浅谈电力系统内网安全监视平台管理经验

马萍

摘 要：电力调度运行维护日趋网络化，国内外黑客攻击导致大面积停电事故层出不穷，因此电力网路安全日益重要。调度专网内网监视平台能够实现对所辖变电站二次系统的安全防护装置远程维护和内网安全信息监视，可以及时发现不安全攻击行为，第一时间对网络攻击行为采取措施。本文主要从安全防护装置在线率、加密装置密通率、重要告警分析与消除三方面阐述内网安全监视平台日常维护工作，通过归纳总结形成行之有效的典型经验，一方面可以形成内网安全监视平台长效工作机制，另一方面为日常工作处理提供参考建议，从而确保公司电力调度数据专网安全稳定运行。

关键词：内网安全信息；在线率；密通率；重要告警

DOI：10.16640/j.cnki.37-1222/t.2018.20.142

1 现状与目标

2015年12月乌克兰能源部黑客攻击事件，让饱受战争蹂躏的乌克兰在隆科时节有超过22.5万民众失去电力供应，“前车之鉴，后事之师”，国家电网大力发展调度业务网络化的同时，必定要加强网络安全的管理，否则黑客分子从数据网的一点入侵就可以实现对调度专网全局的控制，从而造成大面积电力瘫痪，对国民经济形成致命的打击。

为此国网调度控制中心提出“网络分区、专网专用、纵向加密、横向隔离”的工作方针。该理念也是内网安全监视平台维护工作的指导思想。根据实际工作，将十六字工作方针进行细化，提出“调度业务加密，加密装置可控，加密通道优先，明通通道专用，地址端口精准，统一模板配置”的工作原则，即：凡是站内专网业务都要经过加密装置加密才可以和地调互联互通；凡是调度专网内的加密装置都要接入内网监视平台，实现远程控制管理；所有业务能走加密通道，就不走明通通道；走不了加密通道，必须走明通通道的，就要建立端到端的隧道策略；业务地址范围尽量缩小，ip端口精准访问；隧道策略按照模板统一配置。

内网监视平台以及各变电站站端的加密机都是新安装工程。前期工作主要搭建整个安防监视系统的架构，初步实现了平台对各个加密机的远程管理以及加密机日志上送。但是还有部分遗留问题亟待解决：第一，部分纵向加密装置由于各种原因偶尔会出现离线状况；第二，整个三门峡地区密通率较低，大量数据依旧走的明通通道，导致加密装置形同虚设；第三，平台每日大量重要告警，存在大量不安全隐患，同时也会造成重要告警出现不易及时被发现。

因此，國网公司关于内网安全监视平台下达了三个重要指标：第一：纵向加密装置在线率不低于99%；第二：内网安全监视平台密通率每日不低于95%；第三：内网安全监视平台重要告警平均每日不超过5条。

2 实施方案

2.1 提高纵向加密装置在线率

首先对离线的加密装置进行统计，分析加密装置离线和不能远程管理的原因，确保“凡是站内专网业务都要经过加密装置加密才可以和地调互联互通；凡是调度专网内的加密装置都要接入内网监视平台，实现远程控制管理”的原则。经过分析，结果如下：

（1）造成装置离线的原因经总结归纳主要有以下几条：1）纵向加密装置电源故障或被断电；2）该厂站通讯网络中断，如：通讯光缆被破坏，站端路由器故障、站端光端机故障等；3）纵向加密装置本身故障；4）站端纵向加密装置内部参数证书等配置错误。

（2）装置在线，但是纵向加密装置不能远程管理的原因有：1）站端与主站侧证书下装不匹配；2）站端管理证书下装错误；3）装置故障或加密卡故障；4）站端调试人员技术问题导致的不能远程管理，如参数配置错误等。

根据分析总结的原因，我们首先检查地调端内网监视平台节点证书隧道策略配置是否正确，然后通过D5000查看该站业务是否中断，最后联系厂站运维人员，将情况说明后，让他们现场进行处理。经过处理后，纵向加密装置日平均在线率达到99%。个别厂站综自改造完成，在线率可提升至100%。

2.2 提高内网监视平台密通率

内网监视平台统计密通率平均每日只有50%，这说明大量的业务数据走的是明通通道。因前期工期紧张，未对隧道策略配置做详细规范，造成策略配置混乱，端口开放范围过大，业务ip访问不精准等诸多问题。

要想提高密通率，首先就必须将隧道策略配置模板化和规范化。我们多方咨询厂家再结合省公司下发的模板，制作220kV变电站实时模板、220kV变电站非实时模板、110kV变电站实时模板、110kV变电站非实时模板、县调35kV变电站实时模板。

隧道策略配置采取一人配置，另一人检查的策略。按照模板正确配置隧道策略后，再仔细检查所有厂站业务是否有因为隧道策略配置问题导致的业务中断现象。隧道策略配置完成后，密通率整体上升明显，平均日密通率上升为75%。

隧道策略正确规范化后，工作重点就放在明通通道的配置上。经试验，明通通道断开后，省调模型机业务中断，经查询省调侧模型机未安装纵向加密装置，近期无安装纵向加密装置计划，因此需要建立点到点的明通策略，将端口和IP范围实现精准访问。经过这样处理后，原本走明通通道的业务被强制走密通通道，进一步提升了密通率。待省调模型机装加密装置后，密通率提升至98%，满足国网公司考核指标。

2.3 减少内网安全监视平台重要告警

重要告警大多是遗留问题，经过隧道策略标准化配置后，一部分重要告警被处理，但是每日依然还有90多条。

首先我们对重要告警进行梳理，并对消除告警方法进行总结，大致可以分为以下几类：

（1）站内远动业务IP访问通讯网关机ip。处理方案：联系厂家远程对通讯网管机进行参数配置。

（2）站端网络IP地址访问站内设备地址或广播地址。处理方案：这类问题是综自厂家调试远动装置时留下的遗留问题，需联系远动厂家到现场处理。

（3）站端网络IP访问省调侧互联地址。处理方案：这类问题是由于以前规划的省调互联地址现在统一变更为业务互联地址导致，但是前期规划的参数配置没有从交换机中删除，联系省公司调度专网运维组远程登录相关交换机，删除以前的配置即可。

3 结束语

通过对过往工作仔细梳理总结，形成《内网监视平台调试及日常管理手册》，主要包括内网监视平台新增节点调试步骤、调试过程中遇到问题的解决方案、如何提高加密装置在线率、如何提升密通率、如何消除重要告警等五个方面内容，为日后内网安全监视平台的工作提供指导和帮助。