1、电力二次系统安全防护方案 一、前言 为认真贯彻落实国家经贸委 2002第 30 号令电网和电厂计算机监控系统及调度数据网络安全防护的规定和 2004 年 12月 20 日国家电力监管委员会发布 20055 号令电力二次系统安全防护规定等有关文件精神,确保我公司机组安全、优质、稳定运行,根据全国电力二次系统安全防护总体方案,结合公司 SIS 系统当前的实际情况,特制定本方案。 二、 电力安全防护的总体原则 (一)安全防护目标 电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客 、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击
2、,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。 (二)相关的安全防护法规 1 2004 年 12 月 20 日国家电力监管委员会发布 20055 号令电力二次系统安全防护规定 2 2002 年 5 月,国家经贸委发布 30 号令电网和电厂计算机监控系统及调度数据网络安全防护的规定 3 2003 年 12 月,全国电力二次系统安全防护专家组和工作组发布全国电力二次系统安全防护总体方案 4 2003 年电力系统安全性评价体系 5中国国电集团公司广域网管理办法 6中国国电集团公司安全管理规范 7中国国电集团公司信息化建设和管理技术路线 8中华人民共和国计算机信息系统安全保护条例
3、9计算机信息系统安全保护等级划分准则 (三)电力二次系统安全防护策略 电力二次系统安全防护总体框架要求电厂二次系统的安全防护技术方案必须按照国家经贸委 2002第 30 号令电网和电厂计算机监控系统及调度数据网络安全防护的规定和国家电力监管委员会 2005第 5 号令电力二次系统安全防护规定进行设计。同时,要严格遵循集 团公司颁布的中国国电集团公司信息化建设和管理技术路线中对电力二次系统安全防护技术方案的相关技术要求。 1安全防护的基本原则 ( 1)系统性原则 (木桶原理 ); ( 2)简单性和可靠性原则; ( 3)实时、连续、安全相统一的原则; ( 4)需求、风险、代价相平衡的原则; ( 5
4、)实用性与先进性相结合的原则; ( 6)方便性与安全性相统一的原则; ( 7)全面防护、突出重点的原则; ( 8)分层分区、强化边界的原则; ( 9)整体规划、分布实施的原则; ( 10)责任到人,分级管理,联合防护的原则。 2安全策略 安全策略是安 全防护体系的核心,是安全工程的中心。安全策略可以分为总体策略、面向每个安全目标的具体策略两个层次。策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全技术体系与管理体系的依据。 电力二次系统的安全防护策略为: ( 1)安全分区:根据系统中各业务的重要性和对一次系统的影响程度划分为四个安全区:控制区、生产区、管理区、信息区
5、,所有系统都必须置于相应的安全区内。 ( 2)网络专用:建立专用电力调度数据网络,与电力企业数据网络实现物理隔离,在调度数据网上形成相互逻辑隔离的实时子网和非实 时子网,避免安全区纵向交叉连接。 ( 3)横向隔离:采用不同强度的安全设备隔离各安全区,尤其是在生产控制大区与管理信息大区之间实行有效安全隔离,隔离强度应接近或达到物理隔离。 ( 4)纵向认证:采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护。 3电力二次系统的安全区划分 根据电力二次系统的特点,各相关业务系统的重要程度和数据流程、目前状况和安全要求,将整个电力二次系统分为四个安全区: I 实时控制区
6、、非控制生产区、生产管理区、 IV 管理信息区。其中, I 区和 II 区组成生产控制大 区,区和 IV 区组成管理信息大区。 不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。其中安全区的安全等级最高,安全区次之,其余依次类推。 在各安全区之间,均需选择适当的经国家有关部门认证的隔离装置。生产控制大区与管理信息大区之间必须采用经国调中心认可的电力专用安全隔离装置。 在安全区中内部局域网与外部边界通信网络之间应采用功能上相当于通信网关或强于通信网关的内外网的隔离装置。 4业务系统或功能模块置于安全区的规则 根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系
7、、广域网通信的方式以及受到攻击之后所产生的影响,将其分置于四个安全区之中。 实时控制系统或未来可能有实时控制功能的系统需置于安全区。如:机组监控系统,实时性很强。用于在线控制,所以置于安全区 I。 电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区,由属于高安全区的人员使用。 某些业务系统的次要功能与根据主要功能所选定的安全区不一致时,可根据业务系统的数据流程将不同的功能模块(或子系统)分置于各安全区中,各功能模块(或子系统)经过安全区之间的通 信来构成整个业务系统。 自我封闭的业务系统为孤立业务系统,其划分规则不作要求,但需遵守
8、所在安全区的安全防护规定。 各电力二次系统原则上均应划分为四安全区,但并非四安全区都必须存在。某安全区不存在的条件是其本身不存在该安全区的业务,且与其它电网二次系统在该层安全区不存在“纵”向互联。如果省略某安全区而导致上下级安全区的纵向交叉,则必须保留安全区间的隔离设备,以保障安全防护体系的完整性。 5安全区之间的横向隔离要求 在各安全区之间均需选择适当安全强度的隔离装置,尤其在生产控制大区和管理信息大区之间要选择使用达 到或接近物理强度的专用隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。 三、实施
9、方案 (一)系统安全区规划 现场生产控制系统(包括 DCS、辅控系统、 RTU、省调系统),SIS 系统, MIS 系统。根据电力二次安全防护方案第七稿的要求,现有的业务系统中,机组 DCS 系统、其他辅控系统及 RTU应属于安全区 I 和安全区 II, SIS 系统应属于安全区 III(备注:电厂在前期规划中将 SIS 系统严格定位至安全区 III,从网络方面按照 国家对安全区 III 的相关规定进行规划实施,并且其系统功能方面也完全符合安全 III 区的定位,即“ SIS 系统实现电力调度生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度中心或控制中心工作人员的
10、桌面终端直接相关,与安全区 IV 的办公自动化系统关系密切。”) ,MIS系统应属于安全区 IV。 根据国家二次防护规定,本厂级实时管理信息系统( SIS)在实施过程中安全防护要求及措施如下: 该项目所连接现场控制系统,包括主机分散控制系统( DCS)、化水程控系统、输煤程控系统、除灰程控系统和除渣控制系 统,属于安全区 I,还有 RTU 系统和省调系统,属于安全区 II,都属于生产控制大网的范畴。这些系统与 SIS 系统数据传输按照国家安全防护规定必须采用经有关部门认定核准的专用安全隔离装置。本项目在现场生产控制系统与 SIS 服务器之间安置了经国家相关部门认证的电力系统专用网络隔离装置正向
11、型(珠海鸿瑞Hrwall-85M-II),确保现场数据采集完全单向传输,保证了生产控制大网的安全性。 本项目还连接了同属于管理信息大网的 MIS 系统(安全区IV),按照国家安全防护的规定,本系统与 MIS 系统之间安置了防火墙以保证各自系统的 安全性。 本项目安全防护规划示意图:(见附图二) (二)项目实施介绍 在项目的规划和实施过程中,我公司始终遵循国家对电力二次系统安全防护的规定并明确本项目系统在电厂信息自动化系统中所处位置,配置五台得到国家相关部门认证的正向隔离装置用于安全区 I/II 到安全区 III 之间,确保数据单向传递,对数据传递的稳定性、完整性、实时性提供了保证,详见附图三。
12、 四、隔离装置安全性能说明 (一)正向装置对通信程序的限制 根据国调对隔离装置的要求,其通信功能如下: 1由内到外的完全单向模式, UDP 协议,外网不能返回任何数据。 2由内到外的单向数据模式, TCP 协议,外网可以返回(按国调要求)小于 4 字节的应用层应答数据(并被限制不可重新组成大包)。 3安全、方便的维护管理方式:基于证书的管理人员认证,图形化的管理界面。 (二)正向隔离装置功能 安全隔离装置(正向)具有如下功能: 1实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通; 2表示层与应用层数据完全单向传输,即从安全区 III 到安全区 I/
13、II 的 TCP 应答禁止携带应用数据; 3透明工作方式:虚拟主机 IP 地址、隐藏 MAC 地址 ; 4基于 MAC、 IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制; 5支持 NAT; 6防止穿透性 TCP 联接:禁止两个应用网关之间直接建立TCP 联接,将内外两个应用网关之间的 TCP 联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个 TCP 虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输。 7具有可定制的应用层解析功能,支持应用层特殊标记识别; (三)装置安全保障要点 专用安全隔离装置本身应该具有较高的安全防护能力,其安全性要求主要包
14、括: 1采用非 INTEL 指令系统的(及兼容)微处理器; 2安全、固化的的操作系统; 3不存在设计与实现上的安全漏洞; 4抵御除 DoS 以外的已知的网络攻击。 (四)设计标准 装置采用网络隔离设备及防火墙等技术 ,属于结合型专用安全隔离产品 ,参考标准如下 : 1中华人民共和国国家标准 GB/T 18020-1999 2信息技术应用级防火墙安全技术要求 3中华人民共和国国家标准 GB/T 17900-1999 4网络代理服务器的安全技术要求 5中华人民共和国国家标准 GB/T 18019-1999 6信息技术包过滤 防火墙安全技术要求 7中华人民共和国公共安全行业标准 8网络隔离设备的安全
15、技术要求 (五)安全策略定位 1监控系统的网络安全屏障 一个网络隔离装置(作为阻塞点、控制点)能极大地提高一个监控系统的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网络隔离装置,所以网络环境变得更安全。如网络隔离装置可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网络免受基于路由的攻击,如 IP 选项中 的源路由攻击和 ICMP 重定向中的重定向路径。网络隔离装置应该可以拒绝所有以上类型攻击的报文并通知网络隔离装置管理员。 2简化网络安全策略,无需修改双端程序 通过
16、以网络隔离装置为中心的安全方案配置,能将所有安全策略配置在网络隔离装置上。与将网络安全问题分散到各个主机上相比,网络隔离装置的集中安全管理更方便可靠。例如在网络访问时,监控系统通过加密口令 /身份认证方式与其它信息系统通信,在电力监控系统基本上不可行,它意味监控系统要重新测试,因此用网络隔离装置集中控制,无需修改双端应用程序是最佳的选择。 3对网络 存取和访问进行监控 如果所有的访问都经过网络隔离装置,那么,网络隔离装置就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。 4防止监控系统信
17、息外泄,不为外部攻击创造条件 通过网络隔离装置对监控系统及其它信息系统的划分,实现监控系统重点网段的隔离,一个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部 细节,例如网络隔离装置可以进行网络地址转换( NAT),这样一台主机 IP 地址就不会被外界所了解 , 不会为外部攻击创造条件。 附图一: 二次系统安全部署图 EMS系统厂级监控系统故 障 录 波 系 统电 力 交 易 系 统电 能 量 计 量 系 统火 电 厂 生 产管理系统S P D n e t实时子网 非实时子网安 全 区 I
18、安 全 区 II 安 全 区 III发电数据网或公共数据网火电厂调度中心机 组 单 元 控 制电 量 计 量 终 端故 障 录 波 装 置市 场 报 价 终 端保护电气控制安控辅机控制(水煤灰)MISOA安 全 区 IV防 火 墙防 火 墙防火墙防火墙防火墙专用安全隔离装置正向监控系统纵 向 加 密 认 证 装 置 纵 向 加 密 认 证 装 置纵 向 加 密 认 证 装 置纵 向 加 密 认 证 装 置PMUWAMS系统网控附图二:安全防护规划示意图 厂级监控系统OA安全区 I 安全区 II 安全区 III 安全区 IV火电厂机 组 单 元控 制S I S 系统保护电气控制安控辅机控制(水煤灰)专用安全隔离装置正向防火墙监控系统MIS附图三: 图略。 电力二次系统安全防护 2016 年工作计划 1、做好管理信息大区 ATM 网络改造工作。 2、做好调度数据第二平面建设工作。