[发明专利]配电网控制系统的安全防护方法及系统

说明书

技术领域

本发明涉及工业控制安全防护技术，特别是涉及一种配电网控制系统的安全防护方法及系统。

背景技术

自2010年伊朗核电站遭受“Stuxnet”病毒攻击，而导致核电站离心机重要设备的永久性损坏，工业控制领域的安全问题逐步被人们所重视，其中，配电网络控制系统的安全越来越受到重视。配电网控制系统主要包括主站和终端，主站和终端通过通信网络进行通信，终端向主站上报配电线路的遥信和遥测采集数据，主站向终端下达遥控指令以控制线路通断，实现配电线路的故障隔离和快速复电。配电网控制系统一旦遭受攻击可能会造成大面积停电，给国家和人民带来生活和生产的诸多不便。

传统互联网信息系统的应用层主要基于超文本协议(HTTP)或加密的超文本协议(HTTPS)进行数据传输。由于传统互联网的通信规约的通用性，应用面广，传统互联网的防火墙等安全防护技术和设备发展迅速，形成了包过滤防火墙、状态防火墙、WEB防火墙等技术的安全防护技术和设备。

然而，例如电力、铁路、化工等生产控制类的工业控制系统相比于传统互联网信息系统，在通信规约上具有很大的不同。工业控制系统的通信规约因各种应用场景而具有“定制”特点，不同的应用场景，通信规约不一样，例如，烟草、化工、铁路、电力控制系统的通信规约各不相同，甚至电力控制系统中的电厂、配电、输电、计量、调度等子控制系统的规约也都各不相同。工业控制系统因通信规约多且不通用，尚未见有适用各种工业控制场景的规约过滤级安全防护设备能有效地对各种工业控制系统进行安全防护，也未见针对配电网控制系统的规约过滤级安全防护设备，从而使配电网工业控制系统安全性得不到有效保证。

发明内容

基于此，有必要针对配电网工业控制系统安全性低的问题，提供一种提高安全性的配电网控制系统的安全防护方法及系统。

一种配电网控制系统的安全防护方法，包括步骤：

接收报文；

判断所述报文的数据类型是否为应用数据类型；

若是，则筛选出具备配电网通信规约协议号的报文，丢弃不具备所述配电网通信规约协议号的报文；

对所述筛选出的具备配电网通信规约协议号的报文进行规约检测，筛选出满足所述配电网通信规约的报文，丢弃不满足所述配电网通信规约的报文；

转发所述筛选出的满足所述配电网通信规约的报文。

本发明还提供一种配电网控制系统的安全防护系统，包括：

接收模块，用于接收报文；

主控制模块，用于判断所述报文的数据类型是否为应用数据类型，若是，筛选出具备配电网通信规约协议号的报文，丢弃不具备所述配电网通信规约协议号的应用类型的报文；

规约检测模块，用于对所述主控制模块筛选出的具备配电网通信规约协议号的报文进行规约检测，筛选出满足所述配电网通信规约的报文，丢弃不满足所述配电网通信规约的报文；

发送模块，用于转发所述筛选出的满足通信规约的报文。

上述配电网控制系统的安全防护方法及系统，通过判断报文的数据类型，当报文的数据类型为应用数据类型时，筛选出具备配电网通信规约协议号的报文，丢弃不具备所述配电网通信规约协议号的报文。再对所述筛选出的具备配电网通信规约协议号的报文进行进一步的规约检测，筛选出满足配电网通信规约的报文，丢弃不满足所述配电网通信规约的报文，然后将满足通信规约的报文转发。对报文进行筛选过滤，筛选出的报文是安全的，确保配电终端以及主站不会接收到配电网通信规约之外的其它任何报文，避免整个配电网控制系统遭受黑客攻击而造成大面积停电的风险，从而确保了配电网控制系统的信息安全。

附图说明

图1为一实施方式的配电网控制系统的安全防护方法的流程图；

图2为另一实施方式的配电网控制系统的安全防护方法的流程图；

图3为另一实施方式的配电网控制系统的安全防护方法中的子流程图；

图4为另一实施方式的配电网控制系统的安全防护方法中的子流程图；

图5为一实施方式的配电网控制系统的安全防护系统的模块示意图；

图6为另一实施方式的配电网控制系统的安全防护系统的模块示意图；

图7为另一实施方式的配电网控制系统的安全防护系统的子模块示意图；

图8为另一实施方式的配电网控制系统的安全防护系统的子模块示意图。

具体实施方式