电力系统安全防护总体方案

电力系统安全防护总体方案电力系统安全防护总体方案 一 总则一 总则 电力二次系统安全防护总体方案是依据电监会 5 号令以及电监会 2006 34 号文 的规定并根据电网二次系统系统的具体情况制定的 目的是规范和统一电网和 电厂计算机监控系统及调度数据网络安全防护的规划 实施和监管 以防范对 电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统 事故 保障电力系统的安全 稳定 经济运行 电力二次系统是指各级电力监控系统和调度数据网络 spdnet 以及各级调度 管理信息系统 oms 和电力数据通信网络 spinet 构成的大系统 本方案确定 电力二次系统的安全区的划分原则 确定各安全区之间在横向及纵向上的防护 原则 提出电力二次系统安全防护的总体方案 严格执行 安全分区 网络专 用 横向隔离 纵向认证 的规定 并指导各有关单位具体实施 二 二 1 安全分区 分区防护 突出重点 根据系统中的业务的重要性和对一次系统 的影响程度进行分区 重点保护生产控制以及直接生产电力生产的系统 2 网络专用 电力调度数据网 spdnet 与电力数据通信网 spinet 实现安全隔 离 并通过采用 mpls vpn 或 ipsec vpn 在 spdnet 和 spinet 分别形成多个相 互逻辑隔离的 vpn 实现多层次的保护 3 横向隔离 在不同安全区之间采用逻辑隔离装置或物理隔离装置使核心系统 得到有效保护 4 纵向认证 防护 安全区 的纵向边界部署 ip 认证加密装置 安全区 的纵向边界必须部署硬件防火墙 目前在认证加密装置尚未完善情况下 使用国产硬件防火墙进行防护 整体安全防护隔离情况如下图所示 三 电力二次系统安全防护三 电力二次系统安全防护 1 安全区的划分 根据电力二次系统的特点 目前状况和安全要求 整个二次系统分为四个安全 工作区 第一区为实时控制区 第二区为非控制业务区 第三区为生产管理区 第四区为管理信息区 1 1 安全区 是实时控制区 安全保护的核心 凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区 如各 级调度的 scada agc avc 系统 ems 系统 wams 系统 配网自动化系统 含 实时控制功能 以及电厂实时监控系统等 其面向的使用者为调度员和运行操 作人员 数据实时性为秒级 外部边界的通信均经由 spdnet 的实时 vpn 1 2 安全区 是非控制业务区 不直接进行控制但和电力生产控制有很大关系 短时间中断就会影响电力生产 的系统均属于安全区 属于安全区 的典型系统包括 pas 水调自动化系统 电能量计费系统 发电侧电力市场交易系统 电力模拟市场 功角实时监测系 统等 其面向的使用者为运行方式 运行计划工作人员及发电侧电力市场交易 员等 数据的实时性是分级 小时级 日 月甚至年 该区的外部通信边界为 spdnet 的非实时 vpn 1 3 安全区 是生产管理区 该区的系统为进行生产管理的系统 典型的系统为 dmis 系统 dts 系统 雷电 监测系统 气象信息以及电厂生产管理信息系统等 该区中公共数据库内的数 据可提供运行管理人员进行 web 浏览 该区的外部通信边界为电力数据通信网 spinet 1 4 安全区 iv 是办公管理系统 包括办公自动化系统或办公管理信息系统 该区的外部通信边界为 spinet 或因 特网 2 网络专用 2 1 调度数据网 调度数据网必须建立在 ip sdh 的基础上 严格执行 mpls vpn 的划分 通过 mpls vpn 划分将调度数据网分成 vpn1 和 vpn2 因此在纵向上安全区 i 的数据 传输和交换通过 vpn1 来完成 安全区 ii 的数据传输和交换通过 vpn2 来完成 2 2 安全区 iii 网络 调度生产管理信息 oms 网络 安全区 iii 网络 调度生产管理信息 oms 网络 主要是在纵向上各级调度部门 传输调度生产管理信息 属于管理信息大区 它与安全区 iv 网络之间主要通过 防火墙隔离 3 安全区之间的横向隔离及纵向防护 在各安全区之间均需选择适当安全强度的隔离装置 具体隔离装置的选择不仅 需要考虑网络安全的要求 还需要考虑带宽及实时性的要求 安全区之间隔离 装置必须是国产并经过国家或电力系统有关部门认证 3 1 安全区 与安全区 之间的隔离要求 l 采用硬件防火墙可使安全区之间逻辑隔离 禁止跨越安全区 与安全区 的 e mail web telnet rlogin 3 2 安全区 与安全区 之间的隔离要求 l 采用物理隔离装置可使安全区之间物理隔离 禁止跨越安全区 与安全区 的非数据应用穿透 物理隔离装置的安全防护强度适应由安全区 向安全区 的单向数据传 输 由安全区 向安全区 的单向数据传输必须经安全数据过滤网关串 接物理隔离装置 3 3 同一安全区间纵向防护与隔离 l 同一安全区间纵向联络使用 vpn 网络进行连接 l 安全区 分别使用 spdnet 的实时 vpn1 与非实时 vpn2 l 安全区 分别使用 spinet 的 vpn 四 防病毒措施四 防病毒措施 从某种意义上说 防止病毒对网络的危害关系到整个系统的安全 防病毒软件 要求覆盖所有服务器及客户端 对关键服务器实时查毒 对于客户端定期进行 查毒 制定查毒策略 并备有查杀记录 病毒防护是调度系统与网络必须的安 全措施 病毒的防护应该覆盖所有安全区 i ii iii 的主机与工作站 特别在 安全区 i ii 要建立独立的防病毒中心 病毒特征码要求必须以离线的方式及 时更新 安全区 iii 的防病毒中心原则上可以和安全区 iv 的防病毒中心共用 五 其他安全防护措施五 其他安全防护措施 数据与系统备份 数据与系统备份 对关键应用的数据与应用系统进行备份 确保数据损坏 系统崩溃情况下快速 恢复数据与系统的可用性 入侵检测 入侵检测 idsids 对于安全区 i 与 ii 建议统一部署一套 ids 管理系统 考虑到调度业务的可靠 性 采用基于网络的入侵检测系统 nids 其 ids 探头主要部署在 安全区 i 与 ii 的边界点 spdnet 的接入点 以及安全区 i 与 ii 内的关键应用 网段 其主要的功能用于捕获网络异常行为 分析潜在风险 以及安全审计 对于安全区 iii 禁止使用安全区 i 与 ii 的 ids 与安全区 iv 的 ids 系统统一 规划部署 主机防护 主机防护 主机安全防护主要的方式包括 安全配置 安全补丁 安全主机加固 1 1 安全配置安全配置 通过合理地设置系统配置 服务 权限 减少安全弱点 禁止不必要的应用 作为调度业务系统的专用主机或者工作站 严格管理系统及应用软件的安装与 使用 2 2 安全补丁安全补丁 通过及时更新系统安全补丁 消除系统内核漏洞与后门 3 3 主机加固主机加固 安装主机加固软件 强制进行权限分配 保证对系统的资源 包括数据与进程 的访问符合定义的主机安全策略 防止主机权限被滥用 caca 与身份认证与身份认证 pki 是一个利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加 密以及数字签名服务的统一的技术框架 基于 pki 的 ca 认证系统为电力调度生产及管理系统与调度数据网上的