1、珠海市鸿瑞软件技术公司电力二次系统安全防护总体技术介绍1、安全防护方案通讯服务器发电发电 用电用电输电输电 变电变电 配电配电RTURTU RTU数据采集和传输应用服务器应用服务器电电 网网 调调 度度电力二次系统示意图电力二次系统安全隐患分析一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时,在没有进行有效安全防护的情况下与外网互连。电力监控系统和数据网络本身缺乏必要的安全防护措施。存在直接进入设备系统机房,或采用线路搭结手段,进入计算机监控系统的可能性。存在不安全拨号等后门。对自动化设备的研发和生产过程缺乏有效的安全管理方法。 管理及运行人员缺乏必要的经验和安全意识。
2、电力二次系统安全防护相关法规为了贯彻落实 国家电力监管委员会第 5号令 电力二次系统安全防护规定 (简称 5号令 )和 原国家经贸委 2002第 30号 令 电网和电厂计算机监控系统及调度数据网络安全防护的规定 ( 简称 30号令 ) ,构建 电力二次系统安全防护体系, 保障 电力二次系统的安全,从而保障电力系统的安全稳定运行, 制定电力二次安全防护方案。4、纵向认证3、横向隔离电力企业数据网控制区 非 控制区 管理区 信息区电力调度数据网生产控制大区 管理信息大区防火墙2、网络专用1、安全分区1234“十六字原则示意图 ”横向与纵向防护结构 上级调度 /控制中心下级调度 /控制中心上级信息中
3、心下级信息中心实时 VPN SPDnet 非 实时 VPNIP认证加密装置安全区 I(实时控制区 )安全区 II(非控制生产区 )安全区 III(生产管理区 )安全区 IV(管理信息区 )外部公共因特网生产 VPN SPTnet 管理 VPN防火墙防火墙IP认证加密装置IP认证加密装置 IP认证加密装置防火墙防火墙安全区 I(实时控制区 )逻辑隔离安全区 II(非控制生产区 )安全区 III(生产管理区 )防火墙 防火墙安全区 IV(管理信息区 )专线逻辑隔离 防火墙 防火墙PSTN移动用户拨号网关PSTN移动用户拨号网关正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全
4、隔离装置远动通信安全网关1234调度安全防护总体结构示意图220kV及以上变电站二次系统安全防护示意图配电二次系统安全防护示意图 2、相关的安全防护设备2.1、横向安全隔离安全隔离原理安全隔离设备,也称为 “网闸 ”,其原理是模拟人工的数据 “拷贝 ”,不建立两个网络的 “物理通路 ”,所以网闸是把应用的数据 “剥离 ”,摆渡到另外一方后,再通过正常的通讯方式送到目的地,因此从安全的角度,网闸摆渡的数据中格式信息越少越好,当然是没有任何格式的原始数据就更好了, 因为没有格式信息的文本就没有办法隐藏其他的非数据的东西,减少了携带非法信息的可能性。硬件物理层驱动程序层应用程序层硬件物理层驱动程序层
5、应用程序层内网 外网应用数据安全隔离概念1. 可以阻断网络直接连接,两个网络不同时连接在设备上;2. 可以阻断网络逻辑连接,即 TCP/IP必须被剥离,将原始数据非网方式传送;3. 隔离传输机制具有不可编程性;4. 任何数据都是通过两级代理方式完成;5. 具备对数据的审查功能,数据不具有攻击及有害的特性;6. 具有强大的管理与控制功能; 电监会技术要求根据国家电监会 5号令 电力二次系统安全防护规定 的要求 ,安全隔离设备技术要求如下:1) 实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;2) 表示层与应用层数据完全单向传输,即从安全区 III到
6、安全区 I/II的 TCP应答禁止携带应用数据;3) 透明工作方式:虚拟主机 IP地址、隐藏 MAC地址;4) 基于 MAC、 IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;5) 支持 NAT;6) 防止穿透性 TCP联接:隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输。7) 具有可定制的应用层解析功能,支持应用层特殊标记识别;8) 安全、方便的维护管理方式双机非网结构内网 外网内网分区 外网分区安全隔离分区LAN CPU主板 1 LANCPU主板 2非网通信两级代理方式网卡设备驱动读取、写入链路数据包防火墙模拟 TCP/UDP模块(连接终止)安全隔离区链接
7、网卡设备驱动读取、写入链路数据包防火墙模拟 TCP/UDP模块(连接发起)链接 n 链接 内网 允许发起连接 外网 不允许发起连接链接 n 典型连接方式I区 SCADA III区 MIS正向隔离装置 1正向隔离装置 2I#网II#网I#网II#网正向隔离装置管理信息大区管理信息大区隔离装置隔离装置生产控制大区生产控制大区 完全单向通讯方式( UDP); 单向数据 1Bit返回方式( TCP);反向隔离装置管理信息大区管理信息大区隔离装置隔离装置生产控制大区生产控制大区 反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过
8、滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。2.2、纵向加密认证基本要求按照 电力系统专用纵向加密认证装置技术规范 的要求设计与研制。位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,为电力通信提供安全可靠的服务:1. 用于生产控制区的广域网边界防护,在为本地提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。 2. 重点保护电力实时闭环监控系统及调度数据网络的安全,禁止外部非授权用户的非法进入,防止从网络传输平台引入的攻击和破坏造成的的电力系统事故。纵向加密认证装置SPDnet MPLS VPN接入交换机SCADA
9、服务器调度员网关机接入交换机网关机当地监控服务器 间隔单元 执行装置人机工作站厂站自动化系统调度自动化系统网络层应用层,服务传输层 +应用层最终用户当地认证56所30所数据所纵向加密认证装置电科院南自院典型部署2.3、远程接入防护传统远程维护的安全隐患在电力监控系统中通常是采用 Modem实现远程维护功能,这种访问方式存在非常大的安全隐患,主要如下:系统维护人员的安全意识不够,维护口令采用原厂家默认口令且长期不变,容易造成泄漏维护口令等敏感信息导致执行非授权的操作;在系统拨号维护期间采用明文进行传输,非法入侵者容易对电力监控系统发送非法控制命令,导致电力系统事故;没有对远程维护人员进行身份认证
10、、操作过程等进行详细记录,出现问题时难以进行审计。 通过远程拨号访问生产控制大区,要求远方用户使用安全加固的操作系统平台,结合数字证书技术,进行登录认证和访问认证。 对于通过拨号服务器 (RAS)访问本地网络与系统的远程拨号访问的方式,应当采用网络层保护 ,应用 VPN 技术建立加密通道。对于以远方终端直接拨号访问的方式,应当采用链路层保护,使用专用的链路加密设备。对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。出自电监安全( 2006) 34号 附件 1: 电力二次系统安全防护总体防护方案 安全防护方案中对拨号接入的要求产品特点HR FW-3000V电力系统专用远程拨号安全服
11、务器是根据国家电力二次系统安全防护要求,针对远程拨号接入而设计的。装置采用工业级硬件、调度数字证书身份认证、防火墙、 VPN等安全技术,对接入用户进行认证,对传输的信息进行加密和数字签名,对接入的用户访问的范围和资源进行限制,通过审计日志对其访问进行记录,以提高安全防护强度,保证拨号操作的安全性和可追查性。使用场合2.4、公网安全防护目前使用公网通信的系统“公网 ”由于其具备覆盖范围或建设与运行成本低等特点,在电力系统主要有如下应用 : 序号 主站 公网 使用方式 子站系统1 地调及以上调度自动化系统 卫星网络 应急通信 220KV及以上变电站 RTU或综自系统2 地调及以上调度电能量采集系统 电话拨号 备用通道 220KV及以上变电站电量采集子站3 地调及以上调度保护及故障信息采集系统 电话拨号 备用通道 220KV及以上变电站保护信息子站4 部分县调及地调系统 GPRS/CDMA 主通道 35Kv变电站 RTU5 部分县调及地调系统 GPRS/CDMA 主通道 小水电数据采集系统6 配电及用电网管理系统 GPRS/CDMA 主通道 配电终端
