水電站網(wǎng)絡(luò)信息異常訪(fǎng)問(wèn)實(shí)例分析論文

　　摘要:為加強(qiáng)電網(wǎng)網(wǎng)絡(luò)通訊安全，文中闡述了水電站網(wǎng)絡(luò)通信方式，并介紹無(wú)效地址引起的網(wǎng)絡(luò)異常訪(fǎng)問(wèn)、因裝置調(diào)試引起的網(wǎng)絡(luò)異常訪(fǎng)問(wèn)及站內(nèi)故障錄波器和子站等間隔層的網(wǎng)絡(luò)設(shè)備措施導(dǎo)致的網(wǎng)絡(luò)異常訪(fǎng)問(wèn)，并給出故障處理的方法及整改措施，通過(guò)若干實(shí)例分析為類(lèi)似的網(wǎng)絡(luò)問(wèn)題提供借鑒，提供消缺經(jīng)驗(yàn)。

　　關(guān)鍵詞:水電站;通訊網(wǎng)絡(luò);異常訪(fǎng)問(wèn);網(wǎng)絡(luò)安全

　　隨著近年來(lái)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)環(huán)境日益復(fù)雜化，2013年—2014年間，美國(guó)電網(wǎng)共受到200余次攻擊，2016年1月6日，烏克蘭電網(wǎng)系統(tǒng)遭攻擊，數(shù)百戶(hù)家庭供電被迫中斷，2018年3月，四家美國(guó)輸氣管道公司遭到網(wǎng)絡(luò)攻擊，電子通訊設(shè)備被迫關(guān)閉數(shù)天。此類(lèi)網(wǎng)絡(luò)攻擊事件使國(guó)家經(jīng)濟(jì)和人民生活遭受巨大損失。本文針對(duì)水電站網(wǎng)絡(luò)通訊，闡述多種網(wǎng)絡(luò)異常訪(fǎng)問(wèn)的分析，主要包括地址錯(cuò)誤、調(diào)試措施、設(shè)備錯(cuò)誤等原因，給此類(lèi)故障的處理提供借鑒［1－5］。

　　1通信方式

　　水電站調(diào)度端以104規(guī)約通過(guò)專(zhuān)用通訊線(xiàn)經(jīng)主站數(shù)據(jù)加密裝置到水電站路由器，加密裝置負(fù)責(zé)對(duì)數(shù)據(jù)加密及通訊狀態(tài)的檢測(cè)。路由器根據(jù)判斷調(diào)度端網(wǎng)絡(luò)地址，通過(guò)廠(chǎng)站端加密裝置鏈接至遠(yuǎn)動(dòng)服務(wù)器，路由選擇站內(nèi)IP路徑，通過(guò)交換機(jī)將數(shù)據(jù)發(fā)送給遠(yuǎn)動(dòng)服務(wù)器，服務(wù)器將命令解析后讀取預(yù)存點(diǎn)表下發(fā)命令到對(duì)應(yīng)的保護(hù)測(cè)控等間隔層設(shè)備實(shí)現(xiàn)命令的下行。如圖1所示［6－9］。當(dāng)站內(nèi)發(fā)生遙測(cè)變量、遙信變位時(shí)各間隔層裝置將遙測(cè)和遙信信息主動(dòng)上送給遠(yuǎn)動(dòng)中轉(zhuǎn)服務(wù)器。服務(wù)器根據(jù)遙測(cè)、遙信轉(zhuǎn)發(fā)表將信息轉(zhuǎn)化為數(shù)字信號(hào)后封裝成數(shù)據(jù)幀格式。經(jīng)過(guò)交換機(jī)傳送給路由器，路由器根據(jù)數(shù)據(jù)幀中的目標(biāo)地址將數(shù)據(jù)發(fā)送給調(diào)度端。在整個(gè)通訊過(guò)程中主站數(shù)據(jù)加密裝置根據(jù)通訊狀態(tài)，實(shí)時(shí)自動(dòng)生成日志及告警信息上送，保證網(wǎng)絡(luò)安全。

　　2無(wú)效地址引起的網(wǎng)絡(luò)異常訪(fǎng)問(wèn)

　　2．1問(wèn)題描述

　　本公司所轄35kV周甲水電站遠(yuǎn)動(dòng)服務(wù)器操作系統(tǒng)為WINCE嵌入式操作系統(tǒng)�，F(xiàn)場(chǎng)反饋在運(yùn)行過(guò)程中，與水電站調(diào)度通訊的網(wǎng)卡(32．119．60．1)會(huì)訪(fǎng)問(wèn)11．100．100．0網(wǎng)段的2404端口，該行為不符合安全策略，被縱向加密裝置攔截，如表1所示。源IP為數(shù)據(jù)遠(yuǎn)動(dòng)服務(wù)器IP，目的IP為個(gè)非法地址，檢修人員判斷可能是網(wǎng)絡(luò)配置問(wèn)題或存在不必要的服務(wù)導(dǎo)致。

　　2．2原因分析

　　周甲水電站間隔層設(shè)備包括保護(hù)裝置、測(cè)控裝置、故障錄波器裝置等，電力保護(hù)及自動(dòng)化設(shè)備和遠(yuǎn)動(dòng)服務(wù)器為單網(wǎng)通訊，經(jīng)現(xiàn)場(chǎng)排查11．100．100．0網(wǎng)段為間隔層設(shè)備預(yù)留的雙網(wǎng)通訊地址。32．119．60．1為周甲水電站數(shù)據(jù)遠(yuǎn)動(dòng)與水電站調(diào)度通訊IP，分析此類(lèi)訪(fǎng)問(wèn)為104初始化鏈路TCP連接報(bào)文。遠(yuǎn)動(dòng)服務(wù)器采用104規(guī)約和間隔層裝置通訊。該系統(tǒng)104規(guī)約的通訊機(jī)制是遠(yuǎn)動(dòng)中轉(zhuǎn)程序讀取配置文件(/sdz/zhuanserver．cfg)，根據(jù)文件中的IP表向間隔層設(shè)備發(fā)出連接請(qǐng)求，包含并未使用的雙網(wǎng)通訊地址，104的服務(wù)端口為2404。當(dāng)前遠(yuǎn)動(dòng)程序發(fā)送連接請(qǐng)求交由操作系統(tǒng)來(lái)完成，WINCE系統(tǒng)優(yōu)先使用源IP與目標(biāo)IP在同一網(wǎng)段的網(wǎng)口發(fā)送連接請(qǐng)求，當(dāng)同一網(wǎng)段的網(wǎng)口無(wú)法與目標(biāo)IP建立連接時(shí)，通過(guò)帶有網(wǎng)關(guān)(路由)的網(wǎng)口發(fā)送，而數(shù)據(jù)遠(yuǎn)動(dòng)裝置與調(diào)度通訊的網(wǎng)口設(shè)有網(wǎng)關(guān)，所以加密裝置會(huì)收到遠(yuǎn)動(dòng)服務(wù)器發(fā)送的站內(nèi)104建立連接請(qǐng)求的報(bào)文。

　　2．3問(wèn)題處理

　　處理以上問(wèn)題，有以下三種方案:①由于站內(nèi)設(shè)備是單網(wǎng)通訊，站內(nèi)無(wú)11．100．100．0網(wǎng)段，所以刪除/sdz/rtuserver．cfg下的11．100．100．0網(wǎng)段的所有IP，使遠(yuǎn)動(dòng)服務(wù)器不再與該網(wǎng)段IP建立連接，此方案不修改程序及其它配置。②升級(jí)數(shù)據(jù)遠(yuǎn)動(dòng)中轉(zhuǎn)程序，自動(dòng)化辨識(shí)對(duì)象裝置，本程序綁定固定IP訪(fǎng)問(wèn)裝置。由于要升級(jí)程序，要對(duì)站內(nèi)信號(hào)進(jìn)行簡(jiǎn)單的核對(duì)。③更換最新的遠(yuǎn)動(dòng)數(shù)據(jù)中轉(zhuǎn)裝置，型號(hào)為WYD－811，該服務(wù)器使用的是基于Linux的Debian系統(tǒng)，該系統(tǒng)采用靜態(tài)路由訪(fǎng)問(wèn)，不存在此類(lèi)非法訪(fǎng)問(wèn)的問(wèn)題。

　　3裝置調(diào)試引起的網(wǎng)絡(luò)異常訪(fǎng)問(wèn)

　　3．1問(wèn)題描述

　　某日，本公司所轄35kV周陽(yáng)水電站網(wǎng)絡(luò)異常告警信息內(nèi)容為32．157．60．1訪(fǎng)問(wèn)32．157．10．0的52個(gè)無(wú)效IP地址的主機(jī)1032端口，不符合安全策略被攔截，如表2所示。周陽(yáng)水電站數(shù)據(jù)遠(yuǎn)動(dòng)服務(wù)器于2001年投運(yùn)，屬于第一代自動(dòng)化設(shè)備，該裝置采用以太網(wǎng)103規(guī)約和間隔層裝置通訊，其通訊機(jī)制是站控層設(shè)備發(fā)送UDP廣播，間隔層設(shè)備接收到UDP廣播后發(fā)起跟相對(duì)應(yīng)的站控層設(shè)備的TCP連接。UDP廣播端口號(hào)為1032，服務(wù)器裝置會(huì)向各網(wǎng)口發(fā)送UDP廣播報(bào)文［10－13］。因CSＲ600遠(yuǎn)動(dòng)裝置發(fā)送的UDP廣播報(bào)文不區(qū)分網(wǎng)口，所有網(wǎng)口均會(huì)發(fā)送，所以采用104規(guī)約與主站通訊裝置網(wǎng)口也會(huì)收到UDP廣播報(bào)文，該報(bào)文從數(shù)據(jù)遠(yuǎn)動(dòng)服務(wù)器發(fā)出經(jīng)站內(nèi)交換機(jī)后被縱向加密裝置攔截。

　　3．2原因分析

　　服務(wù)器配置參數(shù)中以太網(wǎng)1、以太網(wǎng)2為站內(nèi)雙網(wǎng)，IP地址前2字節(jié)固定(192．21/192．22)，后兩個(gè)字節(jié)由現(xiàn)場(chǎng)分配。以太網(wǎng)3為104規(guī)約通訊網(wǎng)口，IP地址由主站分配，本站IP地址為32．119．60．1。因數(shù)據(jù)遠(yuǎn)動(dòng)服務(wù)器發(fā)給站內(nèi)間隔層裝置的UDP廣播報(bào)文不區(qū)分網(wǎng)口，縱向加密裝置連接的網(wǎng)口為以太網(wǎng)3，所以收到了源地址為32．157．60．1的報(bào)文。UDP廣播報(bào)文的本意是發(fā)給站內(nèi)裝置的，目的IP應(yīng)是站內(nèi)庫(kù)所定義的IP地址。由于遠(yuǎn)動(dòng)服務(wù)器不區(qū)分網(wǎng)口，目的IP地址規(guī)則按“以太網(wǎng)前2個(gè)字節(jié)+站內(nèi)裝置地址后2個(gè)字節(jié)”組成，所以縱向加密裝置攔截到的目的IP地址出現(xiàn)了52個(gè)無(wú)效地址，這些IP地址的前2個(gè)字節(jié)是32．157，后2個(gè)字節(jié)在遠(yuǎn)動(dòng)配置庫(kù)中都可以找到［14－15］。通過(guò)配置參數(shù)庫(kù)可以查出，全站共52臺(tái)裝置，導(dǎo)致縱向加密裝置上報(bào)出“共52個(gè)IP地址不符合安全策略被攔截”。經(jīng)檢修人員確認(rèn)本次告警是由本站遠(yuǎn)動(dòng)訪(fǎng)問(wèn)數(shù)據(jù)網(wǎng)地址，該行為不符合安全策略，不屬于外部攻擊，沒(méi)有對(duì)網(wǎng)絡(luò)安全造成影響。因本公司網(wǎng)絡(luò)異常監(jiān)控平臺(tái)剛從網(wǎng)頁(yè)版升級(jí)為客戶(hù)端，調(diào)試技術(shù)人員尚未完成用戶(hù)培訓(xùn)，該版本還存在諸多問(wèn)題，如平臺(tái)無(wú)語(yǔ)音告警提示功能及大量0．0．0．0訪(fǎng)問(wèn)255．255．255．255類(lèi)告警，導(dǎo)致平臺(tái)操作人員在查看當(dāng)日告警記錄時(shí)，由于對(duì)新平臺(tái)的不熟悉，未曾注意該條告警次數(shù)在不斷累加。而且根據(jù)平臺(tái)廠(chǎng)家早期對(duì)用戶(hù)的告知，認(rèn)為此類(lèi)告警不會(huì)升級(jí)成為緊急告警上傳。

　　3．3后續(xù)防范措施

　　①加強(qiáng)所轄水電站自動(dòng)化設(shè)備檢修及調(diào)試工作管理。進(jìn)一步完善檢修及調(diào)試工作規(guī)范。檢修調(diào)試期間嚴(yán)格執(zhí)行掛牌制度，檢修工作結(jié)束后做好值班記錄，在一周內(nèi)保持跟蹤監(jiān)視，發(fā)現(xiàn)異常及時(shí)處置。②加強(qiáng)水電站監(jiān)控系統(tǒng)安防監(jiān)視。要求運(yùn)行值勤人員嚴(yán)格執(zhí)行日常監(jiān)視檢查制度，網(wǎng)絡(luò)安全防護(hù)專(zhuān)責(zé)在收到短信告警或值班員運(yùn)行異常的通知后，盡快組織對(duì)問(wèn)題的檢查處理。③加強(qiáng)內(nèi)網(wǎng)絡(luò)異常監(jiān)控平臺(tái)應(yīng)用培訓(xùn)。聯(lián)系開(kāi)發(fā)廠(chǎng)家進(jìn)行全員再培訓(xùn)，掌握告警分類(lèi)原則以及告警數(shù)量累積后升級(jí)為更高一級(jí)告警的機(jī)制，在告警級(jí)別升級(jí)前及時(shí)完成事件處置。廠(chǎng)家技術(shù)人員編寫(xiě)內(nèi)網(wǎng)安全監(jiān)視平臺(tái)手冊(cè)。

　　4水電站錄波及信息子站引起的異常訪(fǎng)問(wèn)

　　4．1原因及措施

　　①網(wǎng)絡(luò)接線(xiàn)問(wèn)題。攔截信息顯示源地址為私網(wǎng)IP(192．168．X．X，100．100．X．X等)或異常的調(diào)度數(shù)據(jù)網(wǎng)信息包，可能原因?yàn)楣收箱洸ㄆ鹘M網(wǎng)交換機(jī)與站控層網(wǎng)絡(luò)直連，或地調(diào)網(wǎng)絡(luò)與上級(jí)網(wǎng)絡(luò)在同一個(gè)交換機(jī)上匯集，造成非法訪(fǎng)問(wèn)。建議對(duì)出現(xiàn)此類(lèi)現(xiàn)象的水電站故障錄波組網(wǎng)情況進(jìn)行排查，將間隔層設(shè)備通過(guò)交換機(jī)獨(dú)立組網(wǎng)，并且要注意不能將不同性質(zhì)的網(wǎng)絡(luò)在同一臺(tái)交換機(jī)交互。新建水電站要求故障錄波器和子站直接接入數(shù)據(jù)網(wǎng)屏的交換機(jī)，不能就地組網(wǎng)。②網(wǎng)卡配置問(wèn)題。攔截信息顯示源地址為私網(wǎng)IP，但是該IP并非站控層網(wǎng)絡(luò)所用IP段，可能原因?yàn)楣收箱洸テ骶W(wǎng)卡配置問(wèn)題，是故障錄波器對(duì)數(shù)據(jù)網(wǎng)通訊的網(wǎng)卡綁定了多個(gè)IP所致，需要現(xiàn)場(chǎng)更改網(wǎng)卡配置。另外，故障錄波器自身配置雙網(wǎng)卡，一塊對(duì)前置采集單元通訊，一塊對(duì)上數(shù)據(jù)網(wǎng)通訊，如果兩個(gè)網(wǎng)口接在同一塊交換機(jī)上，需將兩者拆開(kāi);如物理上未接在同一個(gè)交換機(jī)上，可能為對(duì)下訪(fǎng)問(wèn)網(wǎng)卡中斷，造成通過(guò)另一塊網(wǎng)卡發(fā)廣播報(bào)文，需檢查現(xiàn)場(chǎng)網(wǎng)絡(luò)通訊情況。③Windows錄波器安裝殺毒軟件，殺毒軟件自動(dòng)更新造成網(wǎng)絡(luò)異常訪(fǎng)問(wèn)，建議將現(xiàn)場(chǎng)故障錄波器殺毒軟件自動(dòng)更新功能關(guān)閉。④DNS、HTTP、NETBIOS等服務(wù)進(jìn)程開(kāi)啟。Windows系統(tǒng)默認(rèn)開(kāi)啟的DNS、HTTP、NETBIOS等服務(wù)訪(fǎng)問(wèn)網(wǎng)絡(luò)，造成非法訪(fǎng)問(wèn)。建議將不需要的服務(wù)和端口予以關(guān)閉。目前各廠(chǎng)家已在制作相應(yīng)的批處理文件，以方便現(xiàn)場(chǎng)人員快速關(guān)閉不需要的服務(wù)［16－17］。

　　4．2原因分析

　�、贆z查水電站內(nèi)故障錄波和子站組網(wǎng)情況，理清網(wǎng)絡(luò)結(jié)構(gòu)。②檢查故障錄波器網(wǎng)卡配置情況，刪除不必要的IP綁定。另外，一些廠(chǎng)家的訪(fǎng)問(wèn)IP可能寫(xiě)在配置文件內(nèi)，比較隱蔽。③現(xiàn)場(chǎng)殺毒軟件關(guān)閉自動(dòng)更新服務(wù)。④關(guān)閉不必要的服務(wù)和端口。

　　5結(jié)束語(yǔ)

　　變電站通訊設(shè)備是堅(jiān)強(qiáng)電網(wǎng)重要的組成部分，它的運(yùn)行狀態(tài)安全與否直接影響著整個(gè)電網(wǎng)的安全與穩(wěn)定。本文從水電站通訊系統(tǒng)及加密裝置的多個(gè)異常訪(fǎng)問(wèn)案例研究水電站安全防護(hù)技術(shù)及攔截方式。從現(xiàn)場(chǎng)實(shí)際著眼，闡述該系統(tǒng)對(duì)服務(wù)攻擊、利用型攻擊、信息收集型攻擊、假消息攻擊等網(wǎng)絡(luò)危害的攔截方式，保障電網(wǎng)安全穩(wěn)定運(yùn)行。

【水電站網(wǎng)絡(luò)信息異常訪(fǎng)問(wèn)實(shí)例分析論文】相關(guān)文章：

網(wǎng)絡(luò)信息檢索論文01-20

論文致謝實(shí)例11-14

網(wǎng)絡(luò)營(yíng)銷(xiāo)分析論文07-04

網(wǎng)絡(luò)信息資源組織方法的比較分析及其應(yīng)用探析論文03-24

網(wǎng)絡(luò)圍觀(guān)的界定及特征分析論文12-03

水電站運(yùn)行管理中存在的問(wèn)題分析論文02-25

通信網(wǎng)絡(luò)優(yōu)化問(wèn)題分析論文01-01

畢業(yè)論文的答辯實(shí)例12-05

畢業(yè)論文致謝實(shí)例12-06