水電站網(wǎng)絡(luò )信息異常訪(fǎng)問(wèn)實(shí)例分析論文

　　摘要:為加強電網(wǎng)網(wǎng)絡(luò )通訊安全，文中闡述了水電站網(wǎng)絡(luò )通信方式，并介紹無(wú)效地址引起的網(wǎng)絡(luò )異常訪(fǎng)問(wèn)、因裝置調試引起的網(wǎng)絡(luò )異常訪(fǎng)問(wèn)及站內故障錄波器和子站等間隔層的網(wǎng)絡(luò )設備措施導致的網(wǎng)絡(luò )異常訪(fǎng)問(wèn)，并給出故障處理的方法及整改措施，通過(guò)若干實(shí)例分析為類(lèi)似的網(wǎng)絡(luò )問(wèn)題提供借鑒，提供消缺經(jīng)驗。

　　關(guān)鍵詞:水電站;通訊網(wǎng)絡(luò );異常訪(fǎng)問(wèn);網(wǎng)絡(luò )安全

　　隨著(zhù)近年來(lái)網(wǎng)絡(luò )技術(shù)的發(fā)展，網(wǎng)絡(luò )環(huán)境日益復雜化，2013年—2014年間，美國電網(wǎng)共受到200余次攻擊，2016年1月6日，烏克蘭電網(wǎng)系統遭攻擊，數百戶(hù)家庭供電被迫中斷，2018年3月，四家美國輸氣管道公司遭到網(wǎng)絡(luò )攻擊，電子通訊設備被迫關(guān)閉數天。此類(lèi)網(wǎng)絡(luò )攻擊事件使國家經(jīng)濟和人民生活遭受巨大損失。本文針對水電站網(wǎng)絡(luò )通訊，闡述多種網(wǎng)絡(luò )異常訪(fǎng)問(wèn)的分析，主要包括地址錯誤、調試措施、設備錯誤等原因，給此類(lèi)故障的處理提供借鑒［1－5］。

　　1通信方式

　　水電站調度端以104規約通過(guò)專(zhuān)用通訊線(xiàn)經(jīng)主站數據加密裝置到水電站路由器，加密裝置負責對數據加密及通訊狀態(tài)的檢測。路由器根據判斷調度端網(wǎng)絡(luò )地址，通過(guò)廠(chǎng)站端加密裝置鏈接至遠動(dòng)服務(wù)器，路由選擇站內IP路徑，通過(guò)交換機將數據發(fā)送給遠動(dòng)服務(wù)器，服務(wù)器將命令解析后讀取預存點(diǎn)表下發(fā)命令到對應的保護測控等間隔層設備實(shí)現命令的下行。如圖1所示［6－9］。當站內發(fā)生遙測變量、遙信變位時(shí)各間隔層裝置將遙測和遙信信息主動(dòng)上送給遠動(dòng)中轉服務(wù)器。服務(wù)器根據遙測、遙信轉發(fā)表將信息轉化為數字信號后封裝成數據幀格式。經(jīng)過(guò)交換機傳送給路由器，路由器根據數據幀中的目標地址將數據發(fā)送給調度端。在整個(gè)通訊過(guò)程中主站數據加密裝置根據通訊狀態(tài)，實(shí)時(shí)自動(dòng)生成日志及告警信息上送，保證網(wǎng)絡(luò )安全。

　　2無(wú)效地址引起的網(wǎng)絡(luò )異常訪(fǎng)問(wèn)

　　2．1問(wèn)題描述

　　本公司所轄35kV周甲水電站遠動(dòng)服務(wù)器操作系統為WINCE嵌入式操作系統�，F場(chǎng)反饋在運行過(guò)程中，與水電站調度通訊的網(wǎng)卡(32．119．60．1)會(huì )訪(fǎng)問(wèn)11．100．100．0網(wǎng)段的2404端口，該行為不符合安全策略，被縱向加密裝置攔截，如表1所示。源IP為數據遠動(dòng)服務(wù)器IP，目的IP為個(gè)非法地址，檢修人員判斷可能是網(wǎng)絡(luò )配置問(wèn)題或存在不必要的服務(wù)導致。

　　2．2原因分析

　　周甲水電站間隔層設備包括保護裝置、測控裝置、故障錄波器裝置等，電力保護及自動(dòng)化設備和遠動(dòng)服務(wù)器為單網(wǎng)通訊，經(jīng)現場(chǎng)排查11．100．100．0網(wǎng)段為間隔層設備預留的雙網(wǎng)通訊地址。32．119．60．1為周甲水電站數據遠動(dòng)與水電站調度通訊IP，分析此類(lèi)訪(fǎng)問(wèn)為104初始化鏈路TCP連接報文。遠動(dòng)服務(wù)器采用104規約和間隔層裝置通訊。該系統104規約的通訊機制是遠動(dòng)中轉程序讀取配置文件(/sdz/zhuanserver．cfg)，根據文件中的IP表向間隔層設備發(fā)出連接請求，包含并未使用的雙網(wǎng)通訊地址，104的服務(wù)端口為2404。當前遠動(dòng)程序發(fā)送連接請求交由操作系統來(lái)完成，WINCE系統優(yōu)先使用源IP與目標IP在同一網(wǎng)段的網(wǎng)口發(fā)送連接請求，當同一網(wǎng)段的網(wǎng)口無(wú)法與目標IP建立連接時(shí)，通過(guò)帶有網(wǎng)關(guān)(路由)的網(wǎng)口發(fā)送，而數據遠動(dòng)裝置與調度通訊的網(wǎng)口設有網(wǎng)關(guān)，所以加密裝置會(huì )收到遠動(dòng)服務(wù)器發(fā)送的站內104建立連接請求的報文。

　　2．3問(wèn)題處理

　　處理以上問(wèn)題，有以下三種方案:①由于站內設備是單網(wǎng)通訊，站內無(wú)11．100．100．0網(wǎng)段，所以刪除/sdz/rtuserver．cfg下的11．100．100．0網(wǎng)段的所有IP，使遠動(dòng)服務(wù)器不再與該網(wǎng)段IP建立連接，此方案不修改程序及其它配置。②升級數據遠動(dòng)中轉程序，自動(dòng)化辨識對象裝置，本程序綁定固定IP訪(fǎng)問(wèn)裝置。由于要升級程序，要對站內信號進(jìn)行簡(jiǎn)單的核對。③更換最新的遠動(dòng)數據中轉裝置，型號為WYD－811，該服務(wù)器使用的是基于Linux的Debian系統，該系統采用靜態(tài)路由訪(fǎng)問(wèn)，不存在此類(lèi)非法訪(fǎng)問(wèn)的問(wèn)題。

　　3裝置調試引起的網(wǎng)絡(luò )異常訪(fǎng)問(wèn)

　　3．1問(wèn)題描述

　　某日，本公司所轄35kV周陽(yáng)水電站網(wǎng)絡(luò )異常告警信息內容為32．157．60．1訪(fǎng)問(wèn)32．157．10．0的52個(gè)無(wú)效IP地址的主機1032端口，不符合安全策略被攔截，如表2所示。周陽(yáng)水電站數據遠動(dòng)服務(wù)器于2001年投運，屬于第一代自動(dòng)化設備，該裝置采用以太網(wǎng)103規約和間隔層裝置通訊，其通訊機制是站控層設備發(fā)送UDP廣播，間隔層設備接收到UDP廣播后發(fā)起跟相對應的站控層設備的TCP連接。UDP廣播端口號為1032，服務(wù)器裝置會(huì )向各網(wǎng)口發(fā)送UDP廣播報文［10－13］。因CSＲ600遠動(dòng)裝置發(fā)送的UDP廣播報文不區分網(wǎng)口，所有網(wǎng)口均會(huì )發(fā)送，所以采用104規約與主站通訊裝置網(wǎng)口也會(huì )收到UDP廣播報文，該報文從數據遠動(dòng)服務(wù)器發(fā)出經(jīng)站內交換機后被縱向加密裝置攔截。

　　3．2原因分析

　　服務(wù)器配置參數中以太網(wǎng)1、以太網(wǎng)2為站內雙網(wǎng)，IP地址前2字節固定(192．21/192．22)，后兩個(gè)字節由現場(chǎng)分配。以太網(wǎng)3為104規約通訊網(wǎng)口，IP地址由主站分配，本站IP地址為32．119．60．1。因數據遠動(dòng)服務(wù)器發(fā)給站內間隔層裝置的UDP廣播報文不區分網(wǎng)口，縱向加密裝置連接的網(wǎng)口為以太網(wǎng)3，所以收到了源地址為32．157．60．1的報文。UDP廣播報文的本意是發(fā)給站內裝置的，目的IP應是站內庫所定義的IP地址。由于遠動(dòng)服務(wù)器不區分網(wǎng)口，目的IP地址規則按“以太網(wǎng)前2個(gè)字節+站內裝置地址后2個(gè)字節”組成，所以縱向加密裝置攔截到的目的IP地址出現了52個(gè)無(wú)效地址，這些IP地址的前2個(gè)字節是32．157，后2個(gè)字節在遠動(dòng)配置庫中都可以找到［14－15］。通過(guò)配置參數庫可以查出，全站共52臺裝置，導致縱向加密裝置上報出“共52個(gè)IP地址不符合安全策略被攔截”。經(jīng)檢修人員確認本次告警是由本站遠動(dòng)訪(fǎng)問(wèn)數據網(wǎng)地址，該行為不符合安全策略，不屬于外部攻擊，沒(méi)有對網(wǎng)絡(luò )安全造成影響。因本公司網(wǎng)絡(luò )異常監控平臺剛從網(wǎng)頁(yè)版升級為客戶(hù)端，調試技術(shù)人員尚未完成用戶(hù)培訓，該版本還存在諸多問(wèn)題，如平臺無(wú)語(yǔ)音告警提示功能及大量0．0．0．0訪(fǎng)問(wèn)255．255．255．255類(lèi)告警，導致平臺操作人員在查看當日告警記錄時(shí)，由于對新平臺的不熟悉，未曾注意該條告警次數在不斷累加。而且根據平臺廠(chǎng)家早期對用戶(hù)的告知，認為此類(lèi)告警不會(huì )升級成為緊急告警上傳。

　　3．3后續防范措施

　�、偌訌娝�轄水電站自動(dòng)化設備檢修及調試工作管理。進(jìn)一步完善檢修及調試工作規范。檢修調試期間嚴格執行掛牌制度，檢修工作結束后做好值班記錄，在一周內保持跟蹤監視，發(fā)現異常及時(shí)處置。②加強水電站監控系統安防監視。要求運行值勤人員嚴格執行日常監視檢查制度，網(wǎng)絡(luò )安全防護專(zhuān)責在收到短信告警或值班員運行異常的通知后，盡快組織對問(wèn)題的檢查處理。③加強內網(wǎng)絡(luò )異常監控平臺應用培訓。聯(lián)系開(kāi)發(fā)廠(chǎng)家進(jìn)行全員再培訓，掌握告警分類(lèi)原則以及告警數量累積后升級為更高一級告警的機制，在告警級別升級前及時(shí)完成事件處置。廠(chǎng)家技術(shù)人員編寫(xiě)內網(wǎng)安全監視平臺手冊。

　　4水電站錄波及信息子站引起的異常訪(fǎng)問(wèn)

　　4．1原因及措施

　�、倬W(wǎng)絡(luò )接線(xiàn)問(wèn)題。攔截信息顯示源地址為私網(wǎng)IP(192．168．X．X，100．100．X．X等)或異常的調度數據網(wǎng)信息包，可能原因為故障錄波器組網(wǎng)交換機與站控層網(wǎng)絡(luò )直連，或地調網(wǎng)絡(luò )與上級網(wǎng)絡(luò )在同一個(gè)交換機上匯集，造成非法訪(fǎng)問(wèn)。建議對出現此類(lèi)現象的水電站故障錄波組網(wǎng)情況進(jìn)行排查，將間隔層設備通過(guò)交換機獨立組網(wǎng)，并且要注意不能將不同性質(zhì)的網(wǎng)絡(luò )在同一臺交換機交互。新建水電站要求故障錄波器和子站直接接入數據網(wǎng)屏的交換機，不能就地組網(wǎng)。②網(wǎng)卡配置問(wèn)題。攔截信息顯示源地址為私網(wǎng)IP，但是該IP并非站控層網(wǎng)絡(luò )所用IP段，可能原因為故障錄播器網(wǎng)卡配置問(wèn)題，是故障錄波器對數據網(wǎng)通訊的網(wǎng)卡綁定了多個(gè)IP所致，需要現場(chǎng)更改網(wǎng)卡配置。另外，故障錄波器自身配置雙網(wǎng)卡，一塊對前置采集單元通訊，一塊對上數據網(wǎng)通訊，如果兩個(gè)網(wǎng)口接在同一塊交換機上，需將兩者拆開(kāi);如物理上未接在同一個(gè)交換機上，可能為對下訪(fǎng)問(wèn)網(wǎng)卡中斷，造成通過(guò)另一塊網(wǎng)卡發(fā)廣播報文，需檢查現場(chǎng)網(wǎng)絡(luò )通訊情況。③Windows錄波器安裝殺毒軟件，殺毒軟件自動(dòng)更新造成網(wǎng)絡(luò )異常訪(fǎng)問(wèn)，建議將現場(chǎng)故障錄波器殺毒軟件自動(dòng)更新功能關(guān)閉。④DNS、HTTP、NETBIOS等服務(wù)進(jìn)程開(kāi)啟。Windows系統默認開(kāi)啟的DNS、HTTP、NETBIOS等服務(wù)訪(fǎng)問(wèn)網(wǎng)絡(luò )，造成非法訪(fǎng)問(wèn)。建議將不需要的服務(wù)和端口予以關(guān)閉。目前各廠(chǎng)家已在制作相應的批處理文件，以方便現場(chǎng)人員快速關(guān)閉不需要的服務(wù)［16－17］。

　　4．2原因分析

　�、贆z查水電站內故障錄波和子站組網(wǎng)情況，理清網(wǎng)絡(luò )結構。②檢查故障錄波器網(wǎng)卡配置情況，刪除不必要的IP綁定。另外，一些廠(chǎng)家的訪(fǎng)問(wèn)IP可能寫(xiě)在配置文件內，比較隱蔽。③現場(chǎng)殺毒軟件關(guān)閉自動(dòng)更新服務(wù)。④關(guān)閉不必要的服務(wù)和端口。

　　5結束語(yǔ)

　　變電站通訊設備是堅強電網(wǎng)重要的組成部分，它的運行狀態(tài)安全與否直接影響著(zhù)整個(gè)電網(wǎng)的安全與穩定。本文從水電站通訊系統及加密裝置的多個(gè)異常訪(fǎng)問(wèn)案例研究水電站安全防護技術(shù)及攔截方式。從現場(chǎng)實(shí)際著(zhù)眼，闡述該系統對服務(wù)攻擊、利用型攻擊、信息收集型攻擊、假消息攻擊等網(wǎng)絡(luò )危害的攔截方式，保障電網(wǎng)安全穩定運行。

【水電站網(wǎng)絡(luò )信息異常訪(fǎng)問(wèn)實(shí)例分析論文】相關(guān)文章：

網(wǎng)絡(luò )信息檢索論文01-20

論文致謝實(shí)例11-14

網(wǎng)絡(luò )營(yíng)銷(xiāo)分析論文07-04

網(wǎng)絡(luò )信息資源組織方法的比較分析及其應用探析論文03-24

網(wǎng)絡(luò )圍觀(guān)的界定及特征分析論文12-03

水電站運行管理中存在的問(wèn)題分析論文02-25

通信網(wǎng)絡(luò )優(yōu)化問(wèn)題分析論文01-01

畢業(yè)論文的答辯實(shí)例12-05

畢業(yè)論文致謝實(shí)例12-06