【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种电力监控调度主站系统网络安全防护部署结构。
技术介绍
1、随着电力监控系统的普及和应用范围的不断拓展,系统的安全问题也越来越受到关注。为了保障电力监控系统的安全可靠运行,我们需要制定一套完整的安全防护方案和安全策略。根据防护总体要求,首先对电力监控系统进行全面的风险评估,确定系统所面临的各种安全威胁,制定相应的安全预案,建立完善的安全管理机制和应急响应机制。其次,我们需要对电力监控系统进行严格的访问控制,确保只有授权人员才能访问系统。可以采用密码认证、指纹识别等多种身份认证方式,以确保系统的安全性。同时,需要对系统进行定期的安全审计和漏洞扫描,及时发现和修补系统中的安全漏洞,以确保系统的持续稳定运行。最后,需要加强对系统数据的保护,建立数据备份和恢复机制,确保数据在遭受攻击或意外损失时能够快速恢复。总之,电力监控系统的安全防护是一个综合性的工程,需要全面考虑系统的安全性、可靠性和稳定性,并采取多种措施进行综合保护。只有建立完善的安全防护方案和安全策略,才能保障电力监控系统的安全稳定运行。
2、传统电力监控调度自动化系统的物理边界及安全部署如图1所示,实现对实时运行的电力系统进行数据采集、监视、控制和安全分析功能,但传统的电力监控调度自动化系统重点偏向于主站系统网络边界防护,缺乏对其他网络安全设备的防护,同时未涉及电力监控系统的全过程防护。
技术实现思路
1、本专利技术的目的在于克服现有技术中存在的问题,提供了一种电力监控调度主站系
2、本专利技术的目的是通过以下技术方案来实现的:
3、提供一种电力监控调度主站系统网络安全防护部署结构,包括控制区、非控制区、管理信息大区以及网络安全管理平台,所述控制区的部署结构包括:
4、网络安全防护设备方面,在网络中配置一区运维网关、一区入侵检测、一区安全审计、一区日志审计、一区ⅰ型网络安全监测装置和一区恶意代码监测装置;业务防护方面,在延申业务中配置网络延申防火墙,在公网业务中配置正反向安全隔离装置,在调度数据网纵向业务中配置纵向加密认证装置;在交换机网络方面,接入网络安全管理平台以及各网络安全防护设备;在系统其他服务器组方面,部署探针接入网络安全管理平台,并在关键节点部署可信验证节点,同时部署恶意代码客户端软件;
5、所述非控制区的部署结构包括:
6、网络安全防护设备方面,在网络中配置了二区运维网关、二区入侵检测、二区安全审计、二区日志审计、生产控制大区态势感知模块、生产控制大区统一管理平台、二区ⅰ型网络安全监测装置、生产控制大区可信验证管理模块、二区恶意代码监测装置、可信验证管理中心和恶意代码管理中心,并在安全非控制区内部独立组网部署网络安全管理平台;业务防护方面,在调度数据网纵向业务中配置了纵向加密认证装置;在交换机网络方面,接入网络安全管理平台以及开放镜像端口接入各网络安全防护设备;在系统其他服务器组方面,部署探针接入网络安全管理平台,并在关键节点部署可信验证节点,同时部署恶意代码客户端软件;
7、所述管理信息大区的部署结构包括:
8、网络安全防护设备方面,在网络中配置三区运维网关、三区入侵检测、三区安全审计、三区日志审计、管理信息大区态势感知模块、管理信息大区统一管理平台、三区全流量威胁探针、三区ⅰ型网络安全监测装置、可信验证模块和三区恶意代码监测装置;业务防护方面,在管理网纵向业务中配置准入和防火墙,在发布业务中配置防火墙;在交换机网络方面,接入网络安全管理平台以及开放镜像端口接入各网络安全防护设备;在系统其他服务器组方面,部署探针接入网络安全管理平台,并在关键节点部署可信验证节点,同时部署恶意代码客户端软件;
9、还包括:在管理信息大区与控制区和/非控制区的横向边界部署正反向安全隔离装置。
10、在一些可能实施例中,通过syslog日志接入网络安全管理平台。
11、在一些可能实施例中,所述三区全流量威胁探针部署在管理信息大区核心交换机旁路处。
12、在一些可能实施例中,所述生产控制大区态势感知模块部署在非控制区核心交换机旁路处,所述管理信息大区态势感知模块部署在管理信息大区核心交换机旁路处。
13、在一些可能实施例中,所述控制区中的防火墙串联部署于控制区主交换机和网络延申业务交换机之间。
14、在一些可能实施例中,所述日志审计采用单机部署的方式,通过内置的日志采集器收集设备对象的日志信息并进行范式化处理、分析和集中存储。
15、在一些可能实施例中,所述安全审计从旁路接入到控制区、非控制区以及管理信息大区的核心交换机,通过流量镜像的方式对电力监控系统网络进行全流量数据监听。
16、在一些可能实施例中,所述生产控制大区可信验证管理模块对不同区的可信验证节点独立管理并将运行状态及告警信息接入网络安全管理平台。
17、在一些可能实施例中,所述恶意代码监测装置包括客户端、客户端管理模块、网络流量监测采集装置、恶意代码分析模块。
18、在一些可能实施例中,所述ⅰ型网络安全监测装置部署于电力监控系统局域网网络中,用以对监测对象的网络安全信息采集,为网络安全管理平台上传事件并提供服务代理功能。
19、需要进一步说明的是,上述各选项对应的技术特征在不冲突的情况下可以相互组合或替换构成新的技术方案。
20、与现有技术相比,本专利技术有益效果是:
21、本专利技术在做好电力监控调度主站系统网络边界防护的基础上,部署完善了其它网络安全防护设备,形成了一种全新的电力监控调度主站系统网络安全防护部署结构,将边界防护过度到了全过程防护。
本文档来自技高网...【技术保护点】
1.一种电力监控调度主站系统网络安全防护部署结构,包括控制区、非控制区、管理信息大区以及网络安全管理平台,其特征在于,所述控制区的部署结构包括:
2.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,通过syslog日志接入网络安全管理平台。
3.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述三区全流量威胁探针部署在管理信息大区核心交换机旁路处。
4.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述生产控制大区态势感知模块部署在非控制区核心交换机旁路处,所述管理信息大区态势感知模块部署在管理信息大区核心交换机旁路处。
5.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述控制区中的防火墙串联部署于控制区主交换机和网络延申业务交换机之间。
6.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述日志审计采用单机部署的方式,通过内置的日志采集器收集设备对象的日志信息并进行范式化处理、分析
7.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述安全审计从旁路接入到控制区、非控制区以及管理信息大区的核心交换机,通过流量镜像的方式对电力监控系统网络进行全流量数据监听。
8.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述生产控制大区可信验证管理模块对不同区的可信验证节点独立管理并将运行状态及告警信息接入网络安全管理平台。
9.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述恶意代码监测装置包括客户端、客户端管理模块、网络流量监测采集装置、恶意代码分析模块。
10.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述Ⅰ型网络安全监测装置部署于电力监控系统局域网网络中,用以对监测对象的网络安全信息采集,为网络安全管理平台上传事件并提供服务代理功能。
...【技术特征摘要】
1.一种电力监控调度主站系统网络安全防护部署结构,包括控制区、非控制区、管理信息大区以及网络安全管理平台,其特征在于,所述控制区的部署结构包括:
2.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,通过syslog日志接入网络安全管理平台。
3.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述三区全流量威胁探针部署在管理信息大区核心交换机旁路处。
4.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述生产控制大区态势感知模块部署在非控制区核心交换机旁路处,所述管理信息大区态势感知模块部署在管理信息大区核心交换机旁路处。
5.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述控制区中的防火墙串联部署于控制区主交换机和网络延申业务交换机之间。
6.根据权利要求1所述的电力监控调度主站系统网络安全防护部署结构,其特征在于,所述日志审计采用单...
【专利技术属性】
技术研发人员:皇甫江峰,褚炳上,张志君,闫晓东,王宏强,张晓峰,赵晨惠,梁艳,王志远,王志强,周永峰,舒俊卓,王志涛,李洁,李博,李烨,史兆丰,郭奕含,曹朕源,白雪松,白利,胡雅群,李倩,陈怡宁,
申请(专利权)人:内蒙古电力集团有限责任公司薛家湾供电分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。