电力二次系统安全防护.ppt

电力二次系统安全防护知识介绍第一页，编辑于星期日：二十一点 一分。主要内容o电力二次系统安全防护知识背景o电力二次系统安全防护的基本原则o安全防护技术和装置o发电厂二次系统安全防护方案第二页，编辑于星期日：二十一点 一分。电力二次系统安全防护知识背景主要法规和文件o2002年5月，国家经贸委发布30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定。o2004年12月，电监会下发第5号令电力二次系统安全防护规定。o2006年，电监会下发第34号文关于印发电力二次系统安全防护方案等安全防护方案的通知。第三页，编辑于星期日：二十一点 一分。电力二次系统安全防护知识背景电监安全200634号配套文件1.电力二次系统安全防护总体方案2.省级及以上调度中心二次系统安全防护方案3.地、县级调度中心二次系统安全防护方案4.变电站二次系统安全防护方案5.发电厂二次系统安全防护方案6.配电二次系统安全防护方案第四页，编辑于星期日：二十一点 一分。电力二次系统安全防护知识背景目标和重点o电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全。o目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪。第五页，编辑于星期日：二十一点 一分。电力二次系统安全防护知识背景电力二次系统安全防护总体策略o安全分区：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。o网络专用：建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。o横向隔离：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。o纵向认证：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。第六页，编辑于星期日：二十一点 一分。电力二次系统安全防护知识背景安全分级负责制o国家电力监管委员会负责电力二次系统安全防护的监管，组织制定电力二次系统安全防护技术规范并监督实施。o电力企业应当按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”和属地化管理的原则，认真履行网络信息安全职责。将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系，各电力企业负责所辖范围内计算机及数据网络的安全管理。o各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员。第七页，编辑于星期日：二十一点 一分。电力二次系统安全防护知识背景安全分级负责制o电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的二次系统安全防护的技术监督。o发电厂内涉及到电力调度的生产控制系统和装置，如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动装置等，由电力调度机构和发电厂的上级主管单位共同实施技术监督，发电厂内其它二次系统安全防护可由其上级主管单位实施技术监督。第八页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则原则和重点o电力二次系统安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。o安全防护主要针对基于网络的生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。第九页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则电力二次系统的安全区划分o生产控制大区o控制区（安全区）o非控制区（安全区）o管理信息大区o生产管理区（安全区）o管理信息区（安全区）第十页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则生产控制大区的安全区划分o控制区（安全区）：控制区中的业务系统或功能模块是电力生产的重要环节，直接实现对电力一次系统实时监控，纵向数据通信使用电力调度数据网络或专用信道。o非控制区（安全区）：非控制区中的业务系统或功能模块是电力生产的必要环节，在线运行但不具备控制功能，纵向数据通信使用电力调度数据网络或专用信道。第十一页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则控制安全区的典型业务系统o能量管理系统（SCADA、AGC、AVC）o广域相量测量系统o配电网自动化系统o变电站自动化系统o发电厂自动监控系统o继电保护系统o安全自动控制系统o低频（低压）自动减负荷系统第十二页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则非控制安全区的典型业务系统o调度员培训模拟系统o水库调度自动化系统o故障录波信息管理系统o电能量计量系统o电力市场运营系统第十三页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则管理信息大区的安全区划分o可根据具体情况划分安全区，但不应影响生产控制大区的安全。o安全区：通过电力企业数据网络进行远方通信的生产管理系统（包括电力监管信息系统、雷电监测系统、气象信息、DMIS等）。o安全区：与因特网互联并允许对其进行访问的管理信息系统和企业办公区域（包括营销系统、OA、MIS等）第十四页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则生产控制大区内部的安全防护o禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务o允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务，可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。o生产控制大区重要业务（如SCADA/AGC）、电力市场交易等）的远程通信必须采用加密认证机制，对已有系统逐步改造。第十五页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则生产控制大区内部的安全防护p生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通。p生产控制大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的。安全加固的操作系统，并采取加密、认证和访问控制等安全措施。p生产控制大区边界上可以部署入侵检测系统。第十六页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则生产控制大区内部的安全防护p生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。p生产控制大区应该统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。第十七页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则管理信息大区的安全要求o应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。第十八页，编辑于星期日：二十一点 一分。电力二次系统安全防护的基本原则网络专用o电力调度数据网：专为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务。o电力企业数据网：承载管理信息大区中各业务之间的信息交互的电力实时控制、在线生产交易等业务。o电力调度数据网与电力企业数据网之间在物理层面上安全隔离。第十九页，编辑于星期日：二十一点 一分。安全防护技术和装置横向隔离技术o横向隔离技术是电力二次系统安全防护体系的横向防线，是二次系统安全防护体系的重要技术措施。o生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度接近或达到物理隔离。o安全区与安全区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。o安全区与安全区之间应采用具有访问控制功能的网络设备（如防火墙）实现逻辑隔离。第二十页，编辑于星期日：二十一点 一分。安全防护技术和装置正向隔离装置基本功能o非网络数据交换，内外两个处理系统不同时连通。o数据完全单向传输。o透明工作模式，虚拟主机IP地址、隐藏MAC地址。o基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。o割断穿透性TCP连接。o应用层解析功能，支持标记识别。o安全方便的维护管理，支持数字证书的管理员认证。第二十一页，编辑于星期日：二十一点 一分。安全防护技术和装置反向隔离装置基本功能o应用网关功能，实现数据的接收与转发。o具有数字证书的签名/解签名功能。o纯文本编码检查与转换功能。o基于E语言纯文本文件的强过滤功能o透明工作模式，虚拟主机IP地址、隐藏MAC地址。o基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。o割断穿透性TCP连接。o安全方便的维护管理，支持数字证书的管理员认证。第二十二页，编辑于星期日：二十一点 一分。安全防护技术和装置正、反向隔离装置的部署第二十三页，编辑于星期日：二十一点 一分。安全防护技术和装置加密认证技术o加密认证技术是电力调度数据网安全防护体系的重要技术支撑手段。o在各级调度中心（网省、地县与厂站）的控制区与调度数据网的边界应部署电力专用纵向加密认证装置或加密认证网关。o采用电力专用密码与认证技术，保证上下级调度中心与厂站纵向数据通信机密性和完整性。第二十四页，编辑于星期日：二十一点 一分。安全防护技术和装置纵向加密装置的部署按照分级管理要求，纵向加密认证装置部署在各级电力调度通信中心及下属的各厂站，根据电力调度关系建立加密隧道。管理中心完成对所辖的多厂商的纵向加密设备进行统一管理。第二十五页，编辑于星期日：二十一点 一分。安全防护技术和装置电力调度数字证书o电力调度数字证书系统是电力二次系统安全防护的基础安全设施。o基于公钥技术的分布式数字证书系统，为生产控制大区的关键应用、关键用户和关键设备提供数字证书服务。电力专用密码与认证技术，保证上下级调度中心与厂站纵向数据通信机密性和完整性。第二十六页，编辑于星期日：二十一点 一分。安全防护技术和装置安全拔号认证技术o安全拔号认证技术是电力二次系统安全远程接入访问的重要防护手段。o在各级调度中心（网省、地县与厂站）的拔号应用场合应部署安全拔号认证装置对来自用电话网的接入用户进行安全认证和数据加密传输。第二十七页，编辑于星期日：二十一点 一分。安全防护技术和装置安全拔号认证装置功能o客户端安全检查。采用安全操作系统，并结合数字证书进行登录认证。o线路加密。对拨号线路的数据采用高强度加密算法进行保护。o访问控制。对远程拨号用户进行基于地址、端口、时间、协议等综合过滤。支持对关键访问资源的读、写、执行权限进行细粒度的控制。o日志审计。记录远程拨号用户所有的登录行为，支持Syslog日志输出。第二十八页，编辑于星期日：二十一点 一分。安全防护技术和装置安全拔号认证装置的部署对拨号人员采用智能卡或文件证书认证，并进行数据传输加密。安全拨号认证装置部署在电力系统内网与公用电话交换网之间。第二十九页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案总体方案第三十页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案总调直调电厂业务接入方案o纵向互联的主要设备包括各业务系统通信子站或终端、纵向业务汇聚交换机、纵向互联硬件防火墙、纵向加密认证装置以及调度数据网路由器和交换机设备，各设备均采用冗余备用结构；o纵向业务汇聚交换机直接使用调度数据网的接入交换机。通过采用逻辑隔离技术，将纵向业务汇聚交换机划分成逻辑上相互独立的控制区和非控制区，分别用于控制区和非控制区内有纵向数据通信的业务系统汇集接入、接入系统之间的访问控制和纵向互联；第三十一页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案总调直调电厂业务接入方案o为实现控制区有关业务系统可同时使用实时VPN和非实时VPN进行信息传输，配置另外2台纵向互联硬件防火墙2，布置在业务系统通信服务器与纵向业务汇聚交换机之间；o配置2台纵向加密认证装置，布置在纵向业务汇聚交换机的控制区和调度数据网路由器之间，用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密，保证系统链接的合法性和数据传输的机密性及完整性；第三十二页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案总调直调电厂业务接入方案配置2台纵向互联硬件防火墙1，布置在纵向业务汇聚交换机的非控制区和调度数据网路由器之间，用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制；o要求有关业务系统通信子站如保信子站或PMU子站均新增一块网卡，通过纵向互联防火墙2接入到纵向业务汇聚交换机的非控制区中；o对于兼有实时子网和非实时子网传输的保信子站和PMU子站的非实时数据信息传输路径为：变电站保信子站和PMU子站纵向互联硬件防火墙2纵向业务汇聚交换机纵向互联硬件防火墙1调度数据网设备调度中心对应主站系统。第三十三页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案总调直调电厂业务接入方案第三十四页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案中调直调电厂业务接入方案o纵向互联的主要设备包括各业务系统通信子站或终端、控制区和非控制区纵向互联交换机、横向和纵向互联硬件防火墙、纵向加密认证装置以及调度数据网路由器和交换机设备，各设备均采用冗余备用结构；o配置2台控制区纵向互联交换机，用于控制区有纵向数据通信的业务系统汇集接入、接入系统之间的访问控制和安全区的横向及纵向互联；o配置2台非控制区纵向互联交换机，用于非控制区有纵向数据通信的业务系统汇集接入、接入系统之间的访问控制和安全区的横向及纵向互联；第三十五页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案中调直调电厂业务接入方案o配置2台纵向加密认证装置，布置在控制区纵向互联交换机与调度数据网实时VPN之间，用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密，保证系统链接的合法性和数据传输的机密性及完整性；o配置2台纵向互联硬件防火墙，布置在非控制区纵向互联交换机与调度数据网非实时VPN之间，用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制；第三十六页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案中调直调电厂业务接入方案o配置2台横向互联硬件防火墙，布置在控制区与非控制区的网络边界上即布置在控制区纵向互联交换机与非控制区纵向互联交换机之间，一方面实现两区的逻辑隔离，另一方面实现控制区有关业务系统可同时使用实时VPN和非实时VPN进行传输；o对于兼有实时子网和非实时子网传输的保信子站和PMU子站的非实时数据信息传输路径为：变电站保信子站和PMU子站控制区区纵向互联交换机横向互联防火墙非控制区纵向互联交换机纵向互联防火墙调度数据网设备调度中心对应主站系统。第三十七页，编辑于星期日：二十一点 一分。发电厂二次系统安全防护方案中调直调电厂业务接入方案第三十八页，编辑于星期日：二十一点 一分。谢 谢！第三十九页，编辑于星期日：二十一点 一分。