鐘麗波，周 洋，李 然，馬 煜，紀(jì)秀艷

(1.國網(wǎng)沈陽供電公司，遼寧 沈陽 110003；2.華龍國際核電技術(shù)有限公司，北京 100036)

近年來發(fā)生的“烏克蘭大停電”、“委內(nèi)瑞拉大停電”等多起大范圍停電事件[1]，深刻反映了網(wǎng)絡(luò)攻擊對電力基礎(chǔ)設(shè)施和社會生產(chǎn)生活造成的巨大破壞，也暴露出大型電力和工業(yè)設(shè)施正在成為網(wǎng)絡(luò)攻擊的首選目標(biāo)。隨著自動化和信息化與電力系統(tǒng)的融合，調(diào)度主站端與變電站、并網(wǎng)電廠、新能源產(chǎn)業(yè)及配網(wǎng)終端的數(shù)據(jù)交換日益頻繁，體現(xiàn)在網(wǎng)絡(luò)末端的安全威脅逐漸呈現(xiàn)“點(diǎn)多面廣”的態(tài)勢[2-4]，因此加強(qiáng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件監(jiān)控，及時有效甄別、處理告警信息，強(qiáng)化網(wǎng)絡(luò)末端風(fēng)險管控，是當(dāng)前電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理的重要工作[5-7]。本文對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全工作存在的共性問題進(jìn)行梳理，結(jié)合生產(chǎn)實(shí)際中的典型案例，提出專業(yè)管理工作若干建議。

1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全存在的主要問題

1.1 數(shù)據(jù)交換網(wǎng)絡(luò)不完善、安全性不足

部分用戶變電站和電廠在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理方面普遍受到設(shè)備和人員兩方面制約，站內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)不合理，設(shè)備運(yùn)行水平偏低，廠站數(shù)據(jù)接入率不足，缺少專職運(yùn)維管理人員，信息傳輸及通道質(zhì)量不滿足調(diào)控運(yùn)行需要[8]，且數(shù)據(jù)交換過程中缺乏必要的安全防護(hù)措施，給電網(wǎng)整體安全防護(hù)帶來明顯壓力。

1.2 關(guān)鍵主機(jī)配置不規(guī)范、運(yùn)行風(fēng)險突出

部分早期設(shè)計施工的廠站，投運(yùn)期間由于相關(guān)規(guī)定對關(guān)鍵主機(jī)配置要求尚不全面，設(shè)備配置不規(guī)范的情況普遍存在。表現(xiàn)形式主要有2個方面：一是關(guān)鍵主機(jī)未采用安全加固的操作系統(tǒng)；二是在運(yùn)系統(tǒng)未采取安全加固策略、存在大量非法服務(wù)和端口[9]。這部分廠站體量大、分布廣，整改完成之前系統(tǒng)承受長期運(yùn)行風(fēng)險。

1.3 安防設(shè)備部署不合理、可用性差

由于網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整及軟、硬件更新不及時等原因，部分安全防護(hù)設(shè)備利用率較低，如廠站中入侵檢測系統(tǒng)、日志審計系統(tǒng)未能充分發(fā)揮實(shí)際效用，防火墻連接了一、二區(qū)設(shè)備，但未進(jìn)行合理策略配置，新設(shè)備接入時，未對原有設(shè)備同步進(jìn)行配置調(diào)整等，類似上述問題導(dǎo)致安全防護(hù)體系不夠堅強(qiáng)，制約整體安全水平。

1.4 網(wǎng)絡(luò)連接不合規(guī)、管控難度大

由于對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全規(guī)定認(rèn)識不清或監(jiān)督檢查覆蓋面不足等原因，在實(shí)際運(yùn)行中仍然存在一部分網(wǎng)絡(luò)連接不合規(guī)的情況。個別投運(yùn)較早的老舊電廠、用戶變電站內(nèi)仍有交換機(jī)共用、站內(nèi)信息內(nèi)網(wǎng)與互聯(lián)網(wǎng)共用主機(jī)的情況，此類情形隨機(jī)性強(qiáng)、分散性強(qiáng)，非現(xiàn)場檢查不易發(fā)現(xiàn)，是技術(shù)監(jiān)督工作的難點(diǎn)。

1.5 數(shù)據(jù)終端增長提速、風(fēng)險點(diǎn)多

隨著新能源產(chǎn)業(yè)發(fā)展和配網(wǎng)自動化建設(shè)推進(jìn)，電力相關(guān)業(yè)務(wù)數(shù)據(jù)集中管理的需求日趨明顯[10-11]，龐雜的生產(chǎn)運(yùn)行數(shù)據(jù)傳輸也要求現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)不斷發(fā)展壯大，密布于廣泛地理區(qū)域的采集終端給數(shù)據(jù)傳輸網(wǎng)絡(luò)增加了眾多風(fēng)險點(diǎn)，對物聯(lián)網(wǎng)絡(luò)技術(shù)發(fā)展、終端裝置的安全部署和系統(tǒng)整體防御能力提出更高要求。

2 典型案例分析

結(jié)合存在的問題，對幾個典型案例及處理過程進(jìn)行分析。

2.1 正常業(yè)務(wù)主機(jī)間通信產(chǎn)生告警

a.現(xiàn)象：廠站側(cè)實(shí)時縱向加密認(rèn)證裝置*.*.48.62攔截一條不符合安全策略的訪問，主機(jī)*.*.124.123的33326端口發(fā)起對*.*.48.36的10022端口的訪問。

b.原因分析：告警中的源地址主機(jī)為主站電量采集服務(wù)器，目的地址主機(jī)為廠站側(cè)電量采集終端，10022為電量服務(wù)目的端口。由于現(xiàn)場仍采用222結(jié)構(gòu)(2臺路由器、2臺縱密裝置、2臺交換機(jī))，2臺交換機(jī)級聯(lián)，且上聯(lián)端口同時配置了101、201 2個VLAN。廠站側(cè)上行非實(shí)時業(yè)務(wù)通過級聯(lián)線經(jīng)S2訪問R2，無法到達(dá)目的地址致使TTL值為0，故主站路由器發(fā)起針對源地址數(shù)據(jù)包的詢問，被縱向加密裝置攔截產(chǎn)生告警。

c.處理方法：對該站廠站側(cè)數(shù)據(jù)網(wǎng)結(jié)構(gòu)進(jìn)行改造，將222結(jié)構(gòu)修改為122結(jié)構(gòu)。臨時解決辦法為對站內(nèi)非實(shí)時業(yè)務(wù)主機(jī)與交換機(jī)端口進(jìn)行MAC地址綁定，同時將交換機(jī)與2臺路由器互聯(lián)接口進(jìn)行精細(xì)化處理，實(shí)時接口只透傳實(shí)時VLAN，非實(shí)時接口只透傳非實(shí)時VLAN。

2.2 主機(jī)開放非法服務(wù)產(chǎn)生告警

a.現(xiàn)象：廠站側(cè)網(wǎng)絡(luò)安全監(jiān)測裝置發(fā)出重要告警，*.*.0.100的60014端口非法訪問*.*.137.1的53端口。

b.原因分析：告警中的*.*.0.100為變電站遠(yuǎn)動機(jī)站內(nèi)IP地址，*.*.137.1為間隔層裝置站內(nèi)IP地址，53端口為域名解析服務(wù)(DNS)端口，非變電站業(yè)務(wù)主機(jī)必要的服務(wù)。當(dāng)遠(yuǎn)動機(jī)作為客戶端訪問間隔層裝置時，被網(wǎng)絡(luò)安全監(jiān)測裝置監(jiān)測到發(fā)出告警。

c.處理方法：禁用間隔層裝置上的DNS服務(wù)，同時在遠(yuǎn)動機(jī)操作系統(tǒng)中設(shè)置訪問控制策略，禁止向外發(fā)出目的端口為53的網(wǎng)絡(luò)報文。

2.3 信息內(nèi)網(wǎng)工作站混接外部公用網(wǎng)絡(luò)

a.現(xiàn)象：電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)場檢查中發(fā)現(xiàn)，某火電廠主控室內(nèi)1臺工作站使用2塊網(wǎng)卡同時連接集團(tuán)公司信息內(nèi)網(wǎng)和外部公用網(wǎng)絡(luò)。

b.原因分析：該電廠為2003年投運(yùn)電廠，站內(nèi)無數(shù)據(jù)網(wǎng)設(shè)備，利用無線通信方式接入地調(diào)主站安全接入?yún)^(qū)，故而縱向加密認(rèn)證裝置等信息未接入內(nèi)網(wǎng)監(jiān)控平臺實(shí)時監(jiān)視。出于設(shè)備成本原因，值班人員利用1臺工作站同時連接電廠所屬公司的信息內(nèi)網(wǎng)和外部公用網(wǎng)絡(luò)，通過該工作站向公司總部發(fā)送包含生產(chǎn)數(shù)據(jù)的郵件及用于外網(wǎng)辦公。

c.處理方法：檢查組當(dāng)場指出該工作站存在受到病毒、惡意代碼侵入導(dǎo)致生產(chǎn)數(shù)據(jù)泄露的風(fēng)險，要求電廠方立即整改，并于次日補(bǔ)發(fā)整改通知，要求電廠側(cè)消除內(nèi)、外網(wǎng)混用的隱患，限期回復(fù)整改結(jié)果。

2.4 Agent軟件異常導(dǎo)致的光驅(qū)未關(guān)閉告警

a.現(xiàn)象：內(nèi)網(wǎng)監(jiān)控平臺監(jiān)測到某66 kV變電站網(wǎng)絡(luò)安全監(jiān)測裝置上送的告警信息，提示該站遠(yuǎn)動機(jī)運(yùn)行有光驅(qū)。

b.原因分析：出現(xiàn)該告警信息的可能性有2種：一為站內(nèi)主機(jī)光驅(qū)未關(guān)閉；二為光驅(qū)已經(jīng)關(guān)閉，遠(yuǎn)動機(jī)部署的agent程序誤報告警信息。

c.處理方法：現(xiàn)場檢查確認(rèn)該站遠(yuǎn)動機(jī)光驅(qū)已經(jīng)關(guān)閉，故懷疑agent程序原因引起本次信息誤報。經(jīng)工程技術(shù)人員進(jìn)一步檢查確認(rèn)，更換遠(yuǎn)動機(jī)agent程序后告警消失。

2.5 廠站私自接入調(diào)度數(shù)據(jù)網(wǎng)引起告警

a.現(xiàn)象：地調(diào)內(nèi)網(wǎng)監(jiān)控平臺監(jiān)測到告警信息，地址為*.*.42.7的縱向加密認(rèn)證裝置攔截到*.*.36.41發(fā)起的針對*.*.42.6主機(jī)445端口訪問。

b.原因分析：*.*.42.7為66 kV風(fēng)電場A縱向加密認(rèn)證裝置，*.*.42.6為該風(fēng)電場遠(yuǎn)動機(jī)地址。*.*.36.41為調(diào)管范圍內(nèi)另一風(fēng)電場B站內(nèi)規(guī)劃主機(jī)地址。風(fēng)電場B于2015年投運(yùn)時缺少路由器，調(diào)度機(jī)構(gòu)出具了地址規(guī)劃單，責(zé)令設(shè)備到貨后開展聯(lián)調(diào)工作。經(jīng)運(yùn)維人員確認(rèn)，風(fēng)電場B于本月進(jìn)行改造升級時新增了路由器，于是自行按照地址規(guī)劃單進(jìn)行配置，并未履行相關(guān)手續(xù)將接入方案、設(shè)備配置信息等上交所屬調(diào)度機(jī)構(gòu)備案，且站內(nèi)主機(jī)仍使用投運(yùn)初期的設(shè)備，沒有結(jié)合當(dāng)前網(wǎng)絡(luò)安全要求開展加固工作。

c.處理方法：地調(diào)責(zé)令風(fēng)電場B立即斷開調(diào)度數(shù)據(jù)網(wǎng)絡(luò)連接，將網(wǎng)絡(luò)安全接入方案、安全防護(hù)方案、主機(jī)加固方案交由所屬調(diào)度機(jī)構(gòu)審核，并經(jīng)現(xiàn)場復(fù)驗合格后恢復(fù)網(wǎng)絡(luò)連接。針對445端口訪問問題，責(zé)令風(fēng)電場B對站內(nèi)其他主機(jī)設(shè)備進(jìn)行檢查整改、消除隱患。

2.6 網(wǎng)絡(luò)結(jié)構(gòu)修改后配置錯誤導(dǎo)致告警

a.現(xiàn)象：內(nèi)網(wǎng)監(jiān)控平臺5座66 kV變電站縱向加密認(rèn)證裝置可正常管控，但在資產(chǎn)管理中顯示運(yùn)行狀態(tài)“離線”，且CPU使用率為0，與前1周統(tǒng)計信息不同。這5座變電站均在當(dāng)周完成數(shù)據(jù)網(wǎng)結(jié)構(gòu)改造工作。

b.原因分析：由于這5座變電站此前統(tǒng)計信息正常，兼顧數(shù)據(jù)網(wǎng)結(jié)構(gòu)改造工作后采集信息異常，判斷是結(jié)構(gòu)改造引起現(xiàn)場網(wǎng)絡(luò)連接異?；蚋婢畔⑴渲缅e誤。

c.處理方法：檢查變電站現(xiàn)場網(wǎng)絡(luò)連接，確認(rèn)結(jié)構(gòu)改造后縱向加密認(rèn)證裝置的網(wǎng)線已從2、3口移到0、1口。如網(wǎng)線連接無誤，登錄縱向加密認(rèn)證裝置，將0口或1口(連接網(wǎng)線的端口)告警地址配置為主站一平面、二平面告警服務(wù)器地址。

2.7 現(xiàn)場作業(yè)管理不規(guī)范引發(fā)告警

a.現(xiàn)象：內(nèi)網(wǎng)監(jiān)控平臺發(fā)出某220 kV光伏電站的告警信息，告警級別為緊急，告警源為站內(nèi)網(wǎng)絡(luò)安全監(jiān)測裝置，經(jīng)地調(diào)人員了解現(xiàn)場正在進(jìn)行網(wǎng)絡(luò)安全監(jiān)測裝置采集程序升級工作。

b.原因分析：該220 kV光伏電站網(wǎng)絡(luò)安全裝置同時接入省調(diào)、地調(diào)管控平臺，現(xiàn)場進(jìn)行升級工作前電站按要求向省調(diào)提交了工作申請，但未告知所屬地調(diào)，故升級期間省調(diào)進(jìn)行了掛牌操作，地調(diào)管控平臺未掛牌，導(dǎo)致因升級工作引發(fā)的緊急告警信息上傳至地調(diào)平臺。

c.處理方法：地調(diào)對該光伏電站網(wǎng)絡(luò)安全監(jiān)測裝置進(jìn)行掛檢修牌處理，要求該站升級工作結(jié)束后，本地監(jiān)測半小時以上，無異常告警信息后方可恢復(fù)正常接入，并通知省調(diào)、地調(diào)工作結(jié)束，取消檢修牌。

2.8 Ⅰ、Ⅱ區(qū)邊界防護(hù)異常引起的設(shè)備在線率指標(biāo)偏低

a.現(xiàn)象：內(nèi)網(wǎng)監(jiān)控平臺在線率指標(biāo)偏低，網(wǎng)絡(luò)安全監(jiān)測裝置在一段時間內(nèi)批量出現(xiàn)離線情況，同時在調(diào)用模型管理中的設(shè)備管理時，平臺提示“區(qū)域模型”為空，維護(hù)人員經(jīng)檢查確認(rèn)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)正常。

b.原因分析：對于設(shè)備集中掉線的情況，一般圍繞網(wǎng)絡(luò)和平臺兩方面進(jìn)行排查，在采集網(wǎng)絡(luò)正常情況下，要集中檢查平臺進(jìn)程及機(jī)房內(nèi)部通信問題。結(jié)合信息傳輸機(jī)理，維護(hù)人員鎖定I、II區(qū)間的防火墻和網(wǎng)關(guān)機(jī)。本地調(diào)度技術(shù)支持系統(tǒng)I、II區(qū)間按照早期架構(gòu)設(shè)計，除防火墻外，還部署了1臺網(wǎng)關(guān)機(jī)，經(jīng)檢查確認(rèn)該網(wǎng)關(guān)機(jī)程序異常。

c.處理方法：重啟網(wǎng)關(guān)機(jī)關(guān)鍵程序后內(nèi)網(wǎng)監(jiān)控平臺采集恢復(fù)正常。但由于現(xiàn)有網(wǎng)絡(luò)架構(gòu)增加了風(fēng)險點(diǎn)，故工程技術(shù)人員對網(wǎng)絡(luò)架構(gòu)進(jìn)行修改，在對防火墻策略進(jìn)行加固基礎(chǔ)上，取消了網(wǎng)關(guān)機(jī)的設(shè)置。

3 電力監(jiān)控系統(tǒng)安全防護(hù)工作建議

3.1 新接廠站加強(qiáng)管控，避免末端帶病連網(wǎng)

對于新接入的廠站，調(diào)度機(jī)構(gòu)專業(yè)人員應(yīng)在設(shè)計評審環(huán)節(jié)提出自動化信息上傳及網(wǎng)絡(luò)安全防護(hù)的相關(guān)意見，并作為現(xiàn)場驗收主要內(nèi)容，驗收時除對網(wǎng)絡(luò)完全架構(gòu)合規(guī)性進(jìn)行審查，還應(yīng)采取技術(shù)手段對關(guān)鍵主機(jī)進(jìn)行漏洞掃描，投運(yùn)前對信息聯(lián)調(diào)報告、安全防護(hù)實(shí)施方案、評估報告等材料進(jìn)行審核備案，保障源頭管控效果。

3.2 深入開展現(xiàn)場檢查，履行技術(shù)監(jiān)督職責(zé)

調(diào)度機(jī)構(gòu)應(yīng)密切關(guān)注變電站、電廠現(xiàn)場存在的安全防護(hù)漏洞和缺陷，組織定期、不定期的安全檢查工作，梳理出明確的問題清單，督導(dǎo)廠站側(cè)限期整改，必要時可尋求政府網(wǎng)絡(luò)安全主管部門的支持開展聯(lián)合檢查工作。結(jié)合相關(guān)問題暴露情況及時組織專項培訓(xùn)，對用戶持續(xù)應(yīng)對網(wǎng)絡(luò)安全的動態(tài)變化及維護(hù)隊伍建設(shè)與技術(shù)支持。

3.3 加強(qiáng)專業(yè)人才培養(yǎng)，提高風(fēng)險防范能力

密切關(guān)注電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的發(fā)展，加強(qiáng)從業(yè)人員培訓(xùn)培養(yǎng)力度，注重網(wǎng)絡(luò)安全紅、藍(lán)隊隊伍建設(shè)，在實(shí)際工作中采取攻防演練、滲透測試等方法發(fā)掘防護(hù)薄弱環(huán)節(jié)，鍛煉各級調(diào)度機(jī)構(gòu)、廠站之間的協(xié)同處置能力和維護(hù)人員應(yīng)急反應(yīng)能力，進(jìn)一步完善應(yīng)急機(jī)制、提升安全防護(hù)水平。

4 結(jié)束語

電力監(jiān)控系統(tǒng)是電力企業(yè)安全生產(chǎn)的技術(shù)基礎(chǔ)，通過健全的組織體系建設(shè)、完備的人才隊伍培養(yǎng)和全面的技術(shù)工具支撐，可有效提高網(wǎng)絡(luò)安全事件監(jiān)控管理水平。隨著電力相關(guān)業(yè)務(wù)擴(kuò)展和網(wǎng)絡(luò)信息技術(shù)進(jìn)步，從業(yè)人員業(yè)務(wù)能力的與時俱進(jìn)顯得至關(guān)重要，電力企業(yè)需注重新生力量的培養(yǎng)和隊伍鞏固，培養(yǎng)群體性的安全風(fēng)險防范意識和應(yīng)急處置能力。