电力二次系统安全防护介绍课件

电力二次系统安全防护

总体技术介绍电力二次系统安全防护介绍1、安全防护方案电力二次系统安全防护介绍通讯服务器发电用电输电变电配电RTURTURTU数据采集和传输应用服务器电网调度电力二次系统示意图电力二次系统安全防护介绍电力二次系统安全隐患分析一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时，在没有进行有效安全防护的情况下与外网互连。电力监控系统和数据网络本身缺乏必要的安全防护措施。存在直接进入设备系统机房，或采用线路搭结手段，进入计算机监控系统的可能性。存在不安全拨号等后门。对自动化设备的研发和生产过程缺乏有效的安全管理方法。管理及运行人员缺乏必要的经验和安全意识。电力二次系统安全防护介绍电力二次系统安全防护相关法规

为了贯彻落实国家电力监管委员会第5号令《电力二次系统安全防护规定》（简称《5号令》）和原国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（简称《30号令》），构建电力二次系统安全防护体系，保障电力二次系统的安全，从而保障电力系统的安全稳定运行，制定电力二次安全防护方案。电力二次系统安全防护介绍4、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区1234“十六字原则示意图”电力二次系统安全防护介绍横向与纵向防护结构上级调度/控制中心下级调度/控制中心上级信息中心下级信息中心实时VPNSPDnet

非实时VPNIP认证加密装置安全区I(实时控制区)安全区II(非控制生产区)安全区III(生产管理区)安全区IV(管理信息区)外部公共因特网生产VPNSPTnet

管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区I(实时控制区)

逻辑隔离安全区II(非控制生产区)安全区III(生产管理区)

防火墙

防火墙安全区IV(管理信息区)专线

逻辑隔离

防火墙

防火墙PSTN移动用户拨号网关PSTN移动用户拨号网关正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置远动通信安全网关1234电力二次系统安全防护介绍调度安全防护总体结构示意图电力二次系统安全防护介绍220kV及以上变电站二次系统安全防护示意图电力二次系统安全防护介绍

配电二次系统安全防护示意图

电力二次系统安全防护介绍2、相关的安全防护设备电力二次系统安全防护介绍2.1、横向安全隔离电力二次系统安全防护介绍安全隔离原理

安全隔离设备，也称为“网闸”，其原理是模拟人工的数据“拷贝”，不建立两个网络的“物理通路”，所以网闸是把应用的数据“剥离”，摆渡到另外一方后，再通过正常的通讯方式送到目的地，因此从安全的角度，网闸摆渡的数据中格式信息越少越好，当然是没有任何格式的原始数据就更好了，因为没有格式信息的文本就没有办法隐藏其他的非数据的东西，减少了携带非法信息的可能性。硬件物理层驱动程序层应用程序层硬件物理层驱动程序层应用程序层内网外网应用数据电力二次系统安全防护介绍安全隔离概念

可以阻断网络直接连接，两个网络不同时连接在设备上；可以阻断网络逻辑连接，即TCP/IP必须被剥离，将原始数据非网方式传送；隔离传输机制具有不可编程性；任何数据都是通过两级代理方式完成；具备对数据的审查功能，数据不具有攻击及有害的特性；具有强大的管理与控制功能；电力二次系统安全防护介绍电监会技术要求

根据国家电监会5号令《电力二次系统安全防护规定》的要求,安全隔离设备技术要求如下：1) 实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；2) 表示层与应用层数据完全单向传输，即从安全区III到安全区I/II的TCP应答禁止携带应用数据；3) 透明工作方式：虚拟主机IP地址、隐藏MAC地址；4) 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；5) 支持NAT；6) 防止穿透性TCP联接：隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。7) 具有可定制的应用层解析功能，支持应用层特殊标记识别；8) 安全、方便的维护管理方式电力二次系统安全防护介绍双机非网结构内网外网内网分区外网分区安全隔离分区LANCPU主板1LANCPU主板2非网通信电力二次系统安全防护介绍两级代理方式网卡设备驱动读取、写入链路数据包防火墙模拟TCP/UDP模块（连接终止）安全隔离区链接…网卡设备驱动读取、写入链路数据包防火墙模拟TCP/UDP模块（连接发起）链接n链接…内网允许发起连接外网不允许发起连接链接n电力二次系统安全防护介绍典型连接方式I区SCADAIII区MIS正向隔离装置1正向隔离装置2I#网II#网I#网II#网电力二次系统安全防护介绍正向隔离装置管理信息大区隔离装置生产控制大区

完全单向通讯方式（UDP）；单向数据1Bit返回方式（TCP）；电力二次系统安全防护介绍反向隔离装置管理信息大区隔离装置生产控制大区反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。电力二次系统安全防护介绍2.2、纵向加密认证电力二次系统安全防护介绍基本要求

按照《电力系统专用纵向加密认证装置技术规范》的要求设计与研制。位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，为电力通信提供安全可靠的服务：用于生产控制区的广域网边界防护，在为本地提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。重点保护电力实时闭环监控系统及调度数据网络的安全，禁止外部非授权用户的非法进入，防止从网络传输平台引入的攻击和破坏造成的的电力系统事故。电力二次系统安全防护介绍纵向加密认证装置SPDnetMPLSVPN接入交换机SCADA服务器调度员网关机接入交换机网关机当地监控服务器间隔单元执行装置人机工作站厂站自动化系统调度自动化系统网络层应用层，服务传输层+应用层最终用户当地认证56所30所数据所纵向加密认证装置电科院南自院典型部署电力二次系统安全防护介绍2.3、远程接入防护电力二次系统安全防护介绍传统远程维护的安全隐患在电力监控系统中通常是采用Modem实现远程维护功能，这种访问方式存在非常大的安全隐患，主要如下：系统维护人员的安全意识不够，维护口令采用原厂家默认口令且长期不变，容易造成泄漏维护口令等敏感信息导致执行非授权的操作；在系统拨号维护期间采用明文进行传输，非法入侵者容易对电力监控系统发送非法控制命令，导致电力系统事故；没有对远程维护人员进行身份认证、操作过程等进行详细记录，出现问题时难以进行审计。电力二次系统安全防护介绍通过远程拨号访问生产控制大区，要求远方用户使用安全加固的操作系统平台，结合数字证书技术，进行登录认证和访问认证。对于通过拨号服务器(RAS)访问本地网络与系统的远程拨号访问的方式，应当采用网络层保护,应用VPN技术建立加密通道。对于以远方终端直接拨号访问的方式，应当采用链路层保护，使用专用的链路加密设备。

对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。出自电监安全（2006）34号附件1：《电力二次系统安全防护总体防护方案》安全防护方案中对拨号接入的要求

电力二次系统安全防护介绍产品特点HRFW-3000V电力系统专用远程拨号安全服务器是根据国家电力二次系统安全防护要求，针对远程拨号接入而设计的。装置采用工业级硬件、调度数字证书身份认证、防火墙、VPN等安全技术，对接入用户进行认证，对传输的信息进行加密和数字签名，对接入的用户访问的范围和资源进行限制，通过审计日志对其访问进行记录，以提高安全防护强度，保证拨号操作的安全性和可追查性。电力二次系统安全防护介绍使用场合电力二次系统安全防护介绍2.4、公网安全防护电力二次系统安全防护介绍目前使用公网通信的系统“公网”由于其具备覆盖范围或建设与运行成本低等特点，在电力系统主要有如下应用：序号主站

公网使用方式子站系统1地调及以上调度自动化系统卫星网络应急通信220KV及以上变电站RTU或综自系统2地调及以上调度电能量采集系统电话拨号备用通道220KV及以上变电站电量采集子站3地调及以上调度保护及故障信息采集系统电话拨号备用通道220KV及以上变电站保护信息子站4部分县调及地调系统GPRS/CDMA主通道35Kv变电站RTU5部分县调及地调系统GPRS/CDMA主通道小水电数据采集系统6配电及用电网管理系统GPRS/CDMA主通道配电终端电力二次系统安全防护介绍公网通信的安全风险

公网是基于IP的骨干网，而目前许多黑客都对TCP/IP协议非常熟悉，这就使得它更容易受到攻击。公网可能面临的攻击如下：● 黑客：是指试图从外部IP网络（如Internet）侵入到公网的人，他们的目的是破坏公网或者窃取信息以显示他们的能力，也有的是为了出卖信息来赚钱。● 管理人员：应确保公网网络管理人员对系统不造成任何危害，对他们访问内部网络的权限要加以限制。● 服务提供商：大多数服务提供商都不是有意的破坏公网，但是由于疏于软件更新或其它类似的情况都会对网络造成威胁。电力二次系统安全防护介绍公网安全防护策略

电力系统公网数据通信安全防护项目实现“网络隔离、身份认证、传输加密、权限受控”的措施来进行安全防护：1) 将电力系统内网与传输远动数据的公网进行网络隔离2) 在远动通信通道建立的过程中进行基于调度数字证书的身份验证3) 所有通信数据采用密文传输，保证数据的机密性、完整性、不可否认性4) 对传输数据的相关权限可以根据策略进行控制

电力二次系统安全防护介绍

产品采用“双机非网”的结构模式，“内网主机”与内网（安全区I、II）以网络或串口的方式连接，“外网主机”与公网以网络连接，“内网主机”与“外网主机”以高速串口结合非网络协议方式连接，从而达到既能保证应用程序之间进行双向数据通信，又能保证网络层面公网与内网之间网络隔离。产品基本结构电力二次系统安全防护介绍项目专利成果电力二次系统安全防护介绍电网应急通信系统应用电力二次系统安全防护介绍电厂数据接入应用电力二次系统安全防护介绍实际接入现场情况序号使用单位数量1贵港供电局172云南文山供电局13广东电力通信114韶关供电局25东莞供电局26凯里供电局27东方二电厂18北京燕山石化分公司39广西玉林供电局410广西河池供电局2011甘肃嘉峪关供电局40电力二次系统安全防护介绍珠海市鸿瑞软件技术有限公司3.5、更高安全等级的单向隔离防护电力二次系统安全防护介绍单向技术的发展趋势电力二次系统安全防护介绍数据泵单向技术

数据泵技术也称为“安全存储转发技术”。它是在基于通讯的基础上，只允许单方向传送数据，反方向只有控制信息的可以通过，比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。数据泵技术中虽然数据是单方向的，但协议控制信息是双方向传递的，若协议本身存在漏洞，则有可能利用协议的漏洞达到反向发送数据的可能。（4字节是指反向控制信息，存在漏洞，因此现在升级为1比特，出现漏洞的可能性大大降低，但还是有可能性（1比特反向通道客观存在））电力二次系统安全防护介绍单向二极管技术

数据二极管技术：若连反向的控制协议也取消，采用“盲发”的方式，也就是一方只管发送，另一方只管接收，至于数据是否有错误，是否完整都不去管它，反向没有数据通道也没有控制通道，完全处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路，所以也称为信息流的单向技术。错误处理措施：发送方增加冗余校验出现不能恢复的错误通过其它途径（人工或反向装置处理）电力二次系统安全防护介绍单向技术在国外的情况

数据二极管技术的产品化，国外已经趋于成熟，比较出名的有美国Owl公司，荷兰Fox-IT公司，澳大利亚Tenix公司。例如从owl公司产品介绍来看，其是以生产的硬件单向光纤网卡为基础而形成了一系列的配套软件产品，其关键是进行了两次单向隔离处理；1. OwlCommunicationCards2. ProductsOverview3. DirectorySystem4. OwlScanSystem5. UDPPacketTransferSystem6. TCPPacketTransferSystem7. SecureNetworkPacketTransferSystem8. RemoteService9. OwlReleaseManagementSystem10. OwlTSABIOWTSystem电力二次系统安全防护介绍单向千兆隔离装置情况

珠海鸿瑞研制的网络隔离装置（单向型）采用基于多模光纤的单向光接口技术，与国外的单向二极管技术相似，主CPU采用国产龙芯2F,网络平均带宽300Mbps，速度是百兆装置的6倍LANLAN安全区I、II安全区III内网主机外网主机龙芯CPU主板单向光纤非网通信LANLAN龙芯CPU主板LANLANLANLAN电力二次系统安全防护介绍珠海市鸿瑞软件技术有限公司3.6、电力系统专用安全网管电力二次系统安全防护介绍对电力应用系统多层次统一集中监测

HRNM-3000电力系统安全网管装置可以对主机设备、网络设备、存储与备份系统、数据库、中间件、业务应用系统等实现统一监管和集中管理，对安全事件进行收集和综合分析，对电力二次系统的整体运行情况图形化监视和报表呈现，对系统事件和安全事件进行及时统一报警，降低IT管理维护的复杂性，从而达到“集中监管、集中管理、集中维护”的目标。

电力二次系统安全防护介绍采用安全隔离技术对各安全区进行联合监测

电力二次系统中的网络监管对象广泛分布在生产控制大区和管理信息大区，HRNM-3000电力系统安全网管装置采用符合电监会标准的单向安全隔离技术，在不改动系统网络环境的情况下，可以跨各安全区域，实现统一监视和集中管理。

电力二次系统安全防护介绍隔离技术通信架构

通过不同网络接口对电力系统各个VLAN进行逻辑连接采