一种基于电力现货交易业务场景下的数据跨区安全传输方法及系统与流程

1.本发明涉及电力监控技术领域，尤其涉及一种基于电力现货交易业务场景下的数据跨区安全传输方法及系统。


背景技术：

2.随着生产力的大力发展，电力调度的自动化系统也慢慢成为电网的重要组成部分，电力调度的自动化系统的应用系统越来越多，各服务、系统之间的数据通信将越来越紧密，这使人们对电力调度自动化系统的安全性要求越来越严格。
3.根据《全国电力二次系统安全防护总体方案》要求，将调度数据网分为生产控制大区与管理信息大区，生产控制大区又分为安全1区(即为实时控制区)和安全ii区(即为非控制生产区)，管理信息大区又分为安全iii区(即为生产管理区)和安全iv区(即为管理信息区)，从横向角度来说，为了强化安全区之间的隔离，应采用不同强度的网络安全设备(如硬件防火墙及正向、反向电力专用安全隔离装置等)，使各安全区中的业务系统得到有效的保护。安全i区与安全ii区之间采用硬件防火墙进行隔离；生产控制大区(安全i、ii区)与管理信息大区(安全iii、iv区)之间采用电力专用隔离装置进行隔离，并严格限制数据的流向；从安全i、ii区往安全iii区单向传输信息须采用正向隔离装置，由安全iii区往安全i、ii区的单向数据传输必须采用反向隔离装置。安全iii区与安全iv区之间采用硬件防火墙进行隔离。从通信和数据传输角度看，物理隔离装置单向传输的特点，使跨区数据交换必须遵循物理隔离装置数据传输方式，内网到外网(正向)的数据交换通常采用文件传输和数据库传输方式，从外网到内网(反向)的数据交换只能以纯文本文件的格式经过加密和认证之后传输。
4.在安全i区到安全iii区通信方法中，大多无法满足实时数据的可靠性要求，受国家安全规范限制只能通过正向隔离装置向iii区发送数据，反向只能返回一比特数据，表示报文接收状态，但报文接收成功不代表iii区应用成功处理报文内容。实时数据有很强的时效性和前后关联性，如报文处理错误又不能重新转发，则导致iii区系统因数据不全而出现故障。以往补救措施是定期将i区数据库中数据同步到iii区，保证两边数据一致，此方法时效性较差，不能保证及时发现问题补发数据，同时全同步数据流量大，影响其他实时数据传输，当系统数据规模比较大时问题更加突出，可能造成短时间网络拥塞，从而致使新数据丢失情况发生，产生恶性循环。


技术实现要素：

5.本发明的目的是提供一种基于电力现货交易业务场景下的数据跨区安全传输方法及系统，实现各安全区数据及时交互，增强安全性与可靠性，让各安全区间数据交互更方便、安全与快速，同时提高电力调度效率，保证电网高效生产。
6.本发明为实现上述发明目的采用如下技术方案：
7.本发明提供了一种基于电力现货交易业务场景下的数据跨区安全传输方法，包括：
8.获取信息内网发出的电力现货交易业务数据；
9.将获取的电力现货交易业务数据依次通过隔离缓冲区及新一代反向隔离装置，传输至安全ii区。
10.进一步地，将获取的电力现货交易业务数据通过防火墙向隔离缓冲区传输。
11.进一步地，所述隔离缓冲区内部署跨区传输服务器，用于实现系统跨区传输数据的接收与转发。
12.进一步地，所述跨区传输服务器部署可信验证模块，用于实现对操作系统、应用程序的可信引导和验证。
13.进一步地，所述安全ⅱ区部署有业务数据接收端；
14.所述业务数据接收端部署有可信验证模块，用于实现对操作系统、应用程序的可信引导和验证；
15.所述业务数据接收端部署有防恶意代码客户端，用于实现对接收数据的病毒检查，防止业务数据携带病毒。
16.进一步地，所述信息内网发出的电力现货交易业务数据由信息外网经过内外网逻辑强隔离装置存储到所述信息内网。
17.进一步地，所述信息内网发出电力现货交易业务数据前，调用部署在信息内网的加密机对电力现货交易业务数据进行加密。
18.进一步地，所述新一代反向隔离装置预先导入业务系统的公钥证书；
19.业务系统对发送的数据包进行签名，由新一代反向隔离装置发送端进行验签，对验签失败的数据包进行丢弃，并返回数据发送失败原因。
20.进一步地，所述新一代反向隔离装置发送端针对数据传输失败提供不同返回值进行原因说明，提示业务系统需要对发送失败的数据进行重新传输。
21.进一步地，所述新一代反向隔离装置发送端对接收到的电力现货交易业务数据，判断序列号有无重复或递减，如重复或递减，则对电力现货交易业务数据进行丢弃。
22.本发明提供了一种基于电力现货交易业务场景下的数据跨区安全传输系统，包括：
23.获取模块：用于获取信息内网发出的电力现货交易业务数据；
24.传输模块：用于将获取的电力现货交易业务数据依次通过隔离缓冲区及新一代反向隔离装置，传输至安全ii区。
25.本发明提供了一种基于电力现货交易业务场景下的数据跨区安全传输方法，包括：
26.获取安全ii区发出的电力现货交易业务数据；
27.将获取的电力现货交易业务数据依次通过新一代正向隔离装置及隔离缓冲区，传输至信息内网。
28.本发明提供了一种基于电力现货交易业务场景下的数据跨区安全传输系统，包括：
29.获取模块：用于获取安全ii区发出的电力现货交易业务数据；
30.传输模块：用于将获取的电力现货交易业务数据依次通过新一代正向隔离装置及隔离缓冲区，传输至信息内网。
31.本发明的有益效果如下：
32.本发明通过隔离缓冲区的设立，通过数据不落地的处理方式，将电力现货交易业务数据在信息内网与安全ii区之间正向、反向安全传输，防止数据在传输过程中被窃取、被篡改，保障了交易数据的机密性、完整性，构建了适用于电力现货交易业务数据跨区安全传输通道，为跨区数据安全传输提供方案。
附图说明
33.图1是本发明实施例所提供的一种基于电力现货交易业务场景下的数据跨区安全传输方法的整体流程示意图；
34.图2是本发明实施例所提供的一种基于电力现货交易业务场景下的数据跨区安全传输方法中信息内网向安全ii区传输数据过程图；
35.图3是本发明实施例所提供的一种基于电力现货交易业务场景下的数据跨区安全传输方法中信息外网向安全ii区传输数据过程图；
36.图4是本发明实施例所提供的一种基于电力现货交易业务场景下的数据跨区安全传输方法中安全ii区向信息内网传输数据过程图；
37.图5是本发明实施例所提供的一种基于电力现货交易业务场景下的数据跨区安全传输方法中隔离缓冲区部署架构图；
38.图6是本发明实施例所提供的一种电力现货交易系统数据安全防护策略图。
具体实施方式
39.为更进一步阐述本发明所采取的技术手段及取得的效果，下面结合附图及较佳实施例，对本发明的技术方案，进行清楚和完整的描述。
40.电力现货交易系统的安全防护以关键业务场景下对关键业务数据的保护为目标，采用基于数据安全系统化建设思路、数据安全治理理念、数据安全治理框架、按照等保2.0《信息安全技术网络安全等级保护基本要求》与数据安全通用治理框架(dsg),分为5步对电力现货市场交易系统中关键业务数据进行安全防护，防护策略图如图6所示。
41.对电力现货交易关键业务场景下的数据加以保护，采取加密签名、安全存储和访问控制措施，构建出符合国家安全等级规范的数据保护组件，以防范电力现货交易敏感、关键业务数据的泄漏、被恶意窃取；同时，为保障电力现货交易系统同全国统一电力交易平台、调度自动化等外部系统间集成交互数据的安全，研究出电力现货交易业务场景的数据共享技术，通过恶意代码检测、流量分析、数据加密、可信验证等技术方法，构建出用于数据共享的安全协议。
42.阶段1：业务需求与网络安全(风险、威胁、合规性)之间平衡分析。
43.通过对电力现货省级与省间市场的业务需求调研，我们认识在交易市场成员登录、交易申报、交易结果发布及交易结果查询等关键业务场景，存在着交易数据访问、存储、传输等方面的风险。如在市场成员登录身份识别方面，存在着人员盗用账号、冒名登录风险，需要采用身份认证技术，来识别用户的真实身份；在交易申报方面，为防止申报数据在
传输、存储过程中的被窃取、被篡改等风险，需对数据进行加密传输、签名验签、加密存储等安全措施；在交易开标环节，为防止交易计算过程中的数据被篡改，需对加密存储的申报数据进行计算，可以先对加密数据解密后再进行计算，也可以直接取出加密数据直接计算，以保证取出数据后，负责出清计算人员对数据的更改风险，保证出清结果客观公正性；在交易结果发布环节，存在非法用户发布虚假信息风险，所以为了保证发布的交易结果信息真实性，对发布人进行身份的有效识别，采取签名验签、权限授予、角色访问控制方法来保证发布者身份的有效，从而确保发布信息的真实、可靠；交易结果查询，为了防止非授权用户对交易结果数据的非法访问，采取基于角色访问控制、基于属性基的访问控制方法来保障对交易结果数据的有效访问、查询与统计。
44.阶段2：数据分级分类。
45.为了避免一刀切的控制方式，使得对电力现货交易业务数据的安全管理采用更加精细的措施，使数据在共享使用和安全使用之间获得平衡，以电力现货交易关键业务场景数据安全防护需求为基础，提出了适用于电力现货交易数据安全治理的分类原则和分级方式：
46.(1)数据分级分类的原则：
47.分类：依据数据的来源、内容和用途对数据进行分类；
48.分级：按照数据的价值、内容敏感程度、影响和分发范围不同对数据进行敏感级别划分。
49.(2)数据分级分类方式
50.根据梳理出的备案数据资产，进行敏感数据的自动探测，通过特征探测定位敏感数据分布在哪些数据资产中；
51.针对敏感的数据资产进行分级分类标记，分类出敏感数据所有者(部门、系统、管理人员等)；
52.根据已分类的数据资产由业务部门进行敏感分级，将分类的数据资产划分公开、内部、敏感等不同的敏感级别。
53.下面是电力现货交易对数据分级分类的结果，以数据敏感性为维度，对交易数据进行分类分级，根据划分结果，对不同类别不同安全等级数据执行不同的安全措施。
54.[0055][0056]
阶段3：数据安全防护策略。
[0057]
以电力行业数据安全防护标准为依据，形成各类各级数据的安全防护策略，通过分类分级保护制度来加强对数据的保护，针对不同的敏感数据级别，可以制定相应的数据保护的策略，比如说针对上述市场成员注册信息等敏感数据，我们采用严格的访问控制机制，但是对于如申报数据等机密数据，我们采用签名/验签、加解密的防护策略，构建覆盖内外部数据交互需求的电力现货交易系统数据安全防护体系。防护方案涉及边界安全、系统本体安全、跨区传输安全、安全监测等方面。
[0058]
阶段4：数据安全控制
[0059]
研究数据加密、数据审计与保护、身份识别与访问控制及用户行为分析技术，完成交易数据的安全控制，形成安全控制点。如在交易申报、交易结果查询等业务场景形成安全控制点，通过用户角色、用户属性等特征控制其访问、操作行为。
[0060]
阶段5：数据安全策略同步
[0061]
依据阶段3中的基于数据分级分类管理模式，并根据业务需求，调整我们的数据安全策略，以实现现货业务需求与防护策略的同步更新、适应。
[0062]
隔离缓冲区建设
[0063]
隔离缓冲区内部采用独立组网方式，不与安全ⅲ区其它网络直接相连，缓冲区提供信息内网与安全ii区间的数据交互服务，以反向传输为例，基于隔离缓冲区传输交易数据过程，如图1所示。
[0064]
边界安全
[0065]
隔离缓冲区与安全ⅱ区之间业务通信，边界部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，部署的新一代反向隔离装置实现数据传输“不落地”，保证了传输的安全性、高效性。同时，为了确保数据传输高效性，结合现场网络冗余架构，横向隔离
装置组成阵列部署方式，提升数据传输可靠性与安全性；隔离缓冲区与信息内网之间应部署边界防火墙，实现网络间的逻辑隔离。
[0066]
系统本体安全
[0067]
隔离缓冲区内部署跨区传输服务器用于实现系统跨区传输数据的接收与转发，跨区传输服务器部署可信验证模块，实现对操作系统、应用程序的可信引导和验证。
[0068]
在安全ⅱ区部署的业务数据接收端应部署可信验证模块，实现对操作系统、应用程序的可信引导和验证。安全ⅱ区业务数据接收端也应部署防恶意代码客户端，用于实现对接收数据的病毒检查，防止业务数据携带病毒。
[0069]
跨区传输安全
[0070]
隔离缓冲区内部署新一代正/反向隔离装置，通过取消文件在隔离缓冲区内落地机制，可实现业务数据单向、高效传输。业务数据跨区传输包括交易中心数据从信息内(外)网经由隔离缓冲区向生产控制大区传输、安全ii区现货数据经由隔离缓冲区向信息内网传输两种情况。
[0071]
本发明实施例提供的一种基于电力现货交易业务场景下的数据跨区安全传输方法，具体包括：
[0072]
(1)传输过程
[0073]
1)低安全区向高安全区传输数据
[0074]
当业务数据发送至隔离缓冲区后，可通过调用跨区传输服务器上的业务数据转发接口程序，实现自动调用新一代反向隔离装置的发送程序实现数据跨区传输。
[0075]
当业务数据从信息内网电力市场交易平台发出，经过防火墙向隔离缓冲区传输数据时，在隔离缓冲区跨区传输服务器接收业务数据(不落地)并通过新一代反向隔离装置向安全ⅱ区服务器进行数据安全传输；业务数据从信息外网经过内外网逻辑强隔离存储到信息内网数据库服务器，不经过电力市场交易平台存储直接向隔离缓冲区传输数据时，在隔离缓冲区跨区传输服务器接收业务数据(不落地)，并通过新一代反向隔离装置向安全ⅱ区服务器进行数据安全传输。
[0076]
跨区传输服务器内部署业务数据转发接口程序，实现接收交易中心发送的业务数据，并自动调用新一代反向隔离装置发送程序实现数据发送，信息内网向安全ii区传输数据过程如图2所示。
[0077]
数据从信息外网向安全ii区传输数据过程如图3所示。
[0078]
2)高安全区向低安全区传输数据
[0079]
业务数据从生产控制大区经由隔离缓冲区向信息内网进行传输时，调用正向隔离装置发送端程序实现了从安全ii区传输服务器经新一代正向隔离装置向隔离缓冲区跨区服务器传输数据的功能，数据传输过程如图4所示。
[0080]
(2)数据转发接口程序
[0081]
数据转发接口程序部署在跨区传输服务器内，用于向业务系统提供数据转发接口服务并实现自动调用新一代反向隔离装置发送端程序接口，实现数据安全、高效转发功能。
[0082]
数据转发程序由隔离厂商研发，提供初始化和数据转发接口供业务系统厂商调用。
[0083]
当业务数据从安全ii区向信息内网传输时，业务数据由安全ii区转发至隔离缓冲
区后调用数据转发接口，实现数据从隔离缓冲区传输至信息内网。
[0084]
(3)数据加密
[0085]
业务数据通过信息内网向安全ii区发送前，需要调用部署在信息内网的加密机对业务数据进行加密，然后经由隔离缓冲区数据传输。
[0086]
(4)身份认证
[0087]
为了对调用程序的身份进行校验，新一代反向隔离装置需要预先导入业务系统的公钥证书，公钥证书应由电力调度数字证书系统签发。同时，业务系统应对发送的数据包进行签名，由隔离装置发送端软件进行验签，确保数据来源的真实性，对验签失败的数据包进行丢弃，并返回数据发送失败原因。
[0088]
(5)格式校验
[0089]
新一代反向隔离装置仅允许传输e语言格式的数据，因此数据转发程序需要对业务数据进行格式校验，并对非e语言格式的业务数据进行格式转换，调用反向隔离传输服务接口，将格式转换后的业务数据发送至反向隔离装置，安全ⅱ区业务数据接收端从反向传输服务接收业务数据，再次进行解析与存储。
[0090]
(6)防重放攻击
[0091]
为防止数据传输过程中的重放攻击，通过在传输报文中增加序列号的方式，反向隔离装置发送端软件对接收到数据，判断序列号有无重复或递减，如重复或递减，则对数据进行丢弃。
[0092]
(7)完整性校验
[0093]
当业务数据从信息内网向安全ii区传输时，实现外网申报等信息由信息内网转发至隔离缓冲区内，并自动调用新一代反向隔离发送端程序传输至安全ii区。
[0094]
为保证业务系统数据传输完整性，新一代反向隔离装置发送端软件针对数据传输失败提供不同返回值进行原因说明，提示业务系统需要对发送失败的数据进行重新传输，确保了业务数据的完整性。业务数据传输失败原因包括但不限于格式校验失败、验签失败、发送端软件离线等。
[0095]
安全监测
[0096]
安全事件监测
[0097]
隔离缓冲区内部署一台网络安全监测装置，实现对隔离缓冲区内跨区传输服务器、组网交换机和可信验证模块、网络流量恶意代码监测采集装置监测到的网络安全事件进行实时采集、动态监测，并将网络安全事件上传至调控中心主站部署的网络安全管理平台，实现网络安全事件的监测预警功能。
[0098]
恶意代码监测
[0099]
隔离缓冲区内部署一台网络流量恶意代码监测采集装置，旁路采集隔离缓冲区内网络流量，并分析识别恶意代码，对网络流量中恶意代码静态样本特征和流量动态通信行为特征的分析，确保对隔离缓冲区内网络流量中包含的恶意代码进行实时监测。
[0100]
实施过程
[0101]
数据安全防护部署架构
[0102]
根据上述电力现货交易系统基于隔离缓冲区的数据安全建设方案，进行如下的设备部署，如图5所示。
[0103]
部署设备清单：
[0104]
隔离缓冲区设备清单如下：
[0105][0106]
本发明实施例提供的一种基于电力现货交易业务场景下的数据跨区安全传输系统，可用于执行前述的基于电力现货交易业务场景下的数据跨区安全传输方法，包括：
[0107]
获取模块：用于获取信息内网发出的电力现货交易业务数据；
[0108]
传输模块：用于将获取的电力现货交易业务数据依次通过隔离缓冲区及新一代反向隔离装置，传输至安全ii区。
[0109]
本发明实施例还提供的一种基于电力现货交易业务场景下的数据跨区安全传输系统，可用于执行前述的基于电力现货交易业务场景下的数据跨区安全传输方法，包括：
[0110]
获取模块：用于获取安全ii区发出的电力现货交易业务数据；
[0111]
传输模块：用于将获取的电力现货交易业务数据依次通过新一代正向隔离装置及隔离缓冲区，传输至信息内网。
[0112]
本发明提出了适用于电力现货交易系统关键业务数据的防护策略。按照等保2.0《信息安全技术网络安全等级保护基本要求》与数据安全通用治理框架(dsg),分为5步对电力现货交易系统中关键业务数据进行安全防护，防护策略包括：业务需求与网络安全(风险、威胁、合规性)之间平衡分析、数据分级分类、制定数据安全防护策略、数据安全控制及数据安全策略同步。
[0113]
提出了采用隔离缓冲区技术实现了跨安全区的数据安全传输方案。本项目通过设立隔离缓冲区，在隔离缓冲区内采用恶意代码检测、安全监视与采集、可信计算等安全措施，通过数据不落地的处理方式，将交易数据在信息内网与安全ii区之间正向、反向安全传输，防止数据在传输过程中被窃取、被篡改，保障了交易数据的机密性、完整性，构建了适用于电力现货交易业务数据跨区安全传输通道，为跨区数据安全传输提供方案。
[0114]
构建了适用于电力现货交易系统的关键业务数据分级分类体系。以电力现货交易关键业务场景数据安全防护需求为基础，以数据的来源、内容和用途对数据进行分类，并按照数据的价值、内容敏感程度、影响和分发范围不同对数据进行敏感级别划分，根据分类分级划分结果，对不同类别不同安全等级数据执行不同的安全措施，避免了一刀切的控制方式，对电力现货交易业务数据的安全管理采用更加精细的安全防护措施，使数据在共享使
用和安全使用之间获得平衡。
[0115]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0116]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0117]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0118]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0119]
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。