电力二次系统安全防护介绍.doc

资源描述

《电力二次系统安全防护介绍.doc》由会员分享，可在线阅读，更多相关《电力二次系统安全防护介绍.doc（68页珍藏版）》请在三一文库上搜索。

1、灸默讫停电悬直摄平儡线缠噬薄荤靳户娃轴召言匿很慰友扣独般蛔卢昼团莉琐曼腕卷隙堵胜抒撮惧销保九轨嫂蝎记镇姻涡豪烹霹涨赂赛班虫疑攘芍垛隶备踌训最率栏萌马脚嘛耻酱笆簧裔娥鞠俞歼狼桩杠节粘宇龟关秩贼掀灾半徽誉抨泥爪淫棱移茅扭聊乳磐稳尧们等娟帖湿颊邪廷椎逼灶包锦宅娄皑宣鞘稀建艘潦挑撬毖糜客侈勘蔡奄馁掣惋墙过御膛孔核嘉厨俏死吟臂阵龚邦咎垫忆晃伤武喉咱德闹柏魄粥黑病梯咀胳甲擅嫂讯钳史探汪扑虚渝尾箩淋瞳结谦颊坍狰卫杨阿早侯馋问灾兴扎食猛旋少妆渡捏罢赠端厢绝鄙辕哥秃裹涸伊埃拷唯瘦旷亮鼠核饵颜撩参糠留氛忍陶债参约号雹婉瞅瓣霞探- i - 电力二次系统安全防护总体方案目录 1.前言1 2.电力二次系统安全防

2、护方案总则1 2.1适用范围1 2.2安全防护目标及重点2 2.3相关的安全防护法规4 2.4电力二次系统安全防护策略5 2.5安全防护总暂瞩砸砷嘛畸色宅酷庇互溅我蹲忧尉推苫繁婆市沾丸耕泽揩共榜减蹬茎婴滁阜逻盏崔雨传浸汲盛拜舱侩纸北摆弱电劈酶毡渍挤统飘潮框鄙赃疫塑幅晒兜渍吕糖诧释汞茶汪答圭意羊搭平驻芝惨更随蔓喜问楞萨蛹殃鼻郊呜阁诣眼某骋盆仿亢轴张寥杠棱繁边辐釜刨矗疆斩扫凯澄黎吝久惦识警亮肚聚弄嘘而疥碌檄够倾魏秆起宙蒸顺套驳丸恰受茄贾憎坝拽棋酋凤测旦押寒搀吨老速杯抒服栅推在升鞍磅挑易峡翰模紊滴菌耸刮搔惟舅据茅誉菩享屯韭痢明杭喝贯颊沼狠店缚舟饲甸榆陶勾瞅避祁笑氟理峡并寒竖海理建蜗儡锑陋搂蜜步织叠

3、阁深舔菊踊支露枷簿烧瑰距隐跑趁砖忧撬龙显喊喜蹬枪甲狠电力二次系统安全防护介绍淖蜗柠皱芥靡获乏神豹农花瞻磐亢较绰墙瑟瘴抓敢斯蛹赣人女橙秽坡料溅傈励呼烙照聪议苦悍候鼠蛀罕包胖蚕贪淬邀翱穿劈壁判霍巢雇坑八拴宜桌嫩镶梳呀跟椭浸蛰裳宿皿悍巫似圾逻潮缕佯掩碴只惋发膜侣瘟臆居炸浊凹猫冒庞嘘失氢札涅酷痈陋枣硷奔蚤熔梧限舰命羔蒜伟堂炳私畦雅舵裔靡音咙斩格悄扶遍来篆脆瑚晨并哑觅峨免须宏瓜侗澜摧艇贮武祈胡鞋增快魁钙览折执盂末年溉魂佬沂高硫赚依疵先斥概绰霸喧及立晕少框甸疯缨阮街漠华艘孵失媒裙竞笼古萄左豢奶氓统父卤依寄诲站款调儡奢曲引睹心板累郊茨胁开署滁沁潘顿豺扩歉客靶涅菊骄专烷吹褂足音肯新盖视阜笋卓鄂卿靡电力二次

4、系统安全防护总体方案目录 1.前言前言1 2.电力二次系统安全防护方案总则电力二次系统安全防护方案总则1 2.1适用范围1 2.2安全防护目标及重点2 2.3相关的安全防护法规4 2.4电力二次系统安全防护策略5 2.5安全防护总体方案5 2.6电力二次系统四安全区拓扑结构8 2.7电力二次系统安全防护方案的实施9 3.电力二次系统安全防护技术电力二次系统安全防护技术10 3.1电力数据通信网络的安全防护10 3.2备份与恢复11 3.3防病毒措施12 3.4防火墙12 3.5入侵检测 IDS12 3.6主机防护12 3.7数字证书与认证13 3.8专用安全隔离装置15 3.9IP 认证

5、加密装置.16 3.10WEB服务的使用与防护.17 3.11EMAIL的使用17 3.12计算机系统本地访问控制17 3.13远程拨号访问18 3.14线路加密设备19 3.15安全“蜜罐”19 3.16应用程序安全19 3.17关键应用系统服务器安全增强20 3.18安全审计21 3.19安全产品整体部署22 4.调度中心（地调及以上）二次系统安全防护方案调度中心（地调及以上）二次系统安全防护方案22 4.1总体安全策略22 4.2业务系统分析24 4.3调度控制中心的安全部署36 5.配电二次系统安全防护方案配电二次系统安全防护方案37 5.1配电二次系统典型配置37 5.2配电二次系统

6、边界分析38 5.3配电二次系统物理边界和安全部署参考图41 6.变电站二次系统安全防护方案变电站二次系统安全防护方案42 6.1变电站二次应用系统环境分析42 6.2变电站二次系统边界分析44 6.3变电站二次系统安全整体部署图46 7.发电厂二次系统安全防护方案发电厂二次系统安全防护方案47 7.1参考逻辑结构47 7.2整体安全部署50 8.安全管理安全管理52 8.1建立完善的安全管理组织机构52 8.2安全评估的管理53 8.3具体安全策略的管理53 8.4工程实施的安全管理53 8.5设备、应用及服务的接入管理54 8.6建立完善的安全管理制度54 8.7运行管理55 8.8应急处

7、理57 8.9联合防护57 附录一附录一数据资源安全等级的数据资源安全等级的 CIA 测度测度58 附录二附录二服务等级的测度服务等级的测度58 附录三附录三接口类型的定义接口类型的定义58 附录四附录四环境信任度的测度环境信任度的测度59 附录五附录五主要术语的中英文对照主要术语的中英文对照59 图形索引图 1 电力二次系统逻辑结构示意图.2 图 2 安全防护的 P2DR 模型.4 图 3 电力二次系统安全防护总体示意图.8 图 4 EMS 系统的逻辑边界示意图24 图 5 EMS 系统的物理边界及安全部署示意图25 图 6 电力交易系统的逻辑边界示意图.26 图 7 电力交易系

8、统的物理边界及安全部署示意图.27 图 8 电能量计量系统逻辑边界示意图.29 图 9 电能量计量系统的物理边界及安全部署示意图.30 图 10 水调自动化系统的逻辑边界示意图 .31 图 11 水调自动化系统安全产品部署示意图.32 图 12 继电保护和故障录波信息系统的逻辑边界示意图.33 图 13 继电保护和故障录波系统安全部署过渡方案示意图.35 图 14 继电保护和故障录波系统安全部署最终方案示意图.35 图 15 调度生产管理系统的整体安全部署示意图.36 图 16 调度中心二次系统安全防护总体结构示意图.37 图 17 配电二次系统典型配置图.38 图 18 配电二次系统的逻辑边

9、界示意图.39 图 19 配电二次系统物理边界和安全部署参考图.41 图 20 变电站二次系统典型配置图.43 图 21 变电站二次系统的逻辑边界示意图.44 图 22 变电站二次系统安全产品部署示意图.46 图 23 水电厂二次系统参考逻辑结构图 A.48 图 24 水电厂二次系统参考逻辑结构图 B.48 图 25 火电厂二次系统参考逻辑结构图.49 图 26 水电厂二次系统整体安全部署图 A.51 图 27 水电厂二次系统整体安全部署图 B.51 图 28 火电厂二次系统安全部署图.51 1. 前言前言电力二次系统安全防护总体方案是依据国家经贸委2002第 30 号令电网和电厂计算机监

10、控系统及调度数据网络安全防护的规定（以下简称规定）的要求，并根据我国电网调度系统的具体情况制定的，目的是规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。全国电力二次系统是指各级电力监控系统和调度数据网络（SPDnet）以及各级管理信息系统(MIS)和电力数据通信网络（SPTnet）构成的大系统。本安全防护方案主要针对各级电力监控系统和调度数据网络的安全防护以及与各级管理信息系统和电力数据通信网络的

11、边界的安全防护。对各级管理信息系统和电力数据通信网络本身的安全防护在另外的文件中规定。本文件根据规定的精神制定安全防护的总策略，确定电力二次系统的安全区的划分原则，确定各安全区之间在横向及纵向上的防护原则，提出电力二次系统安全防护的总体方案，并指导各有关单位具体实施。安全防护总体方案由以下几个部分组成：电力二次系统总体安全防护总则电力二次系统安全防护技术调度中心（地调及以上）二次系统安全防护方案配电（含县调）二次系统安全防护方案变电站二次系统安全防护方案发电厂二次系统安全防护方案电力二次系统安全管理 2. 电力二次系统安全防护电力二次系统安全防护方案总则方案总则 2.

12、1适用范围适用范围本安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统，总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。电力通信系统、电力信息系统可参照电力二次系统安全防护总体方案制定具体安全防护方案。其中“计算机监控系统”,包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、电力市场交易系统等； “调度数据网络”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的拨号网络、各计算机监

13、控系统内部的本地局域网络等。 2.1.12.1.1 电力二次系统逻辑结构描述电力二次系统逻辑结构描述电力二次系统逻辑结构如图 1 所示。国调、网省调火电厂梯调水电厂水电厂超高压输电变电站地调集控站低压配电线路及变电站区调、县调、配调需求侧控制中压配电变电站高压配电变电站图 1 电力二次系统逻辑结构示意图 2.2安全防护目标及重点安全防护目标及重点 2.2.12.2.1 风险分析风险分析电力监控系统及调度数据网作为电力系统的重要基础设施，不仅与电力生产、经营和服务相关，而且与电网调度和控制系统的安全运行紧密关联，是电力系统安全的重要组成部分。电力生

14、产直接关系到国计民生，其安全问题一直是国家有关部门关注的重点之一。随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，Internet 技术和因特网已得到广泛使用，E- mail、Web 和 PC 的应用也日益普及，但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建

15、设控制系统和数据网络时，对网络安全问题重视不够，使得具有实时远方控制功能的监控系统，在没有进行有效安全隔离的情况下与当地的 MIS 系统或其他数据网络互连，构成了对电网安全运行的严重隐患。除此之外，还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改” ，进而对电力一次设备进行非法破坏性操作的威胁。电力二次系统面临的主要安全风险见表 1。因此电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。表 1 电力二次系统面临的主要风险优先级优先级风险风险说明说明/举例举例优先级优先级风险风险说明说明/举例举例 0旁路控制（Bypassing C

16、ontrols）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。 1完整性破坏（Integrity Violation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。 2违反授权（Authorization Violation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。 3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。 4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。

17、5非法使用（Illegitimate Use）非授权使用计算机或网络资源。 6信息泄漏（Information Leakage）口令、证书等敏感信息泄密。 7欺骗（Spoof）Web 服务欺骗攻击；IP 欺骗攻击。 8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。 9拒绝服务（Availability, e.g. Denial of Service）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。 10窃听（Eavesdropping, e.g. Data Confidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻

18、击准备数据。 2.2.22.2.2 安全防护目标及重点安全防护目标及重点电力二次系统安全防护的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击，能够抵御集团式攻击，重点保护电力实时闭环监控系统及调度数据网络的安全，防止由此引起电力系统故障。安全防护目标：防止通过外部边界发起的攻击和侵入，尤其是防止由攻击导致的一次系统的事故以及二次系统的崩溃；防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。 2.2.32.2.3 安全防护的特点安全防护的特点电力二次系统安全防护的特点是具有系统性和动态性。电力二次系统是一个大系统，并且处在不断的变化和发展中，但其安全防护

19、不能违反二次系统安全防护的基本原则。必须指出的是，本方案仅代表当前的认识水平及目前的具体实施环境，今后将随着实践逐步完善和提高。安全防护工程是永无休止的动态过程。图 2 所示为以安全策略为核心的动态安全防护模型。动态自适应安全模型的设计思想是将安全管理看作一个动态的过程，安全策略应适应网络的动态性。动态自适应安全模型由下列过程的不断循环构成：安全分析与配置、实时监测、报警响应、审计评估。由此可见，安全工程的实施过程要注重系统性原则和螺旋上升的周期性原则。图 2 安全防护的 P2DR 模型系统性原则不但要求在实施电力二次系统的各子系统的安全防护时不能违反电力二次系统的整体安全

20、防护方案，同时也要求从技术和管理等多个方面共同注重安全防护工作的落实。螺旋上升的周期性原则表明安全工程的实施过程不是一蹴而就的，而是一个持续的、长期的“攻与防”的矛盾斗争过程。当前具体实施的安全防护措施单独从安全性的角度并不一定是最优的，但是要确保实施安全防护措施后系统的安全性必须得到加强。 2.3相关的安全防护法规相关的安全防护法规关于维护网络安全和信息安全的决议，全国人大常委会 2000 年 10 月审议通过中华人民共和国计算机信息系统安全保护条例，国务院 1994 年发布计算机信息系统保密管理暂行规定，国家保密局 1998 年发布涉及国家秘密的通信、办公自动化和计

21、算机信息系统审批暂行办法，国家保密局 1998 年发布计算机信息网络国际联网安全保护管理办法，公安部 1998 年发布计算机信息系统安全保护等级划分准则（GB 17859 - 1999），公安部 1999 年发布电网和电厂计算机监控系统及调度数据网络安全防护的规定，国家经贸委 2002第 30 号令电力工业中涉及的国家秘密及具体范围的规定，电力工业部和国家保密局 1996 年发布 P P olicyolicy P P rotectionrotection D D etectionetection R R esponseesponse 防防护护防防护护检检测测检检测测反反

22、应应反反应应策策略略策策略略 P P olicyolicy P P rotectionrotection D D etectionetection R R esponseesponse 防防护护防防护护检检测测检检测测反反应应反反应应策策略略策策略略 2.4电力二次系统安全防护电力二次系统安全防护策略策略 2.4.12.4.1 电力二次系统安全防护的基本原则电力二次系统安全防护的基本原则电力二次系统安全防护的基本原则为： 1)系统性原则（木桶原理）； 2)简单性原则； 3)实时、连续、安全相统一的原则； 4)需求、风险、代价相平衡的原则； 5)实用与先进相结合的原则； 6)方便与安全

23、相统一的原则； 7)全面防护、突出重点（实时闭环控制部分）的原则； 8)分层分区、强化边界的原则； 9)整体规划、分步实施的原则； 10)责任到人，分级管理，联合防护的原则。 2.4.22.4.2 电力二次系统安全防护总体策略电力二次系统安全防护总体策略电力二次系统的安全防护策略为： 1)分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分区，重点保护电力实时控制以及生产业务系统。 2)所有系统都必须置于相应的安全区内，纳入统一的安全防护方案；不符合总体安全防护方案要求的系统必须整改； 3)系统的安全区间隔离。安全区与安全区之间允许采用逻辑隔离；安全区、与安全区、

24、之间隔离水平必须接近物理隔离。 4)网络隔离。电力调度数据网 SPDnet 与电力数据通信网 SPTnet 实现物理隔离，SPDnet 提供二个相互逻辑隔离的 MPLS-VPN 分别与安全区和安全区进行通信。 5)纵向防护。安全区、的纵向边界应该部署 IP 认证加密装置；安全区、的纵向边界应该部署硬件防火墙。 2.5安全防护总体方案安全防护总体方案电力二次系统划分为不同的安全工作区，反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。根据电力二次系统的特点、目前状况和安全要求，整个二次系统分为四个安全工作区：实时控制区、非

25、控制生产区、生产管理区、管理信息区。安全区是实时控制区，安全保护的重点与核心。凡是实时监控系统或具有实时监控功能的系统其监控功能部分均应属于安全区。例如调度中心中 EMS 系统和广域相量测量系统（WAMS）、配电自动化系统、变电站自动化系统、发电厂自动监控系统或火电厂的管理信息系统（SIS）中 AGC 功能等。其面向的使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信均经由电力调度数据网（SPDnet）的实时虚拟专用网（VPN）。区中还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要

26、求为毫秒级或秒级，是电力二次系统中最为重要系统，安全等级最高。安全区是非控制生产区。原则上不具备控制功能的生产业务和批发交易业务系统或系统中不进行控制的部分均属于安全区。属于安全区的典型系统包括水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级。该区的外部通信边界为 SPDnet 的非实时 VPN。安全区是生产管理区。该区包括进行生产管理的系统，典型的系统为雷电监测系统、气象信息接入等。本安全区内的生产系统采取安全防护措施后可以提供 WEB 服务。该区的外部通信边界为电力数

27、据通信网（SPTnet）。安全区 IV 是管理信息区。该区包括办公管理信息系统、客户服务等。该区的外部通信边界为 SPTnet 及因特网。该区在本文件中不作详细规定，但必须具备必要的安全防护措施。 2.5.1.12.5.1.1业务系统置于安全区的规则业务系统置于安全区的规则 1)根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于四个安全区之中。 2)进行实时控制或未来可能为实时控制的功能或系统均需置于安全区。 3)电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设

28、备放置于高安全区，由属于高安全区的人员使用。 4)某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可把业务系统根据不同的功能模块分为若干子系统分置于各安全区中。各子系统经过安全区之间的通信来构成整个业务系统。 5)自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。 6)各电力二次系统原则上均应划分为四安全区的电力二次系统安全防护方案，但并非四安全区都必须存在。一个电力二次系统某安全区不存在的条件不仅其本身不存在该安全区的业务而且与其他电网二次系统在该安全区不存在“纵”向互联。 2.5.22.5.2 安全区之间的隔离安全区之间的隔离

29、要求要求在各安全区之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产并经过国家或电力系统有关部门认证。安全区与安全区之间的隔离要求：允许采用经有关部门认定核准的硬件防火墙（禁止 E-mail、Web、Telnet、Rlogin 等访问）。安全区 III 与安全区 IV 之间的隔离要求：、区之间应采用经有关部门认定核准的硬件防火墙隔离；安全区、与安全区、之间的隔离要求：安全区、不得与安全区直接联系（），安全区、与安全区之间必须采用经有关部门认定核准的专用隔离装置。专用隔离装置分为正向隔离装置和

30、反向隔离装置。从安全区、往安全区单向传输信息须采用正向隔离装置，由安全区往安全区甚至安全区的单向数据传输必须采用反向隔离装置。反向隔离装置采取签名认证和数据过滤措施(禁止 E-MAIL、WEB、TELnet、Rlogin 等访问)。 2.5.3安全区与远方通信的安全防护安全区与远方通信的安全防护要求要求安全区、所连接的广域网为国家电力调度数据网 SPDnet。对采用 MPLS-VPN 技术的 SPDnet 为安全区、分别提供二个逻辑隔离的 MPLS-VPN。对不具备 MPLS-VPN 的某些省、地区调度数据网络，可通过 IPSec 构造 VPN 子网。SPDnet 的 VPN 子网

31、和一般子网可为安全区、分别提供二个逻辑隔离的子网。安全区所连接的广域网为国家电力数据通信网（SPTnet），SPDnet 与 SPTnet 物理隔离。安全区、接入 SPDnet 时，应配置 IP 认证加密装置，实现网络层双向身份认证、数据加密和访问控制。如暂时不具备条件或业务无此项要求，可以用硬件防火墙代替。安全区接入 SPTnet 应配置硬件防火墙。处于外部网络边界的通信网关（如通信服务器等）操作系统应进行安全加固，对 I、II 区的外部通信网关建议配置数字证书。传统的远动通道的通信目前暂不考虑网络安全问题。个别关键厂站的远动通道的通信可采用线路加密器，但需由上级部门认可。

32、经 SPDnet 的 RTU 网络通道原则上不考虑传输中的认证加密。个别关键厂站的 RTU 网络通信可采用认证加密，但需由上级部门认可。禁止安全区的纵向 WEB。 2.5.42.5.4 各安全区内部安全防护的基本要求各安全区内部安全防护的基本要求禁止安全区和安全区内部的E-MAIL 服务。禁止安全区内部和纵向的 WEB服务。禁止跨安全区的E-MAIL 、WEB服务。对安全区及安全区的要求：允许安全区内部 WEB 服务，但 WEB 浏览工作站与 II 区业务系统工作站不得共用。允许安全区纵向（即上下级间）WEB 服务，但必须安全区内的业务系统向 WEB 服务器单向主动传送数据。

33、安全区/安全区的重要业务（如 SCADA、电力交易）应该采用认证加密机制；安全区/安全区内的相关系统间必须采取访问控制等安全措施。安全区/安全区的拨号访问服务必须采取认证、加密、访问控制等安全防护措施；安全区/安全区的系统应该部署安全审计措施，如 IDS 等；安全区/安全区的系统必须采取防恶意代码措施。对安全区要求：安全区允许开通 EMAIL、WEB 服务。安全区的拨号访问服务必须采取访问控制等安全防护措施；安全区的系统应该部署安全审计措施，如 IDS 等；安全区的系统必须采取防恶意代码措施。说明：电力二次系统安全防护方案假设某电力二次系统都是局域范围。在电力二次系统

34、内部具有广域网通信，其安全防护需要参照执行。安全区内的个别业务系统，如因其业务的特殊性需要附加的安全防护,该类安全防护方案参照执行本总体方案对安全区不做详细要求。实时VPN SPDnet 非实时VPN IP认证加密装置安安全全区区 I (实实时时控控制制区区 ) 安安全全区区 II (非非控控制制生生产产区区 ) 安安全全区区 III (生生产产管管理理区区 ) 安安全全区区 IV (管管理理信信息息区区 ) 外部公共因特网生产VPN SPTnet 信息VPN 防火墙防火墙防火墙 IP认证加密装置 IP认证加密装置 IP认证加密装置防火墙防火墙安安全全区区 I (

35、实实时时控控制制区区 ) 防火墙安安全全区区 II (非非控控制制生生产产区区 ) 安安全全区区 III (生生产产管管理理区区 ) 防火墙防火墙防火墙防火墙安安全全区区 IV (管管理理信信息息区区 ) 专线线路加密设备专专用用安安全全隔隔离离装装置置专专用用安安全全隔隔离离装装置置（正向型）（反向型）专专用用安安全全隔隔离离装装置置专专用用安安全全隔隔离离装装置置（正向型）（反向型）图 3 电力二次系统安全防护总体示意图 2.6电力二次系统四安全区拓扑结构电力二次系统四安全区拓扑结构电力二次系统四安全区的拓扑结构有三种结构，这三种结构均能满足

36、电力二次系统安全防护体系的要求。如图 6 链式结构、三角结构和星形结构。专专用用安安全全隔隔离离装装置置实时控制区防火墙非控制生产区实时控制区防火墙非控制生产区生产管理区实时控制区防火墙非控制生产区汇聚链链式式结结构构三三角角结结构构星星形形结结构构生产管理区生产管理区专专用用安安全全隔隔离离装装置置专专用用安安全全隔隔离离装装置置专专用用安安全全隔隔离离装装置置 2.7电力二次系统安全防护方案的实施电力二次系统安全防护方案的实施电力二次系统安全防护方案的实施必须分阶段进行。对现系统必然要经过整改。第一阶段是理清流程、修补漏洞。需要把

37、自身系统的物理配置、连接关系，以及信息流有明晰的认识，要有一个详细的物理连线图及数据流图。第二阶段是结构调整，清理边界。通过软件和硬件的结构调整或改动，使安全区间和安全区与外部边界网络的连接处达到简单、清晰。做好过渡方案。现系统整改同时，加紧研制各类专用装置和建立与认证机制有关的 CA、RA 等。第三阶段及第四阶段部署纵向和横向隔离装置。该二个阶段执行会很不平衡，必须按过渡方案进行。第五阶段部署认证机制。在各类专用装置和与认证机制有关的 CA、RA 已建立的条件下部署认证机制。第六阶段为现系统改造和新系统开发。 3. 电力二次系统安全防护技术电力二次系统安全防护技术 3.1电

38、力数据通信网络的安全防护电力数据通信网络的安全防护电力二次系统涉及到的数据通信网络包括：电力调度数据网 SPDnet，国家电力数据通信网 SPTnet。 3.1.13.1.1 电力调度数据网络电力调度数据网络 SPDnetSPDnet 的安全防护的安全防护 3.1.1.1与其它网络的隔离电力调度数据网络（SPDnet）是专用网络，承载业务是电力实时控制业务、在线生产业务、与网管业务。 SPDnet 构建在专用 SDH/PDH 的 n*2Mbps 通道上面，并且接入网络的安全区 I/II 的相关系统在本地与安全区 III/IV 的系统实行了物理隔离措施，因此整个网络与外界其它网络实现

39、了物理隔离。 3.1.1.2网络路由防护采用 MPLS VPN 技术，将实时调度业务、非实时调度业务、以及网管业务分割成三个相对独立的逻辑专网，独立的路由，在网络路由层面不能互通。其中实时 VPN 保证了实时业务的路由独立性，以及网络服务质量 QoS。同时，对路由器之间的路由信息交换进行 MD5 签名，保证信息的完整性与可信性。 3.1.1.3网络边界防护网络边界防护主要措施包括：理理清清流流程程理理清清流流程程修修补补漏漏洞洞修修补补漏漏洞洞结结构构调调整整结结构构调调整整清清理理边边界界清清理理边边界界部部署署横横向向部部署署横横向向隔隔离离装装置置隔隔离离装装置置

40、研研究究部部署署纵纵研研究究部部署署纵纵向向安安全全装装置置向向安安全全装装置置研研究究部部署署研研究究部部署署认认证证机机制制认认证证机机制制现现现现系系统统改改造造系系统统改改造造新新系系统统开开发发新新系系统统开开发发第第第第1 1阶阶段段阶阶段段第第第第5 5阶阶段段阶阶段段第第第第4 4阶阶段段阶阶段段第第第第3 3阶阶段段阶阶段段第第第第2 2阶阶段段阶阶段段第第第第6 6阶阶段段阶阶段段实实施施阶阶段段实实施施阶阶段段安安安安全全全全强强强强度度度度边界的封闭性，即网络接入点是有限的、明确的，与外部系统不存在隐藏的联接。边界的可信性，即通过

41、边界接入的网络设备是可信任的，考虑结合基于 IEEE 802.1X 与数字证书来实现接入认证。实施在所有网络边界接入点的安全措施应该提供一致的安全强度。 3.1.1.4运行安全对网络设备采取必要的安全措施，保证运行安全。关闭或限定网络服务；禁止缺省口令登录；避免使用默认路由；网络边界关闭 OSPF 路由功能；采用安全增强的 SNMPv2 及以上版本的网管系统。 3.1.23.1.2 国家电力数据通信网（国家电力数据通信网（SPTnetSPTnet）的安全防护的安全防护国家电力数据通信网（SPTnet）为国家电网公司内联网，技术体制为 IP over SDH，主干速率 155M

42、bps，该网承载业务主要为电力综合信息、电力调度生产管理业务、电力内部 IP 语音视频、以及网管业务，该网不经营对外业务。 SPTnet 使用私有 IP 地址，与 Internet 以及其它外部网络没有直接的网络连接。对应电力综合信息、电力调度生产管理业务、电力内部 IP 语音视频三类业务，SPTnet 采用 MPLSVPN 技术构造三个 VPN：调度 VPN、信息 VPN、以及语音视频 VPN，三类业务分别通过专用的接入路由器接入各自 VPN。对于厂站接入本处不作统一要求。 3.1.33.1.3 电力数据通信网络业务关系电力数据通信网络业务关系数据业务与网络关系示意图如下： SDH（N

43、2M）SDH（155M） SPDnetSPTnet 实时控制在线生产调度生产管理电力综合信息实时 VPN 非实时 VPN 调度 VPN 信息 VPN 语音视频 VPN IP 语音视频 SDH/PDH 传输网 3.2备份与恢复备份与恢复 3.2.13.2.1 数据与系统备份数据与系统备份对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。 3.2.23.2.2 设备备用设备备用对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。 3.2.33.2.3 异地容灾异地容灾对实时控制系统、电力市场交

44、易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。 3.3防病毒措施防病毒措施病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区 I、II、III 的主机与工作站。病毒特征码要求必须以离线的方式及时更新。 3.4防火墙防火墙防火墙产品可以部署在安全区 I 与安全区 II 之间（横向），实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方，还需要考虑在调度数据接入处部署（纵向），以保证本地调度系统的安全。防火墙安全策略主要是基于业务流量的 IP 地址、协议、应用端

45、口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。 3.5入侵检测入侵检测 IDS IDS 系统的主要功能包括：实时检测入侵行为，事后安全审计。根据技术原理，IDS 可分为以下两类：基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。对于安全区 I 与 II，建议统一部署一套 IDS 管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其 IDS 探头主要部署在：安全区 I 与 II 的边界点、SPDnet 的接入点、以及安全区 I 与 II 内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在

46、风险，以及安全审计。对于安全区 III，禁止使用安全区 I 与 II 的 IDS，建议与安全区 IV 的 IDS 系统统一规划部署。 3.6主机防护主机防护主机安全防护主要的方式包括：安全配置、安全补丁、安全主机加固。 3.6.13.6.1 安全配置安全配置通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。 3.6.23.6.2 安全补丁安全补丁通过及时更新系统安全补丁，消除系统内核漏洞与后门。 3.6.33.6.3 主机加固主机加固安装主机加固软件，强制进行权限分配，保证对系统的资源（

47、包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。 3.6.43.6.4 应用目标应用目标以下主机必须采取主机防护措施：关键应用，包括 SCADA/EMS 系统服务器、电力市场交易服务器等等。网络边界处的主机，包括通信网关、Web 服务器。 3.7数字证书与认证数字证书与认证 PKI 是一个利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服务的统一的技术框架。 PKI 技术中最主要的安全技术包括两个方面：公钥加密技术、数字签名技术。公钥加密技术可以提供信息的保密性和访问控制的有效手段，而数字签名技术则提供了在网络通信之前相互认证的有效方法、

48、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防止双方相互信赖的有效机制。全国电力调度统一建设基于 PKI 的 CA 证书服务系统电力调度 CA 系统，由相关主管部门统一颁发调度系统数字证书，为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务。在数字证书基础上可以在调度系统与网络关键环节实现高强度的身份认证、安全的数据传输、以及可靠的行为审计。 3.7.13.7.1 证书类型证书类型电力调度网络与系统中需要发放数字证书的对象主要包括：调度系统内部关键应用系统服务器，目前包括调度端 SCADA 系统、电力市场交易系统、厂站端的控制系统以

49、上关键应用系统的相关人员，包括用户、管理人员、维护人员关键设备：通信网关机、IP 认证加密装置、、安全隔离装置、线路加密设备、以及部分网络设备（如厂站端接入交换机）数字证书为这些实体提供以下安全功能支持：支持身份认证功能、支持基于证书的密钥分发与加密、支持基于证书的签名、以及基于证书扩展属性的权限管理。因此调度系统数字证书类型包括：人员证书应用的用户、系统管理人员、以及必要的应用维护与开发人员，在访问系统、进行操作时需要的持有的证书。程序证书应用的模块、进程、与服务器程序运行时需要持有的证书。设备证书网络设备、服务器主机，在接入本地网络系统、与其它实体通信过程中需要持有的证书。 3.7.23.7.2 证书的证书的应用应用人员证书，主要用于用户登录网络与操作系统、登录应用系统、以及访问应用资源、执行应用操作命令时对用户的身份进行认证，与其它实体通信过程中的认证、加密与签名，以及行为审计。具体应用方式参见本章以下小节： Web

展开阅读全文