一种电力监控系统的网络安全风险监控系统及方法与流程

1.本发明涉及电力网络安全技术领域，更具体的说是涉及一种电力监控系统的网络安全风险监控系统及方法。


背景技术：

2.目前，电力监控系统以计算机、通讯设备、测控单元为基本工具，为变配电系统的实时数据采集、开关状态检测及远程控制提供了基础平台，它可以和检测、控制设备构成任意复杂的监控系统，在变配电监控中发挥了核心作用，可以帮助企业消除孤岛、降低运作成本，提高生产效率，加快对变配电过程中异常的反应速度，就电力系统而言，其内部数据安全非常重要，其电力使用分布和电力使用情况，可推算出人口、军事和商业等等信息，电力网络安全的重要不言而喻。
3.但是，现有技术通过分布式软件系统远程并自动的对电力监控系统潜伏的网络安全风险进行扫描、展示、修复，能够实时掌握全省电力监控系统网络安全的状况，减少工作人员现场检查及修复的工作量，维护方便，安全系数高，有效节省了人力和物力成本，但是电力监控系统的网络安全风险更多来自于外部侵入和电力员工的网络安全意识，其面对外部侵入没有针对性的安全风险保护措施。
4.因此，提供一种电力监控系统的网络安全风险监控系统及方法，有利于面对外部侵入时根据侵入方式采用不同的保护措施，且需要电力人员快速调配排查，同时提高电力人员的网络安全意识，减少内部错误带来的网络安全风险是本领域技术人员亟需解决的问题。


技术实现要素：

5.有鉴于此，本发明提供了一种力监控系统的网络安全风险监控系统及方法；通过对电力系统网络安全进行区域划分，并对其网络设备物理隔离，并根据外部侵入和内部错误快速反应，采用不同处理方式，有利于面对外部侵入时根据侵入方式采用不同的保护措施，且需要电力人员快速调配排查，同时提高电力人员的网络安全意识，减少内部错误带来的网络安全风险。
6.为了实现上述目的，本发明采用如下技术方案：
7.一种电力监控系统的网络安全风险监控系统，包括：网络安全监管端和网络安全保护端；
8.所述网络安全保护端包括分层、分区管理单元、防火墙单元、网络地址转换单元、防病毒单元、数据加密单元和虚拟网单元，所述分层、分区管理单元将网络安全和网络设备划分为生产管理区、实时控制区、非控制生产区和管理信息区。
9.优选的，所述分层、分区管理单元划分的各个网络设备区域之间采用网络无力隔离设备进行隔离。
10.优选的，所述网络安全监管端用于监管信息泄露、非授权访问、网络欺骗、篡改数
据和病毒入侵。
11.一种电力监控系统的网络安全按监控方法，步骤包括：
12.s1、对监管人员进行网络安全意识培训；
13.s2、对电力系统内的网络安全进行检查及风险评估；
14.s3、网络安全保护端对电力网络安全进行分层、分区管理，根据分层、分区管理将网络安全和网络设备划分为生产管理区、实时控制区、非控制生产区和管理信息区；
15.s4、对各区域设置安全措施，包括：网络安全隔离、子网划分和通信协议，电力调度数据使用独立网络设备组网。
16.s5、基于防火墙单元对网络病毒进行拦截，根据安全策略和安全需求，设置访问规则；
17.s6、基于网络地址转换单元，限制访问的ip地址，仅能通过有限ip地址对网络进行访问，或通过地址转换，将非法的ip进行隐藏；
18.s7、基于防病毒单元对病毒进行预防及处理；
19.s8、基于数据加密单元对网络传输数据对网络传输数据的访问圈进行限制，对原始数据进行加密，放置对机密数据文件进行恶意查看或破坏，防止数据泄露；
20.s9、基于虚拟网单元对局域网内任意数量网段聚合形成一个单独局域网，防止数据窃听。
21.经由上述的技术方案可知，与现有技术相比，本发明公开提供了一种力监控系统的网络安全风险监控系统及方法；通过对电力系统网络安全进行区域划分，并对其网络设备物理隔离，并根据外部侵入和内部错误快速反应，采用不同处理方式，有利于面对外部侵入时根据侵入方式采用不同的保护措施，且需要电力人员快速调配排查，同时提高电力人员的网络安全意识，减少内部错误带来的网络安全风险。
附图说明
22.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
23.图1附图为本发明提供的网络安全保护端结构示意图。
24.图2附图为本发明提供的网络安全监管端结构示意图。
25.其中，2为网络安全监管端，1为网络安全保护端，11为分层、分区管理单元，12为防火墙单元，13为网络地址转换单元，14为防病毒单元，15为数据加密单元，16为虚拟网单元。
具体实施方式
26.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
27.本发明实施例公开了一种电力监控系统的网络安全风险监控系统，包括：网络安
全监管端2和网络安全保护端1；
28.网络安全保护端1包括分层、分区管理单元11、防火墙单元12、网络地址转换单元13、防病毒单元14、数据加密单元15和虚拟网单元16，分层、分区管理单元11将网络安全和网络设备划分为生产管理区、实时控制区、非控制生产区和管理信息区。
29.为进一步优化上述技术方案，分层、分区管理单元11划分的各个网络设备区域之间采用网络无力隔离设备进行隔离。
30.为进一步优化上述技术方案，网络安全监管端2用于监管信息泄露、非授权访问、网络欺骗、篡改数据和病毒入侵。
31.一种电力监控系统的网络安全按监控方法，步骤包括：
32.s1、对监管人员进行网络安全意识培训；
33.s2、对电力系统内的网络安全进行检查及风险评估；
34.s3、网络安全保护端对电力网络安全进行分层、分区管理，根据分层、分区管理将网络安全和网络设备划分为生产管理区、实时控制区、非控制生产区和管理信息区；
35.s4、对各区域设置安全措施，包括：网络安全隔离、子网划分和通信协议，电力调度数据使用独立网络设备组网。
36.s5、基于防火墙单元对网络病毒进行拦截，根据安全策略和安全需求，设置访问规则；
37.s6、基于网络地址转换单元，限制访问的ip地址，仅能通过有限ip地址对网络进行访问，或通过地址转换，将非法的ip进行隐藏；
38.s7、基于防病毒单元对病毒进行预防及处理；
39.s8、基于数据加密单元对网络传输数据对网络传输数据的访问圈进行限制，对原始数据进行加密，放置对机密数据文件进行恶意查看或破坏，防止数据泄露；
40.s9、基于虚拟网单元对局域网内任意数量网段聚合形成一个单独局域网，防止数据窃听。
41.对电力人员进行网络安全意识进行培训，提高敏感信息的保密意识；定期对电力系统内的网络安全进行检查，并进行风险评估，让网络设备处于最佳状态进行运行；网络设备需配置合理，且对空闲网络端口进行防撕封条进行封闭，或者拆除不必要的移动存储设备的接口，对网络安全保护端对电力网络安全进行分层、分区管理，根据分层、分区管理将网络安全和网络设备划分为生产管理区、实时控制区、非控制生产区和管理信息区；对各区域之间部署相应安全措施，即网络安全隔离、子网划分和通信协议，电力调度数据应当使用专用通道的独立网络设备组网，在物理层面实现安全隔离，禁止采用默认路由；电力监控的系统各调级之间部署安全措施，形成电力监管系统自上而下的安全防线；通过运用防火墙技术对网络病毒进行拦截，根据安全策略和安全需求，设置对应的访问规则；通过网络地址转换技术，限制访问的ip地址，只能通过有限ip地址对网络进行访问，或者通过地址转换，将非法的ip进行隐藏；通过防病毒单元对网络系统性能进行优化，对病毒进行预防和处理，提高网络的安全性；通过数据加密技术对网络传输数据的访问圈进行限制，对原始数据进行加密，防止恶意对机密数据文件进行查看或者破坏，防止数据泄露；通过虚拟网技术对一个局域网内任意数量网段聚合形成一个单独局域网，可防止数据的窃听；对网络安全中接入可疑设备进行警告，并同时电力地面人员快速到达现场进行排查。
42.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
43.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。