配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及工業(yè)控制安全防護(hù)技術(shù)�����,特別是涉及一種配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法及系統(tǒng)。
【背景技術(shù)】
[0002]自2010年伊朗核電站遭受“Stuxnet”病毒攻擊���,而導(dǎo)致核電站離心機重要設(shè)備的永久性損壞����,工業(yè)控制領(lǐng)域的安全問題逐步被人們所重視�����,其中��,配電網(wǎng)絡(luò)控制系統(tǒng)的安全越來越受到重視���。配電網(wǎng)控制系統(tǒng)主要包括主站和終端�,主站和終端通過通信網(wǎng)絡(luò)進(jìn)行通信�,終端向主站上報配電線路的遙信和遙測采集數(shù)據(jù),主站向終端下達(dá)遙控指令以控制線路通斷�,實現(xiàn)配電線路的故障隔離和快速復(fù)電。配電網(wǎng)控制系統(tǒng)一旦遭受攻擊可能會造成大面積停電��,給國家和人民帶來生活和生產(chǎn)的諸多不便��。
[0003]傳統(tǒng)互聯(lián)網(wǎng)信息系統(tǒng)的應(yīng)用層主要基于超文本協(xié)議(HTTP)或加密的超文本協(xié)議(HTTPS)進(jìn)行數(shù)據(jù)傳輸�����。由于傳統(tǒng)互聯(lián)網(wǎng)的通信規(guī)約的通用性,應(yīng)用面廣���,傳統(tǒng)互聯(lián)網(wǎng)的防火墻等安全防護(hù)技術(shù)和設(shè)備發(fā)展迅速���,形成了包過濾防火墻、狀態(tài)防火墻�、WEB防火墻等技術(shù)的安全防護(hù)技術(shù)和設(shè)備。
[0004]然而�,例如電力、鐵路�、化工等生產(chǎn)控制類的工業(yè)控制系統(tǒng)相比于傳統(tǒng)互聯(lián)網(wǎng)信息系統(tǒng),在通信規(guī)約上具有很大的不同����。工業(yè)控制系統(tǒng)的通信規(guī)約因各種應(yīng)用場景而具有“定制”特點�����,不同的應(yīng)用場景�����,通信規(guī)約不一樣,例如��,煙草����、化工、鐵路�����、電力控制系統(tǒng)的通信規(guī)約各不相同����,甚至電力控制系統(tǒng)中的電廠、配電����、輸電、計量���、調(diào)度等子控制系統(tǒng)的規(guī)約也都各不相同����。工業(yè)控制系統(tǒng)因通信規(guī)約多且不通用,尚未見有適用各種工業(yè)控制場景的規(guī)約過濾級安全防護(hù)設(shè)備能有效地對各種工業(yè)控制系統(tǒng)進(jìn)行安全防護(hù)���,也未見針對配電網(wǎng)控制系統(tǒng)的規(guī)約過濾級安全防護(hù)設(shè)備����,從而使配電網(wǎng)工業(yè)控制系統(tǒng)安全性得不到有效保證��。
【發(fā)明內(nèi)容】
[0005]基于此���,有必要針對配電網(wǎng)工業(yè)控制系統(tǒng)安全性低的問題�����,提供一種提高安全性的配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法及系統(tǒng)����。
[0006]—種配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法���,包括步驟:
[0007]接收報文����;
[0008]判斷所述報文的數(shù)據(jù)類型是否為應(yīng)用數(shù)據(jù)類型�;
[0009]若是,則篩選出具備配電網(wǎng)通信規(guī)約協(xié)議號的報文�,丟棄不具備所述配電網(wǎng)通信規(guī)約協(xié)議號的報文;
[0010]對所述篩選出的具備配電網(wǎng)通信規(guī)約協(xié)議號的報文進(jìn)行規(guī)約檢測����,篩選出滿足所述配電網(wǎng)通信規(guī)約的報文,丟棄不滿足所述配電網(wǎng)通信規(guī)約的報文���;
[0011]轉(zhuǎn)發(fā)所述篩選出的滿足所述配電網(wǎng)通信規(guī)約的報文��。
[0012]本發(fā)明還提供一種配電網(wǎng)控制系統(tǒng)的安全防護(hù)系統(tǒng)��,包括:
[0013]接收模塊��,用于接收報文�;
[0014]主控制模塊��,用于判斷所述報文的數(shù)據(jù)類型是否為應(yīng)用數(shù)據(jù)類型�,若是,篩選出具備配電網(wǎng)通信規(guī)約協(xié)議號的報文���,丟棄不具備所述配電網(wǎng)通信規(guī)約協(xié)議號的應(yīng)用類型的報文��;
[0015]規(guī)約檢測模塊��,用于對所述主控制模塊篩選出的具備配電網(wǎng)通信規(guī)約協(xié)議號的報文進(jìn)行規(guī)約檢測�����,篩選出滿足所述配電網(wǎng)通信規(guī)約的報文����,丟棄不滿足所述配電網(wǎng)通信規(guī)約的報文;
[0016]發(fā)送模塊�����,用于轉(zhuǎn)發(fā)所述篩選出的滿足通信規(guī)約的報文��。
[0017]上述配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法及系統(tǒng)�����,通過判斷報文的數(shù)據(jù)類型��,當(dāng)報文的數(shù)據(jù)類型為應(yīng)用數(shù)據(jù)類型時����,篩選出具備配電網(wǎng)通信規(guī)約協(xié)議號的報文,丟棄不具備所述配電網(wǎng)通信規(guī)約協(xié)議號的報文����。再對所述篩選出的具備配電網(wǎng)通信規(guī)約協(xié)議號的報文進(jìn)行進(jìn)一步的規(guī)約檢測,篩選出滿足配電網(wǎng)通信規(guī)約的報文�,丟棄不滿足所述配電網(wǎng)通信規(guī)約的報文,然后將滿足通信規(guī)約的報文轉(zhuǎn)發(fā)����。對報文進(jìn)行篩選過濾,篩選出的報文是安全的�����,確保配電終端以及主站不會接收到配電網(wǎng)通信規(guī)約之外的其它任何報文�,避免整個配電網(wǎng)控制系統(tǒng)遭受黑客攻擊而造成大面積停電的風(fēng)險,從而確保了配電網(wǎng)控制系統(tǒng)的信息安全�����。
【附圖說明】
[0018]圖1為一實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法的流程圖�����;
[0019]圖2為另一實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法的流程圖�;
[0020]圖3為另一實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法中的子流程圖;
[0021]圖4為另一實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法中的子流程圖���;
[0022]圖5為一實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)系統(tǒng)的模塊示意圖��;
[0023]圖6為另一實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)系統(tǒng)的模塊示意圖�;
[0024]圖7為另一實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)系統(tǒng)的子模塊示意圖;
[0025]圖8為另一實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)系統(tǒng)的子模塊示意圖�����。
【具體實施方式】
[0026]在配電網(wǎng)工業(yè)控制中�����,配電終端的主要功能是采集數(shù)據(jù)并發(fā)送到主站�����。配電終端具有實時數(shù)據(jù)庫��,把采集的數(shù)據(jù)以配電網(wǎng)通信規(guī)約格式轉(zhuǎn)發(fā)到主站���,同時也接收來自主站下發(fā)的報文�����。主站通過配電網(wǎng)通信規(guī)約與配電終端通信���,接收配電終端上報的數(shù)據(jù)�。
[0027]請參閱圖1���,提供一種實施方式的配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法,包括步驟:
[0028]SlOO:接收報文����。
[0029]具體地,接收的報文為主站下發(fā)的報文時���,為了確保配電網(wǎng)控制系統(tǒng)的安全�,對接收的報文進(jìn)行篩選�����,過濾掉不安全的報文���,以防不滿足條件的不安全的報文通過網(wǎng)絡(luò)傳輸至配電終端�,造成配電終端遭受攻擊��。類似地��,接收的報文為配電終端發(fā)送報文時,對接收的報文進(jìn)行篩選���,以防不滿足條件的不安全的報文通過網(wǎng)絡(luò)傳輸至主站�����,造成主站遭受攻擊�����。在本具體實施例中����,通過RJ45以太網(wǎng)接口接收報文�����。
[0030]S200:判斷報文的數(shù)據(jù)類型是否為應(yīng)用數(shù)據(jù)類型����。
[0031]若是,則執(zhí)行:
[0032]S300:篩選出具備配電網(wǎng)通信規(guī)約協(xié)議號的報文�����,丟棄不具備配電網(wǎng)通信規(guī)約協(xié)議號的報文。
[0033]在本實施例中��,配電網(wǎng)通信規(guī)約包括IEC60870-5-101通信規(guī)約或IEC60870-5-104通信規(guī)約����,IEC60870-5-101通信規(guī)約和ffiC60870-5_104通信規(guī)約為國際電工委員會(IEC)制定的用于變電站自動化系統(tǒng)的國際標(biāo)準(zhǔn)。當(dāng)報文的數(shù)據(jù)類型為應(yīng)用數(shù)據(jù)類型時���,需要對報文進(jìn)行初步的篩選����,即判斷報文是否具備配電網(wǎng)通信規(guī)約協(xié)議號����,若判定為是�����,說明初步判定該報文是滿足配電網(wǎng)通信規(guī)約的報文�����,則篩選出該報文��,若判定為否,說明初步判定該報文不滿足配電網(wǎng)通信規(guī)約的報文���,則丟棄該報文�����。
[0034]S400:對篩選出的具備配電網(wǎng)通信規(guī)約協(xié)議號的報文進(jìn)行規(guī)約檢測��,篩選出滿足配電網(wǎng)通信規(guī)約的報文�,丟棄不滿足配電網(wǎng)通信規(guī)約的報文�����。
[0035]若報文具備配電網(wǎng)通信規(guī)約協(xié)議號����,將對該報文進(jìn)行深度檢測,即判斷該報文是否進(jìn)一步滿足配電網(wǎng)通信規(guī)約���,若判定為是����,則篩選出該報文,若判定為否���,丟棄該報文�。
[0036]S500:轉(zhuǎn)發(fā)篩選出的滿足配電網(wǎng)通信規(guī)約的報文����。
[0037]當(dāng)接受的報文為主站下發(fā)的報文時,經(jīng)過進(jìn)一步地對該報文是否滿足配電網(wǎng)通信規(guī)約進(jìn)行檢測���,篩選出的滿足配電網(wǎng)通信規(guī)約的報文被認(rèn)為是安全的�,向配電終端轉(zhuǎn)發(fā)篩選出的滿足配電網(wǎng)通信規(guī)約的報文��。當(dāng)接受的報文為配電終端發(fā)送的報文時��,經(jīng)過進(jìn)一步地對該報文是否滿足配電網(wǎng)通信規(guī)約進(jìn)行檢測��,篩選出的滿足配電網(wǎng)通信規(guī)約的報文被認(rèn)為是安全的���,向主站轉(zhuǎn)發(fā)篩選出的滿足配電網(wǎng)通信規(guī)約的報文。在本具體實施例中����,通過RJ45以太網(wǎng)接口轉(zhuǎn)發(fā)篩選出的滿足配電網(wǎng)通信規(guī)約的報文。
[0038]上述配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法,通過判斷報文的數(shù)據(jù)類型�����,當(dāng)報文的數(shù)據(jù)類型為應(yīng)用數(shù)據(jù)類型時�,篩選出具備配電網(wǎng)通信規(guī)約協(xié)議號的報文,丟棄不具備配電網(wǎng)通信規(guī)約協(xié)議號的報文�����。再對篩選出的具備配電網(wǎng)通信規(guī)約協(xié)議號的報文進(jìn)行進(jìn)一步的規(guī)約檢測��,篩選出滿足配電網(wǎng)通信規(guī)約的報文����,丟棄不滿足配電網(wǎng)通信規(guī)約的報文,然后將滿足通信規(guī)約的報文轉(zhuǎn)發(fā)���。通過對報文進(jìn)行過濾�,篩選出的報文是安全的��,確保配電終端和主站不會接收到配電網(wǎng)通信規(guī)約之外的其它任何報文���,避免整個配電網(wǎng)控制系統(tǒng)遭受黑客攻擊而造成大面積停電的風(fēng)險��,從而確保了配電網(wǎng)控制系統(tǒng)的信息安全��。
[0039]在其中一個實施例中����,上述配電網(wǎng)控制系統(tǒng)的安全防護(hù)方法還包括步驟:
[0040]通過GPRS無線通信方式接收主站下發(fā)的報文并轉(zhuǎn)發(fā);
[0041]接收報文的步驟SlOO包括:
[0042]通過RS-232接口接收轉(zhuǎn)發(fā)的報文�;
[0043]轉(zhuǎn)發(fā)篩選出的滿足配電網(wǎng)通信規(guī)約的報文的步驟S500包括:
[0044]通過RS-232接口向配電終端轉(zhuǎn)發(fā)篩選出的滿足配電網(wǎng)通信規(guī)約的報文。
[0045]其中��,GPRS (Genera