一種并網電站工控系統綜合安全防護方法及系統，包括：現場廠站向現場終端發起接入認證；通過認證后，現場廠站獲取現場終端的運行數據，并將所述運行數據基于現場廠站與主站之間預先構建的網絡傳輸層向所述主站進行加密傳輸。本方案通過在現場廠站和現場終端構建安全加密認證，使得新能源廠站系統在各個環節提高安全性，保證了廠站系統各個環節傳輸的數據包不被惡意篡改和竊聽，提高了系統的運行穩定性和安全性。

技術領域

本發明涉及電力信息安全領域，具體涉及一種并網電站工控系統綜合安全防護方法及系統。

背景技術

電力系統的發電、輸電、變電、配電、用電以及調度等各環節高度依賴信息化。電力系統也逐步由傳統的封閉獨立向開放互聯轉變。使得新能源廠站面臨的網絡安全風險大幅增加。新能源廠站一旦遭受網絡攻擊，可能導致大面積停電事故，給國家及社會正常秩序帶來嚴重影響。

與傳統信息系統相比，新能源廠站具有現場設備復雜且分布廣泛，業務連續性且實時性要求高，多采用專用的網絡傳輸協議等特點。隨著新能源廠站系統逐步向智能化、互動化發展，學者在電網網絡安全方面做了大量研究，但還存在以下問題：(1)大量現場終端設備自身防護薄弱，所處環境不可控，存在被惡意控制，進而威脅主站安全的問題；(2)由于電力業務對實時性要求高，部分專用網絡傳輸協議存在安全機制不足的問題；(3)工控系統設計之初主要關注業務功能，并未充分考慮網絡安全，存在主站對系統網絡攻擊感知能力不高的問題。

發明內容

為了解決現有技術中所存在的新能源廠站信息系統的信息傳遞過程中，易受攻擊威脅的研究的問題，本發明提供了一種并網電站工控系統綜合安全防護方法及系統。

本發明提供的技術方案是：

一種并網電站工控系統綜合安全防護方法，包括：

現場廠站向現場終端發起接入認證；

通過認證后，現場廠站獲取現場終端的運行數據，并將所述運行數據基于現場廠站與主站之間預先構建的網絡傳輸層向所述主站進行加密傳輸。

優選的，所述現場廠站對現場終端進行接入認證，包括：

所述現場廠站制定認證命令；

將所述認證命令進行加密后，發送至現場終端；

所述現場廠站接收到所述現場終端的反饋命令，構建安全握手認證。

優選的，所述現場廠站制定認證命令，并進行加密后發送至現場終端，包括：

所述現場廠站通過CryptoAPI函數生成認證命令，并通過安全握手協商加密對所述認證命令進行加密；

所述現場廠站將所述加密的認證命令基于標準APDU發送至現場終端。

優選的，所述網絡傳輸層的構建，包括：

基于GOOSE/SMV規約的報文格式，增加消息驗證和數字簽名驗證算法；

基于面向多類嵌入式和硬件架構的TLS協議庫，在MMS和TCP/IP協議之間增加TLS/SSL協議層；

通過定制化TLS配置參數，并采用非對稱算法構建所述網絡傳輸層。

優選的，所述基于GOOSE/SMV規約的報文格式，增加消息驗證和數字簽名驗證算法，包括：

計算VLAN報文前8字的CRC值，并存放于保留字段2中，構建消息驗證；

在PDU尾部添加GOOSE報文擴展簽名，且擴展長度存放于保留1字段中，構建數字簽名驗證算法。

一種并網電站工控系統綜合安全防護方法，包括：

現場終端對現場廠站進行接入認證；