7.1电力信息安全问题的起源计算机技术、通信技术为代表的信息技术推动电力系统进入了数字电力时代,数字电力时代电力系统的调度运行、生产经营、日常管理和办公越来越依赖于各种计算机网络信息系统。随着电力信息网络系统的广泛应用,既要防止外部的也要防止内部的各种攻击,电力信息系统信息安全的问题日益突出,已成为影响电力系统生产和经营正常运行的重大问题。电力信息安全问题的起源电力系统信息安全问题是通信和信息技术在电力系统中广泛应用的产物。各类基于通信和信息技术的电力监控系统,已成为保障电力系统运行不可或缺的环节。信息技术在提供便利的同时,也将其不良影响带入到电力系统中,正如国际电工委员会(IEC)有关电力系统信息基础架构安全标准的白皮书中指出“未来电力系统的发展是传统电力基础架构与信息基础架构共同建设与管理的过程,信息安全技术是保障电力系统稳定运行的重要方面”。电力系统信息安全来源于通信和信息系统,影响的作用点在电力一次系统。电力系统信息安全从事件发生的内在机理上可分为客观威胁和主观威胁两类电力信息安全的分区结构根据上述电力信息基础架构的分区,管理信息大区为电力系统的生产管理服务,主体结构和组成对象属于常规的计算机网络和信息系统,可以通过信息安全领域较成熟的方法来保障其安全运行(老三样是基础)。而生产控制大区以电力监控系统为主,主要包括用于监测和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。对于该区域的信息安全问题,可以从两个方面来概况:生产控制大区信息安全问题一方面,电力监控系统是信息基础架构和电力基础架构紧密耦合的交叉点,该类系统如果出现信息安全问题,将导致严重的后果,极有可能影响电力系统的稳定运行;(项目:电力信息物理系统(电力CPS,CyberPhysicalSystem)生存性研究)另一方面,该类系统与常规的计算机网络和信息系统相比,在系统结构和组成对象上,都存在很多的不同之处。为此,通过比较分析,可总结电力监控系统的信息安全特征由如下方面组成。电力监控系统的信息安全特征(1)安全威胁的差异性。在信息安全分析过程中,要求对威胁进行识别,电力信息安全需要面对客观和主观两大类威胁,每种威胁的属性及发生频率都存在差异。公网上常见的病毒和木马未必是影响电力监控系统的主要威胁,而误操作、恶意破坏则可能是需要面对的特有威胁。电力监控系统的信息安全特征(2)安全需求的多样性。这种特性体现在电力系统运行、管理、控制和市场等方方面面,各环节的信息安全体现出不同的需求。如广域测量系统中要求PMU子站能够将数据实时传递给主站系统,对系统的可用性就提出了很高的要求;而变电站自动化系统中,为确保开关设备的远程操作指令来自合法的发起者,要求通信报文具备可认证性和完整性;电力市场环境下,信息的保密性又是必须考虑的主要因素。电力监控系统的信息安全特征(3)事故后果的严重性。信息基础架构与电力基础架构是紧密耦合在一起的,信息安全威胁的作用点在通信和信息系统,破坏却有可能影响到电力系统的安全稳定运行,甚至导致一次系统的振荡和大范围停电事故。针对同样的安全攻击,却可能产生更严重的事故后果,如同样是通过拒绝服务攻击对可用性的影响,阻止调度人员控制变电站开关设备造成的影响可能远远大于阻止合法的用户访问银行账户。电力监控系统的信息安全特征(4)事故样本的缺失性。包括历史数据和实验采样在内的事故样本是进行评估量化的基础,尽管电力系统已经发生了一些信息安全事故,但数量和种类仍不能满足风险量化分析的需要,而电力系统的重要性也决定了很难通过对生产控制区的模拟攻击来获取事故样本。(项目:发电厂自动化系统信息安全试验验证平台)电力监控系统的信息安全特征(5)信息架构的异构性信息架构的异构性含义:厂站端的IED设备在存储空间和计算能力上都可能存在限制,导致很多常规安全措施无法直接配置,如密码算法和密钥交换。同时为提高通信的可靠性,大部分系统存在多种备用通信连接,这也使得典型的安全措施难以起到作用。协议的多样性如何解析?电力监控系统信息安全特征(6)控制流程的协同性。由于多个单位的协同参与,不同单位可能采用的不同安全策略,也会对安全措施的执行产生影响。根据上述分析,以上六个方面既是电力监控系统独有的信息安全特征,同时也是电力系统信息安全区别与常规信息安全问题的主要特点,这些特点导致常规领域的成熟方法难以完全适用。讨论电力信息安全具有何特点?SG186成果(安全)宏观电力系统信息安全来源于通信和信息系统,影响的作用点在电力一次系统。电力信息基础架构的分区,可以分为管理信息大区和生产控制大区.管理信息大区可以通过信息安全领域较成熟的方法来保障其安全运行。生产控制大区以电力监控系统为主,分析了电力监控系统信息安全特征后,常规领域的成熟方法难以完全适用。电力监控系统是信息基础架构和电力基础架构紧密耦合的交叉点7.2电力安全防护总体策略为实现电力二次系统的安全防护,总体策略是安全分区、网络专用、横向隔离、纵向认证(16字方针)。电力系统信息基础架构的分区结构原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区II);管理信息大区在不影响生产控制大区安全的前提下,可以根据各企业不同的要求划分安全区,通常划分为生产管理区(安全区III)和办公管理系统(安全区IV)。(1)安全区I是实时控制区,安全保护的核心。内外网划分贯彻国网公司安全分区、横向隔离的策略,通过技术改造将管理信息网划分为信息内网和信息外网,网间部署自主研发的逻辑隔离设备实施有效的安全隔离。将信息内网定位为信息化业务应用承载网络和内部办公网络,并通过相应边界防御措施实现同生产控制系统的隔离;信息外网定位为对外业务网络和访问互联网用户终端网络,内外网的信息传递通过安全策略或经过认证加密的移动存储介质实现。内外网划分将内部员工的办公终端与仅仅用于内部办公的应用系统全部划归在信息内网,信息内网不会与因特网有任何连接,极大提高信息内网的安全等级。将纯粹用于对外提供公众服务、不含涉密信息的应用系统全部放在信息外网,信息外网通过防火墙与因特网相连。存在部分应用既要对外面向公众服务,同时含有一些内部信息或是内部办公需要使用,那么此类应用系统将要穿过信息内外网的边界。信息安全网络隔离国家电网公司针对应用的现状,需要在信息内外网边界部署一套系统,对信息内网进行强隔离,仅仅允许指定的应用服务器访问其对应的数据库服务器,并且对通过的数据包进行解析,分析其SQL语句,对一些非法语句进行相应处理,从而达到保护数据库的目的。因此在内外网之间需要一套保护内部数据库的系统。信息安全网络隔离装置部属在信息内网数据库服务器和信息外网应用服务器之间。安全隔离与信息交换系统安全隔离与信息交换系统不是要替代防火墙,入侵检测,漏洞扫描和防病毒系统,相反,它是用户深度防御的安全策略的一块基石。安全隔离与信息交换的指导思想与防火墙有很大的不同:防火墙的思路是在保障互联互通的前提下尽可能安全,而安全隔离与信息交换的思路是在保证必须安全的前提下尽可能互联互通。安全隔离与信息交换技术安全隔离与信息交换技术,是网络之间隔离的前提下,在网络之间通过可控通道交换,检查应用层数据的技术;网络隔离,是指隔离设备两端的网络之间没有网络通路,没有网络协议,进行应用数据交换的通路和应用数据对用户都是可以检查、理解和控制的;这样就具有对网络攻击的免疫和对数据内容的检查,防泄密,防病毒等特点。安全隔离与信息交换系统要防止安全隔离与信息交换装置本身被攻击,安全隔离与信息交换装置一定是双系统,内部系统和外部系统是隔离无网络通路的。外部系统可能被入侵,但是从外部系统不能通过网络协议入侵到内部系统。内、外系统交换的数据是无协议的纯文本数据流。隔离,的含义体现在中断网络连接,同时自身的安全体系也不会被攻破,就是说,要保护的内网系统是不可能被传统的网络攻击手段攻击和入侵的。7.3电力信息安全技术应用实例通过考察、分析,目前我国电力系统采取了专用网络和公共网络相结合的网络结构。其中,SPDnet(调度信息网)和SPnet(电力信息网)是电力专用网络。在能保证网络信息安全的前提下,与Internet连接。为了保障电力系统的安全,根据电力系统各部分对安全的不同要求程度,将电力网络信息系统划分为三层四区。电力信息安全技术应用实例从图中可以看出,电力网络信息安全的体系结构体现了以下安全策略:(1)分区安全防护。根据系统中业务的重要性和对一次系统的影响程度,将电力信息网络系统划分为四个安全工作区,重点保护在安全区Ⅰ中的实时监控系统和安全区Ⅱ中的电力交易系统。(2)网络专用。SPDnet与SPnet通过正向型和反向型专用安全隔离装置实现(接近于)物理隔离,SPDnet提供二个相互逻辑隔离的MPLS-VPN分别与安全区Ⅰ和安全区Ⅱ进行通信。电力信息安全技术应用实例(3)横向隔离。安全区Ⅰ和安全区Ⅱ之间采用逻辑隔离,隔离设备为防火墙,安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间实现(接近于)物理隔离,隔离设备为正向型和反向型专用安全隔离装置。(4)纵向认证与防护。安全区Ⅰ、Ⅱ的纵向边界部署具有认证、加密功能的安全网关(即IP认证加密装置);安全区Ⅲ、Ⅳ的纵向边界部署硬件防火墙。电力信息安全技术应用实例(5)胖Ⅲ区瘦Ⅱ区分区方案和对应的数据中心统一支撑平台,为适应电网二次系统应用现状和发展要求,SCADA/EMS等系统的数据需要在Ⅲ区重构,以建立适应网络安全要求的电网调度运行系统数据中心统一支撑平台。(6)安全区Ⅳ通过防火墙与Internet相连接。7.4电力信息安全等级保护信息安全等级保护从国家标准的高度强化各类组织信息安全管理。信息安全等级保护的实施,实现对重要信息系统的重点安全保障,推进了信息安全保护工作的规范化、法制化建设。体现“适度安全、保护重点”的思想,出台了一系列信息安全管理标准和技术标准,意义重大,国内的信息安全工作有据可依,明确了信息安全工作的目标和重点,信息系统安全与否也有了一个衡量尺度。7.4电力信息安全等级保护依据《计算机信息系统安全保护等级划分准则》中规定将不同的系统进行分级保护(共分五级)。第一级:用户自主保护级。由用户来决定如何对资源进行保护,以及采用何种方式进行保护。第二级:系统审计保护级。它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。等级保护第三级:安全标记保护级。具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记,限制访问者的权限。第四级:结构化保护级。将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。等级保护第五级。访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。国网公司等级保护建设现状国网公司等级保护建设现状定级备案2008年初,遵照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)和电监会《电力行业信息系统安全等级保护定级工作指导意见》(电监信息〔2007〕44号)的文件要求,国家电网公司组织对在运的信息系统进行定级,并按照公安部和电监会对公司信息系统定级的审批,公司完成了30个网省公司、21直属单位的信息系统定级与组织备案工作,涉及公司所有万余个在运信息系统,其中四级系统32个,三级系统占31.8%、二级系统占68.1%。国网公司等级保护建设现状信息系统定级主要由两个要素决定:系统受到破坏时所侵害的客体和对客体造成侵