调度安全防护体系-总体PPT课件

全国电力二次系统安全防护总体方案 第七版 内部资料注意保密 电力系统安全防护体系 全国 全世界 非实时 调度生产系统 准实时 非实时 实时控制系统 电力信息系统 社会 电力 调度 全国电力二次系统安全防护总体方案是依据中华人民共和国国家经济贸易委员会第30号令 电网和电厂计算机监控系统及调度数据网络安全防护的规定 以下简称 规定 的要求 并根据我国电力调度系统的具体情况编制的 目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故 规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划 实施和监管 以保障我国电力系统的安全 稳定 经济运行 保护国家重要基础设施的安全 电力二次系统逻辑结构 本安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统 总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络 电力通信系统 电力信息系统可参照电力二次系统安全防护总体方案制定具体安全防护方案 安全防护总体方案的适用范围 电网调度系统安全防护的重点是抵御病毒 黑客等通过各种形式发起的恶意破坏和攻击 尤其是集团式攻击 重点保护电力实时闭环监控系统及调度数据网络的安全 防止由此引起电力系统事故 从而保障电力系统的安全稳定运行 保证国家重要基础设施的安全 要从国家安全战略的高度充分认识电力安全防护的重大意义 电网调度系统安全防护的目标与重点 电力二次系统主要安全风险 1 随着通信技术和网络技术的发展 接入国家电力调度数据网的电力控制系统越来越多 特别是随着电力改革的推进和电力市场的建立 要求在调度中心 电厂 用户等之间进行的数据交换也越来越频繁 电力一次设备的改善使得其可控性能满足闭环的要求 电厂 变电站减人增效 大量采用远方控制 对电力控制系统和数据网络的安全性 可靠性 实时性提出了新的严峻挑战 因特网和Internet技术已得到广泛使用 E mail Web和PC的应用也日益普及 但同时病毒和黑客也日益猖獗 目前有一些调度中心 发电厂 变电站在规划 设计 建设控制系统和数据网络时 对网络安全问题重视不够 使得具有实时远方控制功能的监控系统 在没有进行有效安全隔离的情况下与当地的MIS系统或其他数据网络互连 构成了对电网安全运行的严重隐患 电力二次系统主要安全风险 2 1 系统性原则 木桶原理 2 简单性原则 3 实时 连续 安全相统一的原则 4 需求 风险 代价相平衡的原则 5 实用与先进相结合的原则 6 方便与安全相统一的原则 7 全面防护 突出重点 实时闭环控制部分 的原则8 分层分区 强化边界的原则 9 整体规划 分步实施的原则 10 责任到人 分级管理 联合防护的原则 二次系统安全防护总体原则 安全防护模型 以安全策略为核心 相关的安全法律法规 中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 计算机信息系统保密管理暂行规定 涉及国家秘密的通信 办公自动化和计算机信息系统审批暂行办法 计算机信息系统国际联网保密管理规定 计算机信息网络国际联网安全保护管理办法 关于维护网络安全和信息安全的决议 电网和电厂计算机监控系统及调度数据网络安全防护的规定 电力二次系统安全防护总体策略 分区防护 突出重点 根据系统中业务的重要性和对一次系统的影响程度进行分区 所有系统都必须置于相应的安全区内 重点保护实时控制系统以及生产业务系统 安全区隔离 采用不同强度的网络安全设备使各安全区中的业务系统得到有效保护 网络隔离 在专用通道上建立调度专用数据网络 实现与其他数据网络物理隔离 并通过采用MPLS VPN或IPsec VPN在专网上形成多个相互逻辑隔离的VPN 实现多层次的保护 纵向防护 采用认证 加密等手段实现数据的远方安全传输 电力二次系统的安全区划分 一 根据电力二次系统的特点 目前状况和安全要求 整个二次系统分为四个安全工作区 实时控制区 非控制生产区 生产管理区 管理信息区 安全区 为实时控制区 安全保护的重点与核心 凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区 如 调度自动化系统和相量同步测量系统 配电自动化系统 变电站自动化系统 发电厂自动监控系统或火电厂的管理信息系统 SIS 中AGC功能等 其面向的使用者为调度员和运行操作人员 数据实时性为秒级 外部边界的通信均经由电力调度数据网 区中还包括采用专用通道的控制系统 如 继电保护 安全自动控制系统 低频 低压自动减载系统 负荷控制系统等 这类系统对数据通信的实时性要求为毫秒级或秒级 是电力二次系统中最重要系统 安全等级最高 电力二次系统的安全区划分 二 安全区 为非控制生产区 原则上不具备控制功能的生产业务和批发交易业务系统 或者系统中不进行控制的部分均属于安全区 如 水调自动化系统 电能量计量系统 发电侧电力市场交易系统等 其面向的使用者为运行方式 运行计划工作人员及发电侧电力市场交易员等 数据的实时性是分级 小时级 该区的外部通信边界为电力调度数据网 安全区 为生产管理区 该区的系统为进行生产管理的系统 如 雷电监测系统 气象信息接入等 该区的外部通信边界为电力数据通信网 SPTnet 安全区IV为管理信息区 该区包括办公管理信息系统 客户服务等 该区的外部通信边界为SPTnet及因特网 电力二次系统安全防护总体示意图 上级调度 控制中心 下级调度 控制中心 上级信息中心 下级信息中心 实时VPNSPDnet非实时VPN IP认证加密装置 安全区I 实时控制区 安全区II 非控制生产区 安全区III 生产管理区 安全区IV 管理信息区 外部公共因特网 生产VPNSPTnet管理VPN 防火墙 防火墙 IP认证加密装置 IP认证加密装置 IP认证加密装置 防火墙 防火墙 安全区I 实时控制区 防火墙 安全区II 非控制生产区 安全区III 生产管理区 防火墙 防火墙 安全区IV 管理信息区 专线 正向专用安全隔离装置 反向专用安全隔离装置 正向专用安全隔离装置 反向专用安全隔离装置 防火墙 防火墙 防火墙 业务系统置于安全区的规则 一 根据该系统的实时性 使用者 功能 场所 各业务系统的相互关系 广域网通信的方式以及受到攻击之后所产生的影响 将其分置于四个安全区之中 实时控制系统或未来可能有实时控制功能的系统需置于安全区 电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区 允许把属于低安全区的业务系统的终端设备放置于高安全区 由属于高安全区的人员使用 业务系统置于安全区的规则 二 某些业务系统的次要功能与根据主要功能所选定的安全区不一致时 可将业务系统根据不同的功能模块分为若干子系统分置于各安全区中 各子系统经过安全区之间的通信来构成整个业务系统 自我封闭的业务系统为孤立业务系统 其划分规则不作要求 但需遵守所在安全区的安全防护规定 各电力二次系统原则上均应划分为四安全区的电力二次系统安全防护方案 但并非四安全区都必须存在 某安全区不存在的条件是 1 其本身不存在该安全区的业务 2 与其它电网二次系统在该安全区不存在 纵向 互联 安全区之间的隔离要求 一 在各安全区之间均需选择适当安全强度的隔离装置 具体隔离装置的选择不仅需要考虑网络安全的要求 还需要考虑带宽及实时性的要求 隔离装置必须是国产并经过国家或电力系统有关部门认证 安全区 与安全区 之间的隔离要求 允许采用经有关部门认定核准的硬件防火墙 应禁止E mail Web Telnet Rlogin等访问 安全区III与安全区IV之间的隔离要求 区之间应采用经有关部门认定核准的硬件防火墙 安全区之间的隔离要求 二 安全区 与安全区 之间的隔离要求 安全区 不得与安全区 直接联系 安全区 与安全区 之间必须采用经有关部门认定核准的专用隔离装置 专用隔离装置分为正向隔离装置和反向隔离装置 从安全区 往安全区 单向传输信息须采用正向隔离装置 由安全区 往安全区 甚至安全区 的单向数据传输必须采用反向隔离装置 反向隔离装置采取签名认证和数据过滤措施 专用隔离装置应禁止E MAIL WEB TELnet Rlogin等访问 安全区与远方通信的安全防护要求 一 外部边界网络 安全区 所连接的广域网为国家电力调度数据网SPDnet 采用MPLS VPN技术构造的SPDnet为安全区 分别提供二个逻辑隔离的MPLS VPN 对不具备MPLS VPN的某些省 地区调度数据网络 可通过IPSec构造VPN子网 VPN子网可提供二个逻辑隔离的子网 安全区 所连接的广域网为国家电力数据通信网 SPTnet 安全区与外部边界网络的隔离要求 安全区 接入SPDnet时 应配置IP认证加密装置 实现网络层双向身份认证 数据加密和访问控制 如暂时不具备条件或业务无此项要求 可以用硬件防火墙代替 安全区 接入SPTnet应配置硬件防火墙 安全区与远方通信的安全防护要求 二 处于外部网络边界的通信网关的操作系统应进行安全加固 对I II区的外部通信网关建议配置数字证书 传统的远动通道的通信目前暂不考虑网络安全问题 个别关键厂站的远动通道的通信可采用线路加密器 经SPDnet的RTU网络通道原则上不考虑传输中的认证加密 个别关键厂站的RTU网络通信可采用认证加密 各安全区内部安全防护的基本要求 一 对安全区 及安全区 的要求 禁止安全区 内部的E MAIL服务 安全区 不允许存在WEB服务器及客户端 允许安全区 内部及纵向 即上下级间 WEB服务 但WEB浏览工作站与II区业务系统工作站不得共用 而且必须业务系统向WEB服务器单向主动传送数据 安全区 的重要业务 如SCADA 电力交易 应该采用认证加密机制 安全区 内的相关系统间必须采取访问控制等安全措施 对安全区 进行拨号访问服务 必须采取认证 加密 访问控制等安全防护措施 安全区 应该部署安全审计措施 如IDS等 安全区 必须采取防恶意代码措施 各安全区内部安全防护的基本要求 二 对安全区 要求 安全区 允许开通EMAIL WEB服务 对安全区 拨号访问服务必须采取访问控制等安全防护措施 安全区 应该部署安全审计措施 如IDS等 安全区 必须采取防恶意代码措施 说明 本方案假设某电力二次系统都是局域范围 如某系统内部具有广域网通信 其安全防护需要参照执行 个别业务系统 如因其业务的特殊性需要附加的安全防护 参照上述原则 本方案对安全区 不做详细要求 电力二次系统四安全区拓扑结构 电力二次系统四安全区的拓扑结构有三种结构 这三种结构均能满足电力二次系统安全防护体系的要求 如图链式结构 三角结构和星形结构 电力二次系统安全防护技术 PKI技术的介绍 对称密钥体制 是指加密密钥和解密密钥为同一密钥的密码体制 因此 信息发送者和信息接收者在进行信息的传输与处理时 必须共同持有该密码 称为对称密码 通常 密钥简短 使用的加密算法比较简便高效 不对称密钥体制 公钥体制 用户产生一对公 私密钥 向外界公开的密钥为公钥 自己保留的密钥为私钥 加密过程 信息发送者以信息接收者的公钥加密信息 信息接收者以其私钥解密这加密信息 又称为公钥加密技术 认证过程 信息发送者以自己的私钥加密信息 信息接收者以信息发送者的公钥解密这加密信息 因为任何人都可以用信息发送者的公钥解密这加密信息 但只有知道信息发送者私钥的人才能发出此加密信息 数字签名和数字信封 数字签名是指原始信息经单向散列函数 hash 所得原始信息的摘要 用私钥对摘要进行加密得数字签名 信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密获取摘要信息 并通过与自己收到的原始信息用同一单向散列函数所产生的信息摘要作对照 便可确信原始信息是否被篡改 数字信封中采用了对称密钥和公钥体制 信息发送者首先利用随机产生的对称密钥加密信息体 再利用接收者的公钥加密对称密钥 被公钥加密的对称密钥称为数字信封 在通信时 信息接收者要解密信息体 必须先用自己的私钥解密数字信封 得到对称密钥 再利用对称密码解密得到信息体 数字证书与认证 PKI是一个利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服务的统一的技术框架 PKI技术中最主要的安全技术包括两个方面 公钥加密技术 数字签名技术 公钥加密技术可以提供信息的保密性和访问控制的有效手段 而数字签名技术则提供了在网络通信之前相互认证的有效方法 在通信过程中保证信息完整性的可靠手段 以及在通信结束之后防止双方抵赖的有效机制 基于认证中心CA CertificateAuthority 的身份认证方案 采用公钥认证技术 使用公钥方式进行身份认证时需要首先知道对方的公钥 实际网络环境中公钥随着由CA颁发的数字证书 DigitalCertificate 的发放而被分发 CA扮演可信第三方的角色 证书是一段特殊格式的数据记录 它包含有公钥 有效期 证书申请人 CA的数字签名 CA名称等信息 证书由ITU的X 509标准规定的证书格式 可以用文件的形式存储 由颁发者的签名来确保证书的完整性 数字证书提供以下安全功能 支持身份认证功能 支持基于证书的密钥分发与加密 支持基于证书的签名以及基于证书扩展属性的权限管理 电力调度业务系统及数据网络中需要发放数字证书的对象 关键应用 主要包括SCADA系统 电力市场交易系统 关键人员 主要包括关键应用系统的用户与管理维护人员 关键设备 主要包括通信网关 IP认证加密装置 专用安全隔离装置 以及部分网络设备 电力二次系统的数字证书 专用安全隔离装置 电力专用安全隔离装置作为安全区I II与安全区III的必备边界 要求具有最高的安全防护强度 是安全区I II横向防护的要点 其中 安全隔离装置 正向 用于安全区I II到安全区III的单向数据传递 安全隔离装置 反向 用于安全区III到安全区I II的单向数据传递 专用安全隔离装置部署 隔离设备 实时控制系统 调度生产系统 接口机A 接口机B 安全岛 关键技术 正向型专用安全隔离装置 内网 外网 内部应用网关 外部应用网关 1 采用非INTEL指令系统的 及兼容 双微处理器 2 特别配置LINUX内核 取消所有网络功能 安全 固化的的操作系统 抵御除DoS以外的已知的网络攻击 3 非网络方式的内部通信 支持安全岛 保证装置内外两个处理系统不同时连通 4 透明监听方式 虚拟主机IP地址 隐藏MAC地址 支持NAT5 内设MAC IP PORT PROTOCOL DIRECTION等综合过滤与访问控制6 防止穿透性TCP联接 内外应用网关间的TCP联接分解成两个应用网关分别到装置内外两个网卡的两个TCP虚拟联接 两个网卡在装置内部是非网络连接 7 单向联接控制 应用层数据完全单向传输 TCP应答禁止携带应用数据 8 应用层解析 支持应用层特殊标记识别9 支持身份认证10 灵活方便的维护管理界面 正向专用隔离装置 反向型专用安全隔离装置 安全区III到安全区I II的唯一数据传递途径 反向型专用隔离装置集中接收安全区III发向安全区I II的数据 进行签名验证 内容过滤 有效性检查等处理 处理后 转发给安全区I II内部的接收程序 具体过程如下 1 安全区III内的数据发送端首先对需发送的数据签名 然后发给反向型专用隔离装置 2 专用隔离装置接收数据后 进行签名验证 并对数据进行内容过滤 有效性检查等处理 3 将处理过的数据转发给安全区I II内部的接收程序 反向型专用安全隔离装置反向型专用隔离装置 其本质是堡垒机形式的应用网关与正向型专用安全隔离装置的串连 功能要求 1 采用非INTEL指令系统的 及兼容 微处理器 2 特别配置LINUX内核 取消所有网络功能 安全 固化的的操作系统 抵御除DoS以外的已知的网络攻击 3 固化的专用应用网关程序 具有应用网关功能 实现应用数据的接收与转发且不允许常传输连接 4 具有应用数据内容有效性检查功能 5 具有基于数字证书的数据签名 解签名功能 完成接入认证和对数据源端的认证 6 实现两个安全区之间的非网络方式的安全的数据传递 7 透明监听方式 虚拟主机IP地址 隐藏MAC地址 支持NAT8 内设MAC IP PORT PROTOCOL DIRECTION等综合过滤与访问控制9 防止穿透性TCP联接 10 单向联接控制 应用层数据完全单向传输 TCP应答禁止携带应用数据 11 应用层解析 支持应用层特殊标记识别 纵向通信认证示意 IP认证加密装置 对于纵向通信过程 主要考虑是两个系统之间的认证 具体实现可以由两个通信网关之间的认证实现 或者两处IP认证加密装置之间的认证来实现 建议采用对IP认证加密装置之间的认证 IP认证加密装置用于安全区I II的广域网边界保护 为本地安全区I II提供类似包过滤防火墙的功能 为通信网关间的广域网通信提供具有认证与加密功能的VPN 实现数据传输的机密性 完整性保护 IP认证加密装置功能 IP认证加密装置之间支持基于数字证书的认证 对传输的数据通过数据签名与加密进行数据机密性 完整性保护 支持透明工作方式与网关工作方式 具有基于IP 传输协议 应用端口号的综合报文过滤与访问控制功能 实现装置之间智能协调 动态调整安全策略 具有NAT功能 性能要求 10M 100M线速转发 支持100个并发会话 多家开发的设备可以互联互通 由于现代密码学技术并不基于密码算法的保密 而是基于密钥的保密 因此不论是共享密钥认证还是公开密钥认证 都会涉及密钥的管理和分发问题 如果密钥分发环节存在安全漏洞 那么不论身份认证协议本身设计得多么精巧 认证的可靠性也毫无保证 因此身份认证总是和密钥分发联系在一起的 它们一起构成了身份认证方案的概念 电力调度系统CA证书用户的数量较少 信任与认证关系相对稳定 电力调度系统与数据网络是一个半军事化管理的系统 通过管理加强了系统中实体的可信程度 也为认证体系中CA系统本身的管理 密钥的管理提供了相对安全可信的环境与便利手段 电力调度系统CA的实现可以进行适当的简化 要达到离线分发证书 在线查询证书的目的 电力调度系统CA需求特性 安全区 II 电力调度根 CA 二级 CA 全国电力系统CA结构示意图 国调 省调 调度 CA 中心 RA 中心 调度人员 设备 密钥管理中心 RA 中心 RA 中心 调度人员 设备 调度人员 设备 调度CA认证系统的整体结构 证书和CRL签发 国调 网调 电力调度系统CA整体建设规划 阶段一 建设国调中心系统的CA 作为整个电力调度系统的统一的源CA 其服务对象是国调 网调系统 以及与国调 网调有通信关系的省调实体 如果以后建立全国电力系统的CA 可作为国调中心系统CA的上级CA 阶段二 建设各个省调的CA 作为国调中心CA的下级CA 服务对象是各个省内二次系统 其中第一级为调度CA中心 设在国调中心 其中包括密钥管理中心 它实现签发用户证书 管理证书和CRL 提供密钥管理服务 提供证书状态查询服务等功能 第二级为注册中心 RA中心 可在国调设立一个 在各个网调设立一个 主要完成接受用户申请 审核 证书制作等功能 考虑到电力调度系统的垂直半军事化管理 证书的发放可以预先规划与分配 RA的设立可以化简 初期甚至可以不设立 第三级是最终证书用户 包括关键应用系统及相关人员 关键设备 远程拨号访问防护示意 链路保护措施 使用专用链路加密设备 实现以下安全功能 两端链路加密设备相互进行认证对链路帧进行加密网络保护措施 采用远程访问VPN方式 在RAS与本地网络之间设置拨号认证加密装置 结合用户数字证书 对远程拨入的用户身份进行认证 通过认证后 在远程拨入用户与拨号认证加密装置之间建立IPSecVPN 对网络层数据进行机密性与完整性保护 相关的安全产品包括 用户端的IPSecVPN客户端插件及相应的加密卡 RAS端的拨号认证加密装置 包括相应的加密设备 拨号认证加密装置可以是单独的设备 置于RAS与本地网络之间 也可以与RAS集成在一个物理设备中 远程拨号访问认证过程 链路方式远程拨号访问认证过程网络方式远程拨号访问认证过程 远程拨号访问防护方案 拨号的防护措施可以在链路层或网络层实施 采用认证 加密技术保证通信双方身份的真实性和数据的完整性 保密性 链路方式 对于以远方终端的方式通过被访问的本地主机的RS232接口直接访问本地主机的情况 采用链路层保护措施 即在两端安装链路加密设备 该方式主要用于安全区I的远程拨号访问 网络方式 通过RAS 远程访问服务器 访问本地网络与系统的远程访问 建议采用网络层保护措施 即采用用户端证书与拨号认证加密装置配合的拨号VPN 该方式主要用于安全区II III的远程拨号访问 传统专用通道的防护 线路加密设备 线路加密设备可用于传统专线RTU 保护装置 安控装置通道上数据的加密保护 防止搭线篡改数据 要求该设备具有一定强度的对称加密功能 建议新开发的专线RTU 保护装置 安控装置 内置安全加密功能 防火墙防火墙产品可以部署在安全区I与安全区II之间 横向 实现两个区域的逻辑隔离 报文过滤 访问控制等功能 对于调度数据专网条件不完善的地方 可需要部署在调度数据接入处 纵向 防火墙安全策略主要是基于业务流量的IP地址 协议 应用端口号 以及方向的报文过滤 具体选用的防火墙必须经过有关部门认可的国产硬件防火墙 Web服务的使用与防护 在安全区I中取消Web服务 禁止安全区I中的计算机使用浏览器访问安全区II的Web服务 安全区II中的Web服务将是安全区I与II的统一的数据发布与查询窗口 考虑到目前Web服务的不安全性 以及安全区II的Web服务需要向整个SPDnet开放 因此在安全区II中将用于Web服务的服务器与浏览器客户机统一布置在安全区II中的一个逻辑子区 Web服务子区 置于安全区II的接入交换机上的独立VLAN中 并且 Web服务器采用安全Web服务器 即经过主机安全加固的 支持SSL HTTPS的Web服务器 能够对浏览器客户端进行身份认证 以及应用数据加密 需要在Web服务子区开展安全Web服务的应用限于 电力市场交易系统 DTS系统 其它安全措施 备份与恢复 数据与系统备份对关键应用的数据与应用系统进行备份 确保数据损坏 系统崩溃情况下快速恢复数据与系统的可用性 设备备用对关键主机设备 网络的设备与部件进行相应的热备份与冷备份 避免单点故障影响系统可靠性 异地容灾对实时控制系统 电力市场交易系统 在具备条件的前提下进行异地的数据与系统备份 提供系统级容灾功能 保证在规模灾难情况下 保持系统业务的连续性 防病毒措施 病毒防护是调度系统与网络必须的安全措施 建议病毒的防护应该覆盖所有安全区I II III的主机与工作站 病毒特征码要求必须以离线的方式及时更新 入侵检测IDS对于安全区I与II 建议统一部署一套IDS管理系统 考虑到调度业务的可靠性 采用基于网络的入侵检测系统 NIDS 其IDS探头主要部署在 安全区I与II的边界点 SPDnet的接入点 以及安全区I与II内的关键应用网段 其主要的功能用于捕获网络异常行为 分析潜在风险 以及安全审计 对于安全区III 禁止使用安全区I与II的IDS 建议与安全区IV的IDS系统统一规划部署 主机防护 安全配置通过合理地设置系统配置 服务 权限 减少安全弱点 禁止不必要的应用 作为调度业务系统的专用主机或者工作站 严格管理系统及应用软件的安装与使用 安全补丁通过及时更新系统安全补丁 消除系统内核漏洞与后门 主机加固安装主机加固软件 强制进行权限分配 保证对系统的资源 包括数据与进程 的访问符合定义的主机安全策略 防止主机权限被滥用 应用目标关键应用 包括SCADA EMS系统服务器 电力市场交易服务器等等 网络边界处的主机 包括通信网关 Web服务器 计算机系统本地访问控制 技术措施结合用户数字证书 对用户登录本地操作系统 访问操作系统资源等操作进行身份认证 根据身份与权限进行访问控制 并且对操作行为进行安全审计 使用方式当用户需要登录系统时 系统通过相应接口 如USB 读卡器 连接用户的证书介质 读取证书 进行身份认证 通过认证后 进入常规的系统登录程序 应用目标对于调度端安全区I中的SCADA EMS系统 安全区II中的电力市场交易系统 厂站端的控制系统要求采用本地访问控制手段进行保护 关键应用系统服务器访问控制 调度系统的关键应用系统服务器 安全区I中的SCADA系统服务器安全区II中的电力市场交易系统服务器技术措施对于新开发的关键应用系统服务器 要求本身实现基于数字证书的身份认证 授权管理 访问控制 数据通信的加密与签名 以及行为审计功能 对于原有关键应用系统服务器 可以进行适当安全改造 或者采用安全服务代理的方式进行安全增强 采用安全代理方式加强现有应用系统 增加一个安全代理服务器 原有客户端对应用服务器的所有访问必须经过安全代理服务器 由安全代理服务器对客户端进行认证 权限管理 访问控制 仅将合法用户的合法访问转交给应用服务器 并且对客户端与代理服务器之间的通信进行安全保护 对客户端的访问行为进行审计 原有应用服务器不需要改造 而部分客户端可能需要一定程度的改造 添加安全插件 以及加密设备 应用程序安全禁止应用程序以操作系统root权限运行 应用系统合理设置用户权限 重要资源的访问与操作要求进行身份认证与审计 用户口令不得以明文方式出现在程序及配置文件中 安全审计安全审计是安全管理的重要环节 应该引入集中智能的安全审计系统 通过技术手段 对网络运行日志 操作系统运行日志 数据库访问日志 业务应用系统运行日志 安全设施运行日志等进行统一安全审计 及时自动分析系统安全事件 实现系统安全运行管理 安全 蜜罐 应用 主动防御 思想 在安全区II中的Web子区中 设置 安全蜜罐 迷惑攻击者 配合安全审计 收集攻击者相关信息 安全评估技术 所有系统均需进行投运前的及运行期间的定期评估 已投运的系统要求进行安全评估 新建设的系统必须经过安全评估合格后方可投运 运行期间的定期评估 其它措施 调度中心 地调及以上 二次系统安全防护 调度中心各系统安全区的划分 安全区 目前已有或将来要上的有控制功能的系统 以及实时性要求很高的系统 目前包括实时闭环控制的SCADA EMS系统 广域相量测量系统 WAMS 和安全自动控制系统 保护设置工作站 有改定值 远方投退功能 安全区 没有实时控制业务但需要通过SPDnet进行远方通信的准实时业务系统 目前包括水调自动化系统 DTS 将来需要进行联合事故演习 电力交易系统 电能量计量系统 考核系统 继保及故录管理系统 没有改定值 远方投退功能 等 安全区 通过SPTnet进行远方通信的调度生产管理系统 目前包括雷电监测系统 气象信息 日报 早报 DMIS等 安全区IV 包括办公自动化 OA 和管理信息系统 MIS 等 纵向网络边界的安全防护措施 对外通信网关必须通过具备逻辑隔离功能的接入交换机接入部署IP认证加密装置 位于SPDnet的实时VPN与接入交换机之间 横向网络边界的安全防护措施 对内网关必须通过具备逻辑隔离功能的区内交换机接入 若交换机不具备逻辑隔离功能时 建议部署硬件防火墙 安全区 与安全区 之间必须部署硬件防火墙 经有关部门认定核准 电力交易系统 拨号通信作为市场成员的备用访问方式 要求通过拨号服务器 RAS 接入安全区 的接入交换机 接入交换机具备逻辑隔离功能 若交换机不具备逻辑隔离功能时 建议部署硬件防火墙 在RAS和接入交换机之间必须部署拨号认证加密装置 拨入端配相应的数字证书 证书由国家电力调度CA统一签发 若无条件实现安全防护时 则禁止开通拨号访问 纵向网络边界的安全防护措施 对外通信网关必须通过具备逻辑隔离功能的接入交换机接入 必须部署IP认证加密装置 位于SPDnet的非实时VPN与接入交换机之间 横向网络边界的安全防护措施是 对内网关必须通过具备逻辑隔离功能的区内交换机接入 若交换机不具备逻辑隔离功能时 建议部署硬件防火墙 实现同区内不同系统间的逻辑隔离 与安全区 之间必须部署硬件防火墙 经有关部门认定核准 作为安全区 之间的逻辑隔离 与安全区 之间必须部署正向型和反向型专用安全隔离装置 报价处理服务器 信息发布服务器可以根据各地实际情况布置在安全区 或 1 布置在安全区 要求报价处理在对外网关服务器处理 配置认证 加密等机制 电力交易信息发布 非公众 服务器要求部署在 区内的WEB子网 必须采用安全WEB服务器 信息发布采用安全WEB技术 定时从电力交易系统内网导出数据给安全WEB服务器 浏览电力交易信息发布服务器的用户必须具有证书 而且浏览端设备只能同在安全区 并与安全区 的其它业务系统隔离 2 布置在安全区 要求在安全区 配置报价处理代理服务器 保证报价信息能通过专用安全隔离装置 反向型 安全地传递到安全区 的交易系统 电力交易信息发布服务器部署在安全区 定时从安全区 内的电力交易系统通过专用安全隔离装置 正向型 导出数据给WEB服务器 浏览电力交易信息发布服务器的用户必须具有证书 此浏览端设备只能在安全区 目前建议的拨号方式 只允许从主站端向厂站端单向拨号 同时注意核查不得有拨号转移 要求厂站端的计量装置与当地的其它系统必须有相应的安全隔离 目前要求厂站端计量装置与当地系统分离 一般拨号通信方式 要求通过拨号服务器 RAS 接入安全区 的接入交换机 接入交换机具备逻辑隔离功能 若交换机不具备逻辑隔离功能时 建议部署硬件防火墙 在RAS和接入交换机之间必须部署拨号认证加密装置 拨入端配相应的证书 证书由国家电网公司统一签发 对电能量原始数据不可修改的保护不在此方案的范围内 继电保护和故障录波信息系统 继电保护和故障录波信息系统放在安全区II