电力二次系统安全防护及方案

1、电力二次系统安全防护方案一、 前言为认真贯彻落实国家经贸委 2002第30号令电网和电厂 计算机监控系统及调度数据网络安全防护的规定和2004年12月20日国家电力监管委员会发布 20055号令电力二次系统 安全防护规定等有关文件精神，确保我公司机组安全、优质、 稳定运行，根据全国电力二次系统安全防护总体方案，结合公司SIS系统当前的实际情况，特制定本方案。二、 电力安全防护的总体原则（一） 安全防护目标电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统

2、事故或大面积停电事故及二次 系统的崩溃或瘫痪。（二） 相关的安全防护法规1.2004年12月20日国家电力监管委员会发布 20055号 令电力二次系统安全防护规定2.2002年5月，国家经贸委发布 30号令电网和电厂计 算机监控系统及调度数据网络安全防护的规定3.2003年12月，全国电力二次系统安全防护专家组和工作组发布全国电力二次系统安全防护总体方案4. 2003年电力系统安全性评价体系5.中国国电集团公司广域网管理办法6.中国国电集团公司安全管理规范7.中国国电集团公司信息化建设和管理技术路线&中华人民共和国计算机信息系统安全保护条例9.计算机信息系统安全保护等级划分准则(三)电力二次系

3、统安全防护策略电力二次系统安全防护总体框架要求电厂二次系统的安全 防护技术方案必须按照国家经贸委 2002第30号令电网和电 厂计算机监控系统及调度数据网络安全防护的规定和国家电力监管委员会2005第5号令电力二次系统安全防护规定进行设计。同时，要严格遵循集团公司颁布的中国国电集团公司信 息化建设和管理技术路线中对电力二次系统安全防护技术方案 的相关技术要求。1.安全防护的基本原则(1) 系统性原则(木桶原理)；(2) 简单性和可靠性原则；(3) 实时、连续、安全相统一的原则；(4) 需求、风险、代价相平衡的原则；(5) 实用性与先进性相结合的原则；(6) 方便性与安全性相统一的原则；(7)

4、全面防护、突出重点的原则；(8) 分层分区、强化边界的原则；(9) 整体规划、分布实施的原则；(10) 责任到人，分级管理，联合防护的原则。2.安全策略安全策略是安全防护体系的核心，是安全工程的中心。安全策略可以分为总体策略、面向每个安全目标的具体策略两个层 次。策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全技术体系与管理体系的依据。电力二次系统的安全防护策略为：(1) 安全分区：根据系统中各业务的重要性和对一次系统 的影响程度划分为四个安全区： 控制区I、生产区H、管理区川、 信息区W,所有系统都必须置于相应的安全区内。(2) 网络专用：建立专用电力调度数据网

5、络，与电力企业 数据网络实现物理隔离，在调度数据网上形成相互逻辑隔离的实 时子网和非实时子网，避免安全区纵向交叉连接。(3) 横向隔离：采用不同强度的安全设备隔离各安全区， 尤其是在生产控制大区与管理信息大区之间实行有效安全隔离， 隔离强度应接近或达到物理隔离。(4) 纵向认证：采用认证、加密、访问控制等技术实现生 产控制数据的远程安全传输以及纵向边界的安全防护。3.电力二次系统的安全区划分根据电力二次系统的特点，各相关业务系统的重要程度和数 据流程、目前状况和安全要求， 将整个电力二次系统分为四个安 全区：I实时控制区、非控制生产区、川生产管理区、IV管理信息区。其中，I区和II区组成生产控

6、制大区，川区和IV区组成管理信息大区。不同的安全区确定了不同的安全防护要求， 从而决定了不同 的安全等级和防护水平。 其中安全区I的安全等级最高， 安全区 H次之，其余依次类推。在各安全区之间，均需选择适当的经国家有关部门认证的隔 离装置。生产控制大区与管理信息大区之间必须采用经国调中心 认可的电力专用安全隔离装置。在安全区中内部局域网与外部边界通信网络之间应采用功 能上相当于通信网关或强于通信网关的内外网的隔离装置。4.业务系统或功能模块置于安全区的规则根据该系统的实时性、使用者、功能、场所、在各业务系统 的相互关系、广域网通信的方式以及受到攻击之后所产生的影 响，将其分置于四个安全区之中。

7、实时控制系统或未来可能有实时控制功能的系统需置于安 全区I。如：机组监控系统，实时性很强。用于在线控制，所以 置于安全区I。电力二次系统中不允许把本属于高安全区的业务系统迁移 到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员使用某些业务系统的次要功能与根据主要功能所选定的安全区 不一致时，可根据业务系统的数据流程将不同的功能模块（或子系统）分置于各安全区中，各功能模块（或子系统）经过安全区 之间的通信来构成整个业务系统。自我圭寸闭的业务系统为孤立业务系统，其划分规则不作要 求，但需遵守所在安全区的安全防护规定。各电力二次系统原则上均应划分为四安全区，但并非

8、四安全区都必须存在。某安全区不存在的条件是其本身不存在该安全区 的业务，且与其它电网二次系统在该层安全区不存在“纵”向互联。如果省略某安全区而导致上下级安全区的纵向交叉，则必须保留安全区间的隔离设备，以保障安全防护体系的完整性。5.安全区之间的横向隔离要求在各安全区之间均需选择适当安全强度的隔离装置，尤其在生产控制大区和管理信息大区之间要选择使用达到或接近物理 强度的专用隔离装置。具体隔离装置的选择不仅需要考虑网络安 全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。三、实施方案（一）系统安全区规划现场生产控制系统（包括DCS辅控系统、RTU省调系

9、统）， SIS系统，MIS系统。根据电力二次安全防护方案第七稿的要求，现有的业务系统中，机组DCS系统、其他辅控系统及 RTU应属于安全区I和安全区II , SIS系统应属于安全区III （备注： 电厂在前期规划中将 SIS系统严格定位至安全区III ，从网络方 面按照国家对安全区III的相关规定进行规划实施，并且其系统功能方面也完全符合安全III区的定位，即“ SIS系统实现电力调度生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度中心或控制中心工作人员的桌面终 端直接相关，与安全区IV的办公自动化系统关系密切。 ”，MIS 系统应属于安全区IV。根据国家二次防护

10、规定，本厂级实时管理信息系统（SIS）在实施过程中安全防护要求及措施如下：该项目所连接现场控制系统，包括主机分散控制系统（DCS、化水程控系统、输煤程控系统、除灰程控系统和除渣控制系统， 属于安全区I，还有RTU系统和省调系统，属于安全区II，都属于生产控制大网的范畴。 这些系统与SIS系统数据传输按照国家 安全防护规定必须采用经有关部门认定核准的专用安全隔离装 置。本项目在现场生产控制系统与SIS服务器之间安置了经国家相关部门认证的电力系统专用网络隔离装置正向型（珠海鸿瑞 Hrwall-85M-ll ），确保现场数据采集完全单向传输，保证了生产控制大网的安全性。本项目还连接了同属于管理信息大

11、网的MIS系统（安全区IV），按照国家安全防护的规定，本系统与MIS系统之间安置了防火墙以保证各自系统的安全性。本项目安全防护规划示意图：（见附图二）（二）项目实施介绍在项目的规划和实施过程中， 我公司始终遵循国家对电力二 次系统安全防护的规定并明确本项目系统在电厂信息自动化系 统中所处位置，配置五台得到国家相关部门认证的正向隔离装置 用于安全区I川 到安全区III之间，确保数据单向传递，对数 据传递的稳定性、完整性、实时性提供了保证，详见附图三。四、隔离装置安全性能说明（一） 正向装置对通信程序的限制根据国调对隔离装置的要求，其通信功能如下：1. 由内到外的完全单向模式，UDP协议，外网不能

12、返回任 何数据。2. 由内到外的单向数据模式，TCP协议，外网可以返回（按 国调要求）小于4字节的应用层应答数据（并被限制不可重新组 成大包）。3.安全、方便的维护管理方式：基于证书的管理人员认证， 图形化的管理界面。（二） 正向隔离装置功能安全隔离装置（正向）具有如下功能：1.实现两个安全区之间的非网络方式的安全的数据交换， 并且保证安全隔离装置内外两个处理系统不同时连通；2. 表示层与应用层数据完全单向传输，即从安全区III到 安全区1/11的TCP应答禁止携带应用数据；3.透明工作方式：虚拟主机 IP地址、隐藏 MAC地址；4 .基于 MAC IP、传输协议、传输端口以及通信方向的综 合

13、报文过滤与访问控制；5.支持NAT6.防止穿透性 TCP联接：禁止两个应用网关之间直接建立TCP联接，将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。7 .具有可定制的应用层解析功能，支持应用层特殊标记识 别；（三） 装置安全保障要点专用安全隔离装置本身应该具有较高的安全防护能力，其安全性要求主要包括：1.采用非INTEL指令系统的（及兼容）微处理器；2.安全、固化的的操作系统；3.不存在设计与实现上的安全漏洞；4.抵御除DoS以外的已知的网络攻击。（四） 设计标准装置采用

14、网络隔离设备及防火墙等技术，属于结合型专用安全隔离产品，参考标准如下：1 .中华人民共和国国家标准GB/T 18020-19992.信息技术应用级防火墙安全技术要求3. 中华人民共和国国家标准GB/T 17900-19994.网络代理服务器的安全技术要求5. 中华人民共和国国家标准GB/T 18019-19996.信息技术包过滤防火墙安全技术要求7.中华人民共和国公共安全行业标准&网络隔离设备的安全技术要求（五）安全策略定位1.监控系统的网络安全屏障一个网络隔离装置（作为阻塞点、控制点）能极大地提高一个监控系统的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网

15、络隔离装置，所以网络环境变得更安全。如网络隔离装置可以禁止诸如众所周知的不 安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利 用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网络免受基于路由的攻击， 如IP选项中的源路由攻击和ICMP重 定向中的重定向路径。网络隔离装置应该可以拒绝所有以上类型 攻击的报文并通知网络隔离装置管理员。2.简化网络安全策略，无需修改双端程序通过以网络隔离装置为中心的安全方案配置，能将所有安全策略配置在网络隔离装置上。 与将网络安全问题分散到各个主机 上相比，网络隔离装置的集中安全管理更方便可靠。例如在网络访问时，监控系统通过加密口令 /身份认证方式

16、与其它信息系统 通信，在电力监控系统基本上不可行，它意味监控系统要重新测试，因此用网络隔离装置集中控制，无需修改双端应用程序是最佳的选择。3.对网络存取和访问进行监控如果所有的访问都经过网络隔离装置，那么，网络隔离装置就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，网络隔离装置能进行适当的 报警，并提供网络是否受到监测和攻击的详细信息。4.防止监控系统信息外泄，不为外部攻击创造条件通过网络隔离装置对监控系统及其它信息系统的划分，实现监控系统重点网段的隔离， 一个监控系统中不引人注意的细节可 能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了监控系统的某些安全漏洞。 使用网络隔离装置就可以隐蔽 那些透漏内部细节，例如网络隔离装置可以进行网络地址转换(NAT,这样一台主机IP地址就不会被外界所了解，不会为外 部攻击创造条件。附图一：二次系统安全部署图安全区I火电厂PMU1安全区II1安全区III11111-11专用 安全 隔离 装置 正向安全区IV保护调度中儿防火电气控制安控机组单元控制电量计量终端MIS市场报价终端OA网控故障录波装置防火墙发电数据网或时子网