淺談電力系統內網安全監視平臺管理經驗

馬萍

摘 要：電力調度運行維護日趨網絡化，國內外黑客攻擊導致大面積停電事故層出不窮，因此電力網路安全日益重要。調度專網內網監視平臺能夠實現對所轄變電站二次系統的安全防護裝置遠程維護和內網安全信息監視，可以及時發現不安全攻擊行為，第一時間對網絡攻擊行為采取措施。本文主要從安全防護裝置在線率、加密裝置密通率、重要告警分析與消除三方面闡述內網安全監視平臺日常維護工作，通過歸納總結形成行之有效的典型經驗，一方面可以形成內網安全監視平臺長效工作機制，另一方面為日常工作處理提供參考建議，從而確保公司電力調度數據專網安全穩定運行。

關鍵詞：內網安全信息；在線率；密通率；重要告警

DOI：10.16640/j.cnki.37-1222/t.2018.20.142

1 現狀與目標

2015年12月烏克蘭能源部黑客攻擊事件，讓飽受戰爭蹂躪的烏克蘭在隆科時節有超過22.5萬民眾失去電力供應，“前車之鑒，后事之師”，國家電網大力發展調度業務網絡化的同時，必定要加強網絡安全的管理，否則黑客分子從數據網的一點入侵就可以實現對調度專網全局的控制，從而造成大面積電力癱瘓，對國民經濟形成致命的打擊。

為此國網調度控制中心提出“網絡分區、專網專用、縱向加密、橫向隔離”的工作方針。該理念也是內網安全監視平臺維護工作的指導思想。根據實際工作，將十六字工作方針進行細化，提出“調度業務加密，加密裝置可控，加密通道優先，明通通道專用，地址端口精準，統一模板配置”的工作原則，即：凡是站內專網業務都要經過加密裝置加密才可以和地調互聯互通；凡是調度專網內的加密裝置都要接入內網監視平臺，實現遠程控制管理；所有業務能走加密通道，就不走明通通道；走不了加密通道，必須走明通通道的，就要建立端到端的隧道策略；業務地址范圍盡量縮小，ip端口精準訪問；隧道策略按照模板統一配置。

內網監視平臺以及各變電站站端的加密機都是新安裝工程。前期工作主要搭建整個安防監視系統的架構，初步實現了平臺對各個加密機的遠程管理以及加密機日志上送。但是還有部分遺留問題亟待解決：第一，部分縱向加密裝置由于各種原因偶爾會出現離線狀況；第二，整個三門峽地區密通率較低，大量數據依舊走的明通通道，導致加密裝置形同虛設；第三，平臺每日大量重要告警，存在大量不安全隱患，同時也會造成重要告警出現不易及時被發現。

因此，國網公司關于內網安全監視平臺下達了三個重要指標：第一：縱向加密裝置在線率不低于99%；第二：內網安全監視平臺密通率每日不低于95%；第三：內網安全監視平臺重要告警平均每日不超過5條。

2 實施方案

2.1 提高縱向加密裝置在線率

首先對離線的加密裝置進行統計，分析加密裝置離線和不能遠程管理的原因，確保“凡是站內專網業務都要經過加密裝置加密才可以和地調互聯互通；凡是調度專網內的加密裝置都要接入內網監視平臺，實現遠程控制管理”的原則。經過分析，結果如下：

（1）造成裝置離線的原因經總結歸納主要有以下幾條：1）縱向加密裝置電源故障或被斷電；2）該廠站通訊網絡中斷，如：通訊光纜被破壞，站端路由器故障、站端光端機故障等；3）縱向加密裝置本身故障；4）站端縱向加密裝置內部參數證書等配置錯誤。

（2）裝置在線，但是縱向加密裝置不能遠程管理的原因有：1）站端與主站側證書下裝不匹配；2）站端管理證書下裝錯誤；3）裝置故障或加密卡故障；4）站端調試人員技術問題導致的不能遠程管理，如參數配置錯誤等。

根據分析總結的原因，我們首先檢查地調端內網監視平臺節點證書隧道策略配置是否正確，然后通過D5000查看該站業務是否中斷，最后聯系廠站運維人員，將情況說明后，讓他們現場進行處理。經過處理后，縱向加密裝置日平均在線率達到99%。個別廠站綜自改造完成，在線率可提升至100%。

2.2 提高內網監視平臺密通率

內網監視平臺統計密通率平均每日只有50%，這說明大量的業務數據走的是明通通道。因前期工期緊張，未對隧道策略配置做詳細規范，造成策略配置混亂，端口開放范圍過大，業務ip訪問不精準等諸多問題。

要想提高密通率，首先就必須將隧道策略配置模板化和規范化。我們多方咨詢廠家再結合省公司下發的模板，制作220kV變電站實時模板、220kV變電站非實時模板、110kV變電站實時模板、110kV變電站非實時模板、縣調35kV變電站實時模板。

隧道策略配置采取一人配置，另一人檢查的策略。按照模板正確配置隧道策略后，再仔細檢查所有廠站業務是否有因為隧道策略配置問題導致的業務中斷現象。隧道策略配置完成后，密通率整體上升明顯，平均日密通率上升為75%。

隧道策略正確規范化后，工作重點就放在明通通道的配置上。經試驗，明通通道斷開后，省調模型機業務中斷，經查詢省調側模型機未安裝縱向加密裝置，近期無安裝縱向加密裝置計劃，因此需要建立點到點的明通策略，將端口和IP范圍實現精準訪問。經過這樣處理后，原本走明通通道的業務被強制走密通通道，進一步提升了密通率。待省調模型機裝加密裝置后，密通率提升至98%，滿足國網公司考核指標。

2.3 減少內網安全監視平臺重要告警

重要告警大多是遺留問題，經過隧道策略標準化配置后，一部分重要告警被處理，但是每日依然還有90多條。

首先我們對重要告警進行梳理，并對消除告警方法進行總結，大致可以分為以下幾類：

（1）站內遠動業務IP訪問通訊網關機ip。處理方案：聯系廠家遠程對通訊網管機進行參數配置。

（2）站端網絡IP地址訪問站內設備地址或廣播地址。處理方案：這類問題是綜自廠家調試遠動裝置時留下的遺留問題，需聯系遠動廠家到現場處理。

（3）站端網絡IP訪問省調側互聯地址。處理方案：這類問題是由于以前規劃的省調互聯地址現在統一變更為業務互聯地址導致，但是前期規劃的參數配置沒有從交換機中刪除，聯系省公司調度專網運維組遠程登錄相關交換機，刪除以前的配置即可。

3 結束語

通過對過往工作仔細梳理總結，形成《內網監視平臺調試及日常管理手冊》，主要包括內網監視平臺新增節點調試步驟、調試過程中遇到問題的解決方案、如何提高加密裝置在線率、如何提升密通率、如何消除重要告警等五個方面內容，為日后內網安全監視平臺的工作提供指導和幫助。