[发明专利]一种变电站二次设备集中安防运维方法及系统

说明书

本发明提供了一种变电站二次设备集中安防运维方法及系统，包括如下步骤：S1.在录波器与调度数据网之间接入合规并网装置，合规并网装置实时接收站内录波器上送的数据，利用入侵检测技术过滤出符合入侵特征的威胁数据，利用反向追踪技术进行威胁拦截和阻断；S2.合规并网装置利用威胁和对抗分析相结合的方式对感知到的威胁进行风险预警和综合评估；S3.在全网范围内实施有效防御措施，提高装置自身的安全防护能力。本发明利用对变电站所有录波器统一进行安全监管代理的合规并网装置，实现威胁的主动感知和诊断预警，通过调度侧的录波主站信息收集和分析技术，形成安全问题的集中分析和策略部署，最终实现变电站二次设备集中安防运维。

技术领域

本发明涉及继电保护技术领域，具体而言，涉及一种变电站二次设备集中安防运维方法及系统。

背景技术

变电站二次设备不仅分布广泛、数量庞大、类型繁杂，而且投放时间各异、安全水平参差不齐，安防整改同步实施难以实现。相较于采用入网软件直接并网的保护装置等嵌入式设备，利用后台管理机并网的录波器安全问题最为突出。南方电网已有超过50％的录波器因无有效的安防整改手段，不得不大面积脱网运行，数据无法正常上送；部分安防整改后达标的录波器，虽暂时符合电网安全等级的要求，但其安防体系长期处于静态，仍存在安全隐患。目前采用分头安防整改的现场运维模式，已暴露出整改效率低下、效果不可控等问题，而且也无法从根本上解决安防要求持续更新的难题，变电站二次设备安防运维模式优化，成为电力系统网络信息安全保障工作中亟待解决的问题。

录波器的寿命周期为12年，采用前后台结构，其并网部件为后台管理机。如此长的时间跨度导致相当数量的老旧录波器后台管理机无法满足新形势下的网络信息安全管控要求，从而无法并网。目前采取分头安防整改的现场运维模式弊端分析如下：

1)周期性地派人下站进行反复的安防加固改造，不仅沟通成本高、整改效果不可控，且工作重复、效率低下；

2)设备数量庞大，地域分布广泛，人力和物力投入大，耗时费力，且实时性差；

3)人工安防加固过程长，以经验为主，不可控因素多，容易引发次生问题。

发明内容

本发明要解决的问题是：目前采用分头安防整改的现场运维模式，已暴露出整改效率低下、效果不可控等问题，而且也无法从根本上解决安防要求持续更新的难题。

为解决上述问题，一方面，本发明提供一种变电站二次设备集中安防运维方法，其中，包括如下步骤：

S1.在录波器与调度数据网之间接入合规并网装置，合规并网装置实时接收站内录波器上送的数据，用于防止录波器数据被非法篡改或与录波器连接的链路遭受网络攻击等问题的发生，对包括数据源IP、MAC地址、设备端口、数据格式、携带病毒的情况进行检查，利用入侵检测技术筛选出符合预先通信设置和格式、内容审计要求的录波数据，过滤出符合入侵特征的威胁数据，利用反向追踪技术，追溯到恶意代码、非法行为的来源，进行威胁拦截和阻断；

S2.合规并网装置利用威胁和对抗分析相结合的方式对感知到的威胁进行风险预警和综合评估，录波主站对合规并网装置上报的风险进行综合评估和等级评定，制定相应的短期对策，包括高危端口暂时屏蔽、数据传输链路转移的应对办法，使得风险暂时规避，获取更多时间制定长期有效的安防策略；

S3.对风险进行策略的制定和验证，进行攻防演练，确认策略的有效性、可行性和归属类别，在全网范围内实施有效防御措施，运维管理平台利用策略部署的方式进行分布式合规并网装置安防体系策略库的版本升级，用于实现变电站内合规并网装置安全策略的统一部署和集中运维的目标，提高装置自身的安全防护能力。

优选地，所述入侵检测技术即基于入侵检测的威胁主动感知，建立录波数据特征库和入侵特征信息库，对录波数据的需求内容进行定义，对已出现过的包括非法入侵的风险行为进行特征提取，利用适合于海量数据环境的基于深度信念网络的多类支持向量机入侵检测技术进行数据筛选，具体包括如下步骤：