1.邓海伟2.张庆3.周勇
2.1.2.国网随州供电公司电力调度控制中心 湖北 随州 441300
3.国网随县供电公司电力调度控制分中心 湖北 随州 441300
摘要:变电站监控系统网络安全防护主要包括:物理安全、主机安全、应用安全、数据安全,我们要熟悉变电站监控系统网络安全防护措施。
关键字:变电站;监控系统;网络安全;防护措施
变电站监控系统实时采集电气设备中的数据(包括断路器状态、隔离开关状态、锁定状态、各段母线电压、各段线路电压、电流和功率值、有功功率、无功功率、馈线电流、频率、相位、变压器油温、直流电源电压、等等),并对电气设备进行在线控制,自动进行事件记录、故障录波、安全监视,随时掌握变电站运行状态,对变电站进行无人值守。变电站监控系统是一个复杂、精密的系统,为保证变电站监控系统安全、稳定运行,必须完善变电站监控系统网络安全防护措施。
1.变电站监控系统
大力发展电力行业,是关乎人们生活品质的大事。在社会形态科技化、自动化、城市化的特征逐渐明显的前提下,变电站监控系统网络安全防护程度,决定了电力行业的发展状态。我国社会形态在不断发展的经济带动下,城市化进程越来越深,新型社会发展的巨大需求,已经不能被传统变电站所满足,所以,对变电站监控系统网络安全防护措施进行全面优化,是提高电力行业自身能力势在必行的举措。变电站监控系统指的是在发电和供电过程进行件监视和控制的系统,该系统是在计算机网络技术以及相关智能设备基础上建立的,是支持电网运行的基础通信数据网络。“安全分区、网络专用、横向隔离、纵向认证”等是开展变电站监控系统安全防护工作的基本原则,变电站监控系统共有两个主要网络分区,分别为生产控制大区和管理信息大区,其中生产控制大区细分为了控制区以及非控制区,二者的逻辑隔离通过防火墙实现。电力数据的实时性非常强,需要利用控制区进行要遥测以及遥控等操作,而非控制区的主要任务就是对故障录波、点能量等数据进行传输。
变电站监控系统的生产控制大区和管理信息大区间布置了专用的单向隔离装置,而且该装置必须获得国家相关部门的检测许可,同时变电站和主站设置经国家相关部门检测许可专用纵向加密装置,用于传输调度信息,因此业务数据若想在调度数据网络中进行传播都必须要经过纵向装置的加密。调度数据网络由实时子网非实时子网两部分构成,通过逻辑隔离对二者进行隔离,并且分别和生产控制大区的控制区和非控制区连接。另外在主站内设有网络监控平台,其主要作用是对纵向加密装置以及隔离装置进行监控,从而掌握二者的在线情况,同时也可以接收报警信息。
2.变电站监控系统网络安全防护案例
2.1故障现象
一座110 kV电压等级用户变Ⅰ区实时纵向加密装置拦截不符合安全策略的访问请求。
经核实32.123.29.10为现场远动装置地址,操作系统为Windows,远动装置访问外网段的445端口,目的地址无规则,数据包不匹配纵向加密装置配置的任何策略,因此在跨域访问时被纵向加密装置拦截,并向内网监控平台上报异常访问的告警。主站自动化人员登陆到前置机试图测试与目的地址的网络连通性,未能ping通任何目的地址。
2.2故障处理
生产控制大区主机须禁用445、137、138等通用服务端口,防止病毒从不必要的端口入侵。对于监控系统通信网关机操作系统应遵循最小权限原则,仅安装和开启必须的服务,应关闭除2404、3000、3001等以外不必要的服务端口。自动化人员在远动装置控制面板上点击管理工具,打开本地策略,选中IP安全策略后创建IP安全策略。在“属性”对话框中,添加新的规则,源地址选“任何IP地址”,目标地址选“我的IP地址”,协议类型TCP,然后在“到此端口”下的文本框中输入“445”,添加一条屏蔽445 端口的筛选器,可以防止外界通过445端口连上远动装置。因为数据访问是双向的,还需添加一条反方向的规则,源地址选“我的IP地址”,目标地址选“任何IP地址”。最后选择筛选器操作为阻止,开启该筛选器访问控制功能。
也可以通过防火墙设置出站、入站规则实现针对目标端口的访问控制,效果是一样的。通过netstat -n查看当前端口状态,发现没有445端口。
此操作消除了异常访问告警,内网监控平台关于445 端口的告警也没有了。
成功关闭445端口后,需要对远动装置进行主机加固,在系统服务中设置相关服务的启动类型“已禁用”,非必须的服务有:DHCP Client、remote Registry、SNMP、Print Spooler、Task Scheduler、ComputerBrowser、Alerter。
2.3分析归纳
变电站生产控制大区中的监控系统不少设备比如远动装置多为windows操作系统,禁止采用安全风险高的通用网路服务功能,但是很多通用服务比如Server 为开机自动启项,须人工关闭,另外打印机文件共享服务有关的135、137、138、445等端口同样不符合安全防护要求,因此在监控系统投运之前就应在相应设备上对此类端口及服务进行人工关闭,从源头进行管控,以防日后出现上述不符合安全策略的告警。针对除常见端口如2404以外的其他必要服务端口,比如对时用到的123端口,电量采集终端的950端口,可以在纵向加密装置前端的交换机设置访问控制列表来拦截,阻止其向广域网扩散,也可以在纵向加密装置添加策略放开此类必要端口,同样可以达到消除告警目的。
根据能监办规定,电力监控系统在投运之前应从源头做好网络安全防护,以下针对不同操作系统包括Windows、Linux,数据库 Oracle、MySQL,网络设备包括交换机、路由器、纵向加密装置,提出监控系统网络安全防护措施及方案。
2.3.1操作系统层面的主机加固
系统账户优化,删除或禁用非必需账户,同时设置账户口令策略,保障用户账号及口令的安全,防止口令猜测攻击;设置安全审计策略,在安全策略中设置对重要事件进行审核记录,方便日后出现问题时查找问题根源;关闭autorun自动播放功能,关闭默认共享,防止病毒通过autorun的配置文件来达到自动运行的目的;关闭非必须的服务和端口,避免未知漏洞给主机带来的潜在风险,防止病毒从不必要端口入侵。在 linux 系统中还需要关心是否开启 Telnet、FTP、Rlogin 等非加密传输的远程管理,关闭/etc/rc.d/rc3.d 下服务的自动启动功能,在/etc/bashrc 中修改umask 022 为 027。
2.3.2数据库层面的安全防护
数据库类型有Oracle、MySQL、达梦,应具备身份鉴别、访问控制、安全审计和入侵防范等有效的安全防护措施。在身份鉴别中要求限制应用用户在数据库中的权限,尽量保证最小化,避免授予DBA权限,用户密码设置密码强度。访问控制中修改系统账户的默认口令,特别是管理员角色类账户,锁定所有不需要的用户,终端输入drop user USERNAME cas-cade,删除系统中多余的自建帐号,限制库文件的访问权限,保证除属主和root外,其他用户对库文件没有写权限。
2.3.3路由器和交换机的加固措施
路由器与交换机不仅作为站内网络设备承担信息传递任务,而且作为站间广域网设备承担纵向数据传输任务,厂家及型号众多也给安全防护管理增加难度。
路由器和交换机必须配置3个用户,普通用户、审计用户、超级用户,按照用户级别分配相应权限;远程访问仅允许SSH登陆,接口认证模式AAA,配置SNMP(简单网络管理协议)使用 V2 及以上版本,删除默认读写团体字,限制SNMP服务器地址;启用必要的访问控制策略,并且在IN方向和OUT方向均应用,过滤业务数据包,防止站内广播数据在广域网中扩散;针对路由器同时需要关闭HTTP、Telnet、Rlog-in、FTP 等不需要的服务,关闭 banner 提示信息;在接口视图下进行ARP绑定,有条件应进行双向绑定,可以防止ARP地址欺骗;从物理层面考虑,设备特别是交换机端口较多,需要将不使用的端口shut down,采用双电源供电,装置可靠接地。
2.3.4纵向加密装置的配置策略
加密装置控制策略:基于源地址的访问控制、基于目标地址的访问控制、基于端口的访问控制、基于协议的访问控制,因此在填写源目的地址时要填写精确地IP地址,端口不能放得过大,严格控制明文策略的数量。
3.结束语
变电站监控系统属于综合性自动化系统,它可以全方位、不间断控制电气设备的运行状况,实现无人值守。为保证变电站监控系统稳定运行,必须做好监控系统的安全防护。
参考文献
[1]施畅,汤向华.变电站监控系统网络安全防护措施及方案[J].农村电气化,2018,(7):5-7.