叶苏林,廉 颖
(国网宁夏电力有限公司中卫供电公司,宁夏 中卫 755000)
引言在电网运行维护中,大量设备的配置和调试都需要外部运行管理人员参加,由于缺少技术手段的监督,导致事故发生。2017年,在绍兴变电站的调频控制中IP报警,河北磁县变电站在调试过程中出现了网络突发事件。为此,国家电网着手在变电站中推广应用网络监控设备,加强对变电站违法外接和不正当作业的监控。这一举措虽然强化了各个生产单位的网络安全意识,却未能对作业者进行有效的监控。为了保证变电站的安全和稳定,各个部门都在积极探索增强变电站的安全保护措施。
1 变电站手持式运维隔离装置的功能分析变电站手持式运维隔离装置具有人员识别、联网故障诊断和U盘控制等功能,运用防火墙技术监控网络存取和管理,便于现场维修,减少了施工人员的工作压力。该设备参考笔记本大小,便于随身携带。
1.1 基础功能设计变电站手持式运维隔离装置以Linux为基础,加强对木马和病毒的抵抗[1]。本机具有账号管理模块,可有效完成个人身份验证,防止未经许可的使用者进入或利用本设备。同时,在登陆模块中设定了一个锁闭机制,以阻止外人多次尝试进入该设备。
目前,变电站的各个设备都是由计算机进行信息和数据传递,为了便于维修人员对网络的错误特性进行迅速识别,本系统包含了网络故障检测和信息分析功能[2]。通过链路检测模块利用ping命令检测网络的连通性,维护员就能够根据实际情况来判定是存在物理连接问题还是软件的问题,同时还可以设定分组发送时间、数目、大小等参数,从而对丢包率和处理能力进行进一步的检测。信息分析模块内建了IEC104、MMS、GOOSE、SV和SNTP等多种通信信息,有助于维护人员查找故障根源。
1.2 网络访问控制功能设计安全性原则有两种,一是“没有显示许可的服务预设禁用”,二是“没有显示被禁用的”。在具有较高安全性能的网络中,通常使用前者。本文所提出的网络接入控制系统就是基于这种方法。两个程序之间的通讯,不仅要得到IP地址,还要了解彼此的端口号码。
因此,可以通过控制对IP地址和端口的访问来进行网络管理。在设备中,仅允许接入目标IP和接口,外部操作人员可以通过手提计算机进行维修。防火墙是一种能够适应多种操作系统、防止系统或局部系统受到网络安全攻击的一种行之有效的手段。在外部运行期间,全部网络业务都要通过防火墙。另外,该防火墙是基于自定义Linux的,可以减少黑客入侵的几率。
防火墙主要有三种类型:分组过滤防火墙、状态检测防火墙和代理防火墙。通过防火墙可对网络进行快速分析,但对于那些使用了某一程序的缺陷或特性而发起的袭击或者IP地址伪造的袭击是不可能被禁止的[4]。与数据包过滤防火墙比较,该防火墙可以更好地保存TCP的链接,从而避免了用户端的暂时端口被占用。作为内部和外部主机之间的中间件,代理防火墙要比包过滤防火墙更加可靠,无需对TCP与IP的链接进行判定,而仅对可用的几个应用进行详细的检查。还可以对应用级上的全部输入数据进行日志和审核。其程序处理流程如图1所示。
图1 程序处理流程图示
本装置根据对目的IP地址的限制和端口号报文来实现过滤功能,如某个笔记本电脑的IP地址为172.20.1.234,检修设备的IP地址为172.20.1.10,其他的运行设备所处于的网段为172.20.1.0/16,所需要开通的服务为SSH,那么该装置主要所实现的内容如下:
1)iptables-P FORWARD DROP;
2)iptables-AFORWARD-d172.20.1.10-ptcp-dport 22-jACCEPT;
3)iptables-A FORWARD-s172.20.1.0/16-jACCEPT;
4)iptables-AFORWARD-f-mlimit-d172.20.1.10--limit100/s--limit-burst100-jACCEPT;
5)iptables-AFORWARD-picmp-mlimit--limit1/s--limit-burst10-jACCEPT。
需要注意的是,前3个指令为实现该笔记本电脑对于检修设备SSH服务的访问,以及允许该设备对笔记本电脑发送数据包。而后2条指令则可避免IP碎片供给,以此来对IP碎片流量进行控制。针对FTP业务,设备利用Agent防火墙来限制存取,分析FTP命令通道和数据通道,从而对FTP命令通道和数据通道进行有效检测和截获。如,FTP跳跃式攻击是通过FTP的端口来与其它装置进行链接,从而对网络装置进行破坏。它的进攻流程如图2所示。该技术难以通过包过滤的防火墙进行有效拦截,必须通过应用级的数据监控进行封锁。
图2 FTP跳转供给示意图
2 变电站手持式运维隔离装置的使用流程为了便于操作人员迅速掌握手动变电站运行的绝缘设备,文中给出了操作程序,如图3所示。
1)在设备上输入使用者名称及口令。
2)将外地维修人员携带的笔记本IP地址设定为与现场其它操作设备不同的IP地址(不能与现场其它操作设备的IP地址)相同,并将IP地址输入操作系统,并设定许可端口号码。图3的隔离设备采用了一个策略来设定接口。
图3 隔离装置使用流程
3)通过运维笔记本经网线及VGA线路访问变电站手持式运维隔离装置,并将笔记本的外接显示器模式切换至复制模式,然后确认装置能监视到笔记本的操作,如图4所示,显示了连接模式。
图4 隔离装置连接拓扑图
4)对外来人员根据该装置进行设备运维工作的监督。
5)在整个工作结束之后,需要将装置中所保存的审计材料拷贝到管理平台上。
3 实验结果及分析为了保障变电站手持式运维隔离装置自身的实用性和安全性,本文主要对其主要功能进行了详细测试。
3.1 常规运维工作的测试本文根据在监控后台和笔记本电脑连接的隔离装置,利用FTP软件来测试传输不同文件大小的功能情况,以重复10次为一组,测试数据结果如表1所示。
表1 FTP文件传输测试数据结果
利用设备厂家软件对手持式运维隔离装置进行配置,对在不同智能设备装软件的成功率进行统计,具体数据如下页表2所示。
根据表1与表2数据统计分析可以明确,该装置无论是在文件传输上还是在不同智能设备的软件安装上都有着100%的成功率,表示该装置在实际应用中可靠性极高。
表2 设备配置测试结果
3.2 网络访问控制的分析将手提计算机与1个绝缘设备相连,其中包含VGA线路和网络线路。把该隔离器件的其它端口与开关相连,该开关与1台主机和1台智能型设备相连。在分离设备中,操作系统目标IP是172.20.1.10,允许端口为22。该电脑可以通过Filezilla软件,对Filezilla的所有连接要求进行拦截。
上述实验表明,本装置能够满足变电站的现场运维实际需求。
4 结语通过对变电站外部维护人员的安全隐患进行研究,给出了相应的技术措施,并对其组成进行了较为详尽的介绍。该设备采用了防火墙技术,并集成了运行审计、网络诊断和U盘控制等多种技术,以满足实际维修工作的需要,从而减少网络的安全性。确保变电站的电网运行管理工作顺利进行。该设备具有如下优点:
1)适用于不同厂商的测试,具有良好的兼容能力。
2)装置重量轻,便于搬运。
3)可对网络的恶意袭击进行有效拦截。
4)可对外部维护人员的作业进行高效审核。
5)使用Linux,防止恶意程序对网络进行访问。
6)突破原来的管理方式。
目前,本系统已经在多个变电站进行了试验,试验表明,其运行效果符合维修要求,有较大的应用前景。
