电力二次系统安全防护

电力二次系统安全防护知识介绍主要内容电力二次系统安全防护知识背景电力二次系统安全防护的基本原则安全防护技术和装置发电厂二次系统安全防护方案电力二次系统安全防护知识背景主要法规和文件2002年5月，国家经贸委发布30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》。2004年12月，电监会下发第5号令《电力二次系统安全防护规定》。2006年，电监会下发第34号文关于印发《电力二次系统安全防护方案》等安全防护方案的通知。电力二次系统安全防护知识背景电监安全〔2006〕34号配套文件1.《电力二次系统安全防护总体方案》2.《省级及以上调度中心二次系统安全防护方案》3.《地、县级调度中心二次系统安全防护方案》4.《变电站二次系统安全防护方案》5.《发电厂二次系统安全防护方案》6.《配电二次系统安全防护方案》电力二次系统安全防护知识背景目标和重点电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全。目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪。电力二次系统安全防护知识背景电力二次系统安全防护总体策略安全分区：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用：建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。横向隔离：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。纵向认证：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。电力二次系统安全防护知识背景安全分级负责制国家电力监管委员会负责电力二次系统安全防护的监管，组织制定电力二次系统安全防护技术规范并监督实施。电力企业应当按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”和属地化管理的原则，认真履行网络信息安全职责。将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系，各电力企业负责所辖范围内计算机及数据网络的安全管理。各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员。电力二次系统安全防护知识背景安全分级负责制电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的二次系统安全防护的技术监督。发电厂内涉及到电力调度的生产控制系统和装置，如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动装置等，由电力调度机构和发电厂的上级主管单位共同实施技术监督，发电厂内其它二次系统安全防护可由其上级主管单位实施技术监督。电力二次系统安全防护的基本原则原则和重点电力二次系统安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对基于网络的生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。电力二次系统安全防护的基本原则电力二次系统的安全区划分生产控制大区控制区（安全区Ⅰ）非控制区（安全区Ⅱ）管理信息大区生产管理区（安全区Ⅲ）管理信息区（安全区Ⅳ）根据需要划分安全区生产控制大区管理信息大区控制区（安全区I）非控制区（安全区II）逻辑隔离上级调度中心或控制主站根据需要划分安全区生产控制大区管理信息大区控制区（安全区I）非控制区（安全区II）逻辑隔离下级调度中心或厂站实时VPN非实时VPN企业数据网因特网专线专线电力二次系统安全防护的基本原则生产控制大区的安全区划分控制区（安全区Ⅰ）：控制区中的业务系统或功能模块是电力生产的重要环节，直接实现对电力一次系统实时监控，纵向数据通信使用电力调度数据网络或专用信道。非控制区（安全区Ⅱ）：非控制区中的业务系统或功能模块是电力生产的必要环节，在线运行但不具备控制功能，纵向数据通信使用电力调度数据网络或专用信道。电力二次系统安全防护的基本原则控制安全区的典型业务系统能量管理系统（SCADA、AGC、AVC）广域相量测量系统配电网自动化系统变电站自动化系统发电厂自动监控系统继电保护系统安全自动控制系统低频（低压）自动减负荷系统电力二次系统安全防护的基本原则非控制安全区的典型业务系统调度员培训模拟系统水库调度自动化系统故障录波信息管理系统电能量计量系统电力市场运营系统电力二次系统安全防护的基本原则管理信息大区的安全区划分可根据具体情况划分安全区，但不应影响生产控制大区的安全。安全区Ⅲ：通过电力企业数据网络进行远方通信的生产管理系统（包括电力监管信息系统、雷电监测系统、气象信息、DMIS等）。安全区Ⅳ：与因特网互联并允许对其进行访问的管理信息系统和企业办公区域（包括营销系统、OA、MIS等）电力二次系统安全防护的基本原则生产控制大区内部的安全防护禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务，可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。生产控制大区重要业务（如SCADA/AGC）、电力市场交易等）的远程通信必须采用加密认证机制，对已有系统逐步改造。电力二次系统安全防护的基本原则生产控制大区内部的安全防护生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通。生产控制大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的。安全加固的操作系统，并采取加密、认证和访问控制等安全措施。生产控制大区边界上可以部署入侵检测系统。电力二次系统安全防护的基本原则生产控制大区内部的安全防护生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。生产控制大区应该统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。电力二次系统安全防护的基本原则管理信息大区的安全要求应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。电力二次系统安全防护的基本原则网络专用电力调度数据网：专为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务。电力企业数据网：承载管理信息大区中各业务之间的信息交互的电力实时控制、在线生产交易等业务。电力调度数据网与电力企业数据网之间在物理层面上安全隔离。安全防护技术和装置横向隔离技术横向隔离技术是电力二次系统安全防护体系的横向防线，是二次系统安全防护体系的重要技术措施。生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度接近或达到物理隔离。安全区Ⅰ与安全区Ⅱ之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。安全区Ⅲ与安全区Ⅳ之间应采用具有访问控制功能的网络设备（如防火墙）实现逻辑隔离。安全防护技术和装置正向隔离装置基本功能非网络数据交换，内外两个处理系统不同时连通。数据完全单向传输。透明工作模式，虚拟主机IP地址、隐藏MAC地址。基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。割断穿透性TCP连接。应用层解析功能，支持标记识别。安全方便的维护管理，支持数字证书的管理员认证。安全防护技术和装置反向隔离装置基本功能应用网关功能，实现数据的接收与转发。具有数字证书的签名/解签名功能。纯文本编码检查与转换功能。基于E语言纯文本文件的强过滤功能透明工作模式，虚拟主机IP地址、隐藏MAC地址。基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。割断穿透性TCP连接。安全方便的维护管理，支持数字证书的管理员认证。安全防护技术和装置正、反向隔离装置的部署CPU1单向传输CPU2纯数据CPU1单向传输CPU2纯数据正向隔离装置反向隔离装置应用服务器信源A应用服务器信源B纯文本E语言纯文本E语言单向UDP单向UDPUDP(1/0)UDP(1/0)安全防护技术和装置加密认证技术加密认证技术是电力调度数据网安全防护体系的重要技术支撑手段。在各级调度中心（网省、地县与厂站）的控制区与调度数据网的边界应部署电力专用纵向加密认证装置或加密认证网关。采用电力专用密码与认证技术，保证上下级调度中心与厂站纵向数据通信机密性和完整性。调度数据网省调地调厂站管理中心安全防护技术和装置纵向加密装置的部署•按照分级管理要求，纵向加密认证装置部署在各级电力调度通信中心及下属的各厂站，根据电力调度关系建立加密隧道。•管理中心完成对所辖的多厂商的纵向加密设备进行统一管理。安全防护技术和装置电力调度数字证书电力调度数字证书系统是电力二次系统安全防护的基础安全设施。基于公钥技术的分布式数字证书系统，为生产控制大区的关键应用、关键用户和关键设备提供数字证书服务。电力专用密码与认证技术，保证上下级调度中心与厂站纵向数据通信机密性和完整性。安全防护技术和装置安全拔号认证技术安全拔号认证技术是电力二次系统安全远程接入访问的重要防护手段。在各级调度中心（网省、地县与厂站）的拔号应用场合应部署安全拔号认证装置对来自用电话网的接入用户进行安全认证和数据加密传输。安全防护技术和装置安全拔号认证装置功能客户端安全检查。采用安全操作系统，并结合数字证书进行登录认证。线路加密。对拨号线路的数据采用高强度加密算法进行保护。访问控制。对远程拨号用户进行基于地址、端口、时间、协议等综合过滤。支持对关键访问资源的读、写、执行权限进行细粒度的控制。日志审计。记录远程拨号用户所有的登录行为，支持Syslog日志输出。安全防护技术和装置安全拔号认证装置的部署PSTN正向隔离装置反向隔离装置安全拨号认证装置安全拨号认证装置生产控制大区管理信息大区•对拨号人员采用智能卡或文件证书认证，并进行数据传输加密。•安全拨号认证装置部署在电力系统内网与公用电话交换网之间。发电厂二次系统安全防护方案总体方案控制区管理信息大区PMU逻辑隔离发电厂企业数据网或公共数据网非控制区安控保护网控监控系统电能量采集装置市场报价终端故障录波装置生产管理系统MISOA实时VPN非实时VPNEMSWAMS电能量计量系统电力市场运营系统故障信息管理系统逻辑隔离调度中心电力调度数据网发电厂二次系统安全防护方案总调直调电厂业务接入方案纵向互联的主要设备包括各业务系统通信子站或终端、纵向业务汇聚交换机、纵向互联硬件防火墙、纵向加密认证装置以及调度数据网路由器和交换机设备，各设备均采用冗余备用结构；纵向业务汇聚交换机直接使用调度数据网的接入交换机。通过采用逻辑隔离技术，将纵向业务汇聚交换机划分成逻辑上相互独立的控制区和非控制区，分别用于控制区和非控制区内有纵向数据通信的业务系统汇集接入、接入系统之间的访问控制和纵向互联；发电厂二次系统安全防护方案总调直调电厂业务接入方案为实现控制区有关业务系统可同时使用实时VPN和非实时VPN进行信息传输，配置另外2台纵向互联硬件防火墙2，布置在业务系统通信服务器与纵向业务汇聚交换机之间；配置2台纵向加密认证装置，布置在纵向业务汇聚交换机的控制区和调度数据网路由器之间，用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密，保证系统链接的合法性和数据传输的机密性及完整性；发电厂二次系统安全防护方案总调直调电厂业务接入方案配置2台纵向互联硬件防火墙1，布置在纵向业务汇聚交换机的非控制区和调度数据网路由器之间，用于本地非控制区与远端非控