火力发电厂厂级监控信息系统安全操作指南（初稿）

1、火力发电厂厂级监控信息系统安全操作指南（初稿） 1 前言 2 发电厂信息系统安全分级 3 SIS边界安全 4 SIS内网安全技术 5 机房安全 6 安全管理 7 安全评估 内容提要1 前言 发电厂网络互联、信息共享、管控一体化，网络与信 息安全问题日益突出 SIS的健康发展首先必须解决安全问题 对SIS及发电厂信息系统安全的认识还不统一 国家及电力行业关于发电厂信息安全的有关法规与标准 SIS的规划、设计、开发、实施及维护提供安全方面的指导 供大家讨论、修正2 发电厂信息系统安全分级 中华人民共和国计算机信息系统安全保护条例第九条 ：计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级

2、保护的具体办法，由公安部会同有关部门制定。 公安部组织制订的计算机信息系统安全保护等级划分准则国家标准（GB 17859-1999） 将信息系统的安全等级划分为五个级别的安全保护能力：用户自主保护级、系统审计保护级 、安全标记保护级 、结构化保护级、访问验证保护级 安全保护能力从第一级到第五级逐级加强 2 发电厂信息系统安全分级 各部门、各单位均应当使用法律和有关标准，确定其系统安全等级，制定本系统安全等级保护解决方案 建议SIS为第四级 结构化保护级。计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考

3、虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。 安全级别的确定与安全需求、安全成本、技术水平相关 2 发电厂信息系统安全分级 国家电力监管委员会：电力二次系统安全防护规定 电力二次系统，包括电力监控系统、电力通信及数据网络等。其中电力监控系统，是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。 电力二次系统安全防护

4、原则：安全分区、网络专用、横向隔离、纵向认证。安全管理：谁主管谁负责，谁运营谁负责，落实分级负责责任制。 2 发电厂信息系统安全分级 安全分区：生产控制大区和管理信息大区。生产控制大区可以分为控制区（安全区I）和非控制区（安全区）；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。 在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。 生产控制大区内部的安全区之间应当采用具有访问控制功能的设备

5、、防火墙或者相当功能的设施，实现逻辑隔离。2 发电厂信息系统安全分级2 发电厂信息系统安全分级优先级风险说明/举例0旁路控制（Bypassing Controls）入侵者向发电厂控制系统发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（Integrity Violation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（Authorization Violation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。

6、4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（Illegitimate Use）非授权使用计算机或网络资源。6信息泄漏（Information Leakage）口令、证书等敏感信息泄密。7计算机病毒（Computer Virus）破坏数据及文件，造成信息系统不能正常运行。8欺骗（Spoof）Web服务欺骗攻击；IP 欺骗攻击。9伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。10拒绝服务（Availability, e.g. Denial of Service）向通信网关发送大量雪崩数据，造成

7、拒绝服务。11窃听（Eavesdropping, e.g. Data Confidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。 发电厂信息系统面临的主要安全风险 2 发电厂信息系统安全分级 发电厂信息系统安全防护目标及重点 发电厂信息系统安全防护的重点是生产过程控制系统（PCS）。安全防护目标为： 防止通过外部边界发起的攻击和侵入，尤其是防止由攻击导致的生产过程控制系统故障，引起机组安全事故； 防止由外部及内部引入的病毒，导致网络瘫痪或数据丢失； 防止未授权用户访问系统或非法获取信息和侵入； 防止授权用户超出授权范围，越权操作； 防止重大的操

8、作失误。2 发电厂信息系统安全分级 发电厂信息系统安全防护的基本原则 系统性原则（木桶原理）； 简单性原则； 实时、连续、安全相统一的原则； 需求、风险、代价相平衡的原则； 实用与先进相结合的原则； 方便与安全相统一的原则； 全面防护、突出重点（实时闭环控制部分）的原则； 分层分区、强化边界的原则； 整体规划、分步实施的原则； 责任到人，分级管理，联合防护的原则。2 发电厂信息系统安全分级 发电厂信息系统的安全区规划 过程控制系统PCS 处于生产控制大区中的安全区。 SIS归属于生产控制大区，建议为安全区。但与安全相关的配置及管理仍建议按安全区要求进行。当SIS以网络通信方式向PCS发送控制指

9、令，实现优化控制时，二者已经相互融合，应该处于同一安全水平，即安全区。 当SIS不具备任何形式的闭环控制，此时可以将SIS规划为安全区。不排除SIS与MIS共用同一网络的可能性，但应在PCS与SIS间加装单向物理隔离装置。 MIS与Internet相连，归属于管理信息大区中的安全区 与火力发电厂厂级监控信息系统技术条件（DL/T 924-2005） 相吻合2 发电厂信息系统安全分级 发电厂信息系统安全可靠性模型 2 发电厂信息系统安全分级 发电厂信息系统安全防护措施 安全性等级较低的MIS与安全性等级较高的SIS之间采用硬件的物理隔离装置实现数据的单向传输，从技术上避免了网络黑客和计算机病毒对

10、SIS甚至PCS的破坏。 接口计算机只从PCS中读取数据，而没有数据从SIS返回PCS。必要时可以在PCS与SIS间安装防火墙或物理隔离装置（仅当SIS规划为安全区时）。 SIS的网络维护站除具有网络配置与管理功能之外，还具有病毒检测功能； 加强信息系统的安全管理。3 SIS边界安全 SIS边界 3 SIS边界安全编号名称经过的数据通信方式环境信任度I1DCS(分散控制系统)接口运行实时数据、事件记录数据串并口通信、TCP/IP、OPC等高I2辅控系统接口运行实时数据、事件记录数据OPC高I3NCS（网络控制系统）接口运行实时数据OPC高I4脱硫控制系统接口运行实时数据、事件记录数据串并口通信

11、、TCP/IP、OPC等高I5TDM（汽轮机诊断系统）接口实时数据及分析诊断数据TCP/IP中I6炉管泄漏检测系统接口实时数据及分析诊断数据TCP/IP中I7RTU接口调度数据本地局域网，TCP/IP高I8故障录波接口实时数据专用通信协议中I9GPS接口时钟数据串口或网络接口中O1与MIS（管理信息系统）的接口实时数据、SIS运算分析数据TCP/IP，通过物理隔离与镜像中O2与上级生产系统的接口实时数据、SIS运算分析数据TCP/IP，通过物理隔离与镜像低O3与其它系统（仿真、报价等）接口实时数据、SIS运算分析数据TCP/IP，通过物理隔离与镜像中O4厂级负荷分配/优化控制控制系统设定值数据

12、硬接线或与DCS通信高3 SIS边界安全 SIS与下层控制系统的连接 3 SIS边界安全 SIS与上层信息系统的连接 发电厂管理信息系统（MIS） 上级（发电集团）生产管理系统 发电厂在线仿真系统 发电厂报价系统3 SIS边界安全 SIS内网设备安全 序号设备名称数量安全措施可控性可信度1接口计算机视具体情况而定，一般510个通过防火墙与下层控制系统隔离；软件实现数据单向传输；数据缓存；受内网网管软件管理；内网统一配置防病毒、防黑客检测；放置在生产现场或SIS机房好。安装调试完毕后，不用维护管理，可脱离键盘、鼠标、显示器独立运行，无人为安全隐患高2数据库服务器1个或2个（冗余）授权使用；受内网

13、网管软件管理；内网统一配置防病毒、防黑客检测；放置在SIS机房较好。维护管理人员可操作。可能成为病毒的入口较高3功能站包括计算站、维护站等，一般25个授权使用；受内网网管软件管理；内网统一配置防病毒、防黑客检测；放置在SIS机房一般。系统开发、维护、调试人员可操作。可能成为病毒的入口一般4客户端包括值长站、操作员站等，数量应尽可能少授权使用；受内网网管软件管理；内网统一配置防病毒、防黑客检测；放置在SIS机房、运行集控室等处低。值长及相关人员可操作。可能成为病毒的入口低3 SIS边界安全 SIS内网设备安全 限制SIS内网设备数量，使每个内网设备可控在控是行之有效的安全措施之一 在内网中，最大

14、的安全隐患是SIS客户端。典型的SIS客户端如值长站、运行人员监视站、数据录入站（主要是煤质化验数据）等。SIS客户端由于安装位置分散、使用人员构成复杂，会给SIS的安全管理造成极大的压力。因此，建议尽可能少的安装SIS客户端。从目前的SIS应用水平来看，建议只配置值长、操作员（根据功能需要）及SIS机房等少量客户端。对日常化验数据，建议首先将数据统一发送给SIS录入员，然后使用单独的客户端进行录入。4 SIS内网安全技术 访问控制 入网访问控制策略 操作权限控制策略 目录安全控制策略 网络监测和锁定控制策略 客户端计算机应取消软驱、光驱，并屏蔽USB端口 SIS系统专用设备，不可与MIS系统

15、混用4 SIS内网安全技术 远程拨号访问 不易使用远程拨号访问PCS及SIS内网。 安全审计 对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理 对于确实需要远程维护的下层控制系统，如远程诊断、远程升级等，应采取身份验证等措施，规定访问时间，并确保远程访问时及访问后不留安全隐患。其访问控制策略及安全防护由下层控制系统维护管理人员负责。4 SIS内网安全技术 防病毒措施 病毒的防护应覆盖SIS内网所有的主机、功能站及客户端 入侵检测 IDS 若SIS与MIS间采用单向物理隔离装置，此时SIS网

16、络的入侵检测就不是十分必要；当采用DCS与SIS间进行单向物理隔离，SIS与MIS间安装防火墙的网络配置时，这时应在信息系统中设置入侵检测系统，保护MIS与SIS免受黑客的攻击 病毒定义代码采用手动升级方式 定期对系统中的计算机设备进行全面的病毒扫描和杀毒4 SIS内网安全技术 主机防护 安全配置 数据保护 安全可靠的数据存储方案 安全补丁 主机加固 数据备份 异地保存 数据恢复 数据访问控制4 SIS内网安全技术 防火墙 布置在安全区I与安全区II之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。在SIS与下层控制系统之间，视情况可安装防火墙 优点是技术成熟、适用性强、效率高、可选择性

17、好、使用维护方便；不足之处是不能彻底避免安全漏洞，不能防止由于应用程序安全隐患带来的问题，无法抵御通过电子邮件等途径传播病毒，对未知的攻击和病毒不能提供有效防护，不能彻底保证内部网络信息的安全，不能满足电力监控系统等核心系统或敏感信息的安全和保密需求。4 SIS内网安全技术 物理隔离装置 内部信息网络不和外部信息网络相连、从物理上断开 优点是安全强度高（绝对隔离），没有穿透性传输控制协议（TCP）链接，能真正做到防攻击、防病毒，针对性很强。缺点是通信效率受限、使用维护较复杂、必须针对具体设备专门开发和改造通信程序，在SIS与DCS间加装单向物理隔离装置后，类似OPC（OLE for Proce

18、ss Control）等标准接口将无法采用。5 机房安全 应建有专门的SIS机房，存放SIS交换机、数据库服务器、工作站、防火墙、物理隔离装置、接口计算机等SIS设备。SIS机房也可与DCS工程师间共用，或设置在电子间内，但必须统一考虑散热、空调、电源、防火等 当SIS与MIS共用同一房间时，要在房间内设置封闭的SIS机房，将SIS设备集中放置，SIS机房具有严格的管理制度 机房门禁系统 满足国家标准电子计算机房设计规范（GB50174-93）及其它相关标准的要求 机房监控摄像系统6 安全管理 中华人民共和国计算机信息系统安全保护条例 、电监会电力二次系统安全防护规定 、国家电网公司在关于加强网络与信息安全保障工作的意见 等关于网络安全管理都有明确规定 安全管理要求 谁主管谁负责，谁运营谁负责 建立电力二次系统建立健全信息安全管理责任制估制度 联合防护和应急机制 ，制定应急预案 建立健全信息安全管理责任制 6 安全管理 建立完善的安全分级负责制 本着“谁主管，谁负责”和“谁经营，谁负责”的原则，落实发电厂信息系统的安全责任。设置发电厂信息系统安全防护小组或专职人员。 组织建设 明确各级人员的安全职责 发电厂的主要负责人为该单位所管辖的信息系统安全防护第一责任人 指定专人负责管理本单位SIS系统 6 安全管理