本发明专利技术属于网络安全技术领域,且公开了一种用于智慧电厂架构的网络安全系统,包括生产控制大区、管理信息大区、外部公共因特网、电力企业数据网和电力调度数据网,生产控制大区划分为控制区和非控制区,管理信息大区划分为若干个业务安全区,生产控制大区和管理信息大区之间通过正向安全隔离装置和反向安全隔离装置相连接,正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输,反向安全隔离装置用于管理信息大区到生产控制大区的单向数据传输。该用于智慧电厂架构的网络安全系统,不仅有效提高智慧电厂的网络安全等级,而且可有效防止蠕虫和恶意入侵者破坏网络安全。网络安全。网络安全。
【技术实现步骤摘要】
一种用于智慧电厂架构的网络安全系统
[0001]本专利技术属于网络安全
,具体为一种用于智慧电厂架构的网络安全系统。
技术介绍
[0002]建设智慧电厂就是在智能发电的基础上,通过发电与其他产业的融合延伸,形成循环经济,提高能源和资源的利用率,承担更多保护环境和服务社会的功能,不仅可以成为电厂参与市场经济的资本,也是新时代生态环境建设和经济社会发展对电力企业的要求。
[0003]而目前的智慧电厂架构的网络安全系统建设还较为薄弱,往往凭借安全技术人员的个人经验部署安全防护设备或者哪里出现问题就在哪里部署安全防护设备,缺乏规范的安全系统部署方法,不能有效发挥系统的安全防护作用,无法保障网络系统的安全性,而且随着黑客攻击技术水平的不断提高,导致智慧电厂网络极易受到黑客入侵,存在一定的安全隐患。
技术实现思路
[0004]针对现有技术的不足,本专利技术提供了一种用于智慧电厂架构的网络安全系统,具备网络安全等级高和防入侵保护的优点,解决了现有技术中,智慧电厂架构的网络安全系统建设较为薄弱,以及智慧电厂网络极易受到黑客入侵的问题。
[0005]本专利技术采用如下技术方案来实现的:
[0006]一种用于智慧电厂架构的网络安全系统,包括生产控制大区、管理信息大区、外部公共因特网、电力企业数据网和电力调度数据网;
[0007]所述生产控制大区划分为控制区和非控制区,所述生产控制大区和管理信息大区之间通过正向安全隔离装置和反向安全隔离装置相连接,所述正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输,所述反向安全隔离装置用于管理信息大区到生产控制大区的单向数据传输,所述反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据,并进行签名验证、内容过滤和有效性检查后转发给生产控制大区内部的接收程序,所述电力调度数据网由实时子网和非实时子网组成,所述实时子网和非实时子网分别通过纵向加密认证装置与控制区和非控制区相连接,所述外部公共因特网和电力企业数据网分别通过防火墙与管理信息大区相连接,所述防火墙用于对外部公共因特网和电力企业数据网的网络连接活动进行访问控制,并对网络之间的攻击入侵和病毒传播进行检测和阻断,所述生产控制大区的边界上部署入侵防护系统IPS,所述控制区和非控制区之间通过逻辑隔离装置相连接。
[0008]本专利技术进一步的改进在于,所述管理信息大区划分为若干个业务安全区。
[0009]本专利技术进一步的改进在于,所述非控制区的内部业务系统采用B/S结构,且内部业务系统间采取VLAN和访问控制的措施。
[0010]本专利技术进一步的改进在于,所述生产控制大区部署恶意代码防护系统。
[0011]本专利技术进一步的改进在于,所述逻辑隔离装置为具有访问控制功能的设备。
[0012]本专利技术进一步的改进在于,所述生产控制大区的远程通信采用加密认证机制。
[0013]本专利技术进一步的改进在于,所述管理信息大区为生产控制大区以外的电力企业管理业务系统的集合。
[0014]本专利技术进一步的改进在于,所述生产控制大区的拨号访问服务器和用户端均使用安全加固的操作系统,并采取加密、认证和访问控制的措施。与现有技术相比,本专利技术提供了一种用于智慧电厂架构的网络安全系统,具备以下有益效果:
[0015]该用于智慧电厂架构的网络安全系统,通过设置生产控制大区、管理信息大区、外部公共因特网、电力企业数据网、电力调度数据网、控制区、非控制区、安全区、正向安全隔离装置、反向安全隔离装置、纵向加密认证装置、防火墙、入侵防护系统IPS和逻辑隔离装置,按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则对智慧电厂网络安全系统进行架构,从而有效提高网络安全等级,通过防火墙可对不同安全区域之间的网络连接活动进行严格的访问控制,并且不仅仅如此,通过防火墙可对往来这些网络之间的攻击入侵和病毒传播进行有效的检测和阻断,从而将高安全区域有效的隔离保护起来,从网络层到应用层进行立体化的区域边界防御,通过实施该一体化的集成安全网关,使智慧电厂项目的网络安全等级得到有效提升和保证,入侵防护系统IPS可以透明的串接进用户网络,不需要更改现有的网络结构,无缝地整合了现有的基础架构,在不影响系统或系统用户工作的情况下即可发挥作用,可以防止已知和未知漏洞被利用,从而有助于防止蠕虫和恶意入侵者破坏安全。
附图说明
[0016]图1为本专利技术提出的一种用于智慧电厂架构的网络安全系统的系统框图。
[0017]附图标记说明:
[0018]1生产控制大区、101控制区、102非控制区、2管理信息大区、201业务安全区、3外部公共因特网、4电力企业数据网、5电力调度数据网、501实时子网、502非实时子网、6正向安全隔离装置、7反向安全隔离装置、8纵向加密认证装置、9防火墙、10逻辑隔离装置。
具体实施方式
[0019]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0020]请参阅图1,一种用于智慧电厂架构的网络安全系统,包括生产控制大区1、管理信息大区2、外部公共因特网3、电力企业数据网4和电力调度数据网5,管理信息大区2为生产控制大区1以外的电力企业管理业务系统的集合,生产控制大区1划分为控制区101和非控制区102,禁止在生产控制大区1内部使用E
‑
Mail服务和通用的WEB服务,非控制区102的内部业务系统采用B/S结构,但仅限于业务系统内部使用,允许提供纵向安全WEB服务,可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站,生产控制大区1的内部业务系统间采取VLAN和访问控制的措施,限制系统间的直接互通,生产控制大区1的拨号访问服务器和用户端均使用安全加固的操作系统,并采取加密、认证和访问控制的措施,生产控
制大区1部署恶意代码防护系统,生产控制大区1的远程通信采用加密认证机制,管理信息大区2划分为若干个业务安全区201,电力企业可根据具体情况划分业务安全区201,但不应影响生产控制大区1的安全生产,控制大区1和管理信息大区2之间通过正向安全隔离装置6和反向安全隔离装置7相连接,正向安全隔离装置6用于生产控制大区1到管理信息大区2的非网络方式的单向数据传输,反向安全隔离装置7用于管理信息大区2到生产控制大区1的单向数据传输,反向安全隔离装置7集中接收管理信息大区2发向生产控制大区1的数据,并进行签名验证、内容过滤和有效性检查后转发给生产控制大区1内部的接收程序,严格禁止E
‑
Mail、WEB、Telnet、Rlogin、FTP安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越正向安全隔离装置6和反向安全隔离装置7,仅允许纯数据的单向安全传输,电力调度数据网5由实时子网501和非本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于智慧电厂架构的网络安全系统,其特征在于,包括生产控制大区(1)、管理信息大区(2)、外部公共因特网(3)、电力企业数据网(4)和电力调度数据网(5);所述生产控制大区(1)划分为控制区(101)和非控制区(102),所述生产控制大区(1)和管理信息大区(2)之间通过正向安全隔离装置(6)和反向安全隔离装置(7)相连接,所述正向安全隔离装置(6)用于生产控制大区(1)到管理信息大区(2)的非网络方式的单向数据传输,所述反向安全隔离装置(7)用于管理信息大区(2)到生产控制大区(1)的单向数据传输,所述反向安全隔离装置(7)集中接收管理信息大区(2)发向生产控制大区(1)的数据,并进行签名验证、内容过滤和有效性检查后转发给生产控制大区(1)内部的接收程序,所述电力调度数据网(5)由实时子网(501)和非实时子网(502)组成,所述实时子网(501)和非实时子网(502)分别通过纵向加密认证装置(8)与控制区(101)和非控制区(102)相连接,所述外部公共因特网(3)和电力企业数据网(4)分别通过防火墙(9)与管理信息大区(2)相连接,所述防火墙(9)用于对外部公共因特网(3)和电力企业数据网(4)的网络连接活动进行访问控制,并对网络之间的攻击入侵和病毒传播进行检测和阻断,所述生产控制大...
【专利技术属性】
技术研发人员:吴恒运,桑永福,温荣斌,寇媛媛,董芳,耿林霄,
申请(专利权)人:西安西热控制技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。