全国电力二次系统安全防护总体方案2020/1/232安全防护的背景电力二次系统存在安全漏洞(结构、技术、管理等)容易受到黑客、敌对势力的攻击,造成一次系统事故。电力是我国国民经济的基础产业,关系到千家万户,关系到国家安定的大局,决不允许出现大的电力系统事故。2020/1/233一些数据FBI统计95%的入侵未被发现FBI和CSI调查484公司发现31%有员工滥用Internet16%有来自内部未授权的存取14%有专利信息被窃取12%有内部人的财务欺骗11%有资料或网络的破坏有超过70%的安全威胁来自你企业内部中国国内80%的网站存在安全隐患20%的网站有严重安全问题2000年中国国家信息安全课题组的国家信息安全报告指出以9分为满分计算中国的信息安全强度只有5.5分2020/1/234系统内相关案例二滩水电站分布式控制系统网络发生异常事件;银山逻辑炸弹事件;龙泉、政平变电站计算机病毒事件;2020/1/235网络面临的主要威胁黑客攻击网络的缺陷软件的漏洞或后门管理的欠缺网络内部用户的误操作2020/1/236攻击层次一:通讯&服务层弱点超过1000个TCP/IP服务安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.错误的路由配置缺省路由帐户反向服务攻击隐蔽Modem2020/1/237攻击层次二:操作系统1000个以上的商用操作系统安全漏洞没有添加安全Patch文件/用户权限设置错误可写注册信息缺省用户权限简单密码特洛依木马2020/1/238攻击层次三:应用程序Web服务器:错误的Web目录结构Web服务器应用程序缺陷防火墙:防火墙的错误配置会导致漏洞:冒名IP,SYNfloodingDenialofserviceattacks其他应用程序:Oracle,SQLServer,SAP等缺省帐户有缺陷的浏览器2020/1/239常见的攻击方式病毒virus,木马程序Trojan,蠕虫Worm拒绝服务和分布式拒绝服务攻击Dos&DDosIP地址欺骗和IP包替换IPspoofing,Packetmodification邮件炸弹Mailbombing宏病毒MarcoVirus口令破解Passwordcrack2020/1/2310攻击的工具和步骤标准的TCP/IP工具(ping,telnet…)端口扫描和漏洞扫描(ISS-Safesuit,Nmap,protscanner…)网络包分析仪(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木马(BO2k,冰河,…)2020/1/2311加强网络安全的必要性保证业务系统稳定可靠运行防止企业重要信息外泄防止企业声誉被毁●●●●●●2020/1/2312网络安全的定义网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。2020/1/2313网络安全的语义范围保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性;完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息;可控性:对信息的传播及内容具有控制能力;2020/1/2314电力系统安全防护体系调度生产系统电力信息系统社会电力调度2020/1/2315电力二次系统安全防护总体方案依据中华人民共和国国家经济贸易委员会2002年第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求,并根据我国电力调度系统的具体情况编制的,目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以保障我国电力系统的安全、稳定、经济运行,保护国家重要基础设施的安全。2020/1/2316重要的名词解释计算机监控系统:包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、电力市场交易系统等;调度数据网络:包括各级电力调度专用数据网络、用于远程维护及电能量计费等的拨号网络、各计算机监控系统接入的本地局域网络等;2020/1/2317国家经贸委30号令的有关要求各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施电力监控系统和电力调度数据网络均不得和互联网相连,并严格限制电子邮件的使用各有关单位应制定安全应急措施和故障恢复措施,对关键数据做好备份并妥善存放;及时升级防病毒软件及安装操作系统漏洞修补程序;加强对电子邮件的管理;在关键部位配备攻击监测与告警设施,提高安全防护的主动性2020/1/2318电力系统安全防护的基本原则电力系统中,安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。----国家经贸委30号令2020/1/2319安全防护总体方案的适用范围安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统;总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络;电力通信系统、电力信息系统、电厂信息系统等可参照电力二次系统安全防护总体方案制定具体安全防护方案。2020/1/2320电力二次系统逻辑结构电监会电监会发发电电集集团团公公司司各各级级电电网网公公司司电电力力调调度度数数据据网网发发电电数数据据网网电电力力数数据据网网发电厂发电厂发电厂发电厂发电厂发电厂调度中心调度中心变电站变电站变电站变电站调度中心调度中心虚线表示管理关系虚线表示管理关系实线表示调度关系实线表示调度关系电监会电监会发发电电集集团团公公司司各各级级电电网网公公司司电电力力调调度度数数据据网网发发电电数数据据网网电电力力数数据据网网发电厂发电厂发电厂发电厂发电厂发电厂调度中心调度中心变电站变电站变电站变电站调度中心调度中心虚线表示管理关系虚线表示管理关系实线表示调度关系实线表示调度关系2020/1/2321电力二次系统安全防护的目标与重点电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全;电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。2020/1/2322电力二次系统主要安全风险(1)随着通信技术和网络技术的发展,接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战;因特网和Internet技术已得到广泛使用,E-mail、Web和PC的应用也日益普及,但同时病毒和黑客也日益猖獗;目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时,对网络安全问题重视不够,使得具有实时远方控制功能的监控系统,在没有进行有效安全隔离的情况下与当地的MIS系统或其他数据网络互连,构成了对电网安全运行的严重隐患;优先级风险说明/举例0旁路控制(BypassingControls)入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。1完整性破坏(IntegrityViolation)非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数据。2违反授权(AuthorizationViolation)电力控制系统工作人员利用授权身份或设备,执行非授权的操作。3工作人员的随意行为(Indiscretion)电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。4拦截/篡改(Intercept/Alter)拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用(IllegitimateUse)非授权使用计算机或网络资源。6信息泄漏(InformationLeakage)口令、证书等敏感信息泄密。7欺骗(Spoof)Web服务欺骗攻击;IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份,进入电力监控系统。9拒绝服务(Availability)向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。10窃听(Eavesdropping)黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击准备数据。电力二次系统主要安全风险(2)2020/1/2324二次系统安全防护总体原则系统性原则(木桶原理);简单性原则;实时、连续、安全相统一的原则;需求、风险、代价相平衡的原则;实用与先进相结合的原则;方便与安全相统一的原则;全面防护、突出重点的原则;分层分区、强化边界的原则;整体规划、分步实施的原则;责任到人,分级管理,联合防护的原则;2020/1/2325安全防护模型PolicyProtectionDetectionResponse防护检测反应策略2020/1/2326相关的安全法律法规《关于维护网络安全和信息安全的决议》《中华人民共和国计算机信息系统安全保护条例》《计算机信息系统保密管理暂行规定》《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》《计算机信息网络国际联网安全保护管理办法》《计算机信息系统安全保护等级划分准则》《电力工业中涉及的国家秘密及具体范围的规定》《电网和电厂计算机监控系统及调度数据网络安全防护的规定》《电力二次系统安全防护规定》2020/1/2327电力二次系统安全防护总体策略安全分区:根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用:建立调度专用数据网络,实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与办公自动化系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。纵向认证:采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。2020/1/2328电力二次系统的安全区划分安全区Ⅰ:实时控制区安全区Ⅱ:非控制生产区安全区Ⅲ:生产管理区安全区Ⅳ:管理信息区2020/1/2329安全区Ⅰ:实时控制区安全区Ⅰ中的业务系统或功能模块的典型特征为直接实现实时监控功能,是电力生产的重要必备环节,系统实时在线运行,使用调度数据网络或专用通道。安全区Ⅰ的典型系统包括调度自动化系统、广域相量测