全国电力二次系统安全防护总体方案

《全国电力二次系统安全防护总体方案》由会员分享，可在线阅读，更多相关《全国电力二次系统安全防护总体方案（79页珍藏版）》请在装配图网上搜索。

1、全国电力二次系统全国电力二次系统安全防护总体方案安全防护总体方案2022-6-262安全防护的背景安全防护的背景o 电力二次系统存在安全漏洞（结构、技术、管理等）容易受到黑客、敌对势力的攻击，造成一次系统事故。o 电力是我国国民经济的基础产业，关系到千家万户，关系到国家安定的大局，决不允许出现大的电力系统事故。2022-6-263一些数据一些数据pFBI统计95%的入侵未被发现pFBI和CSI调查484公司发现n31% 有员工滥用Internetn16% 有来自内部未授权的存取n14% 有专利信息被窃取n12% 有内部人的财务欺骗n11% 有资料或网络的破坏p有超过70% 的安全威胁来自你企业

2、内部p中国国内80%的网站存在安全隐患20%的网站有严重安全问题p2000年中国国家信息安全课题组的国家信息安全报告指出以9分为满分计算中国的信息安全强度只有5.5分2022-6-264系统内相关案例系统内相关案例o 二滩水电站分布式控制系统网络发生异常事件；o 银山逻辑炸弹事件；o 龙泉、政平变电站计算机病毒事件；2022-6-265网络面临的主要威胁网络面临的主要威胁o 黑客攻击o 网络的缺陷o 软件的漏洞或后门o 管理的欠缺o 网络内部用户的误操作2022-6-266攻击层次一：通讯攻击层次一：通讯&服务层弱点服务层弱点o 超过1000个TCP/IP服务安全漏洞:n Sendmail,

3、FTP, NFS, File Sharing, Netbios, NIS, Telnet, Rlogin, 等.o 错误的路由配置o 缺省路由帐户o 反向服务攻击o 隐蔽 Modem2022-6-267攻击层次二：操作系统攻击层次二：操作系统o 1000个以上的商用操作系统安全漏洞o 没有添加安全Patcho 文件/用户权限设置错误o 可写注册信息o 缺省用户权限o 简单密码o 特洛依木马2022-6-268攻击层次三：应用程序攻击层次三：应用程序o Web 服务器:n 错误的Web目录结构n Web服务器应用程序缺陷o 防火墙:n 防火墙的错误配置会导致漏洞:o 冒名IP, SYN floo

4、dingo Denial of service attackso 其他应用程序:n Oracle, SQL Server, SAP等缺省帐户n 有缺陷的浏览器2022-6-269常见的攻击方式常见的攻击方式o 病毒virus, 木马程序Trojan, 蠕虫Wormo 拒绝服务和分布式拒绝服务攻击 Dos&DDoso IP地址欺骗和IP包替换 IP spoofing, Packet modificationo 邮件炸弹 Mail bombingo 宏病毒 Marco Viruso 口令破解 Password crack2022-6-2610攻击的工具和步骤攻击的工具和步骤o 标准的TCP/IP工

5、具 (ping, telnet)o 端口扫描和漏洞扫描 (ISS-Safesuit, Nmap, protscanner)o 网络包分析仪 (sniffer, network monitor)o 口令破解工具 (lc3, fakegina)o 木马 (BO2k, 冰河, )2022-6-2611加强网络安全的必要性加强网络安全的必要性o 保证业务系统稳定可靠运行o 防止企业重要信息外泄o 防止企业声誉被毁 2022-6-2612网络安全的定义网络安全的定义o 网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家

6、门就是国门”，安全问题刻不容缓。o 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。o 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。o 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。2022-6-2613网络安全的语义范围网络安全的语义范围o 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性；o 完整性

7、：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性；o 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息；o 可控性：对信息的传播及内容具有控制能力；2022-6-2614电力系统安全防护体系电力系统安全防护体系全国全国全世界全世界非实时非实时调度生产系统调度生产系统准实时准实时非实时非实时2022-6-2615依据中华人民共和国国家经济贸易委员会2002年第30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由

8、此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统计算机监控系统及调度数调度数据网络据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。2022-6-2616重要的名词解释重要的名词解释o 计算机监控系统计算机监控系统：包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、电力市场交易系统等； o 调度数据网络：调度数据网络：包括各级电力调度专用数据网络、用于远程维护及电能量计费等的拨号网络、各计

9、算机监控系统接入的本地局域网络等；2022-6-2617国家经贸委国家经贸委30号令的有关要求号令的有关要求o 各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施专用、可靠的安全隔离设施 o 电力监控系统和电力调度数据网络均不得和互联网相连,并严格限制电子邮件的使用 o 各有关单位应制定安全应急措施和故障恢复措施，对关键数据做好备份关键数据做好备份并妥善存放；及时升级防病毒升级防病毒软件软件及安装操作系统漏洞修补程序；加强对电子邮件的管理；在关键部位配备攻击监测与告警设施配备攻击监测与告警设施，提高安全防护的主动性2022-6

10、-2618电力系统安全防护的基本原则电力系统安全防护的基本原则 电力系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。 -国家经贸委30号令2022-6-2619o 安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统；o 总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络；o 电力通信系统、电力信息系统、电厂信息系统等可参照电力二次系统安全防护总体方案制定具体安全防护方案。2022-6-2620电监会电监会

11、电监会电监会发发发发电电电电集集集集团团团团公公公公司司司司各各各各级级级级电电电电网网网网公公公公司司司司电电电电力力力力调调调调度度度度数数数数据据据据网网网网发发发发电电电电数数数数据据据据网网网网电电电电力力力力数数数数据据据据网网网网发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂调度中心调度中心调度中心调度中心变电站变电站变电站变电站变电站变电站变电站变电站调度中心调度中心调度中心调度中心虚线表示管理关系虚线表示管理关系虚线表示管理关系虚线表示管理关系实线表示调度关系实线表示调度关系实线表示调度关系实线表示调度关系电监会电监会电监会电监会发发发发电电电电集集

12、集集团团团团公公公公司司司司各各各各级级级级电电电电网网网网公公公公司司司司电电电电力力力力调调调调度度度度数数数数据据据据网网网网发发发发电电电电数数数数据据据据网网网网电电电电力力力力数数数数据据据据网网网网发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂发电厂调度中心调度中心调度中心调度中心变电站变电站变电站变电站变电站变电站变电站变电站调度中心调度中心调度中心调度中心虚线表示管理关系虚线表示管理关系虚线表示管理关系虚线表示管理关系实线表示调度关系实线表示调度关系实线表示调度关系实线表示调度关系2022-6-2621o 电力二次系统安全防护的重点是确保电力实时闭环监控系

13、统及调度数据网络的安全；o 电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪 。2022-6-2622电力二次系统主要安全风险（电力二次系统主要安全风险（1）o随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠

14、性、实时性提出了新的严峻挑战；o因特网和Internet技术已得到广泛使用，E-mail、Web和PC的应用也日益普及，但同时病毒和黑客也日益猖獗；o目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时，对网络安全问题重视不够，使得具有实时远方控制功能的监控系统，在没有进行有效安全隔离的情况下与当地的MIS系统或其他数据网络互连，构成了对电网安全运行的严重隐患；优先级优先级风险风险说明说明/举例举例0旁路控制旁路控制（Bypassing Controls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏完整性破坏（Integrity Vi

15、olation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权违反授权（Authorization Violation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截拦截/ /篡改篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用非法使用（Illegitimate Use）非授权使用计算机或网络资源。6信息泄漏信息泄漏（Informat

16、ion Leakage）口令、证书等敏感信息泄密。7欺骗欺骗（Spoof）Web服务欺骗攻击；IP 欺骗攻击。8伪装伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务拒绝服务（Availability）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听窃听（Eavesdropping）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。电力二次系统主要安全风险（电力二次系统主要安全风险（2 2）2022-6-2624二次系统安全防护总体原则二次系统安全防护总体原则o 系统性原则（木桶原理）；o 简单性原则；o 实时、连续、安全

17、相统一的原则；o 需求、风险、代价相平衡的原则；o 实用与先进相结合的原则；o 方便与安全相统一的原则；o 全面防护、突出重点的原则；o 分层分区、强化边界的原则；o 整体规划、分步实施的原则；o 责任到人，分级管理，联合防护的原则；2022-6-26252022-6-2626o 关于维护网络安全和信息安全的决议 o 中华人民共和国计算机信息系统安全保护条例 o 计算机信息系统保密管理暂行规定 o 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 o 计算机信息网络国际联网安全保护管理办法 o 计算机信息系统安全保护等级划分准则 o 电力工业中涉及的国家秘密及具体范围的规定 o 电网

18、和电厂计算机监控系统及调度数据网络安全防护的规定o 电力二次系统安全防护规定 2022-6-2627电力二次系统安全防护总体策略电力二次系统安全防护总体策略 o安全分区安全分区 ：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。o网络专用网络专用 ：建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。o横向隔离横向隔离 ：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，

19、关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。o纵向认证纵向认证 ：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。 2022-6-2628电力二次系统的安全区划分电力二次系统的安全区划分o 安全区：实时控制区o 安全区：非控制生产区o 安全区：生产管理区o 安全区：管理信息区2022-6-2629安全区安全区：实时控制区：实时控制区o安全区中的业务系统或功能模块的典型特征为直接实现实时监控功能，是电力生产的重要必备环节，系统实时在线运行，使用调度数据网络或专用通道。o安全区的典型系统包括调度自动化系统、广域相量测量系统、配电

20、自动化系统、变电站自动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信经由电力调度数据网SPDnet-VPN1。该区中还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要求为毫秒级或秒级。o安全区是电力二次系统中最重要系统，安全等级最高，是安全防护的重点与核心。 2022-6-2630安全区安全区：非控制生产区：非控制生产区 o 安全区中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节，但不具备控制功能，使用调度数据网络，在线运行，与安全区I中的系统

21、或功能模块联系紧密。o 安全区的典型系统包括调度员培训模拟系统（DTS）、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等，其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。o 该区数据的实时性是分钟级、小时级，其外部通信边界为电力调度数据网SPDnet-VPN2。 2022-6-2631安全区安全区：生产管理区：生产管理区 o 安全区III中的业务系统或功能模块的典型特征为：实现电力生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度中心或控制中心工作人员的桌面终端直接相关，与安全区IV的办公自动化系统

22、关系密切。o 该区的典型系统为调度生产管理系统（DMIS）、统计报表系统（日报、旬报、月报、年报）、雷电监测系统、气象信息接入等。o 该区的外部通信边界为电力数据通信网SPTnet-VPN1。 2022-6-2632安全区安全区：管理信息区：管理信息区 o 安全区IV中的业务系统或功能模块的典型特征为：实现电力信息管理和办公自动化功能，使用电力数据通信网络，业务系统的访问界面主要为桌面终端。o 该区包括管理信息系统（MIS）、办公自动化系统（OA）、客户服务等。o 该区的外部通信边界为SPTnet-VPN2及因特网。 2022-6-2633电网二次系统安全防护总体示意图电网二次系统安全防护总体

23、示意图下级调度下级调度/控制中心控制中心上级信息中心上级信息中心下级信息中心下级信息中心实时VPN SPDnet 非实时VPNIP认证加密装置安全区安全区I(实时控制区实时控制区)安全区安全区II(非控制生产区非控制生产区)安全区安全区III(生产管理区生产管理区)安全区安全区IV(管理信息区管理信息区)外部公共因特网生产VPN SPTnet 管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区安全区I(实时控制区实时控制区) 防火墙安全区安全区II(非控制生产区非控制生产区)安全区安全区III(生产管理区生产管理区) 防火墙 防火墙安全区安全区IV(管理信

24、息区管理信息区)专线正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置 防火墙 防火墙 防火墙2022-6-2634电力数据业务与网络的关系示意图电力数据业务与网络的关系示意图 SDH（N2M）SDH（155M）SPDnetSPTnet实时控制在线生产调度生产管理电力综合信息实时VPN非实时VPN调度VPN信息VPN语音视频VPNIP语音视频SDH/PDH传输网2022-6-2635业务系统置于安全区的规则（一）业务系统置于安全区的规则（一）o 根据该系统的实时性、使用者、功能、场所、各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于四

25、个安全区之中。o 实时控制系统或未来可能有实时控制功能的系统需置于安全区。o 电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员使用。2022-6-2636业务系统置于安全区的规则（二）业务系统置于安全区的规则（二）o 某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可将业务系统根据不同的功能模块分为若干子系统分置于各安全区中，各子系统经过安全区之间的通信来构成整个业务系统。o 自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。o 各电力二次系统原则上均应划分

26、为四安全区的电力二次系统安全防护方案，但并非四安全区都必须存在。o 某安全区不存在的条件是:n其本身不存在该安全区的业务。n与其它电网二次系统在该安全区不存在“纵向“互联。2022-6-2637安全区之间的安全强度要求安全区之间的安全强度要求o 安全区安全区与安全区与安全区的业务系统都属电力生产系统，都采用电力调度数据网络，都在线运行，数据交换较多，关系比较密切，可以作为一个生产控制的逻辑大区；安全区安全区与安全区与安全区的业务系统都属管理信息系统，都采用电力数据通信网络，数据交换较多，关系比较密切，可以作为一个管理信息的逻辑大区。生产控制的逻辑大区与管理信息的逻辑大区之间安全强度应该达到相互

27、物理隔离或接近于物理隔离。o 安全区与安全区之间，以及安全区III与安全区IV之间的安全强度应该达到相互逻辑隔离。2022-6-2638安全区之间的横向隔离要求（一）安全区之间的横向隔离要求（一） o安全区I与安全区II之间须采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离，应禁止E-mail、Web、Telnet、Rlogin等服务穿越安全区之间的隔离设备。 o安全区III与安全区IV之间应采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离。2022-6-2639安全区之间的横向隔离要求（二）安全区之间的横向隔离要求（二）o 安全区、不得与安全区直接联系；安全区、与安全区之间应

28、该采用经有关部门认定核准的专用安全隔离装置。专用安全隔离装置应该达到接近物理隔离的强度。o 严格禁止E-MAIL、WEB、TELnet、Rlogin等网络服务和以B/S或C/S方式的数据库访问功能穿越专用安全隔离装置，仅允许纯数据的单向安全传输。o 专用安全隔离装置分为正向型和反向型。从安全区、往安全区必须采用正向安全隔离装置单向传输信息；由安全区往安全区甚至安全区的单向数据传输必须经反向安全隔离装置。反向安全隔离装置采取签名认证和数据过滤措施，仅允许纯文本数据通过，并严格进行病毒、木马等恶意代码的查杀。 2022-6-2640专用外部边界网络专用外部边界网络 o根据系统性原则，各电力二次系统

29、的安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。o安全区、连接的广域网为国家电力调度数据网SPDnet。安全区、连接的广域网为国家电力数据通信网SPTnet。国家电力调度数据网SPDnet与国家电力数据通信网SPTnet应该物理隔离，如基于SDH/PDH上的不同通道、不同波长、不同纤芯等。o安全区和安全区分别连接国家电力调度数据网SPDnet的不同子网。安全区和安全区分别连接国家电力数据通信网SPTnet的不同子网。子网之间应该逻辑隔离，可以通过MPLS-VPN技术、安全隧道技术、PVC技术或路由独立技术等来构造子网。 2022-6-2641安全区

30、与远方通信的纵向安全防护要求安全区与远方通信的纵向安全防护要求 o安全区、接入SPDnet时，应配置纵向认证加密装置，实现网络层双向身份认证、数据加密和访问控制，也可与业务系统的通信网关设备配合，实现部分传输层或应用层的安全功能。如暂时不具备条件或根据具体业务的重要程度，可以用硬件防火墙或ACL技术的访问控制代替。o安全区连接国家电力数据通信网SPTnet的生产子网应通过硬件防火墙接入。o处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度，对I、II区的外部通信网关可以应该增加加密、认证和过滤的功能。o传统的基于专用信道的通信不涉及网络安全问题，可逐步采

31、用线路加密技术保护关键厂站及关键业务。 2022-6-2642安全区安全区及安全区及安全区的防护要求（一）的防护要求（一）o禁止安全区/内部的E-MAIL服务。禁止安全区的WEB服务。o允许安全区内部采用B/S结构的系统，但必须采取有效措施进行封闭。允许安全区纵向WEB服务，其专用WEB服务器和WEB浏览工作站应在“非军事区”的网段，专用WEB服务器应该是经过安全加固且支持HTTPS的安全WEB服务器，WEB浏览工作站与安全区II业务系统工作站不得共用，而且必须由业务系统向WEB服务器单向主动传送数据。o安全区/的重要业务（如SCADA/AGC、电力交易）应该逐步采用认证加密机制。o安全区/内

32、的相关系统间应该采取访问控制等安全措施。2022-6-2643安全区安全区及安全区及安全区的防护要求（二）的防护要求（二）o对安全区/进行拨号访问服务，用户端应该使用UNIX或LINUX操作系统且采取认证、加密、访问控制等安全防护措施。o安全区/边界上可考虑部署入侵检测系统IDS。安全区、可以合用一套IDS管理系统。o安全区/应该考虑部署安全审计措施，应把安全审计与安全区网络管理系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。o安全区/应该采取防恶意代码措施。病毒库和木马库的更新应该离线进行，不得直接从因特网下载。o安全区/内的系统必须经过安全评估。2022-6-264

33、4安全区安全区的防护要求的防护要求 o 安全区允许开通EMAIL、WEB服务。o 对安全区拨号访问服务必须采取访问控制等安全防护措施。o 安全区应该部署安全审计措施，边界上应部署入侵检测系统，如IDS等。o 安全区必须采取防恶意代码措施。 2022-6-2645电力二次系统四安全区拓扑结构电力二次系统四安全区拓扑结构 电力二次系统四安全区的拓扑结构有三种模式，这三种模式均能满足电力二次系统安全防护体系的要求。 专专用用安安全全隔隔离离装装置置 实 时 控 制 区 防火墙 非 控 制 生 产 区 实 时 控 制 区 防火墙 非 控 制 生 产 区 生 产 管 理 区 实 时 控 制 区 防火墙

34、非 控 制 生 产 区 汇聚 链链式式结结构构 三三角角结结构构 星星形形结结构构 生 产 管 理 区 生 产 管 理 区 专专用用安安全全隔隔离离装装置置 专专用用安安全全隔隔离离装装置置 专专用用安安全全隔隔离离装装置置 2022-6-2646o第一阶段是理清流程，修补漏洞。需要对本地系统的物理配置、连接关系，以及信息流程有明晰的认识，必须有业务系统的详细的物理连线图及数据流图。o第二阶段是调整结构，清理边界。按照安全防护方案，做好相应的安全区规划，将各类系统置于对应的安全区内，并增加必要的设备，对各类应用系统和网络设备的配置进行相应的修改。o第三阶段及第四阶段部署横向隔离装置和纵向防护措

35、施。可分阶段逐步实现。o第五阶段部署认证机制。在各类专用装置和与认证机制有关的CA、RA已建立的条件下部署认证机制。o第六阶段为现系统改造和新系统开发。要求二次系统各研究、生产单位按照方案的要求研制新系统，并对现有系统进行改造。2022-6-2647 2022-6-2648网络安全的技术措施网络安全的技术措施o 专用安全隔离装置o 防火墙o 入侵检测设备o 防病毒系统o 系统备份与灾难恢复o 加密与认证o 网络安全评估系统2022-6-2649o电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，要求具有最高的安全防护强度，是安全区I/II横向防护的要点。o安全隔离装置（正向）用于

36、安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。 安全区 I/II安全区 III应用网关应用网关安全隔离装置（正向）安全隔离装置（反向）安全隔离装置的部署：安全隔离装置的部署：2022-6-2650隔离装置的安全保障要求隔离装置的安全保障要求o 采用非INTEL指令系统（及兼容）的微处理器；o 精简的、安全的、固化的操作系统；o 不存在设计与实现上的安全漏洞；o 能够抵御对/区的部分DoS攻击及其他已知的网络攻击。2022-6-2651正向隔离装置的硬件结构及网络连接正向隔离装置的硬件结构及网络连接TCP/IPTCP/IP2022

37、-6-2652正向隔离装置的功能要求（一）正向隔离装置的功能要求（一）o 实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；o 要求用物理方式实现数据完全单向传输，即从安全区到安全区/的TCP应答报文禁止携带应用数据；o 透明工作方式，虚拟主机IP地址、隐藏MAC地址；o 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；o 支持NAT；2022-6-2653正向隔离装置的功能要求（二）正向隔离装置的功能要求（二）o 防止穿透性TCP连接：禁止内网、外网的两个应用网关之间直接建立TCP连接，应将内外两个应用网关之间的TCP连

38、接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许以物理方式实现数据数据单向传输；o 具有可定制的应用层解析功能，支持应用层特殊标记识别；o 安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。2022-6-2654反向隔离装置的工作过程反向隔离装置的工作过程o 安全区III到安全区I/II的唯一数据传递途径；o 安全区III内的数据发送端首先对需发送的数据签名，然后发给反向型专用隔离装置；o 专用隔离装置接收数据后，进行签名验证，并对数据进行内容过滤、有效性检查等处理；o 将处理过的数据转发给安全区I/

39、II内部的接收程序。2022-6-2655反向隔离装置的功能要求反向隔离装置的功能要求o 应满足正向隔离装置的所有基本功能；o 具有应用网关功能，实现应用数据的接收与转发；o 具有应用数据内容有效性检查功能；o 具有基于数字证书的数据签名和验证功能；o 实现两个安全区之间的非网络方式的安全的数据传递，要求用物理方式实现数据完全单向传输，即从安全区/到安全区的TCP应答报文禁止携带应用数据。2022-6-2656IP认证加密装置认证加密装置o 对于纵向通信过程，主要考虑是两个系统之间的认证，具体实现可以由两个通信网关之间的认证实现，或者两处IP认证加密装置之间的认证来实现。o 建议采用对IP认证

40、加密装置之间的认证。o IP认证加密装置用于安全区I/II的广域网边界保护。o 为本地安全区I/II提供类似包过滤防火墙的功能。o 为通信网关间的广域网通信提供具有认证与加密功能的VPN，实现数据传输的机密性、完整性保护。2022-6-2657IP认证加密装置功能认证加密装置功能oIP认证加密装置之间支持基于数字证书的认证，支持定向认证加密；o对传输的数据通过数据签名与加密进行数据机密性、完整性保护；o支持透明工作方式与网关工作方式；o具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能。具有选择加密方向以及对被加密报文进行报文长度或其它被设置特征的选择加密和解密功能；o具有NAT功

41、能；o性能要求：10M/100M线速转发，支持100个并发会话；o具有查询、设置、统计等管理功能，以及相应的友好的用户界面；o多家开发的设备可以互联互通。2022-6-2658纵向通信认证示意图纵向通信认证示意图2022-6-2659远程拨号访问防护方案远程拨号访问防护方案o 拨号的防护措施可以在链路层或网络层实施，采用认证、加密技术保证通信双方身份的真实性和数据的完整性、保密性。o 链路方式：对于以远方终端的方式通过被访问的本地主机的RS232接口直接访问本地主机的情况，采用链路层保护措施，即在两端安装链路加密设备。该方式主要用于安全区I的远程拨号访问。o 网络方式：通过RAS（远程访问服务

42、器）访问本地网络与系统的远程访问，建议采用网络层保护措施，即采用用户端证书与拨号认证加密装置配合的拨号VPN。该方式主要用于安全区II/III的远程拨号访问。2022-6-2660远程拨号访问防护示意图远程拨号访问防护示意图远程拨号访问防护链路方式远程拨号用户链路加密设备设备证书电话网拨号认证加密装置远程拨号用户证书+VPN客户端系统网络RAS服务器电话网远程拨号访问防护网络方式系统主机ModemModem链路保护措施： 使用专用链路加密设备，实现以下安全功能： n两端链路加密设备相互进行认证n对链路帧进行加密网络保护措施： 采用远程访问VPN方式。在RAS与本地网络之间设置拨号认证加密装置，

43、结合用户数字证书，对远程拨入的用户身份进行认证，通过认证后，在远程拨入用户与拨号认证加密装置之间建立IPSecVPN，对网络层数据进行机密性与完整性保护。 相关的安全产品包括：用户端的IPSecVPN客户端插件及相应的加密卡、RAS端的拨号认证加密装置（包括相应的加密设备）。拨号认证加密装置可以是单独的设备，置于RAS与本地网络之间，也可以与RAS集成在一个物理设备中。2022-6-2661传统专用通道的防护传统专用通道的防护 线路加密设备线路加密设备o 线路加密设备可用于传统专线RTU 、保护装置、安控装置通道上数据的加密保护，防止搭线篡改数据。要求该设备具有一定强度的对称加密功能。o 建议

44、新开发的专线RTU、保护装置、安控装置，内置安全加密功能。 2022-6-2662防火墙防火墙o 防火墙产品可以部署在安全区I与安全区II之间（横向），实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方，需要部署在调度数据接入处（纵向）。o 防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。o 具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。2022-6-2663Web服务的使用与防护服务的使用与防护o 在安全区I中取消Web服务。禁止安全区I中的计算机使用浏览器访问安全区II的Web服务。o 安全区II中的Web服务将是安

45、全区I与II的统一的数据发布与查询窗口。考虑到目前Web服务的不安全性，以及安全区II的Web服务需要向整个SPDnet开放，因此在安全区II中将用于Web服务的服务器与浏览器客户机统一布置在安全区II中的一个逻辑子区Web服务子区，置于安全区II的接入交换机上的独立VLAN中。o Web服务器采用安全Web服务器，即经过主机安全加固的，支持SSL、HTTPS的Web服务器，能够对浏览器客户端进行身份认证、以及应用数据加密。2022-6-2664o 数字证书提供以下安全功能：n支持身份认证功能、支持基于证书的密钥分发与加密；n支持基于证书的签名以及基于证书扩展属性的权限管理。o 电力调度业务系

46、统及数据网络中需要发放数字证书的对象：主要包括SCADA系统、电力市场交易系统；主要包括关键应用系统的用户与管理维护人员；主要包括通信网关、IP认证加密装置、专用安全隔离装置、以及部分网络设备。2022-6-2665o 数据与系统备份：n对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。o 设备备用：n对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。o 异地容灾：n对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。2022-

47、6-2666o 病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。2022-6-2667o 对于安全区I与II，建议统一部署一套IDS管理系统。o 考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS）。o 其IDS探头主要部署在：安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。o 主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。2022-6-2668o 安全配置：通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统

48、的专用主机或者工作站， 严格管理系统及应用软件的安装与使用。o 安全补丁：通过及时更新系统安全补丁，消除系统内核漏洞与后门。o 主机加固：安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。o 应用目标：关键应用，包括SCADA/EMS系统服务器、电力市场交易服务器。网络边界处的主机，包括通信网关、Web服务器等等。2022-6-2669o应用程序安全：n禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。o安全审计：n安全

49、审计是安全管理的重要环节。应该引入集中智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。o安全“蜜罐”：n应用“主动防御”思想，在安全区II中的Web子区中，设置“安全蜜罐”，迷惑攻击者，配合安全审计，收集攻击者相关信息。o安全评估技术：n已投运的系统要求进行安全评估，新建设的系统必须经过安全评估合格后方可投运。安安全全区区III信信息息管管理理、发发布布信信息息管管理理、发发布布E-Mail用户Web服务器Web用户电力信息系统 安安全全区区II保护、故

50、录系统水调自动化系统电力交易系统安安全全区区I信信息息采采集集、信信息息采采集集、存存储储、检检索索、存存储储、检检索索、数数据据挖挖掘掘数数据据挖挖掘掘终终端端用用户户终终端端用用户户文件服务雷电监测气象卫星云图计划日报早报安安全全区区I安安全全区区IIWEB调调度度中中心心安安全全防防护护方方案案调调度度中中心心安安全全防防护护方方案案电能量计量系统安全Web服务器安全Web用户广域相量测量系统EMSLDAPIDS探头IDS探头IDS探头IDS探头IP认证加密装置IP认证加密装置PSTN / PSTN / 专专线线专专线线非非实实时时VPN实实时时VPNSPDnet管管理理VPN生生产产V

51、PNSPTnet反向型正向型系系统统外外单单位位系系统统内内单单位位SCADA服务器工作站历史数据服务器PAS服务器对内网关EMSEMS系统物理边界及安全部署示意系统物理边界及安全部署示意系统物理边界及安全部署示意系统物理边界及安全部署示意安全区安全区IIPI4PI4PI4PI4通信网关PI3PI3PI3PI3GPS/频率计数据采集网关PI2PI2PI2PI2拨号维护服务RASRASPI1PI1PI1PI1拨号认证加密装置安全区安全区I其它SCADA /EMS系统厂站监控系统专用通道连接RTU接入交换机区内交换机安全SCADAWEB服务DTS系统SPDnet实时VPNIP认证加密装置终端服务器

52、*终端服务器*：泛指终端服务器及传统的前置机对内网关电力交易系统物理边界及安全部署方案电力交易系统物理边界及安全部署方案电力交易系统物理边界及安全部署方案电力交易系统物理边界及安全部署方案PI3PI3PI3PI3PI1PI1PI1PI1对外网关PI2PI2PI2PI2安全区安全区I其它电力交易系统其它电力交易系统PSTNPSTNPSTNPSTN市场成员报价电能量计量系统EMSEMS电力交易信息发布服务器信息浏览接入交换机区内交换机数据库交易管理结算考核合同管理市场分析预测报价管理报价处理下发计划导出发布数据安全认证GPS/频率计服务器安全区安全区II拨号认证加密装置IP认证加密装置RASRAS

53、工作站工作站安全区安全区III检修信息报价处理电力交易信息发布服务器SPDnet非实时VPNRASSPTnet生产VPNPSTNPSTNPSTNPSTN市场成员报价信息浏览（正向型）（反向型）对内网关电能量计量系统物理边界及安全部署方案电能量计量系统物理边界及安全部署方案电能量计量系统物理边界及安全部署方案电能量计量系统物理边界及安全部署方案PI3PI3PI3PI3电量工作站报表工作站数据库服务器电能量采集及处理服务器对外网关GPS/频率计PI1PI1PI1PI1安全区安全区I其它电能量计量系统电力交易系统EMSEMS电厂/变电站计量装置(正向型）接入交换机区内交换机PSTNPSTNPSTNP

54、STNPI2PI2PI2PI2安全区安全区III生产管理系统安全区安全区II拨号认证加密装置IP认证加密装置SPDnet非实时VPNRASRAS安全区安全区I IEMS系统安全区安全区IIIIII安全区安全区IIII水调自动化系统I1I1I1I1I2I2I2I2I4I4I4I4I3I3I3I3水调自动化系统(气象、水文、防汛)水调自动化系统逻辑边界示意图安全区安全区IIII其他水调系统/水电厂分中心站其他数据源系统SPDnet实时VPN非实时VPNSPTnet生产VPN防火墙防火墙专用安全隔离装置防火墙安全区安全区I I厂/站实时监控系统调度端厂站端IP认证加密装置IP认证加密装置IP认证加密

55、装置IP认证加密装置专用安全隔离装置（正向型）（反向型）EMS系统DMIS系统I6I6I6I6安全区安全区安全区安全区I II3I3I3I3继电保护和故障录波信息系统I5I5I5I5I7I7I7I7保护系统网关其它调度中心继电保护和故障录波信息系统保护设置工作站安全区安全区安全区安全区IIII安全区安全区安全区安全区IIIIII故障录波网关I4I4I4I4I8I8I8I8厂站端厂站端监控系统网关调度端调度端I4I4I4I4PI4PI4PI4PI4PI3PI3PI3PI3外部 公共网外部 公共网PI6PI6PI6PI6客户查询客户帐户管理供电企 业信息系 统SCAD ADA配网实时计算SCA D

56、A/DA系 统电能交易安全区安全区3 3安全区安全区3 3安全区安全区2 2安全区安全区2 2配网调度员培训运行计划和优化GIS副本读表及负荷管理PI7PI7PI7PI7PI5PI5PI5PI5拨号维 护服务PI1PI1PI1PI1PI2PI2PI2PI2RASRAS逻辑隔离逻辑隔离防火墙IP认证加密 装置配电子 站其它调 度中心WEB服务器拨号认 证装置专用通 道配电 SPDnet实时 VPN / 非 实时 VPN交换机安全区安全区1 1安全区安全区1 1安全区安全区4 4安全区安全区4 4AM/FM/GIS生产 VPN / 信 息 VPNSPTnet其他信 息中心PI8PI8PI8PI8客

57、户等配电工作管理配网扩展规划专用 安全 隔离装置 （正 向）专用 安全 隔离装置 （反 向）最终方案最终方案最终方案最终方案调度端调度端厂站端厂站端安全区安全区II安全区安全区I保护设置工作站继电保护和故障录波系统 保护网关SPDnet实时VPN非实时VPN监控网关保护监控.计量故录.安全区安全区I安全区安全区II故障录波网关站级间隔级间隔N间隔N站级专用安全隔离装置（正向型）IP认证加密装置IP认证加密装置IP认证加密装置IP认证加密装置EMS系统水电厂水调自动化系统电量计量终端故障录波装置市场报价终端故障录波系统电力交易系统电能量计量系统调度中心水调调度自动化系统SPDnet实时VPN非实

58、时VPN安全区安全区I安全区安全区II安全区安全区III水电厂生产管理系统气象网关水文网关防汛网关公共数据网或SPTnet水电厂水电厂调度中心调度中心厂级监控系统机组单元控制公用系统闸门控制辅机控制保护安控水电厂监控系统安全区安全区IVMISOA。EMS系统厂级监控系统故障录波系统电力交易系统电能量计量系统火电厂生产管理系统SPDnet实时VPN非实时VPN安全区安全区I安全区安全区II安全区安全区III公共数据网或SPTnet火电厂火电厂调度中心调度中心机组单元控制电量计量终端故障录波装置市场报价终端SIS（无实时控制）保护公用系统安控辅机控制（水煤灰）MISOA安全区安全区IV防火墙防火墙防火墙防火墙防防火火墙墙防防火火墙墙防防火火墙墙专用专用安全安全隔离隔离装置装置正向正向IPIP认证加密装置认证加密装置IPIP认证加密装置认证加密装置IPIP认证加密装置认证加密装置IPIP认证加密装置认证加密装置火电厂监控系统专用专用安全安全隔离隔离装置装置反向反向。SIS(有控制功能)