1、电力二次系统安全防护培训2014年年12月月优先级优先级风险风险说明说明/举例举例0旁路控制旁路控制(Bypassing Controls)入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。1完整性破坏完整性破坏(Integrity Violation)非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数据。2违反授权违反授权(Authorization Violation)电力控制系统工作人员利用授权身份或设备,执行非授权的操作。3工作人员的随意行为工作人员的随意行为(Indiscretion)电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问
2、控制规则等。4拦截拦截/篡改篡改(Intercept/Alter)拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用非法使用(Illegitimate Use)非授权使用计算机或网络资源。6信息泄漏信息泄漏(Information Leakage)口令、证书等敏感信息泄密。7欺骗欺骗(Spoof)Web服务欺骗攻击;IP 欺骗攻击。8伪装伪装(Masquerade)入侵者伪装合法身份,进入电力监控系统。9拒绝服务拒绝服务(Availability, e.g. DoS)向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。10窃听窃听(Eavesdroppi
3、ng, e.g. Data Confidentiality)黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击准备数据。二次系统主要安全风险二次系统主要安全风险二次安防实施背景电网控制设备故障可能引发或扩大电网事故2000年10月13日二滩电站收外网信号突甩出力89万千瓦2001年10月1日全国146套故障录波器出现时间逻辑炸弹2003年12月30日三峡送出工程三个换流站感染病毒2008年8月奥运期间涉奥电网受到外网攻击8939次2010年9月,“震网”病毒攻击伊朗核电站设施2003年8月14日美国和加拿大停电2006年11月4日欧洲电网解列停电2007年末08年初我国南方冰雪
4、灾害电网受损2008年5月12日我国汶川地震电网受损2009年11月1日和2011年2月4日巴西电网停电2011年3月,日本9.0级大地震引发海啸导致福岛核电危机二滩水电厂异常停机事件;二滩水电厂异常停机事件;故障录波装置故障录波装置“时间逻辑炸弹时间逻辑炸弹”事件;事件;换流站控制系统感染病毒事件;换流站控制系统感染病毒事件;电力二次系统安全事件电力二次系统安全事件近年世界上大停电事故反近年世界上大停电事故反映出电力二次系统的脆弱映出电力二次系统的脆弱性和重要性。性和重要性。相关文件精神n发改委发改委20142014年年 第第1414号令号令n电力行业信息系统安全定级工作指导意见电力行业信息
5、系统安全定级工作指导意见20072007n关于印发关于印发电力二次系统安全防护总体方案电力二次系统安全防护总体方案等安等安全防护方案的通知(电监安全全防护方案的通知(电监安全200620063434号)号)总体方案:主要目标总体方案:主要目标出出口口出出口口外部因特网外部因特网建立电力二次系统安全防护体系,有效抵御黑客、建立电力二次系统安全防护体系,有效抵御黑客、恶意代码等各种形式的攻击,尤其是集团式攻击,重点是恶意代码等各种形式的攻击,尤其是集团式攻击,重点是保障电力二次系统安全稳定,防止由此引起电力系统事故。保障电力二次系统安全稳定,防止由此引起电力系统事故。1)系统性原则(木桶原理);系
6、统性原则(木桶原理);2)简单性原则;简单性原则;3)实时、连续、安全相统一的原则;实时、连续、安全相统一的原则;4)需求、风险、代价相平衡的原则;需求、风险、代价相平衡的原则;5)实用与先进相结合的原则;实用与先进相结合的原则;6)方便与安全相统一的原则;方便与安全相统一的原则;7)全面防护、突出重点(实时闭环控制部分)的原则全面防护、突出重点(实时闭环控制部分)的原则8)分层分区、强化边界的原则;分层分区、强化边界的原则;9)整体规划、分步实施的原则;整体规划、分步实施的原则;10)责任到人,分级管理,联合防护的原则。责任到人,分级管理,联合防护的原则。总体方案:总体原则总体方案:总体原则
7、P PolicyolicyP ProtectionrotectionD DetectionetectionR Responseesponse防护防护防护防护检测检测检测检测反应反应反应反应策略策略策略策略P PolicyolicyP ProtectionrotectionD DetectionetectionR Responseesponse防护防护防护防护检测检测检测检测反应反应反应反应策略策略策略策略防火墙、防病毒、横防火墙、防病毒、横行隔离装置、纵向加行隔离装置、纵向加密认证装置等密认证装置等入侵检测、安全审入侵检测、安全审计、安全综合告警计、安全综合告警等等快速响应、调度系统快速响应、
8、调度系统联合防护、网络快速联合防护、网络快速处理等处理等总体方案:防护模型和技术路线总体方案:防护模型和技术路线综合采用通用安全技术,开发关键专用安全技术。综合采用通用安全技术,开发关键专用安全技术。 电力二次系统安全防护体系4、纵向认证、纵向认证3、横向隔离、横向隔离生产控制大区管理信息大区防火墙2、网络专用、网络专用1、安全分区、安全分区在对电力二次系统进行了全面系统的安全分在对电力二次系统进行了全面系统的安全分析基础上,提出了析基础上,提出了十六字十六字总体安全总体安全防护策略防护策略。总体方案:安全分区总体方案:安全分区实时子网非实时子网纵向加密认证装置控制区(安全区 I)非控制区(安
9、全区 II)外部公共因特网电力企业数据网防火墙防火墙纵向加密认证装置纵向加密认证装置纵向加密认证装置控制区(安全区 I)非控制区(安全区 II)防火墙防火墙专线专用安全隔离装置专用安全隔离装置(正向型)(反向型)生产控制大区生产控制大区管理信息大区管理信息大区专用安全隔离装置专用安全隔离装置(正向型)(反向型)逻辑隔离设施逻辑隔离设施调度数据网根据需要设立若干业务安全区根据需要设立若干业务安全区总体方案:网络专用总体方案:网络专用总体方案:横向隔离 物理隔离装置(正向型物理隔离装置(正向型/反向型)反向型)2022-3-1917电力专用网络安全隔离设备n正向型设备n反向型设备2022-3-19
10、隔离设备作用正向型网络安全隔离设备正向型网络安全隔离设备采用软、硬结合的安全措施,在硬件上使用双嵌入式计算机结构,通过安全岛装置通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。将外网到内网传递的应用数据大小限定为1个bit,保证从低安全区到高安全区的TCP应答禁止携带应用数据。反向型网络安全隔离设备反向型网络安全隔离设备文件发送软件,实现E语言文件计划自动或手动地从外网到内网的传输,传输过程中,发送端程序对外网数据进行双字节转换及数字签名,设备比对签名进行验证,对验证通过的报文再进行双字节检
11、查,这样检查通过的报文才可以进入内网,以保证内网系统的安全。2022-3-19物理隔离装置接口/型号型号型号性能分:性能分: 普通型普通型 增强型增强型功能分:功能分: 正向、反向正向、反向接口配置接口配置两个CONSOLE口(管理设备用)两个COM口(输出告警信息)四个10/100M 网卡(2内+2外)两个电源插座、两个电源开关2022-3-19安全岛原理示意图数据到达接口机A,这时接口机A与安全半岛间,安全半岛与接口机B间均处于断开状态。接口机A确认数据可以通过后,与安全半岛连通,将数据送上安全半岛。然后断开与安全半岛的连接。接口机A通知接口机B,安全半岛上有待收数据。接口机B与安全半岛连
12、通,取走数据,然后断开与安全半岛的连接接口机B根据收到的数据,组织报文,将数据发出。反方向只有单个比特位。接口机接口机A A安全半岛安全半岛接口机接口机B B断开断开断开断开接口机接口机A A安全半岛安全半岛接口机接口机B B断开断开接口机接口机A A安全半岛安全半岛接口机接口机B B断开断开接口机接口机A A安全半岛安全半岛接口机接口机B B断开断开断开断开2022-3-19物理隔离装置正向型(高安全区到低安全区)正向型(高安全区到低安全区)通过配置,可以建立非穿透的TCP连接反向仅能传输1bit的确认数据反向型(低安全区到高安全区)反向型(低安全区到高安全区)仅能传输E文本,不能建立数据连
13、接客户端程序需加装数字证书,对数据进行加密认证纵向加密认证装置纵向加密认证装置纵向加密认证装置纵向加密认证装置总体方案:纵向认证总体方案:纵向认证在访问控制(防火墙功能)基础在访问控制(防火墙功能)基础上,同时具备加密和认证的功能上,同时具备加密和认证的功能数据网安全纵向加密装置拓扑防护纵向加密装置的算法对称加密算法:对称加密算法:用于数据加密,采用国密办指定的专用分组加密算法,分组长度128位,密钥长度128位。非对称加密算法:非对称加密算法:用于数字签名和数字信封,采用RSA1024散列算法:散列算法:用于数据完整性验证,采用国密办指定的算法或MD5随机数生成算法:随机数生成算法:采用WN
14、G-4噪音发生器芯片协商原理公开密钥密码体制(公开密钥密码体制(RSA)公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(大素数分解)在公开密钥密码体制中,加密密钥(即公钥)是公开信息,而解密密钥(即私钥)是需要保密的。加密算法和解密算法也都是公开的。虽然私钥是由公钥决定的,但却不能根据公钥计算出私钥。协商原理协商原理协商原理协商状态四种:Init:初始状态,未发送协商请求。Request:协商请求状态。Respone:协商应答状态。Opened:隧道建立成功状态。MaryRick明文密文明文加密操作解密操作公钥私钥数据传输过
15、程协商完成后,建立隧道,主机A访问主机B全过程主机A向主机B发送报文 192.168.1.1-192.168.2.1 (TCP协议)纵向装置A在0口接收到该报文,查找策略为加密策略且隧道OPEN,将整个IP报文加密并重新构造IP头,源IP为192.168.1.250,目的IP192.168.2.250,协议为ESP。192.168.1.250-192.168.2.250(ESP协议)纵向装置B在1口接收到该报文,查找对应隧道进行解密还原,策略判断。发送至eth0口。192.168.1.1-192.168.2.1(TCP协议)主机B接收到报文,产生应答。结论纵向加密认证装置更适用于实时通信纵向加
16、密认证装置更适用于实时通信问题:接收方如何知道发送方就是合法的?问题:接收方如何知道发送方就是合法的?关键技术关键技术电力调度电力调度数字证书数字证书电力调度数字证书是专用于电力调度业务需要的电力调度数字证书是专用于电力调度业务需要的数字证书,主要用于生产控制大区,可使用于交互数字证书,主要用于生产控制大区,可使用于交互式登录的身份认证、网络身份认证、通信数据加密式登录的身份认证、网络身份认证、通信数据加密及认证(包括数据完整性和数据源认证)等。及认证(包括数据完整性和数据源认证)等。地市以上调度控制中心应该建立电力调度证书系地市以上调度控制中心应该建立电力调度证书系统。统。关键技术关键技术电
17、力调度数字证书电力调度数字证书用户首先产生自己的用户首先产生自己的密钥对密钥对将自己的将自己的公钥公钥及部分及部分个人身份信息个人身份信息传送给认证传送给认证中心中心认证中心认证中心验证个人身份。验证个人身份。认证中心对用户的公钥和个人信息进行认证中心对用户的公钥和个人信息进行签名签名认证中心发给用户一个数字证书。认证中心发给用户一个数字证书。数字证书颁发过程数字证书颁发过程至此,用户就可以使用自己的数字证书进行至此,用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发相关的各种活动。数字证书由独立的证书发行机构发布。行机构发布。调度证书系统结构证书链短,认证效率高风险分散国
18、调国调 根根国调国调省调省调网调网调其他其他网调网调网调网调省调省调省调省调省调省调省调省调地调地调地调地调2022-3-1936电力专用拨号加密认证装置2022-3-1937部署位置变电站自动化系统的拨号安全防护方案调度自动化系统的拨号安全防护方案2022-3-1938应用场景按照国家电力调度中心电力二次系统安全防护要求,电力信息系统分为生产控制大区及生产管理大区,电力系统专用拨号加密认证装置主要用于生产控制大区的远程拨号安全接入,参考下图:电力系统专用拨号加密认证装置将TCP/IP网络通讯技术、IPSEC安全隧道技术以及USB KEY加密认证技术完美地融合在一起,为生产控制大区的技术维护人
19、员提供安全的远程接入,实现随时随地以拨号方式接入使用,并且无需网络或应用软件做任何改动,提高维护工作效率,同时保证信息安全。总体方案其他安全防护技术措施备份与恢复备份与恢复数据与系统备份数据与系统备份对关键应用的数据与应用系统进行备份,确保数据损坏、对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。系统崩溃情况下快速恢复数据与系统的可用性。设备备用设备备用对关键主机设备、网络的设备与部件进行相应的热备份对关键主机设备、网络的设备与部件进行相应的热备份与冷备份,避免单点故障影响系统可靠性。与冷备份,避免单点故障影响系统可靠性。异地容灾异地容灾对实时控制系
20、统、电力市场交易系统,在具备条件的前对实时控制系统、电力市场交易系统,在具备条件的前提下进行异地的数据与系统备份,提供系统级容灾功能,提下进行异地的数据与系统备份,提供系统级容灾功能,保证在规模灾难情况下,保持系统业务的连续性。保证在规模灾难情况下,保持系统业务的连续性。备份系统在一定的备份策略的引导下,通过磁带库等设备在一定的备份策略的引导下,通过磁带库等设备对系统进行备份也十分必要。对系统进行备份也十分必要。 备份系统由备份管理系统和备份设备构成。备份系统由备份管理系统和备份设备构成。备份策略备份策略 :全备份:全备份 (Full Backup) (Full Backup) ,增量备份,增
21、量备份 (Incremental Backup) (Incremental Backup) (又分:差量备份及累(又分:差量备份及累计备份)计备份)防病毒措施防病毒措施病毒防护是调度系统与网络必须的安全措施。病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区建议病毒的防护应该覆盖所有安全区I、II、III的主的主机与工作站。病毒特征码要求必须以离线的方式及机与工作站。病毒特征码要求必须以离线的方式及时更新。时更新。防火墙防火墙防火墙产品仅用于防火墙产品仅用于横向横向逻辑隔离防护,部署在安全区逻辑隔离防护,部署在安全区I与安全区与安全区II之间、安全区之间、安全区III与安
22、全区与安全区IV之间,实现两个区域之间,实现两个区域的逻辑隔离、报文过滤、访问控制等功能。的逻辑隔离、报文过滤、访问控制等功能。防火墙安全策略主要是基于业务流量的防火墙安全策略主要是基于业务流量的IP地址、协议、地址、协议、应用端口号、以及方向的报文过滤。应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的具体选用的防火墙必须经过有关部门认可的国产国产硬件硬件防火墙。防火墙。入侵检测入侵检测IDS对于安全区对于安全区I与与II,建议统一部署一套,建议统一部署一套IDS管理系统。管理系统。考虑到调度业务的可靠性,采用基于网络的入侵检测系统考虑到调度业务的可靠性,采用基于网络的入
23、侵检测系统(NIDS),其),其IDS探头主要部署在:探头主要部署在:安全区安全区I与与II的边界点、的边界点、SPDnet的接入点、以及安全区的接入点、以及安全区I与与II内的关键应用网段。其主要的功能用于捕获网络异常行为,内的关键应用网段。其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。分析潜在风险,以及安全审计。对于安全区对于安全区III,禁止使用安全区,禁止使用安全区I与与II的的IDS,建议与,建议与安全区安全区IV的的IDS系统统一规划部署。系统统一规划部署。主机防护主机防护安全配置安全配置通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的通过合理地设置系
24、统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站,应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应用严格管理系统及应用软件的安装与使用。软件的安装与使用。安全补丁安全补丁通过及时更新系统安全补丁,消除系统内核漏洞与后门。通过及时更新系统安全补丁,消除系统内核漏洞与后门。主机加固主机加固安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。计算机系统本地访问控制
25、计算机系统本地访问控制技术措施技术措施结合用户数字证书,对用户登录本地操作系统,访问操作系统资结合用户数字证书,对用户登录本地操作系统,访问操作系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。计算机系统本地访问控制需要的技术产操作行为进行安全审计。计算机系统本地访问控制需要的技术产品包括:品包括:用户证书介质,如用户证书介质,如IC卡、卡、USBKey;本地加密设备,如:加密卡、加密本地加密设备,如:加密卡、加密USBKey;访问控制安全插件,实现认证与访问控制功能;访问控制安全插件,实现认证与访问控制
26、功能;应用目标应用目标对于调度端安全区对于调度端安全区I中的中的SCADA/EMS系统,安全区系统,安全区II中的电力市场中的电力市场交易系统,厂站端的控制系统要求采用本地访问控制手段进行保交易系统,厂站端的控制系统要求采用本地访问控制手段进行保护。护。关键应用系统服务器访问控制关键应用系统服务器访问控制 技术措施技术措施调度系统内部关键应用,要求在调度系统调度系统内部关键应用,要求在调度系统CA建成后,充建成后,充分利用这一分利用这一PKI基础设施,在身份认证、授权、访问控制、基础设施,在身份认证、授权、访问控制、安全通信、行为审计方面进行安全增强。安全通信、行为审计方面进行安全增强。对于新
27、开发的关键应用系统,要求本身实现了基于调度对于新开发的关键应用系统,要求本身实现了基于调度CA证书的身份认证、授权管理、访问控制、数据通信的加证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。密与签名、以及行为审计功能。 应用目标应用目标 安全区安全区I中的中的SCADA系统应用服务器系统应用服务器安全区安全区II中的电力市场交易系统应用服务器中的电力市场交易系统应用服务器 应用系统改造应用系统改造改造原有应用(包括服务器端与客户端),调用调度改造原有应用(包括服务器端与客户端),调用调度CA提供的认证、签名、加密等提供的认证、签名、加密等API,添加必要的加密设备。
28、,添加必要的加密设备。应用程序安全应用程序安全禁止应用程序以操作系统禁止应用程序以操作系统root权限运行,应用系统合理设置用户权限,权限运行,应用系统合理设置用户权限,重要资源的访问与操作要求进行身份认证与审计,用户口令不得以明重要资源的访问与操作要求进行身份认证与审计,用户口令不得以明文方式出现在程序及配置文件中。文方式出现在程序及配置文件中。安全审计安全审计安全审计是安全管理的重要环节。目前的安全审计工作大多是手工方安全审计是安全管理的重要环节。目前的安全审计工作大多是手工方式。随着系统规模扩展与安全设施的完善,应该引入集中智能的安全式。随着系统规模扩展与安全设施的完善,应该引入集中智能
29、的安全审计系统,通过技术手段,对网络运行日志、操作系统运行日志、数审计系统,通过技术手段,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。其它措施其它措施三分技术、七分管理三分技术、七分管理电监会电监会电力企业电力企业电力调度机构电力调度机构发电厂发电厂二次安全防护技术与管理二次安全防护技术与管理总体方案:人员安全职责建立完善的安全分级负责制建立完善的安全分级负责制明确
30、各级的人员的安全职责明确各级的人员的安全职责各调度机构、发电厂、变电站的主要负责人为该单各调度机构、发电厂、变电站的主要负责人为该单位所管辖的电力二次系统的安全防护第一责任人位所管辖的电力二次系统的安全防护第一责任人各调度机构、发电厂、变电站应该指定专人负责管各调度机构、发电厂、变电站应该指定专人负责管理本单位所属电力二次系统的公共安全设施理本单位所属电力二次系统的公共安全设施各个电力二次专业应用系统应该指定专人负责该系各个电力二次专业应用系统应该指定专人负责该系统的安全管理统的安全管理指定专人负责管理本单位或本部门的电力二次系统指定专人负责管理本单位或本部门的电力二次系统的数字证书管理系统的
31、数字证书管理系统各单位业务系统的工作人员应该严格遵守各项安全各单位业务系统的工作人员应该严格遵守各项安全管理制度,保护好本人的调度数字证书等安全设施。管理制度,保护好本人的调度数字证书等安全设施。电力二次系统安全评估采用以自评估为主、检查评估电力二次系统安全评估采用以自评估为主、检查评估为辅的方式,并纳入电力系统安全评价体系。电力企业的关为辅的方式,并纳入电力系统安全评价体系。电力企业的关键部门应该建立自主的评估队伍,掌握评估技术和方法,配键部门应该建立自主的评估队伍,掌握评估技术和方法,配备必要的工具,定期进行评估,可聘请电力部门的有关单位备必要的工具,定期进行评估,可聘请电力部门的有关单位
32、联合进行评估。上级主管单位可对下级单位进行定期或不定联合进行评估。上级主管单位可对下级单位进行定期或不定期的检查性安全评估。期的检查性安全评估。电力二次系统的新系统在投运之前、老系统进行安全电力二次系统的新系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估;电整改之后或进行重大改造或升级之后必须进行安全评估;电力二次系统应该定期(每年或每两年)进行安全评估。力二次系统应该定期(每年或每两年)进行安全评估。对生产控制大区安全评估的任何记录、数据、结果等对生产控制大区安全评估的任何记录、数据、结果等禁止以任何形式携带出被评估单位。禁止以任何形式携带出被评估单位。总体方案
33、:安全评估管理总体方案:安全评估管理信息安全等级保护二次系统安全防护二次安防与等级保护关系二次安防与等级保护关系二次系统等级保护定级 根据电监会印发的电力行业信息系统等级保护定级工作指导意见(电监信息200744号),审批了生产控制系统的定级结果。 定级对象系统级别总部区域(省)地市能量管理系统(具有能量管理系统(具有SCADA、AGC、AVC等控制功能)等控制功能)43变电站自动化系统变电站自动化系统(含开关站、换流含开关站、换流站、集控站站、集控站)220kV及以上变电站为及以上变电站为3级,以下为级,以下为2级;级;集控站为集控站为3级;级;火电机组控制系统火电机组控制系统DCS(含辅机
34、控制(含辅机控制系统)系统)单机容量单机容量300MW以上为以上为3级,以下为级,以下为2级级水电厂监控系统水电厂监控系统总装机总装机1000MW以上为以上为3级,以下为级,以下为2级级电能量计量系统电能量计量系统32广域相量测量系统(广域相量测量系统(WAMS)3无无电网动态预警系统电网动态预警系统3无无调度交易计划系统调度交易计划系统3无无水调自动化系统水调自动化系统2调度管理系统(调度管理系统(OMS)22雷电监测系统雷电监测系统2电力调度数据网络(电力调度数据网络(SGDnet)32通信设备网管系统通信设备网管系统32通信资源管理系统通信资源管理系统32综合数据通信网络综合数据通信网络
35、(SGTnet)2电力二次系统安全防护评估工作l型式评估型式评估l上线安全评估上线安全评估l自评估自评估l检查评估检查评估电力二次系统安全防护评估工作l3 3、4 4级系统,应委托评估机构定期开展级系统,应委托评估机构定期开展检查评估检查评估工作,周工作,周期最长不超过三年,每年都要进行期最长不超过三年,每年都要进行自评估自评估工作。工作。l2 2级系统应由运行单位定期组织开展级系统应由运行单位定期组织开展自评估自评估工作,周期最长工作,周期最长不超过两年,也可根据情况委托评估机构开展不超过两年,也可根据情况委托评估机构开展检查评估检查评估工作。工作。国家电网公司电力二次系统相关设备及系统的开
36、发单位、供应商应电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证所提供的设备及系统符合以合同条款或保密协议的方式保证所提供的设备及系统符合电力二次系统安全防护规定电力二次系统安全防护规定和本方案的要求,并在设备和本方案的要求,并在设备及系统的生命期内对此负责。及系统的生命期内对此负责。电力二次系统专用安全产品的开发单位、使用单位及电力二次系统专用安全产品的开发单位、使用单位及供应商,应当按国家有关要求做好保密工作,禁止关键技术供应商,应当按国家有关要求做好保密工作,禁止关键技术和设备的扩散(用于其它行业以及出口到国外)。和设备的扩散(用于其它行业以及出口到国外)。电
37、力企业各运行单位的电力二次系统的安全防护实施电力企业各运行单位的电力二次系统的安全防护实施方案必须经过上级信息安全主管部门和相应电力调度机构的方案必须经过上级信息安全主管部门和相应电力调度机构的审核、批准,完工后必须经过上述机构验收。审核、批准,完工后必须经过上述机构验收。总体方案:工程实施安全管理总体方案:工程实施安全管理总体方案:工程实施安全管理新建的电力二次系统工程的设计必须符合国家、行业的新建的电力二次系统工程的设计必须符合国家、行业的有关安全防护的标准、法规、法令、规定等有关安全防护的标准、法规、法令、规定等 ;电力二次系统各相关设备及系统的供应商必须承诺:所电力二次系统各相关设备及
38、系统的供应商必须承诺:所提供的设备及系统中不包含任何安全隐患,并承担由此引提供的设备及系统中不包含任何安全隐患,并承担由此引起的连带责任,终生有效起的连带责任,终生有效 ;新接入电力调度数据网络的节点、设备和应用系统,新接入电力调度数据网络的节点、设备和应用系统,其接入技术方案和安全防护措施须经负责本级电力调度数据其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准,并送上一级电力调度机构备案。在已网络的调度机构核准,并送上一级电力调度机构备案。在已经建立安全防护体系的电力二次系统中,接入任何新的设备经建立安全防护体系的电力二次系统中,接入任何新的设备和应用及服务,必须立案申
39、请、审查批准后,方可在安全管和应用及服务,必须立案申请、审查批准后,方可在安全管理人员的监管下实施接入。理人员的监管下实施接入。接入电力二次系统的生产控制区中的安全产品,必须接入电力二次系统的生产控制区中的安全产品,必须具有公安部安全产品销售许可,获得国家指定机构安全检测具有公安部安全产品销售许可,获得国家指定机构安全检测证明,用于厂站的设备还需有电力系统电磁兼容检测证明。证明,用于厂站的设备还需有电力系统电磁兼容检测证明。接入电力二次系统的安全区接入电力二次系统的安全区及安全区及安全区中的安全产中的安全产品必须使用国产产品并经过国家有关安全部门或电力有关部品必须使用国产产品并经过国家有关安全
40、部门或电力有关部门的认证;门的认证;总体方案:设备接入管理总体方案:设备接入管理总体方案:应用及服务的接入管理电力二次专业系统的安全区电力二次专业系统的安全区及安全区及安全区中的中的PCPC机及其它微机原则上应该将软盘驱动、光盘驱动、机及其它微机原则上应该将软盘驱动、光盘驱动、USBUSB接口拆除,以防止病毒的传播;接口拆除,以防止病毒的传播;电力二次专业系统的安全区电力二次专业系统的安全区及安全区及安全区中的工中的工作站、服务器原则上不得开通拨号功能作站、服务器原则上不得开通拨号功能 ;若确需;若确需开通拨号服务,必须配置强认证机制,否则该应用开通拨号服务,必须配置强认证机制,否则该应用必须
41、与安全区必须与安全区及安全区及安全区彻底隔离彻底隔离 ;在所有电力二次专业系统的安全区在所有电力二次专业系统的安全区及安全区及安全区中的任何工作站、服务器均严格禁止以各种方式开中的任何工作站、服务器均严格禁止以各种方式开通与互联网、其它安全区及任何外部网络的连接通与互联网、其它安全区及任何外部网络的连接 ;日常运行的安全管理制度包括:门禁管理、人员管理、日常运行的安全管理制度包括:门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码(病毒及木马等)的防设备及各系统的维护管理、恶意代码(病毒及
42、木马等)的防护管理、审计管理、数据及系统的备份管理、用户口令密钥护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。及数字证书的管理、培训管理等管理制度。审计管理制度应该规定对安全设备和网络装置及关键系审计管理制度应该规定对安全设备和网络装置及关键系统的日志妥善保存,由具有特许授权的安全管理人员对日志统的日志妥善保存,由具有特许授权的安全管理人员对日志进行分析检查,及时发现各种违规行动以及病毒和黑客的攻进行分析检查,及时发现各种违规行动以及病毒和黑客的攻击行为,并依据分析结果及时修改设备的安全策略或采取其击行为,并依据分析结果及时修改设备的安全策略或采取其
43、它相应的措施。它相应的措施。应该定期对各级人员进行电力二次系统安全防护知识的应该定期对各级人员进行电力二次系统安全防护知识的培训,以保证各项安全措施的认真执行。培训,以保证各项安全措施的认真执行。总体方案:安全管理制度总体方案:安全管理制度建立完善的安全管理制度 以加强运行管理人员管理人员管理 权限管理权限管理 访问控制管理访问控制管理 设备及子系统的维护管理设备及子系统的维护管理 恶意代码(病毒及木马等)的防护恶意代码(病毒及木马等)的防护 审计管理审计管理 数据及系统的备份管理数据及系统的备份管理 用户口令及数字证书的管理用户口令及数字证书的管理 应急处理应急处理 联合防护联合防护建立健全
44、电力二次系统安全的联合防护和应急机制,建立健全电力二次系统安全的联合防护和应急机制,电力调度机构负责统一指挥调度范围内的电力二次系统安全电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。各电力企业的电力二次系统必须制定应急处理预应急处理。各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证。案并经过预演或模拟验证。当电力生产控制大区出现安全事故,尤其是遭到黑客、当电力生产控制大区出现安全事故,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,应当立即向其上级电力调恶意代码攻击和其他人为破坏时,应当立即向其上级电力调度机构和信息安全主管部门报告,必须按应急处理预案立即度机构和
45、信息安全主管部门报告,必须按应急处理预案立即采取相应的安全应急措施。并通报有网络连接的相邻单位采取相应的安全应急措施。并通报有网络连接的相邻单位(有关的调度中心及发电厂和变电站),联合采取紧急防护(有关的调度中心及发电厂和变电站),联合采取紧急防护措施,以防止事件扩大。同时注意保护事故现场,以便进行措施,以防止事件扩大。同时注意保护事故现场,以便进行调查取证和事故分析。当系统遭到破坏时,应当按照预先制调查取证和事故分析。当系统遭到破坏时,应当按照预先制定的应急方案尽快实施恢复。定的应急方案尽快实施恢复。总体方案:联合防护和应急处理总体方案:联合防护和应急处理防止发电厂监控系统服务的核心业务(即
46、电力生产)中断。防止发电厂监控系统本身崩溃。防止发电厂二次系统核心崩溃或人为破坏引起的一次系统误动作,确保一次系统的正常、连续运行;防止发电厂二次系统的崩溃,并由此导致发电厂事故或大面积停电事故,确保系统本身的正常运行;抵御外部对发电厂监控系统发起的恶意破坏和攻击(包括传播病毒/木马等恶意代码),导致对电力生产及相连的调度自动化系统的恶意破坏。保护发电厂监控系统实时和历史数据,主要防止数据被非授权修改。 1.内部安全风险 发电厂监控系统的操作系统易受各种潜在病毒爆发而瘫痪。发电厂监控系统的计算机输入、输出读写设备的使用导致感染病毒。不适当的应用TCP/IP或UDP/IP等网络协议而引发的安全风
47、险。应用软件设计的不成熟性,存在漏洞和缺陷,在某种条件下诱发致使计算机系统崩溃。发电厂监控系统缺乏有效的访问控制、监视和记录手段。2.边界安全风险网络边界的风险:在通信网关和SPDnet的网络边界,存在来自远程非法入侵的威胁;在发电厂监控系统网络和其他系统的连接的边界,存在非授权入侵和病毒传播的威胁;非法访问和破坏:在访问连接建立期间,存在非授权者非法登录,对发电厂监控系统进行攻击的威胁。重点防护抵御外部人员通过网络对发电厂二次系统发起的电子攻击和破坏;防止非授权人员对监控系统的非法操作和破坏,确保操作的安全合法性;防止计算机病毒感染和侵袭发电厂二次系统;防止非授权人员对监控系统的系统参数配置
48、、数据库结构、数据库文件和数据的修改和破坏。水电厂二次系统参考逻辑结构水电厂二次系统参考逻辑结构AEMS系统水电厂水调调度自动化系统电量计量终端故障录波装置市场报价终端故障录波系统电力交易系统电能量计量系统调度中心水调调度自动化系统SPDnet实时VPN非实时VPN安安全全区区I安安全全区区II安安全全区区III水电厂生产管理系统气象网关水文网关防汛网关公共数据网或SPTnet水水电电厂厂调调度度中中心心厂级监控系统机组控制公共控制闸门控制辅机控制保护安控监控系统安安全全区区IVMISOA水电厂安全防护示意图水电厂安全防护示意图AEMS系 统水 电 厂 水 调 调度 自 动 化 系 统电 量
49、计 量 终 端故 障 录 波 装 置市 场 报 价 终 端故 障 录 波 系 统电 力 交 易 系 统电 能 量 计 量 系 统调 度 中 心 水 调 调度 自 动 化 系 统SPDnet实 时 VPN非 实 时 VPN安安 全全 区区 I安安 全全 区区 II安安 全全 区区 III水 电 厂 生 产管 理 系 统气 象 网 关水 文 网 关防 汛 网 关公 共 数 据 网 或 SPTnet水水电电厂厂调调度度中中心心厂 级 监 控 系 统机 组 控 制公 共 控 制闸 门 控 制辅 机 控 制保 护安 控监控系统安安 全全 区区 IVMISOA防防火火墙墙防防火火墙墙防防火火墙墙专专 用用安安 全全隔隔 离离装装 置置正正 向向专专 用用安安 全全隔隔 离离装装 置置反反 向向I IP P认认 证证 加加 密密 装装 置置I IP P认认 证证 加加 密密 装装 置置I IP P认认 证证 加加 密密 装装 置置I IP P认认 证证 加加 密密 装装 置置防防 火火 墙墙防防 火火 墙墙结结 束束陈俊杰电话: 2邮箱:
