水電站網(wǎng)絡(luò)信息異常訪問實例分析論文

　　摘要:為加強電網(wǎng)網(wǎng)絡(luò)通訊安全，文中闡述了水電站網(wǎng)絡(luò)通信方式，并介紹無效地址引起的網(wǎng)絡(luò)異常訪問、因裝置調(diào)試引起的網(wǎng)絡(luò)異常訪問及站內(nèi)故障錄波器和子站等間隔層的網(wǎng)絡(luò)設(shè)備措施導(dǎo)致的網(wǎng)絡(luò)異常訪問，并給出故障處理的方法及整改措施，通過若干實例分析為類似的網(wǎng)絡(luò)問題提供借鑒，提供消缺經(jīng)驗。

　　關(guān)鍵詞:水電站;通訊網(wǎng)絡(luò);異常訪問;網(wǎng)絡(luò)安全

　　隨著近年來網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)環(huán)境日益復(fù)雜化，2013年—2014年間，美國電網(wǎng)共受到200余次攻擊，2016年1月6日，烏克蘭電網(wǎng)系統(tǒng)遭攻擊，數(shù)百戶家庭供電被迫中斷，2018年3月，四家美國輸氣管道公司遭到網(wǎng)絡(luò)攻擊，電子通訊設(shè)備被迫關(guān)閉數(shù)天。此類網(wǎng)絡(luò)攻擊事件使國家經(jīng)濟和人民生活遭受巨大損失。本文針對水電站網(wǎng)絡(luò)通訊，闡述多種網(wǎng)絡(luò)異常訪問的分析，主要包括地址錯誤、調(diào)試措施、設(shè)備錯誤等原因，給此類故障的處理提供借鑒［1－5］。

　　1通信方式

　　水電站調(diào)度端以104規(guī)約通過專用通訊線經(jīng)主站數(shù)據(jù)加密裝置到水電站路由器，加密裝置負責對數(shù)據(jù)加密及通訊狀態(tài)的檢測。路由器根據(jù)判斷調(diào)度端網(wǎng)絡(luò)地址，通過廠站端加密裝置鏈接至遠動服務(wù)器，路由選擇站內(nèi)IP路徑，通過交換機將數(shù)據(jù)發(fā)送給遠動服務(wù)器，服務(wù)器將命令解析后讀取預(yù)存點表下發(fā)命令到對應(yīng)的保護測控等間隔層設(shè)備實現(xiàn)命令的下行。如圖1所示［6－9］。當站內(nèi)發(fā)生遙測變量、遙信變位時各間隔層裝置將遙測和遙信信息主動上送給遠動中轉(zhuǎn)服務(wù)器。服務(wù)器根據(jù)遙測、遙信轉(zhuǎn)發(fā)表將信息轉(zhuǎn)化為數(shù)字信號后封裝成數(shù)據(jù)幀格式。經(jīng)過交換機傳送給路由器，路由器根據(jù)數(shù)據(jù)幀中的目標地址將數(shù)據(jù)發(fā)送給調(diào)度端。在整個通訊過程中主站數(shù)據(jù)加密裝置根據(jù)通訊狀態(tài)，實時自動生成日志及告警信息上送，保證網(wǎng)絡(luò)安全。

　　2無效地址引起的網(wǎng)絡(luò)異常訪問

　　2．1問題描述

　　本公司所轄35kV周甲水電站遠動服務(wù)器操作系統(tǒng)為WINCE嵌入式操作系統(tǒng)�，F(xiàn)場反饋在運行過程中，與水電站調(diào)度通訊的網(wǎng)卡(32．119．60．1)會訪問11．100．100．0網(wǎng)段的2404端口，該行為不符合安全策略，被縱向加密裝置攔截，如表1所示。源IP為數(shù)據(jù)遠動服務(wù)器IP，目的IP為個非法地址，檢修人員判斷可能是網(wǎng)絡(luò)配置問題或存在不必要的服務(wù)導(dǎo)致。

　　2．2原因分析

　　周甲水電站間隔層設(shè)備包括保護裝置、測控裝置、故障錄波器裝置等，電力保護及自動化設(shè)備和遠動服務(wù)器為單網(wǎng)通訊，經(jīng)現(xiàn)場排查11．100．100．0網(wǎng)段為間隔層設(shè)備預(yù)留的雙網(wǎng)通訊地址。32．119．60．1為周甲水電站數(shù)據(jù)遠動與水電站調(diào)度通訊IP，分析此類訪問為104初始化鏈路TCP連接報文。遠動服務(wù)器采用104規(guī)約和間隔層裝置通訊。該系統(tǒng)104規(guī)約的通訊機制是遠動中轉(zhuǎn)程序讀取配置文件(/sdz/zhuanserver．cfg)，根據(jù)文件中的IP表向間隔層設(shè)備發(fā)出連接請求，包含并未使用的雙網(wǎng)通訊地址，104的服務(wù)端口為2404。當前遠動程序發(fā)送連接請求交由操作系統(tǒng)來完成，WINCE系統(tǒng)優(yōu)先使用源IP與目標IP在同一網(wǎng)段的網(wǎng)口發(fā)送連接請求，當同一網(wǎng)段的網(wǎng)口無法與目標IP建立連接時，通過帶有網(wǎng)關(guān)(路由)的網(wǎng)口發(fā)送，而數(shù)據(jù)遠動裝置與調(diào)度通訊的網(wǎng)口設(shè)有網(wǎng)關(guān)，所以加密裝置會收到遠動服務(wù)器發(fā)送的站內(nèi)104建立連接請求的報文。

　　2．3問題處理

　　處理以上問題，有以下三種方案:①由于站內(nèi)設(shè)備是單網(wǎng)通訊，站內(nèi)無11．100．100．0網(wǎng)段，所以刪除/sdz/rtuserver．cfg下的11．100．100．0網(wǎng)段的所有IP，使遠動服務(wù)器不再與該網(wǎng)段IP建立連接，此方案不修改程序及其它配置。②升級數(shù)據(jù)遠動中轉(zhuǎn)程序，自動化辨識對象裝置，本程序綁定固定IP訪問裝置。由于要升級程序，要對站內(nèi)信號進行簡單的核對。③更換最新的遠動數(shù)據(jù)中轉(zhuǎn)裝置，型號為WYD－811，該服務(wù)器使用的是基于Linux的Debian系統(tǒng)，該系統(tǒng)采用靜態(tài)路由訪問，不存在此類非法訪問的問題。

　　3裝置調(diào)試引起的網(wǎng)絡(luò)異常訪問

　　3．1問題描述

　　某日，本公司所轄35kV周陽水電站網(wǎng)絡(luò)異常告警信息內(nèi)容為32．157．60．1訪問32．157．10．0的52個無效IP地址的主機1032端口，不符合安全策略被攔截，如表2所示。周陽水電站數(shù)據(jù)遠動服務(wù)器于2001年投運，屬于第一代自動化設(shè)備，該裝置采用以太網(wǎng)103規(guī)約和間隔層裝置通訊，其通訊機制是站控層設(shè)備發(fā)送UDP廣播，間隔層設(shè)備接收到UDP廣播后發(fā)起跟相對應(yīng)的站控層設(shè)備的TCP連接。UDP廣播端口號為1032，服務(wù)器裝置會向各網(wǎng)口發(fā)送UDP廣播報文［10－13］。因CSＲ600遠動裝置發(fā)送的UDP廣播報文不區(qū)分網(wǎng)口，所有網(wǎng)口均會發(fā)送，所以采用104規(guī)約與主站通訊裝置網(wǎng)口也會收到UDP廣播報文，該報文從數(shù)據(jù)遠動服務(wù)器發(fā)出經(jīng)站內(nèi)交換機后被縱向加密裝置攔截。

　　3．2原因分析

　　服務(wù)器配置參數(shù)中以太網(wǎng)1、以太網(wǎng)2為站內(nèi)雙網(wǎng)，IP地址前2字節(jié)固定(192．21/192．22)，后兩個字節(jié)由現(xiàn)場分配。以太網(wǎng)3為104規(guī)約通訊網(wǎng)口，IP地址由主站分配，本站IP地址為32．119．60．1。因數(shù)據(jù)遠動服務(wù)器發(fā)給站內(nèi)間隔層裝置的UDP廣播報文不區(qū)分網(wǎng)口，縱向加密裝置連接的網(wǎng)口為以太網(wǎng)3，所以收到了源地址為32．157．60．1的報文。UDP廣播報文的本意是發(fā)給站內(nèi)裝置的，目的IP應(yīng)是站內(nèi)庫所定義的IP地址。由于遠動服務(wù)器不區(qū)分網(wǎng)口，目的IP地址規(guī)則按“以太網(wǎng)前2個字節(jié)+站內(nèi)裝置地址后2個字節(jié)”組成，所以縱向加密裝置攔截到的目的IP地址出現(xiàn)了52個無效地址，這些IP地址的前2個字節(jié)是32．157，后2個字節(jié)在遠動配置庫中都可以找到［14－15］。通過配置參數(shù)庫可以查出，全站共52臺裝置，導(dǎo)致縱向加密裝置上報出“共52個IP地址不符合安全策略被攔截”。經(jīng)檢修人員確認本次告警是由本站遠動訪問數(shù)據(jù)網(wǎng)地址，該行為不符合安全策略，不屬于外部攻擊，沒有對網(wǎng)絡(luò)安全造成影響。因本公司網(wǎng)絡(luò)異常監(jiān)控平臺剛從網(wǎng)頁版升級為客戶端，調(diào)試技術(shù)人員尚未完成用戶培訓，該版本還存在諸多問題，如平臺無語音告警提示功能及大量0．0．0．0訪問255．255．255．255類告警，導(dǎo)致平臺操作人員在查看當日告警記錄時，由于對新平臺的不熟悉，未曾注意該條告警次數(shù)在不斷累加。而且根據(jù)平臺廠家早期對用戶的告知，認為此類告警不會升級成為緊急告警上傳。

　　3．3后續(xù)防范措施

　　①加強所轄水電站自動化設(shè)備檢修及調(diào)試工作管理。進一步完善檢修及調(diào)試工作規(guī)范。檢修調(diào)試期間嚴格執(zhí)行掛牌制度，檢修工作結(jié)束后做好值班記錄，在一周內(nèi)保持跟蹤監(jiān)視，發(fā)現(xiàn)異常及時處置。②加強水電站監(jiān)控系統(tǒng)安防監(jiān)視。要求運行值勤人員嚴格執(zhí)行日常監(jiān)視檢查制度，網(wǎng)絡(luò)安全防護專責在收到短信告警或值班員運行異常的通知后，盡快組織對問題的檢查處理。③加強內(nèi)網(wǎng)絡(luò)異常監(jiān)控平臺應(yīng)用培訓。聯(lián)系開發(fā)廠家進行全員再培訓，掌握告警分類原則以及告警數(shù)量累積后升級為更高一級告警的機制，在告警級別升級前及時完成事件處置。廠家技術(shù)人員編寫內(nèi)網(wǎng)安全監(jiān)視平臺手冊。

　　4水電站錄波及信息子站引起的異常訪問

　　4．1原因及措施

　�、倬W(wǎng)絡(luò)接線問題。攔截信息顯示源地址為私網(wǎng)IP(192．168．X．X，100．100．X．X等)或異常的調(diào)度數(shù)據(jù)網(wǎng)信息包，可能原因為故障錄波器組網(wǎng)交換機與站控層網(wǎng)絡(luò)直連，或地調(diào)網(wǎng)絡(luò)與上級網(wǎng)絡(luò)在同一個交換機上匯集，造成非法訪問。建議對出現(xiàn)此類現(xiàn)象的水電站故障錄波組網(wǎng)情況進行排查，將間隔層設(shè)備通過交換機獨立組網(wǎng)，并且要注意不能將不同性質(zhì)的網(wǎng)絡(luò)在同一臺交換機交互。新建水電站要求故障錄波器和子站直接接入數(shù)據(jù)網(wǎng)屏的交換機，不能就地組網(wǎng)。②網(wǎng)卡配置問題。攔截信息顯示源地址為私網(wǎng)IP，但是該IP并非站控層網(wǎng)絡(luò)所用IP段，可能原因為故障錄播器網(wǎng)卡配置問題，是故障錄波器對數(shù)據(jù)網(wǎng)通訊的網(wǎng)卡綁定了多個IP所致，需要現(xiàn)場更改網(wǎng)卡配置。另外，故障錄波器自身配置雙網(wǎng)卡，一塊對前置采集單元通訊，一塊對上數(shù)據(jù)網(wǎng)通訊，如果兩個網(wǎng)口接在同一塊交換機上，需將兩者拆開;如物理上未接在同一個交換機上，可能為對下訪問網(wǎng)卡中斷，造成通過另一塊網(wǎng)卡發(fā)廣播報文，需檢查現(xiàn)場網(wǎng)絡(luò)通訊情況。③Windows錄波器安裝殺毒軟件，殺毒軟件自動更新造成網(wǎng)絡(luò)異常訪問，建議將現(xiàn)場故障錄波器殺毒軟件自動更新功能關(guān)閉。④DNS、HTTP、NETBIOS等服務(wù)進程開啟。Windows系統(tǒng)默認開啟的DNS、HTTP、NETBIOS等服務(wù)訪問網(wǎng)絡(luò)，造成非法訪問。建議將不需要的服務(wù)和端口予以關(guān)閉。目前各廠家已在制作相應(yīng)的批處理文件，以方便現(xiàn)場人員快速關(guān)閉不需要的服務(wù)［16－17］。

　　4．2原因分析

　　①檢查水電站內(nèi)故障錄波和子站組網(wǎng)情況，理清網(wǎng)絡(luò)結(jié)構(gòu)。②檢查故障錄波器網(wǎng)卡配置情況，刪除不必要的IP綁定。另外，一些廠家的訪問IP可能寫在配置文件內(nèi)，比較隱蔽。③現(xiàn)場殺毒軟件關(guān)閉自動更新服務(wù)。④關(guān)閉不必要的服務(wù)和端口。

　　5結(jié)束語

　　變電站通訊設(shè)備是堅強電網(wǎng)重要的組成部分，它的運行狀態(tài)安全與否直接影響著整個電網(wǎng)的安全與穩(wěn)定。本文從水電站通訊系統(tǒng)及加密裝置的多個異常訪問案例研究水電站安全防護技術(shù)及攔截方式。從現(xiàn)場實際著眼，闡述該系統(tǒng)對服務(wù)攻擊、利用型攻擊、信息收集型攻擊、假消息攻擊等網(wǎng)絡(luò)危害的攔截方式，保障電網(wǎng)安全穩(wěn)定運行。

【水電站網(wǎng)絡(luò)信息異常訪問實例分析論文】相關(guān)文章：

網(wǎng)絡(luò)信息檢索論文01-20

論文致謝實例11-14

網(wǎng)絡(luò)營銷分析論文07-04

網(wǎng)絡(luò)信息資源組織方法的比較分析及其應(yīng)用探析論文03-24

網(wǎng)絡(luò)圍觀的界定及特征分析論文12-03

水電站運行管理中存在的問題分析論文02-25

通信網(wǎng)絡(luò)優(yōu)化問題分析論文01-01

畢業(yè)論文的答辯實例12-05

畢業(yè)論文致謝實例12-06