电力二次系统安全防护介绍.ppt

1、电力二次系统安全防护电力二次系统安全防护总体技术介绍总体技术介绍1、安全防护方案通讯服务器通讯服务器发电发电发电发电用电用电用电用电输电输电输电输电变电变电变电变电配电配电配电配电RTURTURTURTURTURTU数据采集和传输数据采集和传输应用服务器应用服务器应用服务器应用服务器电电电电 网网网网 调调调调 度度度度电力二次系统示意图电力二次系统安全隐患分析一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时，在没有进行有效安全防护的情况下与外网互连。数据网络时，在没有进行有效安全防护的情况下与外网互连。电力

2、监控系统和数据网络本身缺乏必要的安全防护措施。电力监控系统和数据网络本身缺乏必要的安全防护措施。存在直接进入设备系统机房，或采用线路搭结手段，进入计算机监控系存在直接进入设备系统机房，或采用线路搭结手段，进入计算机监控系统的可能性。统的可能性。存在不安全拨号等后门。存在不安全拨号等后门。对自动化设备的研发和生产过程缺乏有效的安全管理方法。对自动化设备的研发和生产过程缺乏有效的安全管理方法。管理及运行人员缺乏必要的经验和安全意识。管理及运行人员缺乏必要的经验和安全意识。电力二次系统安全防护相关法规 为了贯彻落实国家电力监管委员会第为了贯彻落实国家电力监管委员会第5 5号令号令电力二次系统安全防护

3、规定电力二次系统安全防护规定（简称（简称5 5号令号令）和原国家经贸委和原国家经贸委20022002第第3030号令号令电网和电厂计算机监控系统及调度数据网络安全防护的规定电网和电厂计算机监控系统及调度数据网络安全防护的规定（简称（简称3030号令号令），构建电力二次系统安全防护体系，保障电力二次系统的安全，从而保障电），构建电力二次系统安全防护体系，保障电力二次系统的安全，从而保障电力系统的安全稳定运行，制定电力二次安全防护方案。力系统的安全稳定运行，制定电力二次安全防护方案。4、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络

4、专用1、安全分区1234“十六字原则示意图”横向与纵向防护结构 上级调度上级调度/控制中心控制中心下级调度下级调度/控制中心控制中心上级信息中心上级信息中心下级信息中心下级信息中心实时VPN SPDnet 非实时VPNIP认证加密装置安全区安全区I(实时控制区实时控制区)安全区安全区II(非控制生产区非控制生产区)安全区安全区III(生产管理区生产管理区)安全区安全区IV(管理信息区管理信息区)外部公共因特网生产VPN SPTnet 管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区安全区I(实时控制区实时控制区)逻辑隔离安全区安全区II(非控制生产区非控

5、制生产区)安全区安全区III(生产管理区生产管理区)防火墙 防火墙安全区安全区IV(管理信息区管理信息区)专线 逻辑隔离 防火墙 防火墙PSTN移动用户拨号网关PSTN移动用户拨号网关正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置远动通信安全网关1234调度安全防护总体结构示意图220kV及以上变电站二次系统安全防护示意图 配电二次系统安全防护示意图 2、相关的安全防护设备2.1、横向安全隔离安全隔离原理 安全隔离设备，也称为“网闸”，其原理是模拟人工的数据“拷贝”，不建立两个网络的“物理通路”，所以网闸是把应用的数据“剥离”，摆渡到另外一方后，再通过正常的通

6、讯方式送到目的地，因此从安全的角度，网闸摆渡的数据中格式信息越少越好，当然是没有任何格式的原始数据就更好了，因为没有格式信息的文本就没有办法隐藏其他的非数据的东西，减少了携带非法信息的可能性。硬件物理层硬件物理层驱动程序层驱动程序层应用程序层应用程序层硬件物理层硬件物理层驱动程序层驱动程序层应用程序层应用程序层内网内网外网外网应用数据应用数据安全隔离概念 1.可以阻断网络直接连接，两个网络不同时连接在设备上；可以阻断网络直接连接，两个网络不同时连接在设备上；2.可以阻断网络逻辑连接，即可以阻断网络逻辑连接，即TCP/IP必须被剥离，将原始数据必须被剥离，将原始数据非网方式传送；非网方式传送；3

7、.隔离传输机制具有不可编程性；隔离传输机制具有不可编程性；4.任何数据都是通过两级代理方式完成；任何数据都是通过两级代理方式完成；5.具备对数据的审查功能，数据不具有攻击及有害的特性；具备对数据的审查功能，数据不具有攻击及有害的特性；6.具有强大的管理与控制功能；具有强大的管理与控制功能；电监会技术要求 根据国家电监会根据国家电监会5 5号令号令电力二次系统安全防护规定电力二次系统安全防护规定的要求的要求,安全安全隔离设备技术要求如下：隔离设备技术要求如下：1)实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；2)表示层与应用层数据完全单向传输，即

8、从安全区III到安全区I/II的TCP应答禁止携带应用数据；3)透明工作方式：虚拟主机IP地址、隐藏MAC地址；4)基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；5)支持NAT；6)防止穿透性TCP联接：隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。7)具有可定制的应用层解析功能，支持应用层特殊标记识别；8)安全、方便的维护管理方式双机非网结构内网内网外网外网内网分区内网分区外网分区外网分区安全隔离分区安全隔离分区非网通信非网通信两级代理方式网卡设备驱动读取、写入链路数据包防火墙模拟TCP/UDP模块（连接终止）安全隔离区链接网卡设备驱动读取、写

9、入链路数据包防火墙模拟TCP/UDP模块（连接发起）链接 n 链接内网 允许发起连接外网 不允许发起连接链接 n 典型连接方式I I区区 SCADASCADAIIIIII区区 MISMIS正向隔离装置正向隔离装置1 1正向隔离装置正向隔离装置2 2I#I#网网II#II#网网I#I#网网II#II#网网正向隔离装置管理信息大区管理信息大区管理信息大区管理信息大区隔离装置隔离装置隔离装置隔离装置生产控制大区生产控制大区生产控制大区生产控制大区 完全单向通讯方式（完全单向通讯方式（UDPUDP）；）；单向数据单向数据1Bit1Bit返回方式（返回方式（TCPTCP）；）；反向隔离装置管理信息大区管

10、理信息大区管理信息大区管理信息大区隔离装置隔离装置隔离装置隔离装置生产控制大区生产控制大区生产控制大区生产控制大区反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，集反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。有效性检查等处理后，转发给生产控制大区内部的接收程序。2.2、纵向加密认证基本要求 按照按照电力系统专用纵向加密认证装置技术规范电力系统专用纵向加密认证装置技术规范的要求设

11、计与研制。的要求设计与研制。位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，为电力通位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，为电力通信提供安全可靠的服务：信提供安全可靠的服务：1.1.用于生产控制区的广域网边界防护，在为本地提供一个网络屏障同时为上下级用于生产控制区的广域网边界防护，在为本地提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。整性保护。2.2.重点保护电力实时闭环监控系统及调度数据网络的安全，禁止外部非授权用户重点保护电力实时

12、闭环监控系统及调度数据网络的安全，禁止外部非授权用户的非法进入，防止从网络传输平台引入的攻击和破坏造成的的电力系统事故。的非法进入，防止从网络传输平台引入的攻击和破坏造成的的电力系统事故。纵向加密认证装置SPDnet MPLS VPN接入交换机SCADA服务器调度员网关机接入交换机网关机当地监控服务器间隔单元执行装置人机工作站厂站自动化系统调度自动化系统网络层应用层，服务传输层+应用层最终用户当地认证56所30所数据所纵向加密认证装置电科院南自院典型部署2.3、远程接入防护传统远程维护的安全隐患 在电力监控系统中通常是采用Modem实现远程维护功能，这种访问方式存在非常大的安全隐患，主要如下：

13、系统维护人员的安全意识不够，维护口令采用原厂家默认口令且长期不变，容易造成泄漏维护口令等敏感信息导致执行非授权的操作；在系统拨号维护期间采用明文进行传输，非法入侵者容易对电力监控系统发送非法控制命令，导致电力系统事故；没有对远程维护人员进行身份认证、操作过程等进行详细记录，出现问题时难以进行审计。通过远程拨号访问生产控制大区，要求远方用户使用安全加固的操作系统平台，结合数字证书技术，进行登录认证和访问认证。对于通过拨号服务器(RAS)访问本地网络与系统的远程拨号访问的方式，应当采用网络层保护,应用 VPN 技术建立加密通道。对于以远方终端直接拨号访问的方式，应当采用链路层保护，使用专用的链路加

14、密设备。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。出自电监安全（2006）34号 附件1：电力二次系统安全防护总体防护方案安全防护方案中对拨号接入的要求产品特点 HR FW-3000V电力系统专用远程拨号安全服务器是根据国家电力二次系统安全防护要求，针对远程拨号接入而设计的。装置采用工业级硬件、调度数字证书身份认证、防火墙、VPN等安全技术，对接入用户进行认证，对传输的信息进行加密和数字签名，对接入的用户访问的范围和资源进行限制，通过审计日志对其访问进行记录，以提高安全防护强度，保证拨号操作的安全性和可追查性。使用场合2.4、公网安全防护目前使用公网通信的系统“公网”由于

15、其具备覆盖范围或建设与运行成本低等特点，在电力系统主要有如下应用：序号主站 公网使用方式子站系统1地调及以上调度自动化系统卫星网络应急通信220KV及以上变电站RTU或综自系统2地调及以上调度电能量采集系统电话拨号备用通道220KV及以上变电站电量采集子站3地调及以上调度保护及故障信息采集系统电话拨号备用通道220KV及以上变电站保护信息子站4部分县调及地调系统GPRS/CDMA主通道35Kv变电站RTU5部分县调及地调系统GPRS/CDMA主通道小水电数据采集系统6配电及用电网管理系统GPRS/CDMA主通道配电终端公网通信的安全风险 公网是基于IP的骨干网，而目前许多黑客都对TCP/IP协

16、议非常熟悉，这就使得它更容易受到攻击。公网可能面临的攻击如下：黑客：是指试图从外部IP网络（如Internet）侵入到公网的人，他们的目的是破坏公网或者窃取信息以显示他们的能力，也有的是为了出卖信息来赚钱。管理人员：应确保公网网络管理人员对系统不造成任何危害，对他们访问内部网络的权限要加以限制。服务提供商：大多数服务提供商都不是有意的破坏公网，但是由于疏于软件更新或其它类似的情况都会对网络造成威胁。公网安全防护策略 电力系统公网数据通信安全防护项目电力系统公网数据通信安全防护项目实现实现“网络隔离、身份认证、网络隔离、身份认证、传输加密、权限受控传输加密、权限受控”的措施来进行安全防护：的措施

17、来进行安全防护：1)1)将电力系统内网与传输远动数据的公网进行网络隔离将电力系统内网与传输远动数据的公网进行网络隔离2)2)在远动通信通道建立的过程中进行基于调度数字证书的身份验证在远动通信通道建立的过程中进行基于调度数字证书的身份验证3)3)所有通信数据采用密文传输，保证数据的机密性、完整性、不可否认性所有通信数据采用密文传输，保证数据的机密性、完整性、不可否认性4)4)对传输数据的相关权限可以根据策略进行控制对传输数据的相关权限可以根据策略进行控制 产品采用“双机非网”的结构模式，“内网主机”与内网（安全区I、II）以网络或串口的方式连接，“外网主机”与公网以网络连接，“内网主机”与“外网

18、主机”以高速串口结合非网络协议方式连接，从而达到既能保证应用程序之间进行双向数据通信，又能保证网络层面公网与内网之间网络隔离。产品基本结构项目专利成果电网应急通信系统应用电厂数据接入应用实际接入现场情况序号序号使用单位使用单位数量数量1 1贵港供电局贵港供电局17172 2云南文山供电局云南文山供电局1 13 3广东电力通信广东电力通信11114 4韶关供电局韶关供电局2 25 5东莞供电局东莞供电局2 26 6凯里供电局凯里供电局2 27 7东方二电厂东方二电厂1 18 8北京燕山石化分公司北京燕山石化分公司3 39 9广西玉林供电局广西玉林供电局4 41010广西河池供电局广西河池供电局2

19、0201111甘肃嘉峪关供电局甘肃嘉峪关供电局40403.5、更高安全等级的单向隔离防护单向技术的发展趋势单向技术的发展趋势数据泵单向技术数据泵单向技术 数据泵技术也称为数据泵技术也称为“安全存储转发技术安全存储转发技术”。它是在基于通讯的基础上，只允。它是在基于通讯的基础上，只允许单方向传送数据，反方向只有控制信息的可以通过，比如数据的收到确认、差许单方向传送数据，反方向只有控制信息的可以通过，比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。数据泵技术中虽然数据是单方向的，但协议控制信息是双方向

20、传递的，若协数据泵技术中虽然数据是单方向的，但协议控制信息是双方向传递的，若协议本身存在漏洞，则有可能利用协议的漏洞达到反向发送数据的可能。（议本身存在漏洞，则有可能利用协议的漏洞达到反向发送数据的可能。（4 4字节是字节是指反向控制信息，存在漏洞，因此现在升级为指反向控制信息，存在漏洞，因此现在升级为1 1比特，出现漏洞的可能性大大降低，比特，出现漏洞的可能性大大降低，但还是有可能性（但还是有可能性（1 1比特反向通道客观存在比特反向通道客观存在）单向二极管技术单向二极管技术 数据二极管技术：若连反向的控制协议也取消，采用数据二极管技术：若连反向的控制协议也取消，采用“盲发盲发”的方式，也就

21、是一方只管发送，另一方只管接收，至于数据是否有错误，的方式，也就是一方只管发送，另一方只管接收，至于数据是否有错误，是否完整都不去管它，反向没有数据通道也没有控制通道，完全处于盲是否完整都不去管它，反向没有数据通道也没有控制通道，完全处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路，所状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路，所以也称为信息流的单向技术。以也称为信息流的单向技术。错误处理措施：错误处理措施：1.1.发送方增加冗余校验发送方增加冗余校验 2.2.出现不能恢复的错误通过其它途径（人工或反向装置处理）出现不能恢复的错误通过其它途径（人工或反向装置处理

22、）单向技术在国外的情况单向技术在国外的情况 数据二极管技术的产品化，国外已经趋于成熟，比较出名的有美国数据二极管技术的产品化，国外已经趋于成熟，比较出名的有美国OwlOwl公司，荷兰公司，荷兰Fox-ITFox-IT公司，公司，澳大利亚澳大利亚TenixTenix公司。公司。例如从例如从owlowl公司产品介绍来看，其是以生产的硬件单向光纤网卡为基础而形成了一系列的配套公司产品介绍来看，其是以生产的硬件单向光纤网卡为基础而形成了一系列的配套软件产品，其关键是进行了两次单向隔离处理；软件产品，其关键是进行了两次单向隔离处理；1.1.Owl Communication CardsOwl Commu

23、nication Cards2.2.Products OverviewProducts Overview3.3.Directory File Transfer SystemDirectory File Transfer System4.4.Owl ScanFile Management SystemOwl ScanFile Management System5.5.UDP Packet Transfer SystemUDP Packet Transfer System6.6.TCP Packet Transfer SystemTCP Packet Transfer System7.7.Secu

24、re Network Packet Transfer SystemSecure Network Packet Transfer System8.8.Remote File Transfer ServiceRemote File Transfer Service9.9.Owl Release Management SystemOwl Release Management System10.10.Owl TSABI OWT SystemOwl TSABI OWT System单向千兆隔离装置情况单向千兆隔离装置情况 珠海鸿瑞研制的网络隔离装置（单向型）采用基于多模光纤的单向光接口技术，与国外的单向

25、珠海鸿瑞研制的网络隔离装置（单向型）采用基于多模光纤的单向光接口技术，与国外的单向二极管技术相似，主二极管技术相似，主CPUCPU采用国产龙芯采用国产龙芯2F,2F,网络平均带宽网络平均带宽300Mbps300Mbps，速度是百兆装置的，速度是百兆装置的6 6倍倍安全区I、II安全区III内网主机外网主机单向光纤非网通信3.6、电力系统专用安全网管对电力应用系统多层次统一集中监测对电力应用系统多层次统一集中监测HR NM-3000HR NM-3000电力系统安全网管装置可以对主机设备、网络设备、电力系统安全网管装置可以对主机设备、网络设备、存储与备份系统、数据库、中间件、业务应用系统等实现统一

26、监管和集存储与备份系统、数据库、中间件、业务应用系统等实现统一监管和集中管理，对安全事件进行收集和综合分析，对电力二次系统的整体运行中管理，对安全事件进行收集和综合分析，对电力二次系统的整体运行情况图形化监视和报表呈现，对系统事件和安全事件进行及时统一报警，情况图形化监视和报表呈现，对系统事件和安全事件进行及时统一报警，降低降低ITIT管理维护的复杂性，从而达到管理维护的复杂性，从而达到“集中监管、集中管理、集中维护集中监管、集中管理、集中维护”的目标。的目标。采用安全隔离技术对各安全区进行联合监测采用安全隔离技术对各安全区进行联合监测电力二次系统中的网络监管对象广泛分布在生产控制大区和管理信

27、电力二次系统中的网络监管对象广泛分布在生产控制大区和管理信息大区，息大区，HR NM-3000HR NM-3000电力系统安全网管装置采用符合电监会标准的单电力系统安全网管装置采用符合电监会标准的单向安全隔离技术，在不改动系统网络环境的情况下，可以跨各安全区域，向安全隔离技术，在不改动系统网络环境的情况下，可以跨各安全区域，实现统一监视和集中管理。实现统一监视和集中管理。隔离技术通信架构隔离技术通信架构通过不同网络接口对电力系统各个通过不同网络接口对电力系统各个VLANVLAN进行逻辑连接采集数据进行逻辑连接采集数据,通通过内置串口对外部网络进行隔离，保证内部网络的安全性。过内置串口对外部网络

28、进行隔离，保证内部网络的安全性。通过多种方式对各种设备进行监测通过多种方式对各种设备进行监测针对电力系统中，各个应用系统接口多元化和复杂的特点，装置提供网络、RS232、RS485等接入方式，以适应各个不同环境下的应用场景。以太网口控制口转接口USB口与电力专用安全防护设备检测与联动与电力专用安全防护设备检测与联动通过采集、过滤、归并、关联分析等手段充分缩减大型信息系统中通过采集、过滤、归并、关联分析等手段充分缩减大型信息系统中海量的安全事件信息，并对安全事件进行严重性排序，优先呈现和处理海量的安全事件信息，并对安全事件进行严重性排序，优先呈现和处理严重性级别较高的安全事件，当被监视应用系统出

29、现异常时，装置可以严重性级别较高的安全事件，当被监视应用系统出现异常时，装置可以向其他电力专用安全防护设备发出指令信息，并做出联动操作，在最短向其他电力专用安全防护设备发出指令信息，并做出联动操作，在最短时间内通知管理人员处理。时间内通知管理人员处理。产品功能丰富产品功能丰富HR NM-3000HR NM-3000电力系统安全网管装置具备完整的运维管理功能，电力系统安全网管装置具备完整的运维管理功能，包括：智能网络拓扑生成，性能管理、进程管理、统一安全管理、安全包括：智能网络拓扑生成，性能管理、进程管理、统一安全管理、安全登陆管理、安全审计、关联分析、资产管理、安全事件管理、告警管理、登陆管理、安全审计、关联分析、资产管理、安全事件管理、告警管理、用户访问权限管理、报表分析等。用户访问权限管理、报表分析等。设备容易部署、系统配置灵活设备容易部署、系统配置灵活HR NM-3000电力系统安全网管装置，采用模板化配置方法对监控对象进行配置管理。对于相同功能的网络产品可以重用模板，配置更容易，方便管理，减少了重复配置工作量。为了满足电力系统复杂、大型、分层、分区管理的需求，HR NM-3000可根据用户不同的组织结构、地理分布以及业务关系，实施跨地域层次化的统一管理模式，从而使责权管理更加明确，拓扑图更加清晰，并能大幅度降低网络流量，提高系统的工作效率。谢谢 谢！谢！