1、电力系统二次安全防护电力系统二次安全防护2024年4月17日北京科东电力控制系统有限责任公司2二滩水电厂异常停机事件;二滩水电厂异常停机事件;故障录波装置故障录波装置“时间逻辑炸弹时间逻辑炸弹”事件;事件;换流站控制系统感染病毒事件;换流站控制系统感染病毒事件;近年世界上大停电近年世界上大停电近年世界上大停电近年世界上大停电事故反映出电力二事故反映出电力二事故反映出电力二事故反映出电力二次系统的脆弱性和次系统的脆弱性和次系统的脆弱性和次系统的脆弱性和重要性。重要性。重要性。重要性。电力二次系统安全事件电力二次系统安全事件2024年4月17日北京科东电力控制系统有限责任公司3二次系统安全防护的由
2、来二次系统安全防护的由来20002000年四川某水电站无故全厂停机造成川西电网年四川某水电站无故全厂停机造成川西电网瞬间缺电瞬间缺电8080万仟瓦引起电网大面积停电。其根源万仟瓦引起电网大面积停电。其根源估计是厂内估计是厂内MISMIS系统与电站的控制系统无任何防护系统与电站的控制系统无任何防护措施的互连,引起有意或无意的控制操作导致停措施的互连,引起有意或无意的控制操作导致停机。机。20012001年年9 9、1010月间,安装在全国月间,安装在全国147147座变电站的银座变电站的银山公司生产的录波器的频频山公司生产的录波器的频频“出事出事”,出现不录波,出现不录波或死机现象,严重影响高压
3、电网安全运行。事后或死机现象,严重影响高压电网安全运行。事后分析结论是该录波器中人为设置了分析结论是该录波器中人为设置了“时间限制时间限制”或或“时间逻辑炸弹时间逻辑炸弹”。2024年4月17日北京科东电力控制系统有限责任公司4二次系统安全防护的由来二次系统安全防护的由来20032003年年8 8月月1414日美国加拿大的停电事故震惊世界,事故扩日美国加拿大的停电事故震惊世界,事故扩大的直接原因是两个控制中心的自动化系统故障。若黑客大的直接原因是两个控制中心的自动化系统故障。若黑客攻击将会引起同样的灾难性后果。攻击将会引起同样的灾难性后果。这次这次“814814”美国、加拿美国、加拿大大停电造
4、成大大停电造成300300亿美圆的损失及社会的不安定。由此可亿美圆的损失及社会的不安定。由此可说明电力系统的重要性。说明电力系统的重要性。20032003年年1212月龙泉、政平、鹅城、荆州等换流站受到计算机月龙泉、政平、鹅城、荆州等换流站受到计算机病毒的攻击。病毒的攻击。几年来我国不少基于几年来我国不少基于WINDOWS-NTWINDOWS-NT的电力二次系统的计算机的电力二次系统的计算机系统系统,程度不同的受到计算机病毒的攻击。造成了业务损程度不同的受到计算机病毒的攻击。造成了业务损失和经济损失。值得我们严重的关注。失和经济损失。值得我们严重的关注。有攻击就必须有防护有攻击就必须有防护20
5、24年4月17日北京科东电力控制系统有限责任公司5主要风险主要风险调度数据网上:明文数据;调度数据网上:明文数据;104104规约等的识别,着重保护规约等的识别,着重保护“控制报文控制报文”;物理等原因造成的数据中断不是最危险的;物理等原因造成的数据中断不是最危险的;最危险的是旁路控制。最危险的是旁路控制。窃听窃听篡改篡改伪造伪造2024年4月17日北京科东电力控制系统有限责任公司6优先级优先级风险风险说明说明/举例举例0旁路控制旁路控制(Bypassing Controls)入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。1完整性破坏完整性破坏(Integrity V
6、iolation)非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数据。2违反授权违反授权(Authorization Violation)电力控制系统工作人员利用授权身份或设备,执行非授权的操作。3工作人员的随意行为工作人员的随意行为(Indiscretion)电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。4拦截拦截/篡改篡改(Intercept/Alter)拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用非法使用(Illegitimate Use)非授权使用计算机或网络资源。6信息泄漏信息泄漏(Informati
7、on Leakage)口令、证书等敏感信息泄密。7欺骗欺骗(Spoof)Web服务欺骗攻击;IP 欺骗攻击。8伪装伪装(Masquerade)入侵者伪装合法身份,进入电力监控系统。9拒绝服务拒绝服务(Availability,e.g.DoS)向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。10窃听窃听(Eavesdropping,e.g.Data Confidentiality)黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击准备数据。电电电电力力力力二二二二次次次次系系系系统统统统主主主主要要要要安安安安全全全全风风风风险险险险2024年4月17日北京科东电力控
8、制系统有限责任公司7系列文件系列文件国家经贸委国家经贸委20022002第第 30 30 号令:号令:电网和电厂计算机监控系统及调度数据网络安电网和电厂计算机监控系统及调度数据网络安全防护规定全防护规定。于。于20022002年年5 5月月8 8日公布,自日公布,自 2002 2002 年年 6 6 月月 8 8 日起施行。日起施行。国家电力监管委员会第国家电力监管委员会第 5 5 号令:号令:电力二次系统安全防护规定电力二次系统安全防护规定于于 2004 2004 年年 12 12 月月 20 20 日公布,自日公布,自 2005 2005 年年 2 2 月月 1 1 日起施行。日起施行。2
9、024年4月17日北京科东电力控制系统有限责任公司8系列文件系列文件电力二次系统安全防护规定电力二次系统安全防护规定配套文件:配套文件:电力二次系统安全防护总体方案电力二次系统安全防护总体方案省级及以上调度中心二次系统安全防护方案省级及以上调度中心二次系统安全防护方案地、县级调度中心二次系统安全防护方案地、县级调度中心二次系统安全防护方案变电站二次系统安全防护方案变电站二次系统安全防护方案发电厂二次系统安全防护方案发电厂二次系统安全防护方案配电二次系统安全防护方案配电二次系统安全防护方案 2024年4月17日北京科东电力控制系统有限责任公司9总体安全防护策略总体安全防护策略在对电力二次系统进行
10、了全面系统的安全分析在对电力二次系统进行了全面系统的安全分析基础上,提出了十六字总体安全防护策略。基础上,提出了十六字总体安全防护策略。安全分区、网络专用、横向隔离、纵向认证安全分区、网络专用、横向隔离、纵向认证2024年4月17日北京科东电力控制系统有限责任公司10电力二次系统安全防护的目标电力二次系统安全防护的目标抵御黑客、病毒、恶意代码等通过各抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事此导致一次系统事故或大面积停电事故及二次系统的崩溃或
11、瘫痪。故及二次系统的崩溃或瘫痪。2024年4月17日北京科东电力控制系统有限责任公司11安全分区安全分区2024年4月17日北京科东电力控制系统有限责任公司12安全区安全区 I I 的典型系统的典型系统调度自动化系统(调度自动化系统(SCADA/EMSSCADA/EMS)、广域相量测量系)、广域相量测量系统、统、配电网自动化系统、变电站自动化系统、发电厂配电网自动化系统、变电站自动化系统、发电厂自动监控系统、继电保护、安全自动控制系统、自动监控系统、继电保护、安全自动控制系统、低频低频/低压自动减载系统、负荷控制系统等。低压自动减载系统、负荷控制系统等。典型特点:是电力生产的重要环节、安全防护
12、的典型特点:是电力生产的重要环节、安全防护的重点与核心;直接实现对一次系统运行的实时监重点与核心;直接实现对一次系统运行的实时监控;控;纵向使用电力调度数据网络或专用通道。纵向使用电力调度数据网络或专用通道。2024年4月17日北京科东电力控制系统有限责任公司13安全区安全区 II II 的典型系统的典型系统调度员培训模拟系统(调度员培训模拟系统(DTSDTS)、水库调度自动化系)、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等。计量系统、电力市场运营系统等。典型特点:所实现的功能为电力生产的必要环节;典型特点:
13、所实现的功能为电力生产的必要环节;在线运行,但不具备控制功能;使用电力调度数在线运行,但不具备控制功能;使用电力调度数据网络,与控制区(安全区据网络,与控制区(安全区 I I)中的系统或功能)中的系统或功能模块联系紧密。模块联系紧密。2024年4月17日北京科东电力控制系统有限责任公司14安全区安全区 III III 的典型系统的典型系统调度生产管理系统(调度生产管理系统(DMISDMIS)、调度报表系统(日)、调度报表系统(日报、旬报、月报、年报)、雷电监测系统、气象报、旬报、月报、年报)、雷电监测系统、气象信息接入等。信息接入等。典型特点:主要侧重于生产管理的系统典型特点:主要侧重于生产管
14、理的系统2024年4月17日北京科东电力控制系统有限责任公司15安全区安全区 IV IV 的典型系统的典型系统管理信息系统(管理信息系统(MISMIS)、办公自动化系统()、办公自动化系统(OAOA)、)、客户服务系统等。客户服务系统等。典型特点:纯管理的系统典型特点:纯管理的系统电力二次系统安全防护总体示意图电力二次系统安全防护总体示意图 上级调度/控制中心下级调度/控制中心上级信息中心下级信息中心实时VPN SPDnet 非实时VPNIP认证加密装置安全区I(实时控制区)安全区II(非控制生产区)安全区III(生产管理区)安全区IV(管理信息区)外部公共因特网生产VPN SPTnet 管理
15、VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区I(实时控制区)防火墙安全区II(非控制生产区)安全区III(生产管理区)防火墙 防火墙安全区IV(管理信息区)专线正 向专 用安 全隔 离装置反 向专 用安 全隔 离装置正 向专 用安 全隔 离装置反 向专 用安 全隔 离装置 防火墙 防火墙 防火墙2024年4月17日北京科东电力控制系统有限责任公司17网络专用网络专用电电力力调调度度数数据据网网应应当当在在专专用用通通道道上上使使用用独独立立的的网网络络设设备备组组网网,采采用用基基于于SDH/PDHSDH/PDH上上的的不不同同通通道道、不不同同光光波波
16、长长、不不同同纤纤芯芯等等方方式式,在在物物理理层层面面上上实实现现与与电电力力企企业业其其它它数数据据网网及及外外部部公公共共信信息息网网的的安安全全隔隔离离。电电力力调调度度数数据据网网划划分分为为逻逻辑辑隔隔离离的的实实时时子子网网和和非非实实时时子子网网,分分别别连连接接控控制制区区和和非非控控制制区区。子子网网之之间间可可采采用用MPLS-VPNMPLS-VPN技技术术、安安全全隧隧道道技技术术、PVCPVC技技术术或或路路由由独独立立技技术术等等来来构构造造子子网网。电电力力调调度度数据网是电力二次安全防护体系的重要网络基础。数据网是电力二次安全防护体系的重要网络基础。2024年4
17、月17日北京科东电力控制系统有限责任公司18网络专用网络专用SDHSDH(N2MN2M)SDHSDH(155M155M)SPDnetSPDnetSPTnetSPTnet实时实时实时实时控制控制控制控制在线在线在线在线生产生产生产生产调度生产调度生产调度生产调度生产管理管理管理管理电力综电力综电力综电力综合信息合信息合信息合信息实时实时实时实时VPNVPN非实时非实时非实时非实时VPNVPN调度调度调度调度VPNVPN信息信息信息信息VPNVPN语音视频语音视频语音视频语音视频VPNVPNIPIP语音语音语音语音视频视频视频视频SDH/PDHSDH/PDH传输网传输网传输网传输网电力调度数据网电
18、力调度数据网电力调度数据网电力调度数据网电力企业数据网电力企业数据网电力企业数据网电力企业数据网2024年4月17日北京科东电力控制系统有限责任公司19横向隔离横向隔离物理隔离装置(正向型/反向型)2024年4月17日北京科东电力控制系统有限责任公司20横向隔离装置横向隔离装置必须通过公安部安全产品销售许可,获得国家指定机构安必须通过公安部安全产品销售许可,获得国家指定机构安全检测证明,用于厂站的设备还需通过电力系统电磁兼容全检测证明,用于厂站的设备还需通过电力系统电磁兼容检测。检测。专用横向单向安全隔离装置按照数据通信方向分为正向型专用横向单向安全隔离装置按照数据通信方向分为正向型和反向型。
19、和反向型。正向安全隔离装置用于生产控制大区到管理正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,是置用于从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。管理信息大区到生产控制大区的唯一数据传输途径。严格禁止严格禁止 E-MailE-Mail、WebWeb、TelnetTelnet、RloginRlogin、FTP FTP 等通用网等通用网络服务和以络服务和以 B/S B/S 或或 C/S C/S 方式的方式的数据库访
20、问穿越专用横向单向安全隔离装置,仅允许纯数数据库访问穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。据的单向安全传输。隔离设备隔离设备实时实时控制控制系统系统调度调度生产生产系统系统接接口口机机A A接接口口机机B B安全岛安全岛关键技术关键技术-正向型专用安全隔离装置正向型专用安全隔离装置内网外网内部应用网关外部应用网关1、采用非采用非INTELINTEL指令系统的(及兼容)双微处理器。指令系统的(及兼容)双微处理器。2 2、特别配置、特别配置LINUXLINUX内核,取消所有网络功能,安全、固化的的操作系统。抵内核,取消所有网络功能,安全、固化的的操作系统。抵御除御除DoSDoS
21、以外的已知的网络攻击。以外的已知的网络攻击。3 3、非网络方式的内部通信,支持安全岛、非网络方式的内部通信,支持安全岛,保证装置内外两个处理系统不同保证装置内外两个处理系统不同时连通。时连通。4 4、透明监听方式,虚拟主机、透明监听方式,虚拟主机IPIP地址、隐藏地址、隐藏MACMAC地址,支持地址,支持NATNAT5 5、内设、内设MAC/IP/PORT/PROTOCOL/DIRECTIONMAC/IP/PORT/PROTOCOL/DIRECTION等综合过滤与访问控制等综合过滤与访问控制6 6、防止穿透性、防止穿透性TCPTCP联接。内外应用网关间的联接。内外应用网关间的TCPTCP联接分
22、解成两个应用网关分联接分解成两个应用网关分别到装置内外两个网卡的两个别到装置内外两个网卡的两个TCPTCP虚拟联接。两个网卡在装置内部是非网络虚拟联接。两个网卡在装置内部是非网络连接。连接。7 7、单向联接控制。应用层数据完全单向传输,、单向联接控制。应用层数据完全单向传输,TCPTCP应答禁止携带应用数据。应答禁止携带应用数据。8 8、应用层解析,支持应用层特殊标记识别、应用层解析,支持应用层特殊标记识别9 9、支持身份认证、支持身份认证1010、灵活方便的维护管理界面、灵活方便的维护管理界面正向正向专用隔离装置专用隔离装置反向型专用安全隔离装置反向型专用安全隔离装置反向型专用安全隔离装置反
23、向型专用安全隔离装置安全区安全区IIIIII到安全区到安全区I/III/II的的唯一唯一数据传递途径。数据传递途径。反反向向型型专专用用隔隔离离装装置置集集中中接接收收安安全全区区IIIIII发发向向安安全全区区I/III/II的的数数据据,进进行行签签名名验验证证、内内容容过过滤滤、有有效效性性检检查查等等处处理。处理后,转发给安全区理。处理后,转发给安全区I/III/II内部的接收程序。内部的接收程序。具体过程如下:具体过程如下:1.1.安安全全区区IIIIII内内的的数数据据发发送送端端首首先先对对需需发发送送的的数数据据签签名名,然后发给反向型专用隔离装置;然后发给反向型专用隔离装置;
24、2.2.专专用用隔隔离离装装置置接接收收数数据据后后,进进行行签签名名验验证证,并并对对数数据据进行内容过滤、有效性检查等处理;进行内容过滤、有效性检查等处理;3.3.将处理过的数据转发给安全区将处理过的数据转发给安全区I/III/II内部的接收程序。内部的接收程序。2024年4月17日北京科东电力控制系统有限责任公司24安全区与远方通信的安全防护要求安全区与远方通信的安全防护要求(一)安全区安全区、所连接的广域网为国家电力调所连接的广域网为国家电力调度数据网度数据网SPDnetSPDnet。SPDnetSPDnet为安全区为安全区、分分别提供二个逻辑隔离的别提供二个逻辑隔离的MPLS-VPN
25、MPLS-VPN。安全区。安全区所连接的广域网为国家电力数据通信网所连接的广域网为国家电力数据通信网(SPTnetSPTnet),),SPDnetSPDnet与与SPTnetSPTnet物理隔离。物理隔离。安全区安全区、接入接入SPDnetSPDnet时,应配置时,应配置纵向加纵向加密认证装置密认证装置,实现远方通信的双向身份认证,实现远方通信的双向身份认证和数据加密。如暂时不具备条件或业务无此和数据加密。如暂时不具备条件或业务无此项要求,可以用硬件防火墙代替。安全区项要求,可以用硬件防火墙代替。安全区接入接入SPTnetSPTnet应配置硬件防火墙。应配置硬件防火墙。2024年4月17日北京
26、科东电力控制系统有限责任公司25安全区与远方通信的安全防护要求安全区与远方通信的安全防护要求(二)处于外部网络边界的通信网关(如通信服务器处于外部网络边界的通信网关(如通信服务器等)操作系统应进行安全加固,并配置数字证书。等)操作系统应进行安全加固,并配置数字证书。传统的远动通道的通信目前暂不考虑网络安全传统的远动通道的通信目前暂不考虑网络安全问题。个别关键厂站的远动通道的通信可采用线问题。个别关键厂站的远动通道的通信可采用线路加密器,但需由上级部门认可。路加密器,但需由上级部门认可。经经SPDnetSPDnet的的RTURTU网络通道原则上不考虑传输中的网络通道原则上不考虑传输中的认证加密。
27、个别关键厂站的认证加密。个别关键厂站的RTURTU网络通信可采用认网络通信可采用认证加密,但需由上级部门认可。证加密,但需由上级部门认可。禁止安全区禁止安全区的纵向的纵向WEBWEB,允许安全区,允许安全区IIII的纵向的纵向WEBWEB服务。服务。安全区安全区I I和安全区和安全区IIII的拨号访问服务原则上需要的拨号访问服务原则上需要认证、加密和访问控制。认证、加密和访问控制。2024年4月17日北京科东电力控制系统有限责任公司26纵向加密认证装置纵向加密认证装置/网关网关加密认证加密认证装置位于电力控制系统的内部局域装置位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于网与
28、电力调度数据网络的路由器之间,用于安全区安全区I/III/II的广域网边界保护,可为本地安的广域网边界保护,可为本地安全区全区I/III/II提供一个网络屏障同时为上下级控提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。务,实现数据传输的机密性、完整性保护。加密认证网关除具有加密认证装置的加密认证网关除具有加密认证装置的全部功能外,还应实现应用层协议及报文内全部功能外,还应实现应用层协议及报文内容识别的功能。容识别的功能。2024年4月17日北京科东电力控制系统有限责任公司27纵向加密认证网关和管理
29、中心的部署纵向加密认证网关和管理中心的部署路由器路由器国家电力调度数据网络国家电力调度数据网络国家电力调度数据网络国家电力调度数据网络I/III/II级级级级调度中心调度中心调度中心调度中心管理终端管理终端纵向加密认证装置纵向加密认证装置国家电力调度数据网络国家电力调度数据网络调度中心调度中心调度中心调度中心管理中心2024年4月17日北京科东电力控制系统有限责任公司28纵向认证纵向认证采用认证、加密、访问控制等技术措施实现数据采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。在生的远方安全传输以及纵向边界的安全防护。在生产控制大区与广域网的纵向交接处应当设置经过
30、产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。管理信息大区应份认证、数据加密和访问控制。管理信息大区应采用硬件防火墙等安全设备接入电力企业数据网。采用硬件防火墙等安全设备接入电力企业数据网。纵向加密认证是电力二次安全防护体系的纵向防纵向加密认证是电力二次安全防护体系的纵向防线。线。传统的基于专用通道的通信不涉及网络安全问传统的基于专用通道的通信不涉及网络安全问题,可采用线路加密技术保护关键厂站及关键业题,
31、可采用线路加密技术保护关键厂站及关键业务。务。PKIPKI技术的介绍技术的介绍对对称称密密钥钥体体制制:是是指指加加密密密密钥钥和和解解密密密密钥钥为为同同一一密密钥钥的的密密码码体体制制。因因此此,信信息息发发送送者者和和信信息息接接收收者者在在进进行行信信息息的的传传输输与与处处理理时时,必必须须共共同同持持有有该该密密码码(称称为为对对称称密密码码)。通通常常,密钥简短,使用的加密算法比较简便高效。密钥简短,使用的加密算法比较简便高效。不不对对称称密密钥钥体体制制(公公钥钥体体制制):用用户户产产生生一一对对公公/私私密密钥钥,向外界公开的密钥为公钥;自己保留的密钥为私钥。向外界公开的密
32、钥为公钥;自己保留的密钥为私钥。加加密密过过程程:信信息息发发送送者者以以信信息息接接收收者者的的公公钥钥加加密密信信息息,信信息息接收者以其私钥解密这加密信息。又称为公钥加密技术。接收者以其私钥解密这加密信息。又称为公钥加密技术。认认证证过过程程:信信息息发发送送者者以以自自己己的的私私钥钥加加密密信信息息,信信息息接接收收者者以以信信息息发发送送者者的的公公钥钥解解密密这这加加密密信信息息。因因为为任任何何人人都都可可以以用用信信息息发发送送者者的的公公钥钥解解密密这这加加密密信信息息,但但只只有有知知道道信信息息发送者私钥的人才能发出此加密信息。发送者私钥的人才能发出此加密信息。安安全防
33、护要求全防护要求在在生生产产控控制制大大区区与与管管理理信信息息大大区区之之间间必必须须设设置置经经国国家家指指定定部部门门检检测测认认证证的的电电力力专专用用横横向向单单向向安安全全隔隔离离装装置置。生生产产控控制制大大区区内内部部的的安安全全区区之之间间应应当当采采用用具具有有访访问问控控制制功功能能的的设设备备、防防火火墙墙或或者者相相当当功功能能的的设设施,实现逻辑隔离。施,实现逻辑隔离。在在生生产产控控制制大大区区与与广广域域网网的的纵纵向向交交接接处处应应当当设设置置经经过过国国家家指指定定部部门门检检测测认认证证的的电电力力专专用用纵纵向向加加密密认认证证装装置置或或者者加加密密
34、认认证证网网关关及相应设施。及相应设施。安安全防护要求全防护要求安安全全区区边边界界应应当当采采取取必必要要的的安安全全防防护护措措施施,禁禁止止任任何何穿穿越越生生产产控控制制大大区区和和管管理理信信息息大大区区之之间间边边界界的的通通用用网网络络服服务务。生生产产控控制制大大区区中中的的业业务务系系统统应应当当具具有有高高安安全全性性和和高高可可靠靠性性,禁禁止止采采用用安安全全风风险险高高的的通通用网络服务功能。用网络服务功能。依依照照电电力力调调度度管管理理体体制制建建立立基基于于公公钥钥技技术术的的分分布布式式电电力力调调度度数数字字证证书书系系统统,生生产产控控制制大大区区中中的的
35、重重要要业业务务系系统统应应当当采采用用认认证证加加密机制。密机制。各安全区内部安全防护的基本要求(一)各安全区内部安全防护的基本要求(一)对安全区对安全区及安全区及安全区的要求:的要求:禁止安全区禁止安全区/内部的内部的E-MAILE-MAIL服务。安全区服务。安全区不允许不允许存在存在WEBWEB服务器及客户端。服务器及客户端。允许安全区允许安全区内部及纵向(即上下级间)内部及纵向(即上下级间)WEBWEB服务。但服务。但WEBWEB浏览工作站与浏览工作站与IIII区业务系统工作站不得共用,而且区业务系统工作站不得共用,而且必须业务系统向必须业务系统向WEBWEB服务器单向主动传送数据。服
36、务器单向主动传送数据。安全区安全区/的重要业务(如的重要业务(如SCADASCADA、电力交易)应该、电力交易)应该采用认证加密机制。采用认证加密机制。安全区安全区/内的相关系统间必须采取访问控制等安全内的相关系统间必须采取访问控制等安全措施。措施。对安全区对安全区/进行拨号访问服务,必须采取认证、加进行拨号访问服务,必须采取认证、加密、访问控制等安全防护措施。密、访问控制等安全防护措施。安全区安全区/应该部署安全审计措施,如应该部署安全审计措施,如IDSIDS等。等。安全区安全区/必须采取防恶意代码措施。必须采取防恶意代码措施。各安全区内部安全防护的基本要求(二)各安全区内部安全防护的基本要
37、求(二)对安全区对安全区要求:要求:安全区安全区允许开通允许开通EMAILEMAIL、WEBWEB服务。服务。对安全区对安全区拨号访问服务必须采取访问控制等安全防拨号访问服务必须采取访问控制等安全防护措施。护措施。安全区安全区应该部署安全审计措施,如应该部署安全审计措施,如IDSIDS等。等。安全区安全区必须采取防恶意代码措施。必须采取防恶意代码措施。对安全区对安全区不做详细要求。不做详细要求。其它安全措施其它安全措施防病毒措施:防病毒措施:病毒防护是调度系统与网络必须的安全病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区措施。建议病毒的防护应该覆盖所有安全区I I、I
38、III、IIIIII的主机与工作站。病毒特征码要求必须以离线的的主机与工作站。病毒特征码要求必须以离线的方式及时更新。方式及时更新。应当及时更新特征码,查看查杀记录。应当及时更新特征码,查看查杀记录。禁止生产控制大区与管理信息大区共用一套防恶意代禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。码管理服务器。入侵检测入侵检测入侵检测入侵检测 IDSIDSIDSIDS:对于生产控制大区统一部署一套内网对于生产控制大区统一部署一套内网审计系统或入侵检测系统(审计系统或入侵检测系统(IDSIDS),其安全策略的设),其安全策略的设置重在捕获网络异常行为、分析潜在威胁以及事后安置重在捕获网络
39、异常行为、分析潜在威胁以及事后安全审计,不宜使用实时阻断功能。禁止使用入侵检测全审计,不宜使用实时阻断功能。禁止使用入侵检测与防火墙的联动。考虑到调度业务的可靠性,采用基与防火墙的联动。考虑到调度业务的可靠性,采用基于网络的入侵检测系统(于网络的入侵检测系统(NIDSNIDS),其),其 IDS IDS 探头主要探头主要部署在:横向、纵向边界以及重要系统的关键应用网部署在:横向、纵向边界以及重要系统的关键应用网段。段。其它安全措施其它安全措施使用安全加固的操作系统:使用安全加固的操作系统:能量管理系统能量管理系统 SCADA/EMSSCADA/EMS、变电站自动化系统、电厂、变电站自动化系统、
40、电厂监控系统、配电网自动化系统、电力市场运营系统等监控系统、配电网自动化系统、电力市场运营系统等关键应用系统的主服务器,以及网络边界处的通信网关键应用系统的主服务器,以及网络边界处的通信网关、关、Web Web 服务器等,应该使用安全加固的操作系统。服务器等,应该使用安全加固的操作系统。主机加固方式包括:安全配置、安全补丁、采用专用主机加固方式包括:安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应软件强化操作系统访问控制能力、以及配置安全的应用程序。用程序。关键应用系统采用电力调度数字证书:关键应用系统采用电力调度数字证书:能量管理系统、厂站端生产控制系统、电能量计量
41、系能量管理系统、厂站端生产控制系统、电能量计量系统及电力市场运营系统等业务系统,应当逐步采用电统及电力市场运营系统等业务系统,应当逐步采用电力调度数字证书,对用户登录本地操作系统、访问系力调度数字证书,对用户登录本地操作系统、访问系统资源等操作进行身份认证,根据身份与权限进行访统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。问控制,并且对操作行为进行安全审计。其它安全措施其它安全措施远程拨号访问的防护策略:远程拨号访问的防护策略:通过远程拨号访问生产通过远程拨号访问生产控制大区时,要求远方用户使用安全加固的操作系统控制大区时,要求远方用户使用安全加固的操作系统
42、平台,结合调度数字证书技术,进行登录认证和访问平台,结合调度数字证书技术,进行登录认证和访问认证。认证。对于远程用户登录到本地系统中的操作行为,应该进对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。行严格的安全审计。安全审计:安全审计:生产控制大区应当具备安全审计功能,可生产控制大区应当具备安全审计功能,可对网络运行日志、操作系统运行日志、数据库访问日对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及行集中收集、自动分析,及时发现各种违规行为以及
43、病毒和黑客的攻击行为。病毒和黑客的攻击行为。2024年4月17日北京科东电力控制系统有限责任公司37其它安全措施其它安全措施数据与系统备份数据与系统备份对关键应用的数据与应用系统进行备份,确保数据对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用损坏、系统崩溃情况下快速恢复数据与系统的可用性。性。设备备用设备备用对关键主机设备、网络的设备与部件进行相应的热对关键主机设备、网络的设备与部件进行相应的热备份与冷备份,避免单点故障影响系统可靠性。备份与冷备份,避免单点故障影响系统可靠性。异地容灾异地容灾对实时控制系统、电力市场交易系统,在具备条件对实时控制系统、
44、电力市场交易系统,在具备条件的前提下进行异地的数据与系统备份,提供系统级的前提下进行异地的数据与系统备份,提供系统级容灾功能,保证在规模灾难情况下,保持系统业务容灾功能,保证在规模灾难情况下,保持系统业务的连续性的连续性。其它安全措施其它安全措施安全评估技术:安全评估技术:所有系统均需进行投运前的及所有系统均需进行投运前的及运行期间的定期评估。已投运的系统要求进行运行期间的定期评估。已投运的系统要求进行安全评估,新建设的系统必须经过安全评估合安全评估,新建设的系统必须经过安全评估合格后方可投运格后方可投运,运行期间的定期评估运行期间的定期评估.有的变电站具有电有的变电站具有电力数据通信网力数据
45、通信网SPTnet和生产管理和生产管理系统系统MIS系统,属于系统,属于安全区安全区、的子系的子系统。统。对于分层分布式的对于分层分布式的变电站自动化系统,变电站自动化系统,由于其核心部分(测由于其核心部分(测控单元)是利用串行控单元)是利用串行非网络通信传递数据,非网络通信传递数据,与站控层局域网是通与站控层局域网是通过中间层前置单元在过中间层前置单元在逻辑上进行隔离的,逻辑上进行隔离的,可以认为无安全风险。可以认为无安全风险。纵纵向向网网络络边边界界的的安安全全防护措施:防护措施:对对外外通通信信网网关关必必须须通通过过具具备备逻逻辑辑隔隔离离功功能能的接入交换机接入的接入交换机接入部部署
46、署IPIP认认证证加加密密装装置置(位位于于SPDnetSPDnet的的实实时时VPNVPN与接入交换机之间)与接入交换机之间)横横向向网网络络边边界界的的安安全防护措施:全防护措施:对对内内网网关关必必须须通通过过具具备备逻逻辑辑隔隔离离功功能能的的区区内内交交换换机机接接入入(若若交交换换机机不不具具备备逻逻辑辑隔隔离离功功能能时时,建建议议部部署署硬硬件防火墙)件防火墙);安安全全区区与与安安全全区区之之间间必必须须部部署署硬硬件件防防火火墙墙(经经有有关关部部门门认认定核准)定核准)。安安 全全 管管 理理国家电力监管委员会负责电力二次系统安全防国家电力监管委员会负责电力二次系统安全防
47、护的监管,制定电力二次系统安全防护技术规护的监管,制定电力二次系统安全防护技术规范并监督实施。范并监督实施。电力企业应当按照电力企业应当按照“谁主管谁负责,谁运营谁谁主管谁负责,谁运营谁负责负责”,的原则,建立健全电力二次系统安全,的原则,建立健全电力二次系统安全管理制度,将电力二次系统安全防护工作及其管理制度,将电力二次系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分信息报送纳入日常安全生产管理体系,落实分级负责的责任制。级负责的责任制。电力调度机构负责直接调度范围内的下一级电电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂输变电部分的二力调度机构、变电站、发电
48、厂输变电部分的二次系统安全防护的技术监督,发电厂内其他二次系统安全防护的技术监督,发电厂内其他二次系统可由其上级主管单位实施技术监督。次系统可由其上级主管单位实施技术监督。安安 全全 管管 理理建立电力二次系统安全评估制度,采取以自评建立电力二次系统安全评估制度,采取以自评估为主、联合评估为辅的方式,将电力二次系估为主、联合评估为辅的方式,将电力二次系统安全评估纳入电力系统安全评价体系。统安全评估纳入电力系统安全评价体系。对生产控制大区安全评估的所有记录、数据、对生产控制大区安全评估的所有记录、数据、结果等,应按国家有关要求做好保密工作。结果等,应按国家有关要求做好保密工作。建立健全电力二次系
49、统安全的联合防护和应急建立健全电力二次系统安全的联合防护和应急机制,制定应急预案。电力调度机构负责统一机制,制定应急预案。电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。指挥调度范围内的电力二次系统安全应急处理。当电力生产控制大区出现安全事件,尤其是遭当电力生产控制大区出现安全事件,尤其是遭受黑客或恶意代码的攻击时,应当立即向其上受黑客或恶意代码的攻击时,应当立即向其上级电力调度机构报告,并联合采取紧急防护措级电力调度机构报告,并联合采取紧急防护措施,防止事件扩大,同时注意保护现场,以便施,防止事件扩大,同时注意保护现场,以便进行调查取证。进行调查取证。安安 全全 管管 理理电力
50、二次系统相关设备及系统的开发单位、供应商应电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证其所提供的设备及以合同条款或保密协议的方式保证其所提供的设备及系统符合本规定的要求,并在设备及系统的生命周期系统符合本规定的要求,并在设备及系统的生命周期内对此负责。电力二次系统专用安全产品的开发内对此负责。电力二次系统专用安全产品的开发单位、使用单位及供应商,应当按国家有关要求做好单位、使用单位及供应商,应当按国家有关要求做好保密工作,禁止关键技术和设备的扩散。保密工作,禁止关键技术和设备的扩散。电力调度机构、发电厂、变电站等运行单位的电力二电力调度机构、发电厂、变电站等运行
版权声明:以上文章中所选用的图片及文字来源于网络以及用户投稿,由于未联系到知识产权人或未发现有关知识产权的登记,如有知识产权人并不愿意我们使用,如有侵权请立即联系:2622162128@qq.com ,我们立即下架或删除。
Copyright© 2022-2024 www.wodocx.com ,All Rights Reserved |陕ICP备19002583号-1
陕公网安备 61072602000132号 违法和不良信息举报:0916-4228922