电力二次系统安全防护培训2014年12月引言电力二次系统为什么要重视安全防护?银行系统的安全防护优先级风险说明/举例0旁路控制(BypassingControls)入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。1完整性破坏(IntegrityViolation)非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数据。2违反授权(AuthorizationViolation)电力控制系统工作人员利用授权身份或设备,执行非授权的操作。3工作人员的随意行为(Indiscretion)电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。4拦截/篡改(Intercept/Alter)拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用(IllegitimateUse)非授权使用计算机或网络资源。6信息泄漏(InformationLeakage)口令、证书等敏感信息泄密。7欺骗(Spoof)Web服务欺骗攻击;IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份,进入电力监控系统。9拒绝服务(Availability,e.g.DoS)向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。10窃听(Eavesdropping,e.g.DataConfidentiality)黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击准备数据。二次系统主要安全风险二次安防实施背景电网控制设备故障可能引发或扩大电网事故重大停电故障200020012002200320042005200620072008200920102011年信息安全事件2000年10月13日二滩电站收外网信号突甩出力89万千瓦2001年10月1日全国146套故障录波器出现时间逻辑炸弹2003年12月30日三峡送出工程三个换流站感染病毒2008年8月奥运期间涉奥电网受到外网攻击8939次2010年9月,“震网”病毒攻击伊朗核电站设施2003年8月14日美国和加拿大停电2006年11月4日欧洲电网解列停电2007年末08年初我国南方冰雪灾害电网受损2008年5月12日我国汶川地震电网受损2009年11月1日和2011年2月4日巴西电网停电2011年3月,日本9.0级大地震引发海啸导致福岛核电危机二滩水电厂异常停机事件;故障录波装置“时间逻辑炸弹”事件;换流站控制系统感染病毒事件;电力二次系统安全事件近年世界上大停电事故反映出电力二次系统的脆弱性和重要性。内容大纲电力调度数据网简介电力二次系统安全防护基本原则安全防护技术和装置二次安防相关文件学习电厂二次系统安全防护方案及业务接入方案第一部分电力调度数据网简介相关文件精神发改委2014年第14号令《电力行业信息系统安全定级工作指导意见》2007关于印发《电力二次系统安全防护总体方案》等安全防护方案的通知(电监安全〔2006〕34号)总体方案:主要目标电力信息系统电力调度系统出口出口调度中心电厂变电站控制系统外部因特网建立电力二次系统安全防护体系,有效抵御黑客、恶意代码等各种形式的攻击,尤其是集团式攻击,重点是保障电力二次系统安全稳定,防止由此引起电力系统事故。1)系统性原则(木桶原理);2)简单性原则;3)实时、连续、安全相统一的原则;4)需求、风险、代价相平衡的原则;5)实用与先进相结合的原则;6)方便与安全相统一的原则;7)全面防护、突出重点(实时闭环控制部分)的原则8)分层分区、强化边界的原则;9)整体规划、分步实施的原则;10)责任到人,分级管理,联合防护的原则。总体方案:总体原则PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护检测检测反应反应策略策略PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护检测检测反应反应策略策略防火墙、防病毒、横行隔离装置、纵向加密认证装置等入侵检测、安全审计、安全综合告警等快速响应、调度系统联合防护、网络快速处理等总体方案:防护模型和技术路线综合采用通用安全技术,开发关键专用安全技术。电力二次系统安全防护体系4、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区1234在对电力二次系统进行了全面系统的安全分析基础上,提出了十六字总体安全防护策略。总体方案:安全分区实时子网非实时子网纵向加密认证装置控制区(安全区I)非控制区(安全区II)外部公共因特网电力企业数据网防火墙防火墙纵向加密认证装置纵向加密认证装置纵向加密认证装置控制区(安全区I)非控制区(安全区II)防火墙防火墙专线专用安全隔离装置专用安全隔离装置(正向型)(反向型)生产控制大区生产控制大区管理信息大区管理信息大区专用安全隔离装置专用安全隔离装置(正向型)(反向型)逻辑隔离设施逻辑隔离设施调度数据网根据需要设立若干业务安全区根据需要设立若干业务安全区SDH(N×2M)SDH(155M)SPTnet实时控制在线生产调度生产管理电力综合信息实时VPN非实时VPN调度VPN信息VPN语音视频VPNIP语音视频SDH/PDH传输网电力调度数据网电力企业数据网总体方案:网络专用总体方案:横向隔离•物理隔离装置(正向型/反向型)2019/8/317电力专用网络安全隔离设备正向型设备反向型设备2019/8/3隔离设备作用•正向型网络安全隔离设备采用软、硬结合的安全措施,在硬件上使用双嵌入式计算机结构,通过安全岛装置通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。将外网到内网传递的应用数据大小限定为1个bit,保证从低安全区到高安全区的TCP应答禁止携带应用数据。•反向型网络安全隔离设备文件发送软件,实现E语言文件计划自动或手动地从外网到内网的传输,传输过程中,发送端程序对外网数据进行双字节转换及数字签名,设备比对签名进行验证,对验证通过的报文再进行双字节检查,这样检查通过的报文才可以进入内网,以保证内网系统的安全。2019/8/3物理隔离装置接口/型号•型号性能分:普通型增强型功能分:正向、反向•接口配置两个CONSOLE口(管理设备用)两个COM口(输出告警信息)四个10/100M网卡(2内+2外)两个电源插座、两个电源开关2019/8/3安全岛原理示意图1.数据到达接口机A,这时接口机A与安全半岛间,安全半岛与接口机B间均处于断开状态。2.接口机A确认数据可以通过后,与安全半岛连通,将数据送上安全半岛。然后断开与安全半岛的连接。3.接口机A通知接口机B,安全半岛上有待收数据。4.接口机B与安全半岛连通,取走数据,然后断开与安全半岛的连接5.接口机B根据收到的数据,组织报文,将数据发出。6.反方向只有单个比特位。接口机A安全半岛接口机B断开断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开断开2019/8/3物理隔离装置正向型(高安全区到低安全区)•通过配置,可以建立非穿透的TCP连接•反向仅能传输1bit的确认数据反向型(低安全区到高安全区)•仅能传输E文本,不能建立数据连接•客户端程序需加装数字证书,对数据进行加密认证纵向加密认证装置调度数据网VPNSCADA服务器网关机网关机当地监控服务器自动化系统自动化系统纵向加密认证装置总体方案:纵向认证在访问控制(防火墙功能)基础上,同时具备加密和认证的功能数据网安全纵向加密装置拓扑防护交换机1省调路由器纵向加密认证装置数据网接入交换机Com2com1Com1省调系统交换机2交换机com2纵向设备管理中心加密卡Com2Com1备调交换机1交换机2地调系统厂站RTUIP1IP2电力调度数据网纵向加密装置的算法对称加密算法:用于数据加密,采用国密办指定的专用分组加密算法,分组长度128位,密钥长度128位。非对称加密算法:用于数字签名和数字信封,采用RSA1024散列算法:用于数据完整性验证,采用国密办指定的算法或MD5随机数生成算法:采用WNG-4噪音发生器芯片协商原理公开密钥密码体制(RSA)•公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(大素数分解)•在公开密钥密码体制中,加密密钥(即公钥)是公开信息,而解密密钥(即私钥)是需要保密的。加密算法和解密算法也都是公开的。•虽然私钥是由公钥决定的,但却不能根据公钥计算出私钥。协商原理协商原理协商原理协商请求:SN,B证书加密(随机数A),A私钥签名A侧B侧协商应答:SN+1,A证书加密(随机数B),B私钥签名协商成功:SN+2,摘要(随机数A与随机数B)协商原理协商状态四种:Init:初始状态,未发送协商请求。Request:协商请求状态。Respone:协商应答状态。Opened:隧道建立成功状态。MaryRick明文密文明文加密操作解密操作公钥私钥数据传输过程协商完成后,建立隧道,主机A访问主机B全过程①主机A向主机B发送报文192.168.1.1-192.168.2.1(TCP协议)②纵向装置A在0口接收到该报文,查找策略为加密策略且隧道OPEN,将整个IP报文加密并重新构造IP头,源IP为192.168.1.250,目的IP192.168.2.250,协议为ESP。192.168.1.250-192.168.2.250(ESP协议)③纵向装置B在1口接收到该报文,查找对应隧道进行解密还原,策略判断。发送至eth0口。192.168.1.1-192.168.2.1(TCP协议)④主机B接收到报文,产生应答。主机A纵向A纵向B主机B192.168.2.1192.168.1.1TCP报文目的源协议192.168.2.250192.168.1.250ESP报文(加密)目的源协议192.168.2.1192.168.1.1TCP报文目的源协议192.168.2.1192.168.1.1TCP报文结论纵向加密认证装置更适用于实时通信第三部分安全防护技术和装置问题:接收方如何知道发送方就是合法的?关键技术——电力调度数字证书电力调度数字证书是专用于电力调度业务需要的数字证书,主要用于生产控制大区,可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证(包括数据完整性和数据源认证)等。地市以上调度控制中心应该建立电力调度证书系统。关键技术——电力调度数字证书•用户首先产生自己的密钥对•将自己的公钥及部分个人身份信息传送给认证中心•认证中心验证个人身份。•认证中心对用户的公钥和个人信息进行签名•认证中心发给用户一个数字证书。数字证书颁发过程至此,用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。调度证书系统结构证书链短,认证效率高风险分散国调根国调省调网调其他网调网调省调省调省调省调地调地调2019/8/336电力专用拨号加密认证装置2019/8/337部署位置变电站自动化系统的拨号安全防护方案调度自动化系统的拨号安全防护方案2019/8/338应用场景•按照国家电力调度中心电力二次系统安全防护要求,电力信息系统分为生产控制大区及生产管理大区,电力系统专用拨号加密认证装置主要用于生产控制大区的远程拨号安全接入,参考下图:电力系统专用拨号加密认证装置将TCP/IP网络通讯技术、IPSEC安全隧道技术以及USBKEY加密认证技术完美地融合在一起,为生产控制大区的技术维护人员提供安全的远程接入,实现随时随地以拨号方式接入使用,并且无需网络或应用软件做任何改动,提高维护工作效率,同时保证信息安全。总体方案其他安全防护技术措施备份与恢复数据与系统备份对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩