(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111506947.6 (22)申请日 2021.12.10 (71)申请人 南京南瑞继保电气有限公司 地址 211102 江苏省南京市江宁区苏源大 道69号 申请人 南京南瑞继保工程 技术有限公司 (72)发明人 曹翔　陈桂友　林青　汤震宇　 缪海飞　陶耕宇　周岩　胡绍谦　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 代理人 母秋松 (51)Int.Cl. H04L 9/40(2022.01) H02J 13/00(2006.01) H04L 41/0631(2022.01)H04L 41/0803(2022.01) H04L 67/02(2022.01) H04L 67/12(2022.01) (54)发明名称 一种过程层隔离装置 配置方法 (57)摘要 本发明公开了一种过程层隔离装置配置方 法， 步骤1， 将变电站 的SCD模型导入过程层隔离 装置； 步骤2， 从SCD模型中提取有效的GOOSE/SV 数据流， 数据流属性包括： 目的MAC地址、 报文类 型、 虚拟局域网ID、 应用标识、 GOOSE控制块/SMV 控制块； 步骤3， 将过程层隔离装置以全通策略方 式接入网络并对流量进行嗅探， 从流量中提取 GOOSE/SV连接； 步骤4， 对步骤3中提取的GOOSE/ SV连接匹配步骤2中有效的GOOSE/SV数据流并生 成白名单配置， 对未匹配到的数据流进行告警。 本发明提供的一种过程层隔离装置配置方法， 减 少了现场的配置工作， 提高了变电站运维管理的 效率和准确性。 权利要求书1页 说明书4页 附图1页 CN 114338096 A 2022.04.12 CN 114338096 A 1.一种过程层隔离装置配置方法， 其特 征在于： 包括如下步骤： 步骤1， 将变电站的SCD模型导入过程层隔离装置； 步骤2， 从SCD模型中提取有效 的GOOSE/SV数据流， 数据流属性包括： 目的MAC地址、 报文 类型、 虚拟局域网ID、 应用标识、 G OOSE控制块/SMV控制块； 步骤3， 将过程层隔离装置以全通策略方式接入 网络并对流量进行嗅探， 从流量中提取 GOOSE/SV连接； 步骤4， 对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生成 白 名单配置， 对未匹配到的数据流进行告警。 2.根据权利要求1所述的一种过程层隔离装置配置方法， 其特征在于： 步骤1中， 变电站 的SCD模型包 含了全站需要通过G OOSE/SV通信的装置的模型。 3.根据权利要求1所述的一种过程层隔离装置配置方法， 其特征在于： 所述导入过程层 隔离装置的方式包括： 通过过程层隔离装置的web配置界面导入， 或者是将SCD模型拷贝在 移动存储器中通过装置的USB接口导入 装置固定目录 。 4.根据权利要求1所述的一种过程层隔离装置配置方法， 其特征在于： 步骤2具体包括： 通过匹配Co mmunication标签下， S ubNetwork标签中属性为 “IECGOOSE ”或“SMV”来获得有效 的GOOSE/SV数据流的目的MAC地址、 报文类型、 虚拟局域网ID、 应用标识。 5.根据权利要求1所述的一种过程层隔离装置配置方法， 其特征在于： 步骤2具体包括： 通过匹配IED标签下， GSE Control标签来获得有效的G OOSE数据流的G OOSE控制块属性。 6.根据权利要求1所述的一种过程层隔离装置配置方法， 其特征在于： 步骤2具体包括： 通过匹配IED标签下， SMV和SampledValueControl标签来获得有效的SV数据流的SMV控制块 属性。 7.根据权利要求1所述的一种过程层隔离装置配置方法， 其特征在于： 步骤3中从流量 中提取的GOOSE/SV连接的属性包括： 源MAC地址、 目的MAC地址、 报文类型、 虚拟局域网ID、 应 用标识、 G OOSE控制块/SMV控制块、 流 量入接口和流 量出接口。 8.根据权利要求1所述的一种过程层隔离装置配置方法， 其特征在于： 所述步骤4的中 的具体匹配方法为： 将嗅探到的GOOSE/SV连接， 与步骤2中的有效GOOSE/SV数据流进行逐个 属性的对比； 若匹配成功， 则形成一条白名单配置 。 9.根据权利要求1所述的一种过程层隔离装置配置方法， 其特征在于： 所述步骤4中的 匹配若没有成功， 则 未匹配到的数据流进行告警， 所述告警方式是syslog方式或者snmp方 式。权　利　要　求　书 1/1 页 2 CN 114338096 A 2一种过程层隔离装置配置方 法 技术领域 [0001]本发明涉及一种过程层隔离装置配置方法， 属于智能变电站控制方法技 术领域。 背景技术 [0002]随着智能变电站的普及和变电站网络安全重要性的日益提高， 变电站过程层网络 的安全性问题也逐渐显现。 传统变电站的网络安全主要考虑站控层网络或调 度数据网的网 络安全， 但是过程层网络的安全却往往被忽视。 事实上， 作为最接近一次设备 的网络， 过程 层网络直接影响了数据的采集和控制， 如果过程层网络被入侵， 影响重大。 [0003]过程层网络 的主要风险， 来自于站外配网过程层网络和站内的互联。 由于站外网 络暴露和被攻击的可性能性较大， 站外网络接入站内的安全性需要谨慎考虑。 而工程人员 往往缺乏专 业的知识 来对过程层隔离装置进 行深入的配置， 现场工作的效率或安全性受到 了影响。 [0004]上述问题是本领域 技术人员急需要解决的问题。 发明内容 [0005]目的： 为了克服现有技术中存在的不足， 本发明提供一种过程层隔离装置配置方 法， 考虑到变电站中有全站模型的SCD文件， 通过对SCD模型中有效GOOSE/SV数据流的提取， 并匹配过程层 隔离装置的流量信息， 获得过程层隔离装置的白名单配置， 提高了变电站运 维管理的效率和准确性。 [0006]技术方案： 为 解决上述 技术问题， 本发明采用的技 术方案为： 一种过程层隔离装置配置方法， 包括如下步骤： 步骤1， 将变电站的SCD模型导入过程层隔离装置 。 [0007]步骤2， 从SCD模型中提取有效的GOOSE/SV数据流， 数据流属性包括： 目的MAC地址、 报文类型、 虚拟局域网ID、 应用标识、 G OOSE控制块/SMV控制块。 [0008]步骤3， 将过程层隔离装置以全通策略方式接入网络并对流量进行嗅探， 从流量中 提取GOOSE/SV连接。 [0009]步骤4， 对步骤3中提取的GOOSE/SV连接匹配步骤2中有效的GOOSE/SV数据流并生 成白名单配置， 对未匹配到的数据流进行告警。 [0010]优选的， 步骤1中， 变电站的SCD模型包含了全站需要通过GOOSE/SV通信的装置的 模型。 [0011]优选的， 所述导入过程层隔离装置的方式包括： 通过过程层隔离装置的web配置界 面导入， 或者是将SCD模型拷贝在移动存 储器中通过装置的USB接口导入 装置固定目录 。 [0012]优选的， 步骤2具体包括： 通过匹配Communicat ion标签下， SubNetwork标签中属性 为“IECGOOSE ”或“SMV”来获得有效的GOOSE/SV数据流的目的MAC地址、 报文类型、 虚拟局域 网ID、 应用标识。 [0013]优选的， 步骤2具体包括： 通过匹配IED标签下， GSEControl标签来获得有效的说　明　书 1/4 页 3 CN 114338096 A 3