一种多规约多业务公网安全接入方法与流程

1.本发明涉及公网安全接入技术领域，具体涉及一种多规约多业务公网安全接入方法。


背景技术：

2.常规安全接入区主要针对单一业务、单一规约的系统，通常部署在数据采集侧，但是在风电集控系统中，集控侧及场站侧均需要进行网络安全防护，即均需要装设安全接入区系统，显然，常规的安全接入区系统不能满足上述要求。此外，安全接入区数据在通过隔离装置时需将原数据包转换成私有协议，然而风电集控业务服务器繁多且各业务服务器规约不一致等问题，常规安全接入区系统需在各业务服务器本身对业务数据进行私有规约转换，改变了原有通信协议，就会导致组网方式变得复杂。


技术实现要素：

3.解决的技术问题针对现有技术所存在的上述缺点，本发明提供了一种多规约多业务公网安全接入方法，能够有效地解决现有技术不能满足电网系统多规约多业务安全接入公网的问题。
4.技术方案为实现以上目的，本发明通过以下技术方案予以实现：一种多规约多业务公网安全接入方法，包括以下步骤：步骤（1），将电站系统按功能划分为集控中心系统和发电场设备系统；步骤（2），在所述集控中心系统中配置第一加密设备、第一业务服务器、第一数据采集服务器、第一交换机、第一负载均衡设备、第一核心防火墙、第一数据库审计系统、第一防病毒网关、第一入侵检测系统、第一公网前置服务器、第一正向隔离装置、第一反向隔离装置和第一规约转换服务器，将所述第一业务服务器和第一数据采集服务器并列式地连接到第一交换机上，将所述第一交换机连接至第一规约转换服务器的后端，在所述第一规约转换服务器的前端分别连接有呈并列式关系的第一正向隔离装置和第一反向隔离装置，将所述第一正向隔离装置和第一反向隔离装置的前端呈并列式的关系分别连接至第一公网前置服务器的后端，将所述第一公网前置服务器的前端连接至第一加密设备上，在所述第一交换机的两端均设有第一负载均衡设备，在所述第一加密设备的后端设有第一核心防火墙，在所述第一加密设备的前端设置第一防病毒网关，在所述第一业务服务器、第一数据采集服务器、第一公网前置服务器和第一规约转换服务器中均安装第一数据库审计系统和第一入侵检测系统；步骤（3），在所述发电场设备系统中配置第二加密设备、第二业务服务器、第二数据采集服务器、第二交换机、第二负载均衡设备、第二核心防火墙、第二数据库审计系统、第二防病毒网关、第二入侵检测系统、第二公网前置服务器、第二正向隔离装置、第二反向隔离装置和第二规约转换服务器，将所述第二业务服务器和第二数据采集服务器并列式地连
接到第二交换机上，将所述第二交换机连接至第二规约转换服务器的后端，在所述第二规约转换服务器的前端分别连接有呈并列式关系的第二正向隔离装置和第二反向隔离装置，将所述第二正向隔离装置和第二反向隔离装置的前端呈并列式的关系分别连接至第二公网前置服务器的后端，将所述第二公网前置服务器的前端连接至第二加密设备上，在所述第二交换机的两端均设有第二负载均衡设备，在所述第二加密设备的后端设有第二核心防火墙，在所述第二加密设备的前端设置第二防病毒网关，在所述第二业务服务器、第二数据采集服务器、第二公网前置服务器和第二规约转换服务器中均安装第二数据库审计系统和第二入侵检测系统；步骤（4），在所述第二交换机上还设有连接电站系统若干通道的通道选择模块；步骤（5），在所述通道选择模块上还并列式地连接有若干个第四加密设备，在第四加密设备的后端还设有近端路由器，在近端路由器的后端设有远端路由器，在远端路由器的后端设有第三加密设备，在第三加密设备的后端设有第三交换机，在第三交换机的后端并列式的连接有第三业务服务器和第三数据采集服务器。
5.更进一步地，所述步骤（1）中，在集控中心系统和发电场设备系统之间设有公网数据通信通道。
6.更进一步地，所述步骤（2）和步骤（3）中，所述第一规约转换服务器上还连接有控制模块；在所述第一规约转换服务器内部设有依次连接的第一指令接收模块、第一文件生成模块和第一文件发送模块；在所述第一公网前置服务器内部设有依次连接的第一文件接收模块、第一解析模块和第一指令发送模块；在所述第二公网前置服务器内部设有依次连接的第二指令接收模块、第二文件生成模块和第二文件发送模块；在所述第二规约转换服务器内部设有依次连接的第二文件接收模块、第二解析模块和第二指令发送模块。
7.更进一步地，所述控制模块生成控制指令并发送至第一指令接收模块，然后第一文件生成模块基于第一指令接收模块所接受到的控制指令生成指令文件，然后第一文件发送模块通过第一正向隔离装置将指令文件发送给第一文件接收模块，然后第一解析模块基于第一文件接收模块所接受到的指令文件生成标准规约的遥控报文，然后第一指令发送模块经第一加密装置、第二加密装置将遥控报文发送至第二指令接收模块，然后第二文件生成模块基于第二指令接收模块所接受到的遥控报文生成指令文件，然后第二文件发送模块经第二反向隔离装置将指令报文发送至第二文件接收模块，然后第二解析模块基于第二文件接收模块所接收到的指令文件进行解析并提取控制指令，最后第二指令发送模块将第二解析模块提取出的控制指令以标准规约分发至对应的设备。
8.更进一步地，所述第二文件接收模块接收外界数据，然后第二解析模块基于第二文件接收模块所接收到的指令文件进行解析并转换为私有协议，然后第二指令发送模块经第二正向隔离装置将私有协议发送至第二指令接收模块，然后第二文件生成模块基于第二指令接收模块所接受到的私有协议并转换成之前的标准协议数据，然后第二文件发送模块将标准协议数据经第一加密装置、第二加密装置发送至第一文件接收模块，然后第一解析模块基于第一文件接收模块所接受到的标准协议数据转换成私有协议，然后第一指令发送模块将私有协议经第一反向隔离装置发送至第一指令接收模块，然后第一文件生成模块基于第一指令接收模块所接收到的私有协议转换成对应的规约文件，最后第一文件发送模块将规约文件分发至对应的第一业务服务器或第一数据采集服务器。
9.更进一步地，所述步骤（5）中，远端路由器和近端路由器之间设置电网数据网通道。
10.更进一步地，所述集控中心系统和发电场设备系统中均设有堡垒机。
11.更进一步地，所述堡垒机均包含一个主力机和一个备用机。
12.有益效果采用本发明提供的技术方案，与已知的公有技术相比，具有如下有益效果：本发明通过将电站系统进行模块化分离，从而使得电站系统中各个业务服务器之间的通讯不需要单独进行数据转换，而是通过电站系统自身使用的标准通信协议实现集控中心系统和发电场设备系统之间的数据传输，此外，第二交换机上还设有连接电站系统若干通道的通道选择模块，这样使用者便可以通过通道选择模块扩展新增的业务服务器，并且通过加密设备实现双向身份验证，同时通过负载均衡设备、核心防火墙、数据库审计系统、防病毒网关和入侵检测系统对系统进行实时监控、防护和调节，从而让电网系统能够实现多规约多业务安全的接入公网。
附图说明
13.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
14.图1为本发明的控制关系连接示意图；图2为本发明中数据下传的流程图；图3为本发明中数据上传的流程图。
具体实施方式
15.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
16.下面结合实施例对本发明作进一步的描述。
实施例
17.本实施例的一种多规约多业务公网安全接入方法，参照图1-3：包括以下步骤：步骤（1），将电站系统按功能划分为集控中心系统和发电场设备系统；在集控中心系统和发电场设备系统之间设有公网数据通信通道。
18.步骤（2），在集控中心系统中配置第一加密设备、第一业务服务器、第一数据采集服务器、第一交换机、第一负载均衡设备、第一核心防火墙、第一数据库审计系统、第一防病毒网关、第一入侵检测系统、第一公网前置服务器、第一正向隔离装置、第一反向隔离装置和第一规约转换服务器，将第一业务服务器和第一数据采集服务器并列式地连接到第一交换机上，将第一交换机连接至第一规约转换服务器的后端，在第一规约转换服务器的前端
分别连接有呈并列式关系的第一正向隔离装置和第一反向隔离装置，将第一正向隔离装置和第一反向隔离装置的前端呈并列式的关系分别连接至第一公网前置服务器的后端，将第一公网前置服务器的前端连接至第一加密设备上，在第一交换机的两端均设有第一负载均衡设备，在第一加密设备的后端设有第一核心防火墙，在第一加密设备的前端设置第一防病毒网关，在第一业务服务器、第一数据采集服务器、第一公网前置服务器和第一规约转换服务器中均安装第一数据库审计系统和第一入侵检测系统。
19.步骤（3），在发电场设备系统中配置第二加密设备、第二业务服务器、第二数据采集服务器、第二交换机、第二负载均衡设备、第二核心防火墙、第二数据库审计系统、第二防病毒网关、第二入侵检测系统、第二公网前置服务器、第二正向隔离装置、第二反向隔离装置和第二规约转换服务器，将第二业务服务器和第二数据采集服务器并列式地连接到第二交换机上，将第二交换机连接至第二规约转换服务器的后端，在第二规约转换服务器的前端分别连接有呈并列式关系的第二正向隔离装置和第二反向隔离装置，将第二正向隔离装置和第二反向隔离装置的前端呈并列式的关系分别连接至第二公网前置服务器的后端，将第二公网前置服务器的前端连接至第二加密设备上，在第二交换机的两端均设有第二负载均衡设备，在第二加密设备的后端设有第二核心防火墙，在第二加密设备的前端设置第二防病毒网关，在第二业务服务器、第二数据采集服务器、第二公网前置服务器和第二规约转换服务器中均安装第二数据库审计系统和第二入侵检测系统。
20.值得注意的是：第一规约转换服务器上还连接有控制模块；在第一规约转换服务器内部设有依次连接的第一指令接收模块、第一文件生成模块和第一文件发送模块；在第一公网前置服务器内部设有依次连接的第一文件接收模块、第一解析模块和第一指令发送模块；在第二公网前置服务器内部设有依次连接的第二指令接收模块、第二文件生成模块和第二文件发送模块；在第二规约转换服务器内部设有依次连接的第二文件接收模块、第二解析模块和第二指令发送模块。
21.其中，第一核心防火墙和第二核心防火墙的功能为：对网络数据流进行细粒度（ip地址、tcp/udp端口、icmp类型等）的控制，允许合法的网络数据传递，拒绝非法网络通信；可以根据会话状态信息为数据流提供明确的允许/拒绝访问；控制端口以及对会处于非活跃一定时间内或会话结束后终止连接；限制某个ip的连接数和并发数；可以阻止非法探测和访问；屏蔽内部端口，防止来自外部网络的扫描探测和非法攻击。
22.其中，第一负载均衡设备和第二负载均衡设备作用为：对访问服务器和服务器返回的流量进行管理，通过多种静态和动态负载分担算法，把访问服务器的流量智能的分发给最佳的服务器；可以把流量逐步分配给新接入的服务器，避免服务器的某些进程还没有加载完成而导致系统资源占用过高，或者应用响应缓慢的情况，实现服务器的平滑接入；对服务器的运行状态定期进行实时检测，发现服务器故障时，把该服务器移出流量分担的队列，保证服务器的运行稳定。ssl协议的加速和卸载，极大的提升服务器的业务处理能力，不会给业务带来性能瓶颈。
23.其中，第一数据库审计系统和第二数据库审计系统的作用为：保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实时监控网络环境中的数据库操作行为、网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段；可以全面对业务系统信息资源的全局把控和调度能力；时刻监视着对重要资源的访问；当出
现安全事件后，能根据详实的审计及数据库审计记录，一步步地追查出攻击者；找出导致安全事件、性能波动的真正原因；帮助用户加强网络行为监管、满足内部控制或者外部政策等合规性要求。
24.其中，第一防病毒网关和第二防病毒网关的作用为：对网络数据流进行细粒度（ip地址、tcp/udp端口、icmp类型等）的控制，允许合法的网络数据传递，拒绝非法网络通信；可以根据会话状态信息为数据流提供明确的允许/拒绝访问；控制端口以及对会处于非活跃一定时间内或会话结束后终止连接；屏蔽内部端口，防止来自外部网络的扫描探测和非法攻击；拦截病毒攻击事件，对事件的源、目的信息逐条记录，可视化技术协助用户了解病毒攻击详情。
25.其中，第一入侵检测系统和第二入侵检测系统的作用为：实时监控网络传输，自动检测可疑行为，分析来自网络外部和内部的入侵信号，在系统受到危害前发出警告，实时对攻击做出反应，并提供补救措施，最大程度地为网络系统提供安全保障。入侵检测系统由两部分组成：探测器和安全控制中心，安全控制中心安装在服务器上，探测器是单独的硬件。探测器负责截获网络上的数据流，进行实时的协议分析，实现安全规则。安全控制中心负责控制探测器，生成安全规则，接收报警和日志信息，提供网络安全审计报告。可以监控攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓存溢出攻击、ip碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源ip，攻击类型、攻击目的、攻击时间，在发生严重入侵时提供报警；可以定期生成丰富的报表，使我们进一步了解全网安全状态；可以实时的了解当前网内的总流量，以及某一时间段的顺时流量。
26.其中，第一正向隔离装置（第二正向隔离装置）具备以下功能：1）实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；2）透明工作方式，虚拟主机ip地址、隐藏mac地址；3）基于mac、ip、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；4）支持nat；5）防止穿透性tcp连接：禁止内网、外网的两个应用网关之间直接建立tcp连接，隔离装置内外两个网卡在装置内部是非网络连接，且只允许以物理方式实现数据数据单向传输。
27.其中，第一反向隔离装置（第二反向隔离装置）除具有第一正向隔离装置（第二正向隔离装置）的所有功能，还要具有以下功能：
①
安全区iii内的数据发送端首先对需发送的数据签名，然后发给反向型专用隔离装置；
②
专用隔离装置接收数据后，进行签名验证，并对数据进行内容过滤、有效性检查等处理；
③
将处理过的数据转发给安全区i/ii内部的接收程序。
28.步骤（4），在第二交换机上还设有连接电站系统若干通道的通道选择模块。
29.步骤（5），在通道选择模块上还并列式地连接有若干个第四加密设备，在第四加密设备的后端还设有近端路由器，在近端路由器的后端设有远端路由器，在远端路由器的后端设有第三加密设备，在第三加密设备的后端设有第三交换机，在第三交换机的后端并列式的连接有第三业务服务器和第三数据采集服务器；远端路由器和近端路由器之间设置电网数据网通道。
30.值得注意的是：集控中心系统和发电场设备系统中均设有堡垒机。
31.；并且堡垒机均包含一个主力机和一个备用机，即只有当主机出现故障时，备机才会自动接管服务，从而提升电站系统运行的可靠性。
32.集控中心系统向发电场设备系统进行数据下发的过程包括以下步骤：step1，控制模块生成控制指令并发送至第一指令接收模块。
33.step 2，第一文件生成模块基于第一指令接收模块所接受到的控制指令生成指令文件。
34.step3，第一文件发送模块通过第一正向隔离装置将指令文件发送给第一文件接收模块。
35.step4，第一解析模块基于第一文件接收模块所接受到的指令文件生成标准规约的遥控报文。
36.step5，第一指令发送模块经第一加密装置、第二加密装置将遥控报文发送至第二指令接收模块。
37.step6，第二文件生成模块基于第二指令接收模块所接受到的遥控报文生成指令文件。
38.step7，第二文件发送模块经第二反向隔离装置将指令报文发送至第二文件接收模块。
39.step8，第二解析模块基于第二文件接收模块所接收到的指令文件进行解析并提取控制指令。
40.step9，第二指令发送模块将第二解析模块提取出的控制指令以标准规约分发至对应的设备。
41.发电场设备系统向集控中心系统进行数据上传的过程包括以下步骤：step1，第二文件接收模块接收外界数据。
42.step2，第二解析模块基于第二文件接收模块所接收到的指令文件进行解析并转换为私有协议。
43.step3，第二指令发送模块经第二正向隔离装置将私有协议发送至第二指令接收模块。
44.step4，第二文件生成模块基于第二指令接收模块所接受到的私有协议并转换成之前的标准协议数据。
45.step5，第二文件发送模块将标准协议数据经第一加密装置、第二加密装置发送至第一文件接收模块。
46.step6，第一解析模块基于第一文件接收模块所接受到的标准协议数据转换成私有协议。
47.step7，第一指令发送模块将私有协议经第一反向隔离装置发送至第一指令接收模块。
48.step8，第一文件生成模块基于第一指令接收模块所接收到的私有协议转换成对应的规约文件。
49.step10，第一文件发送模块将规约文件分发至对应的第一业务服务器或第一数据采集服务器。
50.在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于
描述本发明和简化描述，而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
51.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。