湯超

[摘? ? 要]隨著電力監(jiān)控系統(tǒng)業(yè)務的不斷拓展，調度數(shù)據網絡在整個寧夏電網已實現(xiàn)全覆蓋，在獲得了更快速、更高效數(shù)據傳輸?shù)耐瑫r也面臨著諸多網絡安全方面的考驗，如何有效提升安全防護設備密通率、在線率及抑制非法訪問數(shù)量成為了重要課題。本文結合220kV惠農變現(xiàn)場實際就該站調度數(shù)據網非法訪問的原因進行了詳細地分析，并最終通過網絡配置優(yōu)化的方式解決問題，進一步提升了電網的可靠運行能力。

[關鍵詞]調度數(shù)據網;安全防護;非法訪問;配置優(yōu)化

[中圖分類號]TM73 [文獻標志碼]A [文章編號]2095–6487（2020）10–0–03

Processing and Analysis of Illegal Access to the Dispatching Data

Network of Huinong Substation

Tang Chao

[Abstract]With the continuous expansion of the power monitoring system business， the dispatch data network has achieved full coverage in the entire Ningxia power grid. While obtaining faster and more efficient data transmission， it is also facing many network security tests. How to effectively improve security The secret communication rate and online rate of protective equipment and the suppression of illegal access have become important issues. In this paper， combined with the actual site of our company's 220kV Huinong Substation， the reason for illegal access to the dispatching data network of the station is analyzed in detail， and finally the problem is solved by means of network configuration optimization， which further improves the reliable operation of the power grid.

[Keywords]dispatch data network; security protection; illegal access; configuration optimization

隨著我國綜合國力的提升，電力系統(tǒng)也得到快速發(fā)展和進步，電力調度作為電網中重要的一環(huán)，其自動化實現(xiàn)的程度也反映了電力二次系統(tǒng)發(fā)展的水平。然而隨著各站越來越多的設備接入，某些變電站不同程度地出現(xiàn)縱向加密密通率降低及調度數(shù)據網非法訪問現(xiàn)象，尤其以非法訪問情況最為突出。

1 電力調度數(shù)據網安全防護

調度數(shù)據網承載著許多重要的生產控制系統(tǒng)數(shù)據的傳輸，在電力生產中發(fā)揮著不可替代的作用。尤其在當前“三集五大”體制下，大量的調度控制數(shù)據都通過這張網絡傳輸，其安全性直接影響到電網的安全。

為了確保調度數(shù)據業(yè)務穩(wěn)定、快速、安全、高效率地傳輸，防止調度數(shù)據網遭到黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，致使電力調度系統(tǒng)崩潰或癱瘓，必須要加強電力調度數(shù)據網的安全防護工作。其中，實時監(jiān)測調度數(shù)據網非法訪問并盡快處理就是電力調度數(shù)據網安全防護的有效手段之一[1]。

2 惠農變調度數(shù)據網非法訪問的發(fā)現(xiàn)

近年來，為保障電力系統(tǒng)內網安全運行，各級調控中心、變電站陸續(xù)部署了大量安全防護設備和系統(tǒng)，包括網絡安全監(jiān)測裝置、隔離設備、縱向加密認證裝置、防火墻等，二次安全防護水平大幅提升。這其中就包括內網安全監(jiān)控平臺，它將網絡管理和個性化需求結合起來，注意系統(tǒng)的可用性和易用性需求，實現(xiàn)了內網資源管理、遠程端口控制等功能。通過對二次安全防護設備的日志實現(xiàn)標準化采集，實現(xiàn)對安全設備的實時告警與運行狀態(tài)監(jiān)測，及時發(fā)現(xiàn)安全體系中存在的各類安全隱患和異常訪問行為，實現(xiàn)安全防護設備的資產管理和對各類參數(shù)的動態(tài)管理，大幅減少系統(tǒng)管理員的工作量，同時與智能電網調度技術支持系統(tǒng)（即D5000）結合，實現(xiàn)內網安全事件的集中收集、統(tǒng)一管理，為電網可靠運行提供有效的安全保障[2]。

2018年5月18日，OMS系統(tǒng)收到區(qū)調自動化缺陷流程“惠農變調度數(shù)據網存在非法IP訪問”并附以內網安全監(jiān)控平臺上的告警記錄。

從告警記錄中可看出站內地調接入網實時和非實時縱向加密裝置均攔截到了來自疑似站內設備0.0.0.0至255.255.255.255的非法訪問告警記錄。

3 站內調度數(shù)據網非法訪問的原因分析

3.1 調度數(shù)據網非法訪問源地址定位

依據惠農變全站IP地址統(tǒng)計表，確認該非法訪問告警源IP地址0.0.0.0及目的IP地址255.255.255.255均非站內設備實際所配地址。

3.2 調度數(shù)據網非法訪問原因分析

3.2.1 調度數(shù)據網網絡結構異常

調度數(shù)據網專用于安全生產I、Ⅱ區(qū)，其I、Ⅱ區(qū)分別劃分為實時業(yè)務區(qū)、非實時業(yè)務區(qū)，不同的業(yè)務交換機物理隔離，接入路由硬件使用不同網口，軟件方面采用VPN、OSPF等路由內、外部網關協(xié)議隔離，如果發(fā)生網絡拓撲結構異常，不同安全區(qū)業(yè)務跨區(qū)訪問問題，可能會導致該非法訪問。

檢查分析：220 kV惠農變電站現(xiàn)有省調接入網、地調接入網共兩套電力系統(tǒng)專用數(shù)據網設備。站內共部署4臺縱向加密裝置，其中2臺加裝在省調接入網，處于路由器與業(yè)務交換機之間，均采用的密通方式。另外2臺加裝在地調接入網，具體內容及要求與省調相同。從非法訪問告警現(xiàn)象及現(xiàn)場拓撲情況分析，告警并非來自物理鏈路，而應該是所連接業(yè)務主機或數(shù)據網設備配置方面的原因。

3.2.2 保護信息子站配置異常

繼電保護故障信息系統(tǒng)由調度的主站系統(tǒng)、設在變電站的保護信息子站系統(tǒng)，以及連接子站和主站的通信網絡三大部分構成。保護信息子站系統(tǒng)位于變電站層，主要負責收集、分析和顯示變電站內繼電保護裝置、故障錄波器、安全自動裝置的信息，將系統(tǒng)內的故障及相關信息按不同優(yōu)先級主動或按照主站系統(tǒng)的命令上傳到主站進行進一步分析處理，并可接收主站系統(tǒng)的命令，實現(xiàn)對保護裝置的直接操作[3]。如果保護信息子站的配置錯誤或者存在跨區(qū)域網絡連接也可能造成非法訪問情況的發(fā)生。

檢查分析：現(xiàn)場檢查站內保護信息子站網絡配置及底層程序配置，發(fā)現(xiàn)除正常業(yè)務地址配置外未發(fā)現(xiàn)存在漏洞的配置，不存在默認路由等問題，同時裝置的網線連接均符合組網要求。

3.2.3 電能量采集終端配置異常

電能量采集裝置是一種遠端采集、存儲、遠傳裝置。在電能計量計費自動化系統(tǒng)中，電能量采集裝置是電能數(shù)據的通訊中樞，一方面采集、存儲數(shù)字電能表以串行通訊形式輸出的電能數(shù)據，另一方面將采集到的電能數(shù)據通過上行通道傳輸?shù)诫娔苡嬞M自動化系統(tǒng)的主站中，地位十分重要。

檢查分析：現(xiàn)場電能量采集終端采用北京煜邦公司設備，該設備為裝置類型設備，操作系統(tǒng)為嵌入式系統(tǒng)，配置簡單且不存在類似Linux和Windows操作系統(tǒng)一類的不正常服務在開啟，除至調度端地址及路由配置外無其他異常配置。

3.2.4 站內PMU設備配置漏洞

電力系統(tǒng)同步相量測量（PMU）是加強電力系統(tǒng)調度中心對電力系統(tǒng)的動態(tài)穩(wěn)定監(jiān)測和分析能力，需要在重要的變電站和發(fā)電廠安裝同步相量測量裝置，構建電力系統(tǒng)實時動態(tài)監(jiān)測系統(tǒng)，并通過調度中心分析中心站實現(xiàn)對電力系統(tǒng)動態(tài)過程的監(jiān)測和分析。相量測量裝置是電力系統(tǒng)實時動態(tài)監(jiān)測系統(tǒng)的基本核心組成部分，其必須具備高穩(wěn)定性和可靠性、高精度、強大的計算處理、存儲和通訊能力、良好的人機界面和開放性。

檢查分析：現(xiàn)場檢查PMU設備配置，證實設備運行正常，且除至調度端地址及路由配置外無其他異常配置。

3.2.5 站內遠動設備配置漏洞

遠動設備能夠實現(xiàn)變電站與調度、生產等主站系統(tǒng)之間的通信，為主站系統(tǒng)實現(xiàn)變電站監(jiān)視控制、信息查詢等功能提供數(shù)據、模型的傳輸服務。主要實現(xiàn)功能如下：數(shù)據采集、數(shù)據處理、數(shù)據遠傳、控制功能、時間同步、源端維護、冗余管理、運行維護及參數(shù)配置。

檢查分析：現(xiàn)場檢查遠動設備配置，證實除必要的數(shù)據庫、轉發(fā)表及至調度端地址及路由配置外無其他異常配置。

3.2.6 站內調度數(shù)據網設備配置漏洞

調度數(shù)據網設備分為數(shù)據網交換機及路由器設備，根據非法訪問攔截方向情況判斷告警來自于縱向加密裝置下端，在排除了各業(yè)務主機配置問題外，懷疑站內數(shù)據網交換機配置存在異常。

檢查分析：現(xiàn)場對數(shù)據網交換機設備配置進行檢查發(fā)現(xiàn)配置中存在DHCP服務，且配置中默認允許所有vlan通過，因vlan1默認打開DHCP服務（DHCP是Dynamic Host Configuration Protocol的英文縮寫，中文名稱是：動態(tài)主機配置協(xié)議，主要作用就是給計算機分配IP地址，變電站內設備地址為固定配置，不需要動態(tài)分配，而該服務會不定期由0.0.0.0發(fā)起啟動）[4]，所以會出現(xiàn)0.0.0.0訪問255.255.255.255的問題，如圖1所示。

4 站內調度數(shù)據網非法訪問的處理

針對惠農變站內調度數(shù)據網設備配置異常導致的調度數(shù)據網非法訪問，制定了以下整改措施：

4.1 消除訪問源

對實時和非實時數(shù)據網交換機內的配置進行優(yōu)化，關閉DHCP服務，消除訪問源。

串口線登錄交換機，輸入discu 查看交換機配置，找到并進入interface vlan interface1，刪除DHCP服務，如圖2所示：

4.2 切斷無關服務連接

進入直連縱向加密裝置的交換機端口，對其VLAN設置進行優(yōu)化，徹底切斷無關服務與調度的連接空間（如圖3所示）。

經過配置優(yōu)化，一周后同省調自動化值班人員核實，惠農變非法訪問告警消失，缺陷已消除。

5 今后防范措施

5.1 加強數(shù)據網檢查力度

加強轄區(qū)內各站電力安全防護系統(tǒng)及調度數(shù)據網檢查力度，結合年度隱患排查對站內網絡走向不滿足安全防護要求的及時整改。

5.2 嚴管數(shù)據網設備配置

嚴格管控調度數(shù)據網設備配置，避免因為配置漏洞導致大量的非法訪問告警，從而降低系統(tǒng)運行可靠性。

5.3 加強安全防護培訓

加強電力系統(tǒng)安全防護相關培訓力度，以理論與實際相結合并向實操方向傾斜的方式，提高自動化運維人員的現(xiàn)場處理能力。

6 結束語

通過對惠農變站內調度數(shù)據網設備的網絡配置進行優(yōu)化，成功解決了站內調度數(shù)據網非法訪問的缺陷，這也為今后其他變電站類似缺陷的消除提供了有力保障。同時，站內設備的可靠運行也為堅強電網的建設奠定了堅實的基礎。

參考文獻

[1]王曉英.電力調度數(shù)據網安全防護設計及實現(xiàn)[J].信息安全與通信保密，2012（6）：76-77，80.

[2]袁林，高夏生，趙田紅.電力調度內網安全監(jiān)控平臺建設[J].電信科學，2014，30（1）：116-121.

[3]顧愛斌，宋桂林，費忠元.變電站繼電保護故障信息子站的研究與應用[J].電世界，2014，55（11）：4-5.

[4] 張棋.基于Cisco IOS的DHCP服務冗余研究[J].信息與電腦（理論版），2012，12（6）：18-19.