李榮智

【摘要】 電網(wǎng)二次安全防護系統(tǒng)的重點是確保電網(wǎng)調度自動化系統(tǒng)及數(shù)據(jù)網(wǎng)絡的安全。提高電網(wǎng)二次安全防護系統(tǒng)的使用性能，就會直接提高電網(wǎng)調度自動化系統(tǒng)的運行穩(wěn)定性，確保為調度部門提供一個安全、穩(wěn)定的調度決策平臺，從而做出正確決策。本文結合國網(wǎng)開封供電公司實際，對如何提高二次安全防護系統(tǒng)的實用性進行簡析。

【關鍵詞】 電網(wǎng) 二次安全 防護

一、現(xiàn)狀調查

對2013年第四季度電網(wǎng)二次安全防護系統(tǒng)存在的不安全因素，進行了統(tǒng)計。其中因IDS誤報漏報、設備宕機、網(wǎng)絡故障、電源故障和其他原因導致的維護總時間分別為189.5、44.5、13.5、2.0和4.5小時，累計維護時間為189.5、234.0、247.5、249.5和254.0，累計比例分別為74.60%、92.13%、97.44%、98.23%和100%。

2013年，電網(wǎng)二次安全防護系統(tǒng)累計維護時間254小時，而電網(wǎng)二次安全防護系統(tǒng)的可用率不高于86.31%，低于《開封電網(wǎng)調度自動化運行管理規(guī)程》和《電力調度技術標準匯編》中單機系統(tǒng)可用率不小于95%的要求。

而從表中我們可以對比得出，影響電網(wǎng)二次安全防護系統(tǒng)實用性的最主要問題是：IDS誤報漏報。因此，只要消除IDS誤報漏報這一問題，就可以大幅度提高電網(wǎng)二次安全防護系統(tǒng)的實用性。

二、原因分析

依據(jù)現(xiàn)狀調查表，從人、機、料、法、環(huán)五個方面著手，利用魚刺圖追本溯源，對IDS誤報漏報率的原因進行分析，尋找出7條末端原因：系統(tǒng)規(guī)則、策略不完善；經(jīng)驗不足；責任心不強；人力缺乏；數(shù)據(jù)源存在后門和代理；誤操作；系統(tǒng)存在漏洞和開放端口。

三、解決措施

實施1：完善系統(tǒng)監(jiān)測規(guī)則和策略

①過濾誤報。對系統(tǒng)產(chǎn)生的告警，根據(jù)所監(jiān)控的具體網(wǎng)絡環(huán)境可以判斷為明顯誤報時，可以設置為不告警。比如：某個機器被告警有木馬，而這個機器肯定沒有開放相應端口或者沒有被種植木馬；或者是某些特定應用引起的某種類型報警，這時對于只是針對某個系統(tǒng)的情況，設置對此系統(tǒng)IP不告警、不記入數(shù)據(jù)庫。

②過濾不關心告警。入侵檢測系統(tǒng)可以報告很多類型告警事件，比如登錄成功、登錄失敗及探測掃描等。有些事件對于事后分析非常有幫助，但日常監(jiān)控界面上大量的這些事件有時會影響對主要事件的關注，因此需要標注那些不關心的事件讓其不顯示，但仍然記錄進數(shù)據(jù)庫。

③定制關心的安全事件。通過查詢系統(tǒng)我們發(fā)現(xiàn)，安全廠商僅僅通過定義規(guī)則來檢測常見的應用、系統(tǒng)攻擊事件，而針對具體應用系統(tǒng)的攻擊行為和網(wǎng)管人員自身關心的事件可能沒有涉及。因此我們針對這一特點，尋求廠商的支持，添加對應規(guī)則。

④正確判斷誤報。根據(jù)網(wǎng)絡環(huán)境進行判斷，具體判斷過程中會有跡象可尋。常見的誤報通常會導致大量報警，這樣在入侵檢測系統(tǒng)運行一段時候后，使用日志分析工具對所有告警進行一個統(tǒng)計分析，選取告警數(shù)據(jù)前10位的告警，通過對這些告警進行分析，協(xié)助進行判斷，從而達到減少誤報漏報才來的影響。

實施1完成后，大大較少了維護人員對二次安全防護系統(tǒng)的維護工作量，提高了二次安全防護系統(tǒng)的實用性。同時，也從側面減輕了人力缺乏對系統(tǒng)穩(wěn)定運行帶來的影響。

實施2：修補系統(tǒng)漏洞，關閉系統(tǒng)業(yè)務無關的端口及服務

對IDS系統(tǒng)的系統(tǒng)漏洞進行了檢測，并及時修補相關補丁。同時，經(jīng)過和廠商相關技術人員的交流，及對電網(wǎng)調度自動化相關業(yè)務的統(tǒng)計和其所使用服務、端口的分析，關閉與電網(wǎng)調度自動化系統(tǒng)無關的業(yè)務端口及服務。同時，還將修補漏洞工作寫入班組日常工作內容，以達到及時修補新發(fā)現(xiàn)漏洞的目的。

實施2完成后，使電網(wǎng)二次安全防護系統(tǒng)的實用性得到了進一步的加強，從而能夠有效的保障電網(wǎng)調度自動化系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行。

實施3：開展技能培訓

邀請科技公司的安全工程師向調度自動化班的全體成員講解了電網(wǎng)二次安全防護系統(tǒng)的整體結構、聯(lián)接關系、維護方法以及故障處理等過程。培訓后，工作人員對電網(wǎng)二次安全防護系統(tǒng)的故障預判、處理及分析能力大大提高，各項工作能力均得到了顯著提升。

四、效果檢查

對2014年第四季度，電網(wǎng)二次安全防護系統(tǒng)存在的不安全因素，進行了再次統(tǒng)計。

其中因設備宕機、網(wǎng)絡故障、IDS誤報漏報、電源故障和其他原因導致的維護總時間分別為32.0、8.5、7.5、0.5和3.0小時，累計維護時間為32.0、40.5、48.0、48.5和51.5，累計比例分別為62.13%、78.64%、93.20%、94.17%和100%。不難看出，2014年第四季度，電網(wǎng)二次安全防護系統(tǒng)累計維護時間51.5小時，比去年同期的254.0小時，減少了79.72%。而且，IDS誤報漏報已經(jīng)不是影響電網(wǎng)二次安全防護系統(tǒng)實用性的主要問題。因此，本課題成功降低了IDS的誤報率和漏報率，提高了電網(wǎng)二次安全防護系統(tǒng)的實用性。

通過三個月的效果檢查，電網(wǎng)二次安全防護系統(tǒng)的可用率高于97.38%，達到并超過了95%的目標值，說明本課題是持續(xù)有效的。