惠農(nóng)變調(diào)度數(shù)據(jù)網(wǎng)非法訪問的處理及分析

湯超

[摘? ? 要]隨著電力監(jiān)控系統(tǒng)業(yè)務(wù)的不斷拓展，調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在整個(gè)寧夏電網(wǎng)已實(shí)現(xiàn)全覆蓋，在獲得了更快速、更高效數(shù)據(jù)傳輸?shù)耐瑫r(shí)也面臨著諸多網(wǎng)絡(luò)安全方面的考驗(yàn)，如何有效提升安全防護(hù)設(shè)備密通率、在線率及抑制非法訪問數(shù)量成為了重要課題。本文結(jié)合220kV惠農(nóng)變現(xiàn)場(chǎng)實(shí)際就該站調(diào)度數(shù)據(jù)網(wǎng)非法訪問的原因進(jìn)行了詳細(xì)地分析，并最終通過網(wǎng)絡(luò)配置優(yōu)化的方式解決問題，進(jìn)一步提升了電網(wǎng)的可靠運(yùn)行能力。

[關(guān)鍵詞]調(diào)度數(shù)據(jù)網(wǎng);安全防護(hù);非法訪問;配置優(yōu)化

[中圖分類號(hào)]TM73 [文獻(xiàn)標(biāo)志碼]A [文章編號(hào)]2095–6487（2020）10–0–03

Processing and Analysis of Illegal Access to the Dispatching Data

Network of Huinong Substation

Tang Chao

[Abstract]With the continuous expansion of the power monitoring system business， the dispatch data network has achieved full coverage in the entire Ningxia power grid. While obtaining faster and more efficient data transmission， it is also facing many network security tests. How to effectively improve security The secret communication rate and online rate of protective equipment and the suppression of illegal access have become important issues. In this paper， combined with the actual site of our company's 220kV Huinong Substation， the reason for illegal access to the dispatching data network of the station is analyzed in detail， and finally the problem is solved by means of network configuration optimization， which further improves the reliable operation of the power grid.

[Keywords]dispatch data network; security protection; illegal access; configuration optimization

隨著我國(guó)綜合國(guó)力的提升，電力系統(tǒng)也得到快速發(fā)展和進(jìn)步，電力調(diào)度作為電網(wǎng)中重要的一環(huán)，其自動(dòng)化實(shí)現(xiàn)的程度也反映了電力二次系統(tǒng)發(fā)展的水平。然而隨著各站越來(lái)越多的設(shè)備接入，某些變電站不同程度地出現(xiàn)縱向加密密通率降低及調(diào)度數(shù)據(jù)網(wǎng)非法訪問現(xiàn)象，尤其以非法訪問情況最為突出。

1 電力調(diào)度數(shù)據(jù)網(wǎng)安全防護(hù)

調(diào)度數(shù)據(jù)網(wǎng)承載著許多重要的生產(chǎn)控制系統(tǒng)數(shù)據(jù)的傳輸，在電力生產(chǎn)中發(fā)揮著不可替代的作用。尤其在當(dāng)前“三集五大”體制下，大量的調(diào)度控制數(shù)據(jù)都通過這張網(wǎng)絡(luò)傳輸，其安全性直接影響到電網(wǎng)的安全。

為了確保調(diào)度數(shù)據(jù)業(yè)務(wù)穩(wěn)定、快速、安全、高效率地傳輸，防止調(diào)度數(shù)據(jù)網(wǎng)遭到黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，致使電力調(diào)度系統(tǒng)崩潰或癱瘓，必須要加強(qiáng)電力調(diào)度數(shù)據(jù)網(wǎng)的安全防護(hù)工作。其中，實(shí)時(shí)監(jiān)測(cè)調(diào)度數(shù)據(jù)網(wǎng)非法訪問并盡快處理就是電力調(diào)度數(shù)據(jù)網(wǎng)安全防護(hù)的有效手段之一[1]。

2 惠農(nóng)變調(diào)度數(shù)據(jù)網(wǎng)非法訪問的發(fā)現(xiàn)

近年來(lái)，為保障電力系統(tǒng)內(nèi)網(wǎng)安全運(yùn)行，各級(jí)調(diào)控中心、變電站陸續(xù)部署了大量安全防護(hù)設(shè)備和系統(tǒng)，包括網(wǎng)絡(luò)安全監(jiān)測(cè)裝置、隔離設(shè)備、縱向加密認(rèn)證裝置、防火墻等，二次安全防護(hù)水平大幅提升。這其中就包括內(nèi)網(wǎng)安全監(jiān)控平臺(tái)，它將網(wǎng)絡(luò)管理和個(gè)性化需求結(jié)合起來(lái)，注意系統(tǒng)的可用性和易用性需求，實(shí)現(xiàn)了內(nèi)網(wǎng)資源管理、遠(yuǎn)程端口控制等功能。通過對(duì)二次安全防護(hù)設(shè)備的日志實(shí)現(xiàn)標(biāo)準(zhǔn)化采集，實(shí)現(xiàn)對(duì)安全設(shè)備的實(shí)時(shí)告警與運(yùn)行狀態(tài)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)安全體系中存在的各類安全隱患和異常訪問行為，實(shí)現(xiàn)安全防護(hù)設(shè)備的資產(chǎn)管理和對(duì)各類參數(shù)的動(dòng)態(tài)管理，大幅減少系統(tǒng)管理員的工作量，同時(shí)與智能電網(wǎng)調(diào)度技術(shù)支持系統(tǒng)（即D5000）結(jié)合，實(shí)現(xiàn)內(nèi)網(wǎng)安全事件的集中收集、統(tǒng)一管理，為電網(wǎng)可靠運(yùn)行提供有效的安全保障[2]。

2018年5月18日，OMS系統(tǒng)收到區(qū)調(diào)自動(dòng)化缺陷流程“惠農(nóng)變調(diào)度數(shù)據(jù)網(wǎng)存在非法IP訪問”并附以內(nèi)網(wǎng)安全監(jiān)控平臺(tái)上的告警記錄。

從告警記錄中可看出站內(nèi)地調(diào)接入網(wǎng)實(shí)時(shí)和非實(shí)時(shí)縱向加密裝置均攔截到了來(lái)自疑似站內(nèi)設(shè)備0.0.0.0至255.255.255.255的非法訪問告警記錄。

3 站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)非法訪問的原因分析

3.1 調(diào)度數(shù)據(jù)網(wǎng)非法訪問源地址定位

依據(jù)惠農(nóng)變?nèi)綢P地址統(tǒng)計(jì)表，確認(rèn)該非法訪問告警源IP地址0.0.0.0及目的IP地址255.255.255.255均非站內(nèi)設(shè)備實(shí)際所配地址。

3.2 調(diào)度數(shù)據(jù)網(wǎng)非法訪問原因分析

3.2.1 調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)異常

調(diào)度數(shù)據(jù)網(wǎng)專用于安全生產(chǎn)I、Ⅱ區(qū)，其I、Ⅱ區(qū)分別劃分為實(shí)時(shí)業(yè)務(wù)區(qū)、非實(shí)時(shí)業(yè)務(wù)區(qū)，不同的業(yè)務(wù)交換機(jī)物理隔離，接入路由硬件使用不同網(wǎng)口，軟件方面采用VPN、OSPF等路由內(nèi)、外部網(wǎng)關(guān)協(xié)議隔離，如果發(fā)生網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)異常，不同安全區(qū)業(yè)務(wù)跨區(qū)訪問問題，可能會(huì)導(dǎo)致該非法訪問。

檢查分析：220 kV惠農(nóng)變電站現(xiàn)有省調(diào)接入網(wǎng)、地調(diào)接入網(wǎng)共兩套電力系統(tǒng)專用數(shù)據(jù)網(wǎng)設(shè)備。站內(nèi)共部署4臺(tái)縱向加密裝置，其中2臺(tái)加裝在省調(diào)接入網(wǎng)，處于路由器與業(yè)務(wù)交換機(jī)之間，均采用的密通方式。另外2臺(tái)加裝在地調(diào)接入網(wǎng)，具體內(nèi)容及要求與省調(diào)相同。從非法訪問告警現(xiàn)象及現(xiàn)場(chǎng)拓?fù)淝闆r分析，告警并非來(lái)自物理鏈路，而應(yīng)該是所連接業(yè)務(wù)主機(jī)或數(shù)據(jù)網(wǎng)設(shè)備配置方面的原因。

3.2.2 保護(hù)信息子站配置異常

繼電保護(hù)故障信息系統(tǒng)由調(diào)度的主站系統(tǒng)、設(shè)在變電站的保護(hù)信息子站系統(tǒng)，以及連接子站和主站的通信網(wǎng)絡(luò)三大部分構(gòu)成。保護(hù)信息子站系統(tǒng)位于變電站層，主要負(fù)責(zé)收集、分析和顯示變電站內(nèi)繼電保護(hù)裝置、故障錄波器、安全自動(dòng)裝置的信息，將系統(tǒng)內(nèi)的故障及相關(guān)信息按不同優(yōu)先級(jí)主動(dòng)或按照主站系統(tǒng)的命令上傳到主站進(jìn)行進(jìn)一步分析處理，并可接收主站系統(tǒng)的命令，實(shí)現(xiàn)對(duì)保護(hù)裝置的直接操作[3]。如果保護(hù)信息子站的配置錯(cuò)誤或者存在跨區(qū)域網(wǎng)絡(luò)連接也可能造成非法訪問情況的發(fā)生。

檢查分析：現(xiàn)場(chǎng)檢查站內(nèi)保護(hù)信息子站網(wǎng)絡(luò)配置及底層程序配置，發(fā)現(xiàn)除正常業(yè)務(wù)地址配置外未發(fā)現(xiàn)存在漏洞的配置，不存在默認(rèn)路由等問題，同時(shí)裝置的網(wǎng)線連接均符合組網(wǎng)要求。

3.2.3 電能量采集終端配置異常

電能量采集裝置是一種遠(yuǎn)端采集、存儲(chǔ)、遠(yuǎn)傳裝置。在電能計(jì)量計(jì)費(fèi)自動(dòng)化系統(tǒng)中，電能量采集裝置是電能數(shù)據(jù)的通訊中樞，一方面采集、存儲(chǔ)數(shù)字電能表以串行通訊形式輸出的電能數(shù)據(jù)，另一方面將采集到的電能數(shù)據(jù)通過上行通道傳輸?shù)诫娔苡?jì)費(fèi)自動(dòng)化系統(tǒng)的主站中，地位十分重要。

檢查分析：現(xiàn)場(chǎng)電能量采集終端采用北京煜邦公司設(shè)備，該設(shè)備為裝置類型設(shè)備，操作系統(tǒng)為嵌入式系統(tǒng)，配置簡(jiǎn)單且不存在類似Linux和Windows操作系統(tǒng)一類的不正常服務(wù)在開啟，除至調(diào)度端地址及路由配置外無(wú)其他異常配置。

3.2.4 站內(nèi)PMU設(shè)備配置漏洞

電力系統(tǒng)同步相量測(cè)量（PMU）是加強(qiáng)電力系統(tǒng)調(diào)度中心對(duì)電力系統(tǒng)的動(dòng)態(tài)穩(wěn)定監(jiān)測(cè)和分析能力，需要在重要的變電站和發(fā)電廠安裝同步相量測(cè)量裝置，構(gòu)建電力系統(tǒng)實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)系統(tǒng)，并通過調(diào)度中心分析中心站實(shí)現(xiàn)對(duì)電力系統(tǒng)動(dòng)態(tài)過程的監(jiān)測(cè)和分析。相量測(cè)量裝置是電力系統(tǒng)實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)系統(tǒng)的基本核心組成部分，其必須具備高穩(wěn)定性和可靠性、高精度、強(qiáng)大的計(jì)算處理、存儲(chǔ)和通訊能力、良好的人機(jī)界面和開放性。

檢查分析：現(xiàn)場(chǎng)檢查PMU設(shè)備配置，證實(shí)設(shè)備運(yùn)行正常，且除至調(diào)度端地址及路由配置外無(wú)其他異常配置。

3.2.5 站內(nèi)遠(yuǎn)動(dòng)設(shè)備配置漏洞

遠(yuǎn)動(dòng)設(shè)備能夠?qū)崿F(xiàn)變電站與調(diào)度、生產(chǎn)等主站系統(tǒng)之間的通信，為主站系統(tǒng)實(shí)現(xiàn)變電站監(jiān)視控制、信息查詢等功能提供數(shù)據(jù)、模型的傳輸服務(wù)。主要實(shí)現(xiàn)功能如下：數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)遠(yuǎn)傳、控制功能、時(shí)間同步、源端維護(hù)、冗余管理、運(yùn)行維護(hù)及參數(shù)配置。

檢查分析：現(xiàn)場(chǎng)檢查遠(yuǎn)動(dòng)設(shè)備配置，證實(shí)除必要的數(shù)據(jù)庫(kù)、轉(zhuǎn)發(fā)表及至調(diào)度端地址及路由配置外無(wú)其他異常配置。

3.2.6 站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置漏洞

調(diào)度數(shù)據(jù)網(wǎng)設(shè)備分為數(shù)據(jù)網(wǎng)交換機(jī)及路由器設(shè)備，根據(jù)非法訪問攔截方向情況判斷告警來(lái)自于縱向加密裝置下端，在排除了各業(yè)務(wù)主機(jī)配置問題外，懷疑站內(nèi)數(shù)據(jù)網(wǎng)交換機(jī)配置存在異常。

檢查分析：現(xiàn)場(chǎng)對(duì)數(shù)據(jù)網(wǎng)交換機(jī)設(shè)備配置進(jìn)行檢查發(fā)現(xiàn)配置中存在DHCP服務(wù)，且配置中默認(rèn)允許所有vlan通過，因vlan1默認(rèn)打開DHCP服務(wù)（DHCP是Dynamic Host Configuration Protocol的英文縮寫，中文名稱是：動(dòng)態(tài)主機(jī)配置協(xié)議，主要作用就是給計(jì)算機(jī)分配IP地址，變電站內(nèi)設(shè)備地址為固定配置，不需要?jiǎng)討B(tài)分配，而該服務(wù)會(huì)不定期由0.0.0.0發(fā)起啟動(dòng)）[4]，所以會(huì)出現(xiàn)0.0.0.0訪問255.255.255.255的問題，如圖1所示。

4 站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)非法訪問的處理

針對(duì)惠農(nóng)變站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置異常導(dǎo)致的調(diào)度數(shù)據(jù)網(wǎng)非法訪問，制定了以下整改措施：

4.1 消除訪問源

對(duì)實(shí)時(shí)和非實(shí)時(shí)數(shù)據(jù)網(wǎng)交換機(jī)內(nèi)的配置進(jìn)行優(yōu)化，關(guān)閉DHCP服務(wù)，消除訪問源。

串口線登錄交換機(jī)，輸入discu 查看交換機(jī)配置，找到并進(jìn)入interface vlan interface1，刪除DHCP服務(wù)，如圖2所示：

4.2 切斷無(wú)關(guān)服務(wù)連接

進(jìn)入直連縱向加密裝置的交換機(jī)端口，對(duì)其VLAN設(shè)置進(jìn)行優(yōu)化，徹底切斷無(wú)關(guān)服務(wù)與調(diào)度的連接空間（如圖3所示）。

經(jīng)過配置優(yōu)化，一周后同省調(diào)自動(dòng)化值班人員核實(shí)，惠農(nóng)變非法訪問告警消失，缺陷已消除。

5 今后防范措施

5.1 加強(qiáng)數(shù)據(jù)網(wǎng)檢查力度

加強(qiáng)轄區(qū)內(nèi)各站電力安全防護(hù)系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)檢查力度，結(jié)合年度隱患排查對(duì)站內(nèi)網(wǎng)絡(luò)走向不滿足安全防護(hù)要求的及時(shí)整改。

5.2 嚴(yán)管數(shù)據(jù)網(wǎng)設(shè)備配置

嚴(yán)格管控調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置，避免因?yàn)榕渲寐┒磳?dǎo)致大量的非法訪問告警，從而降低系統(tǒng)運(yùn)行可靠性。

5.3 加強(qiáng)安全防護(hù)培訓(xùn)

加強(qiáng)電力系統(tǒng)安全防護(hù)相關(guān)培訓(xùn)力度，以理論與實(shí)際相結(jié)合并向?qū)嵅俜较騼A斜的方式，提高自動(dòng)化運(yùn)維人員的現(xiàn)場(chǎng)處理能力。

6 結(jié)束語(yǔ)

通過對(duì)惠農(nóng)變站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備的網(wǎng)絡(luò)配置進(jìn)行優(yōu)化，成功解決了站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)非法訪問的缺陷，這也為今后其他變電站類似缺陷的消除提供了有力保障。同時(shí)，站內(nèi)設(shè)備的可靠運(yùn)行也為堅(jiān)強(qiáng)電網(wǎng)的建設(shè)奠定了堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)

[1]王曉英.電力調(diào)度數(shù)據(jù)網(wǎng)安全防護(hù)設(shè)計(jì)及實(shí)現(xiàn)[J].信息安全與通信保密，2012（6）：76-77，80.

[2]袁林，高夏生，趙田紅.電力調(diào)度內(nèi)網(wǎng)安全監(jiān)控平臺(tái)建設(shè)[J].電信科學(xué)，2014，30（1）：116-121.

[3]顧愛斌，宋桂林，費(fèi)忠元.變電站繼電保護(hù)故障信息子站的研究與應(yīng)用[J].電世界，2014，55（11）：4-5.

[4] 張棋.基于Cisco IOS的DHCP服務(wù)冗余研究[J].信息與電腦（理論版），2012，12（6）：18-19.