專利名稱:一種對隔離裝置統(tǒng)一配置的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電力系統(tǒng)的信息安全技術(shù),特別是涉及一種對隔離裝置統(tǒng)一配置的系統(tǒng)。
背景技術(shù):
電力自動化系統(tǒng)應(yīng)用越來越廣泛,其系統(tǒng)也逐漸增多,網(wǎng)絡(luò)也逐漸復雜化。在各種類型的自動化系統(tǒng)維護以及龐大的網(wǎng)絡(luò)管理方面,有越來越多各種類型的網(wǎng)絡(luò)管理產(chǎn)品產(chǎn)生。但由于電力系統(tǒng)專用物理隔離的特殊性和獨立性,并且其根據(jù)電力系統(tǒng)的技術(shù)要求并不支持網(wǎng)管功能,沒有統(tǒng)一的數(shù)據(jù)接口。存在的也只是對隔離裝置進行簡單的日志監(jiān)聽。所以目前對于隔離裝置這類型的設(shè)備,未能實現(xiàn)基于網(wǎng)絡(luò)的統(tǒng)一管理。隨著電力調(diào)度自動化的不斷深化,在網(wǎng)絡(luò)上運行的各種應(yīng)用和業(yè)務(wù)系統(tǒng)越來越多。這些業(yè)務(wù)系統(tǒng)使得電力系統(tǒng)的生產(chǎn)控制區(qū)與信息管理區(qū)之間數(shù)據(jù)交換不斷增加并越來越頻繁。由于生產(chǎn)控制區(qū)和管理信息區(qū)的安全強度要求差異較大,信息跨區(qū)域的傳遞必須采用高強度的隔離措施。為了保證跨安全區(qū)域的數(shù)據(jù)交換的實時性和解決數(shù)據(jù)流量在隔離裝置傳輸?shù)钠款i,就導致在跨安全區(qū)域通信網(wǎng)絡(luò)中需要部署越來越多的隔離裝置。特別是大型地區(qū)或省電力公司這兩個區(qū)域通信的數(shù)據(jù)流量巨大,而傳統(tǒng)技術(shù)上針對電力專用的物理隔離傳輸速率遠遠無法滿足實際的需求,為了滿足系統(tǒng)通信要求及通信的穩(wěn)定性,往往采用在跨安全區(qū)通信網(wǎng)絡(luò)中部署多臺隔離裝置。這使得隔離裝置的數(shù)量大大增多。同時對這些運行的隔離裝置又沒用一個統(tǒng)一的管理手段,只能對隔離裝置逐個實現(xiàn)配置管理,運行維護存在極大的不便利。`
發(fā)明內(nèi)容
基于此,有必要針對上述問題,提供一種對隔離裝置統(tǒng)一配置的系統(tǒng),能夠?qū)崿F(xiàn)對跨安全區(qū)通信設(shè)備的統(tǒng)一管理,極大的簡化運行維護的工作量。一種對隔離裝置統(tǒng)一配置方法,包括設(shè)置連接訪問的IP地址,并為其端口配置相對應(yīng)的隔離串口 ;導入預設(shè)的命令規(guī)則,獲取各個隔離裝置的訪問路徑。相應(yīng)地,一種對隔離裝置統(tǒng)一配置裝置,包括與串口服務(wù)器相連的串口配置單元,用于設(shè)置連接訪問的IP地址,并為其端口配置相對應(yīng)的隔尚串口;與所述串口服務(wù)器相連的路徑獲取單元,用于導入預設(shè)的命令規(guī)則,獲取各個隔離裝置的訪問路徑。相應(yīng)地,一種對隔離裝置統(tǒng)一配置的系統(tǒng),包括如前所述的對隔離裝置統(tǒng)一配置裝置;用于為所述對隔離裝置統(tǒng)一配置裝置提供隔離串口的串口服務(wù)器;通過所述串口服務(wù)器與所述對隔離裝置統(tǒng)一配置裝置相連的隔離裝置陣列;其中,所述隔離裝置陣列包括至少一個隔離裝置。實施本發(fā)明,具有如下有益效果本發(fā)明針對電力系統(tǒng)通信的現(xiàn)狀,建立一個針對跨安全區(qū)域通信通道中隔離裝置的統(tǒng)一管理平臺,可對各類型的隔離裝置進行統(tǒng)一配置,并對各個隔離的運行通信狀態(tài)進行監(jiān)視及告警,簡化日益繁瑣的跨安全區(qū)通信通道的維護工作,提供便利的跨安全區(qū)通信的管理平臺。
圖1為本發(fā)明對隔離裝置統(tǒng)一配置方法的流程圖;圖2為本發(fā)明對隔離裝置統(tǒng)一配置方法的實施例流程圖;圖3為本發(fā)明對隔離裝置統(tǒng)一配置裝置的示意圖;圖4為本發(fā)明對隔離裝置統(tǒng)一配置裝置的實施例示意圖;圖5為本發(fā)明對隔 離裝置統(tǒng)一配置的系統(tǒng)的示意圖。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明作進一步地詳細描述。圖1為本發(fā)明對隔離裝置統(tǒng)一配置方法的流程圖,包括SlOl :設(shè)置連接訪問的IP地址,并為其端口配置相對應(yīng)的隔離串口 ;S102 :導入預設(shè)的命令規(guī)則,獲取各個隔離裝置的訪問路徑。根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》的要求,電力二次系統(tǒng)劃分為不同的安全工作區(qū),反映了各區(qū)中業(yè)務(wù)系統(tǒng)重要性的差別。不同的安全區(qū)確定了不同的安全防護要求。系統(tǒng)整體分為四個安全區(qū)安全I區(qū)(控制區(qū)),安全II區(qū)(非控制區(qū))、安全III區(qū)(管理信息區(qū))。其中安全I區(qū)和安全II區(qū)與生產(chǎn)相關(guān),因此二者統(tǒng)稱為生產(chǎn)控制區(qū)。由于生產(chǎn)控制區(qū)和管理信息區(qū)的安全強度要求差異較大,信息跨區(qū)域的傳遞必須采用物理隔離的措施。本發(fā)明針對電力系統(tǒng)的隔離裝置進行統(tǒng)一管理配置,搭建針對電力系統(tǒng)隔離裝置的統(tǒng)一管理監(jiān)控的平臺。解決在電力系統(tǒng)跨安全區(qū)域通信中使用大量隔離裝置的配置與監(jiān)控的不便。從而實現(xiàn)對跨安全區(qū)通信設(shè)備的統(tǒng)一管理,極大的簡化運行維護的工作量。與傳統(tǒng)技術(shù)中需要對各個隔離裝置單獨配置的方式不同,本發(fā)明通過串口服務(wù)器建立網(wǎng)絡(luò)連接之后,通過設(shè)置連接訪問的IP地址,并為其端口配置相對應(yīng)的隔離串口,到達對首臺或首批的隔離裝置的配置。對于與所述串口服務(wù)器已經(jīng)相連或?qū)⒁⑦B接關(guān)系的其余隔離裝置,可以根據(jù)預設(shè)的配置規(guī)則實現(xiàn)自動配置。隔離配置裝置導入預設(shè)的命令規(guī)則,獲取各個隔離裝置的訪問路徑,從而實現(xiàn)對各個隔離裝置的統(tǒng)一管理,便于管理人員對設(shè)備運行狀態(tài)的監(jiān)督。為了完成對隔離裝置的初始化操作,在一個實施例當中,本發(fā)明還包括以下步驟通過隔離裝置的訪問路徑,向所述隔離裝置寫入設(shè)備初始化的配置策略;其中,所述配置策略至少包括所述隔離裝置設(shè)備初始化的通信規(guī)則、設(shè)備啟停時間、端口狀態(tài)、地址信息、地址映射情況。
當獲取新接入的隔離裝置的訪問路徑時,向所述隔離裝置寫入設(shè)備初始化的配置策略。必要時,通過所述隔離裝置的訪問路徑,修改所述配置策略。圖2為本發(fā)明對隔離裝置統(tǒng)一配置方法的實施例流程圖。與圖1相比,圖2是本發(fā)明的具體實施例流程圖。S201 :設(shè)置連接訪問的IP地址,并為其端口配置相對應(yīng)的隔離串口 ;S202 :導入預設(shè)的命令規(guī)則,獲取各個隔離裝置的訪問路徑;S203:根據(jù)所述訪問路徑向隔離裝置發(fā)送探測命令,根據(jù)返回信息獲取該隔離裝置的裝置狀態(tài)信息;按照預設(shè)的時間周期獲取實時通信鏈路的鏈路狀態(tài)信息;S204 :獲取的所述裝置狀態(tài)信息和/或所述鏈路狀態(tài)信息設(shè)定報警門限條件,在滿足預設(shè)的報警門限條件時,發(fā)出告警消息;S205 :根據(jù)各個隔離裝置的訪問路徑,向隔離裝置發(fā)出重啟命令,進行重啟操作。本發(fā)明的對隔離裝置統(tǒng)一配置裝置(以下簡稱隔離配置裝置),通過串口服務(wù)器與隔離裝置陣列建立基于網(wǎng)絡(luò)協(xié) 議的通信連接。優(yōu)選地,所述隔離配置裝置與所述串口服務(wù)器之間還包括交換機。其中,所述隔離裝置陣列包括至少一個隔離裝置。由于電力系統(tǒng)的隔離裝置有技術(shù)要求,必須通過串口進行配置和管理,本發(fā)明采用串口服務(wù)器對各個隔離裝置的隔離串口進行統(tǒng)一分配。在一個實施例中,本發(fā)明的隔離配置裝置與串口服務(wù)器之間通過TCP會話進行通信,通過TCP不同的通信端口來區(qū)分各個隔離裝置。建立通信后再對各個隔離裝置進行配置下發(fā),之后,其余的隔離裝置可以根據(jù)預設(shè)配置規(guī)則,進行模仿自動生成配置參數(shù)。優(yōu)選地,配置規(guī)則為,對首臺隔離裝置配置的參數(shù),包括IP地址和MAC地址,則下一臺隔離裝置的參數(shù)為上一臺隔離裝置的IP+1和MAC+1的方式配置。最后,隔離配置裝置導入該預設(shè)的命令規(guī)則,經(jīng)用戶確認后或手工修改配置后,獲取各個隔離裝置的訪問路徑。具體地,需要在串口服務(wù)器定義一個連接訪問的IP地址,并設(shè)置對應(yīng)的端口與其連接的串口相對應(yīng),例如連接192. 168. 2. 1:9090代表連接了串口服務(wù)器的串口 1,則連接成功后就可以對串口 I進行發(fā)送操作命令。通過TCP連接轉(zhuǎn)換則管理平臺可以同時建立多個連接,來控制多個串口。因為隔離裝置是只能通過串口來實現(xiàn)管理配置,所以要同時對多個隔離裝置進行管理則需要多個串口,通過串口服務(wù)器相當就是為管理平臺提供便利的多個串口連接。在與串口服務(wù)器建立多個TCP通信后,向隔離裝置發(fā)送設(shè)備狀態(tài)的探測命令,根據(jù)返回信息分析獲取設(shè)備的裝置運行狀態(tài)信息,其中,所述裝置狀態(tài)信息至少包括CPU利用率、內(nèi)存使用狀態(tài)和設(shè)備在線/離線狀態(tài)。管理人員還可以按照預設(shè)的時間周期獲取實時通信鏈路的鏈路狀態(tài)信息;其中,所述鏈路狀態(tài)信息包括當前通信的鏈路的建立時間、連接端口,數(shù)據(jù)包的發(fā)送大小。為獲取的所述裝置狀態(tài)信息和/或所述鏈路狀態(tài)信息設(shè)定報警門限條件;當判斷隔離裝置為設(shè)備離線狀態(tài)時,發(fā)出離線狀態(tài)告警;當判斷隔離裝置的CPU利用率超過預設(shè)門限時,發(fā)出隔離裝置CPU告警;當判斷隔離裝置的內(nèi)存使用率超過預設(shè)門限時,發(fā)出隔離裝置內(nèi)存告警;當判斷隔離裝置的所述返回信息不正常時,發(fā)出隔離裝置錯誤告警;
當判斷實時通信鏈路的TCP連接中斷時,發(fā)出鏈路中斷告警。本發(fā)明還包括日志查詢與審計的功能,其中,日志記錄信息包括如下四個方面A、隔離基本信息,包含CPU、內(nèi)存等基本信息;B、隔離鏈路信息,正在通信的鏈路情況,鏈路建立的時間、鏈路狀態(tài),協(xié)議類型,連接端口,數(shù)據(jù)包的發(fā)送大??;C、設(shè)備在線記錄,隔離的在線和掉線的情況,每I分鐘采樣一次;D、管理平臺運行情況,用戶登錄時間,操作動作等。優(yōu)選地,還可以設(shè)置管理平臺用戶的權(quán)限,分別為用戶管理員,配置管理員,審計管理員三個,用戶管理員可以建立多個用戶角色,配置管理員只可以進行參數(shù)配置,審計管理員只可以進行運行日志查看,和鏈路查看,不能實現(xiàn)參數(shù)修改操作。用戶可以設(shè)置告警規(guī)則,如隔離在線離線告警,隔離通信鏈路的TCP連接中斷告警,隔離CPU、內(nèi)存使用率告警、隔離返回狀態(tài)不正常告警。必要時,用戶可以根據(jù)情況對隔離發(fā)送重啟命令,進行重啟操作。圖3為本發(fā)明對隔離裝置統(tǒng)一配置裝置的示意圖,包括與串口服務(wù)器相連的串口配置單元,用于設(shè)置連接訪問的IP地址,并為其端口配置相對應(yīng)的隔尚串口;與所述串口配置單元、所述串口服務(wù)器分別相連的路徑獲取單元,用于導入預設(shè)的命令規(guī)則,獲取各個隔離裝置的訪問路徑。
圖3與圖1的方法相對應(yīng),圖中各個單元的運行方式與方法中的相同。圖4為本發(fā)明對隔離裝置統(tǒng)一配置裝置的實施例示意圖。如圖4所示,包括與所述路徑獲取單元相連的設(shè)備配置單元,用于通過隔離裝置的訪問路徑,向所述隔離裝置寫入設(shè)備初始化的配置策略;還用于修改所述配置策略;與所述路徑獲取單元相連的隔離查詢單元,用于根據(jù)所述訪問路徑向隔離裝置發(fā)送探測命令,根據(jù)返回信息獲取該隔離裝置的裝置狀態(tài)信息;其中,所述裝置狀態(tài)信息至少包括CPU利用率、內(nèi)存使用狀態(tài)和設(shè)備在線/離線狀態(tài);與所述路徑獲取單元相連的鏈路查詢單元,用于按照預設(shè)的時間周期獲取實時通信鏈路的鏈路狀態(tài)信息;其中,所述鏈路狀態(tài)信息包括當前通信的鏈路的建立時間、連接端口,數(shù)據(jù)包的發(fā)送大小。在一個實施例當中,包括與所述隔離查詢單元、所述鏈路查詢單元分別相連的自動報警單元,用于為獲取的所述裝置狀態(tài)信息和/或所述鏈路狀態(tài)信息設(shè)定報警門限條件,在滿足預設(shè)的報警門限條件時,發(fā)出告警消息。在一個實施例當中,還包括與所述路徑獲取單元相連的設(shè)備重啟單元,用于根據(jù)各個隔離裝置的訪問路徑,向隔離裝置發(fā)出重啟命令,進行重啟操作。圖4與圖2的方法相對應(yīng),圖中各個單元的運行方式與方法中的相同。圖5為本發(fā)明對隔離裝置統(tǒng)一配置的系統(tǒng)的示意圖,包括如前所述的對隔離裝置統(tǒng)一配置裝置;
用于為所述對隔離裝置統(tǒng)一配置裝置提供隔離串口的串口服務(wù)器;通過所述串口服務(wù)器與所述對隔離裝置統(tǒng)一配置裝置相連的隔離裝置陣列;其中,所述隔離裝置陣列包括至少一個隔離裝置。在其中一個實施例中所述對隔離裝置統(tǒng)一配置裝置與所述隔離裝置之間采用TCP/IP協(xié)議的通信方式。綜上所述,與相比現(xiàn)有技術(shù)方案,本發(fā)明具有以下優(yōu)點第一,簡化了跨安全區(qū)網(wǎng)絡(luò)建設(shè)和維護的復雜度。通過統(tǒng)一設(shè)置管理平臺,實現(xiàn)跨安全區(qū)隔離設(shè)備的便利維護。第二,提高了對跨安全區(qū)隔離設(shè)備的管理維護,對通信設(shè)備狀態(tài)實現(xiàn)實時的維護及告警。第三,在統(tǒng)一的平臺下管理,摒除各種廠家隔離裝置維護的復雜性,可實現(xiàn)對所有隔離設(shè)備配
置的統(tǒng)一備份管理。以上所述實施例僅表達了本發(fā)明的幾種實施方式,其描述較為具體和詳細,但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進,這些都屬于本發(fā)明的保護范圍。因此,本發(fā)明專利的`保護范圍應(yīng)以所附權(quán)利要求為準。
權(quán)利要求
1.一種對隔離裝置統(tǒng)一配置方法,其特征在于,包括 設(shè)置連接訪問的IP地址,并為其端口配置相對應(yīng)的隔離串口 ; 導入預設(shè)的命令規(guī)則,獲取各個隔離裝置的訪問路徑。
2.根據(jù)權(quán)利要求1所述的對隔離裝置統(tǒng)一配置方法,其特征在于,獲取各個隔離裝置的訪問路徑的步驟之后,包括 通過隔離裝置的訪問路徑,向所述隔離裝置寫入設(shè)備初始化的配置策略; 當獲取新接入的隔離裝置的訪問路徑時,向所述隔離裝置寫入設(shè)備初始化的配置策略。
3.根據(jù)權(quán)利要求2所述的對隔離裝置統(tǒng)一配置方法,其特征在于,向所述隔離裝置寫入設(shè)備初始化的配置策略的步驟之后,還包括 通過所述隔離裝置的訪問路徑,修改所述配置策略。
4.根據(jù)權(quán)利要求1至3任一項所述的對隔離裝置統(tǒng)一配置方法,其特征在于,獲取各個隔離裝置的訪問路徑的步驟之后,包括 根據(jù)所述訪問路徑向隔離裝置發(fā)送探測命令,根據(jù)返回信息獲取該隔離裝置的裝置狀態(tài)信息;其中,所述裝置狀態(tài)信息至少包括CPU利用率、內(nèi)存使用狀態(tài)和設(shè)備在線/離線狀態(tài); 按照預設(shè)的時間周期獲取實時通信鏈路的鏈路狀態(tài)信息;其中,所述鏈路狀態(tài)信息包括當前通信的鏈路的建立時間、連接端口,數(shù)據(jù)包的發(fā)送大小。
5.根據(jù)權(quán)利要求4所述的對隔離裝置統(tǒng)一配置方法,其特征在于 為獲取的所述裝置狀態(tài)信息和/或所述鏈路狀態(tài)信息設(shè)定報警門限條件; 當判斷隔離裝置為設(shè)備離線狀態(tài)時,發(fā)出離線狀態(tài)告警; 當判斷隔離裝置的CPU利用率超過預設(shè)門限時,發(fā)出隔離裝置CPU告警; 當判斷隔離裝置的內(nèi)存使用率超過預設(shè)門限時,發(fā)出隔離裝置內(nèi)存告警; 當判斷隔離裝置的所述返回信息不正常時,發(fā)出隔離裝置錯誤告警; 當判斷實時通信鏈路的TCP連接中斷時,發(fā)出鏈路中斷告警。
6.根據(jù)權(quán)利要求1至5任一項所述的對隔離裝置統(tǒng)一配置方法,其特征在于,包括 根據(jù)各個隔離裝置的訪問路徑,向隔離裝置發(fā)出重啟命令,進行重啟操作。
7.一種對隔離裝置統(tǒng)一配置裝置,其特征在于,包括 與串口服務(wù)器相連的串口配置單元,用于設(shè)置連接訪問的IP地址,并為其端口配置相對應(yīng)的隔離串口; 與所述串口配置單元、所述串口服務(wù)器分別相連的路徑獲取單元,用于導入預設(shè)的命令規(guī)則,獲取各個隔離裝置的訪問路徑。
8.根據(jù)權(quán)利要求7所述的對隔離裝置統(tǒng)一配置裝置,其特征在于,包括 與所述路徑獲取單元相連的設(shè)備配置單元,用于通過隔離裝置的訪問路徑,向所述隔離裝置寫入設(shè)備初始化的配置策略;還用于修改所述配置策略; 與所述路徑獲取單元相連的隔離查詢單元,用于根據(jù)所述訪問路徑向隔離裝置發(fā)送探測命令,根據(jù)返回信息獲取該隔離裝置的裝置狀態(tài)信息;其中,所述裝置狀態(tài)信息至少包括CPU利用率、內(nèi)存使用狀態(tài)和設(shè)備在線/離線狀態(tài); 與所述路徑獲取單元相連的鏈路查詢單元,用于按照預設(shè)的時間周期獲取實時通信鏈路的鏈路狀態(tài)信息;其中,所述鏈路狀態(tài)信息包括當前通信的鏈路的建立時間、連接端口,數(shù)據(jù)包的發(fā)送大小。
9.根據(jù)權(quán)利要求8所述的對隔離裝置統(tǒng)一配置裝置,其特征在于,包括 與所述隔離查詢單元、所述鏈路查詢單元分別相連的自動報警單元,用于為獲取的所述裝置狀態(tài)信息和/或所述鏈路狀態(tài)信息設(shè)定報警門限條件,在滿足預設(shè)的報警門限條件時,發(fā)出告警消息。
10.根據(jù)權(quán)利要求7至9任一項所述的對隔離裝置統(tǒng)一配置裝置,其特征在于,包括 與所述路徑獲取單元相連的設(shè)備重啟單元,用于根據(jù)各個隔離裝置的訪問路徑,向隔離裝置發(fā)出重啟命令,進行重啟操作。
11.一種對隔離裝置統(tǒng)一配置的系統(tǒng),其特征在于,包括 如權(quán)利要求7至10任一項所述的對隔離裝置統(tǒng)一配置裝置; 用于為所述對隔離裝置統(tǒng)一配置裝置提供隔離串口的串口服務(wù)器; 通過所述串口服務(wù)器與所述對隔離裝置統(tǒng)一配置裝置相連的隔離裝置陣列;其中,所述隔離裝置陣列包括至少一個隔離裝置。
12.根據(jù)權(quán)利要求11所述的對隔離裝置統(tǒng)一配置的系統(tǒng),其特征在于,包括 所述對隔離裝置統(tǒng)一配置裝置與所述隔離裝置之間采用TCP/IP協(xié)議的通信方式。
全文摘要
本發(fā)明公開了一種對隔離裝置統(tǒng)一配置的系統(tǒng)。該系統(tǒng)包括對隔離裝置統(tǒng)一配置裝置;用于為所述對隔離裝置統(tǒng)一配置裝置提供隔離串口的串口服務(wù)器;通過所述串口服務(wù)器與所述對隔離裝置統(tǒng)一配置裝置相連的隔離裝置陣列;其中,所述隔離裝置陣列包括至少一個隔離裝置。采用本發(fā)明,可以對各類型各廠家的隔離進行統(tǒng)一配置,并對各個隔離的運行通信狀態(tài)進行監(jiān)視及告警,解決日益繁瑣的跨安全區(qū)通信通道的維護,提供便利的跨安全區(qū)通信的管理平臺。
文檔編號H04L12/24GK103036881SQ20121053600
公開日2013年4月10日 申請日期2012年12月11日 優(yōu)先權(quán)日2012年12月11日
發(fā)明者徐展強, 蘇揚, 周安, 鄧大為, 曾堅永, 陳敏超 申請人:廣東電網(wǎng)公司電力調(diào)度控制中心, 珠海市鴻瑞軟件技術(shù)有限公司