提高配網(wǎng)自動(dòng)化安全可靠性

引言： 隨著電力穩(wěn)定安全的重要性不斷提高，配網(wǎng)自動(dòng)化也愈加重要。為了保障配網(wǎng)自動(dòng)化的安全可靠運(yùn)行，本文闡述了現(xiàn)有配網(wǎng)自動(dòng)化系統(tǒng)對(duì)供電可靠性的影響，并對(duì)有效提高安全可靠性提出了加固措施。

配網(wǎng)自動(dòng)化可以提高供電可靠性和供電質(zhì)量，縮短事故處理時(shí)間，減少停電范圍，提高配電系統(tǒng)運(yùn)行的經(jīng)濟(jì)性，降低運(yùn)行維護(hù)費(fèi)用，最大限度提高企業(yè)的經(jīng)濟(jì)效益，提高整個(gè)配電系統(tǒng)的管理水平和工作效率，改善為用戶服務(wù)的水平。為了保障配網(wǎng)自動(dòng)化的安全可靠運(yùn)行，針對(duì)配網(wǎng)自動(dòng)化的系統(tǒng)特性，本文從服務(wù)器安全加固、工作站安全加固、交換機(jī)安全加固、防火墻安全加固、數(shù)據(jù)庫(kù)安全檢查及配網(wǎng)加密網(wǎng)關(guān)及隔離裝置檢查等方面進(jìn)行安全性加強(qiáng)優(yōu)化。

配網(wǎng)自動(dòng)化對(duì)供電可靠性的影響

配網(wǎng)自動(dòng)化對(duì)可靠性的影響主要體現(xiàn)在故障定位系統(tǒng)、自動(dòng)化饋線系統(tǒng)及電壓整合性問(wèn)題對(duì)供電可靠性的影響。如果沒(méi)有故障定位系統(tǒng)，電力系統(tǒng)一旦出現(xiàn)故障，就需要人為查找故障源，這無(wú)疑費(fèi)時(shí)費(fèi)力效率低下，且如若不能及時(shí)排除故障，恢復(fù)供電，不僅帶來(lái)一定的經(jīng)濟(jì)損失，也降低電力部門的社會(huì)效益；如果沒(méi)有自動(dòng)化饋線系統(tǒng)，我們就無(wú)法第一時(shí)間鎖定電網(wǎng)故障的相關(guān)信息，繼而為后續(xù)工作開展提供明確的方向，提高工作效率，大幅減少經(jīng)濟(jì)損失；為了最大限度地增強(qiáng)電網(wǎng)運(yùn)行的穩(wěn)定性，我們借助先進(jìn)的計(jì)算機(jī)技術(shù)及現(xiàn)代電子設(shè)備監(jiān)控工作，大大推動(dòng)配網(wǎng)自動(dòng)化建設(shè)的進(jìn)程。比如說(shuō)，可以創(chuàng)新地規(guī)劃整合變換器、儲(chǔ)能裝置和變壓器，助其成為一個(gè)不可分割的有機(jī)整體。當(dāng)電壓不穩(wěn)定時(shí)，可以自動(dòng)進(jìn)行切換補(bǔ)償，以保證供電電壓的整合性。

配網(wǎng)自動(dòng)化的安全加固措施

1.服務(wù)器安全配置

服務(wù)器所有操作是以IBM-AIX6.1為案例，其他操作系統(tǒng)如HP-UX操作系統(tǒng)，安全配置要求是一樣的，但操作命令需要網(wǎng)上查找。

系統(tǒng)多余賬號(hào):

將多余賬號(hào)全部鎖定，只留rootemsOracle系統(tǒng)用到的。

建議鎖定：

adm擁有帳號(hào)文件， 起始目錄/var/adm通常包括日志文件

uucp 擁有uucp工具和文件，Unix之間復(fù)制協(xié)議用戶

invscout 運(yùn)行微碼調(diào)試權(quán)限用戶

snapp基于Web服務(wù)用于plam等客戶端用戶

esaadmin基于Web服務(wù)用戶管理服務(wù)ESA用戶

建議鎖定或刪除：

guest 擁有訪客用戶權(quán)限的用戶

uucp 擁有uucp工具和文件，Unix之間復(fù)制協(xié)議用戶

ipsec 安全協(xié)議使用用戶帳號(hào)

nuucp 擁有uucp工具和文件，unix之間復(fù)制協(xié)議用戶

lp 打印系統(tǒng)服務(wù)

lpd 打印系統(tǒng)服務(wù)

保留：

root 系統(tǒng)管理員用戶

Oracle 數(shù)據(jù)庫(kù)管理員用戶

ems open3200系統(tǒng)用戶

root遠(yuǎn)程登錄禁用:

——查看root的rlogin屬性：

#lsuser -a rlogin root

——禁止root遠(yuǎn)程登陸：

#chuser rlogin=false root

密碼策略配置及umask值:

修改/etc/security/user文件

- maxage=48 口令最長(zhǎng)生存期（周），0則未無(wú)限制

- maxrepeat=4 每個(gè)口令在系統(tǒng)中重復(fù)出現(xiàn)的次數(shù)

- minalpha=4 口令中至少含有的字符個(gè)數(shù)

- mindiff=2 新口令不同于舊口令的最小個(gè)數(shù)

- minlen=8口令最短長(zhǎng)度

-umask=027 默認(rèn)值為022

登錄失敗鎖定策略:

登錄失敗5次后鎖定，解鎖5分鐘，失敗登錄后延遲5秒鐘

服務(wù)器審計(jì)開啟:

登錄日志： /var/adm/auth.log ，系統(tǒng)日志/var/adm/syslog.log

修改配置文件#vi /etc/syslog.conf，加上這2行：

auth.info /var/adm/auth.log

*.info;auth.none /var/adm/syslog.log

建立日志文件，如下命令：

#touch/var/adm/auth.log

#touch/var/adm/syslog.log

#chown root:system/var/adm/auth.log

配置日志文件權(quán)限，如下命令：

#chmod 600/var/adm/auth.log

#chmod 640/var/adm/syslog.log

重新啟動(dòng)syslog服務(wù)，依次執(zhí)行下列命令：

#stopsrc -s syslogd

#startsrc -s syslogd

系統(tǒng)banner消息禁止:

先將/etc/motd修改為可寫：chmod 770 /etc/motd

修改 /etc/motd文件中

將第一行Welcome to AIX 6.1 version!修改為WARNING: Coming into AIX!

關(guān)閉不需要用到的服務(wù):

——修改/etc/inetd.conf文件，相應(yīng)的服務(wù)行前面加#注釋掉，修改完成后使用命令refresh -s inetd重啟服務(wù);

關(guān)閉daytime、time、exec、FTP、Telnet、BOOTPS、TFTP、talk、ntalk、ttdbserver、wsmserver、xmquery等服務(wù)，只保留以下服務(wù)：shell、login、dtspcd、cmsd;

login(rlogin)和遠(yuǎn)程shell(RSH)這兩種服務(wù)DMS需要使用，因?yàn)镈MS中需要經(jīng)常調(diào)用另外一臺(tái)機(jī)器的程序命令。CDE子進(jìn)程控制服務(wù)(dtspcd)是一個(gè)從客戶端接收請(qǐng)求，遠(yuǎn)程執(zhí)行命令和啟動(dòng)應(yīng)用程序的網(wǎng)絡(luò)守護(hù)程序。通用桌面環(huán)境(CDE)是一個(gè)可在Unix和Linux操作系統(tǒng)中運(yùn)行的綜合的圖形用戶界面，系統(tǒng)經(jīng)常需要調(diào)用其他的機(jī)器上的圖形界面，所以不能去掉。系統(tǒng)需要mount文件系統(tǒng)，用到RPC CMSD服務(wù)。

基于DMS系統(tǒng)只在I區(qū)運(yùn)行，外部侵入的可能性本來(lái)就很小，而且每臺(tái)機(jī)器的口令都不一樣，因此保留著這四種服務(wù)。

2.工作站安全配置

工作站所有操作是以Linux-redhat5.4為案例，redhat操作系統(tǒng)基本配置命令是一樣的，其他Linux操作系統(tǒng)需參考配置方法進(jìn)行配置；

系統(tǒng)存在多余的賬戶:

root遠(yuǎn)程登錄禁用:

密碼配置不當(dāng):

登錄失敗鎖定策略:

——修改配置 vi /etc/ssh/sshd_config

將#MaxAuthTries 5前的#去掉

重啟服務(wù)：service sshd restart

vi/etc/pam.d/system-auth 查看有無(wú)auth required pam_tally.so條目的設(shè)置

若無(wú)，則添加auth required pam_tally.so onerr=fail deny=5 unlock_time=300

該配置的意思：登錄5次后拒絕登陸，鎖定時(shí)間300s

修改Umask值:

登錄超時(shí)處理：

ClientAliveInterval 300 (登錄之后300s不操作，則退出)

ClientAliveCount Max 5（允許超時(shí)次數(shù)）

在本地登錄賬號(hào)的超時(shí)鎖定 vi /etc/profile為300（加入TMOUT=300）

3.交換機(jī)安全配置

交換機(jī)所有操作是以思科交換機(jī)為案例，其他交換機(jī)需參考配置方法配置；

修改默認(rèn)密碼:

鍵入en回車，進(jìn)入特權(quán)模式下（若需退出該模式exit回車）

提示符：Switch#

可鍵入conf t直接進(jìn)入終端全局配置模式

提示符：Switch(confi g)#

設(shè)置enable密碼為cddyj3200：

sw1(config)#enable secret cddyj3200

4.防火墻安全配置

防火墻所有操作是以天融信防火墻為例，其他防火墻需參考配置方法配置；

天融信防火墻登陸并修改口令:

圖1 訪問(wèn)控制規(guī)則

修改口令符合數(shù)字加字母至少8位以上的復(fù)雜度要求，并定時(shí)更新。

訪問(wèn)控制規(guī)則:

服務(wù)禁用：包括Telnet,FTP,ssh,smtp,rlogin，見(jiàn)圖1的ID為8041的規(guī)則；

訪問(wèn)IP范圍限制，見(jiàn)圖1的ID為8051、8052的兩條規(guī)則。

5.數(shù)據(jù)庫(kù)安全檢查

數(shù)據(jù)庫(kù)中無(wú)用的賬戶實(shí)時(shí)清理，嚴(yán)格禁止多人使用同一個(gè)賬戶，每個(gè)用戶應(yīng)牢記自己的賬號(hào)和口令。檢查口令設(shè)置是否符合數(shù)字加字母至少8位以上的復(fù)雜度要求；口令是否滿足至少每三個(gè)月進(jìn)行一次更新；

6.配網(wǎng)加密網(wǎng)關(guān)及隔離裝置檢查

檢查口令設(shè)置是否符合數(shù)字加字母至少8位以上的復(fù)雜度要求；口令是否滿足至少每三個(gè)月進(jìn)行一次更新。

經(jīng)驗(yàn)總結(jié)

配電自動(dòng)化能夠?qū)﹄娏υO(shè)備實(shí)現(xiàn)遙測(cè)、遙信與遙控功能，大大提高了供電企業(yè)對(duì)電網(wǎng)進(jìn)行管理的自動(dòng)化水平。配網(wǎng)自動(dòng)化普及之后，配網(wǎng)管理模式得到極大提升。利用配網(wǎng)管理系統(tǒng)，能夠在非常短的時(shí)間內(nèi)定位故障位置，通過(guò)控制電容器和電抗器的投切，對(duì)配網(wǎng)的無(wú)功分布進(jìn)行動(dòng)態(tài)控制，極大地提高了功率因數(shù)，降低了網(wǎng)損，優(yōu)化了電力系統(tǒng)的運(yùn)行。通過(guò)系統(tǒng)安全加固，消除與降低安全隱患，周期性的評(píng)估和加固工作相結(jié)合，盡可能避免安全風(fēng)險(xiǎn)的發(fā)生。配電管理系統(tǒng)能夠?yàn)楸ＷC電力系統(tǒng)穩(wěn)定運(yùn)行提供有效的解決方式，研究本課題具有重要意義。