本發明公開了一種過程層隔離裝置配置方法，步驟1，將變電站的SCD模型導入過程層隔離裝置；步驟2，從SCD模型中提取有效的GOOSE/SV數據流，數據流屬性包括：目的MAC地址、報文類型、虛擬局域網ID、應用標識、GOOSE控制塊/SMV控制塊；步驟3，將過程層隔離裝置以全通策略方式接入網絡并對流量進行嗅探，從流量中提取GOOSE/SV連接；步驟4，對步驟3中提取的GOOSE/SV連接匹配步驟2中有效的GOOSE/SV數據流并生成白名單配置，對未匹配到的數據流進行告警。本發明提供的一種過程層隔離裝置配置方法，減少了現場的配置工作，提高了變電站運維管理的效率和準確性。

技術領域

本發明涉及一種過程層隔離裝置配置方法，屬于智能變電站控制方法技術領域。

背景技術

隨著智能變電站的普及和變電站網絡安全重要性的日益提高，變電站過程層網絡的安全性問題也逐漸顯現。傳統變電站的網絡安全主要考慮站控層網絡或調度數據網的網絡安全，但是過程層網絡的安全卻往往被忽視。事實上，作為最接近一次設備的網絡，過程層網絡直接影響了數據的采集和控制，如果過程層網絡被入侵，影響重大。

過程層網絡的主要風險，來自于站外配網過程層網絡和站內的互聯。由于站外網絡暴露和被攻擊的可性能性較大，站外網絡接入站內的安全性需要謹慎考慮。而工程人員往往缺乏專業的知識來對過程層隔離裝置進行深入的配置，現場工作的效率或安全性受到了影響。

上述問題是本領域技術人員急需要解決的問題。

發明內容

目的：為了克服現有技術中存在的不足，本發明提供一種過程層隔離裝置配置方法，考慮到變電站中有全站模型的SCD文件，通過對SCD模型中有效GOOSE/SV數據流的提取，并匹配過程層隔離裝置的流量信息，獲得過程層隔離裝置的白名單配置，提高了變電站運維管理的效率和準確性。

技術方案：為解決上述技術問題，本發明采用的技術方案為：

一種過程層隔離裝置配置方法，包括如下步驟：

步驟1，將變電站的SCD模型導入過程層隔離裝置。

步驟2，從SCD模型中提取有效的GOOSE/SV數據流，數據流屬性包括：目的MAC地址、報文類型、虛擬局域網ID、應用標識、GOOSE控制塊/SMV控制塊。

步驟3，將過程層隔離裝置以全通策略方式接入網絡并對流量進行嗅探，從流量中提取GOOSE/SV連接。

步驟4，對步驟3中提取的GOOSE/SV連接匹配步驟2中有效的GOOSE/SV數據流并生成白名單配置，對未匹配到的數據流進行告警。

優選的，步驟1中，變電站的SCD模型包含了全站需要通過GOOSE/SV通信的裝置的模型。

優選的，所述導入過程層隔離裝置的方式包括：通過過程層隔離裝置的web配置界面導入，或者是將SCD模型拷貝在移動存儲器中通過裝置的USB接口導入裝置固定目錄。

優選的，步驟2具體包括：通過匹配Communication標簽下，SubNetwork標簽中屬性為“IECGOOSE”或“SMV”來獲得有效的GOOSE/SV數據流的目的MAC地址、報文類型、虛擬局域網ID、應用標識。

優選的，步驟2具體包括：通過匹配IED標簽下，GSEControl標簽來獲得有效的GOOSE數據流的GOOSE控制塊屬性。

優選的，步驟2具體包括：通過匹配IED標簽下，SMV和SampledValueControl標簽來獲得有效的SV數據流的SMV控制塊屬性。

優選的，步驟3中從流量中提取的GOOSE/SV連接的屬性包括：源MAC地址、目的MAC地址、報文類型、虛擬局域網ID、應用標識、GOOSE控制塊/SMV控制塊、流量入接口和流量出接口。