新网络安全形式下测控装置通信异常分析.docx

          新网络安全形式下测控装置通信异常分析                     摘要：对一起变电站测控装置大面积出现通信中断后瞬时复归的异常现象进行深入分析，并提出解决措施及维护建议。通过对变电站测控装置的运行状况、间隔层交换机报文分析，态势感知系统的报文分析，论证出测控装置通信瞬时中断的直接原因为新上的态势感知系统产生的网络广播报文数量过多，超出测控装置网络通信处理能力而导致的。针对此次故障原因，修改态势感知系统网络运行参数文件，调整态势感知系统的广播报文。修改后对变电站装置的运行情况进行观察，没有再出现测控装置通信中断后瞬时复归的现象。 关键词：网络态势感知；测控装置；交换机广播报文；通信中断 1 测控装置及网络态势感知简介 1.1 测控装置 变电站测控装置一种变电站自动化系统间隔层智能电子设备，实现一次、二次设备信息采集处理和信息传输，接收控制命令，实现对受控对象的控制。500kV某变电站（以下简称变电站）采用较为成熟的RCS-9700C装置，装置通过间隔层网络交换机，与监控后台和智能测控机进行通信，保证变电站遥信和遥测数据的正常采集和上送。RCS-9700C装置配有2个网口，网口1和网口分别接站内监控系统局域网A、B网，采集到的装置数据经交换机实现与监控后台和智能测控机传送实时数据。变电站间隔层网络连接示意图如图1所示。 图1 变电站间隔层测控装置网络连接示意图 1.2网络态势感知 网络态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，态势感知的其中一项内容为：感知网络资产，感知资产的方法主要有主动探测和被动分析。主动探测主要用于对未知网络下的资产发现探测，被动分析主要用于7×24小时持续性的监听已知网络下的未发现资产。 2 故障简述 2020年6月10日，500kV某变电站部分装置出现异常重启以及通信莫名其妙中断的现象，影响监控系统和测控系统的正常运行。故障发生前站里正在进行态势感知系统的安装调试工作。 3 现场检查分析测试 3.1 测控装置运行情况检查 检查变电站所有测控装置运行指示灯正常，无告警指示灯亮，从表面上看不出异常问题。 3.2 测控通信中断报文分析 变电站监控后台频繁报测控装置闭锁然后又复归，时间间隔约为700至800毫秒左右，比如#4主变35kV电容器测控装置闭锁，站用变及380V测控装置闭锁等，都出现测控装置瞬时闭锁然后又复归的现象。 3.3 测控装置网卡检查 打开调试笔记本电脑，使用ping命令分别对RCS-9700C测控装置A、B网的通道网口进行持续15分钟的通信测试，无丢包现象。证明RCS-9700C测控装置网口是好的，初步判断问题也不在网卡处。 3.4 间隔层交换机报文分析 由于是多台测控装置都出现通信瞬时中断又复归的现象，我们怀疑是网络方面的问题导致的，然后就对间隔层交换机进行抓包分析。通过报文流量分析可以看出，态势感知装置在网络上频繁的发送ARP广播报文，以及ICMP询问方式发出的大量UDP广播报文，都对网络产生了很大的冲击。 4 原因分析及处理措施 4.1 原因分析 经与现场了解，测控通信中断异常现象是在现场部署态势感知装置后出现，之前站内的测控装置之前一直都处于稳定运行状态。根据交换机的报文分析结果，基本上就可以确定是态势感知装置的网络报文对测控装置的稳定运行产生了影响。 为进一步分析，我们按照电力行业标准《变电站测控装置技术规范》要求，对变电站间隔层交换机进行网络压力测试。根据测试结果，证明RCS9700系统测控装置由于是南瑞继保公司早一代测控产品，对于网络风暴处理的能力有限，因此，频繁的广播报文对于装置的稳定运行会产生影响，如果网络广播流量过大，网络广播报文持续流量达到3.2Mbit/s时，由于测控装置处理能力有限，可能会造成其他任务在10s周期内得不到及时执行，看门狗动作，从而测控装置复位，引起通讯中断。 图2 网络压力测试方案图 4.2 处理措施 根据以上分析，可发现导致测控重启的原因是由于态势感知装置在网络上频繁的发送ARP广播报文，以及ICMP询问方式发出的大量UDP广播报文引起的网络广播流量过多。 为了解决态势感知装置对站内RCS9700C测控装置运行造成的影响，考虑实际运行情况，我们联系态势感知厂家，现场完善态势感知装置的网络扫描功能，包括ICMP扫描、NMAP扫描，减少广播报文流量。从态势感知装置ICMP询问方式和nmap扫描方式方面进行优化、完善，减少网络上的ARP广播与ICMP广播报文。ARP广播规则修改为1帧/s的轮询方式，避免网络上阶段性大规模流量的出现，减小对测控装置造成的冲击。 5 态势感知主机参数调整后的运行情况 将变电站态势感知装置的网络扫描相关参数进行优化后，持续抓取间隔层交换机报文进行分析，经过近5小时的运行观察，测控装置没有再次出现异常重启和通信中断的现象，证明确实是由于新上的态势感知系统网络流量过大，超出变电站测控装置网络流量处理能力而引发的故障。 6 防范措施 为了解决态势感知装置对站内RCS-9700C测控装置运行造成的影响，建议在新上态势感知系统前，先进行网络压力测试，不能盲目跟风建设网络安全体系，要先进行现场网络环境测试评估，选取最适合的网络安全解决方案。 同时建议对变电站进行技术改造，因为目前现场RCS-9700系列测控装置均已运行8到12年以上，也需要逐步进行技术改造了。 8 结语 通过对变电站RCS-9700C测控装置通信瞬时中断又复归异常现象进行深入检查与分析，查找出测控装置通信故障的原因由于新上的态势感知系统造成网络流量过大而导致的，并提出针对性的解决措施。为了防止类似故障的再次发生，提出了相应的防范措施，为测控装置故障处理提供参考价值。 参考文献： 【1】袁宁;徐新军;冯太萍;江忠龙; 浅析微机测控保护装置中的“四遥”系统 自动化与仪器仪表，Automation & Instrumentation，2009，03 【2】 DL/T 1512-2016，变电站装置技术规范.   -全文完-