《变电站监控系统网络安全防护措施及方案》由会员分享,可在线阅读,更多相关《变电站监控系统网络安全防护措施及方案(5页珍藏版)》请在金锄头文库上搜索。
1、变电站监控系统网络安全防护措施及方案1.邓海伟2.张庆3.周勇2.1.2.国网随州供电公司电力调度控制中心 湖北 随州4413003.国网随县供电公司电力调度控制分中心 湖北 随州441300摘要:变电站监控系统网络安全防护主要包括:物理安全、主机安全、应用 安全、数据安全,我们要熟悉变电站监控系统网络安全防护措施。关键字:变电站;监控系统;网络安全;防护措施变电站监控系统实时采集电气设备中的数据(包括断路器状态、隔离开关状 态、锁定状态、各段母线电压、各段线路电压、电流和功率值、有功功率、无功 功率、馈线电流、频率、相位、变压器油温、直流电源电压、等等),并对电气 设备进行在线控制,自动进行
2、事件记录、故障录波、安全监视,随时掌握变电站 运行状态,对变电站进行无人值守。变电站监控系统是一个复杂、精密的系统, 为保证变电站监控系统安全、稳定运行,必须完善变电站监控系统网络安全防护 措施。1. 变电站监控系统大力发展电力行业,是关乎人们生活品质的大事。在社会形态科技化、自动 化、城市化的特征逐渐明显的前提下,变电站监控系统网络安全防护程度,决定 了电力行业的发展状态。我国社会形态在不断发展的经济带动下,城市化进程越 来越深,新型社会发展的巨大需求,已经不能被传统变电站所满足,所以,对变 电站监控系统网络安全防护措施进行全面优化,是提高电力行业自身能力势在必 行的举措。变电站监控系统指的
3、是在发电和供电过程进行件监视和控制的系统, 该系统是在计算机网络技术以及相关智能设备基础上建立的,是支持电网运行的 基础通信数据网络。“安全分区、网络专用、横向隔离、纵向认证”等是开展变 电站监控系统安全防护工作的基本原则,变电站监控系统共有两个主要网络分区, 分别为生产控制大区和管理信息大区,其中生产控制大区细分为了控制区以及非 控制区,二者的逻辑隔离通过防火墙实现。电力数据的实时性非常强,需要利用 控制区进行要遥测以及遥控等操作,而非控制区的主要任务就是对故障录波、点 能量等数据进行传输。变电站监控系统的生产控制大区和管理信息大区间布置了专用的单向隔离装 置,而且该装置必须获得国家相关部门
4、的检测许可,同时变电站和主站设置经国 家相关部门检测许可专用纵向加密装置,用于传输调度信息,因此业务数据若想 在调度数据网络中进行传播都必须要经过纵向装置的加密。调度数据网络由实时 子网非实时子网两部分构成,通过逻辑隔离对二者进行隔离,并且分别和生产控 制大区的控制区和非控制区连接。另外在主站内设有网络监控平台,其主要作用 是对纵向加密装置以及隔离装置进行监控,从而掌握二者的在线情况,同时也可 以接收报警信息。2. 变电站监控系统网络安全防护案例2.1故障现象一座110 kV电压等级用户变I区实时纵向加密装置拦截不符合安全策略的 访问请求。经核实32.123.29.10为现场远动装置地址,操作
5、系统为Windows,远动装置 访问外网段的445端口,目的地址无规则,数据包不匹配纵向加密装置配置的任 何策略,因此在跨域访问时被纵向加密装置拦截,并向内网监控平台上报异常访 问的告警。主站自动化人员登陆到前置机试图测试与目的地址的网络连通性,未 能ping通任何目的地址。2.2故障处理生产控制大区主机须禁用445、137、138等通用服务端口,防止病毒从不必 要的端口入侵。对于监控系统通信网关机操作系统应遵循最小权限原则,仅安装 和开启必须的服务,应关闭除2404、3000、3001等以外不必要的服务端口。自 动化人员在远动装置控制面板上点击管理工具,打开本地策略,选中IP安全策 略后创建
6、IP安全策略。在“属性”对话框中,添加新的规则,源地址选“任何 IP地址”,目标地址选“我的IP地址”,协议类型TCP,然后在“到此端口” 下的文本框中输入“445”,添加一条屏蔽445端口的筛选器,可以防止外界通 过445端口连上远动装置。因为数据访问是双向的,还需添加一条反方向的规则, 源地址选“我的IP地址”,目标地址选“任何IP地址”。最后选择筛选器操作 为阻止,开启该筛选器访问控制功能。也可以通过防火墙设置出站、入站规则实现针对目标端口的访问控制,效果 是一样的。通过netstat -n查看当前端口状态,发现没有445端口。此操作消除了异常访问告警,内网监控平台关于445端口的告警也
7、没有了。成功关闭445端口后,需要对远动装置进行主机加固,在系统服务中设置相 关服务的启动类型“已禁用”,非必须的服务有:DHCP Client、remote Registry、 SNMP、 Print Spooler、 Task Scheduler、 ComputerBrowser、 Alerter。2.3分析归纳变电站生产控制大区中的监控系统不少设备比如远动装置多为windows操作 系统,禁止采用安全风险高的通用网路服务功能,但是很多通用服务比如Server 为开机自动启项,须人工关闭,另外打印机文件共享服务有关的135、137、138、 445等端口同样不符合安全防护要求,因此在监控系
8、统投运之前就应在相应设备 上对此类端口及服务进行人工关闭,从源头进行管控,以防日后出现上述不符合 安全策略的告警。针对除常见端口如2404以外的其他必要服务端口,比如对时 用到的123端口,电量采集终端的950端口,可以在纵向加密装置前端的交换机 设置访问控制列表来拦截,阻止其向广域网扩散,也可以在纵向加密装置添加策 略放开此类必要端口,同样可以达到消除告警目的。根据能监办规定,电力监控系统在投运之前应从源头做好网络安全防护,以 下针对不同操作系统包括Windows、Linux,数据库Oracle、MySQL,网络设备包 括交换机、路由器、纵向加密装置,提出监控系统网络安全防护措施及方案。2.
9、3.1操作系统层面的主机加固系统账户优化,删除或禁用非必需账户,同时设置账户口令策略,保障用户 账号及口令的安全,防止口令猜测攻击;设置安全审计策略,在安全策略中设置 对重要事件进行审核记录,方便日后出现问题时查找问题根源;关闭autorun自 动播放功能,关闭默认共享,防止病毒通过autorun的配置文件来达到自动运行 的目的;关闭非必须的服务和端口,避免未知漏洞给主机带来的潜在风险,防止 病毒从不必要端口入侵。在linux系统中还需要关心是否开启Telnet、FTP、 Rlogin等非加密传输的远程管理,关闭/etc/rc.d/rc3.d下服务的自动启动功 能,在/etc/bashrc 中
10、修改 umask 022 为 027。2.3.2数据库层面的安全防护数据库类型有Oracle、MySQL、达梦,应具备身份鉴别、访问控制、安全审 计和入侵防范等有效的安全防护措施。在身份鉴别中要求限制应用用户在数据库 中的权限,尽量保证最小化,避免授予DBA权限,用户密码设置密码强度。访问 控制中修改系统账户的默认口令,特别是管理员角色类账户,锁定所有不需要的 用户,终端输入drop user USERNAME cas-cade,删除系统中多余的自建帐号, 限制库文件的访问权限,保证除属主和root夕卜,其他用户对库文件没有写权限。2.3.3路由器和交换机的加固措施路由器与交换机不仅作为站内网
11、络设备承担信息传递任务,而且作为站间广 域网设备承担纵向数据传输任务,厂家及型号众多也给安全防护管理增加难度。路由器和交换机必须配置3个用户,普通用户、审计用户、超级用户,按照 用户级别分配相应权限;远程访问仅允许SSH登陆,接口认证模式AAA,配置 SNMP (简单网络管理协议)使用V2及以上版本,删除默认读写团体字,限制 SNMP服务器地址;启用必要的访问控制策略,并且在IN方向和OUT方向均应用,过滤业务数据包,防止站内广播数据在广域网中扩散;针对路由器同时需要关闭HTTP、Telnet、Rlog-in、FTP等不需要的服务,关闭banner提示信息;在接 口视图下进行ARP绑定,有条件
12、应进行双向绑定,可以防止ARP地址欺骗;从物 理层面考虑,设备特别是交换机端口较多,需要将不使用的端口 shut down,采 用双电源供电,装置可靠接地。2.3.4纵向加密装置的配置策略加密装置控制策略:基于源地址的访问控制、基于目标地址的访问控制、基 于端口的访问控制、基于协议的访问控制,因此在填写源目的地址时要填写精确 地IP地址,端口不能放得过大,严格控制明文策略的数量。3. 结束语变电站监控系统属于综合性自动化系统,它可以全方位、不间断控制电气设 备的运行状况,实现无人值守。为保证变电站监控系统稳定运行,必须做好监控 系统的安全防护。参考文献1施畅,汤向华.变电站监控系统网络安全防护措施及方案J.农村电气化, 2018,(7): 5-7.
