李榮智
【摘要】 電網(wǎng)二次安全防護(hù)系統(tǒng)的重點(diǎn)是確保電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全。提高電網(wǎng)二次安全防護(hù)系統(tǒng)的使用性能,就會(huì)直接提高電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)的運(yùn)行穩(wěn)定性,確保為調(diào)度部門提供一個(gè)安全、穩(wěn)定的調(diào)度決策平臺(tái),從而做出正確決策。本文結(jié)合國(guó)網(wǎng)開封供電公司實(shí)際,對(duì)如何提高二次安全防護(hù)系統(tǒng)的實(shí)用性進(jìn)行簡(jiǎn)析。
【關(guān)鍵詞】 電網(wǎng) 二次安全 防護(hù)
一、現(xiàn)狀調(diào)查
對(duì)2013年第四季度電網(wǎng)二次安全防護(hù)系統(tǒng)存在的不安全因素,進(jìn)行了統(tǒng)計(jì)。其中因IDS誤報(bào)漏報(bào)、設(shè)備宕機(jī)、網(wǎng)絡(luò)故障、電源故障和其他原因?qū)е碌木S護(hù)總時(shí)間分別為189.5、44.5、13.5、2.0和4.5小時(shí),累計(jì)維護(hù)時(shí)間為189.5、234.0、247.5、249.5和254.0,累計(jì)比例分別為74.60%、92.13%、97.44%、98.23%和100%。
2013年,電網(wǎng)二次安全防護(hù)系統(tǒng)累計(jì)維護(hù)時(shí)間254小時(shí),而電網(wǎng)二次安全防護(hù)系統(tǒng)的可用率不高于86.31%,低于《開封電網(wǎng)調(diào)度自動(dòng)化運(yùn)行管理規(guī)程》和《電力調(diào)度技術(shù)標(biāo)準(zhǔn)匯編》中單機(jī)系統(tǒng)可用率不小于95%的要求。
而從表中我們可以對(duì)比得出,影響電網(wǎng)二次安全防護(hù)系統(tǒng)實(shí)用性的最主要問題是:IDS誤報(bào)漏報(bào)。因此,只要消除IDS誤報(bào)漏報(bào)這一問題,就可以大幅度提高電網(wǎng)二次安全防護(hù)系統(tǒng)的實(shí)用性。
二、原因分析
依據(jù)現(xiàn)狀調(diào)查表,從人、機(jī)、料、法、環(huán)五個(gè)方面著手,利用魚刺圖追本溯源,對(duì)IDS誤報(bào)漏報(bào)率的原因進(jìn)行分析,尋找出7條末端原因:系統(tǒng)規(guī)則、策略不完善;經(jīng)驗(yàn)不足;責(zé)任心不強(qiáng);人力缺乏;數(shù)據(jù)源存在后門和代理;誤操作;系統(tǒng)存在漏洞和開放端口。
三、解決措施
實(shí)施1:完善系統(tǒng)監(jiān)測(cè)規(guī)則和策略
①過濾誤報(bào)。對(duì)系統(tǒng)產(chǎn)生的告警,根據(jù)所監(jiān)控的具體網(wǎng)絡(luò)環(huán)境可以判斷為明顯誤報(bào)時(shí),可以設(shè)置為不告警。比如:某個(gè)機(jī)器被告警有木馬,而這個(gè)機(jī)器肯定沒有開放相應(yīng)端口或者沒有被種植木馬;或者是某些特定應(yīng)用引起的某種類型報(bào)警,這時(shí)對(duì)于只是針對(duì)某個(gè)系統(tǒng)的情況,設(shè)置對(duì)此系統(tǒng)IP不告警、不記入數(shù)據(jù)庫。
②過濾不關(guān)心告警。入侵檢測(cè)系統(tǒng)可以報(bào)告很多類型告警事件,比如登錄成功、登錄失敗及探測(cè)掃描等。有些事件對(duì)于事后分析非常有幫助,但日常監(jiān)控界面上大量的這些事件有時(shí)會(huì)影響對(duì)主要事件的關(guān)注,因此需要標(biāo)注那些不關(guān)心的事件讓其不顯示,但仍然記錄進(jìn)數(shù)據(jù)庫。
③定制關(guān)心的安全事件。通過查詢系統(tǒng)我們發(fā)現(xiàn),安全廠商僅僅通過定義規(guī)則來檢測(cè)常見的應(yīng)用、系統(tǒng)攻擊事件,而針對(duì)具體應(yīng)用系統(tǒng)的攻擊行為和網(wǎng)管人員自身關(guān)心的事件可能沒有涉及。因此我們針對(duì)這一特點(diǎn),尋求廠商的支持,添加對(duì)應(yīng)規(guī)則。
④正確判斷誤報(bào)。根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行判斷,具體判斷過程中會(huì)有跡象可尋。常見的誤報(bào)通常會(huì)導(dǎo)致大量報(bào)警,這樣在入侵檢測(cè)系統(tǒng)運(yùn)行一段時(shí)候后,使用日志分析工具對(duì)所有告警進(jìn)行一個(gè)統(tǒng)計(jì)分析,選取告警數(shù)據(jù)前10位的告警,通過對(duì)這些告警進(jìn)行分析,協(xié)助進(jìn)行判斷,從而達(dá)到減少誤報(bào)漏報(bào)才來的影響。
實(shí)施1完成后,大大較少了維護(hù)人員對(duì)二次安全防護(hù)系統(tǒng)的維護(hù)工作量,提高了二次安全防護(hù)系統(tǒng)的實(shí)用性。同時(shí),也從側(cè)面減輕了人力缺乏對(duì)系統(tǒng)穩(wěn)定運(yùn)行帶來的影響。
實(shí)施2:修補(bǔ)系統(tǒng)漏洞,關(guān)閉系統(tǒng)業(yè)務(wù)無關(guān)的端口及服務(wù)
對(duì)IDS系統(tǒng)的系統(tǒng)漏洞進(jìn)行了檢測(cè),并及時(shí)修補(bǔ)相關(guān)補(bǔ)丁。同時(shí),經(jīng)過和廠商相關(guān)技術(shù)人員的交流,及對(duì)電網(wǎng)調(diào)度自動(dòng)化相關(guān)業(yè)務(wù)的統(tǒng)計(jì)和其所使用服務(wù)、端口的分析,關(guān)閉與電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)無關(guān)的業(yè)務(wù)端口及服務(wù)。同時(shí),還將修補(bǔ)漏洞工作寫入班組日常工作內(nèi)容,以達(dá)到及時(shí)修補(bǔ)新發(fā)現(xiàn)漏洞的目的。
實(shí)施2完成后,使電網(wǎng)二次安全防護(hù)系統(tǒng)的實(shí)用性得到了進(jìn)一步的加強(qiáng),從而能夠有效的保障電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行。
實(shí)施3:開展技能培訓(xùn)
邀請(qǐng)科技公司的安全工程師向調(diào)度自動(dòng)化班的全體成員講解了電網(wǎng)二次安全防護(hù)系統(tǒng)的整體結(jié)構(gòu)、聯(lián)接關(guān)系、維護(hù)方法以及故障處理等過程。培訓(xùn)后,工作人員對(duì)電網(wǎng)二次安全防護(hù)系統(tǒng)的故障預(yù)判、處理及分析能力大大提高,各項(xiàng)工作能力均得到了顯著提升。
四、效果檢查
對(duì)2014年第四季度,電網(wǎng)二次安全防護(hù)系統(tǒng)存在的不安全因素,進(jìn)行了再次統(tǒng)計(jì)。
其中因設(shè)備宕機(jī)、網(wǎng)絡(luò)故障、IDS誤報(bào)漏報(bào)、電源故障和其他原因?qū)е碌木S護(hù)總時(shí)間分別為32.0、8.5、7.5、0.5和3.0小時(shí),累計(jì)維護(hù)時(shí)間為32.0、40.5、48.0、48.5和51.5,累計(jì)比例分別為62.13%、78.64%、93.20%、94.17%和100%。不難看出,2014年第四季度,電網(wǎng)二次安全防護(hù)系統(tǒng)累計(jì)維護(hù)時(shí)間51.5小時(shí),比去年同期的254.0小時(shí),減少了79.72%。而且,IDS誤報(bào)漏報(bào)已經(jīng)不是影響電網(wǎng)二次安全防護(hù)系統(tǒng)實(shí)用性的主要問題。因此,本課題成功降低了IDS的誤報(bào)率和漏報(bào)率,提高了電網(wǎng)二次安全防護(hù)系統(tǒng)的實(shí)用性。
通過三個(gè)月的效果檢查,電網(wǎng)二次安全防護(hù)系統(tǒng)的可用率高于97.38%,達(dá)到并超過了95%的目標(biāo)值,說明本課題是持續(xù)有效的。