提高二次安全防護系統的實用性

李榮智

【摘要】 電網二次安全防護系統的重點是確保電網調度自動化系統及數據網絡的安全。提高電網二次安全防護系統的使用性能，就會直接提高電網調度自動化系統的運行穩定性，確保為調度部門提供一個安全、穩定的調度決策平臺，從而做出正確決策。本文結合國網開封供電公司實際，對如何提高二次安全防護系統的實用性進行簡析。

【關鍵詞】 電網 二次安全 防護

一、現狀調查

對2013年第四季度電網二次安全防護系統存在的不安全因素，進行了統計。其中因IDS誤報漏報、設備宕機、網絡故障、電源故障和其他原因導致的維護總時間分別為189.5、44.5、13.5、2.0和4.5小時，累計維護時間為189.5、234.0、247.5、249.5和254.0，累計比例分別為74.60%、92.13%、97.44%、98.23%和100%。

2013年，電網二次安全防護系統累計維護時間254小時，而電網二次安全防護系統的可用率不高于86.31%，低于《開封電網調度自動化運行管理規程》和《電力調度技術標準匯編》中單機系統可用率不小于95%的要求。

而從表中我們可以對比得出，影響電網二次安全防護系統實用性的最主要問題是：IDS誤報漏報。因此，只要消除IDS誤報漏報這一問題，就可以大幅度提高電網二次安全防護系統的實用性。

二、原因分析

依據現狀調查表，從人、機、料、法、環五個方面著手，利用魚刺圖追本溯源，對IDS誤報漏報率的原因進行分析，尋找出7條末端原因：系統規則、策略不完善；經驗不足；責任心不強；人力缺乏；數據源存在后門和代理；誤操作；系統存在漏洞和開放端口。

三、解決措施

實施1：完善系統監測規則和策略

①過濾誤報。對系統產生的告警，根據所監控的具體網絡環境可以判斷為明顯誤報時，可以設置為不告警。比如：某個機器被告警有木馬，而這個機器肯定沒有開放相應端口或者沒有被種植木馬；或者是某些特定應用引起的某種類型報警，這時對于只是針對某個系統的情況，設置對此系統IP不告警、不記入數據庫。

②過濾不關心告警。入侵檢測系統可以報告很多類型告警事件，比如登錄成功、登錄失敗及探測掃描等。有些事件對于事后分析非常有幫助，但日常監控界面上大量的這些事件有時會影響對主要事件的關注，因此需要標注那些不關心的事件讓其不顯示，但仍然記錄進數據庫。

③定制關心的安全事件。通過查詢系統我們發現，安全廠商僅僅通過定義規則來檢測常見的應用、系統攻擊事件，而針對具體應用系統的攻擊行為和網管人員自身關心的事件可能沒有涉及。因此我們針對這一特點，尋求廠商的支持，添加對應規則。

④正確判斷誤報。根據網絡環境進行判斷，具體判斷過程中會有跡象可尋。常見的誤報通常會導致大量報警，這樣在入侵檢測系統運行一段時候后，使用日志分析工具對所有告警進行一個統計分析，選取告警數據前10位的告警，通過對這些告警進行分析，協助進行判斷，從而達到減少誤報漏報才來的影響。

實施1完成后，大大較少了維護人員對二次安全防護系統的維護工作量，提高了二次安全防護系統的實用性。同時，也從側面減輕了人力缺乏對系統穩定運行帶來的影響。

實施2：修補系統漏洞，關閉系統業務無關的端口及服務

對IDS系統的系統漏洞進行了檢測，并及時修補相關補丁。同時，經過和廠商相關技術人員的交流，及對電網調度自動化相關業務的統計和其所使用服務、端口的分析，關閉與電網調度自動化系統無關的業務端口及服務。同時，還將修補漏洞工作寫入班組日常工作內容，以達到及時修補新發現漏洞的目的。

實施2完成后，使電網二次安全防護系統的實用性得到了進一步的加強，從而能夠有效的保障電網調度自動化系統的安全、穩定、經濟運行。

實施3：開展技能培訓

邀請科技公司的安全工程師向調度自動化班的全體成員講解了電網二次安全防護系統的整體結構、聯接關系、維護方法以及故障處理等過程。培訓后，工作人員對電網二次安全防護系統的故障預判、處理及分析能力大大提高，各項工作能力均得到了顯著提升。

四、效果檢查

對2014年第四季度，電網二次安全防護系統存在的不安全因素，進行了再次統計。

其中因設備宕機、網絡故障、IDS誤報漏報、電源故障和其他原因導致的維護總時間分別為32.0、8.5、7.5、0.5和3.0小時，累計維護時間為32.0、40.5、48.0、48.5和51.5，累計比例分別為62.13%、78.64%、93.20%、94.17%和100%。不難看出，2014年第四季度，電網二次安全防護系統累計維護時間51.5小時，比去年同期的254.0小時，減少了79.72%。而且，IDS誤報漏報已經不是影響電網二次安全防護系統實用性的主要問題。因此，本課題成功降低了IDS的誤報率和漏報率，提高了電網二次安全防護系統的實用性。

通過三個月的效果檢查，電網二次安全防護系統的可用率高于97.38%，達到并超過了95%的目標值，說明本課題是持續有效的。