[发明专利]一种并网电站工控系统综合安全防护方法及系统

说明书

一种并网电站工控系统综合安全防护方法及系统，包括：现场厂站向现场终端发起接入认证；通过认证后，现场厂站获取现场终端的运行数据，并将所述运行数据基于现场厂站与主站之间预先构建的网络传输层向所述主站进行加密传输。本方案通过在现场厂站和现场终端构建安全加密认证，使得新能源厂站系统在各个环节提高安全性，保证了厂站系统各个环节传输的数据包不被恶意篡改和窃听，提高了系统的运行稳定性和安全性。

技术领域

本发明涉及电力信息安全领域，具体涉及一种并网电站工控系统综合安全防护方法及系统。

背景技术

电力系统的发电、输电、变电、配电、用电以及调度等各环节高度依赖信息化。电力系统也逐步由传统的封闭独立向开放互联转变。使得新能源厂站面临的网络安全风险大幅增加。新能源厂站一旦遭受网络攻击，可能导致大面积停电事故，给国家及社会正常秩序带来严重影响。

与传统信息系统相比，新能源厂站具有现场设备复杂且分布广泛，业务连续性且实时性要求高，多采用专用的网络传输协议等特点。随着新能源厂站系统逐步向智能化、互动化发展，学者在电网网络安全方面做了大量研究，但还存在以下问题：(1)大量现场终端设备自身防护薄弱，所处环境不可控，存在被恶意控制，进而威胁主站安全的问题；(2)由于电力业务对实时性要求高，部分专用网络传输协议存在安全机制不足的问题；(3)工控系统设计之初主要关注业务功能，并未充分考虑网络安全，存在主站对系统网络攻击感知能力不高的问题。

发明内容

为了解决现有技术中所存在的新能源厂站信息系统的信息传递过程中，易受攻击威胁的研究的问题，本发明提供了一种并网电站工控系统综合安全防护方法及系统。

本发明提供的技术方案是：

一种并网电站工控系统综合安全防护方法，包括：

现场厂站向现场终端发起接入认证；

通过认证后，现场厂站获取现场终端的运行数据，并将所述运行数据基于现场厂站与主站之间预先构建的网络传输层向所述主站进行加密传输。

优选的，所述现场厂站对现场终端进行接入认证，包括：

所述现场厂站制定认证命令；

将所述认证命令进行加密后，发送至现场终端；

所述现场厂站接收到所述现场终端的反馈命令，构建安全握手认证。

优选的，所述现场厂站制定认证命令，并进行加密后发送至现场终端，包括：

所述现场厂站通过CryptoAPI函数生成认证命令，并通过安全握手协商加密对所述认证命令进行加密；

所述现场厂站将所述加密的认证命令基于标准APDU发送至现场终端。

优选的，所述网络传输层的构建，包括：

基于GOOSE/SMV规约的报文格式，增加消息验证和数字签名验证算法；

基于面向多类嵌入式和硬件架构的TLS协议库，在MMS和TCP/IP协议之间增加TLS/SSL协议层；

通过定制化TLS配置参数，并采用非对称算法构建所述网络传输层。

优选的，所述基于GOOSE/SMV规约的报文格式，增加消息验证和数字签名验证算法，包括：

计算VLAN报文前8字的CRC值，并存放于保留字段2中，构建消息验证；

在PDU尾部添加GOOSE报文扩展签名，且扩展长度存放于保留1字段中，构建数字签名验证算法。

一种并网电站工控系统综合安全防护方法，包括：

现场终端对现场厂站进行接入认证；