电力二次系统安全防护方案

.可编辑电力二次系统安全防护方案一、前言为认真贯彻落实国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和2004年12月20日国家电力监管委员会发布[2005]5号令《电力二次系统安全防护规定》等有关文件精神，确保我公司机组安全、优质、稳定运行，根据《全国电力二次系统安全防护总体方案》，结合公司SIS系统当前的实际情况，特制定本方案。二、电力安全防护的总体原则（一）安全防护目标电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。（二）相关的安全防护法规1．2004年12月20日国家电力监管委员会发布[2005]5号令《电力二次系统安全防护规定》2．2002年5月，国家经贸委发布30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》3．2003年12月，全国电力二次系统安全防护专家组和工作.可编辑组发布《全国电力二次系统安全防护总体方案》4．2003年《电力系统安全性评价体系》5．《中国国电集团公司广域网管理办法》6．《中国国电集团公司安全管理规范》7．《中国国电集团公司信息化建设和管理技术路线》8．《中华人民共和国计算机信息系统安全保护条例》9．《计算机信息系统安全保护等级划分准则》（三）电力二次系统安全防护策略电力二次系统安全防护总体框架要求电厂二次系统的安全防护技术方案必须按照国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和国家电力监管委员会[2005]第5号令《电力二次系统安全防护规定》进行设计。同时，要严格遵循集团公司颁布的《中国国电集团公司信息化建设和管理技术路线》中对电力二次系统安全防护技术方案的相关技术要求。1．安全防护的基本原则（1）系统性原则(木桶原理)；（2）简单性和可靠性原则；（3）实时、连续、安全相统一的原则；（4）需求、风险、代价相平衡的原则；（5）实用性与先进性相结合的原则；（6）方便性与安全性相统一的原则；.可编辑（7）全面防护、突出重点的原则；（8）分层分区、强化边界的原则；（9）整体规划、分布实施的原则；（10）责任到人，分级管理，联合防护的原则。2．安全策略安全策略是安全防护体系的核心，是安全工程的中心。安全策略可以分为总体策略、面向每个安全目标的具体策略两个层次。策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全技术体系与管理体系的依据。电力二次系统的安全防护策略为：（1）安全分区：根据系统中各业务的重要性和对一次系统的影响程度划分为四个安全区：控制区Ⅰ、生产区Ⅱ、管理区Ⅲ、信息区Ⅳ，所有系统都必须置于相应的安全区内。（2）网络专用：建立专用电力调度数据网络，与电力企业数据网络实现物理隔离，在调度数据网上形成相互逻辑隔离的实时子网和非实时子网，避免安全区纵向交叉连接。（3）横向隔离：采用不同强度的安全设备隔离各安全区，尤其是在生产控制大区与管理信息大区之间实行有效安全隔离，隔离强度应接近或达到物理隔离。（4）纵向认证：采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护。3．电力二次系统的安全区划分.可编辑根据电力二次系统的特点，各相关业务系统的重要程度和数据流程、目前状况和安全要求，将整个电力二次系统分为四个安全区：I实时控制区、Ⅱ非控制生产区、Ⅲ生产管理区、IV管理信息区。其中，I区和II区组成生产控制大区，Ⅲ区和IV区组成管理信息大区。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高，安全区Ⅱ次之，其余依次类推。在各安全区之间，均需选择适当的经国家有关部门认证的隔离装置。生产控制大区与管理信息大区之间必须采用经国调中心认可的电力专用安全隔离装置。在安全区中内部局域网与外部边界通信网络之间应采用功能上相当于通信网关或强于通信网关的内外网的隔离装置。4．业务系统或功能模块置于安全区的规则根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于四个安全区之中。实时控制系统或未来可能有实时控制功能的系统需置于安全区Ⅰ。如：机组监控系统，实时性很强。用于在线控制，所以置于安全区I。电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于.可编辑高安全区，由属于高安全区的人员使用。某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可根据业务系统的数据流程将不同的功能模块（或子系统）分置于各安全区中，各功能模块（或子系统）经过安全区之间的通信来构成整个业务系统。自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。各电力二次系统原则上均应划分为四安全区，但并非四安全区都必须存在。某安全区不存在的条件是其本身不存在该安全区的业务，且与其它电网二次系统在该层安全区不存在“纵”向互联。如果省略某安全区而导致上下级安全区的纵向交叉，则必须保留安全区间的隔离设备，以保障安全防护体系的完整性。5．安全区之间的横向隔离要求在各安全区之间均需选择适当安全强度的隔离装置，尤其在生产控制大区和管理信息大区之间要选择使用达到或接近物理强度的专用隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。三、实施方案（一）系统安全区规划现场生产控制系统（包括DCS、辅控系统、RTU、省调系统），SIS系统，MIS系统。根据《电力二次安全防护方案第七稿》的.可编辑要求，现有的业务系统中，机组DCS系统、其他辅控系统及RTU应属于安全区I和安全区II，SIS系统应属于安全区III（备注：电厂在前期规划中将SIS系统严格定位至安全区III，从网络方面按照国家对安全区III的相关规定进行规划实施，并且其系统功能方面也完全符合安全III区的定位，即“SIS系统实现电力调度生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度中心或控制中心工作人员的桌面终端直接相关，与安全区IV的办公自动化系统关系密切。”）,MIS系统应属于安全区IV。根据国家二次防护规定，本厂级实时管理信息系统（SIS）在实施过程中安全防护要求及措施如下：该项目所连接现场控制系统，包括主机分散控制系统（DCS）、化水程控系统、输煤程控系统、除灰程控系统和除渣控制系统，属于安全区I，还有RTU系统和省调系统，属于安全区II，都属于生产控制大网的范畴。这些系统与SIS系统数据传输按照国家安全防护规定必须采用经有关部门认定核准的专用安全隔离装置。本项目在现场生产控制系统与SIS服务器之间安置了经国家相关部门认证的电力系统专用网络隔离装置正向型（珠海鸿瑞Hrwall-85M-II），确保现场数据采集完全单向传输，保证了生产控制大网的安全性。本项目还连接了同属于管理信息大网的MIS系统（安全区IV），按照国家安全防护的规定，本系统与MIS系统之间安置了.可编辑防火墙以保证各自系统的安全性。本项目安全防护规划示意图：（见附图二）（二）项目实施介绍在项目的规划和实施过程中，我公司始终遵循国家对电力二次系统安全防护的规定并明确本项目系统在电厂信息自动化系统中所处位置，配置五台得到国家相关部门认证的正向隔离装置用于安全区I/II到安全区III之间，确保数据单向传递，对数据传递的稳定性、完整性、实时性提供了保证，详见附图三。四、隔离装置安全性能说明（一）正向装置对通信程序的限制根据国调对隔离装置的要求，其通信功能如下：1．由内到外的完全单向模式，UDP协议，外网不能返回任何数据。2．由内到外的单向数据模式，TCP协议，外网可以返回（按国调要求）小于4字节的应用层应答数据（并被限制不可重新组成大包）。3．安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。（二）正向隔离装置功能安全隔离装置（正向）具有如下功能：1．实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；.可编辑2．表示层与应用层数据完全单向传输，即从安全区III到安全区I/II的TCP应答禁止携带应用数据；3．透明工作方式：虚拟主机IP地址、隐藏MAC地址；4．基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；5．支持NAT；6．防止穿透性TCP联接：禁止两个应用网关之间直接建立TCP联接，将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。7．具有可定制的应用层解析功能，支持应用层特殊标记识别；（三）装置安全保障要点专用安全隔离装置本身应该具有较高的安全防护能力，其安全性要求主要包括：1．采用非INTEL指令系统的（及兼容）微处理器；2．安全、固化的的操作系统；3．不存在设计与实现上的安全漏洞；4．抵御除DoS以外的已知的网络攻击。（四）设计标准装置采用网络隔离设备及防火墙等技术,属于结合型专用安.可编辑全隔离产品,参考标准如下:1．中华人民共和国国家标准GB/T18020-19992．《信息技术应用级防火墙安全技术要求》3．中华人民共和国国家标准GB/T17900-19994．《网络代理服务器的安全技术要求》5．中华人民共和国国家标准GB/T18019-19996．《信息技术包过滤防火墙安全技术要求》7．中华人民共和国公共安全行业标准8．《网络隔离设备的安全技术要求》（五）安全策略定位1．监控系统的网络安全屏障一个网络隔离装置（作为阻塞点、控制点）能极大地提高一个监控系统的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网络隔离装置，所以网络环境变得更安全。如网络隔离装置可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。网络隔离装置应该可以拒绝所有以上类型攻击的报文并通知网络隔离装置管理员。2．简化网络安全策略，无需修改双端程序通过以网络隔离装置为中心的安全方案配置，能将所有安全.可编辑策略配置在网络隔离装置上。与将网络安全问题分散到各个主机上相比，网络隔离装置的集中安全管理更方便可靠。例如在网络访问时，监控系统通过加密口令/身份认证方式与其它信息系统通信，在电力监控系统基本上不可行，它意味监控系统要重新测试，因此用网络隔离装置集中控制，无需修改双端应用程序是最佳的选择。3．对网络存取和访问进行监控如果所有的访问都经过网络隔离装置，那么，网络隔离装置就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，网络隔离装置能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。4．防止监控系统信息外泄，不为外部攻击创造条件通过网络隔离装置对监控系统及其它信息系统的划分，实现监控系统重点网段的隔离，一个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部细节，例如网络隔离装置可以进行网络地址转换（NAT），这样一台主机IP地址就不会被外界所了解,不会为外部攻击创造条件。.可编辑附图一：二次系统安全部署图EMS系统厂级监控系统故障录波系统电力交易系统电能量计量系统火电厂生产管理系统SPDnet实时子网非实时子网安全区I安全区II安全区III发电数据网或公共数据网火电厂调度中心机组单元控制电量计量终端故障录波装置市场报价终端保护电气控制安控辅机控制