提高配網(wǎng)自動化安全可靠性

引言： 隨著電力穩(wěn)定安全的重要性不斷提高，配網(wǎng)自動化也愈加重要。為了保障配網(wǎng)自動化的安全可靠運行，本文闡述了現(xiàn)有配網(wǎng)自動化系統(tǒng)對供電可靠性的影響，并對有效提高安全可靠性提出了加固措施。

配網(wǎng)自動化可以提高供電可靠性和供電質量，縮短事故處理時間，減少停電范圍，提高配電系統(tǒng)運行的經(jīng)濟性，降低運行維護費用，最大限度提高企業(yè)的經(jīng)濟效益，提高整個配電系統(tǒng)的管理水平和工作效率，改善為用戶服務的水平。為了保障配網(wǎng)自動化的安全可靠運行，針對配網(wǎng)自動化的系統(tǒng)特性，本文從服務器安全加固、工作站安全加固、交換機安全加固、防火墻安全加固、數(shù)據(jù)庫安全檢查及配網(wǎng)加密網(wǎng)關及隔離裝置檢查等方面進行安全性加強優(yōu)化。

配網(wǎng)自動化對供電可靠性的影響

配網(wǎng)自動化對可靠性的影響主要體現(xiàn)在故障定位系統(tǒng)、自動化饋線系統(tǒng)及電壓整合性問題對供電可靠性的影響。如果沒有故障定位系統(tǒng)，電力系統(tǒng)一旦出現(xiàn)故障，就需要人為查找故障源，這無疑費時費力效率低下，且如若不能及時排除故障，恢復供電，不僅帶來一定的經(jīng)濟損失，也降低電力部門的社會效益；如果沒有自動化饋線系統(tǒng)，我們就無法第一時間鎖定電網(wǎng)故障的相關信息，繼而為后續(xù)工作開展提供明確的方向，提高工作效率，大幅減少經(jīng)濟損失；為了最大限度地增強電網(wǎng)運行的穩(wěn)定性，我們借助先進的計算機技術及現(xiàn)代電子設備監(jiān)控工作，大大推動配網(wǎng)自動化建設的進程。比如說，可以創(chuàng)新地規(guī)劃整合變換器、儲能裝置和變壓器，助其成為一個不可分割的有機整體。當電壓不穩(wěn)定時，可以自動進行切換補償，以保證供電電壓的整合性。

配網(wǎng)自動化的安全加固措施

1.服務器安全配置

服務器所有操作是以IBM-AIX6.1為案例，其他操作系統(tǒng)如HP-UX操作系統(tǒng)，安全配置要求是一樣的，但操作命令需要網(wǎng)上查找。

系統(tǒng)多余賬號:

將多余賬號全部鎖定，只留rootemsOracle系統(tǒng)用到的。

建議鎖定：

adm擁有帳號文件， 起始目錄/var/adm通常包括日志文件

uucp 擁有uucp工具和文件，Unix之間復制協(xié)議用戶

invscout 運行微碼調(diào)試權限用戶

snapp基于Web服務用于plam等客戶端用戶

esaadmin基于Web服務用戶管理服務ESA用戶

建議鎖定或刪除：

guest 擁有訪客用戶權限的用戶

uucp 擁有uucp工具和文件，Unix之間復制協(xié)議用戶

ipsec 安全協(xié)議使用用戶帳號

nuucp 擁有uucp工具和文件，unix之間復制協(xié)議用戶

lp 打印系統(tǒng)服務

lpd 打印系統(tǒng)服務

保留：

root 系統(tǒng)管理員用戶

Oracle 數(shù)據(jù)庫管理員用戶

ems open3200系統(tǒng)用戶

root遠程登錄禁用:

——查看root的rlogin屬性：

#lsuser -a rlogin root

——禁止root遠程登陸：

#chuser rlogin=false root

密碼策略配置及umask值:

修改/etc/security/user文件

- maxage=48 口令最長生存期（周），0則未無限制

- maxrepeat=4 每個口令在系統(tǒng)中重復出現(xiàn)的次數(shù)

- minalpha=4 口令中至少含有的字符個數(shù)

- mindiff=2 新口令不同于舊口令的最小個數(shù)

- minlen=8口令最短長度

-umask=027 默認值為022

登錄失敗鎖定策略:

登錄失敗5次后鎖定，解鎖5分鐘，失敗登錄后延遲5秒鐘

服務器審計開啟:

登錄日志： /var/adm/auth.log ，系統(tǒng)日志/var/adm/syslog.log

修改配置文件#vi /etc/syslog.conf，加上這2行：

auth.info /var/adm/auth.log

*.info;auth.none /var/adm/syslog.log

建立日志文件，如下命令：

#touch/var/adm/auth.log

#touch/var/adm/syslog.log

#chown root:system/var/adm/auth.log

配置日志文件權限，如下命令：

#chmod 600/var/adm/auth.log

#chmod 640/var/adm/syslog.log

重新啟動syslog服務，依次執(zhí)行下列命令：

#stopsrc -s syslogd

#startsrc -s syslogd

系統(tǒng)banner消息禁止:

先將/etc/motd修改為可寫：chmod 770 /etc/motd

修改 /etc/motd文件中

將第一行Welcome to AIX 6.1 version!修改為WARNING: Coming into AIX!

關閉不需要用到的服務:

——修改/etc/inetd.conf文件，相應的服務行前面加#注釋掉，修改完成后使用命令refresh -s inetd重啟服務;

關閉daytime、time、exec、FTP、Telnet、BOOTPS、TFTP、talk、ntalk、ttdbserver、wsmserver、xmquery等服務，只保留以下服務：shell、login、dtspcd、cmsd;

login(rlogin)和遠程shell(RSH)這兩種服務DMS需要使用，因為DMS中需要經(jīng)常調(diào)用另外一臺機器的程序命令。CDE子進程控制服務(dtspcd)是一個從客戶端接收請求，遠程執(zhí)行命令和啟動應用程序的網(wǎng)絡守護程序。通用桌面環(huán)境(CDE)是一個可在Unix和Linux操作系統(tǒng)中運行的綜合的圖形用戶界面，系統(tǒng)經(jīng)常需要調(diào)用其他的機器上的圖形界面，所以不能去掉。系統(tǒng)需要mount文件系統(tǒng)，用到RPC CMSD服務。

基于DMS系統(tǒng)只在I區(qū)運行，外部侵入的可能性本來就很小，而且每臺機器的口令都不一樣，因此保留著這四種服務。

2.工作站安全配置

工作站所有操作是以Linux-redhat5.4為案例，redhat操作系統(tǒng)基本配置命令是一樣的，其他Linux操作系統(tǒng)需參考配置方法進行配置；

系統(tǒng)存在多余的賬戶:

root遠程登錄禁用:

密碼配置不當:

登錄失敗鎖定策略:

——修改配置 vi /etc/ssh/sshd_config

將#MaxAuthTries 5前的#去掉

重啟服務：service sshd restart

vi/etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設置

若無，則添加auth required pam_tally.so onerr=fail deny=5 unlock_time=300

該配置的意思：登錄5次后拒絕登陸，鎖定時間300s

修改Umask值:

登錄超時處理：

ClientAliveInterval 300 (登錄之后300s不操作，則退出)

ClientAliveCount Max 5（允許超時次數(shù)）

在本地登錄賬號的超時鎖定 vi /etc/profile為300（加入TMOUT=300）

3.交換機安全配置

交換機所有操作是以思科交換機為案例，其他交換機需參考配置方法配置；

修改默認密碼:

鍵入en回車，進入特權模式下（若需退出該模式exit回車）

提示符：Switch#

可鍵入conf t直接進入終端全局配置模式

提示符：Switch(confi g)#

設置enable密碼為cddyj3200：

sw1(config)#enable secret cddyj3200

4.防火墻安全配置

防火墻所有操作是以天融信防火墻為例，其他防火墻需參考配置方法配置；

天融信防火墻登陸并修改口令:

圖1 訪問控制規(guī)則

修改口令符合數(shù)字加字母至少8位以上的復雜度要求，并定時更新。

訪問控制規(guī)則:

服務禁用：包括Telnet,FTP,ssh,smtp,rlogin，見圖1的ID為8041的規(guī)則；

訪問IP范圍限制，見圖1的ID為8051、8052的兩條規(guī)則。

5.數(shù)據(jù)庫安全檢查

數(shù)據(jù)庫中無用的賬戶實時清理，嚴格禁止多人使用同一個賬戶，每個用戶應牢記自己的賬號和口令。檢查口令設置是否符合數(shù)字加字母至少8位以上的復雜度要求；口令是否滿足至少每三個月進行一次更新；

6.配網(wǎng)加密網(wǎng)關及隔離裝置檢查

檢查口令設置是否符合數(shù)字加字母至少8位以上的復雜度要求；口令是否滿足至少每三個月進行一次更新。

經(jīng)驗總結

配電自動化能夠對電力設備實現(xiàn)遙測、遙信與遙控功能，大大提高了供電企業(yè)對電網(wǎng)進行管理的自動化水平。配網(wǎng)自動化普及之后，配網(wǎng)管理模式得到極大提升。利用配網(wǎng)管理系統(tǒng)，能夠在非常短的時間內(nèi)定位故障位置，通過控制電容器和電抗器的投切，對配網(wǎng)的無功分布進行動態(tài)控制，極大地提高了功率因數(shù)，降低了網(wǎng)損，優(yōu)化了電力系統(tǒng)的運行。通過系統(tǒng)安全加固，消除與降低安全隱患，周期性的評估和加固工作相結合，盡可能避免安全風險的發(fā)生。配電管理系統(tǒng)能夠為保證電力系統(tǒng)穩(wěn)定運行提供有效的解決方式，研究本課題具有重要意義。