葉蘇林，廉 穎

（國(guó)網(wǎng)寧夏電力有限公司中衛(wèi)供電公司，寧夏 中衛(wèi) 755000）

引言

在電網(wǎng)運(yùn)行維護(hù)中，大量設(shè)備的配置和調(diào)試都需要外部運(yùn)行管理人員參加，由于缺少技術(shù)手段的監(jiān)督，導(dǎo)致事故發(fā)生。2017年，在紹興變電站的調(diào)頻控制中IP報(bào)警，河北磁縣變電站在調(diào)試過(guò)程中出現(xiàn)了網(wǎng)絡(luò)突發(fā)事件。為此，國(guó)家電網(wǎng)著手在變電站中推廣應(yīng)用網(wǎng)絡(luò)監(jiān)控設(shè)備，加強(qiáng)對(duì)變電站違法外接和不正當(dāng)作業(yè)的監(jiān)控。這一舉措雖然強(qiáng)化了各個(gè)生產(chǎn)單位的網(wǎng)絡(luò)安全意識(shí)，卻未能對(duì)作業(yè)者進(jìn)行有效的監(jiān)控。為了保證變電站的安全和穩(wěn)定，各個(gè)部門都在積極探索增強(qiáng)變電站的安全保護(hù)措施。

1 變電站手持式運(yùn)維隔離裝置的功能分析

變電站手持式運(yùn)維隔離裝置具有人員識(shí)別、聯(lián)網(wǎng)故障診斷和U盤控制等功能，運(yùn)用防火墻技術(shù)監(jiān)控網(wǎng)絡(luò)存取和管理，便于現(xiàn)場(chǎng)維修，減少了施工人員的工作壓力。該設(shè)備參考筆記本大小，便于隨身攜帶。

1.1 基礎(chǔ)功能設(shè)計(jì)

變電站手持式運(yùn)維隔離裝置以Linux為基礎(chǔ)，加強(qiáng)對(duì)木馬和病毒的抵抗[1]。本機(jī)具有賬號(hào)管理模塊，可有效完成個(gè)人身份驗(yàn)證，防止未經(jīng)許可的使用者進(jìn)入或利用本設(shè)備。同時(shí)，在登陸模塊中設(shè)定了一個(gè)鎖閉機(jī)制，以阻止外人多次嘗試進(jìn)入該設(shè)備。

目前，變電站的各個(gè)設(shè)備都是由計(jì)算機(jī)進(jìn)行信息和數(shù)據(jù)傳遞，為了便于維修人員對(duì)網(wǎng)絡(luò)的錯(cuò)誤特性進(jìn)行迅速識(shí)別，本系統(tǒng)包含了網(wǎng)絡(luò)故障檢測(cè)和信息分析功能[2]。通過(guò)鏈路檢測(cè)模塊利用ping命令檢測(cè)網(wǎng)絡(luò)的連通性，維護(hù)員就能夠根據(jù)實(shí)際情況來(lái)判定是存在物理連接問(wèn)題還是軟件的問(wèn)題，同時(shí)還可以設(shè)定分組發(fā)送時(shí)間、數(shù)目、大小等參數(shù)，從而對(duì)丟包率和處理能力進(jìn)行進(jìn)一步的檢測(cè)。信息分析模塊內(nèi)建了IEC104、MMS、GOOSE、SV和SNTP等多種通信信息，有助于維護(hù)人員查找故障根源。

1.2 網(wǎng)絡(luò)訪問(wèn)控制功能設(shè)計(jì)

安全性原則有兩種，一是“沒(méi)有顯示許可的服務(wù)預(yù)設(shè)禁用”，二是“沒(méi)有顯示被禁用的”。在具有較高安全性能的網(wǎng)絡(luò)中，通常使用前者。本文所提出的網(wǎng)絡(luò)接入控制系統(tǒng)就是基于這種方法。兩個(gè)程序之間的通訊，不僅要得到IP地址，還要了解彼此的端口號(hào)碼。

因此，可以通過(guò)控制對(duì)IP地址和端口的訪問(wèn)來(lái)進(jìn)行網(wǎng)絡(luò)管理。在設(shè)備中，僅允許接入目標(biāo)IP和接口，外部操作人員可以通過(guò)手提計(jì)算機(jī)進(jìn)行維修。防火墻是一種能夠適應(yīng)多種操作系統(tǒng)、防止系統(tǒng)或局部系統(tǒng)受到網(wǎng)絡(luò)安全攻擊的一種行之有效的手段。在外部運(yùn)行期間，全部網(wǎng)絡(luò)業(yè)務(wù)都要通過(guò)防火墻。另外，該防火墻是基于自定義Linux的，可以減少黑客入侵的幾率。

防火墻主要有三種類型：分組過(guò)濾防火墻、狀態(tài)檢測(cè)防火墻和代理防火墻。通過(guò)防火墻可對(duì)網(wǎng)絡(luò)進(jìn)行快速分析，但對(duì)于那些使用了某一程序的缺陷或特性而發(fā)起的襲擊或者IP地址偽造的襲擊是不可能被禁止的[4]。與數(shù)據(jù)包過(guò)濾防火墻比較，該防火墻可以更好地保存TCP的鏈接，從而避免了用戶端的暫時(shí)端口被占用。作為內(nèi)部和外部主機(jī)之間的中間件，代理防火墻要比包過(guò)濾防火墻更加可靠，無(wú)需對(duì)TCP與IP的鏈接進(jìn)行判定，而僅對(duì)可用的幾個(gè)應(yīng)用進(jìn)行詳細(xì)的檢查。還可以對(duì)應(yīng)用級(jí)上的全部輸入數(shù)據(jù)進(jìn)行日志和審核。其程序處理流程如圖1所示。

圖1 程序處理流程圖示

本裝置根據(jù)對(duì)目的IP地址的限制和端口號(hào)報(bào)文來(lái)實(shí)現(xiàn)過(guò)濾功能，如某個(gè)筆記本電腦的IP地址為172.20.1.234，檢修設(shè)備的IP地址為172.20.1.10，其他的運(yùn)行設(shè)備所處于的網(wǎng)段為172.20.1.0/16，所需要開通的服務(wù)為SSH，那么該裝置主要所實(shí)現(xiàn)的內(nèi)容如下：

1）iptables-P FORWARD DROP；

2）iptables-AFORWARD-d172.20.1.10-ptcp-dport 22-jACCEPT；

3）iptables-A FORWARD-s172.20.1.0/16-jACCEPT；

4）iptables-AFORWARD-f-mlimit-d172.20.1.10--limit100/s--limit-burst100-jACCEPT；

5）iptables-AFORWARD-picmp-mlimit--limit1/s--limit-burst10-jACCEPT。

需要注意的是，前3個(gè)指令為實(shí)現(xiàn)該筆記本電腦對(duì)于檢修設(shè)備SSH服務(wù)的訪問(wèn)，以及允許該設(shè)備對(duì)筆記本電腦發(fā)送數(shù)據(jù)包。而后2條指令則可避免IP碎片供給，以此來(lái)對(duì)IP碎片流量進(jìn)行控制。針對(duì)FTP業(yè)務(wù)，設(shè)備利用Agent防火墻來(lái)限制存取，分析FTP命令通道和數(shù)據(jù)通道，從而對(duì)FTP命令通道和數(shù)據(jù)通道進(jìn)行有效檢測(cè)和截獲。如，F(xiàn)TP跳躍式攻擊是通過(guò)FTP的端口來(lái)與其它裝置進(jìn)行鏈接，從而對(duì)網(wǎng)絡(luò)裝置進(jìn)行破壞。它的進(jìn)攻流程如圖2所示。該技術(shù)難以通過(guò)包過(guò)濾的防火墻進(jìn)行有效攔截，必須通過(guò)應(yīng)用級(jí)的數(shù)據(jù)監(jiān)控進(jìn)行封鎖。

圖2 FTP跳轉(zhuǎn)供給示意圖

2 變電站手持式運(yùn)維隔離裝置的使用流程

為了便于操作人員迅速掌握手動(dòng)變電站運(yùn)行的絕緣設(shè)備，文中給出了操作程序，如圖3所示。

1）在設(shè)備上輸入使用者名稱及口令。

2）將外地維修人員攜帶的筆記本IP地址設(shè)定為與現(xiàn)場(chǎng)其它操作設(shè)備不同的IP地址（不能與現(xiàn)場(chǎng)其它操作設(shè)備的IP地址）相同，并將IP地址輸入操作系統(tǒng)，并設(shè)定許可端口號(hào)碼。圖3的隔離設(shè)備采用了一個(gè)策略來(lái)設(shè)定接口。

圖3 隔離裝置使用流程

3）通過(guò)運(yùn)維筆記本經(jīng)網(wǎng)線及VGA線路訪問(wèn)變電站手持式運(yùn)維隔離裝置，并將筆記本的外接顯示器模式切換至復(fù)制模式，然后確認(rèn)裝置能監(jiān)視到筆記本的操作，如圖4所示，顯示了連接模式。

圖4 隔離裝置連接拓?fù)鋱D

4）對(duì)外來(lái)人員根據(jù)該裝置進(jìn)行設(shè)備運(yùn)維工作的監(jiān)督。

5）在整個(gè)工作結(jié)束之后，需要將裝置中所保存的審計(jì)材料拷貝到管理平臺(tái)上。

3 實(shí)驗(yàn)結(jié)果及分析

為了保障變電站手持式運(yùn)維隔離裝置自身的實(shí)用性和安全性，本文主要對(duì)其主要功能進(jìn)行了詳細(xì)測(cè)試。

3.1 常規(guī)運(yùn)維工作的測(cè)試

本文根據(jù)在監(jiān)控后臺(tái)和筆記本電腦連接的隔離裝置，利用FTP軟件來(lái)測(cè)試傳輸不同文件大小的功能情況，以重復(fù)10次為一組，測(cè)試數(shù)據(jù)結(jié)果如表1所示。

表1 FTP文件傳輸測(cè)試數(shù)據(jù)結(jié)果

利用設(shè)備廠家軟件對(duì)手持式運(yùn)維隔離裝置進(jìn)行配置，對(duì)在不同智能設(shè)備裝軟件的成功率進(jìn)行統(tǒng)計(jì)，具體數(shù)據(jù)如下頁(yè)表2所示。

根據(jù)表1與表2數(shù)據(jù)統(tǒng)計(jì)分析可以明確，該裝置無(wú)論是在文件傳輸上還是在不同智能設(shè)備的軟件安裝上都有著100%的成功率，表示該裝置在實(shí)際應(yīng)用中可靠性極高。

表2 設(shè)備配置測(cè)試結(jié)果

3.2 網(wǎng)絡(luò)訪問(wèn)控制的分析

將手提計(jì)算機(jī)與1個(gè)絕緣設(shè)備相連，其中包含VGA線路和網(wǎng)絡(luò)線路。把該隔離器件的其它端口與開關(guān)相連，該開關(guān)與1臺(tái)主機(jī)和1臺(tái)智能型設(shè)備相連。在分離設(shè)備中，操作系統(tǒng)目標(biāo)IP是172.20.1.10，允許端口為22。該電腦可以通過(guò)Filezilla軟件，對(duì)Filezilla的所有連接要求進(jìn)行攔截。

上述實(shí)驗(yàn)表明，本裝置能夠滿足變電站的現(xiàn)場(chǎng)運(yùn)維實(shí)際需求。

4 結(jié)語(yǔ)

通過(guò)對(duì)變電站外部維護(hù)人員的安全隱患進(jìn)行研究，給出了相應(yīng)的技術(shù)措施，并對(duì)其組成進(jìn)行了較為詳盡的介紹。該設(shè)備采用了防火墻技術(shù)，并集成了運(yùn)行審計(jì)、網(wǎng)絡(luò)診斷和U盤控制等多種技術(shù)，以滿足實(shí)際維修工作的需要，從而減少網(wǎng)絡(luò)的安全性。確保變電站的電網(wǎng)運(yùn)行管理工作順利進(jìn)行。該設(shè)備具有如下優(yōu)點(diǎn)：

1）適用于不同廠商的測(cè)試，具有良好的兼容能力。

2）裝置重量輕，便于搬運(yùn)。

3）可對(duì)網(wǎng)絡(luò)的惡意襲擊進(jìn)行有效攔截。

4）可對(duì)外部維護(hù)人員的作業(yè)進(jìn)行高效審核。

5）使用Linux，防止惡意程序?qū)W(wǎng)絡(luò)進(jìn)行訪問(wèn)。

6）突破原來(lái)的管理方式。

目前，本系統(tǒng)已經(jīng)在多個(gè)變電站進(jìn)行了試驗(yàn)，試驗(yàn)表明，其運(yùn)行效果符合維修要求，有較大的應(yīng)用前景。