luò)部署安全事件日志服務(wù)器記錄管理員賬戶的登錄、退出、訪問資源的情況、管理指令執(zhí)行日志；

12、針對工業(yè)無線網(wǎng)絡(luò)，在無線交換機(jī)上配置無線安全日志，記錄無線設(shè)備的接入狀態(tài)、mac地址、信號強(qiáng)度。

13、作為優(yōu)選實(shí)施方式，三網(wǎng)絡(luò)結(jié)構(gòu)的日志采集模塊通過加密通道傳輸?shù)絪iem系統(tǒng)，所述加密通道包括syslog、snmp。

14、作為優(yōu)選實(shí)施方式，siem系統(tǒng)檢測到跨層次的攻擊模式后，進(jìn)行修改防火墻規(guī)則操作，或?qū)⒃摴袅髁扛綦x；

15、同時，siem系統(tǒng)向工業(yè)無線網(wǎng)絡(luò)下發(fā)限制可疑設(shè)備的訪問權(quán)限的指令，并讓其重新進(jìn)行身份認(rèn)證；siem系統(tǒng)還會向管理大區(qū)網(wǎng)絡(luò)下發(fā)制未通過雙因素認(rèn)證的用戶訪問高敏感區(qū)域的權(quán)限，

16、所述雙因素認(rèn)證的第一因素為用戶名和密碼的認(rèn)證，第二因素為人臉識別，所述高敏感區(qū)域包括scada系統(tǒng)、dcs系統(tǒng)。

17、作為優(yōu)選實(shí)施方式，生產(chǎn)大區(qū)網(wǎng)絡(luò)、管理大區(qū)網(wǎng)絡(luò)以及工業(yè)無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸通過安全網(wǎng)關(guān)進(jìn)行流量加密，并采用tls/ssl協(xié)議保護(hù)傳輸中的數(shù)據(jù)。

18、作為優(yōu)選實(shí)施方式，生產(chǎn)大區(qū)網(wǎng)絡(luò)、管理大區(qū)網(wǎng)絡(luò)以及工業(yè)無線網(wǎng)絡(luò)的設(shè)備在接入網(wǎng)絡(luò)前都需要出示數(shù)字證書通過pki認(rèn)證，認(rèn)證通過后才能允許跨層數(shù)據(jù)傳輸。

19、另一方面，本專利技術(shù)還提供了一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)系統(tǒng)，其特征在于，包括：

20、網(wǎng)絡(luò)拓?fù)浞謱幽K：構(gòu)建包含兩平臺和三網(wǎng)絡(luò)的智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，所述兩平臺為智能發(fā)電平臺以及智慧管理平臺，所述三網(wǎng)絡(luò)為生產(chǎn)大區(qū)網(wǎng)絡(luò)、管理大區(qū)網(wǎng)絡(luò)以及工業(yè)無線網(wǎng)絡(luò)；

21、日志分析模塊：在三網(wǎng)絡(luò)結(jié)構(gòu)中設(shè)置日志采集模塊記錄信息，并在兩平臺結(jié)構(gòu)中部署siem系統(tǒng)，根據(jù)預(yù)設(shè)的分類規(guī)則處理日志采集模塊記錄的日志信息，得到日志信息中對應(yīng)的安全事件，根據(jù)安全事件的緊急程度、受影響的資源重要性、事件發(fā)生的頻率對安全事件對應(yīng)的日志進(jìn)行加權(quán)分析；

22、流量識別模塊：在網(wǎng)絡(luò)邊界和關(guān)鍵節(jié)點(diǎn)部署dpi模塊識別攻擊流量，將識別結(jié)果反饋至siem系統(tǒng)；所述關(guān)鍵節(jié)點(diǎn)包括核心交換機(jī)、路由器，所述網(wǎng)絡(luò)邊界為兩平臺和三網(wǎng)絡(luò)的隔離邊界；

23、攻擊識別模塊：siem系統(tǒng)基于加權(quán)分析結(jié)果與dpi模塊反饋結(jié)果，識別跨層次的攻擊模式。

24、本專利技術(shù)具有如下有益效果：

25、本專利技術(shù)結(jié)合電廠的“兩平臺、三網(wǎng)絡(luò)”架構(gòu)，利用不同的防護(hù)技術(shù)與策略，針對電廠內(nèi)部各個層級的網(wǎng)絡(luò)安全需求，實(shí)現(xiàn)信息安全的全面保護(hù)。通過將網(wǎng)絡(luò)按照功能與敏感性進(jìn)行劃分，系統(tǒng)可以對每個層級實(shí)施差異化的安全防護(hù)，并實(shí)現(xiàn)跨層級數(shù)據(jù)安全流通和控制的協(xié)同防護(hù)策略。

本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】

1.一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，包括以下步驟：

2.根據(jù)權(quán)利要求1所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，所述日志采集模塊包括本地日志采集模塊、集中式安全日志服務(wù)器以及安全事件日志服務(wù)器；

3.根據(jù)權(quán)利要求1所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，三網(wǎng)絡(luò)結(jié)構(gòu)的日志采集模塊通過加密通道傳輸?shù)絊IEM系統(tǒng)，所述加密通道包括Syslog、SNMP。

4.根據(jù)權(quán)利要求1所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，SIEM系統(tǒng)檢測到跨層次的攻擊模式后，進(jìn)行修改防火墻規(guī)則操作，或?qū)⒃摴袅髁扛綦x；

5.根據(jù)權(quán)利要求1所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，生產(chǎn)大區(qū)網(wǎng)絡(luò)、管理大區(qū)網(wǎng)絡(luò)以及工業(yè)無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸通過安全網(wǎng)關(guān)進(jìn)行流量加密，并采用TLS/SSL協(xié)議保護(hù)傳輸中的數(shù)據(jù)。

6.根據(jù)權(quán)利要求1所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，生產(chǎn)大區(qū)網(wǎng)絡(luò)、管理大區(qū)網(wǎng)絡(luò)以及工業(yè)無線網(wǎng)絡(luò)的設(shè)備在接入網(wǎng)絡(luò)前都需要出示數(shù)字證書通過PKI認(rèn)

7.一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)系統(tǒng)，其特征在于，包括：

8.根據(jù)權(quán)利要求7所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)系統(tǒng)，其特征在于，所述日志分析模塊，日志采集模塊包括本地日志采集模塊、集中式安全日志服務(wù)器以及安全事件日志服務(wù)器；

9.根據(jù)權(quán)利要求7所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)系統(tǒng)，其特征在于，三網(wǎng)絡(luò)結(jié)構(gòu)的日志采集模塊通過加密通道傳輸?shù)絊IEM系統(tǒng)，所述加密通道包括Syslog、SNMP。

10.根據(jù)權(quán)利要求7所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方系統(tǒng)，其特征在于，還包括防御模塊，SIEM系統(tǒng)檢測到跨層次的攻擊模式后，進(jìn)行修改防火墻規(guī)則操作，或?qū)⒃摴袅髁扛綦x；

...

【技術(shù)特征摘要】

1.一種基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，包括以下步驟：

3.根據(jù)權(quán)利要求1所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，三網(wǎng)絡(luò)結(jié)構(gòu)的日志采集模塊通過加密通道傳輸?shù)絪iem系統(tǒng)，所述加密通道包括syslog、snmp。

4.根據(jù)權(quán)利要求1所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，siem系統(tǒng)檢測到跨層次的攻擊模式后，進(jìn)行修改防火墻規(guī)則操作，或?qū)⒃摴袅髁扛綦x；

5.根據(jù)權(quán)利要求1所述的基于智能電廠網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分層防護(hù)方法，其特征在于，生產(chǎn)大區(qū)網(wǎng)絡(luò)、管理大區(qū)網(wǎng)絡(luò)以及工業(yè)無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸通過安全網(wǎng)關(guān)進(jìn)行流量加密，并采用tls/ssl協(xié)議保護(hù)傳輸中的數(shù)據(jù)。

6.根據(jù)權(quán)...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：何宇涵，陳曉霞，陳文喜，郭敏鑒，林鋒，康愷，
申請(專利權(quán))人：中國電建集團(tuán)福建省電力勘測設(shè)計(jì)院有限公司，
類型：發(fā)明
國別省市：

全部詳細(xì)技術(shù)資料下載我是這個專利的主人

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條評論

還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。

發(fā)布您的意見

相關(guān)領(lǐng)域技術(shù)