监控系统厂站端二次安全防护业务连通性测试思考卢沛坚

监控系统厂站端二次安全防护业务连通性测试思考卢沛坚

卢沛坚

（东莞供电局东莞523000）

摘要：随着信息化的高速发展，信息安全的形势日趋复杂和严峻。一方面是黑客攻击手段的多样化和工具化，使得攻击的发生变得更加容易。另一方面，系统的漏洞不断增加使得系统变得更加脆弱。因此，有效地对电力二次系统进行安全防护评估和等级保护测评是提升信息系统的安全防护能力、保证服务质量和企业核心数据的必经之路。为保障电网安全稳定运行同时。保证各安全防护设备配置部署后，是否满足功能与性能的要求，需要做出正确的判断，利用组建后的网络环境拓扑，对网络进行测试，测试的内容包括：控制区与非控制区的相关内容测试。

关键词：控制区；非控制区；调度数据网络；防火墙；加密装置

0.引言

按照原国家电监会《关于组织开展电力二次系统安全防护评估试点工作的通知（办安全函[2012]191号）》和南方电网公司有关文件要求，广东电网公司将按照“定级备案为基础，安全评估为指引，建设整改为主线”的总体思路，一方面依据原国家电监会和南方电网公司有关要求，继续深入开展电力二次系统安全防护，开展全省电力二次系统信息安全等级保护定级。杜绝因电力二次系统安全事件引发电力安全事故，确保公司电力二次系统安全稳定运行。为保障电网安全稳定运行同时。保证各安全防护设备配置部署后，是否满足功能与性能的要求，需要做出正确的判断，利用组建后的网络环境拓扑，对网络进行测试，测试的内容包括：

1）交换机安全策略检查

2）变电站实时系统业务连通性测试

3）变电站非实时系统业务连通性测试

4）变电站横向访问业务连通性测试

1.测试前要求

1.1.在系统试运行前，必须进行初验测试，用以检验系统及其相关设备是否符合运转要求。初验应在系统调测(单点测试和全网测试)合格后进行。初验测试要求各种设备处于工作状态。

1.2.初验测试的计划和内容应从单点测试和全网测试的内容中抽出，具体内容可根据单点测试和全网测试的结果确定。

1.3.初验测试的主要指标和性能达不到要求时，应重新进行系统调测。

所有初验测试在以自动化厂站端班组为主的条件下进行测试，厂家技术人员协作。初验不合格，由厂家负责及时解决产生的问题，直至验收合格。

2.交换机安全策略检查

2.1.测试目的：

验证交换机安全策略配置满足《二次系统安全防护项目策略配置要求》。

2.2.预置条件：

所有交换机配置完成。

2.3.测试过程：

2.3.1.交换机上采用静态路由配置；

2.3.2.交换机上不允许配置默认路由；

2.3.3.交换机指向地调与站内业务相关的实时业务段地址的路由配置应以业务所在VLAN的地址段为单位；

2.3.4.交换机上各VLAN的访问控制策略（ACL）主要用于交换机上各接入业务系统间的访问控制。VLAN上的访问控制策略配置可使用黑名单方式，即禁止交换机上与本VLAN无通信关系的其他VLAN地址段对本VLAN业务系统的访问，策略最后允许交换机上设置的其它路由可达地址访问本VLAN；

2.3.5.同一VLAN上的不同业务系统可采用PVLAN进行隔离。

2.3.6.禁止开通telnet、ftp、http等高风险服务。

2.3.7.设备登录账号采用强口令。

3.变电站实时系统业务连通性测试

3.1.测试目的：

测试变电站实时业务系统各通信机之间的连通性，包括链路连通，和业务连通。

测试拓扑：

测试业务指向图

3.2.测试前检查

对加密装置做以下检查：

3.2.1.装置上不允许配置默认路由；

3.2.2.路由配置应细化到有通信关系的业务系统所在业务网段；

3.2.3.在装置上为每一互联的远程站点分别建立加密隧道；

3.2.4.控制区业务远程通信一律必须经过加密隧道；

3.2.5.在每一加密隧道上应按照控制区业务系统的通信关系，施加访问控制策略，控制策略必须细化到业务系统具体的IP地址，业务端口号，链接方向；

3.2.6.网络服务功能除ICMP可按“明通”配置外，其他网络服务一律禁止开通。

3.2.7.禁止开通telnet、ftp、http等高风险服务；

3.2.8.对加密认证装置的操作采用操作员卡，操作员卡的PIN码应采用强口令；操作员卡应由操作员妥善保管，平时操作员卡不得随机插在装置上；

3.2.9.检查装置的出厂默认口令有无更改。

3.3.预置条件：

3.3.1.中调、地调已经完成实时业务系统通信机接入调度数据网并保证运行正常。

3.3.2.变电站已经完成实时业务系统通信机接入调度数据网并保证运行正常。

3.4.测试过程：

3.4.1.在地调实时业务系统通信机（如EMS、保信系统）发起与变电站实时业务系统通信机（如RTU、保信系统）的ping或业务连接。

3.4.2.在变电站实时业务系统通信机（如远动、保信系统）发起与地调实时业务系统通信机（如远动、保信系统）的ping或业务连接。

3.5.预期目标：

3.5.1.地调EMS系统通信机能ping通变电站远动系统通讯机。

3.5.2.变电站RTU系统通信机能ping通地调EMS系统通讯机。

3.5.3.地调保信系统通信机能ping通变电站保信系统通讯机。

3.5.4.变电站保信系统通信机能ping通地调保信系统通讯机。

4.变电站非实时系统业务连通性测试

4.1.测试目的：

测试地调-变电站非实时业务系统各通信机之间的连通性

4.2.测试前检查

在纵向防火墙上面,对其配置做以下检查：

4.2.1.纵向边界防火墙的安全策略应采用以白名单方式进行配置，即只开放有业务系统通信关系的业务系统IP地址、业务端口号，策略最后以一条全部禁止的策略作为结尾；

4.2.2.网络服务功能除开通必需的网管协议及ICMP外，其它服务一律禁止。

4.2.3.防火墙设备应启用防SYNAttack、ICMPFlood、UDPFlood、teardrop、PingofDeath、land、端口扫描等功能。

4.2.4.禁止开通telnet、ftp、http等高风险服务；

4.2.5.设备登录账号采用强口令。

4.3.预置条件：

4.3.1.地调已经完成非实时业务系统通信机接入调度数据网并保证运行正常。

4.3.2.变电站已经完成非实时业务系统通信机接入调度数据网并保证运行正常。

4.4.测试过程：

4.4.1.在中调/地调实时业务系统通信机（如电子发令、计量）发起与变电站实时业务系统通信机（如电子发令、计量）的ping或业务连接。

4.4.2.在变电站实时业务系统通信机（如电子发令、计量）发起与地调实时业务系统通信机（如电子发令、计量）的ping或业务连接。

4.5.预期目标：

4.5.1.中调、地调计量系统通信机能ping通变电站计量系统通讯机。

4.5.2.变电站计量系统通信机能ping通中调、地调计量系统通讯机。

5.变电站横向访问业务连通性测试

5.1.测试目的

测试变电站－地调、中调保信系统需走非实时网络时通信机之间的连通性，包括链路连通，和业务连通。

5.2.测试前检查

在横向防火墙设备上面，对其配置做以下检查：

5.2.1.防火墙上采用静态路由配置；

5.2.2.防火墙上不允许配置默认路由；

5.2.3.防火墙上指向非实时VPN业务段地址的路由可使用汇总路由；

5.2.4.防火墙上指向实时业务段地址的路由应细化到相关业务系统主机地址；

5.2.5.控制区具有使用调度数据网非实时VPN进行远程通信的系统，应使用防火墙的NAT功能，在非控制区的非实时互联VLAN的地址段上映射一个地址；

5.2.6.对控制区业务系统在非控制区的映射地址必须施加访问控制策略。策略原则是：只允许控制区系统通过其非控制区的映射地址，正向访问调度数据网非实时VPN上的相关业务地址；不允许调度数据网非实时VPN的网络和业务地址反向访问控制区业务系统在非控制区的映射地址。

5.2.7.防火墙设备应启用防SYNAttack、ICMPFlood、UDPFlood、teardrop、PingofDeath、land、端口扫描等功能。

5.2.8.禁止开通telnet、ftp、http等高风险服务；

5.2.9.设备登录账号采用强口令。

5.3.预置条件：

5.3.1.各变电站已经完成实时/非实时业务系统通信机接入调度数据网并保证运行正常。

5.3.2.地调已经完成实时/非实时业务系统通信机接入调度数据网并保证运行正常。

5.3.3.中调已经完成实时/非实时业务系统通信机接入调度数据网并保证运行正常。

5.4.测试过程：

5.4.1.各变电站保信系统通信机ping通中调保信系统通信机非实时地址。

5.4.2.各变电站保信系统通信机ping通地调保信系统通信机非实时地址。

5.5.预期目标：

5.5.1.各变电站保信系统通信机能ping通中调保信系统通信机非实时地址。

5.5.2.各变电站保信系统通信机能ping通地调保信系统通信机非实时地址。

6.实时边界NAT测试

6.1.测试目的：

验证子站实时业务能通过边界防火墙，访问主站的虚拟非实时地址。

6.2.测试拓扑：

6.3.预置条件：

6.3.1.测试机接入到业务交换机上；

6.3.2.业务交换机和防火墙配置完毕；

6.3.3.非实时业务互联接口及路由配置完毕。

6.3.4.NAT配置完毕。

6.4.测试过程：

测试机使用PING命令检查到地调网络连通性是否正常。

6.5.预期目标：

网络运行正常，业务正常。

7.变电站纵向加密装置ByPass测试

7.1.测试目的：

验证关闭所有的纵向加密装置后，通过ByPass的明文模式传送数据

7.2.预置条件：

已成功部署加密装置并远动、保证业务系统通信正常。

7.3.测试过程：

7.3.1.同时关闭所有的纵向认证加密装置电源。

7.3.2.同时启动所有的纵向认证加密装置电源。

7.4.观察命令：

实时业务终端与实时业务前置服务器相互ping的ICMP包，网络没有丢包现象。

7.5.预期目标：

7.5.1.当同时关闭所有纵向加密认证装置电源后，约丢失约60个ICMP包后，自动通过明文模式，恢复网络通信。

7.5.2.当同时启动所有纵向加密认证装置电源后，约丢失约110个ICMP包后，自动通过加密模式，恢复网络通信。

8.Vlan间业务系统访问控制测试

8.1.测试目的：

验证主站及子站Vlan间相关的业系统可以互访，不同的业务系统不能互访。

8.2.预置条件：

所有设备配置完成。

8.3.测试过程：

8.3.1.在主站的“控制区交换机”上面，接入2台远动服务器，划分进vlan100，在远动-1同时ping远动-2，观察网络通信状态。

8.3.2.在主站的“非控制区交换机”上面，接入2台计量服务器和2台保信服务器，分别划分进vlan199，在计量-1同时ping计量-2和保信-1，观察网络通信状态；同理，在保信-1同时ping保信-2和计量-1，观察网络通信状态。

8.3.3.在子站的“控制区交换机”上面，接入2台远动服务器和2台模拟服务器，分别划分进vlan100，在远动-1同时ping远动-2和模拟-1，观察网络通信状态；同理，在模拟-1同时ping模拟-2和远动-1，观察网络通信状态。

8.3.4.在子站的“虚设的非控制区交换机”上面，接入2台计量服务器和2台保信服务器，分别划分进vlan199，在计量-1同时ping计量-2和保信-1，观察网络通信状态；同理，在保信-1同时ping保信-2和计量-1，观察网络通信状态。

8.4.预期目标：

同一业务系统之间可以互相通信，不同业务系统之间不能通信。

参考文献：

1.发改委14号令[S]，《电力监控系统安全防护规定》,2014-8-1

2.国家能源局【2015】36号[S]，“关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知，2015年3月12日

3.调自[2008]19号[S]，《南方电网电力二次系统安全防护技术实施规范》，2015年9月19日

4.《广东电网电力二次系统安全防护实施规范》[S]，

5.《广东电力调度数据网及调度生产业务系统IP地址规划（东莞供电局分册）》[S]，

6.《广东电力调度数据网业务段IP地址使用说明-地区供电局部分》[S]，

7.《广东电网电力二次系统安全防护项目之设备命名指导意见》[S]，

8.《地区供电局电力二次系统安全防护项目之安全策略配置指南》[S]，

9.《电力二次系统安全防护总体方案》（电监安全[2006]34号）

10.《信息安全等级保护管理办法》[S]，（公通字[2007]43号)

11.《关于开展电力行业信息系统安全等级保护定级工作的通知》[S]，（电监信息[2007]34号）

12.《关于组织开展电力二次系统安全防护评估试点工作的通知》[S]，（办安全函[2012]191号）

13.《中国南方电网电力二次系统安全防护技术规范》[S]，（Q/CSG110005-2012）

14.《广东电网电力二次系统安全防护实施规范》（广电生[2008]117号）

15.《广东电力二次系统网络与信息安全管理规定》（S.00.00.00/DP.0400.0009）

16.《广东电网公司信息安全等级保护实施方案》（广电信[2009]27号）

17.《电力行业信息系统安全等级保护基本要求》（电监信息[2012]62号）

卢沛坚,1975—，男，电气工程师，自动化厂站端检修修调试员技师，继保技师,主要从事变电站继保自动化的运维技术、电力二次系统安全防护方面的研究工作

职创项目：厂站端二次安防集成策略一键生成工具，项目编号：031900KK52170028