[发明专利]一种基于安全策略管控的变电站监控网络调试方法

说明书

本发明涉及了一种基于安全策略管控的变电站监控网络调试方法，包括如下步骤：步骤1、根据输入调试报文的MAC地址过滤得到非本机调试报文；步骤2、根据调试报文类型过滤得到IP调试报文；步骤3、根据IP调试报文首部中的协议类型过滤得到TCP/UDP调试报文；步骤4、若存在安全调试状态对调试报文进行合法性检测；若通过，则转发调试报文；若不通过，则进入步骤5；步骤5、根据安全调试策略对调试报文进行合法性检测：若通过，则增加第一次安全调试状态，并进入步骤6；否则丢弃调试报文；步骤6、对调试报文进行动态调试协议检测。此种方法与现有直接接入变电站网络的调试方法相比，提高了调试的安全性。

技术领域

本发明涉及变电站监控领域，尤其涉及一种基于安全策略管控的变电站监控网络调试方法。

背景技术

变电站监控网络的调试方法，长期以来都是各厂家的笔记本直接接入站内交换机进行装置的配置和调试。随着国内和国际上各类电网安全事故频发，变电站的监控网络安全得到了国家电网的高度重视。由于变电站监控网络为局域网，管控好从外部接入的设备就显得尤为重要。若外部接入的设备上存在病毒或非法程序，直接接入变电站监控网络将造成难以预计的后果。

发明内容

针对上述问题，本发明提供一种基于安全策略管控的变电站监控网络调试方法，解决现有变电站监控网络调试中的安全性问题，有效地避免传统直接接入变电站监控网络的调试方法对网络安全的威胁，进一步提高了变电站监控网络的隔离性和安全性。

为实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

一种基于安全策略管控的变电站监控网络调试方法，包括如下步骤：

步骤1、若输入调试报文的源MAC地址或目的MAC地址为本网口MAC地址，则丢弃调试报文；否则得到非本机调试报文，进入步骤2；

步骤2、若调试报文类型为IP，则进入步骤3；否则丢弃调试报文；

步骤3、若调试报文IP首部中的协议类型为TCP/UDP，则进入步骤4；否则丢弃调试报文；

步骤4、若存在安全调试状态对调试报文进行合法性检测；若通过，则转发调试报文；若不通过，则进入步骤5；

步骤5、根据安全调试策略对调试报文进行合法性检测：若不通过，则丢弃调试报文；若通过，则增加第一次安全调试状态，并进入步骤6；

步骤6、对调试报文进行动态调试协议检测，若发现动态调试协议，则根据相应的调试协议增加第二次安全调试状态，并转发调试报文。

优选，步骤1中，将调试报文源MAC地址或目的MAC地址为本网口MAC地址的调试报文丢弃，来避免处理与本机通信的报文,以此达到在调试网络的同时对本机进行调试。

优选，步骤4中，安全调试状态是指将IP调试报文中的协议类型、源IP、目的IP、源端口、目的端口存储为一个安全调试状态，通过对调试报文优先匹配安全调试状态来加快调试报文的转发速度。

优选，步骤5中，合法性检测包括根据安全调试策略对调试报文的源MAC、源IP、源端口、目的MAC、目的IP、目的端口、连接方向和调试报文关键字检测，检测方法通过将上述元素与报文中的具体内容进行匹配，检查是否一致。

优选，步骤6中，动态调试协议检测是指仅针对FTP的调试协议，其调试报文中包含后续状态的端口号信息，需要根据调试报文中的信息增加相应的安全调试状态，否则后续调试报文可能会被作为非法连接而丢弃。

本发明的有益效果是：本发明能够有效地避免传统直接接入变电站监控网络的调试方法对网络安全的威胁，进一步提高变电站监控网络的隔离性和安全性。

附图说明

下面结合附图对本发明的具体实施方式做进一步阐明。