赛晶科技-电力二次安防介绍-20110503.ppt

电力二次系统安全防护介绍 南京赛晶电子科技有限公司 时间 2011 5 3 主要内容 1 电力二次系统安全防护知识背景2 电力二次系统安全防护的基本原则3 安全防护技术和装置4 发电厂二次系统安全防护方案 1 目标 为了确保电力监控系统和电力调度数据网络的安全 抵御黑客 病毒 恶意代码等各种形式的恶意破坏和攻击 特别是抵御集团式攻击 防止电力二次系统的崩溃或瘫痪 以及由此造成的电力系统事故或大面积停电事故 电力二次系统安全防护知识背景 2 依据法规 文件 2002年5月 原国家经贸委发布第30号令 电网和电厂计算机监控系统及调度数据网络安全防护的规定 2004年12月 电监会第5号令 电力二次系统安全防护规定 2006年11月 电监会下发第34号文关于印发 电力二次系统安全防护总体方案 等安全防护方案的通知 电力二次系统安全防护知识背景 主要内容 1 电力二次系统安全防护知识背景2 电力二次系统安全防护基本原则3 安全防护技术和装置4 发电厂二次系统安全防护方案 1 基本原则 安全分区 网络专用 横向隔离 纵向认证 2 重点 主要针对网络系统和基于网络的电力生产控制系统 重点强化边界防护能力 保证电力生产控制系统及重要数据的安全 电力二次系统安全防护基本原则 3 总体框架结构示意图 电力二次系统安全防护基本原则 4 安全区划分 生产控制大区控制区 安全区 非控制区 安全区 管理信息大区可根据具体情况划分安全区 但不应影响生产控制大区的安全 生产管理区 安全区 管理信息区 安全区 电力二次系统安全防护基本原则 4 1 控制区 安全区 控制区中的业务系统或功能模块是电力生产的重要环节 直接实现对电力一次系统实时监控 纵向数据通信使用电力调度数据网络或专用信道 是安全防护的重点与核心 典型业务系统 能量管理系统 SCADA AGC AVC 广域相量测量系统 配电网自动化系统变电站自动化系统 发电厂自动监控系统继电保护系统 安全自动控制系统低频 低压 自动减负荷系统 电力二次系统安全防护基本原则 4 2 非控制区 安全区 非控制区中的业务系统或功能模块是电力生产的必要环节 在线运行但不具备控制功能 纵向数据通信使用电力调度数据网络或专用信道 典型业务系统 调度员培训模拟系统水库调度自动化系统故障录波信息管理系统电能量计量系统电力市场运营系统 电力二次系统安全防护基本原则 4 3 安全区 通过电力企业数据网络进行远方通信的生产管理系统 包括电力监管信息系统 雷电监测系统 气象信息 DMIS等 4 4 安全区 与因特网互联并允许对其进行访问的管理信息系统和企业办公区域 包括营销系统 OA MIS等 电力二次系统安全防护基本原则 5 生产控制大区内部的安全防护 禁止生产控制大区内部的E Mail服务 禁止控制区内通用的WEB服务 允许非控制区内部业务系统采用B S结构 但仅限于业务系统内部使用 允许提供纵向安全WEB服务 可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站 生产控制大区重要业务 如SCADA AGC 电力市场交易等 的远程通信必须采用加密认证机制 对已有系统逐步改造 生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施 限制系统间的直接互通 电力二次系统安全防护基本原则 5 生产控制大区内部的安全防护 生产控制大区的拨号访问服务 服务器和用户端均应使用经国家指定部门认证的 安全加固的操作系统 并采取加密 认证和访问控制等安全措施 生产控制大区边界上可以部署入侵检测系统 生产控制大区应部署安全审计措施 把安全审计与安全区网络管理系统 综合告警系统 IDS管理系统 敏感业务服务器登录认证和授权 应用访问权限相结合 生产控制大区应该统一部署恶意代码防护系统 采取防范恶意代码措施 病毒库 木马库以及IDS规则库的更新应该离线进行 电力二次系统安全防护基本原则 6 管理信息大区的安全要求 应当统一部署防火墙 IDS 恶意代码防护系统等通用安全防护设施 电力二次系统安全防护基本原则 7 网络专用 电力调度数据网 专为生产控制大区服务的专用数据网络 承载电力实时控制 在线生产交易等业务 电力企业数据网 承载管理信息大区中各业务之间的信息交互的电力实时控制 在线生产交易等业务 电力调度数据网与电力企业数据网之间在物理层面上安全隔离 电力二次系统安全防护基本原则 主要内容 1 电力二次系统安全防护知识背景2 电力二次系统安全防护的基本原则3 安全防护技术和装置4 发电厂二次系统安全防护方案 1 横向隔离技术 横向隔离技术是电力二次系统安全防护体系的横向防线 是二次系统安全防护体系的重要技术措施 生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置 隔离强度接近或达到物理隔离安全区 与安全区 之间应采用国产硬件防火墙 具有访问控制功能的设备或相当功能的设施进行逻辑隔离 安全区 与安全区 之间应采用具有访问控制功能的网络设备 如防火墙 实现逻辑隔离 安全防护技术和装置 2 正向隔离装置基本功能 非网络数据交换 内外两个处理系统不同时连通 数据完全单向传输 透明工作模式 虚拟主机IP地址 隐藏MAC地址 基于MAC IP Port 协议的综合报文过滤与访问控制 支持NAT 割断穿透性TCP连接 应用层解析功能 支持标记识别 安全方便的维护管理 支持数字证书的管理员认证 安全防护技术和装置 3 反向隔离装置基本功能 应用网关功能 实现数据的接收与转发 具有数字证书的签名 解签名功能 纯文本编码检查与转换