关于电力监控系统网络安全管理平台的建设和应用分析

关于电力监控系统网络安全管理平台的建设和应用分析

黄剑

广西通信规划设计咨询有限公司 广西南宁 530007

摘要：在原本就有的电力监管系统的内部网络安全监督管理平台的前提下，建立一代新型的网络安全监督管理平台，从边界的防御转变为纵深方向防御的发展，全方位监控管理所有的外网访问、使用账户的登录以及移动设备的接入等事件，实现真正意义上网络的安全监管警示、数据审计、追根溯源、分析以及定位、风险考察核实、追踪及处理、协助管理控制以及纵向加密的在线率等众多功能，与此同时，加强对站厂安全的监控检测装置，以达到能够安全监控并检测变电站局域网的目的，在加强了电力监管系统的安全预防功能的同时，还保证了电网安全的平稳进行。

关键词：电力监控系统；网络安全；管理平台；建设

1建设网络安全管理平台的必要性

通常来说不需要人为操作、网络服务私有且便于控制、网络空间有隔断性、网络服务个人化且易于控制等等，都是电力监管控制系统所具有的特点。所以，只要进行超过设备或是超过用户的行为都会被认为是有着安全隐患，但是通常使用的安全监管的产品大多都是以报文解析或是网络流量等技术作为基础的，这类产品一般是用于监测、处理、分析互联网通用的服务与有关协议，对于电力监控系统而言并非最好的选择。原内网安全监视平台在二零一二年建成，该平台只能在一定范围内监视边界网防护的情况，无法及时发现系统之内可能存在的安全隐患，更没有办法实时监控安全区的主机与有关网络设备，也无法高效可靠地审计数据库之中的数据，其仅仅具备最基础的报警功能。《网络安全法》在二零一七年正式地开始实施，该法律规定网络运营者应该利用监测技术来实时记录网络运行的情况，预防并及时预警网络安全事故，与此同时还应该真正意义上实现“实时监控、及时警告、精准分析、精确定位、多方追踪、发掘根源、评估风险、协调管理、全面控制”，最大程度上优化当前的监测管控技术。

由于其具备上述的特征与性质，在目前的内网安全监视平台的条件之下，可以借助当前已知的事件实际情况，配合设备的安全管理方法与有关技术策略，实时管控主机的设备与操作系统，全方位实现安全管理。此外，借助数据网络的调度，集中管理监测厂站的监控系统，协调管控电网调度控制系统与配电自动化系统，重点关注并排查电力监控系统的各个组成部分，充分实现监查、监测、处理分析、审计核对等功能的精准化与协调化，组成一整套完整的网络管理与协调控制体系，多方位多角度地保证电力监控系统的网络安全性。

2 当前网络安全管理平台的功能与优势

当前的网络安全管理平台增设了安防装置和加密装置，能够对在线率和密通率进行多方位的监控与检测。借助这些增设与调配的全新模块，能够每时每刻都对安防装置进行监测，确保其处于在线的状态，第一时间掌握到由于网络中断而导致的安防设备不在线或者有关设备与装置出现故障问题的情况。此外，各个纵向的加密装置能够以1分钟的时间间隔、15分钟的时间间隔与一天的时间间隔进行时间段的数据统计工作，并将这些搜集到的数据及时地传送给平台，平台针对这些收到的数据处理分析之后，将处理好的数据清晰地展示给有关运营与维护工作人员，从而确认纵向加密装置橡树之间传输的数据有否借助隧道来开展密文的通信，一旦发现传输隧道出现故障或者协商不成功甚至加密包存在却不存在解密包的一系列情况的时候，应该及时度对网络通信的安全性进行增强与维护。

目前的网络安全管理平台的优势在于其发展趋势更加具备纵深性。相较于以往的边界防护体系，当前，电力监控的安全防护体系开始向纵深防御的方向发展，能够实时监控主机设备和网络设备等设施，在线监测数据库，并且全方位保障安防设备运行的稳定性，从而实现实时管控与动态调节。电力监控系统本身具备相对封闭性与协议私有性，在不属于检修的时间范围之内，用户很少会影响其运行，当前的平台使用了以设备为基础的安全事件感知自动化技术，借助有关设备各自对网络安全事件的感知与预警，从而开展安全核实与检查工作，十分迅速且高效的挖掘出潜在的安全事件，这一技术策略对于电力监控系统而言十分适用，能够全方位地满足其安全监督管理方面的需要。

3告警信息分析及处理方法

3.1 加密装置策略配置不当

对于业务的正常访问而言，IP 地址报告并警示到传输的端口属于十分正常的业务需要，然而这可能导致报告与警示，阻碍了需求的正常满足，因此出现这种情况主要是与加密装置的策略配置不恰当有关，以下为具体的分析过程。

第一种情况，加密装置没有搭配应有的业务访问需要方案或者方案的配置不正确，进而产生报告与警示。第二种情况，与该方案相对应的隧道错误或者重复。因为加密装置进行方案的匹配时会以策略的序号为基础来开展，倘若先得到了适配的对应方案，然而隧道却出现匹配错误，加密装置会出现协商包的发放错误，那么对端装置就无法与应有的且对应的方案相匹配，从而出现报告与警示。

具体的解决办法如下：对加密装置的策略配置模式进行审核与检查，主要关注以下几个要素：①IP地址；②对应的传输端口；③协议；④正确的对应隧道，加大缺失的方案，对出现配置错误问题的方案进行优化与休整。

3.2 业务终端路由配置不当

另一类告警信息出现的情况则是在，一些厂站端的业务主机在对非调度数据网网络频段的IP地址进行访问的时候。

情况分析：一些厂站端的业务主机采用的是双网卡的搭配与设置，首先，有一网卡经由调度数据网的厂站端与交换机进行连接，另一网卡则与变电站的监控系统或者厂站端的局域网相连接，倘若路由配置不合理或者存在错误，就会导致告警信息出现。倘若这一业务的主机在厂站端的路由器之上安设了默认网关，亦或是说在厂站端的路由器上设置搭配了预设的路由，这个时候，一旦对路由表之中未记载的地址进行访问，就会直接经由默认网关和默认路由来对其所需访问的地址进行查找，进而在厂站端的纵向加密装置之上显示出警告。

解决的方案：这一类的业务主机在经由调度数据网对外部的目标地址进行访问的时候，应该搭配使用“明细路由”，也就是说应该将经由调度数据网访问的目标地址网段的路由在厂站端的路由器上进行配置，在配置的时候可以记录数条明细路由，尽可能地确保目的网段的规模处在合适的范围。

3.3 单机双网卡同时访问相同目的地址的解决方法

还有一类告警信息出现的情况是：厂站端的业务主机配置为一个主机机两个网卡，并且与双接入网相连接。在和同一个调度主站的IP地址进行通讯的时候，这之中一个接入网的厂站端加密装置会出现来自另一个网卡地址警告与报警信息。

问题的具体剖析：业务由于使用的配置模式为单主机双网卡并且与双接入网相连，这个时候因为两个接入网的地址并不一样，那么就会出现两条路由，这两条路由虽然目的地址是一样的，但是下一跳却并不一样。

举个例子，那就是主站二平面的前置问题。借助地调接入网搜集获得一个220千伏变电站的“ERTU电量信息”，前置A的IP地址为数据包之中的源地址，目的地址则是该接入网的网卡所在地，ERTU在进行回包的过程之中，会交换数据包之中的源地址与目的地址，而后经由自身路由对回包的途径进行判定。若这两条路径存在截然不一样的优先级别时，假设经由省调接入网网卡来实现回包的路具备更高的优先级别，就会出现源地址对应的数据包需要靠省调接入网的加密装置进行传输的问题，告警信息则会由此而生。也就是说，仅仅在主站访问的ERTU网卡与拥有更高优先级别的路由均接入了同样一个接入网的时候才能够阻止示警信息的出现。然而在这一情境之下，一旦省调接入网路由器的通信路不通畅并出现断裂的时候，会由于路由问题使得主站和ERTU之间通信阻隔，这时就不能全然发挥双接入网的作用，无法实现相互冗余，故而两条路由在配置方面应该优先级相同，在此时ERTU会在通信的同一时间向两个网关地址传送同一个数据包，尽管告警信息还是会出现，但在这种情况下是可以解除掉的。借助对访问控制列表（ACL）的配置能够实现对数据包的过滤，进而让告警信息消失。

解决的方案：在厂站端的位置连上交换机上面安设的访问控制列表，只让流入当前接入网之中的IP地址段，与此同时将其也在业务的接入接口之上实现有效的应用。

结语

综上所述，此篇文章详细的解析了电力监管系统现在的状况，并着重的强调了在已有的内部网络安全看守平台的现状之下再新增一个内部网络安全管控平台有多么重要。随后，本文又分别讲述了新平台与老平台之间相互比较所具有喝点一些优势和新的功能，在文章的结尾部分对平常容易看到的告警信息开展了深入的剖析，力争排除点潜在的安全问题，让电力监控系统能够最大程度上发挥效用，推动电网有关工作顺利的开展与推进。

参考文献

[1]金学成，孙炜，梁野等.电力二次系统内网安全监视平台的设计和实现[J].电力系统自动化，

2011,35(16)：99-104

[2]张颖，普碧才.电力调度自动化网络安全防护系统探析[J].自动化应用，2017，12：77-78