一种云边协同1+6+N智慧火电厂架构的网络安全系统的制作方法

本发明属于火电机组网络安全，具体涉及一种云边协同1+6+n智慧火电厂架构的网络安全系统。

背景技术：

1、智慧火电厂是基于“智能发电”概念的一种实现形式。以新一代智能管控一体化系统为核心，利用大数据云平台作为运行数据存储，以统一的管控一体化平台作为支撑，全面开拓和整合电站的实时数据处理、子系统运行评估及控制，厂级及区域级管理决策等业务，实现电厂运行、维护和管理的信息化、自动化、智能化，实现全面的人员和设备安全管控。

2、目前，智慧火电厂已成为电厂发展的新趋势，为了达到节能、降耗、减排的目标，推出了云边协同1+6+n智慧火电厂这一新型发电理念和模式，其基于超融合一体化边缘云平台，建设涵盖电厂基建、安全、运行、检修、燃料及管理的6大应用场景，通过智慧火电厂的建设，能够有效提升电厂核心竞争力，推动电厂持续发展。

3、智慧火电厂的体系建设基于工业互联网技术，构建“云边协同”的立体智慧化技术架构，在电厂建设轻量化企业边缘云，与集团云平台互联，并在此架构上构建由智慧基建、智慧安全、智慧运行、智慧检修、智慧管理、智慧燃料六大应用体系和n个智慧功能模块组成的超融合一体化智慧平台(1+6+n模式)智慧火电厂作为关键基础设施，面临着来自网络攻击和安全威胁的风险。网络安全技术在智慧火电厂架构中至关重要，包括数据加密、访问控制、身份认证、入侵检测等手段，以确保系统的安全稳定运行。

4、如何保证云边协同1+6+n智慧火电厂网络能正常的运行不受各种网络黑客的侵害就成为业务系统不可回避的一个紧迫问题，而实现信息化、数字化、智能化、安全化、智慧化的基础，亟需一种云边协同1+6+n智慧火电厂架构的网络安全系统。

技术实现思路

1、本发明的目的在于克服现有网络安全技术不能满足云边协同1+6+n智慧火电厂网络的安全需求的问题，提出了一种云边协同1+6+n智慧火电厂架构的网络安全系统。

2、为达到上述目的，本发明采用如下技术方案：

3、一种云边协同1+6+n智慧火电厂架构的网络安全系统，包括物理安全层，物理安全层包括生产控制大区、信息管理大区和两网融合边界区；生产控制大区为电厂一区，信息管理大区为电厂三区，两网融合边界区在电厂一区与电厂三区之间设置；

4、两网融合边界区设置两网融合边界物理安全层，两网融合边界物理安全层用于电厂一区与电厂三区的正向隔离；电厂一区设置电厂一区物理安全层，电厂一区物理安全层用于对电厂一区的功能隔离分区及保护基础设施；电厂三区设置电厂三区物理安全层，电厂三区物理安全层用于对电厂三区的功能隔离分区及保护基础设施；

5、电厂三区物理安全层与电厂一区物理安全层通过两网融合边界物理安全层连接。

6、进一步地，两网融合边界物理安全层包括单向隔离网闸，用于电厂一区至电厂三区的数据单向摆渡，单向隔离网闸采用单向无反馈传输；

7、数据单向摆渡具体为：电厂三区不能主动向电厂一区传输数据，电厂一区的数据通过单向隔离网闸传入电厂三区，电厂一区的数据包括电厂一区分析生产情况及指导电厂三区各分区业务的数据。

8、进一步地，电厂一区物理安全层包括电厂一区核心区、电厂一区安全管理区、电厂一区其他功能区；电厂一区核心区设置电厂一区核心交换机，电厂一区安全管理区及电厂一区其他功能区均设置交换机，电厂一区核心交换机分别连接dcs、两网融合边界物理安全层及交换机，电厂一区核心交换机与dcs、两网融合边界物理安全层及交换机之间均设置防火墙，电厂一区核心交换机与交换机均采用双机备份机制；电厂一区安全管理区设置电厂一区安全模块。

9、进一步地，电厂三区物理安全层包括电厂三区核心区、电厂三区安全管理区、出口区、1+6+n厂侧边缘云智慧业务区和电厂三区其他功能区；

10、电厂三区核心区设置电厂三区核心交换机，电厂三区核心交换机分别与电厂三区安全管理区、1+6+n厂侧边缘云智慧业务区和电厂三区其他功能区连接；电厂三区核心交换机与电厂三区安全管理区、1+6+n厂侧边缘云智慧业务区和电厂三区其他功能区之间均连接电厂三区防火墙；电厂三区核心交换机与出口区连接，电厂三区核心交换机与出口区之间连接电厂三区防火墙和入侵防御系统，出口区连接外部网络；

11、电厂三区安全管理区设置电厂三区安全模块。

12、进一步地，生产控制大区和信息管理大区均设置主机服务器，主机服务器部署主机安全管理系统并安装安全软件，安全软件包括防病毒软件和身份认证访问控制系统；主机安全管理系统分别与电厂一区电厂三区安全模块和电厂三区电厂三区安全模块连接，主机安全管理系统采用单台主机离线运行的安全管理系统。

13、进一步地，电厂一区安全模块和电厂三区安全模块均设置安全管理平台，安全管理平台安装安全应用，安全应用包括数据库审计应用、日志审计应用、数据备份应用和安全运维应用。

14、进一步地，电厂三区防火墙采用ha部署防火墙，电厂三区核心交换机与电厂三区安全管理区、1+6+n厂侧边缘云智慧业务区和电厂三区其他功能区之间的电厂三区防火墙采用串行形式的ha部署，电厂三区核心交换机与出口区之间连接的电厂三区防火墙和入侵防御系统采用网关形式的ha部署。

15、进一步地，电厂三区核心交换机采用双机冗余交换机，双机冗余交换机采用vrrp技术，具体为通过智慧火电厂分配的ip地址段，使用静态路由、vrrp以及防火墙ha热备技术进行双链路的冗余备份机制。

16、进一步地，双链路的冗余备份机制具体为：当链路及设备工作正常时，电厂三区的1+6+n厂侧边缘云智慧业务区的网络平台的双向互通使用万兆链路；当主用设备故障时，通过vrrp虚拟网关迁移设备进行转发通信。

17、进一步地，包括网络安全层、应用安全层、数据安全层，应用安全层在物理安全层的安全管理平台上部署，用于入侵防御、电厂一区安全管理、电厂三区安全管理及主机安全管理；

18、应用安全层在应用安全层的安全管理平台上部署，用于防病毒、访问控制及身份验证、审计及安全运维管理；应用安全层部署安全监控系统；

19、数据安全层在网络安全层及应用安全层上部署，用于数据生命周期安全、数据访问安全、关键数据保护。

20、与现有技术相比，本发明具有以下有益的技术效果：

21、本发明提出的一种云边协同1+6+n智慧火电厂架构的网络安全系统，将智慧火电厂网络与电厂信息管理大区网络整体融合为一套网络，统一构建，整体建设，形成了一套两网融合网络安全框架结构，并结合网络安全防护策略，全面提升了网络安全架构的防护水平，为智慧火电厂提供了综合性的安全保障；本发明不仅在智慧火电厂的网络安全领域提供了一种全面、高效的解决方案，还为智慧火电厂的数字化转型提供了可靠的保障，推动了其向智能化、高效化方向迈进。

22、进一步地，两网融合网络安全框架结构物理安全层通过网络区域划分和安全隔离设备的部署实现网络隔离，网络安全层维护整个网络及其数据交换的安全，应用安全层保障内部应用层面的安全，数据安全层保障数据的完整性、机密性和可用性；通过两网融合，在信息安全建设和运管平台建设方面，可以进行高度复用，能够很大程度降低项目建设的费用投入。

23、进一步地，两网融合网络安全框架结构将电厂三区信息管理网络的办公网与智慧电厂网络进行有机融合，其优势在于：网络结构清晰、冗余扩展性高、运维复杂度低、经济投入低、权责划分清晰。

24、进一步地，网络安全系统的防护策略跨越多个安全层级，应用于多种系统模块，全面提升了网络安全架构的防护水平，增强了系统的抗攻击能力；通过将智慧火电厂网络与电厂信息管理大区网络融合为一整套网络，在进行运管平台、安全平台建设时可以统一进行建设，减少网络运维复杂度。

25、进一步地，本发明通过合理划分网络区域和部署安全隔离设备，实现了不同安全等级网络之间的隔离，有效防止了网络攻击的扩散，提高了系统的整体安全性。

26、进一步地，本发明通过在应用安全层部署智能安全监控系统，能够及时发现异常情况并采取相应的应对措施，保障了系统的稳定运行，数据安全层采用了多种数据安全措施，包括数据生命周期安全、数据访问安全和关键数据保护等，确保了重要数据的机密性和完整性。