水电站网络信息异常访问实例分析论文
摘要:为加强电网网络通讯安全,文中阐述了水电站网络通信方式,并介绍无效地址引起的网络异常访问、因装置调试引起的网络异常访问及站内故障录波器和子站等间隔层的网络设备措施导致的网络异常访问,并给出故障处理的方法及整改措施,通过若干实例分析为类似的网络问题提供借鉴,提供消缺经验。
关键词:水电站;通讯网络;异常访问;网络安全
随着近年来网络技术的发展,网络环境日益复杂化,2013年—2014年间,美国电网共受到200余次攻击,2016年1月6日,乌克兰电网系统遭攻击,数百户家庭供电被迫中断,2018年3月,四家美国输气管道公司遭到网络攻击,电子通讯设备被迫关闭数天。此类网络攻击事件使国家经济和人民生活遭受巨大损失。本文针对水电站网络通讯,阐述多种网络异常访问的分析,主要包括地址错误、调试措施、设备错误等原因,给此类故障的处理提供借鉴[1-5]。
1通信方式
水电站调度端以104规约通过专用通讯线经主站数据加密装置到水电站路由器,加密装置负责对数据加密及通讯状态的检测。路由器根据判断调度端网络地址,通过厂站端加密装置链接至远动服务器,路由选择站内IP路径,通过交换机将数据发送给远动服务器,服务器将命令解析后读取预存点表下发命令到对应的保护测控等间隔层设备实现命令的下行。如图1所示[6-9]。当站内发生遥测变量、遥信变位时各间隔层装置将遥测和遥信信息主动上送给远动中转服务器。服务器根据遥测、遥信转发表将信息转化为数字信号后封装成数据帧格式。经过交换机传送给路由器,路由器根据数据帧中的目标地址将数据发送给调度端。在整个通讯过程中主站数据加密装置根据通讯状态,实时自动生成日志及告警信息上送,保证网络安全。
2无效地址引起的网络异常访问
2.1问题描述
本公司所辖35kV周甲水电站远动服务器操作系统为WINCE嵌入式操作系统。现场反馈在运行过程中,与水电站调度通讯的网卡(32.119.60.1)会访问11.100.100.0网段的2404端口,该行为不符合安全策略,被纵向加密装置拦截,如表1所示。源IP为数据远动服务器IP,目的IP为个非法地址,检修人员判断可能是网络配置问题或存在不必要的服务导致。
2.2原因分析
周甲水电站间隔层设备包括保护装置、测控装置、故障录波器装置等,电力保护及自动化设备和远动服务器为单网通讯,经现场排查11.100.100.0网段为间隔层设备预留的双网通讯地址。32.119.60.1为周甲水电站数据远动与水电站调度通讯IP,分析此类访问为104初始化链路TCP连接报文。远动服务器采用104规约和间隔层装置通讯。该系统104规约的通讯机制是远动中转程序读取配置文件(/sdz/zhuanserver.cfg),根据文件中的IP表向间隔层设备发出连接请求,包含并未使用的双网通讯地址,104的服务端口为2404。当前远动程序发送连接请求交由操作系统来完成,WINCE系统优先使用源IP与目标IP在同一网段的网口发送连接请求,当同一网段的网口无法与目标IP建立连接时,通过带有网关(路由)的网口发送,而数据远动装置与调度通讯的网口设有网关,所以加密装置会收到远动服务器发送的站内104建立连接请求的报文。
2.3问题处理
处理以上问题,有以下三种方案:①由于站内设备是单网通讯,站内无11.100.100.0网段,所以删除/sdz/rtuserver.cfg下的11.100.100.0网段的所有IP,使远动服务器不再与该网段IP建立连接,此方案不修改程序及其它配置。②升级数据远动中转程序,自动化辨识对象装置,本程序绑定固定IP访问装置。由于要升级程序,要对站内信号进行简单的核对。③更换最新的远动数据中转装置,型号为WYD-811,该服务器使用的是基于Linux的Debian系统,该系统采用静态路由访问,不存在此类非法访问的问题。
3装置调试引起的网络异常访问
3.1问题描述
某日,本公司所辖35kV周阳水电站网络异常告警信息内容为32.157.60.1访问32.157.10.0的52个无效IP地址的主机1032端口,不符合安全策略被拦截,如表2所示。周阳水电站数据远动服务器于2001年投运,属于第一代自动化设备,该装置采用以太网103规约和间隔层装置通讯,其通讯机制是站控层设备发送UDP广播,间隔层设备接收到UDP广播后发起跟相对应的站控层设备的TCP连接。UDP广播端口号为1032,服务器装置会向各网口发送UDP广播报文[10-13]。因CSR600远动装置发送的UDP广播报文不区分网口,所有网口均会发送,所以采用104规约与主站通讯装置网口也会收到UDP广播报文,该报文从数据远动服务器发出经站内交换机后被纵向加密装置拦截。
3.2原因分析
服务器配置参数中以太网1、以太网2为站内双网,IP地址前2字节固定(192.21/192.22),后两个字节由现场分配。以太网3为104规约通讯网口,IP地址由主站分配,本站IP地址为32.119.60.1。因数据远动服务器发给站内间隔层装置的UDP广播报文不区分网口,纵向加密装置连接的网口为以太网3,所以收到了源地址为32.157.60.1的报文。UDP广播报文的本意是发给站内装置的,目的IP应是站内库所定义的IP地址。由于远动服务器不区分网口,目的IP地址规则按“以太网前2个字节+站内装置地址后2个字节”组成,所以纵向加密装置拦截到的目的IP地址出现了52个无效地址,这些IP地址的前2个字节是32.157,后2个字节在远动配置库中都可以找到[14-15]。通过配置参数库可以查出,全站共52台装置,导致纵向加密装置上报出“共52个IP地址不符合安全策略被拦截”。经检修人员确认本次告警是由本站远动访问数据网地址,该行为不符合安全策略,不属于外部攻击,没有对网络安全造成影响。因本公司网络异常监控平台刚从网页版升级为客户端,调试技术人员尚未完成用户培训,该版本还存在诸多问题,如平台无语音告警提示功能及大量0.0.0.0访问255.255.255.255类告警,导致平台操作人员在查看当日告警记录时,由于对新平台的不熟悉,未曾注意该条告警次数在不断累加。而且根据平台厂家早期对用户的告知,认为此类告警不会升级成为紧急告警上传。
3.3后续防范措施
①加强所辖水电站自动化设备检修及调试工作管理。进一步完善检修及调试工作规范。检修调试期间严格执行挂牌制度,检修工作结束后做好值班记录,在一周内保持跟踪监视,发现异常及时处置。②加强水电站监控系统安防监视。要求运行值勤人员严格执行日常监视检查制度,网络安全防护专责在收到短信告警或值班员运行异常的通知后,尽快组织对问题的检查处理。③加强内网络异常监控平台应用培训。联系开发厂家进行全员再培训,掌握告警分类原则以及告警数量累积后升级为更高一级告警的.机制,在告警级别升级前及时完成事件处置。厂家技术人员编写内网安全监视平台手册。
4水电站录波及信息子站引起的异常访问
4.1原因及措施
①网络接线问题。拦截信息显示源地址为私网IP(192.168.X.X,100.100.X.X等)或异常的调度数据网信息包,可能原因为故障录波器组网交换机与站控层网络直连,或地调网络与上级网络在同一个交换机上汇集,造成非法访问。建议对出现此类现象的水电站故障录波组网情况进行排查,将间隔层设备通过交换机独立组网,并且要注意不能将不同性质的网络在同一台交换机交互。新建水电站要求故障录波器和子站直接接入数据网屏的交换机,不能就地组网。②网卡配置问题。拦截信息显示源地址为私网IP,但是该IP并非站控层网络所用IP段,可能原因为故障录播器网卡配置问题,是故障录波器对数据网通讯的网卡绑定了多个IP所致,需要现场更改网卡配置。另外,故障录波器自身配置双网卡,一块对前置采集单元通讯,一块对上数据网通讯,如果两个网口接在同一块交换机上,需将两者拆开;如物理上未接在同一个交换机上,可能为对下访问网卡中断,造成通过另一块网卡发广播报文,需检查现场网络通讯情况。③Windows录波器安装杀毒软件,杀毒软件自动更新造成网络异常访问,建议将现场故障录波器杀毒软件自动更新功能关闭。④DNS、HTTP、NETBIOS等服务进程开启。Windows系统默认开启的DNS、HTTP、NETBIOS等服务访问网络,造成非法访问。建议将不需要的服务和端口予以关闭。目前各厂家已在制作相应的批处理文件,以方便现场人员快速关闭不需要的服务[16-17]。
4.2原因分析
①检查水电站内故障录波和子站组网情况,理清网络结构。②检查故障录波器网卡配置情况,删除不必要的IP绑定。另外,一些厂家的访问IP可能写在配置文件内,比较隐蔽。③现场杀毒软件关闭自动更新服务。④关闭不必要的服务和端口。
5结束语
变电站通讯设备是坚强电网重要的组成部分,它的运行状态安全与否直接影响着整个电网的安全与稳定。本文从水电站通讯系统及加密装置的多个异常访问案例研究水电站安全防护技术及拦截方式。从现场实际着眼,阐述该系统对服务攻击、利用型攻击、信息收集型攻击、假消息攻击等网络危害的拦截方式,保障电网安全稳定运行。
【水电站网络信息异常访问实例分析论文】相关文章: