搜索
二次系统安全防护案例5二次系统安全防护设备4二次安全防护技术与管理3二次系统安全防护概述1安全防护关键技术措施2电力二次系统电力二次系统是指各级电力监控系统和调度数据网络以及各级电网管理信息系统、电厂管理信息系统、电力通信系统及电力数据通信网络等构成的复杂系统。直接生产、输送、分配和使用电能的设备,称为一次设备。对一次设备进行监察,测量,控制,保护,调节的补助设备称为二次设备电力二次系统示意图二次安防实施背景电网控制设备故障可能引发或扩大电网事故重大停电故障200020012002200320042005200620072008200920102011年信息安全事件2000年10月13日二滩电站收外网信号突甩出力89万千瓦2001年10月1日全国146套故障录波器出现时间逻辑炸弹2003年12月30日三峡送出工程三个换流站感染病毒2008年8月奥运期间涉奥电网受到外网攻击8939次2010年9月,“震网”病毒攻击伊朗核电站设施2003年8月14日美国和加拿大停电2006年11月4日欧洲电网解列停电2007年末08年初我国南方冰雪灾害电网受损2008年5月12日我国汶川地震电网受损2009年11月1日和2011年2月4日巴西电网停电2011年3月,日本9.0级大地震引发海啸导致福岛核电危机相关法规及文件为了贯彻落实国家电力监管委员会第5号令《电力二次系统安全防护规定》(简称《5号令》)和原国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》(简称《30号令》),构建电力二次系统安全防护体系,保障电力二次系统的安全,从而保障电力系统的安全稳定运行,制定电力二次安全防护方案。相关法规及文件国网公司和电监会,以5号令和总体方案为指导,编制了各种电力二次系统专用安全防护产品技术规范、功能规范、检测评估规范等系列标准规范,严格把关二次系统安全防护产品开发、方案设计、系统建设等工作,确保了各厂家各系统间接口吻合、功能一致、性能匹配,专用产品与通用产品之间能够保证可靠互联互通,达到设计的安全防护强度,确保安全防护措施运行稳定可靠相关法规及文件《电力二次系统安全防护规定》2004•《电力二次系统安全防护总体方案》•《省级及以上调度中心二次系统安全防护方案》•《地、县级调度中心二次系统安全防护方案》•《变电站二次系统安全防护方案》•《发电厂二次系统安全防护方案》•《配电二次系统安全防护方案》•《负荷管理系统安全防护补充技术规定》•《中长期电力交易系统安全防护补充技术规定》•《中低压配电网自动化系统安全防护补充技术规定》《电力行业网络与信息安全监督管理暂行规定》2007《电力行业信息系统安全定级工作指导意见》2007电力二次系统安全隐患分析一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时,在没有进行有效安全防护的情况下与外网互连。电力监控系统和数据网络本身缺乏必要的安全防护措施。存在直接进入设备系统机房,或采用线路搭结手段,进入计算机监控系统的可能性。存在不安全拨号等后门。对自动化设备的研发和生产过程缺乏有效的安全管理方法。管理及运行人员缺乏必要的经验和安全意识。总体方案:主要目标电力信息系统电力调度系统出口出口调度中心电厂变电站控制系统外部因特网建立电力二次系统安全防护体系,有效抵御黑客、恶意代码等各种形式的攻击,尤其是集团式攻击,重点是保障电力二次系统安全稳定,防止由此引起电力系统事故。电力二次系统安全防护体系4、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区1234在对电力二次系统进行了全面系统的安全分析基础上,提出了十六字总体安全防护策略。电力二次系统安全防护体系不同的安全区域确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,其中控制区(安全区Ⅰ)的安全等级相当于计算机信息系统安全保护等级的第4级,非控制区(安全区II)相当于计算机信息系统安全保护等级的第3级。安全分区是电力二次安全防护体系的基础。电力二次系统安全防护体系•安全区Ⅰ是实时控制区,安全保护的重点与核心•凡是实时监控系统或具有实时监控功能的系统其监控功能部分均应属于安全区Ⅰ。•例如调度中心中EMS系统和广域相量测量系统(WAMS)、配电自动化系统、变电站自动化系统、发电厂自动监控系统或火电厂的管理信息系统(SIS)中AGC功能、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。其面向的使用者为调度员和运行操作人员,数据实时性为秒级,外部边界的通信均经由电力调度数据网(SPDnet)的实时虚拟专用网(VPN)。区中还包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等,这类系统对数据通信的实时性要求为毫秒级或秒级,是电力二次系统中最为重要系统,安全等级最高。电力二次系统安全防护体系•安全区Ⅱ是非控制生产区•原则上不具备控制功能的生产业务和批发交易业务系统或系统中不进行控制的部分均属于安全区Ⅱ。•属于安全区Ⅱ的典型系统包括水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级。该区的外部通信边界为SPDnet的非实时VPN电力二次系统安全防护体系•安全区Ⅲ、IV是管理信息区•该区包括进行生产管理的系统,典型的系统为雷电监测系统、气象信息接入等。本安全区内的生产系统采取安全防护措施后可以提供WEB服务。该区的外部通信边界为电力数据通信网(SPTnet)。办公管理信息系统、客户服务等。该区的外部通信边界为SPTnet及因特网。该区在本文件中不作详细规定,但必须具备必要的安全防护措施总体方案:安全分区实时子网非实时子网纵向加密认证装置控制区(安全区I)非控制区(安全区II)外部公共因特网电力企业数据网防火墙防火墙纵向加密认证装置/防火墙纵向加密认证装置纵向加密认证装置/防火墙控制区(安全区I)非控制区(安全区II)防火墙防火墙专线专用安全隔离装置专用安全隔离装置(正向型)(反向型)生产控制大区生产控制大区管理信息大区管理信息大区专用安全隔离装置专用安全隔离装置(正向型)(反向型)逻辑隔离设施逻辑隔离设施调度数据网根据需要设立若干业务安全区根据需要设立若干业务安全区SDH(N×2M)SDH(155M)SPDnetSPTnet实时控制在线生产调度生产管理电力综合信息实时VPN非实时VPN调度VPN信息VPN语音视频VPNIP语音视频SDH/PDH传输网电力调度数据网电力企业数据网总体方案:网络专用电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。子网之间可采用MPLS-VPN技术、安全隧道技术、PVC技术或路由独立技术等来构造子网。电力调度数据网是电力二次安全防护体系的重要网络基础。总体方案:网络专用网络安全隔离装置正向型/反向型简介网络安全隔离装置部署在生产控制大区和信息管理大区之间,即安全区I/II与非安全区III/Ⅳ的边界处,完成安全区与非安全区之间的单向通讯功能。按照功能不同,网络安全隔离装置分为正向型和反向型。纵向加密认证装置调度数据网VPNSCADA服务器网关机网关机当地监控服务器自动化系统自动化系统纵向加密认证装置总体方案:纵向认证电力专用纵向加密认证网关简介纵向加密认证装置部署在电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II的广域网边界保护。可为本地安全区I/II提供一个网络屏障,同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。纵向加密认证装置部署示意纵向加密认证装置纵向加密认证装置路由器路由器国家电力调度数据网络国家电力调度数据网络I/III/II级级省级电力调度数据网络省级电力调度数据网络III/IVIII/IV级级网调网调省调省调国调国调地调地调厂站厂站厂站厂站县调县调纵向加密认证装置纵向加密认证装置路由器路由器国家电力调度数据网络国家电力调度数据网络I/III/II级级省级电力调度数据网络省级电力调度数据网络III/IVIII/IV级级网调网调省调省调国调国调地调地调厂站厂站厂站厂站县调县调二次系统安全防护案例5二次系统安全防护设备4二次安全防护技术与管理3二次系统安全防护概述1安全防护关键技术措施2备份与恢复数据与系统备份对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。设备备用对关键主机设备、网络的设备与部件进行相应的热备份与冷备份,避免单点故障影响系统可靠性。异地容灾对实时控制系统、电力市场交易系统,在具备条件的前提下进行异地的数据与系统备份,提供系统级容灾功能,保证在规模灾难情况下,保持系统业务的连续性。备份系统在一定的备份策略的引导下,通过磁带库等设备对系统进行备份也十分必要。备份系统由备份管理系统和备份设备构成。备份策略:全备份(FullBackup),增量备份(IncrementalBackup)(又分:差量备份及累计备份)防病毒措施病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。防火墙防火墙产品可以部署在安全区I与安全区II之间(横向),实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方,还需要考虑在调度数据接入处部署(纵向),以保证本地调度系统的安全。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。入侵检测IDS对于安全区I与II,建议统一部署一套IDS管理系统。考虑到调度业务的可靠性,采用基于网络的入侵检测系统(NIDS),其IDS探头主要部署在:安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。对于安全区III,禁止使用安全区I与II的IDS,建议与安全区IV的IDS系统统一规划部署。主机防护安全配置通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应用软件的安装与使用。安全补丁通过及时更新系统安全补丁,消除系统内核漏洞与后门。主机加固安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。应用目标关键应用,包括SCADA/EMS系统服务器、电力市场交易服务器等等。网络边界处的主机,包括通信网关、Web服务器。计算机系统本地访问控制技术措施结合用户数字证书,对用户登录本地操作系统,访问操作系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。计算机系统本地访问控制需要的技术产品包括:用户证书介质,如IC卡、USBKey;本地加密设备,如:加密卡、加密USBKey;访问控制安全插件,实现认证与访问控制功能;应用目标对于调度端安全区I中的SCADA/EMS系统,安全区II中的电力市场交易系统,厂站端的控制系统要求采用本地访问控制手段进行保护。关键应用系统服务器访问控制技术措施调度系统内部关键应用,要求在调度系统CA建成后,充分利用这一PKI基础设施,在身份认证、授权、访问控制、安全通信、行为审计方面进行安全增强。对于新开发的关键应用系统,要求本身实现了基于调度CA证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。应用目标安全区I中的SCAD