提高电网二次安全防护系统实用性简析.docVIP

提高电网二次安全防护系统实用性简析 　　【摘 要】 电网二次安全防护系统的重点是确保电网调度自动化系统及数据网络的安全。安全防护的重要措施是强化边界防护，同时对内部安全防护提出要求。提高电网二次安全防护系统的使用性能，就会直接提高电网调度自动化系统的运行稳定性，确保为调度部门提供一个安全、稳定的调度决策平台，从而做出正确决策。本文就结合国网开封供电公司（以下简称“开封公司”）的实际，就如何提高电网二次安全防护系统的实用性做简要分析。 【关键词】 电网 二次防护 实用性 1 专业背景 对电力企业来讲，电网调度部门需要通过调度自动化系统，及时掌握电网运行状态，做出正确决策，必须要保障调度自动化系统的稳定性，抵御黑客、病毒、恶意代码等各种形式的侵害。可是，对部分电力企业来说，电网二次安全防护系统实用性不高，必须采取一定措施提高性能，才能更好保障调度自动化系统安全稳定。 开封公司2011年第四季度电网二次安全防护系统存在的不安全因素统计显示，电网二次安全防护系统累计维护时间254小时。维护时间较长，如若存在突发时间，可能造成系统可用率低于《调度自动化运行管理规程》和《电力调度技术标准汇编》中单机系统可用率不小于95%的要求。 而结合开封公司实际调查发现，影响电网二次安全防护系统实用性的最主要问题是：IDS误报漏报。要解决电网二次安全防护系统的不安全因素，首先要解决IDS误报漏报这一问题。 2 原因分析 对IDS误报漏报率的原因进行分析，寻找出7条末端原因： （1）经验不足：电网二次安全防护系统投入运行只有一年，维护人员对系统的掌握大多停留在表面，对攻击告警信息的分析能力不够。 （2）人力缺乏“班组人员共计5人，肩负开封地区地调主站、四个集控站的调度自动化系统，子站的自动化设备，以及调度数据专网、电量计费等系统的维护工作。但是，由于班组定员数量是依照全公司的工作需求，进行合理分配的结果，不属于我们的调配范围，因此不是关键因素。 （3）责任心不强：维护人员有时候抱侥幸心理，延长巡视间隔时间，不能自觉进行巡视工作。 （4）规则策略不完善：部分规则策略的检测条件过于严格，在抓到几乎所有的攻击行为的同时，但可能导致一些误报；部分规则策略的检测条件过于放松，这就导致漏过一些攻击 （5）存在后门或代理：安全防护大区外部存在后门或代理，时刻威胁调度自动化系统的安全稳定运行。 （6）误操作：使用方法存在过失，经常习惯性操作导致误操作。 （7）系统存在漏洞和开放端口：系统开放与业务无关的端口，提供与业务无关的服务，存在系统漏洞，尤其是新被发现的漏洞。 综上分析结果不难发现，导致IDS误报漏报的要因就是： （1）规则策略不完善。 （2）存在漏洞和开放端口。 （3）经验不足。 3 对策措施 实施1：完善系统监测规则和策略。 （1）过滤误报。对系统产生的告警，根据所监控的具体网络环境可以判断为明显误报时，可以设置为不告警。 （2）过滤不关心告警。入侵检测系统可以报告很多类型告警事件，比如登录成功、登录失败及探测扫描等。有些事件对于事后分析非常有帮助，但日常监控界面上大量的这些事件有时会影响对主要事件的关注，因此需要标注那些不关心的事件让其不显示，但仍然记录进数据库。 （3）定制关心的安全事件。通过查询系统我们发现，安全厂商仅仅通过定义规则来检测常见的应用、系统攻击事件，而针对具体应用系统的攻击行为和网管人员自身关心的事件可能没有涉及。因此我们针对这一特点，寻求厂商的支持，添加对应规则。 （4）正确判断误报。根据网络环境进行判断，具体判断过程中会有迹象可寻。常见的误报通常会导致大量报警，这样在入侵检测系统运行一段时候后，使用日志分析工具对所有告警进行一个统计分析，选取告警数据前10位的告警，或者直接在控制台界面上选取告警率比较高的报警，通过对这些告警进行分析，协助进行判断，从而达到减少误报漏报才来的影响。 实施1：减少了IDS的误报率和漏报率减少了维护人员对二次安全防护系统的维护工作量，提高了二次安全防护系统的实用性。同时，也从侧面减轻了人力缺乏对系统稳定运行带来的影响。 实施2：修补系统漏洞，关闭系统业务无关的端口及服务。 对IDS系统的系统漏洞进行了检测，并及时修补相关补丁。同时，经过和厂商相关技术人员的交流，关闭与电网调度自动化系统无关的业务端口及服务。 实施2基本完全抵制了攻击利用系统漏洞和相关端口、服务，绕过IDS系统进行攻击的方法，使电网二次安全防护系统的实用性得到了加强，能够有效的保障电网调度自动化系统的安全、稳定、经济运行。 实施3：开展技能培训。 聘请技术工程师向调度