某地电力二次系统安全防护的设计

某地调电力二次系统安全防护的设计 吐鲁番电业局调度通信中心史忠平2019整理的各行业企管，经济，房产，策划，方案等工作范文，希望你用得上，不足之处请指正目录1、引言12、现状23、整改的方案33.1安全防护的基本原则33.2系统在安全防护中的问题43.3 适应电网的二次防护系统构建53.3.1 EMS与MIS网络间的电力物理隔离53.3.2 其它各区之间的安全策略73.3.3 系统的网络传输控制93.3.4 数据库管理103.3.5 防病毒措施11结束语11后记11参考文献12某地调电力二次系统安全防护的设计【摘要】：电力二次系统是指各级电力监控系统和调度数据网络（SPDnet）以及各级调度管理信息系统(OMS)和电力数据通信网络（SPInet）构成的大系统。本次我们仅就某地区电业局电力二次系统现状，确定电力二次系统的安全区的划分原则，确定各安全区之间在横向及纵向上的防护原则，提出该系统安全防护的思路。国家电网公司依据我公司内部电网二次系统系统的具体情况制定了全国电力二次系统安全防护总体方案，目的是规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全、稳定、经济运行。【关键字】：二次防护，系统，安全区，数据网络1、引言由于随着计算机、Internet的普及以及人们对网络的依赖和使用的深入，病毒、黑客等对计算机、网络的正常使用构成的威胁日渐突出，为防止因病毒或黑客的攻击造调度自动化系统瘫痪、从根本上保证供电企业的自动化系统免受病毒、黑客的攻击，保证供电企业的安全运行。国家经济贸易委员会和国家电力公司相继出台了电力系统自动化方面的网络安全方案。国家经济贸易委员会第30号令电网和电厂计算机监控系统及调度数据网络安全防护规定及国家电力公司国电调2002411号文件详细描述了供电企业内部四个不同工作区之间的信息交换方式，a.安全区为实时控制区，安全保护的核心。凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区。如：调度自动化系统和相量同步测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统 等，是电力二次系统安全保护的重点与核心。b.安全区为非控制业务区，原则上不具备控制功能的生产业务和批发交易业务系统均属于该区，如：水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。该区的外部通信边界为SPDnet的非实时VPN。c.安全区为生产管理区，该区的系统为进行生产管理的系统，如：调度生产管理系统、雷电监测系统、气象信息接入、客户服务等。该区中公共数据库内的数据可提供运行管理人员进行web浏览。该区的外部通信边界为电力数据通信网SPInet。d.安全区IV为管理信息区，如：管理信息系统及办公自动化系统。该区的外部通信边界为SPInet或因特网。2、现状某局目前拥有220KV变电所4座、110KV变电所17座、35KV变电所36座，所有变电所均接入EMS（电网能量管理）系统。实现遥测、遥信、遥控、遥调、SOE、潮流分析等功能，能够适应电网调度运行工作要求。某局目前采用了DF8002V8电网能量管理系统，该系统于2004年3月投入运行。DF8002V8系统采用分布式的设计模式和网络体系结构，基于TCP/IP网络传输协议，功能以Client/Server模式分布于网络中，支持和管理网络中各自独立的数据处理节点，使数据实现共享和统一。DF8002V8电网能量管理系统的主站端包含通道系统、系统服务器两台、前置机服务器两台、Web服务器、高级应用工作站、调度员工作站两台、维护工作站、各工作站通过两台交换机组成实时电网能量管理系统，公司其他部门可通过Web调看画面和数据。一段时间运行表明，DF8002V8系统能够为电网管理提供有效、高质的技术平台，但它在安全防护方面考虑较少，各安全区内部及之间缺少必要的隔离措施，这就造成了现有系统存在安全防护薄弱的事实缺陷。 DF8002V8系统的网络结构中， 服务器、工作站、WEB、前置系统等设备均以总线结构接于一台HUAWEI S2026 24口交换机。单位时间内数据交换流量过大、机器负荷过重，容易造成设备间数据通讯故障，情况严重的甚至可以导致服务器误判网络故障超时，导致自动关闭主程序。同时，经过同一网段进行交换，也增加系统全面感染病毒的可能。系统各服务器、工作站配置的金山防病毒软件版本过老，缺乏及时的特征库升级。各工作站由于虽然规范了使用人员权限并设置了系统口令，但是仍然有暴露系统于非专业人员、调度人员的可能。如果这些人误动了系统数据库，误操作了系统相关功能，后果将不堪设想。3、整改的方案3.1安全防护的基本原则参照全国电力二次系统安全防护总体方案，我们确定电力二次系统的安全防护应遵循以下基本原则1) 安全分区。分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分区，重点保护生产控制以及直接生产电力生产的系统。2) 网络专用。电力调度数据网 SPDnet与电力数据通信网SPInet实现安全隔离，并通过采用MPLS-VPN或IPSECVPN在SPDnet和SPInet分别形成多个相互逻辑隔离的VPN实现多层次的保护。3) 横向隔离。在不同安全区之间采用逻辑隔离装置或物理隔离装置使核心系统得到有效保护。4) 纵向认证、防护。安全区、的纵向边界部署IP认证加密装置；安全区、的纵向边界必须部署硬件防火墙，目前在认证加密装置尚未完善情况下，使用国产硬件防火墙进行防护。整体安全防护隔离情况如下图所示：1.2.3.2系统在安全防护中的问题某局目前所使用的DF8002V8系统作为成熟的电网管理平台，是通过自己独立的网络在安全区I和安全区II中运行，系统既担负着电网实时监测、控制、SOE、数据录库、处理等任务，也为调度人员集成了电压无功优化管理、PAS（网络拓扑、状态分析、负荷预测、调度员潮流分析）等功能，且必须为整合DMIS系统提供支撑。同时，系统必须为电力客户和有关部门提供实时发布浏览的WEB服务。EMS系统独立组网于安全I、II区，DMIS支持软件位于安全III区，而WEB服务器做为连接MIS网的主要设备位于安全III区。实际情况是，调度人员使用的DMIS支撑软件与调度工作站集成于调度I、II区共同使用，WEB服务器在III区间未经过有效的物理隔离设施直接与I、II区相联,且与IV区之间也没有任何防护措施。DF8002V8系统的网络结构中， 服务器、工作站、WEB、前置系统等设备均以总线结构接于一台HUAWEI S2026 24口交换机。单位时间内数据交换流量过大、机器负荷过重，容易造成设备间数据通讯故障，情况严重的甚至可以导致服务器误判网络故障超时，导致自动关闭主程序。同时，经过同一网段进行交换，也增加系统全面感染病毒的可能。系统各服务器、工作站配置的金山防病毒软件版本过老，缺乏及时的特征库升级。各工作站由于虽然规范了使用人员权限并设置了系统口令，但是仍然有暴露系统于非专业人员、调度人员的可能。如果这些人误动了系统数据库，误操作了系统相关功能，后果将不堪设想。3.3 适应电网的二次防护系统构建操作系统的安全、数据库的安全、网络安全、系统权限论证、病毒防范措施构成电网管理系统安全性的各环节。结合我公司系统现状，调度实时系统与MIS网之间的有效隔离，EMS系统人员权限管理、数据库管理、病毒特征库升级管理成为构建二次防护系统的主要问题。3.3.1 EMS与MIS网络间的电力物理隔离根据上图及国家经济贸易委员会第30号令电网和电厂计算机监控系统及调度数据网络安全防护规定: 第三条 电力系统安全防护的基本原则是：电力系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。 第四条 各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。DF8002V8系统需面向MIS网络用户发布实时电网信息。我们的系统需要做如下的变动：l 可以通过一台基于LINUX操作系统的WEB服务器，以数据单向迁移的形式由调度网络将数据镜像发布于WEB服务器，并由WEB服务器生成满足发布浏览要求的WEB页面，供安全III/IV区的用户调用。l 采用物理隔离装置可使安全区之间物理隔离。禁止跨越安全区/与安全区/的非数据应用穿透物理隔离装置的安全防护强度适应由安全区/向安全区/的单向数据传输。由安全区/向安全区/的单向数据传输必须经安全数据过滤网关串接物理隔离装置。由此，我们必须采用软、硬件结合的有效安全隔离措施、保证网络数据共享的同时，实施对非法信息的隔离。结合目前系统情况，可以将现有WEB服务器完全置于安全III区，通过专用电力物理隔离设备实现与安全I、II区的数据共享。专用电力物理隔离设备其它网络系统安全III区WEB服务器EMS系统安全I区EMS与WEB间的电力物理隔离示意图电力专用物理隔离设施必须满足以下条件：(1) 具有物理隔离能力的硬件结构,保证了内部网络和外部网络的物理隔离 (2) 软、硬结合的数据流向控制 通过安全策略实现软控制 （通过单向迁移，实现WEB服务器与物理设备的连接，设置Socket端口建立WEB与隔离设备的链路）。 通过物理开关实现硬控制 (3) Socket连接方向的控制(4) IP与MAC地址绑定 3.3.2 其它各区之间的安全策略将安全I区（实时数据区）与安全II区进行必要的隔离，禁止跨越安全区与的E-MAIL、WEB、telnet、rlogin。即将系统的数据采集部分全部放入安全区，将剩余的SCADA服务、历史数据服务、各客户端以及部分高级应用服务放入安全区，数据采集区配置自己独立的服务器、交换机，并配置相应策略。镜像生成数据、数据单向迁移能够部分的消除数据信息传输过程中遭受病毒、HACKER攻击的概率。LINUX系统由于其能够实现对个体文件、任务进行加密处理的特性，使其较WINDOWS系统更为安全、可靠。由于WEB服务器在身份认证和权限管理方面没有有效措施，同时当LINUX系统中的SAMBA服务使WEB服务器在直接面向与INTERNET互联的MIS网络时为HACKER攻击和病毒入侵提供了漏洞或者端口。因此需要在WEB服务器与MIS网络之间，即在安全III区与安全IV区之间配置一台防火墙，并配置相应策略。防火墙设备其它网络系统安全IV区MIS网络安全III区WEB服务器WEB与MIS网络间的示意图如此配置后的调度自动化拓扑基本就可以确定为下图：3.3.3 系统的网络传输控制拓扑网络中，数据传输与信息交互的控制是需要网络各节点全面控制支持的，因此我们有必要确保网络各环节处于可控、在控状态中，可以利用以下手段实现。（1）、加强口令管理字符数较少的弱口令或默认口令常常会被无关人员记忆，也易被HACKER破译。同时，由于EMS系统担负了远控、数据备份等重要任务，一旦被别有用心的人盗用口令，肆意删除数据或者使用其他功能，企业损失将无法估计。我们可结合现代密码学，使用CA与身份认证保证我们的用户管理。PKI是一个利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服务的统一的技术框架。基于PKI的CA认证系统为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务。最终CA认证体系结构图如下所示：CA认证系统的整体结构CA中心RA中心.调度人员设备密钥管理中心RA中心RA中心调度人员设备调度人员设备（2）、 禁用不必要服务关闭某些网络设备出厂缺省设置，如Finger、BootpServer、IPRedirect、ProxyArp、Directed-Broadcast等服务，另外，在路由器上，对于SNMP、DHCP以及WEB管理服务等，只有绝对必要的时候才可使用这些服务。（3）、 禁止使用远程访问使用远程访问客户端，可以方便系统的远程维护，实现厂家在线技术支持。但是，通过INTERNET的访问控制，必然将系统暴露，为攻击提供访问端口，部分病毒也可以伪装成TXT等格式，入侵系统。（4）、 控制流量有限进入网络为了避免路由器成为DoS攻击目标，用户应该拒绝以下流量进入：没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击，但用户可以限制DoS的危害；另外，用户还可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN的攻击。（5）、合理分配交换机为减轻交换机数据流量和处理任务，我们配置两台交换机，分别构建设前置系统（192.168.0.*）与调度服务器、工作站、WEB（202.0.1.*）两个网段，由此有效提高了数据交互效率，并且减少网络故障概率。3.3.4 数据库管理EMS系统拥有丰富的数据资源、数据库的安全管理成为系统二次防护的重要组成。数据资源主要分布在前置系统的服务器、EMS系统主服务器、WEB服务器、VQC、PAS、DMIS系统站的PC工作站、电能量系统的服务器中。处于安全I、II区的EMS系统各组成设备在物理防护下，面临的威胁主要来自于人的因素。因此我们必须采取以下措施：分解系统维护人员、调度操作人员、设备巡视人员职责，并在EMS的人机交互环节设置体现出来，将人员分组赋予不同权限范围，并实现口令管理，同时在系统中用LOG.TXT记录人员访问操作信息。严格口令管理制度，严禁无关人员使用工作人员口令、权限，并健全相关处罚措施。3.3.5 防病毒措施利用防病毒软件是系统遏止病毒入