电网调度自动化系统安全防护方案

1、- PAGE 9 -全国电力调度系统安全防护体系资料电网调度自动化系统安全防护方案目录 HYPERLINK l _TOC_250014 文档简介4文档目的4基本方法4相关文档4 HYPERLINK l _TOC_250013 安全防护目标5设计目标5设计前提5安全约束5 HYPERLINK l _TOC_250012 .总 体 安 全 策略6 HYPERLINK l _TOC_250011 .系 统 环 境 分析6调度自动化系统参考配置6目前网络运行环境分析7系统资源分析7 HYPERLINK l _TOC_250010 应用系统分析10业务逻辑分析10数据流分析11逻辑边界分析12安全工作区

2、分析13 HYPERLINK l _TOC_250009 系统安全分析13安全风险评估13安全要求15安全建议16 HYPERLINK l _TOC_250008 安全产品部署17逻辑边界与物理边界的对应17安全产品的选用18安全产品整体部署18安全产品部署说明19 HYPERLINK l _TOC_250007 安全管理规定20人员管理20网络管理20主机管理21应急处理21 HYPERLINK l _TOC_250006 参考资料22 HYPERLINK l _TOC_250005 附录零安全防护方案文档结构23 HYPERLINK l _TOC_250004 附录一数据资源安全等级的 C

3、IA 测度24 HYPERLINK l _TOC_250003 附录二服务等级的测度24 HYPERLINK l _TOC_250002 附录三接口类型的定义24 HYPERLINK l _TOC_250001 附录四环境信任度的测度26 HYPERLINK l _TOC_250000 附录五术语解释27图的索引图 1调度自动化系统参考配置图7图 2调度自动化系统业务逻辑示意图10图 3调度自动化系统数据流图12图 4调度自动化系统的逻辑边界示意图12图 5调度自动化系统物理边界示意图17图 6调度自动化系统安全产品部署示意图18图 7安全防护方案文档结构图23表的索引表 1网络运行环境分析7

4、表 2系统硬件资源列表7表 3系统软件资源列表7表 4系统数据资源列表8表 5系统文档资源列表9表 6系统使用人员列表9表 7调度自动化系统业务分析10表 8调度自动化系统的逻辑接口12表 9调度自动化系统的安全工作区13表 10软件资源中可能存在的漏洞14表 11调度自动化系统可能受到的攻击分析15表 12调度自动化系统安全防护要求15表 13基于接口的安全技术和管理建议16表 14调度自动化系统逻辑边界与物理边界的对应17表 15安全产品及其简要功能18表 16接口类型的定义24表 17环境信任度测度26表 18接口类型的环境信任度矩阵26文档简介1 . 文 档 目 的本技术文档可以为电网

5、调度自动化系统的安全防护提供安全分析、设计和实施指南，同时它的文档结构可以作为其它应用系统安全防护方案技术文档的参考。2 . 基 本 方 法本文档遵循通常被大家公认的方法 1，它包括以下步骤：确认你想保护什么。思考你想从何处入手保护它。思考这种威胁可能是什么。实施最经济有效的保护措施不断重复上面的过程本文档主要涉及上面的前四条，并且安全分析设计主要集中于系统的边界。3 . 相 关 文 档本文档是“全国电网二次系统安全防护系列文档”的资料之一。该系列文档包括：全国电网二次系统安全防护总体框架电网调度自动化系统安全防护方案调度生产管理系统安全防护方案电能量计量系统安全防护方案水电自动化系统安全防护

6、方案继电保护和故障录波信息系统安全防护方案电力市场运营系统安全防护方案变电站自动化系统安全防护方案发电厂监控系统安全防护方案配电自动化系统安全防护方案公共安全防护专题：包括操作系统、数据库系统、WEB 服务、Email 服务、拨号接入、SPDnet 网络接入、认证服务、通信网关、物理隔离装置、安全产品的选择和部署等若干公共的安全防护专题。安全防护目标1 . 设 计 目 标用于明确电网调度自动化系统安全防护的总体目标，它包括： 防 止 调 度 自 动 化 系 统 核 心 业 务 （ 如 供 电 ） 中 断防 止 调 度 自 动 化 系 统 本 身 崩 溃抵 御 外 部 人 员 对 调 度 自 动

7、 化 系 统 发 起 的 恶 意 破 坏 和 攻 击防 止 利 用 病 毒 等 恶 意 程 序 ， 从 调 度 自 动 化 系 统 局 域 网 内 部 发 起 的 对 调 度 自 动 化系 统 的 恶 意 破 坏 和 攻 击保 护 调 度 自 动 化 系 统 的 实 时 和 历 史 数 据 ， 主 要 防 止 数 据 被 非 授 权 修 改2 . 设 计 前 提用于明确本安全防护方案中所进行的所有安全分析和设计的前提，限定了安全分析设计的范围，它包括： 调 度 自 动 化 系 统 及 其 网 络 的 所 有 物 理 设 备 受 到 充 分 的 物 理 保 护调 度 自 动 化 系 统 的 使

8、用 人 员 （ 如 调 度 员 ） 和 维 护 人 员 是 可 以 信 赖 的调 度 自 动 化 系 统 局 域 网 中 的 所 有 主 机 的 登 录 帐 号 和 口 令 已 获 得 安 全 的 管 理调 度 自 动 化 系 统 广 域 网 （ 即 S P D n et ， 国 家 电 力 调 度 数 据 网） 为 专 用 网 络 ， 与 外部 隔 离远 动 专 用 信 道 是 专 线 ， 使 用 专 用 远 动 协 议 ， 为 非 网 络 连 接 ， 它 的 安 全 性 本 身 可以 得 到 保 证 ， 本 框 架 不 考 虑上 下 级 调 度 与 本 级 调 度 之 间 的 数 据 交

9、换 只 允 许 通 过 S P D n et 进 行3 . 安 全 约 束用于明确本安全防护方案中的安全分析设计所应该考虑的安全约束，主要是指与实施安全防护相矛盾的若干因素，它包括：调 度 自 动 化 系 统 实 施 的 安 全 措 施 不 能 对 调 度 自 动 化 系 统 的 性 能 有 明 显 影 响 ， 尤其 不 能 影 响 调 度 自 动 化 系 统 本 身 业 务 的 正 常 运 行不 能 降 低 调 度 自 动 化 系 统 运 行 的 可 靠 性由 于 调 度 自 动 化 系 统 的 安 全 破 坏 可 能 导 致 一 次 系 统 的 供 电 中 断 ， 因 此 安 全 措 施的

10、 成 本 方 面 约 束 是 相 对 次 要 的必 须 适 应 未 来 调 度 自 动 化 系 统 的 升 级 和 新 技 术 的 应 用.总体 安全 策略不同安全等级的区域应该隔离外部人员访问调度自动化系统的资源时必须进行强认证在系统受到攻击时，应该优先保证关键业务的可用性（持续性）对同一安全等级区域的所有连接实施安全措施后，应该使它们具有相同的剩余风险.系统 环境 分析1 . 调 度 自 动 化 系 统 参 考 配 置EMS应用服务器SCADA服务器历史数据服务器DTS服务器web服务器工作站远程维护数据采集服务器GPS/频率计通信服务器DMIS系统及其它应用系统计算机通信网段1网络设备3

11、2专用通道连接RTU其它SCADA/EMS系统网络连接RTU图 1 调度自动化系统参考配置图2 . 目 前 网 络 运 行 环 境 分 析表 1 网络运行环境分析类 别描 述网 络 类 型双 以 太 局 域 网网 络 设 备集 线 器 、 交 换 机网 络 协 议T C P / IP ， D EC n et 等网 络 流 量 特 征持 续 ， 均 匀 ， 实 时 性 强 ， 大 量 采 用 广 播 或 组 播 （ 3 Mb p s ）网 络 边 界.通 过 远 动 专 用 信 道 连 接 RT U.通 过 S P D n et 方 式 连 接 网 络 RT U.通 过 局 域 网 方 式 连

12、接 调 度 生 产 管 理 系 统.通 过 S P D n et 方 式 连 接 上 、 下 级 E M S 系 统 传 输 数 据.通 过 拨 号 访 问 方 式 连 接 远 程 维 护 端3 . 系 统 资 源 分 析. 1 . 硬 件 资 源表 2 系统硬件资源列表硬 件 类 别描 述UN I X 服 务 器R IS C 服 务 器 ，包 括 E M S 应 用 服 务 器 、S C ADA 服 务 器 、历 史 数据 服 务 器 、 D T S 服 务 器 、 W E B 服 务 器 、 通 信 服 务 器 等UN I X 工 作 站R IS C 工 作 站 ， 包 括 调 度 员 工

13、 作 站 等P C 工 作 站仅 用 于 报 表 及 显 示 ， 包 括 报 表 工 作 站 等磁 盘 阵 列用 于 存 储 历 史 数 据. 2 . 软 件 资 源表 3 系统软件资源列表资 源 类 别描 述相 关 的 硬 件 资 源应 用 软 件S C A D A 系 统PA S （ P o w erAp p l ica t io n S yst em ）自 动 发 电 控 制 （ A G C ）自 动 电 压 调 节 （ AV C ）D T S （ D i sp a tch erTra in in gS C AD A 服 务 器 、 E M S 应 用服 务 器 、 PAS 服 务 器

14、、 D T S 服 务 器S i mu l a t o r ）支 持 软 件实 时 数 据 库 管 理 系 统人 机 界 面局 域 网 网 络 通 讯 软 件系 统 管 理 软 件进 程 管 理应 用 管 理局 域 网 管 理报 文 管 理打 印 管 理制 表 管 理 等S C AD A 服 务 器 、 E M S 应 用服 务 器 、 数 据 采 集 服 务 器 、通 信 服 务 器 、 R I S C 工 作 站商 用 数 据 库 管理 系 统与 调 度 生 产 管 理 系 统 交 换 数据存 储 E M S 的 历 史 数 据历 史 数 据 服 务 器操 作 系 统如 ： UN IX ，

15、 Wi n d o w s N T /2 0 0 0 等所 有 主 机W E B 应 用经 过 S P D n et 向 外 发 布 E M S 数 据W E B 服 务 器. 3 . 数 据 资 源表 4 系统数据资源列表编号资源类别描述传输协议相关的软件资源安全等级D 1电 力 系 统 状 态 实 时数 据由 数 据 采 集 服 务 器采 集 来 的 电 力 系 统状 态 数 据 ， 存 储 在实 时 库 中T C P 或 UD PS C AD A系 统 、 支持 软 件C 2 , A3I2 ,D 2电 力 系 统 状 态 历 史数 据发 电 、 负 荷 、 频 率数 据 等 ， 存 储

16、在 历史 数 据 服 务 器 上 的历 史 数 据 库 中T C PS C AD A系 统 、 历史 数 据 库系 统C 2 , A3I2 ,D 3上 行 远 动 数 据由 数 据 采 集 服 务 器采 集 来 的 上 行 遥信 、 遥 测 数 据远 动 协 议（ 专 用 通道 ）远 动 协 议 T C P / IP （ 网络 通 道 ）S C AD A系 统C 1 , A3I1 ,D 4下 行 远 动 数 据由 数 据 采 集 服 务 器下 发 的 遥 调 、 遥 控数 据同 上S C AD A系 统C 1 , A3I2 ,D 5调 度 中 心 间 的 交 换数 据利 用 IC C P 协

17、议 ，经过 S P D n et 与 上 下级 调 度 交 换 的 数 据T C P /I PS C AD A系 统C 1 , A3I2 ,D 6电 网 拓 扑 数 据描 述 电 网 拓 扑 结 构的 数 据T C PAG C，AV C ，PASC 1 , A3I2 ,注 ： 数 据 资 源 的 安 全 等 级 请 参 考 附 录 一 。. 4 . 文 档 资 源表 5 系统文档资源列表文档类别描述相关软件安全等级EMS 系统使用手册指导调度员使用 EMS 系统进行日常工作的手册EMS 系 统 （ 包 括SCADA、PAS 等）C2调度员值班日志记录调度员值班时的主要操作，以及交接班情况无I2

18、. 5 . 使 用 人 员表 6 系统使用人员列表人员类型描述内部/外部使用频度使用地点使用时间调度值班员使用 EMS 系统内部很高本地/远程全天厂商维护人员维护 EMS 系统外部随机远程/本地随机本地维护人员维护 EMS 系统内部高本地/远程全天DTS 教员、学员使用 DTS 系统内部低本地白天- PAGE 19 -应用系统分析1 . 业 务 逻 辑 分 析远程维护经济经济/管理经济调度安全预防辅助控制功角测量值测量电能量电话指挥系统数据/ 控制SPDnet采集点不会直接对一次系统造成威胁一次 系 统电厂RTU电量计费动态测量SCADA/ EMS水调系统一般DMIS地区SCADA变电站RTU

19、业务逻辑示意图图 2 调度自动化系统业务逻辑示意图表 7 调度自动化系统业务分析服务编号服务类别描述相关数据资源等级T1监控数据采集业务从厂站接收遥测、遥信数据，向厂站发送遥控遥调数据上行远动数据、下行远动数据关键服务T2PAS 的电网络分析服务业务进行电网的网络分析实时数据，网络拓扑数据次 关 键 服务发电计划、交换计划PAS告警数据AGC/AVC的控制数据机组功率、负荷、频率等准实时的电力系统状态设备参数、气象信息、发电计划、无功/电压计划、交换计划、操作计划优化所需网络电力系统状态断面T3自动发电控制和自动无功/电压控制进行电网的有功和无功/电压实时闭环控制实时数据，网络拓扑数据（需要优

20、化时使用）次 关 键 服务T4DTS 业务进行调度员培训实时数据或历史数据非 关 键 服务T5对其它调度控制中心的 WEB 服务经过 SPDnet，为上下级调度提供电网接线图的WEB 浏览电网接线图及其相关数据非 关 键 服务T5.1调度控制中心间的数据交换服务采用 ICCP 协议为上下级调度提供数据交换， 限于 SPDnet调度中心间的交换数据关键/ 次关键服务T6向 DMIS 系统提供历史数据向 DMIS 提供电力系统的拓扑、负荷等准实时数据历史数据次 关 键 服务T7FTP 服务远程维护时内部机器间传递文件等EMS 系统程序文件非 关 键 服务T8拨号诊断服务用于EMS 开发商或本系统人

21、员远程维护EMS 系统程序文件非 关 键 服务T9移动告警服务把告警信息发给操作员的 BP 机或手机等移动设备告警数据非 关 键 服务注：服务等级的测度请参见附录二。拨号告警系统DTSSCADA系统SCADA的数据处理PAS中网络分析历史数据数据采集子系统AGC, AVC专用远动通道网络通道其它控制中心DMISDTS告警数据告警数据电力系统状态断面2 . 数 据 流 分 析图 3 调度自动化系统数据流图3 . 逻 辑 边 界 分 析I 1I 4I 5I 6通 过 S P D n e t 的 D M SI 业 务区 域 2告 警 拨 号电 力 调 度 数 据 网公 共 拨 号M I S拨 号 维

22、 护 服 务S P I n e t下 一 级专 用 通 道 连 接R T U 网 络 连 接R T U 其 它 调 度 自 动 化系 统各外 部 公 共 网区 域 3雷 气电 象公共库通 过 S P I n e t 的 一般 D M I S 业 务I 3I 2调 度 自 动 化 系 统 (有 闭 环 控 制）区 域 1调 度 自 动 化系 统逻 辑 边界 示 意水调系统电力交易电量计费功角测量图 4调度自动化系统的逻辑边界示意图表 8 调度自动化系统的逻辑接口编号名 称经 过 的 数 据通 信 方 式当 前 安全 措 施接 口类 型环 境信 任度I 1报 警 拨 号往 个 人 通 信 设 备

23、发 语 音或 文 字 告 警 信 息拨 号 ， 单 向 信息无1 0 .3HI 2对 E M S 开 发商 的 远 程 维 护接 口开 发 商 通 过 拨 号 方 式 远程 维 护 Un i x 环 境 的 E M S系 统 软 件 ，数 据 类 型 不 定P PP ， T C P / I P口 令1 0 .5LI 2 . 1对 本 系 统 的 维护 人 员 的 远 程维 护 接 口通 过 拨 号 方 式 远 程 维 护Un i x 环 境 的 E M S 系 统 软件 ， 数 据 类 型 不 定P PP ， T C P / I P口 令1 0 .3HI 3对 专 用 通 道 连实 时 数 据

24、 ： 遥 信 、 遥 测 、专 线通 信 网1 0 .2 / 1H /M接 厂 站 RT U 的遥 控 、 遥 调 等 信 息关0 .4接 口I 4对 网 络 连 接 厂站 RT U 的 接 口实 时 数 据 ： 遥 信 、 遥 测 、遥 控 、 遥 调 等 信 息S P D n et，T C P / IP通 信 网关1 0 .2 / 10 .4H /MI 5对 其 它 E MS 系 统 （ 上 、 下级 E M S 系 统 ）的 接 口实 时 数 据 ：1 、 厂 站 的 遥 信 、 遥 测2 、 发 电 、 负 荷 的 计 算 数据 等 信 息S P D n et，T C P / IP通

25、信 网关1 0 .2HI 6与 电 力 市 场 运营 系 统 、 电 能量 计 费 、 水 调自 动 化 系 统 的接 口-负 荷 需 求 信 息-发 电 计 划 信 息-联 络 线 信 息 等本 地 局 域 网 ，T C P / IP通 信 网关1 0 .1H注：接口类型的定义请参见附录三，环境信任度的测度请参见附录四。4 . 安 全 工 作 区 分 析表 9 调度自动化系统的安全工作区编 号划 分 标 准关 联 数 据 资 源关 联 接 口安 全 等 级S 1直 接 支 持 核 心 业 务 ，存 在 闭 环 控 制D 1 , D3 , D4I4 , I3V HS 2与 S P D n et

26、 的 接 口D 5I5HS 3直 接 支 持 核 心 业 务 ，不 存 在 闭 环 控 制D 2 , D6I6 , I7HS 4支 持 一 般 业 务 或 非 强制 持 续 业 务其 它I1 , I2 , I2 . 1M系统安全分析1 . 安 全 风 险 评 估安全风险评估涉及安全威胁、安全漏洞、安全风险等几个概念。安全威胁（Threats）是指可能对系统资产（硬件、软件、数据、文档、人员等）或组织造成不利影响的潜在诱发因素，如网络系统可能受到来自恶意代码和黑客攻击的威胁。安全漏洞（Vulnerabilities）是指系统资产中存在的能被安全威胁利用的弱点，如操作系统本身的安全漏洞、使用简单的

27、口令、使用人员缺乏安全意识等 3。安全风险是指安全威胁利用系统资产本身存在的安全漏洞，对资产或系统造成不利影响的潜在可能性。威胁、漏洞和影响构成了攻击的三个要素，安全风险评估就是指对攻击发生可能性的评估。安全风险评估也称为安全风险分析，包括定性和定量的方法。定量方法要求给出安全风险发生的概率。由于目前还没有一个完整的安全威胁、发生频度、危害程度的调查数据，从而难以进行定量分析。本文档中采用定性的方法进行安全风险评估，对安全威胁、安全漏洞进行分类，并对威胁发生、漏洞存在的可能性以及危害程度划分等级。6 . 1 . 1 . 内 部 安 全 风 险操 作 系 统 的 安 全 性 。 目 前 流 行

28、的 许 多 操 作 系 统 均 存 在 安 全 漏 洞 ， 如 D i g i ta l UN IX 。内 部 人 员 无 意 的 违 规 操 作 。采 用 的 T C P /I P 、 F TP 等 协 议 族 软 件 本 身 存 在 安 全 漏 洞 。应 用 软 件 （ 如 E M S 系 统 ） 本 身 在 访 问 控 制 及 安 全 通 信 等 方 面 存 在 漏 洞 。表 10 软件资源中可能存在的漏洞软件资源实现漏洞设计漏洞配置漏洞Windows NTBBA专用软件AAA数据库管理系统CCC委托开发应用系统AAA自主开发应用系统AAA嵌入式软件CCAInternet 公共服务软件B

29、BA个人工具软件AAA注 ： 漏 洞 的 严 重 程 度 可 以 粗 略 划 分 为 下 面 四 个 等 级（ 体 现 了 漏 洞 存 在 的 可 能 性 和 对核 心 业 务 的 影 响 程 度 等 ）：肯 定 会 存 在 ， 必 须 考 虑可 能 存 在 ， 应 给 予 考 虑可 能 存 在 ， 但 可 以 暂 缓 考 虑基 本 不 会 存 在表 10中表明专用软件、委托开发应用系统、自主开发应用系统在设计、实现上可能存在 A 级的安全漏洞。这主要是考虑到这些软件主要由国内厂家开发，但目前国内的厂家在系统安全设计和系统安全的工程实施方面仍缺乏规范的考虑 2。6 . 1 . 2 . 边 界

30、安 全 风 险网 络 边 界 的 风 险 ： 在 通 信 服 务 器 与 S P D n et 网 络 边 界 ， 存 在 来 自 远 程 黑 客 入 侵 的 威胁 。拨 号 访 问 点 风 险： 非授权用户非法接入等。注 ： 风 险 级 别 表 示 攻 击 对 业 务 影 响 后 果 的 严 重 程 度 ； V H 表 示 Ve r y H i g h ， H 表 示 H i g h ，M 表 示 M ed i u m，L 表 示 L o w；风 险 类 型 包 括 机 密 性（ C o n f id en t ia li t y ）、完 整 性（ I n t eg r it y）、可 用

31、性 （ Av a i l a b i li t y ）、 抗 否 认 （ N o n -R ep u d i a ti o n ）、 审 计 性 （ A c c o u n t a b il it y）、 认 证 性（ Au t h en t i ci t y ） 和 可 靠 性 （ R el i a b il it y） 等 4。表 11 调度自动化系统可能受到的攻击分析攻 击编 号关 联接 口攻 击 场 景 描 述风 险 类型风 险级 别对 业 务 的 影 响A1I1利 用 程 序 漏 洞 向 调 度 员 发 虚 假 的告 警 信 息认 证 性M降 低 调 度 员 对 告警 信 息 对 敏

32、 感 度A2I2 , I2 . 1黑 客 假 冒 开 发 商 或 本 系 统 维 护 人员 的 身 份 获 得 对 E M S 系 统 的 远 程认 证 性审 计 性V H黑 客 可 以 向 E MS系 统 加 入 恶 意 代维 护 权 限抗 否 认码 ， 或 利 用 E MS系 统 发 虚 假 命令 ， 对 一 次 系 统造 成 直 接 影 响A3I3向 通 信 网 关 发 送 雪 崩 数 据 ， 造 成其 拒 绝 服 务认 证 性可 用 性H导 致 E M S 系 统 调度 控 制 业 务 中 断A4I4通 过 该 接 口 ，入 侵 E M S 系 统； 向通 信 网 关 发 送 雪 崩

33、数 据 ， 造 成 其拒 绝 服 务认 证 性可 用 性H导 致 E M S 系 统 调度 控 制 业 务 中 断A5I4窃 听 或 篡 改 四 遥 数 据完 整 性V H导 致 厂 站 接 收 到虚 假 命 令 ， 对 一次 系 统 造 成 直 接影 响A6I5其 它 E M S 系 统 中 的 恶 意 进 程 或 攻击 人 ， 通 过 S P D n et ， 利 用 该 接 口非 法 接 入 E M S 局 域 网认 证 性H获 得 对 E M S 局 域网 的 非 法 接 入 权A7I5来 自 其 它 E M S 系 统 的 病 毒可 用 性M病 毒 侵 入 E M S 系统 ， 导

34、致 服 务 中断A8I6窃 听 或 篡 改 发 电 计 划 、 负 荷 需 求或 联 络 线 信 息 等 数 据机 密 性完 整 性H导 致 电 力 市 场 交易 混 乱2 . 安 全 要 求表 12 调度自动化系统安全防护要求接 口风 险 类 型需 要 的 安 全 服 务安 全 机 制 的 协 议 层I 1认 证 性数 据 原 发 鉴 别应 用 层I 2 , I 2 . 1认 证 性审 计 性抗 否 认对 等 实 体 鉴 别应 用 层 、 网 络 层 、 物 理层I 3认 证 性可 用 性对 等 实 体 鉴 别应 用 层I 4认 证 性可 用 性完 整 性对 等 实 体 鉴 别 ， 不 带

35、恢 复 的 连 接 完 整性应 用 层 、 网 络 层I 5认 证 性可 用 性对 等 实 体 鉴 别应 用 层 、 网 络 层I 6机 密 性完 整 性数 据 保 密 性 、 完 整 性应 用 层注：安全服务包括对等实体鉴别、数据原发鉴别、访问控制服务、连接机密性、无连接机密性、选择字段机密性、通信业务流机密性、带恢复的连接完整性、不带恢复的连接完整性、选择字段连接完整性、无连接完整性、选择字段无连接完整性、数据原发证明的抗抵赖、交付证明的抗抵赖等 5。3 . 安 全 建 议表 13 基于接口的安全技术和管理建议接口保 护 （ P）检 测（ D）响 应 （ R）管 理I 1C无无无R防 恶

36、意 代 码无无安 全 相 容 性 检查I 2 , I 2 . 1C口 令无无RV P N ， 抗 否 认 ， 审 计 追 踪 ， 身 份 认 证 ， 安 全 网 关恶 意 代 码 检 测入 侵 检 测暂 停 拨 号 服务 ， 审 计 日 志分 析定 义 接 口 安 全条 件 ， 定 义 用户 安 全 连 接 条件 ， 安 全 相 容性 检 查I 3C通 信 网 关无无R身 份 认 证 ， 安 全 网 关无无制 定 服 务 中 断恢 复 计 划 ， 安全 相 容 性 检 查I 4C通 信 网 关无无R身 份 认 证 ， 网 络 上 的 数 据保 密 ， 网 络 上 的 数 据 完 整性 ， 安

37、全 网 关 ， 防 火 墙恶 意 代 码 检 测修 改 防 火 墙 规则制 定 服 务 中 断恢 复 计 划 ， 安全 相 容 性 检 查I 5C通 信 网 关无无R身 份 认 证 ， 防 恶 意 代 码 ， 安 全 网 关 ， 防 火 墙恶 意 代 码 检 测修 改 防 火 墙 规则定 义 接 口 安 全条 件 ， 安 全 相容 性 检 查I 6C通 信 网 关无无R网 络 上 的 数 据 保 密 ， 网 络上 的 数 据 完 整 性 ， 安 全 网关 ， 防 火 墙恶 意 代 码 检 测修 改 防 火 墙 规则安 全 相 容 性 检查注：C 表示当前所采用的安全措施，R 表示推荐采用安全措

38、施安全产品部署1 . 逻 辑 边 界 与 物 理 边 界 的 对 应表 14 调度自动化系统逻辑边界与物理边界的对应物 理 边界逻 辑 边界关 联 业 务物 理 边 界 说 明P I 1I 1T 9只 能 拨 出 ， 不 能 拨 入 ， 报 警 专 用P I 2I 3T 1 , T2 , T 3专 用 通 道 ， 点 对 点 连 接 ， 链 路 层 上 直 接 跑 专 用协 议P I 3I 4 , I 5T 6SPDnet 接入P I 4I 6T 5根 据 业 务 的 安 全 等 级 划 分 的 子 网 边 界P I 5I 2 , I 2 . 1T 7 , T8 ,只 能 拨 入 ， 不 能

39、拨 出注 ： T 4 （ D TS 业 务 ） 与 物 理 边 界 无 关调度 自 动 化 系 统 物 理 边 界 示意S C A D A / E M S （ 有 闭 环 控制 系 统 ）安全 区1P IP I1告 警 拨 号5 P I2P I3P I4通 过 S P D n e t的 D M I S不 通 过 SP D n e t 的 一般 D M I S检水调系统 电力交易 电量计费 功角测量修计 划 票考 核 /快 报 操作票 雷电系统 S C A D A气 故W E B象 录代理安 全 区3安 全 区2电 力 调度 数据 网公 共 拨号拨 号 诊 断 服务信 息 网M I S下 一 级

40、专 用 通道 连接 R T U 网 络 连接 R T U其 它 S C AD A / EM S 统各统外 部 公共 网图 5 调度自动化系统物理边界示意图2 . 安 全 产 品 的 选 用表 15 安全产品及其简要功能安全产品名称类型功能说明对系统可能的影响防火墙硬件防火墙访问控制影响数据传输速度入侵检测软件基于网络实时监控实施阻断时，占用一定的网络带宽安全评估软件基于网络漏洞扫描在扫描时，占用一定主机和网络资源专用隔离装置物理隔离逻辑隔离更严格的访问控制影响传输数据的类型、速度防病毒软件针对 NT/2000 系列防、杀病毒对主机性能有一定影响PKI 系统CA, RA, ASRA, ASAS身

41、份认证、数据保密、数据完整性检验等证书和私钥的管理增加了管理工作量3 . 安 全 产 品 整 体 部 署SCADA/EMS系统安全产品部署示意PI1 PI5 PI2PI3PI4IDS探头1碟形卫星天线专用隔离设备IDS探碟形卫星天线 头2路由器调制解调器IDS探头3碟形卫星天线证书证书防火墙调制解调器电力调度数据网公共拨号M ISS PInet下一级控制中心专用通道连接RT U 网络连接RT U 其它S CADA/EMS 统专统外部公共网区域3WE B代理气 故象 录雷电系统S CADA修计 划 票考 核 /快 报 操作票不通过SP Dn et 的一般D MI S检区域1SC AD A/ EM

42、 S （ 有闭环控制系统）无闭环控制专用系统电 电力 量交 计易 费区域2功角测量水调系统告警拨号拨号诊断服务图 6 调度自动化系统安全产品部署示意图4 . 安 全 产 品 部 署 说 明有关拨号接入、通信网关和 WEB 服务的安全防护请参考公共安全防护专题。7 . 4 . 1 . 防 火 墙 & 专 用 隔 离 设 备在调度自动化系统的物理接口处，部署防火墙或专用隔离设备，以实施对调度自动化系统中资源的访问控制策略。防火墙和专用隔离设备布置在物理接口 PI4，如图 6所示。SCADA/EMS 系统与其它无闭环控制专用系统（如水调自动化、电量计费、电力交易等）之间用防火墙隔离，它们与上下级系统

43、的通信通过SPDnet。DMIS 系统中安全等级较低的一部分与 SCADA/EMS 系统、无闭环专用系统之间采用专用隔离设备隔离，DMIS 系统中安全等级较低的这部分系统与上下级的通信通过 SPInet，而安全等级相对较高的部分与上下级的通信通过 SPDnet。DMIS 系统中不同安全等级的区域的划分详见DMIS 系统安全防护框架。. 2 . 入 侵 检 测 系 统在调度自动化系统中部署基于网络的入侵检测系统，以实施对网络攻击及违规行为的监测与响应策 略。如图 6所示，入侵检测系统的探头布置在三处，分别标识为 IDS 探头 1、IDS 探头 2 和 IDS 探头 3， 它们的作用分别为：IDS

44、 探头 1：用于监控 SCADA/EMS 系统与无闭环专用系统和 DMIS 系统之间的访问活动IDS 探头 2：用于监控 SCADA/EMS 系统内部访问活动IDS 探头 3：用于监控 SCADA/EMS 系统与 SPDnet 之间的访问活动安全监测中心实现对入侵检测系统中探头（或称为探测器）的统一管理与控制，它与探头之间可以通过单独通道建立连接。这样既可以使安全监测中心在网络中隐形，也可以使安全监测中心与探头之间的通信不占用被检测网络的带宽资源。. 3 . 安 全 评 估 系 统在 SCADA/EMS 系统中布置安全评估系统，可以辅助管理员自主地定期对调度自动化系统进行必要的安全评估，检测与

45、分析系统存在的安全漏洞，并根据安全评估报告的结果进行整改，及时安装升级包， 或者修改防火墙和隔离设备的访问控制规则，以避免黑客利用系统安全漏洞进行攻击。. 4 . 防 病 毒 软 件在调度自动化系统内部的所有主机上安装防病毒软件，并配置一台病毒管理中心，进行必要的防病毒管理和及时更新。- PAGE 27 -. 5 . P K I 系 统在调度自动化系统中布置 PKI 系统主要用于系统与人（如调度员、远程维护人员等）之间以及各系统进程之间的身份认证。完整的 PKI 系统包括 CA、RA、目录服务等，在调度自动化系统中可以选择下面两种配置之一：只需要布置一个证书服务器，向应用程序提供证书和证书作废

46、列表下载、证书有效性验证服务。证书服务器上的证书数据库和证书作废列表可以通过离线方式更新。证书服务器的证书数据库中至少应该有拨号诊断服务证书、网络 RTU 证书、无闭环专用系统的证书、远程维护人员的证书等。不增加任何设备，应用程序直接调用 PKI 系统提供的 API，从而支持强身份认证功能。与配置一相比，需要手工向应用程序导入证书和证书作废列表安全管理规定1 . 人 员 管 理. 1 . 权 限 产 生内部人员（调度员、本地维护人员、DTS 人员）须经过严格的审查，并且具有相应的技术能力才能授予权限应根据业务需要，授予内部人员不同的权限外部人员（开发厂商）需要在签署相关合作协议后才能授予权限.

47、 2 . 权 限 撤 销如果授权人员违反操作规范，应立即从系统中删除其权限，并追究其责任。授权人员辞职或岗位调动后，应立即从系统中删除其权限。所有人员的权限申请和撤消过程的资料必须存档。2 . 网 络 管 理对与调度自动化系统相关的路由器、交换机等网络设备进行管理，如对边缘交换机和局域网交换机进行 VLAN 配置。3 . 主 机 管 理. 1 . 口 令 管 理为了保证系统安全性，必须设置如下的口令参数：最小口令长度：口令的长度直接影响口令的安全强度，因此规定最小口令长度。最小、最大口令有效时间：口令的安全性随时间的推移而降低，因此规定最大口令有效时间。同时， 为了防止过于频繁地更换口令，过多

48、增加系统管理负担，可以规定最小口令有效时间。帐户锁定：对在一定时间，登录失败超过一定次数的帐户进行锁定。不活动帐户的及时禁止：如果一个帐户将会很长一段时间不被使用（如使用该帐户的用户出差），应禁止该帐户，需要继续使用时再恢复。. 2 . 备 份 管 理为了在攻击成功（如系统已被放置了后门）后能够恢复清洁的系统，应该对系统重要数据、应用软件、操作系统和各种配置文件等进行备份。可以根据实际需要灵活采用全盘备份、增量备份、差别备份和按需备份等方式。. 3 . 审 计 管 理审计管理可能包括服务日志、主机系统日志、入侵检测日志、防火墙日志、病毒检测日志、病毒扫描日志等的及时存档和定期分析。. 4 .

49、补 丁 管 理系统软件安全漏洞的维护：一方面针对系统软件中出现的安全漏洞，及时同软件供应商联系，另一方面跟踪软件供应商的安全漏洞发布信息，了解相关软件漏洞发布信息，及时获得对系统安全漏洞的补救措施或软件补丁。4 . 应 急 处 理应急处理工作处理一些突发性事件，必须事先制定相应的应急处理策略，包括紧急事件的报告程序、紧急事件的处理过程和方法等。应急处理工作包括以下内容：发现系统正被黑客攻击的维护：要求每一个业务系统都制订相关问题处理措施的应急方案，按照既定方案实施系统维护。如可以根据不同情况分别采用加强保护、中断对方连接、反跟踪及其它处理措施；保护灾难恢复维护：应当制订相应问题处理的应急方案，

50、以便在系统受到攻击并导致灾难发生后，按照既定的方案实施系统恢复，如采用立即完全恢复、部分恢复、启用备份系统恢复（以现场）等。参考资料 1 段海信，等译. 网络安全事件响应，p202. 人民邮电出版社，2002 年 5 月 2 关义章，等编著. 信息系统安全工程学，p135. 金城出版社，2000 年 9 月 3 科飞管理咨询公司，编著. 信息安全管理概论，p18. 机械工业出版社，2002 年 7 月 4 ISO/IEC TR 13335-5, Information technology Guidelines for the management of IT Security Part5:M

51、anagement guidance on network security, First edition, 2001-11-01 5 ISO 7498-2:1989, Information processing systems Open Systems Interconnection Basic Reference Model Part 2: Security Architecture附录零安全防护方案文档结构安全防护目标总体安全策略分析设计准备系统环境分析应用系统分析系统安全分析安全建议(技术和管理)安全要求（风险）攻击分析（风险级别）安全工作区规划逻辑边界分析数据流分析（内部元件、外部

52、元件、数据）业务逻辑分析（等级）数据资源（协议，安全等级CIA）软件资源硬件资源系统安全设计安全产品部署安全防护专题表示关联关系表示推导关系图 7 安全防护方案文档结构图附录一数据资源安全等级的 CIA 测度数 据 资 源 的 安 全 等 级 可 以 由 C I A 参 数 （ 机 密 性 C 、 完 整 性 I、 可 用 性 A） 测 度 。机 密 性 C （ C o n fi d e n ti a l it y） 可 以 分 为 ：.公 开 ： 所 有 可 以 （ 或 希 望 ） 为 内 外 人 员 获 取 的 信 息.内 部 ： 只 可 以 （ 或 希 望 ） 为 内 部 人 员 获 取

53、 的 工 作 秘 密 、 商 业 秘 密 信 息 等.秘 密 ： 只 可 以 为 一 定 范 围 内 人 员 获 取 的 信 息.机 密 ： 只 可 以 为 极 少 数 指 定 人 员 获 取 的 秘 密 信 息完 整 性 I （ I n t eg r i t y） 可 以 分 为：.不 需 要 完 整 性.需 要 完 整 性可 用 性 A（ Av a il a b it y） 可 以 分 为 ：.不 可 用 时 间 在 一 周 以 内.不 可 用 时 间 在 一 天 以 内.不 可 用 时 间 秒 级附录二服务等级的测度系 统 提 供 的 服 务 可 以 分 为 以 下 几 个 等 级 ：关

54、 键 服 务 ： 在 系 统 受 到 严 重 攻 击 时 仍 然 需 要 保 持 的 服 务次 关 键 服 务 ： 在 系 统 受 到 严 重 攻 击 时 ， 为 了 保 证 关 键 服 务 的 持 续 性 ， 可 以 暂 时 中 断服 务 ； 但 是 次 关 键 服 务 也 属 于 系 统 的 日 常 服 务 ， 在 系 统 受 到 一 般 攻 击 时 ， 不 希 望 中断 服 务非 关 键 服 务 ： 属 于 系 统 的 非 日 常 服 务 ， 在 系 统 受 到 攻 击 时 ， 根 据 实 际 需 要 ， 可 以 中断 服 务 ， 不 会 影 响 关 键 服 务 和 次 关 键 服 务

55、的 持 续 性附录三接口类型的定义表 16 接口类型的定义Table 10: Types of Network ConnectionClauseType of Network ConnectionDescriptive Example10.1Connectionwithinasinglecontrolledlocation of an organization.Interconnection between different parts of the sameorganization within the same controlled location, i.e. a single con

56、trolled building or site.10.2Connection between different geographically disparate parts of the same organization.Interconnection between regional offices (and/or regional offices with a headquarters site) within a single organization across a wide area network. In this type of network connection, m

57、ost if not all users are able to access the IT systems available via the network, but not all users within the organization would have authorisation for access to all applications or information (i.e. each users access would only be in accordance with privileges granted).One type of access from anot

58、her part of the organization could be for remote maintenance purposes. There might be more access privileges assigned to this type of user andconnection.10.3Connections between an organization site and personnel working in locations away from the organization.Use of mobile data terminals by employee

59、s (e.g. a salesperson verifying stock availability from a customer site) or the establishment of remote links to an organizations computing systems by employees working from home or other remote sites not linked via a network maintained by the organization. In this type of network connection, the us

60、er is authorized as a system user on hislocal system.10.4Connections between different organizations within a closed community, e.g. because of contractual or other legally binding situations, or of similar business interests, e.g. banking or insurance.Interconnection between two or more organizatio