一种过程层隔离装置配置方法与流程

1.本发明涉及一种过程层隔离装置配置方法，属于智能变电站控制方法技术领域。


背景技术：

2.随着智能变电站的普及和变电站网络安全重要性的日益提高，变电站过程层网络的安全性问题也逐渐显现。传统变电站的网络安全主要考虑站控层网络或调度数据网的网络安全，但是过程层网络的安全却往往被忽视。事实上，作为最接近一次设备的网络，过程层网络直接影响了数据的采集和控制，如果过程层网络被入侵，影响重大。
3.过程层网络的主要风险，来自于站外配网过程层网络和站内的互联。由于站外网络暴露和被攻击的可性能性较大，站外网络接入站内的安全性需要谨慎考虑。而工程人员往往缺乏专业的知识来对过程层隔离装置进行深入的配置，现场工作的效率或安全性受到了影响。
4.上述问题是本领域技术人员急需要解决的问题。


技术实现要素：

5.目的：为了克服现有技术中存在的不足，本发明提供一种过程层隔离装置配置方法，考虑到变电站中有全站模型的scd文件，通过对scd模型中有效goose/sv数据流的提取，并匹配过程层隔离装置的流量信息，获得过程层隔离装置的白名单配置，提高了变电站运维管理的效率和准确性。
6.技术方案：为解决上述技术问题，本发明采用的技术方案为：一种过程层隔离装置配置方法，包括如下步骤：步骤1，将变电站的scd模型导入过程层隔离装置。
7.步骤2，从scd模型中提取有效的goose/sv数据流，数据流属性包括：目的mac地址、报文类型、虚拟局域网id、应用标识、goose控制块/smv控制块。
8.步骤3，将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探，从流量中提取goose/sv连接。
9.步骤4，对步骤3中提取的goose/sv连接匹配步骤2中有效的goose/sv数据流并生成白名单配置，对未匹配到的数据流进行告警。
10.优选的，步骤1中，变电站的scd模型包含了全站需要通过goose/sv通信的装置的模型。
11.优选的，所述导入过程层隔离装置的方式包括：通过过程层隔离装置的web配置界面导入，或者是将scd模型拷贝在移动存储器中通过装置的usb接口导入装置固定目录。
12.优选的，步骤2具体包括：通过匹配communication标签下，subnetwork标签中属性为“iecgoose”或“smv”来获得有效的goose/sv数据流的目的mac地址、报文类型、虚拟局域网id、应用标识。
13.优选的，步骤2具体包括：通过匹配ied标签下，gsecontrol标签来获得有效的
goose数据流的goose控制块属性。
14.优选的，步骤2具体包括：通过匹配ied标签下，smv和sampledvaluecontrol标签来获得有效的sv数据流的smv控制块属性。
15.优选的，步骤3中从流量中提取的goose/sv连接的属性包括：源mac地址、目的mac地址、报文类型、虚拟局域网id、应用标识、goose控制块/smv控制块、流量入接口和流量出接口。
16.优选的，所述步骤4的中的具体匹配方法为：将嗅探到的goose/sv连接，与步骤2中的有效goose/sv数据流进行逐个属性的对比；若匹配成功，则形成一条白名单配置。
17.优选的，所述步骤4中的匹配若没有成功，则未匹配到的数据流进行告警。告警方式可以是syslog方式或snmp方式。
18.有益效果：本发明提供的一种过程层隔离装置配置方法，能够减少现场的配置工作，提高了变电站运维管理的效率和准确性。
附图说明
19.图1为本发明方法的流程示意图。
具体实施方式
20.下面结合具体实施例对本发明作更进一步的说明。
21.本技术中的相关技术用语解释如下：scd（substation configuration description）变电站配置描述communication通信。
22.goose(generic object oriented substation event)面向通用对象的变电站事件。
23.sv(sampled value)采样值。
24.smv(sampled measured value)采样测量值。
25.subnetwork子网。
26.ied 智能电子设备。
27.apname（access point name）访问点名称。
28.本技术的一种过程层隔离装置配置方法实施例，如图1所示，包括如下步骤：s100，将变电站的scd模型导入过程层隔离装置。
29.这里的scd模型包含了全站需要通过goose/sv通信的装置的模型。导入方法可以选择通过过程层隔离装置的web配置界面导入，或将scd模型拷贝在移动存储器中通过装置的usb接口导入装置固定目录。
30.s200，从scd模型中提取有效的goose/sv数据流。
31.scd模型为标准的xml格式，通过匹配communication标签下，subnetwork标签中属性为“iecgoose”或“smv”来获得有效的goose/sv数据流的目的mac地址、报文类型、虚拟局域网id、应用标识。
32.scd实例中相关内容举例如下：《communication》
ꢀꢀꢀꢀ
《subnetwork desc="" name="procesegoose" type="iecgoose"》
ꢀꢀꢀꢀꢀꢀ
《connectedap apname="g1" desc="过程层goose" iedname="pcsda2"》
ꢀꢀꢀꢀꢀꢀꢀꢀ
《gse cbname="go_gcb1" ldinst="pigo"》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《address》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《p type="mac-address"》01-0c-cd-01-02-1b《/p》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《p type="vlan-id"》000《/p》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《p type="appid"》0211《/p》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《p type="vlan-priority"》4《/p》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《/address》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《mintime multiplier="m" unit="s"》2《/mintime》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《maxtime multiplier="m" unit="s"》5000《/maxtime》
ꢀꢀꢀꢀꢀꢀꢀꢀ
《/gse》
ꢀꢀꢀꢀ
《subnetwork desc="" name="procesesmv" type="smv"》
ꢀꢀꢀꢀꢀꢀ
《connectedap apname="m1" desc="smv服务功能" iedname="pcsassist"》
ꢀꢀꢀꢀꢀꢀꢀꢀ
《smv cbname="smvcb1" ldinst="musv"》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《address》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《p type="mac-address"》01-0c-cd-04-40-04《/p》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《p type="vlan-id"》000《/p》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《p type="vlan-priority"》4《/p》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《p type="appid"》4004《/p》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《/address》
ꢀꢀꢀꢀꢀꢀꢀꢀ
《/smv》可以看到goose/sv数据流，且有目的mac地址、vlan-id、appid。
33.《gsecontrol appid="pcsassistpigo/lln0.gocb0" confrev="1" datset="dsgoose21" desc="" name="gocb0" type="goose"/》可以看到goose数据流的datset（上面的datset）, goid（上面的appid）。
34.《sampledvaluecontrol confrev="1" datset="dssmv1" multicast="true" name="smvcb1" nofasdu="1" smprate="80" smvid="pcsassistmusv/lln0.smvcb1"》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《smvopts refreshtime="false" samplerate="false" samplesynchronized="true" security="false"/》
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
《/sampledvaluecontrol》可以看到sv数据流的svid（上面的smvid）。
35.依此类推，将符合要求的参数全部提取出来。
36.s300，将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探，从流量中提取goose/sv连接；从流量中提取的goose/sv连接属性包括：源mac地址、目的mac地址、报文类型、虚拟局域网id、应用标识、goose控制块/smv控制块、流量入接口和流量出接口。
37.例如此时过程层隔离装置获得了两个通信对：
（1）源mac地址b4:4c:c4:02:22:24, 目的mac地址01:0c:cd:01:02:1b，报文类型0x88b8（goose报文），虚拟局域网id为0x00，应用标识0x0211，goose控制块属性包括：datset为dsgoose21、goid为pcsassistpigo/lln0.gocb0，流量入接口eth0，流量出接口eth1。
38.（2）源mac地址b4:4c:c4:02:22:24, 目的mac地址01:0c:cd:04:40:04，报文类型0x88ba（sv报文），虚拟局域网id为0x00，应用标识0x4004，smv控制块属性包括：smvid为pcsassistmusv/lln0.smvcb2，流量入接口eth0，流量出接口eth1。
39.s400，对步骤s300中提取的goose/sv连接匹配步骤s200中有效的goose/sv数据流并生成白名单配置，对未匹配到的数据流进行告警。告警方式可以是syslog方式或snmp方式。
40.此处的匹配方式为属性的逐一匹配，未能匹配的属性包括：源mac地址，流入接口和流出接口。这几个属性可以直接按照实际获得的值来填入白名单。除非装置有对这些属性的控制，如mac地址绑定等，否则不对其进行额外的判断。
41.根据上例生成一条goose流的白名单，sv流由于smvid不匹配产生告警，告警既可以在本地查询得到，也可以通过syslog或snmp发送到远端集中管理服务器，由运维人员进行进一步的判断。
42.以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。