本发明专利技术公开了一种基于沙箱技术的电力数字化仪控系统安保方法,主要解决现有电站工控系统易遭受网络入侵而发生重大安全事故的问题。本发明专利技术通过在电站的工控系统外网与内网之间搭建一个基于沙箱的数字化仪控系统测试验证层,来实现对外网要进入到内网的指令或者文件进行检测验证,阻止设法从外网或外部接口进入内网的网络攻击,保证进入到内网中的控制指令和相关的系统补丁等文件是安全可实现,不会引起系统设备的非正常工作而导致电厂发生事故。通过这种方法来加强电站数字化仪控系统保障,对推动电力事业发展有着极为重要的作用,确保电站工作设备正常稳定工作与防止我国电力核心数据不丢失,从而进一步的推动核电、水电、火电安全发展。火电安全发展。火电安全发展。
【技术实现步骤摘要】
一种基于沙箱技术的电力数字化仪控系统安保方法
[0001]本专利技术涉及电站控制安全
,具体地说,是涉及一种基于沙箱技术的电力数字化仪控系统安保方法。
技术介绍
[0002]随着信息化、网络化建设的持续推进,智能电表、物联网感知设备和感知终端等介入了网络空间,电站(包括水电站、核电站、火力发电站)控制系统的数字化和物联网也在提高,虽然这样提高了系统的控制性能,但也带来了新的安全漏洞。工控系统安全是国家重点信息基础设施安全的重要组成部分。随着工控系统发展空间的不断扩大,电站领域的信息安全,因电力系统自身的重要战略地位,一直是工控信息安全热点问题。现阶段已经有很多电站遭受到网络攻击而引发安全事故,比如乌克兰某核电厂发生严重网络安全事故、印度官方证实库丹库拉姆电站感染了由朝鲜黑客组织开发的恶意软件,导致电站控制服务器受到控制,第二核电机组关闭;法国电力集团下属的一座英国电站涉嫌遭到网络攻击,照成系统无法恢复等。
[0003]而在计算机安全领域,沙箱(Sandbox)是一种程序的隔离运行机制,其目的是限制不可信进程或不可信代码运行时的访问权限,通过沙箱技术结合多种系统安全技术实现对系统的保护。对于电厂网络入侵后果产生的影响可能涉及到员工和商业机密信息的丢失、亦可导致核电反应堆关闭或者其他设备无法正常工作与损坏。因此电力行业必须要意识到网络攻击是一个重要的事件,而绝不是像物理入侵那样简单的传统意义上的威胁。而网络安全问题对于电力工控来说并不是新鲜的,急需加大对电站工控系统的保护力度来遏制相应事故的发生。
技术实现思路
[0004]本专利技术的目的在于提供一种基于沙箱技术的电力数字化仪控系统安保方法,主要解决现有电站工控系统易遭受网络入侵而发生重大安全事故的问题。
[0005]为实现上述目的,本专利技术采用的技术方案如下:
[0006]一种基于沙箱技术的电力数字化仪控系统安保方法,包括如下步骤:
[0007]步骤S01,在电站的工控系统的控制内网与外网之间搭建一层数字化仪控系统测试验证层,用于对外网到内网之间的传输信息进行病毒检测与模拟检测;
[0008]步骤S02,测试验证层的沙箱虚拟系统中的病毒检测模块与模拟仿真模块对传输信息进行检测,并且将检测过程中未含有病毒的并且能使现场设备达到预期的工作状态的控制信息放入到白名单中,反之则传入到黑名单中并永久废弃;
[0009]步骤S03,将白名单或黑名单自身划分为不同的记录区域,并分别建立各自对应的数据库,更新各自对应的备份系统和虚拟系统;
[0010]步骤S04,经过测试通过的传输信息安全的进入到内网中待内网传输,而未测试通过的传输信息无法进入到内网中,直接被测试验证层阻止;
[0011]步骤S05,经过验证后的传输信息进入到搭建的白名单后,再由内网进行提取,并且将其应用到内网的电站的工控系统中,实现相应的功能。
[0012]进一步地,所述传输信息包括对现场控制层的设备进行控制的代码命令、文件或者应用补丁。
[0013]进一步地,所述检测验证层是由多台计算机搭建的沙箱,所述沙箱包括备份系统与虚拟系统;所述备份系统负责还原系统系统信息,虚拟系统则负责对外网进入的文件解析,模拟执行,实现对外部文件的病毒检测,以及命令代码功能的仿真。
[0014]进一步地,所述白名单与黑名单是用来记录由沙箱测试验证后能达到预期目的的外部文件、远程控制指令、及外部文件或远程指令代码检测验证后记录对应的IP等信息的信息库,使得下次有同样的指令或文件将直接进行判定,无需再进行检测验证。
[0015]进一步地,所述更新备份系统与虚拟系统是经沙箱后的进入到白名单的文件应用到系统后对虚拟系统备份,而进入到黑名单的文件感染了虚拟系统则将虚拟系统删除掉后重新在设备上植入之前备份的安全虚拟系统。
[0016]与现有技术相比,本专利技术具有以下有益效果:
[0017]本专利技术通过在电站的工控系统外网与内网之间搭建一个基于沙箱的数字化仪控系统测试验证层,来实现对外网要进入到内网的指令或者文件进行检测验证,阻止设法从外网或外部接口进入内网的网络攻击,保证进入到内网中的控制指令和相关的系统补丁等文件是安全可实现,不会引起系统设备的非正常工作而导致电站发生事故。通过这种方法来加强电站数字化仪控系统保障,对推动电力事业发展有着极为重要的作用,确保电站工作设备正常稳定工作与防止我国电站核心数据不丢失,从而进一步的推动核电、水电、火电等安全发展和保障国家安全。
附图说明
[0018]图1为本专利技术-实施例电站内外网信息传输结构示意图。
[0019]图2为本专利技术的工作流程图。
具体实施方式
[0020]下面结合附图说明和实施例对本专利技术作进一步说明,本专利技术的方式包括但不仅限于以下实施例。
[0021]实施例
[0022]如图1、2所示,本专利技术公开的一种基于沙箱技术的电力数字化仪控系统安保方法,包括如下步骤:
[0023]步骤S01,在电站的工控系统的控制内网与外网之间搭建一层数字化仪控系统测试验证层,主要工作是实现对外网进入到内网的文件、远程控制的指令、系统漏洞的补丁等进行病毒检测与模拟验证检测。在电厂的工控系统中因系统出现漏洞需要外网中下载补丁的时候或是需要外网向内部传输相应的控制指令以及一些特殊文件时,需要先对这些文件进行检测,来验证这些指令能否真正实现相应的功能和检测传输的的文件的中是否含有病毒等危险文件。
[0024]步骤S02,测试验证层的沙箱虚拟系统中的病毒检测模块与模拟仿真模块对传输
信息进行检测,并且将检测过程中未含有病毒的并且能使现场设备达到预期的工作状态的控制信息放入到白名单中,反之则传入到黑名单中并永久废弃。
[0025]外网进入到电厂控制系统的文件或指令代码以及系统漏洞补丁或USB传输文件等都需要先对其信息与步骤S02做出判断后的信息进行对比,判断进入的文件数据与黑名单库中是否有相同的,若出现相同的则直接可以将进来的文件或指令杀死,阻止其进入到沙箱检测过程,反之继续进入到检测验证层中进行循环。
[0026]步骤S03,白名单记录由外网文件传输进来的IP地址、代码指令等,并将其划分为不同的记录区域,同样黑名单记录的是在检测验证过程中未达到预期的要求的指令或文件信息,并建立各自对应的信息库,使得下次有同样的指令或文件将直接进行判定,无需再进行检测验证。进入到白名单的文件、指令以及系统的漏洞补丁等文件是经过沙箱检检测验证后的,因此可将其应用到内网中,并且在沙箱中的系统备份中进行备份。而进入到黑名单的则一律不在使用,并且可将感染了的虚拟系统删除,重新在系统备份中植入新的安全系统。
[0027]步骤S04,经测试通过的指令或代码能够安全的进入到内网中,待内网中的操作控制层提取,而未测试通过的指令或者应用补丁以及邮件等无法进入到内网中,直接被该测试验证层阻止。
[0028]步骤S05,经过验证后的指令或漏洞补丁等文件,进入到搭建的白名单后本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于沙箱技术的电力数字化仪控系统安保方法,其特征在于,包括如下步骤:步骤S01,在电站的工控系统的控制内网与外网之间搭建一层数字化仪控系统测试验证层,用于对外网到内网之间的传输信息进行病毒检测与模拟检测;步骤S02,测试验证层的沙箱虚拟系统中的病毒检测模块与模拟仿真模块对传输信息进行检测,并且将检测过程中未含有病毒的并且能使现场设备达到预期的工作状态的控制信息放入到白名单中,反之则传入到黑名单中并永久废弃;步骤S03,将白名单或黑名单自身划分为不同的记录区域,并分别建立各自对应的数据库,更新各自对应的备份系统和虚拟系统;步骤S04,经过测试通过的传输信息安全的进入到内网中待内网传输,而未测试通过的传输信息无法进入到内网中,直接被测试验证层阻止;步骤S05,经过验证后的传输信息进入到搭建的白名单后,再由内网进行提取,并且将其应用到内网的电站的工控系统中,实现相应的功能。2.根据权利要求1所述的一种基于沙箱技术的电力数字化仪控系统安保方法,其特征在于,所述传输信息包括对现场控制...
【专利技术属性】
技术研发人员:占梦来,张军,李良,胡航宇,张棚,
申请(专利权)人:四川易诚智讯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。