水電站網絡信息異常訪問實例分析論文

水電站網絡信息異常訪問實例分析論文

　　摘要:為加強電網網絡通訊安全，文中闡述了水電站網絡通信方式，并介紹無效地址引起的網絡異常訪問、因裝置調試引起的網絡異常訪問及站內故障錄波器和子站等間隔層的網絡設備措施導致的網絡異常訪問，并給出故障處理的方法及整改措施，通過若干實例分析為類似的網絡問題提供借鑒，提供消缺經驗。

　　關鍵詞:水電站;通訊網絡;異常訪問;網絡安全

　　隨著近年來網絡技術的發展，網絡環境日益復雜化，2013年—2014年間，美國電網共受到200余次攻擊，2016年1月6日，烏克蘭電網系統遭攻擊，數百戶家庭供電被迫中斷，2018年3月，四家美國輸氣管道公司遭到網絡攻擊，電子通訊設備被迫關閉數天。此類網絡攻擊事件使國家經濟和人民生活遭受巨大損失。本文針對水電站網絡通訊，闡述多種網絡異常訪問的分析，主要包括地址錯誤、調試措施、設備錯誤等原因，給此類故障的處理提供借鑒［1－5］。

　　1通信方式

　　水電站調度端以104規約通過專用通訊線經主站數據加密裝置到水電站路由器，加密裝置負責對數據加密及通訊狀態的檢測。路由器根據判斷調度端網絡地址，通過廠站端加密裝置鏈接至遠動服務器，路由選擇站內IP路徑，通過交換機將數據發送給遠動服務器，服務器將命令解析后讀取預存點表下發命令到對應的保護測控等間隔層設備實現命令的下行。如圖1所示［6－9］。當站內發生遙測變量、遙信變位時各間隔層裝置將遙測和遙信信息主動上送給遠動中轉服務器。服務器根據遙測、遙信轉發表將信息轉化為數字信號后封裝成數據幀格式。經過交換機傳送給路由器，路由器根據數據幀中的目標地址將數據發送給調度端。在整個通訊過程中主站數據加密裝置根據通訊狀態，實時自動生成日志及告警信息上送，保證網絡安全。

　　2無效地址引起的網絡異常訪問

　　2．1問題描述

　　本公司所轄35kV周甲水電站遠動服務器操作系統為WINCE嵌入式操作系統�，F場反饋在運行過程中，與水電站調度通訊的網卡(32．119．60．1)會訪問11．100．100．0網段的2404端口，該行為不符合安全策略，被縱向加密裝置攔截，如表1所示。源IP為數據遠動服務器IP，目的IP為個非法地址，檢修人員判斷可能是網絡配置問題或存在不必要的服務導致。

　　2．2原因分析

　　周甲水電站間隔層設備包括保護裝置、測控裝置、故障錄波器裝置等，電力保護及自動化設備和遠動服務器為單網通訊，經現場排查11．100．100．0網段為間隔層設備預留的雙網通訊地址。32．119．60．1為周甲水電站數據遠動與水電站調度通訊IP，分析此類訪問為104初始化鏈路TCP連接報文。遠動服務器采用104規約和間隔層裝置通訊。該系統104規約的通訊機制是遠動中轉程序讀取配置文件(/sdz/zhuanserver．cfg)，根據文件中的IP表向間隔層設備發出連接請求，包含并未使用的雙網通訊地址，104的服務端口為2404。當前遠動程序發送連接請求交由操作系統來完成，WINCE系統優先使用源IP與目標IP在同一網段的網口發送連接請求，當同一網段的網口無法與目標IP建立連接時，通過帶有網關(路由)的網口發送，而數據遠動裝置與調度通訊的網口設有網關，所以加密裝置會收到遠動服務器發送的站內104建立連接請求的報文。

　　2．3問題處理

　　處理以上問題，有以下三種方案:①由于站內設備是單網通訊，站內無11．100．100．0網段，所以刪除/sdz/rtuserver．cfg下的11．100．100．0網段的所有IP，使遠動服務器不再與該網段IP建立連接，此方案不修改程序及其它配置。②升級數據遠動中轉程序，自動化辨識對象裝置，本程序綁定固定IP訪問裝置。由于要升級程序，要對站內信號進行簡單的核對。③更換最新的遠動數據中轉裝置，型號為WYD－811，該服務器使用的是基于Linux的Debian系統，該系統采用靜態路由訪問，不存在此類非法訪問的問題。

　　3裝置調試引起的網絡異常訪問

　　3．1問題描述

　　某日，本公司所轄35kV周陽水電站網絡異常告警信息內容為32．157．60．1訪問32．157．10．0的52個無效IP地址的主機1032端口，不符合安全策略被攔截，如表2所示。周陽水電站數據遠動服務器于2001年投運，屬于第一代自動化設備，該裝置采用以太網103規約和間隔層裝置通訊，其通訊機制是站控層設備發送UDP廣播，間隔層設備接收到UDP廣播后發起跟相對應的站控層設備的TCP連接。UDP廣播端口號為1032，服務器裝置會向各網口發送UDP廣播報文［10－13］。因CSＲ600遠動裝置發送的UDP廣播報文不區分網口，所有網口均會發送，所以采用104規約與主站通訊裝置網口也會收到UDP廣播報文，該報文從數據遠動服務器發出經站內交換機后被縱向加密裝置攔截。

　　3．2原因分析

　　服務器配置參數中以太網1、以太網2為站內雙網，IP地址前2字節固定(192．21/192．22)，后兩個字節由現場分配。以太網3為104規約通訊網口，IP地址由主站分配，本站IP地址為32．119．60．1。因數據遠動服務器發給站內間隔層裝置的UDP廣播報文不區分網口，縱向加密裝置連接的網口為以太網3，所以收到了源地址為32．157．60．1的報文。UDP廣播報文的本意是發給站內裝置的，目的IP應是站內庫所定義的IP地址。由于遠動服務器不區分網口，目的IP地址規則按“以太網前2個字節+站內裝置地址后2個字節”組成，所以縱向加密裝置攔截到的目的IP地址出現了52個無效地址，這些IP地址的前2個字節是32．157，后2個字節在遠動配置庫中都可以找到［14－15］。通過配置參數庫可以查出，全站共52臺裝置，導致縱向加密裝置上報出“共52個IP地址不符合安全策略被攔截”。經檢修人員確認本次告警是由本站遠動訪問數據網地址，該行為不符合安全策略，不屬于外部攻擊，沒有對網絡安全造成影響。因本公司網絡異常監控平臺剛從網頁版升級為客戶端，調試技術人員尚未完成用戶培訓，該版本還存在諸多問題，如平臺無語音告警提示功能及大量0．0．0．0訪問255．255．255．255類告警，導致平臺操作人員在查看當日告警記錄時，由于對新平臺的不熟悉，未曾注意該條告警次數在不斷累加。而且根據平臺廠家早期對用戶的告知，認為此類告警不會升級成為緊急告警上傳。

　　3．3后續防范措施

　�、偌訌娝�轄水電站自動化設備檢修及調試工作管理。進一步完善檢修及調試工作規范。檢修調試期間嚴格執行掛牌制度，檢修工作結束后做好值班記錄，在一周內保持跟蹤監視，發現異常及時處置。②加強水電站監控系統安防監視。要求運行值勤人員嚴格執行日常監視檢查制度，網絡安全防護專責在收到短信告警或值班員運行異常的通知后，盡快組織對問題的檢查處理。③加強內網絡異常監控平臺應用培訓。聯系開發廠家進行全員再培訓，掌握告警分類原則以及告警數量累積后升級為更高一級告警的機制，在告警級別升級前及時完成事件處置。廠家技術人員編寫內網安全監視平臺手冊。

　　4水電站錄波及信息子站引起的異常訪問

　　4．1原因及措施

　�、倬W絡接線問題。攔截信息顯示源地址為私網IP(192．168．X．X，100．100．X．X等)或異常的調度數據網信息包，可能原因為故障錄波器組網交換機與站控層網絡直連，或地調網絡與上級網絡在同一個交換機上匯集，造成非法訪問。建議對出現此類現象的水電站故障錄波組網情況進行排查，將間隔層設備通過交換機獨立組網，并且要注意不能將不同性質的網絡在同一臺交換機交互。新建水電站要求故障錄波器和子站直接接入數據網屏的交換機，不能就地組網。②網卡配置問題。攔截信息顯示源地址為私網IP，但是該IP并非站控層網絡所用IP段，可能原因為故障錄播器網卡配置問題，是故障錄波器對數據網通訊的網卡綁定了多個IP所致，需要現場更改網卡配置。另外，故障錄波器自身配置雙網卡，一塊對前置采集單元通訊，一塊對上數據網通訊，如果兩個網口接在同一塊交換機上，需將兩者拆開;如物理上未接在同一個交換機上，可能為對下訪問網卡中斷，造成通過另一塊網卡發廣播報文，需檢查現場網絡通訊情況。③Windows錄波器安裝殺毒軟件，殺毒軟件自動更新造成網絡異常訪問，建議將現場故障錄波器殺毒軟件自動更新功能關閉。④DNS、HTTP、NETBIOS等服務進程開啟。Windows系統默認開啟的DNS、HTTP、NETBIOS等服務訪問網絡，造成非法訪問。建議將不需要的服務和端口予以關閉。目前各廠家已在制作相應的批處理文件，以方便現場人員快速關閉不需要的服務［16－17］。

　　4．2原因分析

　　①檢查水電站內故障錄波和子站組網情況，理清網絡結構。②檢查故障錄波器網卡配置情況，刪除不必要的IP綁定。另外，一些廠家的訪問IP可能寫在配置文件內，比較隱蔽。③現場殺毒軟件關閉自動更新服務。④關閉不必要的服務和端口。

　　5結束語

　　變電站通訊設備是堅強電網重要的組成部分，它的運行狀態安全與否直接影響著整個電網的安全與穩定。本文從水電站通訊系統及加密裝置的多個異常訪問案例研究水電站安全防護技術及攔截方式。從現場實際著眼，闡述該系統對服務攻擊、利用型攻擊、信息收集型攻擊、假消息攻擊等網絡危害的攔截方式，保障電網安全穩定運行。

【水電站網絡信息異常訪問實例分析論文】相關文章：

網絡信息檢索論文01-20

論文致謝實例11-14

網絡營銷分析論文07-04

網絡信息資源組織方法的比較分析及其應用探析論文03-24

網絡圍觀的界定及特征分析論文12-03

水電站運行管理中存在的問題分析論文02-25

通信網絡優化問題分析論文01-01

畢業論文的答辯實例12-05

畢業論文致謝實例12-06