惠農變調度數據網非法訪問的處理及分析

湯超

[摘? ? 要]隨著電力監控系統業務的不斷拓展，調度數據網絡在整個寧夏電網已實現全覆蓋，在獲得了更快速、更高效數據傳輸的同時也面臨著諸多網絡安全方面的考驗，如何有效提升安全防護設備密通率、在線率及抑制非法訪問數量成為了重要課題。本文結合220kV惠農變現場實際就該站調度數據網非法訪問的原因進行了詳細地分析，并最終通過網絡配置優化的方式解決問題，進一步提升了電網的可靠運行能力。

[關鍵詞]調度數據網;安全防護;非法訪問;配置優化

[中圖分類號]TM73 [文獻標志碼]A [文章編號]2095–6487（2020）10–0–03

Processing and Analysis of Illegal Access to the Dispatching Data

Network of Huinong Substation

Tang Chao

[Abstract]With the continuous expansion of the power monitoring system business， the dispatch data network has achieved full coverage in the entire Ningxia power grid. While obtaining faster and more efficient data transmission， it is also facing many network security tests. How to effectively improve security The secret communication rate and online rate of protective equipment and the suppression of illegal access have become important issues. In this paper， combined with the actual site of our company's 220kV Huinong Substation， the reason for illegal access to the dispatching data network of the station is analyzed in detail， and finally the problem is solved by means of network configuration optimization， which further improves the reliable operation of the power grid.

[Keywords]dispatch data network; security protection; illegal access; configuration optimization

隨著我國綜合國力的提升，電力系統也得到快速發展和進步，電力調度作為電網中重要的一環，其自動化實現的程度也反映了電力二次系統發展的水平。然而隨著各站越來越多的設備接入，某些變電站不同程度地出現縱向加密密通率降低及調度數據網非法訪問現象，尤其以非法訪問情況最為突出。

1 電力調度數據網安全防護

調度數據網承載著許多重要的生產控制系統數據的傳輸，在電力生產中發揮著不可替代的作用。尤其在當前“三集五大”體制下，大量的調度控制數據都通過這張網絡傳輸，其安全性直接影響到電網的安全。

為了確保調度數據業務穩定、快速、安全、高效率地傳輸，防止調度數據網遭到黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，致使電力調度系統崩潰或癱瘓，必須要加強電力調度數據網的安全防護工作。其中，實時監測調度數據網非法訪問并盡快處理就是電力調度數據網安全防護的有效手段之一[1]。

2 惠農變調度數據網非法訪問的發現

近年來，為保障電力系統內網安全運行，各級調控中心、變電站陸續部署了大量安全防護設備和系統，包括網絡安全監測裝置、隔離設備、縱向加密認證裝置、防火墻等，二次安全防護水平大幅提升。這其中就包括內網安全監控平臺，它將網絡管理和個性化需求結合起來，注意系統的可用性和易用性需求，實現了內網資源管理、遠程端口控制等功能。通過對二次安全防護設備的日志實現標準化采集，實現對安全設備的實時告警與運行狀態監測，及時發現安全體系中存在的各類安全隱患和異常訪問行為，實現安全防護設備的資產管理和對各類參數的動態管理，大幅減少系統管理員的工作量，同時與智能電網調度技術支持系統（即D5000）結合，實現內網安全事件的集中收集、統一管理，為電網可靠運行提供有效的安全保障[2]。

2018年5月18日，OMS系統收到區調自動化缺陷流程“惠農變調度數據網存在非法IP訪問”并附以內網安全監控平臺上的告警記錄。

從告警記錄中可看出站內地調接入網實時和非實時縱向加密裝置均攔截到了來自疑似站內設備0.0.0.0至255.255.255.255的非法訪問告警記錄。

3 站內調度數據網非法訪問的原因分析

3.1 調度數據網非法訪問源地址定位

依據惠農變全站IP地址統計表，確認該非法訪問告警源IP地址0.0.0.0及目的IP地址255.255.255.255均非站內設備實際所配地址。

3.2 調度數據網非法訪問原因分析

3.2.1 調度數據網網絡結構異常

調度數據網專用于安全生產I、Ⅱ區，其I、Ⅱ區分別劃分為實時業務區、非實時業務區，不同的業務交換機物理隔離，接入路由硬件使用不同網口，軟件方面采用VPN、OSPF等路由內、外部網關協議隔離，如果發生網絡拓撲結構異常，不同安全區業務跨區訪問問題，可能會導致該非法訪問。

檢查分析：220 kV惠農變電站現有省調接入網、地調接入網共兩套電力系統專用數據網設備。站內共部署4臺縱向加密裝置，其中2臺加裝在省調接入網，處于路由器與業務交換機之間，均采用的密通方式。另外2臺加裝在地調接入網，具體內容及要求與省調相同。從非法訪問告警現象及現場拓撲情況分析，告警并非來自物理鏈路，而應該是所連接業務主機或數據網設備配置方面的原因。

3.2.2 保護信息子站配置異常

繼電保護故障信息系統由調度的主站系統、設在變電站的保護信息子站系統，以及連接子站和主站的通信網絡三大部分構成。保護信息子站系統位于變電站層，主要負責收集、分析和顯示變電站內繼電保護裝置、故障錄波器、安全自動裝置的信息，將系統內的故障及相關信息按不同優先級主動或按照主站系統的命令上傳到主站進行進一步分析處理，并可接收主站系統的命令，實現對保護裝置的直接操作[3]。如果保護信息子站的配置錯誤或者存在跨區域網絡連接也可能造成非法訪問情況的發生。

檢查分析：現場檢查站內保護信息子站網絡配置及底層程序配置，發現除正常業務地址配置外未發現存在漏洞的配置，不存在默認路由等問題，同時裝置的網線連接均符合組網要求。

3.2.3 電能量采集終端配置異常

電能量采集裝置是一種遠端采集、存儲、遠傳裝置。在電能計量計費自動化系統中，電能量采集裝置是電能數據的通訊中樞，一方面采集、存儲數字電能表以串行通訊形式輸出的電能數據，另一方面將采集到的電能數據通過上行通道傳輸到電能計費自動化系統的主站中，地位十分重要。

檢查分析：現場電能量采集終端采用北京煜邦公司設備，該設備為裝置類型設備，操作系統為嵌入式系統，配置簡單且不存在類似Linux和Windows操作系統一類的不正常服務在開啟，除至調度端地址及路由配置外無其他異常配置。

3.2.4 站內PMU設備配置漏洞

電力系統同步相量測量（PMU）是加強電力系統調度中心對電力系統的動態穩定監測和分析能力，需要在重要的變電站和發電廠安裝同步相量測量裝置，構建電力系統實時動態監測系統，并通過調度中心分析中心站實現對電力系統動態過程的監測和分析。相量測量裝置是電力系統實時動態監測系統的基本核心組成部分，其必須具備高穩定性和可靠性、高精度、強大的計算處理、存儲和通訊能力、良好的人機界面和開放性。

檢查分析：現場檢查PMU設備配置，證實設備運行正常，且除至調度端地址及路由配置外無其他異常配置。

3.2.5 站內遠動設備配置漏洞

遠動設備能夠實現變電站與調度、生產等主站系統之間的通信，為主站系統實現變電站監視控制、信息查詢等功能提供數據、模型的傳輸服務。主要實現功能如下：數據采集、數據處理、數據遠傳、控制功能、時間同步、源端維護、冗余管理、運行維護及參數配置。

檢查分析：現場檢查遠動設備配置，證實除必要的數據庫、轉發表及至調度端地址及路由配置外無其他異常配置。

3.2.6 站內調度數據網設備配置漏洞

調度數據網設備分為數據網交換機及路由器設備，根據非法訪問攔截方向情況判斷告警來自于縱向加密裝置下端，在排除了各業務主機配置問題外，懷疑站內數據網交換機配置存在異常。

檢查分析：現場對數據網交換機設備配置進行檢查發現配置中存在DHCP服務，且配置中默認允許所有vlan通過，因vlan1默認打開DHCP服務（DHCP是Dynamic Host Configuration Protocol的英文縮寫，中文名稱是：動態主機配置協議，主要作用就是給計算機分配IP地址，變電站內設備地址為固定配置，不需要動態分配，而該服務會不定期由0.0.0.0發起啟動）[4]，所以會出現0.0.0.0訪問255.255.255.255的問題，如圖1所示。

4 站內調度數據網非法訪問的處理

針對惠農變站內調度數據網設備配置異常導致的調度數據網非法訪問，制定了以下整改措施：

4.1 消除訪問源

對實時和非實時數據網交換機內的配置進行優化，關閉DHCP服務，消除訪問源。

串口線登錄交換機，輸入discu 查看交換機配置，找到并進入interface vlan interface1，刪除DHCP服務，如圖2所示：

4.2 切斷無關服務連接

進入直連縱向加密裝置的交換機端口，對其VLAN設置進行優化，徹底切斷無關服務與調度的連接空間（如圖3所示）。

經過配置優化，一周后同省調自動化值班人員核實，惠農變非法訪問告警消失，缺陷已消除。

5 今后防范措施

5.1 加強數據網檢查力度

加強轄區內各站電力安全防護系統及調度數據網檢查力度，結合年度隱患排查對站內網絡走向不滿足安全防護要求的及時整改。

5.2 嚴管數據網設備配置

嚴格管控調度數據網設備配置，避免因為配置漏洞導致大量的非法訪問告警，從而降低系統運行可靠性。

5.3 加強安全防護培訓

加強電力系統安全防護相關培訓力度，以理論與實際相結合并向實操方向傾斜的方式，提高自動化運維人員的現場處理能力。

6 結束語

通過對惠農變站內調度數據網設備的網絡配置進行優化，成功解決了站內調度數據網非法訪問的缺陷，這也為今后其他變電站類似缺陷的消除提供了有力保障。同時，站內設備的可靠運行也為堅強電網的建設奠定了堅實的基礎。

參考文獻

[1]王曉英.電力調度數據網安全防護設計及實現[J].信息安全與通信保密，2012（6）：76-77，80.

[2]袁林，高夏生，趙田紅.電力調度內網安全監控平臺建設[J].電信科學，2014，30（1）：116-121.

[3]顧愛斌，宋桂林，費忠元.變電站繼電保護故障信息子站的研究與應用[J].電世界，2014，55（11）：4-5.

[4] 張棋.基于Cisco IOS的DHCP服務冗余研究[J].信息與電腦（理論版），2012，12（6）：18-19.