[发明专利]一种电力二次系统主动安全防御系统

说明书

技术领域

本发明涉及计算机网络信息安全技术领域，尤其涉及一种电力二次系统主动安全防御系统。

背景技术

电力二次系统，即控制、保护供电系统的回路，它是由各级电力监控系统和电力调度数据网络(State Power Dispatching network，SPD net)，以及电力数据通信网络(SPT net)、电网管理信息系统(MIS)、电厂管理信息系统和电力通信系统等构成的复杂系统。目前，我国部署的防火墙和入侵检测系统(Intrusion Detection System，IDS)等安全防御系统，都存在着一定缺陷和不足，只能被动防护或只检测无阻断，且有漏报误报，因而存在一定的安全风险和隐患。

现有的电力二次系统安全防御系统如图1所示，包括四个安全区，其中安全区I为实时控制区，安全区II为非控制生产区，安全区III为生产管理区，安全区IV为管理信息区，并按照“安全分区、网络专用、横向隔离、纵向认证”基本原则，对四个安全区分别采用不同安全措施。但现有的电力二次系统安全防御系统存在以下问题：一是电力系统采用的防火墙和入侵检测技术等，存在着一定缺陷或不足，被动防御或漏报误报率高；二是系统之间信息交换缺乏加密及认证机制、入侵检测等预警机制、漏洞扫描和审计手段，接入存在安全隐患；三是基本手动更新病毒库，缺乏实时性，导致各厂站端、工控机房难管理；四是安全防护目标、策略和体系不健全，所采取的安全措施几乎都基于被动防护；五是管理区与生产区的数据双向交互，各级调度系统结构复杂，数据交互缺乏规则性，很难对系统及数据进行统一安全防护、动态管理和应急处理。

发明内容

本发明提供一种电力二次系统主动安全防御系统，以解决上述技术问题。

为解决上述技术问题，本发明提供一种电力二次系统主动安全防御系统，包括生产控制大区和管理信息大区，二者之间通过防火墙实现数据的传输；所述生产控制大区包括控制区、非控制区以及生产管理大区；所述控制区与非控制区之间，通过防火墙实现数据的传输，所述非控制区与生产管理大区之间设有正反向隔离设备；所述控制区、非控制区以及生产管理大区的数据接收和传输端均设有智能入侵防御系统。

较佳地，所述控制区内至少包括EMS和广域相量测量系统；所述非控制区内至少包括水调自动化系统、电能量计量系统和电力交易系统；所述生产管理大区内至少包括Web、雷电监测、气象卫星云图、计划、日报/早报以及文件服务。

较佳地，每两个所述的控制区之间设有IP认证加密装置；每两个所述的非控制区之间也设有IP认证加密装置。

较佳地，所述生产管理大区通过防火墙、电力企业数据网以及虚拟专用网络与系统内外机构进行数据传输。

较佳地，所述管理信息大区内包括电力信息系统和信息管理、发布统一威胁管理平台。

较佳地，所述电力信息系统包括E-Mail用户、Web用户以及Web服务器。

较佳地，所述管理信息大区通过防火墙与外网及终端客户相连。

与现有技术相比，本发明提供的一种电力二次系统主动安全防御系统，集成了网络安全新技术、管理、策略和机制，针对系统不同层次结构和需求采取针对性有效措施，多层次整体联动、交互协调，利用一种新设计思想构建出一种新型多层次的主动安全防御系统。以多角度、全方位，构建具有主动、综合、协同主动安全防御一体化功能，对网络可进行立体、纵深、动态防护的多功能网络监控与防御的新体系。集异常行为事件监控、检测、查杀病毒、阻断防御攻击、多重防护于一体，实现病毒及攻击实时智能监控、检测分析和安全防御一体化。既可快速进行实时智能防护，也可清除病毒及垃圾文件等降低消耗。

附图说明

图1为现有的电力二次系统主动安全防御系统的结构示意图；

图2为本发明一具体实施方式的电力二次系统主动安全防御系统的结构示意图。

具体实施方式

为了更详尽的表述上述发明的技术方案，以下列举出具体的实施例来证明技术效果；需要强调的是，这些实施例用于说明本发明而不限于限制本发明的范围。