[发明专利]一种电力生产控制大区的信息安全监测系统

说明书

本发明提供一种电力生产控制大区的信息安全监测系统，包括监控报文采集设备、监控报文分析设备和信息安全监测平台，监控报文采集设备用于对生产控制大区中的网络流量进行采集；监控报文分析设备用于根据应用环境，对不同的电力监控系统专用通信协议进行解析；信息安全监测平台分别与监控报文采集设备和监控报文分析设备信号连接，信息安全监测平台对监控报文采集设备采集的网络流量和监控报文分析设备解析的报文进行业务行为学习和异常行为监测，整合生产控制大区和管理信息大区中的安全设备日志，建立业务模型，感知电力监控网络中的信息安全异常行为和潜在攻击，保障电力系统的安全稳定进行。

技术领域

本发明涉及工业控制系统现场网络信息安全技术领域，特别是涉及一种电力生产控制大区的信息安全监测系统。

背景技术

电力监控系统采用通用网络与信息技术，不可避免的引入了信息安全问题。尽管通过网络隔离技术将电力监控系统的生产控制大区与管理信息大区隔离开来，使得电力监控系统处于相对封闭安全的环境；但随着针对工业控制系统安全攻击的增加，以及各界对工控系统信息安全问题的关注，使得包括电力监控系统在内的控制系统的产品信息获取渠道更清晰，攻击者学习各种控制系统软件、固件和通信协议的机会增加。

目前的防火墙、入侵检测系统、防病毒、态势感知等信息安全产品的防护对象均为通用的IT设备、操作系统、软件和通信协议，无法针对性的分析和监测电力监控系统中的异常行为和潜在威胁。亟需一种监测系统，能够跨电力监控的生产控制大区和管理信息大区，针对电力监控系统的业务特点，同时联合传统安全设备，实现对电力生产监控网络的安全感知。

发明内容

有鉴于此，本发明的目的是针对现有技术的不足，提供一种电力生产控制大区的信息安全监测系统，可以针对电力监控系统的业务特点，同时联合传统安全设备，实现对电力生产监控网络的安全感知。

为达到上述目的，本发明采用以下技术方案：

一种电力生产控制大区的信息安全监测系统，监测系统包括：

监控报文采集设备，用于对生产控制大区中的网络流量进行采集；

监控报文分析设备，用于根据应用环境，对不同的电力监控系统专用通信协议进行解析；

信息安全监测平台，分别与监控报文采集设备和监控报文分析设备信号连接，信息安全监测平台对监控报文采集设备采集的网络流量和监控报文分析设备解析的报文进行业务行为学习和异常行为监测，整合生产控制大区和管理信息大区中的安全设备日志，建立业务模型，感知电力监控网络中的信息安全异常行为和潜在攻击。

进一步的，应用环境包括：电厂离散控制系统、电厂辅助控制系统、变电站自动化系统、调度自动化系统、配网自动化系统。

进一步的，信息安全监测平台对网络流量中的协议分布、发包频度、连接情况分布进行统计，识别流量级的异常行为并告警。

进一步的，信息安全监测平台根据系统、设备间的报文交互，自动学习业务逻辑关系和合法业务操作，识别业务操作中的异常行为并告警。

进一步的，生产控制大区和管理信息大区的安全设备包括生产控制大区中的防火墙、管理信息大区中防火墙、网络入侵检测系统、主机安全防护软件。

与现有技术相比，本发明提供的电力生产控制大区的信息安全监测系统具有以下有益效果：

本发明提供的电力生产控制大区的信息安全监测系统包括监控报文采集设备、监控报文分析设备和信息安全监测平台。通过对生产控制大区中的网络流量进行采集，根据应用环境对不同的电力监控系统专用通信协议进行解析；整合生产控制大区和管理信息大区中的安全设备日志，建立业务模型，感知电力监控网络中的信息安全异常行为和潜在攻击，保障电力系统的安全稳定进行。

附图说明

下面结合附图对本发明做进一步的详细说明。