电力二次系统防护总体方案

null全国电力二次系统全国电力二次系统安全防护总体方案安全防护的背景安全防护的背景电力二次系统存在安全漏洞（结构、技术、管理等）容易受到黑客、敌对势力的攻击，造成一次系统事故。 电力是我国国民经济的基础产业，关系到千家万户，关系到国家安定的大局，决不允许出现大的电力系统事故。一些数据一些数据FBI统计95%的入侵未被发现 FBI和CSI调查484公司发现 31% 有员工滥用Internet 16% 有来自内部未授权的存取 14% 有专利信息被窃取 12% 有内部人的财务欺骗 11% 有资料或网络的破坏 有超过70% 的安全威胁来自你企业内部 中国国内80%的网站存在安全隐患20%的网站有严重安全问题 2000年中国国家信息安全课题组的国家信息安全指出以9分为满分计算中国的信息安全强度只有5.5分系统内相关案例系统内相关案例二滩水电站分布式控制系统网络发生异常事件； 银山逻辑炸弹事件； 龙泉、政平变电站计算机病毒事件；网络面临的主要威胁网络面临的主要威胁黑客攻击 网络的缺陷 软件的漏洞或后门 管理的欠缺 网络内部用户的误操作 攻击层次一：通讯&服务层弱点攻击层次一：通讯&服务层弱点超过1000个TCP/IP服务安全漏洞: Sendmail, FTP, NFS, File Sharing, Netbios, NIS, Telnet, Rlogin, 等. 错误的路由配置 缺省路由帐户 反向服务攻击 隐蔽 Modem攻击层次二：操作系统攻击层次二：操作系统1000个以上的商用操作系统安全漏洞 没有添加安全Patch 文件/用户权限设置错误 可写注册信息 缺省用户权限 简单密码 特洛依木马 攻击层次三：应用程序攻击层次三：应用程序Web 服务器: 错误的Web目录结构 Web服务器应用程序缺陷 防火墙: 防火墙的错误配置会导致漏洞: 冒名IP, SYN flooding Denial of service attacks 其他应用程序: Oracle, SQL Server, SAP等缺省帐户 有缺陷的浏览器 常见的攻击方式常见的攻击方式病毒virus, 木马程序Trojan, 蠕虫Worm 拒绝服务和分布式拒绝服务攻击 Dos&DDos IP地址欺骗和IP包替换 IP spoofing, Packet modification 邮件炸弹 Mail bombing 宏病毒 Marco Virus 口令破解 Password crack 攻击的工具和步骤攻击的工具和步骤标准的TCP/IP工具 (ping, telnet…) 端口扫描和漏洞扫描 (ISS-Safesuit, Nmap, protscanner…) 网络包分析仪 (sniffer, network monitor) 口令破解工具 (lc3, fakegina) 木马 (BO2k, 冰河, …)加强网络安全的必要性加强网络安全的必要性保证业务系统稳定可靠运行 防止企业重要信息外泄 防止企业声誉被毁 ● ● ● ● ● ● 网络安全的定义网络安全的定义网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”，安全问题刻不容缓。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 网络安全的语义范围网络安全的语义范围保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性； 完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性； 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息； 可控性：对信息的传播及内容具有控制能力；电力系统安全防护体系电力系统安全防护体系电力二次系统安全防护总体方案电力二次系统安全防护总体方案 依据中华人民共和国国家经济贸易委员会2002年第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。重要的名词解释重要的名词解释计算机监控系统：包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、电力市场交易系统等； 调度数据网络：包括各级电力调度专用数据网络、用于远程维护及电能量计费等的拨号网络、各计算机监控系统接入的本地局域网络等；国家经贸委30号令的有关要求国家经贸委30号令的有关要求各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施 电力监控系统和电力调度数据网络均不得和互联网相连,并严格限制电子邮件的使用 各有关单位应制定安全应急措施和故障恢复措施，对关键数据做好备份并妥善存放；及时升级防病毒软件及安装操作系统漏洞修补程序；加强对电子邮件的管理；在关键部位配备攻击监测与告警设施，提高安全防护的主动性电力系统安全防护的基本原则 电力系统安全防护的基本原则 电力系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。 ----国家经贸委30号令安全防护总体方案的适用范围安全防护总体方案的适用范围安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统； 总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络； 电力通信系统、电力信息系统、电厂信息系统等可参照电力二次系统安全防护总体方案制定具体安全防护方案。电力二次系统逻辑结构电力二次系统逻辑结构电力二次系统安全防护的目标与重点电力二次系统安全防护的目标与重点电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全； 电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪 。电力二次系统主要安全风险（1）电力二次系统主要安全风险（1）随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战； 因特网和Internet技术已得到广泛使用，E-mail、Web和PC的应用也日益普及，但同时病毒和黑客也日益猖獗； 目前有一些调度中心、发电厂、变电站在规划、、建设控制系统和数据网络时，对网络安全问题重视不够，使得具有实时远方控制功能的监控系统，在没有进行有效安全隔离的情况下与当地的MIS系统或其他数据网络互连，构成了对电网安全运行的严重隐患；null电力二次系统主要安全风险（2）二次系统安全防护总体原则二次系统安全防护总体原则系统性原则（木桶原理）； 简单性原则； 实时、连续、安全相统一的原则； 需求、风险、代价相平衡的原则； 实用与先进相结合的原则； 方便与安全相统一的原则； 全面防护、突出重点的原则； 分层分区、强化边界的原则； 整体规划、分步实施的原则； 责任到人，分级管理，联合防护的原则； 安全防护模型安全防护模型相关的安全法律法规相关的安全法律法规《关于维护网络安全和信息安全的决议 》 《中华人民共和国计算机信息系统安全保护条例》 《计算机信息系统保密管理暂行规定》 《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》 《计算机信息网络国际联网安全保护》 《计算机信息系统安全保护等级划分准则》 《电力工业中涉及的国家秘密及具体范围的规定》 《电网和电厂计算机监控系统及调度数据网络安全防护的规定》 《电力二次系统安全防护规定》 电力二次系统安全防护总体策略 电力二次系统安全防护总体策略 安全分区 ：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。 网络专用 ：建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。 横向隔离 ：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。 纵向认证 ：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。 电力二次系统的安全区划分电力二次系统的安全区划分安全区Ⅰ：实时控制区 安全区Ⅱ：非控制生产区 安全区Ⅲ：生产管理区 安全区Ⅳ：管理信息区安全区Ⅰ：实时控制区安全区Ⅰ：实时控制区安全区Ⅰ中的业务系统或功能模块的典型特征为直接实现实时监控功能，是电力生产的重要必备环节，系统实时在线运行，使用调度数据网络或专用通道。 安全区Ⅰ的典型系统包括调度自动化系统、广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信经由电力调度数据网SPDnet-VPN1。该区中还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要求为毫秒级或秒级。 安全区Ⅰ是电力二次系统中最重要系统，安全等级最高，是安全防护的重点与核心。 安全区Ⅱ：非控制生产区 安全区Ⅱ：非控制生产区 安全区Ⅱ中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节，但不具备控制功能，使用调度数据网络，在线运行，与安全区I中的系统或功能模块联系紧密。 安全区Ⅱ的典型系统包括调度员培训模拟系统（DTS）、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等，其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。 该区数据的实时性是分钟级、小时级，其外部通信边界为电力调度数据网SPDnet-VPN2。 安全区Ⅲ：生产管理区 安全区Ⅲ：生产管理区 安全区III中的业务系统或功能模块的典型特征为：实现电力生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度中心或控制中心工作人员的桌面终端直接相关，与安全区IV的办公自动化系统关系密切。 该区的典型系统为调度生产管理系统（DMIS）、统计报表系统（日报、旬报、月报、年报）、雷电监测系统、气象信息接入等。 该区的外部通信边界为电力数据通信网SPTnet-VPN1。 安全区Ⅳ：管理信息区 安全区Ⅳ：管理信息区 安全区IV中的业务系统或功能模块的典型特征为：实现电力信息管理和办公自动化功能，使用电力数据通信网络，业务系统的访问界面主要为桌面终端。 该区包括管理信息系统（MIS）、办公自动化系统（OA）、客户服务等。 该区的外部通信边界为SPTnet-VPN2及因特网。 电网二次系统安全防护总体示意图电网二次系统安全防护总体示意图电力数据业务与网络的关系示意图 电力数据业务与网络的关系示意图 SDH（N×2M）SDH（155M） SPDnet SPTnet实时 控制在线生产调度生产管理电力综 合信息实时 VPN非实时 VPN调度VPN信息 VPN语音视频VPNIP语音视频SDH/PDH传输网业务系统置于安全区的规则（一）业务系统置于安全区的规则（一）根据该系统的实时性、使用者、功能、场所、各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于四个安全区之中。 实时控制系统或未来可能有实时控制功能的系统需置于安全区Ⅰ。 电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员使用。业务系统置于安全区的规则（二）业务系统置于安全区的规则（二）某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可将业务系统根据不同的功能模块分为若干子系统分置于各安全区中，各子系统经过安全区之间的通信来构成整个业务系统。 自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。 各电力二次系统原则上均应划分为四安全区的电力二次系统安全防护方案，但并非四安全区都必须存在。 某安全区不存在的条件是: 其本身不存在该安全区的业务。 与其它电网二次系统在该安全区不存在“纵向“互联。安全区之间的安全强度要求安全区之间的安全强度要求安全区Ⅰ与安全区Ⅱ的业务系统都属电力生产系统，都采用电力调度数据网络，都在线运行，数据交换较多，关系比较密切，可以作为一个生产控制的逻辑大区；安全区Ⅲ与安全区Ⅳ的业务系统都属管理信息系统，都采用电力数据通信网络，数据交换较多，关系比较密切，可以作为一个管理信息的逻辑大区。生产控制的逻辑大区与管理信息的逻辑大区之间安全强度应该达到相互物理隔离或接近于物理隔离。 安全区Ⅰ与安全区Ⅱ之间，以及安全区III与安全区IV之间的安全强度应该达到相互逻辑隔离。安全区之间的横向隔离要求（一） 安全区之间的横向隔离要求（一） 安全区I与安全区II之间须采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离，应禁止E-mail、Web、Telnet、Rlogin等服务穿越安全区之间的隔离设备。 安全区III与安全区IV之间应采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离。安全区之间的横向隔离要求（二）安全区之间的横向隔离要求（二）安全区Ⅰ、Ⅱ不得与安全区Ⅳ直接联系；安全区Ⅰ、Ⅱ与安全区Ⅲ之间应该采用经有关部门认定核准的专用安全隔离装置。专用安全隔离装置应该达到接近物理隔离的强度。 严格禁止E-MAIL、WEB、TELnet、Rlogin等网络服务和以B/S或C/S方式的数据库访问功能穿越专用安全隔离装置，仅允许纯数据的单向安全传输。 专用安全隔离装置分为正向型和反向型。从安全区Ⅰ、Ⅱ往安全区Ⅲ必须采用正向安全隔离装置单向传输信息；由安全区Ⅲ往安全区Ⅱ甚至安全区Ⅰ的单向数据传输必须经反向安全隔离装置。反向安全隔离装置采取签名认证和数据过滤措施，仅允许纯文本数据通过，并严格进行病毒、木马等恶意代码的查杀。 专用外部边界网络 专用外部边界网络 根据系统性原则，各电力二次系统的安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。 安全区Ⅰ、Ⅱ连接的广域网为国家电力调度数据网SPDnet。安全区Ⅲ、Ⅳ连接的广域网为国家电力数据通信网SPTnet。国家电力调度数据网SPDnet与国家电力数据通信网SPTnet应该物理隔离，如基于SDH/PDH上的不同通道、不同波长、不同纤芯等。 安全区Ⅰ和安全区Ⅱ分别连接国家电力调度数据网SPDnet的不同子网。安全区Ⅲ和安全区Ⅳ分别连接国家电力数据通信网SPTnet的不同子网。子网之间应该逻辑隔离，可以通过MPLS-VPN技术、安全隧道技术、PVC技术或路由独立技术等来构造子网。 安全区与远方通信的纵向安全防护要求 安全区与远方通信的纵向安全防护要求 安全区Ⅰ、Ⅱ接入SPDnet时，应配置纵向认证加密装置，实现网络层双向身份认证、数据加密和访问控制，也可与业务系统的通信网关设备配合，实现部分传输层或应用层的安全功能。如暂时不具备条件或根据具体业务的重要程度，可以用硬件防火墙或ACL技术的访问控制代替。 安全区Ⅲ连接国家电力数据通信网SPTnet的生产子网应通过硬件防火墙接入。 处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度，对I、II区的外部通信网关可以应该增加加密、认证和过滤的功能。 传统的基于专用信道的通信不涉及网络安全问题，可逐步采用线路加密技术保护关键厂站及关键业务。 安全区Ⅰ及安全区Ⅱ的防护要求（一）安全区Ⅰ及安全区Ⅱ的防护要求（一）禁止安全区Ⅰ/Ⅱ内部的E-MAIL服务。禁止安全区Ⅰ的WEB服务。 允许安全区Ⅱ内部采用B/S结构的系统，但必须采取有效措施进行封闭。允许安全区Ⅱ纵向WEB服务，其专用WEB服务器和WEB浏览工作站应在“非军事区”的网段，专用WEB服务器应该是经过安全加固且支持HTTPS的安全WEB服务器，WEB浏览工作站与安全区II业务系统工作站不得共用，而且必须由业务系统向WEB服务器单向主动传送数据。 安全区Ⅰ/Ⅱ的重要业务（如SCADA/AGC、电力交易）应该逐步采用认证加密机制。 安全区Ⅰ/Ⅱ内的相关系统间应该采取访问控制等安全措施。安全区Ⅰ及安全区Ⅱ的防护要求（二）安全区Ⅰ及安全区Ⅱ的防护要求（二）对安全区Ⅰ/Ⅱ进行拨号访问服务，用户端应该使用UNIX或LINUX操作系统且采取认证、加密、访问控制等安全防护措施。 安全区Ⅰ/Ⅱ边界上可考虑部署入侵检测系统IDS。安全区Ⅰ、Ⅱ可以合用一套IDS管理系统。 安全区Ⅰ/Ⅱ应该考虑部署安全审计措施，应把安全审计与安全区网络管理系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。 安全区Ⅰ/Ⅱ应该采取防恶意代码措施。病毒库和木马库的更新应该离线进行，不得直接从因特网下载。 安全区Ⅰ/Ⅱ内的系统必须经过安全评估。安全区Ⅲ的防护要求 安全区Ⅲ的防护要求 安全区Ⅲ允许开通EMAIL、WEB服务。 对安全区Ⅲ拨号访问服务必须采取访问控制等安全防护措施。 安全区Ⅲ应该部署安全审计措施，边界上应部署入侵检测系统，如IDS等。 安全区Ⅲ必须采取防恶意代码措施。 电力二次系统四安全区拓扑结构 电力二次系统四安全区拓扑结构 电力二次系统四安全区的拓扑结构有三种模式，这三种模式均能满足电力二次系统安全防护体系的要求。电力二次系统安全防护方案的实施步骤（一）电力二次系统安全防护方案的实施步骤（一）第一阶段是理清流程，修补漏洞。需要对本地系统的物理配置、连接关系，以及信息流程有明晰的认识，必须有业务系统的详细的物理连线图及数据流图。 第二阶段是调整结构，清理边界。按照安全防护方案，做好相应的安全区规划，将各类系统置于对应的安全区内，并增加必要的设备，对各类应用系统和网络设备的配置进行相应的修改。 第三阶段及第四阶段部署横向隔离装置和纵向防护措施。可分阶段逐步实现。 第五阶段部署认证机制。在各类专用装置和与认证机制有关的CA、RA已建立的条件下部署认证机制。 第六阶段为现系统改造和新系统开发。要求二次系统各研究、生产单位按照方案的要求研制新系统，并对现有系统进行改造。 电力二次系统安全防护方案的实施步骤（二） 电力二次系统安全防护方案的实施步骤（二） 网络安全的技术措施网络安全的技术措施专用安全隔离装置 防火墙 入侵检测设备 防病毒系统 系统备份与灾难恢复 加密与认证 网络安全评估系统专用安全隔离装置专用安全隔离装置电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，要求具有最高的安全防护强度，是安全区I/II横向防护的要点。 安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。安全隔离装置的部署：隔离装置的安全保障要求隔离装置的安全保障要求采用非INTEL指令系统（及兼容）的微处理器； 精简的、安全的、固化的操作系统； 不存在设计与实现上的安全漏洞； 能够抵御对Ⅰ/Ⅱ区的部分DoS攻击及其他已知的网络攻击。正向隔离装置的硬件结构及网络连接正向隔离装置的硬件结构及网络连接1、取消TCP外所有网络功能； 2、内设地址过滤，对外没有IP地址； 3、采用非网（USB等）专用进程通信，内外网不同时接通；§正向隔离装置的功能要求（一）§正向隔离装置的功能要求（一）实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通； 要求用物理方式实现数据完全单向传输，即从安全区Ⅲ到安全区Ⅰ/Ⅱ的TCP应答报文禁止携带应用数据； 透明工作方式，虚拟主机IP地址、隐藏MAC地址； 基于MAC、IP、传输、传输端口以及通信方向的综合报文过滤与访问控制； 支持NAT； §正向隔离装置的功能要求（二）§正向隔离装置的功能要求（二）防止穿透性TCP连接：禁止内网、外网的两个应用网关之间直接建立TCP连接，应将内外两个应用网关之间的TCP连接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许以物理方式实现数据数据单向传输； 具有可定制的应用层解析功能，支持应用层特殊标记识别； 安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。反向隔离装置的工作过程反向隔离装置的工作过程安全区III到安全区I/II的唯一数据传递途径； 安全区III内的数据发送端首先对需发送的数据签名，然后发给反向型专用隔离装置； 专用隔离装置接收数据后，进行签名验证，并对数据进行内容过滤、有效性检查等处理； 将处理过的数据转发给安全区I/II内部的接收程序。§反向隔离装置的功能要求§反向隔离装置的功能要求应满足正向隔离装置的所有基本功能； 具有应用网关功能，实现应用数据的接收与转发； 具有应用数据内容有效性检查功能； 具有基于数字证书的数据签名和验证功能； 实现两个安全区之间的非网络方式的安全的数据传递，要求用物理方式实现数据完全单向传输，即从安全区Ⅰ/Ⅱ到安全区Ⅲ的TCP应答报文禁止携带应用数据。IP认证加密装置IP认证加密装置对于纵向通信过程，主要考虑是两个系统之间的认证，具体实现可以由两个通信网关之间的认证实现，或者两处IP认证加密装置之间的认证来实现。 建议采用对IP认证加密装置之间的认证。 IP认证加密装置用于安全区I/II的广域网边界保护。 为本地安全区I/II提供类似包过滤防火墙的功能。 为通信网关间的广域网通信提供具有认证与加密功能的VPN，实现数据传输的机密性、完整性保护。IP认证加密装置功能IP认证加密装置功能IP认证加密装置之间支持基于数字证书的认证，支持定向认证加密； 对传输的数据通过数据签名与加密进行数据机密性、完整性保护； 支持透明工作方式与网关工作方式； 具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能。具有选择加密方向以及对被加密报文进行报文长度或其它被设置特征的选择加密和解密功能； 具有NAT功能； 性能要求：10M/100M线速转发，支持100个并发会话； 具有查询、设置、统计等管理功能，以及相应的友好的用户界面； 多家开发的设备可以互联互通。纵向通信认证示意图纵向通信认证示意图远程拨号访问防护方案远程拨号访问防护方案拨号的防护措施可以在链路层或网络层实施，采用认证、加密技术保证通信双方身份的真实性和数据的完整性、保密性。 链路方式：对于以远方终端的方式通过被访问的本地主机的RS232接口直接访问本地主机的情况，采用链路层保护措施，即在两端安装链路加密设备。该方式主要用于安全区I的远程拨号访问。 网络方式：通过RAS（远程访问服务器）访问本地网络与系统的远程访问，建议采用网络层保护措施，即采用用户端证书与拨号认证加密装置配合的拨号VPN。该方式主要用于安全区II/III的远程拨号访问。 远程拨号访问防护示意图远程拨号访问防护示意图链路保护措施： 使用专用链路加密设备，实现以下安全功能： 两端链路加密设备相互进行认证 对链路帧进行加密 网络保护措施： 采用远程访问VPN方式。在RAS与本地网络之间设置拨号认证加密装置，结合用户数字证书，对远程拨入的用户身份进行认证，通过认证后，在远程拨入用户与拨号认证加密装置之间建立IPSecVPN，对网络层数据进行机密性与完整性保护。 相关的安全产品包括：用户端的IPSecVPN客户端插件及相应的加密卡、RAS端的拨号认证加密装置（包括相应的加密设备）。拨号认证加密装置可以是单独的设备，置于RAS与本地网络之间，也可以与RAS集成在一个物理设备中。传统专用通道的防护 —线路加密设备传统专用通道的防护 —线路加密设备线路加密设备可用于传统专线RTU 、保护装置、安控装置通道上数据的加密保护，防止搭线篡改数据。要求该设备具有一定强度的对称加密功能。 建议新开发的专线RTU、保护装置、安控装置，内置安全加密功能。 防火墙防火墙防火墙产品可以部署在安全区I与安全区II之间（横向），实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方，需要部署在调度数据接入处（纵向）。 防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。 具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。Web服务的使用与防护Web服务的使用与防护在安全区I中取消Web服务。禁止安全区I中的计算机使用浏览器访问安全区II的Web服务。 安全区II中的Web服务将是安全区I与II的统一的数据发布与查询窗口。考虑到目前Web服务的不安全性，以及安全区II的Web服务需要向整个SPDnet开放，因此在安全区II中将用于Web服务的服务器与浏览器客户机统一布置在安全区II中的一个逻辑子区――Web服务子区，置于安全区II的接入交换机上的独立VLAN中。 Web服务器采用安全Web服务器，即经过主机安全加固的，支持SSL、HTTPS的Web服务器，能够对浏览器客户端进行身份认证、以及应用数据加密。电力二次系统的数字证书电力二次系统的数字证书数字证书提供以下安全功能： 支持身份认证功能、支持基于证书的密钥分发与加密； 支持基于证书的签名以及基于证书扩展属性的权限管理。 电力调度业务系统及数据网络中需要发放数字证书的对象： 关键应用：主要包括SCADA系统、电力市场交易系统； 关键人员：主要包括关键应用系统的用户与管理维护人员； 关键设备：主要包括通信网关、IP认证加密装置、专用安全隔离装置、以及部分网络设备。备份与恢复备份与恢复数据与系统备份： 对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。 设备备用： 对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。 异地容灾： 对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。防病毒措施防病毒措施病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。入侵检测 IDS入侵检测 IDS对于安全区I与II，建议统一部署一套IDS管理系统。 考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS）。 其IDS探头主要部署在：安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。 主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。主机防护主机防护安全配置：通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站， 严格管理系统及应用软件的安装与使用。 安全补丁：通过及时更新系统安全补丁，消除系统内核漏洞与后门。 主机加固：安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。 应用目标：关键应用，包括SCADA/EMS系统服务器、电力市场交易服务器。网络边界处的主机，包括通信网关、Web服务器等等。其它技术措施其它技术措施应用程序安全： 禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。 安全审计： 安全审计是安全管理的重要环节。应该引入集中智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。 安全“蜜罐”： 应用“主动防御”思想，在安全区II中的Web子区中，设置“安全蜜罐”，迷惑攻击者，配合安全审计，收集攻击者相关信息。 安全评估技术： 已投运的系统要求进行安全评估，新建设的系统必须经过安全评估合格后方可投运。nullnullnullnull水调自动化系统安全产品部署示意图水调自动化系统安全产品部署示意图继电保护和故障录波信息系统继电保护和故障录波信息系统配电二次系统安全防护方案配电二次系统安全防护方案变电站二次系统安全区Ⅰ和安全区Ⅱ变电站二次系统安全区Ⅰ和安全区Ⅱ水电厂二次系统安全部署图水电厂二次系统安全部署图火电厂二次系统安全部署图火电厂二次系统安全部署图