惠农变调度数据网非法访问的处理及分析

汤超

[摘    要]随着电力监控系统业务的不断拓展，调度数据网络在整个宁夏电网已实现全覆盖，在获得了更快速、更高效数据传输的同时也面临着诸多网络安全方面的考验，如何有效提升安全防护设备密通率、在线率及抑制非法访问数量成为了重要课题。本文结合220kV惠农变现场实际就该站调度数据网非法访问的原因进行了详细地分析，并最终通过网络配置优化的方式解决问题，进一步提升了电网的可靠运行能力。

[关键词]调度数据网;安全防护;非法访问;配置优化

[中图分类号]TM73 [文献标志码]A [文章编号]2095–6487（2020）10–0–03

Processing and Analysis of Illegal Access to the Dispatching Data

Network of Huinong Substation

Tang Chao

[Abstract]With the continuous expansion of the power monitoring system business， the dispatch data network has achieved full coverage in the entire Ningxia power grid. While obtaining faster and more efficient data transmission， it is also facing many network security tests. How to effectively improve security The secret communication rate and online rate of protective equipment and the suppression of illegal access have become important issues. In this paper， combined with the actual site of our company's 220kV Huinong Substation， the reason for illegal access to the dispatching data network of the station is analyzed in detail， and finally the problem is solved by means of network configuration optimization， which further improves the reliable operation of the power grid.

[Keywords]dispatch data network; security protection; illegal access; configuration optimization

随着我国综合国力的提升，电力系统也得到快速发展和进步，电力调度作为电网中重要的一环，其自动化实现的程度也反映了电力二次系统发展的水平。然而随着各站越来越多的设备接入，某些变电站不同程度地出现纵向加密密通率降低及调度数据网非法访问现象，尤其以非法访问情况最为突出。

1 电力调度数据网安全防护

调度数据网承载着许多重要的生产控制系统数据的传输，在电力生产中发挥着不可替代的作用。尤其在当前“三集五大”体制下，大量的调度控制数据都通过这张网络传输，其安全性直接影响到电网的安全。

为了确保调度数据业务稳定、快速、安全、高效率地传输，防止调度数据网遭到黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，致使电力调度系统崩溃或瘫痪，必须要加强电力调度数据网的安全防护工作。其中，实时监测调度数据网非法访问并尽快处理就是电力调度数据网安全防护的有效手段之一[1]。

2 惠农变调度数据网非法访问的发现

近年来，为保障电力系统内网安全运行，各级调控中心、变电站陆续部署了大量安全防护设备和系统，包括网络安全监测装置、隔离设备、纵向加密认证装置、防火墙等，二次安全防护水平大幅提升。这其中就包括内网安全监控平台，它将网络管理和个性化需求结合起来，注意系统的可用性和易用性需求，实现了内网资源管理、远程端口控制等功能。通过对二次安全防护设备的日志实现标准化采集，实现对安全设备的实时告警与运行状态监测，及时发现安全体系中存在的各类安全隐患和异常访问行为，实现安全防护设备的资产管理和对各类参数的动态管理，大幅减少系统管理员的工作量，同时与智能电网调度技术支持系统（即D5000）结合，实现内网安全事件的集中收集、统一管理，为电网可靠运行提供有效的安全保障[2]。

2018年5月18日，OMS系统收到区调自动化缺陷流程“惠农变调度数据网存在非法IP访问”并附以内网安全监控平台上的告警记录。

從告警记录中可看出站内地调接入网实时和非实时纵向加密装置均拦截到了来自疑似站内设备0.0.0.0至255.255.255.255的非法访问告警记录。

3 站内调度数据网非法访问的原因分析

3.1 调度数据网非法访问源地址定位

依据惠农变全站IP地址统计表，确认该非法访问告警源IP地址0.0.0.0及目的IP地址255.255.255.255均非站内设备实际所配地址。

3.2 调度数据网非法访问原因分析

3.2.1 调度数据网网络结构异常

调度数据网专用于安全生产I、Ⅱ区，其I、Ⅱ区分别划分为实时业务区、非实时业务区，不同的业务交换机物理隔离，接入路由硬件使用不同网口，软件方面采用VPN、OSPF等路由内、外部网关协议隔离，如果发生网络拓扑结构异常，不同安全区业务跨区访问问题，可能会导致该非法访问。

检查分析：220 kV惠农变电站现有省调接入网、地调接入网共两套电力系统专用数据网设备。站内共部署4台纵向加密装置，其中2台加装在省调接入网，处于路由器与业务交换机之间，均采用的密通方式。另外2台加装在地调接入网，具体内容及要求与省调相同。从非法访问告警现象及现场拓扑情况分析，告警并非来自物理链路，而应该是所连接业务主机或数据网设备配置方面的原因。

3.2.2 保护信息子站配置异常

继电保护故障信息系统由调度的主站系统、设在变电站的保护信息子站系统，以及连接子站和主站的通信网络三大部分构成。保护信息子站系统位于变电站层，主要负责收集、分析和显示变电站内继电保护装置、故障录波器、安全自动装置的信息，将系统内的故障及相关信息按不同优先级主动或按照主站系统的命令上传到主站进行进一步分析处理，并可接收主站系统的命令，实现对保护装置的直接操作[3]。如果保护信息子站的配置错误或者存在跨区域网络连接也可能造成非法访问情况的发生。

检查分析：现场检查站内保护信息子站网络配置及底层程序配置，发现除正常业务地址配置外未发现存在漏洞的配置，不存在默认路由等问题，同时装置的网线连接均符合组网要求。

3.2.3 电能量采集终端配置异常

电能量采集装置是一种远端采集、存储、远传装置。在电能计量计费自动化系统中，电能量采集装置是电能数据的通讯中枢，一方面采集、存储数字电能表以串行通讯形式输出的电能数据，另一方面将采集到的电能数据通过上行通道传输到电能计费自动化系统的主站中，地位十分重要。

检查分析：现场电能量采集终端采用北京煜邦公司设备，该设备为装置类型设备，操作系统为嵌入式系统，配置简单且不存在类似Linux和Windows操作系统一类的不正常服务在开启，除至调度端地址及路由配置外无其他异常配置。

3.2.4 站内PMU设备配置漏洞

电力系统同步相量测量（PMU）是加强电力系统调度中心对电力系统的动态稳定监测和分析能力，需要在重要的变电站和发电厂安装同步相量测量装置，构建电力系统实时动态监测系统，并通过调度中心分析中心站实现对电力系统动态过程的监测和分析。相量测量装置是电力系统实时动态监测系统的基本核心组成部分，其必须具备高稳定性和可靠性、高精度、强大的计算处理、存储和通讯能力、良好的人机界面和开放性。

检查分析：现场检查PMU设备配置，证实设备运行正常，且除至调度端地址及路由配置外无其他异常配置。

3.2.5 站内远动设备配置漏洞

远动设备能够实现变电站与调度、生产等主站系统之间的通信，为主站系统实现变电站监视控制、信息查询等功能提供数据、模型的传输服务。主要实现功能如下：数据采集、数据处理、数据远传、控制功能、时间同步、源端维护、冗余管理、运行维护及参数配置。

检查分析：现场检查远动设备配置，证实除必要的数据库、转发表及至调度端地址及路由配置外无其他异常配置。

3.2.6 站内调度数据网设备配置漏洞

调度数据网设备分为数据网交换机及路由器设备，根据非法访问拦截方向情况判断告警来自于纵向加密装置下端，在排除了各业务主机配置问题外，怀疑站内数据网交换机配置存在异常。

检查分析：现场对数据网交换机设备配置进行检查发现配置中存在DHCP服务，且配置中默认允许所有vlan通过，因vlan1默认打开DHCP服务（DHCP是Dynamic Host Configuration Protocol的英文缩写，中文名称是：动态主机配置协议，主要作用就是给计算机分配IP地址，变电站内设备地址为固定配置，不需要动态分配，而该服务会不定期由0.0.0.0发起启动）[4]，所以会出现0.0.0.0访问255.255.255.255的问题，如图1所示。

4 站内调度数据网非法访问的处理

针对惠农变站内调度数据网设备配置异常导致的调度数据网非法访问，制定了以下整改措施：

4.1 消除访问源

对实时和非实时数据网交换机内的配置进行优化，关闭DHCP服务，消除访问源。

串口线登录交换机，输入discu 查看交換机配置，找到并进入interface vlan interface1，删除DHCP服务，如图2所示：

4.2 切断无关服务连接

进入直连纵向加密装置的交换机端口，对其VLAN设置进行优化，彻底切断无关服务与调度的连接空间（如图3所示）。

经过配置优化，一周后同省调自动化值班人员核实，惠农变非法访问告警消失，缺陷已消除。

5 今后防范措施

5.1 加强数据网检查力度

加强辖区内各站电力安全防护系统及调度数据网检查力度，结合年度隐患排查对站内网络走向不满足安全防护要求的及时整改。

5.2 严管数据网设备配置

严格管控调度数据网设备配置，避免因为配置漏洞导致大量的非法访问告警，从而降低系统运行可靠性。

5.3 加强安全防护培训

加强电力系统安全防护相关培训力度，以理论与实际相结合并向实操方向倾斜的方式，提高自动化运维人员的现场处理能力。

6 结束语

通过对惠农变站内调度数据网设备的网络配置进行优化，成功解决了站内调度数据网非法访问的缺陷，这也为今后其他变电站类似缺陷的消除提供了有力保障。同时，站内设备的可靠运行也为坚强电网的建设奠定了坚实的基础。

参考文献

[1]王晓英.电力调度数据网安全防护设计及实现[J].信息安全与通信保密，2012（6）：76-77，80.

[2]袁林，高夏生，赵田红.电力调度内网安全监控平台建设[J].电信科学，2014，30（1）：116-121.

[3]顾爱斌，宋桂林，费忠元.变电站继电保护故障信息子站的研究与应用[J].电世界，2014，55（11）：4-5.

[4] 张棋.基于Cisco IOS的DHCP服务冗余研究[J].信息与电脑（理论版），2012，12（6）：18-19.