××发电公司二次系统安全防护设 计方案.doc

水水电电公公司司二二次次系系统统 安安全全防防护护设设计计方方案案与与南南瑞瑞安安 全全隔隔离离技技术术与与产产品品介介绍绍 2006 年年 4 月月 目目 录录 一 方案概述一 方案概述 4 1 1 设计目标 4 1 2 设计原则 4 1 3 设计范围 5 二 二 水电公司网络改造设计方案水电公司网络改造设计方案 5 4 1 网络现状分析 5 4 2 建议方案 5 三 南瑞三 南瑞 SYSKEEPER 2000 电力专用安全隔离装置介绍电力专用安全隔离装置介绍 7 3 1 硬件特色 7 3 2 正向型产品特点 9 3 3 反向型产品特点 11 四 南瑞四 南瑞 NETKEEPER 2000 纵向加密认证网关介绍纵向加密认证网关介绍 15 4 1 产品特点 15 4 2 典型部署 18 4 2 1 网省调加密认证网关接入方案 19 4 2 2 地县调加密认证装置接入方案 19 4 2 3 厂站端加密认证装置接入方案 20 4 3 装置管理 21 4 3 1 策略管理 22 4 3 2 监控管理 22 4 3 3 审计管理 23 4 3 4 安全管理 23 五 南瑞五 南瑞 ST 3000 安全传输软件介绍安全传输软件介绍 24 5 1 概述 24 5 2 ST 3000 安全传输平台功能特点 25 5 2 1 跨平台支持 26 5 2 2 强大灵活的数据库传输功能 27 5 2 3 真正的文件传输中心 28 5 2 4 实时状态监控和灵活的日志管理 29 5 2 5 严格的安全控制 29 5 3 ST 3000 安全传输平台运行环境 30 六 隔离装置接入应用改造解决方案六 隔离装置接入应用改造解决方案 31 6 1 目的 31 6 2 横向隔离装置接入前期准备 31 6 3 应用改造解决方案 32 6 3 1 横向隔离装置对现有系统的影响 32 6 3 2 二次系统应用改造 33 七 安全隔离系列产品预算清单七 安全隔离系列产品预算清单 38 十 认十 认证证资质资质 40 水电公司二次系统安全防护设计 方案 一 一 方案概述方案概述 依据国家经贸委 2002 第 30 号令 电网和电厂计算机监控系统及调度数据 网络安全防护的规定 国家电力调度通信中心制订的 全国电力二次系统安全 防护总体方案 及电监会 5 号令 电力二次系统安全防护规定 为确保水电 公司电力监控系统及调度数据网络的安全稳定运行 确保二次系统安全防护工 程的顺利实施 以对水电公司及其下属的厂站二次系统安全防护工程的规划 实施代价和阶段有一个明确的把握 并在项目后期按照设计方案具体实施 部 署安全产品 制定相应的安全管理制度和措施 1 1 设设计计目目标标 按照电监会 5 号令的安全防护要求 对网络结构进行调整 并规划水 电公司二次系统安全防护工程的部署和实施方案 根据安全隔离装置的产品特点 提出合理的网络和应用系统改造方案 南瑞集团电力安全隔离技术与产品介绍 1 2 设设计计原原则则 在贵公司二次系统安全防护工程设计中 我们遵循如下原则 正确处理保密 安全与开放之间的关系 强化管理与注重技术相结合 遵循系统安全性与可用性相容原则 并具有实用性和可扩展 性 技术先进与经济实用并重 不同功能区采用不同的安全设备 分散安全风险 明确规定用户 管理员和管理部门的职责范围 水电公司二次系统安全防护设计 方案 1 3 设设计计范范围围 本方案覆盖水电公司安全防护系统设计及工程部署方面的原则要求 二 二 水电公司网络改造设计方案水电公司网络改造设计方案 4 1 网网络络现现状状分分析析 水电公司水电公司水库梯级调度中心下属 6 个直管电厂 水调自动化 系统为一个独立的子系统 下属 6 个直管电厂采用独立的局域网络系统与信息 中心互连 并进行实时信息传输 这样的网络拓扑结构各个安全区之间是互相 联通的 安全性比较低 下属某个网络节点出现问题将很有可能影响到梯级调 度中心的整个监控网络 同时 目前的网络拓扑结构也是无法达到电力系统二 次防护系统建设要求的 4 2 建建议议方方案案 根据 电力二次系统安全防护规定 的要求 需要在生产控制大区与管理 信息大区部署电力专用隔离装置 在生产控制大区与广域网的纵向交接处应当 设置经过国家指定部门检测认证的电力专用纵向加密认证装置 同时对不同安 全域之间和纵向上下级之间的访问进行严密的监测和控制 取消不必要的 不 符合安全要求的外部接口 我们建议首先对 水电公司梯级调度中心和下属的直管电厂进行安全区 域规划 将现有的业务系统按照安全要求重新部署到相应的安全区中 下属各 个电厂的实时数据首先在本地通过电力专用安全隔离装置单向传输到管理信息 系统的数据镜像系统中 然后在外网的数据镜像系统与上级梯调系统信息管理 中心采用电力专用加密认证装置或者硬件防火墙进行数据的加密认证传输 充 分保证传输数据的机密性 完整性和不开否认性 方案二的建议网络拓扑如下 图所示 图 2 为下属的一个电厂的安全防护分区拓扑示意图 其他电厂可采用 类似的安全防护网络结构 水电公司二次系统安全防护设计 方案 图 2 建议方案网络拓扑图 本方案只是从逻辑上描述出了基本的数据流向和网络拓扑结构 具体在进 行安全防护工程时还需要配合其它的防护措施 比如在同一大区内部的不同安 全区之间需要采用国产硬件防火墙进行逻辑隔离 同时待条件成熟 可以部署 IDS 入侵检测系统对数据进行实时监视与报警 水电公司二次系统安全防护设计 方案 三 三 南瑞南瑞 SysKeeper 2000 电力专用安全电力专用安全 隔离装置介绍隔离装置介绍 为满足电力系统二次安全防护的需要 南瑞集团公司依托在网络安全产品 中的广泛技术积累和应用实践经验 以性能好性能好 功能全功能全 使用简便使用简便 运行稳定运行稳定 为网络安全隔离产品的设计原则 自主研制并推出 SysKeeper 2000 网络安全隔 离系列产品 通过长时间的测试 网络安全隔离设备具有很高的可靠性 稳定 性和可以满足用户需要的执行效率 南瑞网络安全隔离装置 正向 II 型 前面板图 图 7 南瑞网络安全隔离装置 反向 II 型 前面板图 3 1 硬硬件件特特色色 高安全隔离能力的硬件结构高安全隔离能力的硬件结构 SysKeeper 2000 网络安全隔离系列产品由两个高性能嵌入式微机及辅 助装置形成安全隔离系统 嵌入式微处理器采用 RISC 体系结构 减少受攻 击的概率 实现两个安全区之间的非网络方式的数据交换 并且采用安全 算法保证安全隔离装置内外两个处理系统不同时连通 在保证安全隔离的前 提下 实现数据的高速交换 水电公司二次系统安全防护设计 方案 高可靠性硬件设计高可靠性硬件设计 SysKeeper 2000 网络安全隔离系列产品硬件供电采用的是国外进口开 关电源 符合 EN55022 class B IEC801 2 3 4 5 EN60555 2 3 EMC 标准 平均无故障时间达 64223 小时 在 PCB 板的设计中 加有线性稳压及滤波 装置 并严格按照 EDA 对高频电路设计的要求 设计了单独的电源层与地 层 进一步保证了整个板上电源的稳定性 硬件优化设计硬件优化设计 充分考虑电厂和变电站的特殊运行环境 SysKeeper 2000 网络安全隔 离系列产品装置设计遵循分布均匀 布局合理的原则 风扇处增加了防尘 罩 而且紧靠散热源 起过滤作用 避免灰尘和湿气 机箱散热风扇也采 用滚轴风扇 保证了风扇的长期可靠运行 通过增加专用转接板 起到了 更好的加固和抗震作用 即使在长途的运输过程中 也能充分地保障设备 内部的完整性和可用性能 严格的生产流程控制严格的生产流程控制 南瑞网络安全隔离系列产品严格遵循 ISO9000 2000 版质量认证体系 对每一台隔离产品的关键芯片和元器件进行产品老化试验 所有的隔离产 品在出厂前必须经过 240 小时以上的连续通电测试 确保每一台网络安全 隔离产品运行的稳定性和硬件的高可靠性 支持双电源支持双电源 实践经验及理论都证明 一个产品最易出故障的部位在电源部分 在 南瑞安全隔离系列产品中 设计有双电源 在工作的时候 有一个电源作为 主电源供电 一个作为辅电源作备份 实现了主备电源的在线无缝切换在线无缝切换 有 效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间 水电公司二次系统安全防护设计 方案 南瑞安全隔离系列产品为国内第一家采用双电源设计的物理隔离产品 南瑞安全隔离系列产品为国内第一家采用双电源设计的物理隔离产品 支持双机热备支持双机热备 在实际应用中 可以设置有双机备份 一台工作在主机位置 一台工 作于备用位置 两台机器时刻进行通信并进行信息备份 一旦当主用设备 出现故障 包括掉电 连接的网络线路至少有一根出现故障 时 或者处 于看门狗复位阶段 备机可以以承担起主机的工作 以避免重要数据的丢 失 支持系统告警支持系统告警 南瑞网络安全隔离系列产品支持完备的安全事件告警机制 当发生非 法入侵 装置异常 通信中断或丢失应用数据时 可通过隔离装置专用的 告警串口输出报警信息 3 2 正正向向型型产产品品特特点点 安全裁剪内核 系统的安全性和抗攻击能力强安全裁剪内核 系统的安全性和抗攻击能力强 为了保证系统安全的最大化 南瑞网络安全隔离产品 正向型 已经 将嵌入式内核进行了裁剪和优化 目前 内核中只包括用户管理 进程管 理 裁剪掉 TCP IP 协议栈和其它不需要的系统功能 进一步提高了系统安 全性和抗攻击能力 免于黑客对操作系统的攻击 并有效抵御 Dos DDos 攻 击 数据单向传输控制数据单向传输控制 物理上控制反向传输芯片的深度 在硬件上保证丛低安全区到高安全 区的 TCP 应答禁止携带应用数据 大大增强了高安全区业务系统的安全性 在物理上实现了数据流的纯单向传输 数据只能从内网流向外网 割断穿透性的割断穿透性的 TCP 连接连接 水电公司二次系统安全防护设计 方案 南瑞网络安全隔离产品 正向型 采用截断 TCP 连接的方法 剥离数 据包中的 TCP IP 头 将内网的纯数据通过正向数据通道发送到外网 同时 只允许应用层不带任何数据的 TCP 包的控制信息传输到内网 保护内网监 控系统的安全性 基本安全功能丰富 可实现在网络中的快速部署基本安全功能丰富 可实现在网络中的快速部署 采用综合过滤技术 在链路层截获数据包 然后根据用户的安全策略 决定如何处理该数据包 实现了 MAC 与 IP 地址绑定 防止 IP 地址欺骗 支持静态地址映射 NAT 以及虚拟 IP 技术 具有可定制的应用层解析功能 支持应用层特殊标记识别 为用户提供一个全透明 安全 高效的隔离装 置 独特的自适应技术独特的自适应技术 南瑞网络安全隔离系列产品采用独特的自适应技术 隔离设备没有 IP 地址 隐藏 MAC 地址 非法用户无法对隔离设备进行网络攻击 有效的提 高了系统的安全性能 网络数据处理流畅 不会成为网络通讯瓶颈网络数据处理流畅 不会成为网络通讯瓶颈 隔离设备采用 motorola 高性能 RISC 体系结构 CPU 内核使用高效的 过滤算法 充分发挥良好的硬件性能 采用高速传输芯片实现数据的高速 安全传输 百兆状态下的有效网络吞吐率最高可达 60 80Mbps 不会造成 网络通讯的瓶颈 丰富的通信工具软件和丰富的通信工具软件和 API 函数接口函数接口 为了使隔离设备达到预期的安全效果 经过隔离设备进行数据传输的 软件必须按照 全国电力二次系统安全防护总体方案 的规定进行开发 针对 I II 区到 III 区通信内容规定 南瑞 SysKeeper 2000 网络安全隔离设备 提供了丰富的通信工具软件 包括数据库传输软件和文件传输软件 和 API 水电公司二次系统安全防护设计 方案 函数接口 方便用户进行二次系统安全隔离改造 丰富的电力二次系统安全改造经验丰富的电力二次系统安全改造经验 南瑞 SysKeeper 2000 网络安全隔离设备 正向型 与南瑞所有的监控 系统 包括网 省调 地调 县调和变电站 SCADA 系统以及水电 火电 监控系统 进行了安全改造工作和现场的实际运行 同时与国内外主流的 监控系统厂商进行了广泛 深入的合作 国内 包括东方电子 鲁能积成 上海申瑞等 国外 阿尔斯通监控系统 原 CAE 公司监控系统 PI 实时数 据库 Valmet SCADA 系统等 保证电力二次系统安全防护工程的顺利 实施 操作简单的图形化用户界面操作简单的图形化用户界面 南瑞 SysKeeper 2000 网络安全隔离设备提供了友好的图形化用户界面 可以进行全新的可视化管理与配置 整个界面使用全中文化的设计 通过 友好的图形化界面 网络管理员可以很容易地定制安全策略和对系统进行 维护管理 用户只需进行简单的培训就可以完成对隔离设备的管理与配置 3 3 反反向向型型产产品品特特点点 安全裁剪内核 系统的安全性和抗攻击能力强安全裁剪内核 系统的安全性和抗攻击能力强 为了保证系统安全的最大化 南瑞网络安全隔离产品 反向型 已经 将嵌入式内核进行了裁剪和优化 目前 内核中只包括用户管理 进程管 理 裁剪掉 TCP IP 协议栈和其它不需要的系统功能 进一步提高了系统安 全性和抗攻击能力 免于黑客对操作系统的攻击 并有效抵御 Dos DDos 攻 击 基于数字证书的签名验证和内容检查机制基于数字证书的签名验证和内容检查机制 采用基于数字证书的数字签名技术 在数据的发送端对需要发送的数 水电公司二次系统安全防护设计 方案 据进行签名 然后发给专用反向隔离装置 隔离装置收到数据后进行签名 验证 并根据用户对数据的定义检查数据文件的格式和内容 支持通用的 数据类型和记录分割符 反向隔离装置将处理过的数据发送给内网的数据 接收程序 基于纯文本的编码转换和识别基于纯文本的编码转换和识别 根据全国电力二次安全防护的要求 需要将纯文本文件中单字符的 ASCII 码 非控制字符 转换为对应的双字节码 并能正常显示 南瑞 SysKeeper 2000 反向隔离装置提供了专用发送软件在发送文本文件数据时 自动将半角字符转换为全角字符 SysKeeper 2000 反向隔离装置对收到的 数据进行纯文本的识别 如果数据包中数据为合法的纯文本 反向隔离装 置都会按照编码范围正确的识别 保证进入内网的数据为纯文本数据 完善的密钥管理机制完善的密钥管理机制 SysKeeper 2000 反向型网络安全隔离设备提供基于 RSA 公私密钥对的 数字签名和采用专用加密算法进行数字加密的功能 进行 RSA 运算时 为 了保证密钥的安全性 提供已密钥的 ID 号使用密钥的功能 密钥仅存在与 反向型网络安全隔离设备的安全存储区中 与应用系统隔离 不能通过任 何非法手段进行访问 极大的提高了数据交换的安全性 割断穿透性的割断穿透性的 TCP 连接连接 南瑞网络安全隔离产品 反向型 采用截断 TCP 连接的方法 剥离数据 包中的 TCP IP 头 将外网的纯数据通过反向安全通道发送到内网 同时只 允许应用层不带任何数据的 TCP 包的控制信息传输到外网 保护内网监控 系统的安全性 基本安全功能丰富 可实现在网络中的快速部署基本安全功能丰富 可实现在网络中的快速部署 采用综合过滤技术 在链路层截获数据包 然后根据用户的安全策略 水电公司二次系统安全防护设计 方案 决定如何处理该数据包 实现了 MAC 与 IP 地址绑定 防止 IP 地址欺骗 支持静态地址映射 NAT 以及虚拟 IP 技术 具有可定制的应用层解析功能 支持应用层特殊标记识别 为用户提供一个全透明 安全 高效的隔离装 置 虚拟虚拟 IPIP 隐藏 隐藏 MACMAC 地址地址 南瑞网络安全隔离系列产品采用独特的自适应技术 隔离设备没有 IP 地址 隐藏 MAC 地址 非法用户无法对隔离设备进行网络攻击 有效的提 高了系统的安全性能 采用专用加密算法进行数据加密和数字签名采用专用加密算法进行数据加密和数字签名 南瑞 SysKeeper 2000 反向型隔离设备采用 motorola 高性能 RISC 体系 结构 CPU 采用对称加密算法 RSA 公私密钥算法实现数据加 解密 数 字签名 身份认证等功能 保证数据的安全传输 在 1024 位模长下 RSA 数字签名速度为 150 次 秒 密文数据包通吐量 20Mbps 50 条安全策略 1024 字节报文长度 提供专用配套反向文件传输软件提供专用配套反向文件传输软件 为了使隔离设备达到预期的安全效果 经过反向型隔离设备进行数据 传输的软件必须按照 全国电力二次系统安全防护总体方案 的规定进行 开发 针对 III 区到 I II 区通信内容规定 南瑞 SysKeeper 2000 网络安全隔 离设备 反向型 提供专用文件传输软件 实现数字签名 编码转换 内 容有效性检查和数字签名功能 方便用户进行二次系统安全隔离改造 支持第三方病毒查杀引擎支持第三方病毒查杀引擎 南瑞 SysKeeper 2000 反向型网络安全隔离装置的配套文件传输软件支 持调用本地杀毒软件的防毒引擎 在发送非文本文件时 对数据内容进行 防病毒检查 防止带有病毒的文件进入内网 水电公司二次系统安全防护设计 方案 完善的日志审计功能完善的日志审计功能 日志在南瑞 SysKeeper 2000 反向隔离设备每天的运行中起着很重要的 作用 由于许多攻击 系统漏洞不具备机器可分析的特征 或者新的攻击的 特征还不为人所知 因此 日志是发现攻击 发现系统漏洞和记录攻击证 据的重要手段 隔离设备内 外网各板载安全存储区用于系统日志的记载 循环更新保持最新的系统日志 基于数字证书的图形化用户界面基于数字证书的图形化用户界面 南瑞 SysKeeper 2000 网络安全隔离设备 反向型 提供了基于数字证 书的的图形化用户界面 通过反向隔离设备的专用智能 IC 卡读写器进行身 份认证 保证配置管理的安全性 整个界面使用全中文化的设计 通过友 好的图形化界面 网络管理员可以很容易地定制安全策略和对系统进行维 护管理 用户只需进行简单的培训就可以完成对隔离设备的管理与配置 水电公司二次系统安全防护设计 方案 四 南瑞四 南瑞 NetKeeper 2000 纵向加密认证网纵向加密认证网 关介绍关介绍 为满足电力系统二次安全防护的需要 南瑞信息系统分公司所依托在网络 安全产品中的广泛技术积累和成功开发电力系统专用安全隔离装置的应用实践 经验 以安全性 可靠性 易用性为电力专用纵向加密认证装置的设计原则 自主研制并推出 NetKeeper 2000 纵向加密认证网关 如图 12 所示 经过国家 主管部门评测机构和长时间的测试表明 NetKeeper 2000 纵向加密认证网关可 以为电力调度数据网通信提供具有认证 与加密功能的 VPN 实现数据传输的 机密性 完整性保护 NetKeeper 2000 纵向加密认证网关的主要特点如下 图 1 2 NetKeeper 2000 纵向加密认证网关 4 1 产产品品特特点点 高可靠性硬件设计 纵向加密认证网关硬件供电采用的是国外进口开关电源 符合 EN55022 class B IEC801 2 3 4 5 EN60555 2 3 EMC 标准 平均无故障时间达 60000 小时 在 PCB 板的设计中 加有线性稳压及滤波装置 并严格按照 EDA 对高频 电路设计的要求 设计了单独的电源层与地层 进一步保证了整个板上电源的 稳定性 硬件优化设计 充分考虑电厂和变电站的特殊运行环境 NetKeeper 2000 纵向加密认证网 关设计遵循分布均匀 布局合理的原则 风扇处增加了防尘罩 而且紧靠散热 源 起过滤作用 避免灰尘和湿气 机箱散热风扇也采用滚轴风扇 保证了风 水电公司二次系统安全防护设计 方案 扇的长期可靠运行 通过增加专用转接板 起到了更好的加固和抗震作用 即 使在长途的运输过程中 也能充分地保障设备内部的完整性和可用性能 密码保护强度高 采用国家密码委员会推荐的电力专用分组密码算法和公钥密码算法 支持 身份鉴别 信息加密 数字签名和密钥生成与保护 经过大量的测试表明 加 密认证装置具有足够的抗密码分析攻击的能力 报文加密速度快 通过采用硬件加密技术 密码专用芯片技术 实时操作系统技术和明密信 息传递通道扩展技术 有效地降低了系统时延 在电力调度数据网上可以实现 高速加密 充分保证电力实时数据通信的实时性 完善的密钥管理机制 NetKeeper 2000 纵向加密认证网关提供基于 RSA 公私密钥对的数字签名和 采用专用加密算法进行数字加密的功能 进行 RSA 运算时 为了保证密钥的安 全性 提供已密钥的 ID 号使用密钥的功能 密钥仅存在与纵向加密认证网关的 安全存储区中 与应用系统隔离 不能通过任何非法手段进行访问 极大的提 高了数据交换的安全性 系统安全特性好 采用专用嵌入式安全操作系统 系统无 TCP IP 协议栈 采用高效的基于流 过滤的状态检测技术和黑洞式防火墙机制 具有硬件防火墙的基本功能 集成 应用层安全控制功能 可以对电力特殊应用协议进行选择性保护 充分保证应 用系统的安全性 网络环境适应性强 NetKeeper 2000 纵向加密认证网关对用户完全透明 支持明通和密文传输 内部网无须做任何改变 就可实现各种信息的保护传输 现有的网络拓扑结构 水电公司二次系统安全防护设计 方案 也无须变动 降低了用户管理和使用的复杂程度 纵向加密网关支持标准的 802 1Q VLAN 封装协议 可以实现不同网段应用无缝透明接入 集中安全管理 支持对所辖的所有纵向加密认证网关集中管理 SCM 用户可以非常方便 地通过纵向加密认证网关配套的装置安全管理系统以图形化的方式安全高效地 更新密钥 查询所有隧道状态 完成证书发放 更换 设置安全策略等和各种 状态信息的监控 如图 13 所示 图 13 装置安全管理系统 完善的日志审计功能 NetKeeper 2000 纵向加密认证网关能依据系统要求记录敏感通信事件和管 理事件 同时也能提供网络使用情况的统计数据 根据日志可以审计加密认证 网关隧道建立的情况 设备管理员所进行的操作和加密认证网关所阻断的探测 攻击等非法访问 并为安全策略的进一步完善提供参考 支持双机热备 对于服务质量要求高的地方 可以采用双机热备技术 即通过在同一节点使 水电公司二次系统安全防护设计 方案 用两台纵向加密认证网关 实现双机冗余 如果网关设备中的主节点发生了故 障 那么将由次节点代替它 次节点通常是主节点的镜像 所以当它代替主节 点时 它可以完全接管其身份 并且系统环境对于终端用户是一致的 基于数字证书的图形化界面 南瑞NetKeeper 2000纵向加密认证网关提供了基于数字证书的的图形化用 户界面 通过纵向加密认证网关的专用智能IC卡读写器进行身份认证 保证配 置管理的安全性 可以采用本地方式或者远程方式来完成加密认证网关的设置 加密网关隧道的配置及审计信息的浏览 配置界面如图14所示 图 14 可视化的管理与配置界面 4 2 典典型型部部署署 根据电力安全防护的要求 电力调度数据网的不同业务系统之间必须实现 有效的隔离 控制生产类实时业务与非控制生产业务隔离 关键业务系统之间 按照需要进行隔离 NetKeeper 2000 纵向加密认证网关支持采用 MPLS VPN 建 立的不同虚拟专网之间的数据安全通信 通过建立多条加密隧道 保证数据传 输的实时性 机密性和完整性 水电公司二次系统安全防护设计 方案 4 2 1 网省调加密认证网关接入方案网省调加密认证网关接入方案 网 省调的网络设备通过双机冗余技术 增强网络接入环节的可靠性 加 密认证网关的接入方案如图 15 所示 此接入方案也可用于大型发电公司与下级 直属电厂的接入方案 从所保护的子网中的通信机到本地接入路由器之间的路径上 任何环节 包括设备或链路出现故障 IP 加密装置都应该正确识别 配合实现路径切换 当某一区域主加密设备出现故障时 能够快速将认证和加密传输处理工作切换 至备用装置中 保障通信连续性 图 15 网省调加密装置接入方案 4 2 2 地县调加密认证装置接入方案地县调加密认证装置接入方案 汇聚层在实时控制区和非控制生产区分别接入一台 IP 加密认证装置 IP 加 密认证装置需支持 一进两出 出口分别连接到实时控制区和非实时控制区的 两台路由器上 当路由器出现故障时 能够快速将认证和加密传输处理工作切 换至另一台路由器上中 保障通信连续性 水电公司二次系统安全防护设计 方案 图 16 地县调加密装置接入方案 4 2 3 厂站端加密认证装置接入方案厂站端加密认证装置接入方案 接入层在实时控制区和非控制生产区分别接入一台 IP 加密认证装置 实时 控制区和非控制生产区的 IP 加密认证装置出口连接在同一台路由器上 如果接 入层只有一台交换机 可以在交换机和路由器之间采用 MPLS VPN 为实时和 非实时系统划分不同的 VLAN 网段 实现通信的机密性和完整性 水电公司二次系统安全防护设计 方案 图 17 厂站端加密装置接入方案 4 3 装装置置管管理理 根据电力二次系统安全防护的规定和纵向加密认证装置的管理体制 南瑞 信息系统分公司自主研制开发了 DMS 2000 纵向加密认证装置管理系统 为调度 中心所辖的加密认证装置提供远程安全管理服务 调度中心的加密装置及下 属的加密装置由装置管理系统直接管理 见图 图 18 加密认证装置的管理模式 水电公司二次系统安全防护设计 方案 此时 装置管理系统 管理中心 与加密装置是网络上通信的实体 装置管 理系统通过经过认证加密的管理报文实现对纵向加密认证装置的监测 监测采 用在线方式 装置管理系统直接将管理报文发到纵向加密认证装置 纵向加密 认证装置自动响应并处理来自装置管理系统的监控请求并将执行结果返回装置 管理系统 南瑞 DMS 2000 纵向加密装置管理系统严格按照国调中心 IP 加密 认证装置技术规范的要求 可以实现对不同厂家的纵向认证加密装置进行管理 和监控 监控的内容包括 纵向加密认证装置的工作状态查询 纵向加密认证装置的安全策略查询 纵向加密认证装置的工作模式查询与设置 纵向加密认证装置安全策略和数字证书下发 所辖纵向加密认证装置实时监控 流量 链路信息等 对纵向加密认证装置的日志信息进行集中管理和审计 DMS 2000 装置管理系统对所辖的纵向加密认证装置进行统一管理 装置管 理系统通过在线方式直接对纵向加密认证装置进行监控管理 通过离线方式由 管理终端对纵向加密认证装置进行设置管理 系统主界面如图 19 所示 其主要 功能如下 4 3 1 策略管理策略管理 DMS 2000 为本管辖范围的纵向加密认证装置分别制定安全策略 分配各设 备的公钥表和配置表 组成管理报文 经加密和签名后 以在线或离线 软盘 光盘 方式发到各纵向加密认证装置的管理终端 4 3 2 监控管理监控管理 装置管理系统通过管理报文在线监控本管辖范围的纵向加密认证装置 包 括状态查询 设置工作模式等 水电公司二次系统安全防护设计 方案 4 3 3 审计管理审计管理 在装置管理系统进行的操作和发生的事件均应有日志记录 DMS 2000 加密 认证网关在系统提供日志的基础上 基于自身多年对电力系统调度业务的理解 和安全隔离装置的应用实践经验 添加了一些重要的日志信息 为用户制定审 计策略并对其进行归纳和分析 4 3 4 安全管理安全管理 DMS 2000 装置管理系统的操作人员应持证上岗 通过身份认证后才能操作 装置管理系统的密钥数据 策略数据 审计数据等应有安全可靠的存储和备份 DMS 2000 装置管理系统以离线方式获得调度证书系统为本管辖范围的纵向 加密认证装置签发的设备证书 操作员卡和打印了操作员初始口令的密码信封 以不同的渠道和方式发放到各设备安装点 DMS 2000 有自己的设备证书和私钥 有单独的密码设备为其服务 图 19 加密认证装置管理系统配置界面 水电公司二次系统安全防护设计 方案 水电公司二次系统安全防护设计 方案 五 南瑞五 南瑞 ST 3000 安全传输软件介绍安全传输软件介绍 5 1 概概述述 依据国家经贸委 2002 第 30 号令 电网和电厂计算机监控系统及调度数据 网络安全防护的规定 及国家电力调度通信中心制订的 全国电力二次系统安 全防护总体方案 调度中心的不同业务系统根据系统的安全等级的不同 要求 部署在不同的安全区域 对调度中心的应用系统的使用及数据使用提出了安全 上的更高要求 目前 根据安全防护体系 各应用系统地典型分布如下图示 图 20 安全分区示意图 随着电力二次系统安全解决方案基本框架成型 安全分区的实施 传统的 点到点的网状的数据交换手段的实施面临着更加复杂多变的环境 由于各系统 被分割在不同安全区中 其间部署了防火墙以及物理隔离装置等安全设备 使 得各系统之间无法通过直接的网络连接进行任意的数据交互 特别是安全一 二区和安全三区之间的数据交互由于隔离装置的限制 迫使应用系统需要进行 水电公司二次系统安全防护设计 方案 相应的改造以适应隔离装置的要求 尤其是外网中需要进行各种事务处理 电 力业务管理 查询统计 报表等工作时 需要综合 SCADA 系统 电量计量系 统等多个分布在内网中的业务系统中的数据 大量的应用系统改造工作 加大了内外网数据交换的复杂性 改造传统点 到点式的网关程序来适应安全隔离装置 正 反向 改造工作繁重 厂家 更 改程序 用户 管理协调复杂 安全隔离装置规范的改变使得改造工作反复进 行 因此系统之间更加需要通过统一的手段进行数据交换 为方便用户进行二次系统安全改造 南瑞信息系统分公司结合成功开发电 力专用安全隔离装置的技术积累 自主研制并推出 ST 3000 安全传输平台 通 过在安全区 I II 和安全区 III 分别部署 ST 3000 安全传输内平台和外平台 实现 来自不同厂家的 异构 分散数据的交换和整合 如大量的文件数据和数据库 数据 并对进出数据进行统一集中管理 进一步保障系统间数据交换的安全性 可广泛应用于电力二次系统安全区 I II 与安全区 III 之间的安全数据交换 5 2 ST 3000 安安全全传传输输平平台台功功能能特特点点 ST 3000 安全传输平台设计为内平台和外平台 分别部署于电力专用安全 隔离装置两侧 即内平台部署于安去区 I II 外平台部署于安全区 III 所有数 据库数据或文件数据传输规则均集中在内平台或外平台上定义 集中控制 安 全传输 如图 21 所示 图 21 ST 2000 安全传输平台软件架构 水电公司二次系统安全防护设计 方案 安全传输平台的技术特点如下所示 5 2 1 跨平台支持跨平台支持 系统设计时遵循平台开放性的要求 采用面向对象的设计和编程 通过 JAVA 开发的友好的界面 来实现可以跨平台 跨操作系统的 不同数据库系 统的 不同数据格式要求的数据交换 如图 22 所示 图 22 ST 2000 安全传输平台界面示意图 ST 200 专用数据传输软件的实施将达到以下目标 遵循二次安防体系 充分保障系统安全 提供多种统一标准接口 协助两侧的应用方便的使用高级应用层接口 实现数据交换 避免在 TCP 底层进行所有应用的改造及网关的开发 使得两侧的应用无需花费精力在穿越隔离装置的研究中 而可以专注 于自身的业务逻辑研究 保护两侧应用不受隔离装置内部改变的影响 屏蔽不同厂家隔离装置的差异性 菜单栏 工具栏 导航栏 水电公司二次系统安全防护设计 方案 5 2 2 强大灵活的数据库传输功能强大灵活的数据库传输功能 ST 3000 安全传输软件采用符合国际标准和行业标准的 JDBC 技术 屏蔽 各类数据库系统的访问差异 可稳定高效的访问 Oracle SQL Server Sybase DB2 等数据库系统 如图 23 所示 主要功能如下 支持 Oracle Sybase SQL Server DB2 MySQL 等数据库系统 支持自动或手动进行用户指定表的镜像或增量传输 支持用户自定义的表结构或 SQL 语句作为数据源 支持用户重定义目的表结构 包括目的表名 目的字段名 目的表主 键 支持传输表结构及动态同步表结构 传输表中数据 或是增量传输 支持多种传输模式 如传输字典和数据 仅传输数据 仅传输字典 仅 存为本地文件或仅存入本地数据库等 采用并行处理 支持高数据量的传输 极大提高入库效率 支持数据落地 即以文件方式保存并进行传输 或写入后台数据库 可设定任意时刻周期传输 支持从每 1 2 3 4 5 10 15 30 分 钟 每小时 每天 每月到每年的传输间隔 或随机时刻不定期传输 水电公司二次系统安全防护设计 方案 图 23 ST 3000 安全传输平台数据库配置示意图 5 2 3 真正的文件传输中心真正的文件传输中心 ST 3000 安全传输平台只需在平台进行集中配置 即可实现同一安全区内 安全 I II 区和安全 III 区间任意服务器间的文件传输 传输界面如图 24 所示 主要功能如下 以仿 FTP 方式 实现从安全 I II 区到安全 III 区的单向文件传输 采用认证和加密技术 实现从安全 III 区到安全 I II 区的反向文件传输 采用标准的 FTP 协议 在安全 I II 区内或安全 III 区内实现主动下载或 上传文件 目标机器仅需配置 FTP 服务即可成为文件传输网络中的一个节点 支持多点上传 支持通配符传输文件 支持多文件夹嵌套传输文件 支持实时扫描传输或任意周期传输 支持传输成功后删除 备份或保留原文件 水电公司二次系统安全防护设计 方案 图 24 ST 3000 安全传输平台文件传输示意图 5 2 4 实时状态监控和灵活的日志管理实时状态监控和灵活的日志管理 ST 3000 安全传输平台默认操作界面下优先显示实时状态监控画面 如图 24 所示 以便随时了解平台的运行情况 同时以统一的格式把平台所有的运行 信息保存入后台的日志库 并提供灵活的分类组合查询和模糊查询功能 方便 查找定位 并可按用户要求 分类自动删除过期日志 支持随时启停某个或全 部任务 且在修改任务配置信息后平台也会立即以新的参数重新初始化该任务 某个任务在发生故障时也不会影响其它任务的正常运行 当系统发生严重故障 时可立即按用户预先定义好的方式 声音 短消息 EMAIL 等 告警系统管理员 图 25 ST 3000 安全传输运行状态监控示意图 5 2 5 严格的安全控制严格的安全控制 ST 3000 安全传输平台通过一整套的用户管理和安全策略 严格控制用户 对平台的访问 所有操作都必须是授权用户才可进行 用户权限分为操作员 水电公司二次系统安全防护设计 方案 系统管理人员和超级用户 安全口令密文传输 充分保证平台的安全性 安全 管理界面如图 26 所示 图 26 ST 3000 安全传输平台安全管理示意图 5 3 ST 3000 安安全全传传输输平平台台运运行行环环境境 ST 3000 安全传输平台可运行于任何支持 JavaTM 2 SDK 标准版的操作系 统上 Windows 操作平台 Microsoft Windows 9x 和 ME NT 4 0 2000 和 XP 操作系统 推 荐 Windows NT 4 0 和 2000 或以上版本 UNIX 操作平台 Solaris 操作系统版本 7 8 和 9 推荐 9 0 或以上版本 Alpha Unix 4 0 5 0 5 1 推荐 Tru64 5 1 或以上版本 IBM AIX 4 3 5 1 推荐 5 1 或以上版本 Linux 操作系统内核为 2 4 18 或以上版本 水电公司二次系统安全防护设计 方案 水电公司二次系统安全防护设计 方案 六 隔离装置接入应用改造解决方案六 隔离装置接入应用改造解决方案 6 1 目目的的 本方案提出了电力系统专用横向隔离装置接入后 应用系统改造的建议和 应用系统改造开发必须遵从的技术要求 通过本方案 达到以下目的 1 保证应用系统能够符合 电力二次系统安全防护总体方案 中规定的 安全防护要求 2 保证横向网络安全隔离装置的可部署性 3 保证横向网络安全隔离装置的可管理性 6 2 横横向向隔隔离离装装置置接接入入前前期期准准备备 根据电力二次系统安全防护总体方案的要求 电力二次系统安全防护方案 的实施必须分阶段进行 大致可分如图 27 所示的六个阶段 图 27 电力二次系统安全防护方案实施步骤 在部署电力系统专用横向隔离装置前 必须进行第一阶段和第二阶段的工 理理清清流流程程理理清清流流程程 修修补补漏漏洞洞修修补补漏漏洞洞 结结构构调调整整结结构构调调整整 清清理理边边界界清清理理边边界界 部部署署横横向向部部署署横横向向 隔隔离离装装置置隔隔离离装装置置 研研究究部部署署纵纵研研究究部部署署纵纵 向向安安全全装装置置向向安安全全装装置置 研研究究部部署署研研究究部部署署 认认证证机机制制认认证证机机制制 现现现现系系统统改改造造系系统统改改造造 新新系系统统开开发发新新系系统统开开发发 第第第第1 1阶阶段段阶阶段段 第第第第5 5阶阶段段阶阶段段 第第第第4 4阶阶段段阶阶段段 第第第第3 3阶阶段段阶阶段段 第第第第2 2阶阶段段阶阶段段 第第第第6 6阶阶段段阶阶段段 实实施施阶阶段段实实施施阶阶段段 安安安安 全全全全 强强强强 度度度度 水电公司二次系统安全防护设计 方案 作 对现有系统的物理配置 连接关系以及信息流程有明晰的认识 确定实际 网络连接状况及系统的逻辑边界和物理边界 扫描系统漏洞 进行安全风险评 估 修补系统和主服务器 网关机 通信前置机等关键设备的主要漏洞 按照 二次安全防护方案 做好相应的安全区规划 对现有的网络结构 业务系统及 外部接口进行结构调整和网络改造 经过上述工作后 就可以进行电力专用横 向隔离装置的安装部署了 6 3 应应用用改改造造解解决决方方案案 6 3 1 横向隔离装置对现有系统的影响横向隔离装置对现有系统的影响 由于横向隔离装置技术要求的严格性 使其只能满足特定的网络环境和特 定的应用系统 对现有系统和网络环境的影响主要有以下两个方面 对现有系统网络环境的影响对现有系统网络环境的影响 横向隔离装置部署在 I II 区和 III 区的网关机之间 支持连接路由器 交 换机 集线器或者直接和网关机相连 支持透明接入 在连接两个交换机时 如果需要进行报文标签封装 建议采用标准的 802 1Q 协议 在报文 MAC 头后增 加 4 个字节标记 进行封装 不宜采用 ISL 协议 在报文 MAC 头前增加 26 个字 节标记 报文尾增加 4 个字节 CRC 校验 进行封装 ISL 协议为 Cisco 交换机 之间进行标签封装的默认协议 需要调整为标准的 802 1Q 协议 对现有系统应用软件的影响对现有系统应用软件的影响 横向隔离装置支持 TCP 和 UDP 两种协议 现有系统如果采用 UDP 协议 外 网不能返回任何应用数据 应用系统如果采用 TCP 协议 反向应答字节数不能 超过 4 个字节 反向隔离装置要求传输的文件必须为纯文本文件 如果为其它 格式文件 需转换为纯文本文件再进行传输 水电公司二次系统安全防护设计 方案 6 3 2 二次系统应用改造二次系统应用改造 根据电力二次系统安全防护的要求 在 I II 区与 III 区之间需要安装电力系 统专用横向隔离装置 正向 反向 安装横向隔离装置后 由于隔离装置是单 向传输 以往的大部分应用都需要进行改造才能在新的网络环境下正常工作 现有的二次系统中比较典型的应用有 文件传输 实时数据转发 数据库传输 及 WEB 应用 1 文件传输文件传输 文件传输是一种非常普遍的数据传输方式 在应用改造之前 通常采用标 准的 FTP 命令进行数据转发 由于 FTP 协议是一种双向通信的协议 所以在安 装隔离装置后 原来的文件传输方式必须进行改造 本方案采用南瑞集团公司开发的基于 Win32 平台 也支持 UNIX 平台 的专 用文件传输软件 传输软件分为客户端与服务端 客户端为文件发送端 运行 在 I 区数据传输服务器上 服务端为文件接收端 根据调度系统需要 文件发 送端在功能上具备定时发送多批文件 分别放置在不同目录 实时发送多批文 件 分别放置在不同目录 与手动发送一组文件的功能 文件接收端指定传入 文件的根目录 接受客户端传入的文件 如图 28 所示 采用网络磁盘映射的方式将 I II 区的文件映射到 I 区数据传输服务器的 一个网络磁盘上 文件传输软件客户端通过扫描不同的目录 将 I II 区的文件 发送到 III 区服务器指定目录下 图 28 正向文件传输软件工作流程图 水电公司二次系统安全防护设计 方案 2 实时数据转发实时数据转发 对于需要从 I 区转发实时数据到 III 区的应用 在应用改造之前通用的做 法是 III 区的网关机向 I II 区的网关机发起请求 由 I II 区的网关机组织数 据 然后发给 III 区的网关机 在 I II 区和 III 区之间安装隔离装置后 这种 通信方式是不允许的 容易造成攻击 必须对此类应用加以修改以符合电力二 次系统安全防护的要求 主要包括连接方向和反向应答字节数的调整 具体如 下所述 由于正向隔离装置是单向传输的 实时数据必须由 I 区主动发送到 III 区 因此原来的 SCADA EMS 系统的工作模式需要进行改造 专用正向隔离装置在物 理上控制反向的应用层应答字节数最多为 4 个 所以 III 区的应用程序的应答 报文必须不超过 4 个字节 这 4 个字节可以作为出错应答或者状态应答报文 目前 电力调度通信中心和电厂的实时系统主要包括国产的主流 EMS SCADA 系统和一些国外的实时 SCADA 系统如 PI 实时系统等 对于国产系统 建议由 SCADA 厂家进行应用改造和 WEB 外移工作 对于国外的实时系统 可以 利用现有系统资源 根据实时系统提供的标准 SQL 接口 开发实时数据转发软 件 实时数据传输软件由以下二部分组成 1 实时数据发送端 2 实时数据接收端 其数据工作流程如下图所示 水电公司二次系统安全防护设计 方案 图 29 实时数据传输软件工作流程图 实时数据发送端运行在 I 区现有监控系统的实时数据通信网关机上 采用 单向主动发送的方式将实时库中的数据发送到 III 区的数据接收端 实时数据 接收端运行在 III 区现有 DMIS 系统的服务器上 负责接收从 I 区实时数据发送 程序发送来的实时数据 实时数据接收端预留标准接口 可以将实时数据转发 给 III 区的其它应用系统或者直接写入 DMIS 数据库 从应用程序改造的角度来看 只需要改动应用程序的工作模式即可 具体 的通信规约不需要进行大的改动 由于反向 4 个字节的限制 所以应答报文需 要精心设计 保证应用程序的可靠稳定运行 3 数据库传输数据库传输 在应用改造前 安全区 III 的一些应用程序如浏览实时数据的 WEB 系统等 通过 SQL 命令访问安全区 I II 的数据库服务器 如图 30 所示 由于 SQL 命令 是一种双向的访问方式 并且访问方式为外网为数据请求端 存在安全隐患 所以在安装隔离装置后 必须进行改造