[发明专利]一种变电站过程层交换机监控组网方法

说明书

本发明公开了一种变电站过程层交换机监控组网方法，变电站过程层交换机单独组建一个监控网络，并经过一个隔离防火墙与站控层通信。过程层交换机提供运维监视网口接入用于单独组网的交换机，交换机运维监视网口和其业务通信网口相互独立，运维监视网口支持变电站标准通信规约与站控层监控主机通信。隔离防火墙具备网络隔离、流量控制和报文过滤功能。本发明方法通过过程层交换机运维监视网口单独组网，并且增加隔离防火墙的方式，既可以对过程层交换机进行集中监控，又能实现对过程层网络和站控层网络的安全隔离，防御来自站控层设备的网络攻击，保证了过程层网络的安全性。

技术领域

本发明涉及电力监控和网络通讯领域，尤其涉及一种变电站过程层交换机监控组网方法。

背景技术

变电站过程交换机主要用于间隔层设备和过程层设备之间的通信组网，组成的网络被称作变电站过程层网络，变电站过程层网络为过程层数据采集和间隔层设备的操作命令下发提供网络通路，因此地位十分重要，关系到变电站一次设备的安全可靠运行，关系着电网安全，所以变电站过程层网络要求相对独立且具备一定的抵抗网络攻击的能力。目前，过程层交换机自身一直没有被纳入到监控系统中，导致变电站运维人员对过程层交换机的运行状态缺乏了解。为了实现对过程层交换机的运行监控，通常的手段是借助交换机的业务端口或调试端口，通过过程层交换机提供的SNMP协议，点对点读取交换机运行状态，因为没有组网，导致不能对变电站所有过程层交换机统一监控。还有一种监控方式是把过程层交换机当作间隔层设备一样，统一接入变电站监控网络，这种方式在某种程度上把过程层网络设备和站控层网络连接在一起，破坏了过程层网络的独立性，来自站控层的网络攻击甚至可以直接对过程层设备发送跳闸操作命令，网络安全风险很大。随着智能变电站过程层网络的普及，过程层交换机的重要性被逐步认识，对过程层交换机的监控需求越来越迫切，要求交换机能够提供完善的数据模型，支持运行上送，支持监控主机对交换机的配置参数和程序固件下载等功能。因此，为满足过程层交换机监控需求，并且不引入可能新的网络安全风险，需要设计一个合理的过程交换机监控网络，满足交换机集中监控和网络安全的要求。

发明内容

本发明的目的在于提供一种变电站过程层交换机监控组网方法，以在满足过程层交换机集中监控要求的前提下，具备更高的网络安全攻击防御能力。

为了达成上述目的，本发明采用的方案是：

一种变电站过程层交换机组网方法，包括，

由多个过程层交换机组成监控网络，所述监控网络的监控范围包括所述多个过程层交换机的运维状态；且

所述监控网络通过隔离防火墙与站控层通信。

进一步的，所述过程层交换机包括业务通信网口、运维监视网口；所述运维监视网口与所述业务通信网口相互独立；

所述运维监视网口用于组成所述监控网络；

所述运维监视网口支持所述过程层交换机基于变电站标准通信规约与站控层监控主机之间的通信。

进一步的，所述监控网络通过隔离防火墙与站控层通信，包括，所述隔离防火墙进行网络隔离。

进一步的，所述隔离防火墙进行网络隔离，包括：通过物理隔离器件进行隔离防火墙南、北向通信中的网络报文阻断和报文摆渡。

进一步的，所述监控网络通过隔离防火墙与站控层通信，还包括，所述隔离防火墙进行流量控制。

进一步的，所述隔离防火墙进行流量控制，包括，所述隔离防火墙基于预定选择条件，丢弃超过流量设定阈值的通信报文。

进一步的，所述监控网络通过隔离防火墙与站控层通信，还包括，所述隔离防火墙进行报文过滤。