提高二次安全防护系统的实用性

2015-05-30 16:45李荣智

中国新通信 2015年23期

李荣智

【摘要】电网二次安全防护系统的重点是确保电网调度自动化系统及数据网络的安全。提高电网二次安全防护系统的使用性能，就会直接提高电网调度自动化系统的运行稳定性，确保为调度部门提供一个安全、稳定的调度决策平台，从而做出正确决策。本文结合国网开封供电公司实际，对如何提高二次安全防护系统的实用性进行简析。

【关键词】电网二次安全防护

一、现状调查

对2013年第四季度电网二次安全防护系统存在的不安全因素，进行了统计。其中因IDS误报漏报、设备宕机、网络故障、电源故障和其他原因导致的维护总时间分别为189.5、44.5、13.5、2.0和4.5小时，累计维护时间为189.5、234.0、247.5、249.5和254.0，累计比例分别为74.60%、92.13%、97.44%、98.23%和100%。

2013年，电网二次安全防护系统累计维护时间254小时，而电网二次安全防护系统的可用率不高于86.31%，低于《开封电网调度自动化运行管理规程》和《电力调度技术标准汇编》中单机系统可用率不小于95%的要求。

而从表中我们可以对比得出，影响电网二次安全防护系统实用性的最主要问题是：IDS误报漏报。因此，只要消除IDS误报漏报这一问题，就可以大幅度提高电网二次安全防护系统的实用性。

二、原因分析

依据现状调查表，从人、机、料、法、环五个方面着手，利用鱼刺图追本溯源，对IDS误报漏报率的原因进行分析，寻找出7条末端原因：系统规则、策略不完善；经验不足；责任心不强；人力缺乏；数据源存在后门和代理；误操作；系统存在漏洞和开放端口。

三、解决措施

实施1：完善系统监测规则和策略

①过滤误报。对系统产生的告警，根据所监控的具体网络环境可以判断為明显误报时，可以设置为不告警。比如：某个机器被告警有木马，而这个机器肯定没有开放相应端口或者没有被种植木马；或者是某些特定应用引起的某种类型报警，这时对于只是针对某个系统的情况，设置对此系统IP不告警、不记入数据库。

②过滤不关心告警。入侵检测系统可以报告很多类型告警事件，比如登录成功、登录失败及探测扫描等。有些事件对于事后分析非常有帮助，但日常监控界面上大量的这些事件有时会影响对主要事件的关注，因此需要标注那些不关心的事件让其不显示，但仍然记录进数据库。

③定制关心的安全事件。通过查询系统我们发现，安全厂商仅仅通过定义规则来检测常见的应用、系统攻击事件，而针对具体应用系统的攻击行为和网管人员自身关心的事件可能没有涉及。因此我们针对这一特点，寻求厂商的支持，添加对应规则。

④正确判断误报。根据网络环境进行判断，具体判断过程中会有迹象可寻。常见的误报通常会导致大量报警，这样在入侵检测系统运行一段时候后，使用日志分析工具对所有告警进行一个统计分析，选取告警数据前10位的告警，通过对这些告警进行分析，协助进行判断，从而达到减少误报漏报才来的影响。

实施1完成后，大大较少了维护人员对二次安全防护系统的维护工作量，提高了二次安全防护系统的实用性。同时，也从侧面减轻了人力缺乏对系统稳定运行带来的影响。

实施2：修补系统漏洞，关闭系统业务无关的端口及服务

对IDS系统的系统漏洞进行了检测，并及时修补相关补丁。同时，经过和厂商相关技术人员的交流，及对电网调度自动化相关业务的统计和其所使用服务、端口的分析，关闭与电网调度自动化系统无关的业务端口及服务。同时，还将修补漏洞工作写入班组日常工作内容，以达到及时修补新发现漏洞的目的。

实施2完成后，使电网二次安全防护系统的实用性得到了进一步的加强，从而能够有效的保障电网调度自动化系统的安全、稳定、经济运行。

实施3：开展技能培训

邀请科技公司的安全工程师向调度自动化班的全体成员讲解了电网二次安全防护系统的整体结构、联接关系、维护方法以及故障处理等过程。培训后，工作人员对电网二次安全防护系统的故障预判、处理及分析能力大大提高，各项工作能力均得到了显著提升。

四、效果检查

对2014年第四季度，电网二次安全防护系统存在的不安全因素，进行了再次统计。

其中因设备宕机、网络故障、IDS误报漏报、电源故障和其他原因导致的维护总时间分别为32.0、8.5、7.5、0.5和3.0小时，累计维护时间为32.0、40.5、48.0、48.5和51.5，累计比例分别为62.13%、78.64%、93.20%、94.17%和100%。不难看出，2014年第四季度，电网二次安全防护系统累计维护时间51.5小时，比去年同期的254.0小时，减少了79.72%。而且，IDS误报漏报已经不是影响电网二次安全防护系统实用性的主要问题。因此，本课题成功降低了IDS的误报率和漏报率，提高了电网二次安全防护系统的实用性。

通过三个月的效果检查，电网二次安全防护系统的可用率高于97.38%，达到并超过了95%的目标值，说明本课题是持续有效的。