馬萍

摘 要：電力調(diào)度運(yùn)行維護(hù)日趨網(wǎng)絡(luò)化，國內(nèi)外黑客攻擊導(dǎo)致大面積停電事故層出不窮，因此電力網(wǎng)路安全日益重要。調(diào)度專網(wǎng)內(nèi)網(wǎng)監(jiān)視平臺(tái)能夠?qū)崿F(xiàn)對(duì)所轄變電站二次系統(tǒng)的安全防護(hù)裝置遠(yuǎn)程維護(hù)和內(nèi)網(wǎng)安全信息監(jiān)視，可以及時(shí)發(fā)現(xiàn)不安全攻擊行為，第一時(shí)間對(duì)網(wǎng)絡(luò)攻擊行為采取措施。本文主要從安全防護(hù)裝置在線率、加密裝置密通率、重要告警分析與消除三方面闡述內(nèi)網(wǎng)安全監(jiān)視平臺(tái)日常維護(hù)工作，通過歸納總結(jié)形成行之有效的典型經(jīng)驗(yàn)，一方面可以形成內(nèi)網(wǎng)安全監(jiān)視平臺(tái)長效工作機(jī)制，另一方面為日常工作處理提供參考建議，從而確保公司電力調(diào)度數(shù)據(jù)專網(wǎng)安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：內(nèi)網(wǎng)安全信息；在線率；密通率；重要告警

DOI：10.16640/j.cnki.37-1222/t.2018.20.142

1 現(xiàn)狀與目標(biāo)

2015年12月烏克蘭能源部黑客攻擊事件，讓飽受戰(zhàn)爭(zhēng)蹂躪的烏克蘭在隆科時(shí)節(jié)有超過22.5萬民眾失去電力供應(yīng)，“前車之鑒，后事之師”，國家電網(wǎng)大力發(fā)展調(diào)度業(yè)務(wù)網(wǎng)絡(luò)化的同時(shí)，必定要加強(qiáng)網(wǎng)絡(luò)安全的管理，否則黑客分子從數(shù)據(jù)網(wǎng)的一點(diǎn)入侵就可以實(shí)現(xiàn)對(duì)調(diào)度專網(wǎng)全局的控制，從而造成大面積電力癱瘓，對(duì)國民經(jīng)濟(jì)形成致命的打擊。

為此國網(wǎng)調(diào)度控制中心提出“網(wǎng)絡(luò)分區(qū)、專網(wǎng)專用、縱向加密、橫向隔離”的工作方針。該理念也是內(nèi)網(wǎng)安全監(jiān)視平臺(tái)維護(hù)工作的指導(dǎo)思想。根據(jù)實(shí)際工作，將十六字工作方針進(jìn)行細(xì)化，提出“調(diào)度業(yè)務(wù)加密，加密裝置可控，加密通道優(yōu)先，明通通道專用，地址端口精準(zhǔn)，統(tǒng)一模板配置”的工作原則，即：凡是站內(nèi)專網(wǎng)業(yè)務(wù)都要經(jīng)過加密裝置加密才可以和地調(diào)互聯(lián)互通；凡是調(diào)度專網(wǎng)內(nèi)的加密裝置都要接入內(nèi)網(wǎng)監(jiān)視平臺(tái)，實(shí)現(xiàn)遠(yuǎn)程控制管理；所有業(yè)務(wù)能走加密通道，就不走明通通道；走不了加密通道，必須走明通通道的，就要建立端到端的隧道策略；業(yè)務(wù)地址范圍盡量縮小，ip端口精準(zhǔn)訪問；隧道策略按照模板統(tǒng)一配置。

內(nèi)網(wǎng)監(jiān)視平臺(tái)以及各變電站站端的加密機(jī)都是新安裝工程。前期工作主要搭建整個(gè)安防監(jiān)視系統(tǒng)的架構(gòu)，初步實(shí)現(xiàn)了平臺(tái)對(duì)各個(gè)加密機(jī)的遠(yuǎn)程管理以及加密機(jī)日志上送。但是還有部分遺留問題亟待解決：第一，部分縱向加密裝置由于各種原因偶爾會(huì)出現(xiàn)離線狀況；第二，整個(gè)三門峽地區(qū)密通率較低，大量數(shù)據(jù)依舊走的明通通道，導(dǎo)致加密裝置形同虛設(shè)；第三，平臺(tái)每日大量重要告警，存在大量不安全隱患，同時(shí)也會(huì)造成重要告警出現(xiàn)不易及時(shí)被發(fā)現(xiàn)。

因此，國網(wǎng)公司關(guān)于內(nèi)網(wǎng)安全監(jiān)視平臺(tái)下達(dá)了三個(gè)重要指標(biāo)：第一：縱向加密裝置在線率不低于99%；第二：內(nèi)網(wǎng)安全監(jiān)視平臺(tái)密通率每日不低于95%；第三：內(nèi)網(wǎng)安全監(jiān)視平臺(tái)重要告警平均每日不超過5條。

2 實(shí)施方案

2.1 提高縱向加密裝置在線率

首先對(duì)離線的加密裝置進(jìn)行統(tǒng)計(jì)，分析加密裝置離線和不能遠(yuǎn)程管理的原因，確保“凡是站內(nèi)專網(wǎng)業(yè)務(wù)都要經(jīng)過加密裝置加密才可以和地調(diào)互聯(lián)互通；凡是調(diào)度專網(wǎng)內(nèi)的加密裝置都要接入內(nèi)網(wǎng)監(jiān)視平臺(tái)，實(shí)現(xiàn)遠(yuǎn)程控制管理”的原則。經(jīng)過分析，結(jié)果如下：

（1）造成裝置離線的原因經(jīng)總結(jié)歸納主要有以下幾條：1）縱向加密裝置電源故障或被斷電；2）該廠站通訊網(wǎng)絡(luò)中斷，如：通訊光纜被破壞，站端路由器故障、站端光端機(jī)故障等；3）縱向加密裝置本身故障；4）站端縱向加密裝置內(nèi)部參數(shù)證書等配置錯(cuò)誤。

（2）裝置在線，但是縱向加密裝置不能遠(yuǎn)程管理的原因有：1）站端與主站側(cè)證書下裝不匹配；2）站端管理證書下裝錯(cuò)誤；3）裝置故障或加密卡故障；4）站端調(diào)試人員技術(shù)問題導(dǎo)致的不能遠(yuǎn)程管理，如參數(shù)配置錯(cuò)誤等。

根據(jù)分析總結(jié)的原因，我們首先檢查地調(diào)端內(nèi)網(wǎng)監(jiān)視平臺(tái)節(jié)點(diǎn)證書隧道策略配置是否正確，然后通過D5000查看該站業(yè)務(wù)是否中斷，最后聯(lián)系廠站運(yùn)維人員，將情況說明后，讓他們現(xiàn)場(chǎng)進(jìn)行處理。經(jīng)過處理后，縱向加密裝置日平均在線率達(dá)到99%。個(gè)別廠站綜自改造完成，在線率可提升至100%。

2.2 提高內(nèi)網(wǎng)監(jiān)視平臺(tái)密通率

內(nèi)網(wǎng)監(jiān)視平臺(tái)統(tǒng)計(jì)密通率平均每日只有50%，這說明大量的業(yè)務(wù)數(shù)據(jù)走的是明通通道。因前期工期緊張，未對(duì)隧道策略配置做詳細(xì)規(guī)范，造成策略配置混亂，端口開放范圍過大，業(yè)務(wù)ip訪問不精準(zhǔn)等諸多問題。

要想提高密通率，首先就必須將隧道策略配置模板化和規(guī)范化。我們多方咨詢廠家再結(jié)合省公司下發(fā)的模板，制作220kV變電站實(shí)時(shí)模板、220kV變電站非實(shí)時(shí)模板、110kV變電站實(shí)時(shí)模板、110kV變電站非實(shí)時(shí)模板、縣調(diào)35kV變電站實(shí)時(shí)模板。

隧道策略配置采取一人配置，另一人檢查的策略。按照模板正確配置隧道策略后，再仔細(xì)檢查所有廠站業(yè)務(wù)是否有因?yàn)樗淼啦呗耘渲脝栴}導(dǎo)致的業(yè)務(wù)中斷現(xiàn)象。隧道策略配置完成后，密通率整體上升明顯，平均日密通率上升為75%。

隧道策略正確規(guī)范化后，工作重點(diǎn)就放在明通通道的配置上。經(jīng)試驗(yàn)，明通通道斷開后，省調(diào)模型機(jī)業(yè)務(wù)中斷，經(jīng)查詢省調(diào)側(cè)模型機(jī)未安裝縱向加密裝置，近期無安裝縱向加密裝置計(jì)劃，因此需要建立點(diǎn)到點(diǎn)的明通策略，將端口和IP范圍實(shí)現(xiàn)精準(zhǔn)訪問。經(jīng)過這樣處理后，原本走明通通道的業(yè)務(wù)被強(qiáng)制走密通通道，進(jìn)一步提升了密通率。待省調(diào)模型機(jī)裝加密裝置后，密通率提升至98%，滿足國網(wǎng)公司考核指標(biāo)。

2.3 減少內(nèi)網(wǎng)安全監(jiān)視平臺(tái)重要告警

重要告警大多是遺留問題，經(jīng)過隧道策略標(biāo)準(zhǔn)化配置后，一部分重要告警被處理，但是每日依然還有90多條。

首先我們對(duì)重要告警進(jìn)行梳理，并對(duì)消除告警方法進(jìn)行總結(jié)，大致可以分為以下幾類：

（1）站內(nèi)遠(yuǎn)動(dòng)業(yè)務(wù)IP訪問通訊網(wǎng)關(guān)機(jī)ip。處理方案：聯(lián)系廠家遠(yuǎn)程對(duì)通訊網(wǎng)管機(jī)進(jìn)行參數(shù)配置。

（2）站端網(wǎng)絡(luò)IP地址訪問站內(nèi)設(shè)備地址或廣播地址。處理方案：這類問題是綜自廠家調(diào)試遠(yuǎn)動(dòng)裝置時(shí)留下的遺留問題，需聯(lián)系遠(yuǎn)動(dòng)廠家到現(xiàn)場(chǎng)處理。

（3）站端網(wǎng)絡(luò)IP訪問省調(diào)側(cè)互聯(lián)地址。處理方案：這類問題是由于以前規(guī)劃的省調(diào)互聯(lián)地址現(xiàn)在統(tǒng)一變更為業(yè)務(wù)互聯(lián)地址導(dǎo)致，但是前期規(guī)劃的參數(shù)配置沒有從交換機(jī)中刪除，聯(lián)系省公司調(diào)度專網(wǎng)運(yùn)維組遠(yuǎn)程登錄相關(guān)交換機(jī)，刪除以前的配置即可。

3 結(jié)束語

通過對(duì)過往工作仔細(xì)梳理總結(jié)，形成《內(nèi)網(wǎng)監(jiān)視平臺(tái)調(diào)試及日常管理手冊(cè)》，主要包括內(nèi)網(wǎng)監(jiān)視平臺(tái)新增節(jié)點(diǎn)調(diào)試步驟、調(diào)試過程中遇到問題的解決方案、如何提高加密裝置在線率、如何提升密通率、如何消除重要告警等五個(gè)方面內(nèi)容，為日后內(nèi)網(wǎng)安全監(jiān)視平臺(tái)的工作提供指導(dǎo)和幫助。