惠農(nóng)變調(diào)度數(shù)據(jù)網(wǎng)非法訪問的處理及分析

湯超

[摘? ? 要]隨著電力監(jiān)控系統(tǒng)業(yè)務(wù)的不斷拓展，調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在整個寧夏電網(wǎng)已實現(xiàn)全覆蓋，在獲得了更快速、更高效數(shù)據(jù)傳輸?shù)耐瑫r也面臨著諸多網(wǎng)絡(luò)安全方面的考驗，如何有效提升安全防護設(shè)備密通率、在線率及抑制非法訪問數(shù)量成為了重要課題。本文結(jié)合220kV惠農(nóng)變現(xiàn)場實際就該站調(diào)度數(shù)據(jù)網(wǎng)非法訪問的原因進行了詳細地分析，并最終通過網(wǎng)絡(luò)配置優(yōu)化的方式解決問題，進一步提升了電網(wǎng)的可靠運行能力。

[關(guān)鍵詞]調(diào)度數(shù)據(jù)網(wǎng);安全防護;非法訪問;配置優(yōu)化

[中圖分類號]TM73 [文獻標志碼]A [文章編號]2095–6487（2020）10–0–03

Processing and Analysis of Illegal Access to the Dispatching Data

Network of Huinong Substation

Tang Chao

[Abstract]With the continuous expansion of the power monitoring system business， the dispatch data network has achieved full coverage in the entire Ningxia power grid. While obtaining faster and more efficient data transmission， it is also facing many network security tests. How to effectively improve security The secret communication rate and online rate of protective equipment and the suppression of illegal access have become important issues. In this paper， combined with the actual site of our company's 220kV Huinong Substation， the reason for illegal access to the dispatching data network of the station is analyzed in detail， and finally the problem is solved by means of network configuration optimization， which further improves the reliable operation of the power grid.

[Keywords]dispatch data network; security protection; illegal access; configuration optimization

隨著我國綜合國力的提升，電力系統(tǒng)也得到快速發(fā)展和進步，電力調(diào)度作為電網(wǎng)中重要的一環(huán)，其自動化實現(xiàn)的程度也反映了電力二次系統(tǒng)發(fā)展的水平。然而隨著各站越來越多的設(shè)備接入，某些變電站不同程度地出現(xiàn)縱向加密密通率降低及調(diào)度數(shù)據(jù)網(wǎng)非法訪問現(xiàn)象，尤其以非法訪問情況最為突出。

1 電力調(diào)度數(shù)據(jù)網(wǎng)安全防護

調(diào)度數(shù)據(jù)網(wǎng)承載著許多重要的生產(chǎn)控制系統(tǒng)數(shù)據(jù)的傳輸，在電力生產(chǎn)中發(fā)揮著不可替代的作用。尤其在當前“三集五大”體制下，大量的調(diào)度控制數(shù)據(jù)都通過這張網(wǎng)絡(luò)傳輸，其安全性直接影響到電網(wǎng)的安全。

為了確保調(diào)度數(shù)據(jù)業(yè)務(wù)穩(wěn)定、快速、安全、高效率地傳輸，防止調(diào)度數(shù)據(jù)網(wǎng)遭到黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，致使電力調(diào)度系統(tǒng)崩潰或癱瘓，必須要加強電力調(diào)度數(shù)據(jù)網(wǎng)的安全防護工作。其中，實時監(jiān)測調(diào)度數(shù)據(jù)網(wǎng)非法訪問并盡快處理就是電力調(diào)度數(shù)據(jù)網(wǎng)安全防護的有效手段之一[1]。

2 惠農(nóng)變調(diào)度數(shù)據(jù)網(wǎng)非法訪問的發(fā)現(xiàn)

近年來，為保障電力系統(tǒng)內(nèi)網(wǎng)安全運行，各級調(diào)控中心、變電站陸續(xù)部署了大量安全防護設(shè)備和系統(tǒng)，包括網(wǎng)絡(luò)安全監(jiān)測裝置、隔離設(shè)備、縱向加密認證裝置、防火墻等，二次安全防護水平大幅提升。這其中就包括內(nèi)網(wǎng)安全監(jiān)控平臺，它將網(wǎng)絡(luò)管理和個性化需求結(jié)合起來，注意系統(tǒng)的可用性和易用性需求，實現(xiàn)了內(nèi)網(wǎng)資源管理、遠程端口控制等功能。通過對二次安全防護設(shè)備的日志實現(xiàn)標準化采集，實現(xiàn)對安全設(shè)備的實時告警與運行狀態(tài)監(jiān)測，及時發(fā)現(xiàn)安全體系中存在的各類安全隱患和異常訪問行為，實現(xiàn)安全防護設(shè)備的資產(chǎn)管理和對各類參數(shù)的動態(tài)管理，大幅減少系統(tǒng)管理員的工作量，同時與智能電網(wǎng)調(diào)度技術(shù)支持系統(tǒng)（即D5000）結(jié)合，實現(xiàn)內(nèi)網(wǎng)安全事件的集中收集、統(tǒng)一管理，為電網(wǎng)可靠運行提供有效的安全保障[2]。

2018年5月18日，OMS系統(tǒng)收到區(qū)調(diào)自動化缺陷流程“惠農(nóng)變調(diào)度數(shù)據(jù)網(wǎng)存在非法IP訪問”并附以內(nèi)網(wǎng)安全監(jiān)控平臺上的告警記錄。

從告警記錄中可看出站內(nèi)地調(diào)接入網(wǎng)實時和非實時縱向加密裝置均攔截到了來自疑似站內(nèi)設(shè)備0.0.0.0至255.255.255.255的非法訪問告警記錄。

3 站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)非法訪問的原因分析

3.1 調(diào)度數(shù)據(jù)網(wǎng)非法訪問源地址定位

依據(jù)惠農(nóng)變?nèi)綢P地址統(tǒng)計表，確認該非法訪問告警源IP地址0.0.0.0及目的IP地址255.255.255.255均非站內(nèi)設(shè)備實際所配地址。

3.2 調(diào)度數(shù)據(jù)網(wǎng)非法訪問原因分析

3.2.1 調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)異常

調(diào)度數(shù)據(jù)網(wǎng)專用于安全生產(chǎn)I、Ⅱ區(qū)，其I、Ⅱ區(qū)分別劃分為實時業(yè)務(wù)區(qū)、非實時業(yè)務(wù)區(qū)，不同的業(yè)務(wù)交換機物理隔離，接入路由硬件使用不同網(wǎng)口，軟件方面采用VPN、OSPF等路由內(nèi)、外部網(wǎng)關(guān)協(xié)議隔離，如果發(fā)生網(wǎng)絡(luò)拓撲結(jié)構(gòu)異常，不同安全區(qū)業(yè)務(wù)跨區(qū)訪問問題，可能會導致該非法訪問。

檢查分析：220 kV惠農(nóng)變電站現(xiàn)有省調(diào)接入網(wǎng)、地調(diào)接入網(wǎng)共兩套電力系統(tǒng)專用數(shù)據(jù)網(wǎng)設(shè)備。站內(nèi)共部署4臺縱向加密裝置，其中2臺加裝在省調(diào)接入網(wǎng)，處于路由器與業(yè)務(wù)交換機之間，均采用的密通方式。另外2臺加裝在地調(diào)接入網(wǎng)，具體內(nèi)容及要求與省調(diào)相同。從非法訪問告警現(xiàn)象及現(xiàn)場拓撲情況分析，告警并非來自物理鏈路，而應該是所連接業(yè)務(wù)主機或數(shù)據(jù)網(wǎng)設(shè)備配置方面的原因。

3.2.2 保護信息子站配置異常

繼電保護故障信息系統(tǒng)由調(diào)度的主站系統(tǒng)、設(shè)在變電站的保護信息子站系統(tǒng)，以及連接子站和主站的通信網(wǎng)絡(luò)三大部分構(gòu)成。保護信息子站系統(tǒng)位于變電站層，主要負責收集、分析和顯示變電站內(nèi)繼電保護裝置、故障錄波器、安全自動裝置的信息，將系統(tǒng)內(nèi)的故障及相關(guān)信息按不同優(yōu)先級主動或按照主站系統(tǒng)的命令上傳到主站進行進一步分析處理，并可接收主站系統(tǒng)的命令，實現(xiàn)對保護裝置的直接操作[3]。如果保護信息子站的配置錯誤或者存在跨區(qū)域網(wǎng)絡(luò)連接也可能造成非法訪問情況的發(fā)生。

檢查分析：現(xiàn)場檢查站內(nèi)保護信息子站網(wǎng)絡(luò)配置及底層程序配置，發(fā)現(xiàn)除正常業(yè)務(wù)地址配置外未發(fā)現(xiàn)存在漏洞的配置，不存在默認路由等問題，同時裝置的網(wǎng)線連接均符合組網(wǎng)要求。

3.2.3 電能量采集終端配置異常

電能量采集裝置是一種遠端采集、存儲、遠傳裝置。在電能計量計費自動化系統(tǒng)中，電能量采集裝置是電能數(shù)據(jù)的通訊中樞，一方面采集、存儲數(shù)字電能表以串行通訊形式輸出的電能數(shù)據(jù)，另一方面將采集到的電能數(shù)據(jù)通過上行通道傳輸?shù)诫娔苡嬞M自動化系統(tǒng)的主站中，地位十分重要。

檢查分析：現(xiàn)場電能量采集終端采用北京煜邦公司設(shè)備，該設(shè)備為裝置類型設(shè)備，操作系統(tǒng)為嵌入式系統(tǒng)，配置簡單且不存在類似Linux和Windows操作系統(tǒng)一類的不正常服務(wù)在開啟，除至調(diào)度端地址及路由配置外無其他異常配置。

3.2.4 站內(nèi)PMU設(shè)備配置漏洞

電力系統(tǒng)同步相量測量（PMU）是加強電力系統(tǒng)調(diào)度中心對電力系統(tǒng)的動態(tài)穩(wěn)定監(jiān)測和分析能力，需要在重要的變電站和發(fā)電廠安裝同步相量測量裝置，構(gòu)建電力系統(tǒng)實時動態(tài)監(jiān)測系統(tǒng)，并通過調(diào)度中心分析中心站實現(xiàn)對電力系統(tǒng)動態(tài)過程的監(jiān)測和分析。相量測量裝置是電力系統(tǒng)實時動態(tài)監(jiān)測系統(tǒng)的基本核心組成部分，其必須具備高穩(wěn)定性和可靠性、高精度、強大的計算處理、存儲和通訊能力、良好的人機界面和開放性。

檢查分析：現(xiàn)場檢查PMU設(shè)備配置，證實設(shè)備運行正常，且除至調(diào)度端地址及路由配置外無其他異常配置。

3.2.5 站內(nèi)遠動設(shè)備配置漏洞

遠動設(shè)備能夠?qū)崿F(xiàn)變電站與調(diào)度、生產(chǎn)等主站系統(tǒng)之間的通信，為主站系統(tǒng)實現(xiàn)變電站監(jiān)視控制、信息查詢等功能提供數(shù)據(jù)、模型的傳輸服務(wù)。主要實現(xiàn)功能如下：數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)遠傳、控制功能、時間同步、源端維護、冗余管理、運行維護及參數(shù)配置。

檢查分析：現(xiàn)場檢查遠動設(shè)備配置，證實除必要的數(shù)據(jù)庫、轉(zhuǎn)發(fā)表及至調(diào)度端地址及路由配置外無其他異常配置。

3.2.6 站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置漏洞

調(diào)度數(shù)據(jù)網(wǎng)設(shè)備分為數(shù)據(jù)網(wǎng)交換機及路由器設(shè)備，根據(jù)非法訪問攔截方向情況判斷告警來自于縱向加密裝置下端，在排除了各業(yè)務(wù)主機配置問題外，懷疑站內(nèi)數(shù)據(jù)網(wǎng)交換機配置存在異常。

檢查分析：現(xiàn)場對數(shù)據(jù)網(wǎng)交換機設(shè)備配置進行檢查發(fā)現(xiàn)配置中存在DHCP服務(wù)，且配置中默認允許所有vlan通過，因vlan1默認打開DHCP服務(wù)（DHCP是Dynamic Host Configuration Protocol的英文縮寫，中文名稱是：動態(tài)主機配置協(xié)議，主要作用就是給計算機分配IP地址，變電站內(nèi)設(shè)備地址為固定配置，不需要動態(tài)分配，而該服務(wù)會不定期由0.0.0.0發(fā)起啟動）[4]，所以會出現(xiàn)0.0.0.0訪問255.255.255.255的問題，如圖1所示。

4 站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)非法訪問的處理

針對惠農(nóng)變站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置異常導致的調(diào)度數(shù)據(jù)網(wǎng)非法訪問，制定了以下整改措施：

4.1 消除訪問源

對實時和非實時數(shù)據(jù)網(wǎng)交換機內(nèi)的配置進行優(yōu)化，關(guān)閉DHCP服務(wù)，消除訪問源。

串口線登錄交換機，輸入discu 查看交換機配置，找到并進入interface vlan interface1，刪除DHCP服務(wù)，如圖2所示：

4.2 切斷無關(guān)服務(wù)連接

進入直連縱向加密裝置的交換機端口，對其VLAN設(shè)置進行優(yōu)化，徹底切斷無關(guān)服務(wù)與調(diào)度的連接空間（如圖3所示）。

經(jīng)過配置優(yōu)化，一周后同省調(diào)自動化值班人員核實，惠農(nóng)變非法訪問告警消失，缺陷已消除。

5 今后防范措施

5.1 加強數(shù)據(jù)網(wǎng)檢查力度

加強轄區(qū)內(nèi)各站電力安全防護系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)檢查力度，結(jié)合年度隱患排查對站內(nèi)網(wǎng)絡(luò)走向不滿足安全防護要求的及時整改。

5.2 嚴管數(shù)據(jù)網(wǎng)設(shè)備配置

嚴格管控調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置，避免因為配置漏洞導致大量的非法訪問告警，從而降低系統(tǒng)運行可靠性。

5.3 加強安全防護培訓

加強電力系統(tǒng)安全防護相關(guān)培訓力度，以理論與實際相結(jié)合并向?qū)嵅俜较騼A斜的方式，提高自動化運維人員的現(xiàn)場處理能力。

6 結(jié)束語

通過對惠農(nóng)變站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備的網(wǎng)絡(luò)配置進行優(yōu)化，成功解決了站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)非法訪問的缺陷，這也為今后其他變電站類似缺陷的消除提供了有力保障。同時，站內(nèi)設(shè)備的可靠運行也為堅強電網(wǎng)的建設(shè)奠定了堅實的基礎(chǔ)。

參考文獻

[1]王曉英.電力調(diào)度數(shù)據(jù)網(wǎng)安全防護設(shè)計及實現(xiàn)[J].信息安全與通信保密，2012（6）：76-77，80.

[2]袁林，高夏生，趙田紅.電力調(diào)度內(nèi)網(wǎng)安全監(jiān)控平臺建設(shè)[J].電信科學，2014，30（1）：116-121.

[3]顧愛斌，宋桂林，費忠元.變電站繼電保護故障信息子站的研究與應用[J].電世界，2014，55（11）：4-5.

[4] 張棋.基于Cisco IOS的DHCP服務(wù)冗余研究[J].信息與電腦（理論版），2012，12（6）：18-19.