淺談電力系統(tǒng)內(nèi)網(wǎng)安全監(jiān)視平臺管理經(jīng)驗

馬萍

摘 要：電力調(diào)度運行維護日趨網(wǎng)絡化，國內(nèi)外黑客攻擊導致大面積停電事故層出不窮，因此電力網(wǎng)路安全日益重要。調(diào)度專網(wǎng)內(nèi)網(wǎng)監(jiān)視平臺能夠實現(xiàn)對所轄變電站二次系統(tǒng)的安全防護裝置遠程維護和內(nèi)網(wǎng)安全信息監(jiān)視，可以及時發(fā)現(xiàn)不安全攻擊行為，第一時間對網(wǎng)絡攻擊行為采取措施。本文主要從安全防護裝置在線率、加密裝置密通率、重要告警分析與消除三方面闡述內(nèi)網(wǎng)安全監(jiān)視平臺日常維護工作，通過歸納總結形成行之有效的典型經(jīng)驗，一方面可以形成內(nèi)網(wǎng)安全監(jiān)視平臺長效工作機制，另一方面為日常工作處理提供參考建議，從而確保公司電力調(diào)度數(shù)據(jù)專網(wǎng)安全穩(wěn)定運行。

關鍵詞：內(nèi)網(wǎng)安全信息；在線率；密通率；重要告警

DOI：10.16640/j.cnki.37-1222/t.2018.20.142

1 現(xiàn)狀與目標

2015年12月烏克蘭能源部黑客攻擊事件，讓飽受戰(zhàn)爭蹂躪的烏克蘭在隆科時節(jié)有超過22.5萬民眾失去電力供應，“前車之鑒，后事之師”，國家電網(wǎng)大力發(fā)展調(diào)度業(yè)務網(wǎng)絡化的同時，必定要加強網(wǎng)絡安全的管理，否則黑客分子從數(shù)據(jù)網(wǎng)的一點入侵就可以實現(xiàn)對調(diào)度專網(wǎng)全局的控制，從而造成大面積電力癱瘓，對國民經(jīng)濟形成致命的打擊。

為此國網(wǎng)調(diào)度控制中心提出“網(wǎng)絡分區(qū)、專網(wǎng)專用、縱向加密、橫向隔離”的工作方針。該理念也是內(nèi)網(wǎng)安全監(jiān)視平臺維護工作的指導思想。根據(jù)實際工作，將十六字工作方針進行細化，提出“調(diào)度業(yè)務加密，加密裝置可控，加密通道優(yōu)先，明通通道專用，地址端口精準，統(tǒng)一模板配置”的工作原則，即：凡是站內(nèi)專網(wǎng)業(yè)務都要經(jīng)過加密裝置加密才可以和地調(diào)互聯(lián)互通；凡是調(diào)度專網(wǎng)內(nèi)的加密裝置都要接入內(nèi)網(wǎng)監(jiān)視平臺，實現(xiàn)遠程控制管理；所有業(yè)務能走加密通道，就不走明通通道；走不了加密通道，必須走明通通道的，就要建立端到端的隧道策略；業(yè)務地址范圍盡量縮小，ip端口精準訪問；隧道策略按照模板統(tǒng)一配置。

內(nèi)網(wǎng)監(jiān)視平臺以及各變電站站端的加密機都是新安裝工程。前期工作主要搭建整個安防監(jiān)視系統(tǒng)的架構，初步實現(xiàn)了平臺對各個加密機的遠程管理以及加密機日志上送。但是還有部分遺留問題亟待解決：第一，部分縱向加密裝置由于各種原因偶爾會出現(xiàn)離線狀況；第二，整個三門峽地區(qū)密通率較低，大量數(shù)據(jù)依舊走的明通通道，導致加密裝置形同虛設；第三，平臺每日大量重要告警，存在大量不安全隱患，同時也會造成重要告警出現(xiàn)不易及時被發(fā)現(xiàn)。

因此，國網(wǎng)公司關于內(nèi)網(wǎng)安全監(jiān)視平臺下達了三個重要指標：第一：縱向加密裝置在線率不低于99%；第二：內(nèi)網(wǎng)安全監(jiān)視平臺密通率每日不低于95%；第三：內(nèi)網(wǎng)安全監(jiān)視平臺重要告警平均每日不超過5條。

2 實施方案

2.1 提高縱向加密裝置在線率

首先對離線的加密裝置進行統(tǒng)計，分析加密裝置離線和不能遠程管理的原因，確保“凡是站內(nèi)專網(wǎng)業(yè)務都要經(jīng)過加密裝置加密才可以和地調(diào)互聯(lián)互通；凡是調(diào)度專網(wǎng)內(nèi)的加密裝置都要接入內(nèi)網(wǎng)監(jiān)視平臺，實現(xiàn)遠程控制管理”的原則。經(jīng)過分析，結果如下：

（1）造成裝置離線的原因經(jīng)總結歸納主要有以下幾條：1）縱向加密裝置電源故障或被斷電；2）該廠站通訊網(wǎng)絡中斷，如：通訊光纜被破壞，站端路由器故障、站端光端機故障等；3）縱向加密裝置本身故障；4）站端縱向加密裝置內(nèi)部參數(shù)證書等配置錯誤。

（2）裝置在線，但是縱向加密裝置不能遠程管理的原因有：1）站端與主站側證書下裝不匹配；2）站端管理證書下裝錯誤；3）裝置故障或加密卡故障；4）站端調(diào)試人員技術問題導致的不能遠程管理，如參數(shù)配置錯誤等。

根據(jù)分析總結的原因，我們首先檢查地調(diào)端內(nèi)網(wǎng)監(jiān)視平臺節(jié)點證書隧道策略配置是否正確，然后通過D5000查看該站業(yè)務是否中斷，最后聯(lián)系廠站運維人員，將情況說明后，讓他們現(xiàn)場進行處理。經(jīng)過處理后，縱向加密裝置日平均在線率達到99%。個別廠站綜自改造完成，在線率可提升至100%。

2.2 提高內(nèi)網(wǎng)監(jiān)視平臺密通率

內(nèi)網(wǎng)監(jiān)視平臺統(tǒng)計密通率平均每日只有50%，這說明大量的業(yè)務數(shù)據(jù)走的是明通通道。因前期工期緊張，未對隧道策略配置做詳細規(guī)范，造成策略配置混亂，端口開放范圍過大，業(yè)務ip訪問不精準等諸多問題。

要想提高密通率，首先就必須將隧道策略配置模板化和規(guī)范化。我們多方咨詢廠家再結合省公司下發(fā)的模板，制作220kV變電站實時模板、220kV變電站非實時模板、110kV變電站實時模板、110kV變電站非實時模板、縣調(diào)35kV變電站實時模板。

隧道策略配置采取一人配置，另一人檢查的策略。按照模板正確配置隧道策略后，再仔細檢查所有廠站業(yè)務是否有因為隧道策略配置問題導致的業(yè)務中斷現(xiàn)象。隧道策略配置完成后，密通率整體上升明顯，平均日密通率上升為75%。

隧道策略正確規(guī)范化后，工作重點就放在明通通道的配置上。經(jīng)試驗，明通通道斷開后，省調(diào)模型機業(yè)務中斷，經(jīng)查詢省調(diào)側模型機未安裝縱向加密裝置，近期無安裝縱向加密裝置計劃，因此需要建立點到點的明通策略，將端口和IP范圍實現(xiàn)精準訪問。經(jīng)過這樣處理后，原本走明通通道的業(yè)務被強制走密通通道，進一步提升了密通率。待省調(diào)模型機裝加密裝置后，密通率提升至98%，滿足國網(wǎng)公司考核指標。

2.3 減少內(nèi)網(wǎng)安全監(jiān)視平臺重要告警

重要告警大多是遺留問題，經(jīng)過隧道策略標準化配置后，一部分重要告警被處理，但是每日依然還有90多條。

首先我們對重要告警進行梳理，并對消除告警方法進行總結，大致可以分為以下幾類：

（1）站內(nèi)遠動業(yè)務IP訪問通訊網(wǎng)關機ip。處理方案：聯(lián)系廠家遠程對通訊網(wǎng)管機進行參數(shù)配置。

（2）站端網(wǎng)絡IP地址訪問站內(nèi)設備地址或廣播地址。處理方案：這類問題是綜自廠家調(diào)試遠動裝置時留下的遺留問題，需聯(lián)系遠動廠家到現(xiàn)場處理。

（3）站端網(wǎng)絡IP訪問省調(diào)側互聯(lián)地址。處理方案：這類問題是由于以前規(guī)劃的省調(diào)互聯(lián)地址現(xiàn)在統(tǒng)一變更為業(yè)務互聯(lián)地址導致，但是前期規(guī)劃的參數(shù)配置沒有從交換機中刪除，聯(lián)系省公司調(diào)度專網(wǎng)運維組遠程登錄相關交換機，刪除以前的配置即可。

3 結束語

通過對過往工作仔細梳理總結，形成《內(nèi)網(wǎng)監(jiān)視平臺調(diào)試及日常管理手冊》，主要包括內(nèi)網(wǎng)監(jiān)視平臺新增節(jié)點調(diào)試步驟、調(diào)試過程中遇到問題的解決方案、如何提高加密裝置在線率、如何提升密通率、如何消除重要告警等五個方面內(nèi)容，為日后內(nèi)網(wǎng)安全監(jiān)視平臺的工作提供指導和幫助。