一种电力监控系统网络安全实验平台的制作方法

1.本发明涉及电力监控技术领域，尤其涉及一种电力监控系统网络安全实验平台。


背景技术：

2.随着网络技术的发展，网络安全的形势也越来越严峻，电力监控系统作为电力生产的重要环节，一旦遭受网络攻击将会造成重大安全事故。对此，国家经贸委、电监会、发改委等电力主管部门，先后发布了3项强制命令，推动电力监控系统安全防护体系的建立。电力企业也高度重视电力监控系统的网络安全，及时采取加强技术、管理、人力保障、资金支持等一系列措施提升电力监控系统网络安全防护水平。
3.目前，电力监控系统网络安全检测以及网络安全产品测试工作常采用实物电力监控系统或搭建最小化测试平台的方案进行。对于以上两种方案，分别存在以下问题：1、实物电力监控系统测试：测试环境搭建成本高，生产环境的关键设备不可用于测试；2、最小化测试平台：测试环境不够还原，可控制变量少，测试效果不足。


技术实现要素：

4.本发明的目的在于提供一种电力监控系统网络安全实验平台，以解决上述背景技术中提出的问题。
5.本发明是通过以下技术方案实现的：一种电力监控系统网络安全实验平台，所述平台包括电力监控仿真模块、攻击套件终端、安全防护模块、安全监测模块、调度终端，
6.所述电力监控仿真模块，用于建立仿真实物沙盘子模块，并展示仿真实物沙盘子模块在被网络攻击时的不同状态；
7.所述攻击套件终端，用于对电力监控仿真模块进行仿真网络攻击；
8.所述安全防护模块，用于提供对电力监控仿真模块的网络安全防护；
9.所述安全监测模块，用于采集电力监控仿真模块的镜像流量，并对所述镜像流量的合法性进行校验，同时还采集电力监控仿真模块、安全防护模块的日志，实现日志审计；
10.所述调度终端，用于向电力监控仿真模块传输真实的电网调度指挥指令。
11.可选的，所述电力监控仿真模块包括控制器子模块、仿真控制子模块、通信模块、实物沙盘子模块，
12.所述实物沙盘子模块，基于电力生产现场、汽轮发电机系统、升压站、变压器和电网线路等真实的生产环节建立实物沙盘，并通过实物沙盘上的模型设备的运动/停止、管道和线路的灯光变化等对比效果，展示现场设备正常运行和被攻击时的不同状态；
13.所述控制器子模块，用于根据被写入的组态程序实现控制逻辑的计算处理，接收来自仿真控制子模块的控制指令并下发到实物沙盘子模块，或接收来自实物沙盘子模块的状态反馈并上送到仿真控制子模块；
14.所述仿真控制子模块，用于将通信模块所接收的调度指令转换成被所述控制器子模块所识别的控制指令；
15.所述通信模块，用于建立与调度终端的通信链接，并接收来自调度终端的调度指令。
16.可选的，所述安全防护模块包括工业防火墙模块以及加密认证模块，所述工业防火墙模块，用于接收所有发送至通信模块的通信数据包，对所述通信数据包进行权限校验，并分析识别判断通信数据包是否为入侵数据包，所述加密认证模块，用于对所述调度终端进行认证。
17.可选的，所述加密认证子模块对所述调度终端进行认证，具体包括：所述调度终端向所述加密认证子模块发送认证信息，所述认证信息包括但不限于含终端类型字段唯一标识字符串id、终端ip地址、认证报文；
18.将所述认证信息转发至认证服务器，所述认证服务器提取唯一标识字符串id、终端ip地址、认证报文中的每个字符，并对每个字符进行二进制转换，将多个字符的二进制转化结果进行组合，并调节其中的多个“0”、“1”数字的顺序，形成新的二进制组合数串；
19.将所述新的二进制数串进行十进制转换，形成特征码，并建立所述特征码与唯一标识字符串id、终端ip地址的对应关系；
20.所述认证服务器根据所述终端ip地址将所述特征码以及服务器私钥发送至调度终端，完成认证。
21.可选的，所述调度终端在完成认证后，以特征码作为通信数据包的签名标识，并将自身的终端公钥以及服务器私钥通过dh算法计算出通信密钥，通过通信密钥对通信数据包进行加密，将加密后的通信数据包发送至通信模快。
22.可选的，对所述通信数据包进行权限校验，具体包括下列步骤：
23.工业防火墙模块在接收到加密后的通信数据包时，获取其源ip地址，将所述源ip地址发送至认证服务器进行对比，判断所述源ip地址是否与认证服务器中存储的终端ip地址一致；
24.若对比通过，认证服务器将权限合格信息、服务器私钥、特征码下发至工业防火墙模块，所述工业防火墙模块通过dh算法对所获取的服务器私钥、终端公钥进行计算，获得通信密钥。
25.可选的，工业防火墙模块通过通信密钥对加密后的通信数据包进行解密，解析出通信数据包中的特征码，将解析出的通信数据的特征码与来自认证服务器的特征码进行对比，判断二者是否一致，若一致，则所述通信数据包为合法数据。
26.可选的，所述安全监测模块包括监测审计子模块以及日志审计子模块，所述监测审计子模块，用于对经过通信模块的数据流量进行镜像处理，获得镜像流量，并对所述镜像流量进行协议分析并按照预先配置的策略判断数据的合法性，并对非法数据产生告警信息；所述日志审计子模块，用于获取来自所述控制器子模块、安全防护模块、监测审计子模块的运行日志，并对所述运行日志进行安全审计，生成审计报表。
27.可选的，对所述镜像流量进行协议分析并按照预先配置的策略判断数据的合法性，具体包括：对所述镜像流量进行协议分析获得协议分析结果，所述协议分析结果包括返回状态、协议id、大类id、承载协议id和识别方式，将协议分析结果与预先配置的策略进行对比，判断是否符合预先配置的策略要求。
28.与现有技术相比，本发明达到的有益效果如下：
29.本发明提供的一种电力监控系统网络安全实验平台，通过实物沙盘子模块、控制器子模块、仿真控制子模块、电力监控子模块相结合的方法，设计电力监控仿真模块，定制化开发攻击套件终端，结合安全防护模块、安全监测模块和电力调度终端，构建电力监控系统网络安全实验平台，为电力监控系统网络安全研究提供仿真实验环境，可以进行工控系统信息安全基础理论、安全框架、安全机制和安全技术等方面的研究和验证；支持电力监控系统网络设备、控制设备和安全设备的安全性测试及安全防护体系的验证；支持对工控网络的渗透测试及验证服务，对控制网络进行安全测试、评估和检测；解决了实物电力监控系统测试环境搭建成本高，生产环境的关键设备不可用于测试的问题；解决了最小化测试平台测试环境不够还原，可控制变量少，测试效果不足的问题。
附图说明
30.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的优选实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
31.图1为本发明提供的一种电力监控系统网络安全实验平台的结构图。
具体实施方式
32.为了使得本发明的目的、技术方案和优点更为明显，下面将参照附图详细描述根据本发明的示例实施例。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是本发明的全部实施例，应理解，本发明不受这里描述的示例实施例的限制。基于本发明中描述的本发明实施例，本领域技术人员在没有付出创造性劳动的情况下所得到的所有其它实施例都应落入本发明的保护范围之内。
33.在下文的描述中，给出了大量具体的细节以便提供对本发明更为彻底的理解。然而，对于本领域技术人员而言显而易见的是，本发明可以无需一个或多个这些细节而得以实施。在其他的例子中，为了避免与本发明发生混淆，对于本领域公知的一些技术特征未进行描述。
34.应当理解的是，本发明能够以不同形式实施，而不应当解释为局限于这里提出的实施例。相反地，提供这些实施例将使公开彻底和完全，并且将本发明的范围完全地传递给本领域技术人员。
35.在此使用的术语的目的仅在于描述具体实施例并且不作为本发明的限制。在此使用时，单数形式的“一”、“一个”和“所述/该”也意图包括复数形式，除非上下文清楚指出另外的方式。还应明白术语“组成”和/或“包括”，当在该说明书中使用时，确定所述特征、整数、步骤、操作、元件和/或部件的存在，但不排除一个或更多其它的特征、整数、步骤、操作、元件、部件和/或组的存在或添加。在此使用时，术语“和/或”包括相关所列项目的任何及所有组合。
36.为了彻底理解本发明，将在下列的描述中提出详细的结构，以便阐释本发明提出的技术方案。本发明的可选实施例详细描述如下，然而除了这些详细描述外，本发明还可以具有其他实施方式。
37.参见图1，一种电力监控系统网络安全实验平台，其特征在于，所述平台包括电力监控仿真模块、攻击套件终端、安全防护模块、安全监测模块、调度终端，
38.所述电力监控仿真模块，用于建立仿真实物沙盘子模块，并展示仿真实物沙盘子模块在被网络攻击时的不同状态；
39.所述攻击套件终端，用于对电力监控仿真模块进行仿真网络攻击；
40.所述安全防护模块，用于提供对电力监控仿真模块的网络安全防护；
41.所述安全监测模块，用于采集电力监控仿真模块的镜像流量，并对所述镜像流量的合法性进行校验，同时还采集电力监控仿真模块、安全防护模块的日志，实现日志审计；
42.所述调度终端，用于向电力监控仿真模块传输真实的电网调度指挥指令。
43.本发明公开了一种电力监控系统网络安全实验平台，通过攻击套件终端以及安全防护模块实现对电力监控系统网络的模拟攻击以及模拟防御，通过电力监控仿真模块展示现场设备正常运行和被攻击时的不同状态，让攻击效果能明显展现；可通过相应的恢复操作，让平台各设备状态恢复到正常，实现可重复的演示，方便进行工控系统信息安全基础理论、安全框架、安全机制和安全技术等方面的研究和验证。
44.具体的，所述电力监控仿真模块包括控制器子模块、仿真控制子模块、通信模块、实物沙盘子模块，
45.所述实物沙盘子模块，基于电力生产现场、汽轮发电机系统、升压站、变压器和电网线路等真实的生产环节建立实物沙盘，并通过实物沙盘上的模型设备的运动/停止、管道和线路的灯光变化等对比效果，展示现场设备正常运行和被攻击时的不同状态；
46.所述控制器子模块，用于根据被写入的组态程序实现控制逻辑的计算处理，接收来自仿真控制子模块的控制指令并下发到实物沙盘子模块，或接收来自实物沙盘子模块的状态反馈并上送到仿真控制子模块；
47.所述仿真控制子模块，用于将通信模块所接收的调度指令转换成被所述控制器子模块所识别的控制指令；
48.所述通信模块，用于建立与调度终端的通信链接，并接收来自调度终端的调度指令。
49.在本发明的一些实施方式中，其调度终端输出包含真实的调度指令或其他操作指令的通信数据包，仿真控制子模块接收上述通信数据包，并将上述通信数据包转换成被所述控制器子模块所识别的控制指令，并下发至所述控制器子模块中，控制器子模块被写入的组态程序实现控制逻辑的计算处理，接收来自仿真控制子模块的控制指令并下发到实物沙盘处，通过实物沙盘上的模型设备的运动/停止、管道和线路的灯光变化等对比效果，展示现场设备在执行调度指令或其他操作指令时的不同状态。
50.具体的，所述安全防护模块包括工业防火墙模块以及加密认证模块，所述工业防火墙模块，用于接收所有发送至通信模块的通信数据包，对所述通信数据包进行权限校验，并分析识别判断通信数据包是否为入侵数据包，所述加密认证模块，用于对所述调度终端进行认证，在认证通过后，调度终端才能向所述通信模块发送通信数据包。
51.所述加密认证子模块对所述调度终端进行认证，具体包括：所述调度终端向所述加密认证子模块发送认证信息，所述认证信息包括但不限于含终端类型字段唯一标识字符串id、终端ip地址、认证报文；
52.将所述认证信息转发至认证服务器，所述认证服务器提取唯一标识字符串id、终端ip地址、认证报文中的每个字符，并对每个字符进行二进制转换，将多个字符的二进制转化结果进行组合，并调节其中的多个“0”、“1”数字的顺序，形成新的二进制组合数串；
53.例如，多个字符的二进制转化结果进行组合的结果为“0100101001010001”，在任意调节其中的多个“0”、“1”数字的顺序，形成新的二进制组合数串可以为“1010101001010001”将所述新的二进制数串进行十进制转换，形成特征码，并建立所述特征码与唯一标识字符串id、终端ip地址的对应关系；
54.所述认证服务器根据所述终端ip地址将所述特征码以及服务器私钥发送至调度终端，完成认证。
55.所述调度终端在完成认证后，以特征码作为通信数据包的签名标识，并将自身的终端公钥以及服务器私钥通过dh算法计算出通信密钥，通过通信密钥对通信数据包进行加密，将加密后的通信数据包发送至通信模快。
56.进一步的，在本发明的一些实施方式中，攻击套件终端是一台独立的计算机，具有可视化界面和命令行操作界面，在进行模拟攻击时，会向通信模块发送带有异常通信数据包，因此工业防火墙模块需要时刻对通信数据包进行权限校验，具体包括下列步骤：
57.工业防火墙模块在接收到加密后的通信数据包时，获取其源ip地址，将所述源ip地址发送至认证服务器进行对比，判断所述源ip地址是否与认证服务器中存储的调度终端ip地址一致；
58.若对比通过，则说明该源ip地址所对应的具有向通信模块发送通信数据包的权限，认证服务器将权限合格信息、服务器私钥、特征码下发至工业防火墙模块，所述工业防火墙模块通过dh算法对所获取的服务器私钥、终端公钥进行计算，获得通信密钥。
59.工业防火墙模块通过通信密钥对加密后的通信数据包进行解密，解析出通信数据包中的特征码，将解析出的通信数据的特征码与来自认证服务器的特征码进行对比，判断二者是否一致，若一致，则所述通信数据包为合法数据。
60.在本发明的一些实施方式中，调度终端在向通信模块发送通信数据包时，会存在初次发送和再次发送(即不是初次发送)之分，在初次发送时，工业防火墙模块在接收到加密后的通信数据包时，获取其源ip地址，将所述源ip地址发送至认证服务器进行对比，判断所述源ip地址是否与认证服务器中存储的调度终端ip地址一致；
61.在初次发送后，所述工业防火墙模块会记录并标记该源ip地址，在该源ip地址对应的调度终端再次向向通信模块发送通信数据包时，不再将源ip地址发送至认证服务器，而是直接使用已获得的通信密钥对加密后的通信数据包进行解密。
62.具体的，所述安全监测模块包括监测审计子模块以及日志审计子模块，所述监测审计子模块，用于对经过通信模块的数据流量进行镜像处理，获得镜像流量，并对所述镜像流量进行协议分析并按照预先配置的策略判断数据的合法性，并对非法数据产生告警信息；所述日志审计子模块，用于获取来自所述控制器子模块、安全防护模块、监测审计子模块的运行日志，并对所述运行日志进行安全审计，生成审计报表。
63.具体的，对所述镜像流量进行协议分析并按照预先配置的策略判断数据的合法性，具体包括：对所述镜像流量进行协议分析获得协议分析结果，所述协议分析结果包括返回状态、协议id、大类id、承载协议id和识别方式，将协议分析结果与预先配置的策略进行
对比，判断是否符合预先配置的策略要求，若符合数据的合法性要求。
64.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。