一种基于物联网的便携式运维网关的制作方法

1.本发明涉及电力系统的设备运维领域，更具体的说，特别涉及一种基于物联网的便携式运维网关。


背景技术：

2.当前二次检修人员通常采用纸质文档来记录对电力设备进行多次运维的记录，工作完结后，再通过班组内网电脑将现场记录的各类数据录入到相关运维管理系统中。这种运维模式导致电力设备保护现场数据采集、设备台账录入等工作繁琐易错，同时不利于同一设备不同时期运维数据的校核比对等同质化问题统计分析。此外，数据平台之间无法实现互通、运维信息难以实现共享、数据挖掘能力较弱等问题也造成现场运维效率低下，一方面不利电力设备的可靠运行，另一方面也不便于对检修人员的具体操作进行监控。
3.另外，随着物联网、移动互联技术的发展，用于电网移动运维业务的便携式网关技术日趋成熟。建设一个在局域网范围内，可互联互通互信的网关至关重要。网关是一种充当转换重任的计算机系统或设备，使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器，与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求，在电力系统中经常要通过一些局域网络对数据和资料进行整理和实时传输，也经常需要使用到网关进行翻译传输数据。
4.因此，现有技术存在的问题，有待于进一步改进和发展。


技术实现要素：

5.(一)发明目的：为解决上述现有技术中存在的问题：现有的二次检修人员通常采用纸质文档来记录对电力设备进行多次运维的记录造成的工作繁琐易错、运维信息难以实现共享、不利电力设备的可靠运行等缺陷，本发明的目的是提供一种基于物联网的便携式运维网关。
6.(二)技术方案：为了解决上述技术问题，本技术方案提供一种基于物联网的便携式运维网关，包括网关主体和监测终端，所述监测终端与所述网关主体连接，所述网关主体与运维资产连接，所述网关主体完成对运维资产的运维操作，所述监测终端用于检测运维环境，保证运维环境的安全及正常通信；所述网关主体包括数据处理系统，所述数据处理系统为目标运维资产创建运维任务，并实现运维操作，所述数据处理系统包括变电站模块、任务模块、规则模块、资产模块、运维模块；所述变电站模块用于录入或导入变电站运维资产的物理信息；所述任务模块用于创建或导入运维任务信息；所述规则模块包括每个资产对应的运维规则，用于确定运维资产对应的运维规则；所述资产模块实现对运维资产的运维管理；所述运维模块对目标运维资产进行远程运维操作。
7.所述一种基于物联网的便携式运维网关，其中，所述监测终端通过运维电脑与所述网关主体连接，所述监测终端通过所述运维电脑实现安全监测，并且所述运维电脑显示
所述数据处理系统的远程运维页面，并控制所述数据处理系统对目标运维资产做出运维具体操作。
8.所述一种基于物联网的便携式运维网关，其中，运维资产的物理信息包括场站名称、场站区域位置、物理地址。
9.所述一种基于物联网的便携式运维网关，其中，任务信息包括：任务名称、任务负责人、参与人、运维资产、任务描述、任务开始时间和结束时间。
10.所述一种基于物联网的便携式运维网关，其中，所述运维模块设有多种连接协议代理，并根据运维任务、运维资产及对应的运维规则对目标运维资产进行运维；所述运维模块支持tcp、udp、ssh、telnet、vnc、rdp、rs232协议连接运维。
11.所述一种基于物联网的便携式运维网关，其中，所述数据处理系统还包括高危指令模块、审计模块和系统管理模块，所述高危指令模块设有命令行的危险指令，以及危险指令对应的执行策略，当目标的运维资产出现所述高位指令模块内的危险指令，所述运维模块调取所述高位指令模块内与该危险指令对应的执行策略，执行该危险指令对应的执行策略；所述审计模块用于记录运维过程中对目标运维资产的所有指令，生成审计日志；所述系统管理模块用于管理用户以及系统设置。
12.所述一种基于物联网的便携式运维网关，其中，所述的危险指令，以及危险指令对应的执行策略可以通过所述输入单元进行编辑，危险指令对应的执行策略包括行为阻断、会话阻断、二次授权。
13.所述一种基于物联网的便携式运维网关，其中，所述审计日志包括运维过程中生产的审计视频。
14.所述一种基于物联网的便携式运维网关，其中，用户管理包括对创建用户、创建角色、创建组织机构，并对用户进行角色分配和组织机构分配；系统设置包括系统升级、全局配置。
15.所述一种基于物联网的便携式运维网关，其中，所述监测终端包括非法外设检查模块、网络外联检查模块和病毒查杀模块，所述非法外设检查模块用于检测所述运维电脑是否有非法外设，所述网络外联检查模块用于检测所述运维电脑是否网络外连，所述病毒查杀模块用于检测所述运维电脑是否包括病毒。
16.(三)有益效果：本发明提供一种基于物联网的便携式运维网关，不仅在检修过程当中做到对运维资产实时防护，防止病毒对电力设备产生影响，同时对整个运维过程进行数字化信息处理，实现了电力设施在运维过程中的流程化控制、集中化管理、综合性分析。
附图说明
17.图1是本发明一种基于物联网的便携式运维网关步骤示意图；图2是本发明一种基于物联网的便携式运维网关实施例一示意图；图3是本发明一种基于物联网的便携式运维网关实施例二示意图。
具体实施方式
18.下面结合优选的实施例对本发明做进一步详细说明，在以下的描述中阐述了更多
的细节以便于充分理解本发明，但是，本发明显然能够以多种不同于此描述的其他方式来实施，本领域技术人员可以在不违背本发明内涵的情况下根据实际应用情况作类似推广、演绎，因此不应以此具体实施例的内容限制本发明的保护范围。
19.附图是本发明的实施例的示意图，需要注意的是，此附图仅作为示例，并非是按照等比例的条件绘制的，并且不应该以此作为对本发明的实际要求保护范围构成限制。
20.一种基于物联网的便携式运维网关是对变电站内的目标运维资产进行运维、监控，目标运维资产包括变电站内的路由器、交换机、系统服务器、以及电力系统特有的设备等设备。目标运维资产的运维过程本质上是对网络、服务器、服务的生命周期各个阶段的运营与维护，使其在成本、稳定性、效率上达成一致可接受的状态。
21.一种基于物联网的便携式运维网关包括网关主体和监测终端，所述监测终端与运维电脑连接，所述网关主体分别与所述运维电脑、运维资产连接。所述检测终端与所述运维电脑相连接后，运维电脑和网关主体均可以通信至目标运维资产，构建一个对运维电脑、网关主体和目标运维资产实现互联互通互信的局域网，实现整个运维过程的实时监控。所述监测终端可以通过所述运维电脑的usb接口连接，所述网关主体通过网络电缆或者串行接口与所述运维电脑、所述运维资产连接，每一个变电站的运维资产处于一个内部网络环境。比如，所述检测终端为usbkey的硬件设备，内置agent安全检测软件，所述监测终端直接插入所述运维电脑的usb接口上运行；所述运维电脑和所述网关主体使用网线连接，网关上的eth0网口与运维电脑直连；网关主体的eth1网口和运维资产使用网线直接连接，或者与运维资产所在网络的交换机直连。每一次运维操作都是针对某一个变电站的某些资产或全部资产进行的。所述运维电脑可以是笔记本电脑或者pc客户端。
22.所述网关主体包括显示单元、存储单元、电源单元、处理器单元和输入单元，显示单元、存储单元、电源单元、输入单元分别与所述处理器单元连接。所述显示单元用于显示运维操作的流程以及其他需要呈现给管理员的文件，所述存储单元用于存储所述输入单元输入或导入的信息，以及运维过程的操作日志，所述电源单元为所述网关主体提供电能，保证所述网关主体的使用，所述处理器单元用于实现数据处理系统对目标运维资产的运维操作，所述处理器单元可以包括一个处理器也可以包括多个处理器，这里不做具体限制。
23.所述网关主体包括数据处理系统，所述数据处理系统为目标运维资产创建运维任务，并实现运维操作，具体包括管理与配置内存、决定数据处理系统资源供需的优先次序、控制输入设备与输出设备、操作网络与管理文件等基本事务。
24.所述数据处理系统包括变电站模块、任务模块、规则模块、资产模块、运维模块、高危指令模块、审计模块和系统管理模块。在变电站模块、任务模块、规则模块、资产模块相互联系下可以对目标运维资产进行运维，运维过程中审计模块将运维操作会生成审计日志和审计视频。
25.所述变电站模块用于录入或导入变电站运维资产的物理信息，具体包括场站名称、场站区域位置、地址等物理信息。后续运维过程围绕该变电站的资产进行运维具体任务的设定和运维。
26.所述任务模块用于创建或导入运维任务信息；所述任务模块创建或导入的任务信息包括：任务名称、任务负责人、参与人、运维资产、任务描述、任务开始时间和结束时间。
27.所述变电站模块通过输入单元录入变电站运维资产的物理信息，所述任务模块通
过输入单元创建运维任务信息。
28.所述规则模块包括每个资产对应的运维规则，用于确定运维资产对应的运维规则，可以是sftp权限，具体包括限制对运维资产的访问权、运维资产的连接方式(账户密码)、是否允许上传下载文件、是都允许复制粘贴等等。
29.所述资产模块实现对运维资产的运维管理，所述资产模块中包括运维资产的属性信息，比如：运维资产的ip地址、mac地址、操作系统类似等等。运维资产的属性信息可以直接录入资产模块，也可以批量导入资产模块。
30.所述运维模块根据运维方式调取所述规则模块的运维规则，并对目标运维资产进行远程运维操作。所述运维模块包括多种协议的远程代理模式的运维，具体协议包括tcp、udp、ssh、telnet、vnc、rdp、rs232协议。
31.所述运维模块还可以对网关主体与运维资产的连接状态、网关主体与运维电脑的连接状态进行实时监控，当网关主体与运维资产的连接，或网关主体与运维电脑的连接处于非连通状态时，所述运维模块通过所述显示单元显示断开连接的警告。
32.所述变电站模块、所述任务模块一般是管理员提前录入或创建完成的，所述规则模块、所述资产模块可以是管理员提前录入完成，也可以是现成进行录入配置，这里不做具体限制。
33.所述高危指令模块设有命令行的危险指令，以及危险指令对应的执行策略，当目标的运维资产出现所述高位指令模块内的危险指令，所述运维模块调取所述高位指令模块内与该危险指令对应的执行策略，执行该危险指令对应的执行策略。所述的危险指令，以及危险指令对应的执行策略可以通过所述输入单元进行编辑，包括增加、修改和删除等。危险指令对应的执行策略可以是行为阻断、会话阻断或者二次授权，也可以是其他执行策略，这里不做具体限制。
34.所述审计模块用于记录运维过程中对目标运维资产的所有指令，生成审计日志，以供管理员进行查看审计，管理员也可以对操作日志进行导出。操作日志包括登陆、登出、运维资产、运维中输入的指令、运维中的安全监测、运维中安全监测的结果、运维中上传/下载的文件等所述数据处理系统的所有操作。
35.记录的操作日志还包括审计视频，在运维过程中，所述审计模块还可以对整个显示单元进行录屏，获取审计视频，以作为视频指证。
36.所述系统管理模块用于管理用户以及系统设置。用户管理包括对创建用户、创建角色、创建组织机构，并对用户进行角色分配和组织机构分配。
37.系统设置包括系统升级、全局配置，系统升级可以支持系统的自动升级。全局配置可以设置用户的账号密码输入指定次数后，账号锁定，锁定包括锁定次数、锁定时长；可以设置初始化用户的默认密码，避免用户的默认密码长期使用，并对默认进行强制修改，具体包括默认使用次数、默认使用时长等。
38.所述网关主体为实体物理机，可以是三防加固笔记本电脑，也可以是平板电脑等其他具有连接网口、其他连接串口的智能终端。
39.所述运维电脑远程显示所述数据处理系统的运维界面，并控制所述数据处理系统对目标运维资产做出运维具体操作，比如运维操作的开始/停止/结束等。
40.所述监测终端用于检测所述运维电脑的运行环境，保证运维电脑安全环境，运维
电脑安全监测正常，是网关主体和运维资产整个通讯正常连接的前提。所述监测终端包括非法外设检查模块、网络外联检查模块和病毒查杀模块，分别用于检测所述运维电脑是否有非法外设、是否网络外连、文件是否包括病毒。当所述监测终端监测到运维电脑的运行环境内不安全，比如运维电脑内设有非法外设，或者网络外联，或者包括病毒时，所述监测终端控制所述运维电脑与所述网关主体断开连接，此时所述监测终端则与目标运维资产断开连接，避免运维操作在不安全的状态下进行。
41.所述监测终端可以是存储有运维软件的小型存储设备，比如外接u盘，也可以是安装在所述运维电脑操作系统的运维软件，比如安装版agent软件，这里不做具体限定。所述的小型存储设备可以是u盘。所述运维软件可以是agent。
42.所述检测终端与运维电脑连接后，显示所有的运维界面，并且可以对运维电脑进行安全监测，确保运维电脑安全无毒。所述非法外设检查模块、所述网络外联检查模块和所述病毒查杀模块是运维电脑连接至目标运维资产时，保证整个运维过程正常进行的必要检测手段。
43.下面结合本发明一种基于物联网的便携式运维网关优选的实施例进行详细说明。
44.实施例一：如图2所示，一种基于物联网的便携式网关包括检测终端、运维电脑、网关主体。所述监测终端为包括agent的u盘，所述监测终端查在所述运维电脑的usb接口上，所述运维电脑包括笔记本电脑和pc客户端两种。所述运维电脑和所述网关主体连接，所述网关主体设有数据处理系统。
45.在运维工作开始之前应该使用网络电缆或串行接口对运维电脑、网关主体和内部网络进行连接。所述监测终端的agent，对运维电脑进行违规外设检查、非法外联检测和本地病毒查杀检测，确保所述运维电脑安全无毒。
46.数据处理系统和网络控制行为集成在网关主体内，所述数据处理系统包括变电站模块、任务模块、规则模块、资产模块、运维模块、高危指令模块、审计模块和系统管理模块等。
47.所述网关主体提供两种运维模式：普通运维和紧急运维模式。
48.普通运维模式中变电站模块、任务模块、规则模块、资产模块是可以进行运维任务的充分必要条件，首先建立相应运维变电站的信息；然后导入目标运维变电站的运维资产信息；创建或导入运维任务信息，包括：任务名称、任务负责人、参与人、运维资产、任务描述、任务开始时间和结束时间等，以及资产对应的运维规则，其中规则支持tcp、udp、ssh、telnet、vnc、rdp、rs232协议的运维。
49.紧急运维模式是在目标运维资产出现某种紧急事务需要进行的某种紧急运维，在紧急运维模式下网关主体与运维电脑、目标运维资产直接通过处于同一网段来实现。
50.此时运维操作不依赖于变电站模块、任务模块、规则模块、资产模块，具体说，所述规则设置模块设有紧急运维账户，运维人员通过紧急运维码进入紧急运维账户，紧急运维账户可以永久生效，为了防止账户丢失，可以进行不定时更新。
51.紧急运维账户默认创建目标运维资产同网络的所有资产的运维权限，仅支持tcp、upd协议的运维行为；最后开启该任务即可进行对检修目标进行相应的运维处理。
52.运维结束后，审计员对运维全过程进行行为审计，包括违规外设日志、恶意代码病
毒、违规外联、全运维过程视频取证、下装文件、指令审计和检修日志，分别在日志层面和视频记录层面对整个运维过程进行了全方位的记录。系统管理模块用于对网关主体的运行方式进行设置，包括运维人员、角色权限等控制。这样简便了进行运维工作的过程，同时增强了网关操作对数据信息同步带来的智能化运维的优势。
53.实施例二：如图3所述，一种基于物联网的便携式网关使用包括agent u盘的监测终端运行在运维电脑上，所述运维电脑与网关主体连接，所述网关主体与运维资产连接。
54.所述监测终端包括非法外设检查模块、网络外联检查模块、病毒查杀模块和运维管理模块。所述非法外设检查模块、网络外联检查模块、病毒查杀模块实现对非法外联设备检测、非法外联网络检测和本地文件系统病毒查杀，确保整个运维环境的安全性。所述运维管理模块对运维过程进行操作和实时监控，运维人员通过运维管理模块对网关主体的数据处理系统进行设置，控制运维任务的启动与停止；运维人员不再通过网关主体对运维任务进行设置和操作。
55.此时监测终端需在运维电脑安装运行，并将所有安全监测结果，以及运维过程在所述运维电脑上进行显示，对整个运维过程进行实时视频记录，方便审计人员对运维任务进行全方位的监控，此时管理员可以通过所述运维电脑对运维操作进行控制，所述网关主体将管理员通过运维电脑输入的运维操作命令传输给目标运维资产，实现目标运维资产的运维操作。
56.在实施例二中，所述数据处理系统中各个模块的具体操作，依靠所述监测终端实现，具体包括启动/停止服务、参数设置、数据通信、数据保存入库、兼容多种设备、工作日志。启动/停止服务用于启动运维资产整个系统的设备；参数设置用于对计算机服务器模块及报警模块进行参数设置，使整个装置能够按照需求平稳运行；数据通信用于接收数据；故障诊断算法分析，用于将设置好的系统故障转换成可读信息，当远程设备出现故障时及时将故障信息整理出来，并传输到系统日志；数据保存入库用于将接收到的数据进行分类、整理后存储到计算机中；兼容多种设备，用于将网关主体与其他设备进行兼容连接；工作日志用于记录系统运行过程中的运行过程，以便客户在有问题时可以回头查看系统运行历史情况，同时使远程数据采集更加方便快捷、解决人力成本，制造成本低，且操作方便。
57.一种基于物联网的便携式运维网关，使二次检修人员所自行携带的运维电脑、网关主体和检测目标三者之间建立一个互信互通互联的专用网络，且在检修过程当中做到对检测目标实时防护，防止病毒对电力设备产生影响；网关主体可以对整个运维过程进行数字化信息处理。避免二次检修人员采用纸质文档来记录对电力设备的运维记录导致的工作繁琐易错、运维效率低下、无法对整个运维过程中产生的数据无法进行智能化分析等问题，实现了对运维过程可以进行流程化控制、集中化管理、综合性分析等方面的提升。具体说：阐述了使用该网关简便了运维工作的过程、增强了网关操作对数据信息同步带来的智能化运维的优势；实现了对运维过程可以进行流程化控制、集中化管理、综合性分析，降低运维成本；提升了继电保护设备及二次回路现场运行、检修的作业水平和管理水平。
58.实施例三：所述任务创建模块创建或导入的运维任务信息包括连通验证信息，所述连通验证信息为运维电脑、网关主体、运维资产连通时验证相互连通的运维电脑、网关主体、运维资
产是否为目标的运维电脑、网关主体、运维资产。
59.所述运维任务信息包括有三份：用于运维电脑的运维任务信息，用于网关主体的运维任务信息，和用于运维资产的运维任务信息。用于运维电脑的运维任务信息包括运维电脑对应的连通验证信息，用于网关主体的运维任务信息包括网关主体对应的连通验证信息，用于运维资产的运维任务信息包括目标运维资产对应的连通验证信息。
60.所述连通验证信息可以是一张图像，称为第一图像。运维电脑的运维任务信息、网关主体的运维任务信息、和运维资产的运维任务信息中的连通验证信息是所述任务模块将第一张图像在随机位置分离成的三张图像，分离的三张图像随机分在运维电脑的运维任务信息、网关主体的运维任务信息、和运维资产的运维任务信息中，即分离的三张图像被随机分配到运维电脑的运维任务信息、网关主体的运维任务信息、和运维资产的运维任务信息中。
61.当运维电脑的运维任务信息、网关主体的运维任务信息、和运维资产的运维任务信息中连通验证信息组合时，三张分离的图像组成连通验证信息的原图：第一图像，则验证通过，所述运维电脑、网关主体、目标运维资产连通。
62.当运维电脑的运维任务信息、网关主体的运维任务信息、和运维资产的运维任务信息中连通验证信息组合时，所述网关主体的数据处理系统的任务模块对三张分离的图像进行组合后，与第一图像进行对比验证，当三张分离的图像不能组成连通验证信息的原图：第一图像，则验证失败，网关主体拒绝运维电脑、目标运维资产的连接，从而达到任务连接的目的，拒接非法连接，防止非管理员、非运维人员非法连接。
63.所述网关主体的数据处理系统存储有多种不同风格的图像，以及多种图像分割方式，包括撕裂分割、直线分割、曲线分割、以及不同分割图形等，管理员可以对数据处理系统存储的图像进行定期更新，防止非法获取图像后，通过轮询调用方式对连通信息的第一图像进行比对。
64.所述运维电脑包含分离图像的运维任务信息、目标运维资产包含分离图像的运维任务信息可以通过外接储存分别导入运维电脑和目标运维资产，这里不做具体限制。
65.以上内容是对本发明创造的优选的实施例的说明，可以帮助本领域技术人员更充分地理解本发明创造的技术方案。但是，这些实施例仅仅是举例说明，不能认定本发明创造的具体实施方式仅限于这些实施例的说明。对本发明创造所属技术领域的普通技术人员来说，在不脱离本发明创造构思的前提下，还可以做出若干简单推演和变换，都应当视为属于本发明创造的保护范围。