李榮智

【摘要】 電網(wǎng)二次安全防護(hù)系統(tǒng)的重點(diǎn)是確保電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全。提高電網(wǎng)二次安全防護(hù)系統(tǒng)的使用性能，就會(huì)直接提高電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)的運(yùn)行穩(wěn)定性，確保為調(diào)度部門提供一個(gè)安全、穩(wěn)定的調(diào)度決策平臺(tái)，從而做出正確決策。本文結(jié)合國(guó)網(wǎng)開封供電公司實(shí)際，對(duì)如何提高二次安全防護(hù)系統(tǒng)的實(shí)用性進(jìn)行簡(jiǎn)析。

【關(guān)鍵詞】 電網(wǎng) 二次安全 防護(hù)

一、現(xiàn)狀調(diào)查

對(duì)2013年第四季度電網(wǎng)二次安全防護(hù)系統(tǒng)存在的不安全因素，進(jìn)行了統(tǒng)計(jì)。其中因IDS誤報(bào)漏報(bào)、設(shè)備宕機(jī)、網(wǎng)絡(luò)故障、電源故障和其他原因?qū)е碌木S護(hù)總時(shí)間分別為189.5、44.5、13.5、2.0和4.5小時(shí)，累計(jì)維護(hù)時(shí)間為189.5、234.0、247.5、249.5和254.0，累計(jì)比例分別為74.60%、92.13%、97.44%、98.23%和100%。

2013年，電網(wǎng)二次安全防護(hù)系統(tǒng)累計(jì)維護(hù)時(shí)間254小時(shí)，而電網(wǎng)二次安全防護(hù)系統(tǒng)的可用率不高于86.31%，低于《開封電網(wǎng)調(diào)度自動(dòng)化運(yùn)行管理規(guī)程》和《電力調(diào)度技術(shù)標(biāo)準(zhǔn)匯編》中單機(jī)系統(tǒng)可用率不小于95%的要求。

而從表中我們可以對(duì)比得出，影響電網(wǎng)二次安全防護(hù)系統(tǒng)實(shí)用性的最主要問題是：IDS誤報(bào)漏報(bào)。因此，只要消除IDS誤報(bào)漏報(bào)這一問題，就可以大幅度提高電網(wǎng)二次安全防護(hù)系統(tǒng)的實(shí)用性。

二、原因分析

依據(jù)現(xiàn)狀調(diào)查表，從人、機(jī)、料、法、環(huán)五個(gè)方面著手，利用魚刺圖追本溯源，對(duì)IDS誤報(bào)漏報(bào)率的原因進(jìn)行分析，尋找出7條末端原因：系統(tǒng)規(guī)則、策略不完善；經(jīng)驗(yàn)不足；責(zé)任心不強(qiáng)；人力缺乏；數(shù)據(jù)源存在后門和代理；誤操作；系統(tǒng)存在漏洞和開放端口。

三、解決措施

實(shí)施1：完善系統(tǒng)監(jiān)測(cè)規(guī)則和策略

①過濾誤報(bào)。對(duì)系統(tǒng)產(chǎn)生的告警，根據(jù)所監(jiān)控的具體網(wǎng)絡(luò)環(huán)境可以判斷為明顯誤報(bào)時(shí)，可以設(shè)置為不告警。比如：某個(gè)機(jī)器被告警有木馬，而這個(gè)機(jī)器肯定沒有開放相應(yīng)端口或者沒有被種植木馬；或者是某些特定應(yīng)用引起的某種類型報(bào)警，這時(shí)對(duì)于只是針對(duì)某個(gè)系統(tǒng)的情況，設(shè)置對(duì)此系統(tǒng)IP不告警、不記入數(shù)據(jù)庫。

②過濾不關(guān)心告警。入侵檢測(cè)系統(tǒng)可以報(bào)告很多類型告警事件，比如登錄成功、登錄失敗及探測(cè)掃描等。有些事件對(duì)于事后分析非常有幫助，但日常監(jiān)控界面上大量的這些事件有時(shí)會(huì)影響對(duì)主要事件的關(guān)注，因此需要標(biāo)注那些不關(guān)心的事件讓其不顯示，但仍然記錄進(jìn)數(shù)據(jù)庫。

③定制關(guān)心的安全事件。通過查詢系統(tǒng)我們發(fā)現(xiàn)，安全廠商僅僅通過定義規(guī)則來檢測(cè)常見的應(yīng)用、系統(tǒng)攻擊事件，而針對(duì)具體應(yīng)用系統(tǒng)的攻擊行為和網(wǎng)管人員自身關(guān)心的事件可能沒有涉及。因此我們針對(duì)這一特點(diǎn)，尋求廠商的支持，添加對(duì)應(yīng)規(guī)則。

④正確判斷誤報(bào)。根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行判斷，具體判斷過程中會(huì)有跡象可尋。常見的誤報(bào)通常會(huì)導(dǎo)致大量報(bào)警，這樣在入侵檢測(cè)系統(tǒng)運(yùn)行一段時(shí)候后，使用日志分析工具對(duì)所有告警進(jìn)行一個(gè)統(tǒng)計(jì)分析，選取告警數(shù)據(jù)前10位的告警，通過對(duì)這些告警進(jìn)行分析，協(xié)助進(jìn)行判斷，從而達(dá)到減少誤報(bào)漏報(bào)才來的影響。

實(shí)施1完成后，大大較少了維護(hù)人員對(duì)二次安全防護(hù)系統(tǒng)的維護(hù)工作量，提高了二次安全防護(hù)系統(tǒng)的實(shí)用性。同時(shí)，也從側(cè)面減輕了人力缺乏對(duì)系統(tǒng)穩(wěn)定運(yùn)行帶來的影響。

實(shí)施2：修補(bǔ)系統(tǒng)漏洞，關(guān)閉系統(tǒng)業(yè)務(wù)無關(guān)的端口及服務(wù)

對(duì)IDS系統(tǒng)的系統(tǒng)漏洞進(jìn)行了檢測(cè)，并及時(shí)修補(bǔ)相關(guān)補(bǔ)丁。同時(shí)，經(jīng)過和廠商相關(guān)技術(shù)人員的交流，及對(duì)電網(wǎng)調(diào)度自動(dòng)化相關(guān)業(yè)務(wù)的統(tǒng)計(jì)和其所使用服務(wù)、端口的分析，關(guān)閉與電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)無關(guān)的業(yè)務(wù)端口及服務(wù)。同時(shí)，還將修補(bǔ)漏洞工作寫入班組日常工作內(nèi)容，以達(dá)到及時(shí)修補(bǔ)新發(fā)現(xiàn)漏洞的目的。

實(shí)施2完成后，使電網(wǎng)二次安全防護(hù)系統(tǒng)的實(shí)用性得到了進(jìn)一步的加強(qiáng)，從而能夠有效的保障電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行。

實(shí)施3：開展技能培訓(xùn)

邀請(qǐng)科技公司的安全工程師向調(diào)度自動(dòng)化班的全體成員講解了電網(wǎng)二次安全防護(hù)系統(tǒng)的整體結(jié)構(gòu)、聯(lián)接關(guān)系、維護(hù)方法以及故障處理等過程。培訓(xùn)后，工作人員對(duì)電網(wǎng)二次安全防護(hù)系統(tǒng)的故障預(yù)判、處理及分析能力大大提高，各項(xiàng)工作能力均得到了顯著提升。

四、效果檢查

對(duì)2014年第四季度，電網(wǎng)二次安全防護(hù)系統(tǒng)存在的不安全因素，進(jìn)行了再次統(tǒng)計(jì)。

其中因設(shè)備宕機(jī)、網(wǎng)絡(luò)故障、IDS誤報(bào)漏報(bào)、電源故障和其他原因?qū)е碌木S護(hù)總時(shí)間分別為32.0、8.5、7.5、0.5和3.0小時(shí)，累計(jì)維護(hù)時(shí)間為32.0、40.5、48.0、48.5和51.5，累計(jì)比例分別為62.13%、78.64%、93.20%、94.17%和100%。不難看出，2014年第四季度，電網(wǎng)二次安全防護(hù)系統(tǒng)累計(jì)維護(hù)時(shí)間51.5小時(shí)，比去年同期的254.0小時(shí)，減少了79.72%。而且，IDS誤報(bào)漏報(bào)已經(jīng)不是影響電網(wǎng)二次安全防護(hù)系統(tǒng)實(shí)用性的主要問題。因此，本課題成功降低了IDS的誤報(bào)率和漏報(bào)率，提高了電網(wǎng)二次安全防護(hù)系統(tǒng)的實(shí)用性。

通過三個(gè)月的效果檢查，電網(wǎng)二次安全防護(hù)系統(tǒng)的可用率高于97.38%，達(dá)到并超過了95%的目標(biāo)值，說明本課題是持續(xù)有效的。