电力二次系统安全防护培训课件

电力二次系统安全防护培训此处添加副标题内容电力二次系统安全防护培训电力二次系统安全防护培训此处添加副标题内容电力二次系统安全防护培训

2014年12月团结电力二次系统安全防护培训此处添加副标题内容电力二次系统安全防1电力二次系统安全防护培训

2014年12月电力二次系统安全防护培训

2014年12月2引言电力二次系统为什么要重视安全防护？引言电力二次系统为什么要重视安全防护？3银行系统的安全防护银行系统的安全防护4优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（IntegrityViolation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（AuthorizationViolation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability,e.g.DoS）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping,e.g.DataConfidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。二次系统主要安全风险优先级风险说明/举例0旁路控制入侵者对发电厂、变电站发送非法5二次安防实施背景

电网控制设备故障可能引发或扩大电网事故重大停电故障200020012002200320042005200620072008200920102011年信息安全事件2000年10月13日二滩电站收外网信号突甩出力89万千瓦2001年10月1日全国146套故障录波器出现时间逻辑炸弹2003年12月30日三峡送出工程三个换流站感染病毒2008年8月奥运期间涉奥电网受到外网攻击8939次2010年9月，“震网”病毒攻击伊朗核电站设施2003年8月14日美国和加拿大停电2006年11月4日欧洲电网解列停电2007年末08年初我国南方冰雪灾害电网受损2008年5月12日我国汶川地震电网受损2009年11月1日和2011年2月4日巴西电网停电2011年3月，日本9.0级大地震引发海啸导致福岛核电危机二次安防实施背景

电网控制设备故障可能引发或扩大电网事故重大6二滩水电厂异常停机事件；故障录波装置“时间逻辑炸弹”事件；换流站控制系统感染病毒事件；电力二次系统安全事件近年世界上大停电事故反映出电力二次系统的脆弱性和重要性。二滩水电厂异常停机事件；电力二次系统安全事件近年世界上大停电7内容大纲电力调度数据网简介电力二次系统安全防护基本原则安全防护技术和装置二次安防相关文件学习电厂二次系统安全防护方案及业务接入方案内容大纲电力调度数据网简介8第一部分电力调度数据网简介第一部分9相关文件精神发改委2014年第14号令《电力行业信息系统安全定级工作指导意见》2007关于印发《电力二次系统安全防护总体方案》等安

全防护方案的通知（电监安全〔2006〕34号）相关文件精神10总体方案：主要目标电力信息系统电力调度系统出口出口调度中心电厂变电站控制系统外部因特网

建立电力二次系统安全防护体系，有效抵御黑客、恶意代码等各种形式的攻击，尤其是集团式攻击，重点是保障电力二次系统安全稳定，防止由此引起电力系统事故。总体方案：主要目标电电出出调度中心电厂变电站控制系统外部因特111)

系统性原则（木桶原理）；2)

简单性原则；3)

实时、连续、安全相统一的原则；4)

需求、风险、代价相平衡的原则；5)

实用与先进相结合的原则；6)

方便与安全相统一的原则；7)

全面防护、突出重点（实时闭环控制部分）的原则8)

分层分区、强化边界的原则；9)

整体规划、分步实施的原则；10)

责任到人，分级管理，联合防护的原则。总体方案：总体原则1)

系统性原则（木桶原理）；总体方案：总体原则12PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护检测检测反应反应策略策略PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护检测检测反应反应策略策略防火墙、防病毒、横行隔离装置、纵向加密认证装置等入侵检测、安全审计、安全综合告警等快速响应、调度系统联合防护、网络快速处理等总体方案：防护模型和技术路线综合采用通用安全技术，开发关键专用安全技术。PPolicyolicyPProtectionrotecti13电力二次系统安全防护体系

4、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区1234

在对电力二次系统进行了全面系统的安全分析基础上，提出了十六字总体安全防护策略。电力二次系统安全防护体系

4、纵向认证3、横向隔离14总体方案：安全分区总体方案：安全分区15SDH（N×2M）SDH（155M）SPTnet实时控制在线生产调度生产管理电力综合信息实时VPN非实时VPN调度VPN信息VPN语音视频VPNIP语音视频SDH/PDH传输网电力调度数据网电力企业数据网总体方案：网络专用SDH（N×2M）SDH（155M）实时在线调度生产管理电力16总体方案：横向隔离物理隔离装置（正向型/反向型）总体方案：横向隔离物理隔离装置（正向型/反向型）17电力专用网络安全隔离设备

正向型设备反向型设备2022/12/2118电力专用网络安全隔离设备

正向型设备2022/12/1818隔离设备作用正向型网络安全隔离设备采用软、硬结合的安全措施，在硬件上使用双嵌入式计算机结构，通过安全岛装置通信来实现物理上的隔离；在软件上，采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时，实现了对非法信息的隔离。将外网到内网传递的应用数据大小限定为1个bit，保证从低安全区到高安全区的TCP应答禁止携带应用数据。反向型网络安全隔离设备文件发送软件，实现E语言文件计划自动或手动地从外网到内网的传输，传输过程中，发送端程序对外网数据进行双字节转换及数字签名，设备比对签名进行验证，对验证通过的报文再进行双字节检查，这样检查通过的报文才可以进入内网，以保证内网系统的安全。2022/12/21隔离设备作用正向型网络安全隔离设备采用软、硬结合的安全措施，19物理隔离装置接口/型号型号性能分：普通型增强型功能分：正向、反向接口配置两个CONSOLE口（管理设备用）两个COM口（输出告警信息）四个10/100M网卡（2内+2外）两个电源插座、两个电源开关2022/12/21物理隔离装置接口/型号型号2022/12/1820安全岛原理示意图数据到达接口机A,这时接口机A与安全半岛间，安全半岛与接口机B间均处于断开状态。接口机A确认数据可以通过后，与安全半岛连通，将数据送上安全半岛。然后断开与安全半岛的连接。接口机A通知接口机B，安全半岛上有待收数据。接口机B与安全半岛连通，取走数据，然后断开与安全半岛的连接接口机B根据收到的数据，组织报文，将数据发出。反方向只有单个比特位。接口机A安全半岛接口机B断开断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开断开2022/12/21安全岛原理示意图数据到达接口机A,这时接口机A与安全半岛间，21物理隔离装置正向型（高安全区到低安全区）通过配置，可以建立非穿透的TCP连接反向仅能传输1bit的确认数据反向型（低安全区到高安全区）仅能传输E文本，不能建立数据连接客户端程序需加装数字证书，对数据进行加密认证2022/12/21物理隔离装置正向型（高安全区到低安全区）反向型（低安全区到高22纵向加密认证装置调度数据网VPNSCADA服务器网关机网关机当地监控服务器自动化系统自动化系统纵向加密认证装置总体方案：纵向认证在访问控制（防火墙功能）基础上，同时具备加密和认证的功能纵向加密认证装置调度数据网VPNSCADA服务器网关机网关机23数据网安全纵向加密装置拓扑防护数据网安全纵向加密装置拓扑防护24纵向加密装置的算法对称加密算法：用于数据加密，采用国密办指定的专用分组加密算法，分组长度128位，密钥长度128位。非对称加密算法：用于数字签名和数字信封，采用RSA1024散列算法：用于数据完整性验证，采用国密办指定的算法或MD5随机数生成算法：采用WNG-4噪音发生器芯片纵向加密装置的算法对称加密算法：用于数据加密，采用国密办指定25协商原理公开密钥密码体制（RSA）公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(大素数分解)在公开密钥密码体制中，加密密钥（即公钥）是公开信息，而解密密钥（即私钥）是需要保密的。加密算法和解密算法也都是公开的。虽然私钥是由公钥决定的，但却不能根据公钥计算出私钥。协商原理公开密钥密码体制（RSA）26协商原理协商原理27协商原理协商原理28协商原理协商状态四种：Init：初始状态，未发送协商请求。Request：协商请求状态。Respone：协商应答状态。Opened：隧道建立成功状态。MaryRick明文密文明文加密操作解密操作公钥私钥协商原理协商状态四种：MaryRick明密文明加密操作解密操29数据传输过程协商完成后，建立隧道，主机A访问主机B全过程①主机A向主机B发送报文192.168.1.1->192.168.2.1(TCP协议)②纵向装置A在0口接收到该报文，查找策略为加密策略且隧道OPEN，将整个IP报文加密并重新构造IP头，源IP为192.168.1.250，目的IP192.168.2.250，协议为ESP。192.168.1.250->192.168.2.250(ESP协议)③纵向装置B在1口接收到该报文，查找对应隧道进行解密还原，策略判断。发送至eth0口。192.168.1.1->192.168.2.1(TCP协议)④主机B接收到报文，产生应答。数据传输过程协商完成后，建立隧道，主机A访问主机B全过程①主30结论纵向加密认证装置更适用于实时通信结论纵向加密认证装置更适用于实时通信31第三部分安全防护技术和装置第三部分32问题：接收方如何知道发送方就是合法的？关键技术——电力调度数字证书问题：接收方如何知道发送方就是合法的？关键技术——电力调度33

电力调度数字证书是专用于电力调度业务需要的数字证书，主要用于生产控制大区，可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证（包括数据完整性和数据源认证）等。地市以上调度控制中心应该建立电力调度证书系统。

关键技术——电力调度数字证书电力调度数字证书是专用于电力调度业务需要的数字证书，主34用户首先产生自己的密钥对将自己的公钥及部分个人身份信息传送给认证中心认证中心验证个人身份。认证中心对用户的公钥和个人信息进行签名认证中心发给用户一个数字证书。数字证书颁发过程至此，用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。用户首先产生自己的密钥对数字证书颁发过程至此，用户就可以使用35调度证书系统结构证书链短，认证效率高风险分散国调根国调省调网调其他网调网调省调省调省调省调地调地调调度证书系统结构国调根国调省调网调其他网调网调省调省调省调36电力专用拨号加密认证装置2022/12/2137电力专用拨号加密认证装置2022/12/1837部署位置变电站自动化系统的拨号安全防护方案调度自动化系统的拨号安全防护方案2022/12/2138部署位置变电站自动化系统的拨号安全防护方案调度自动化系统的拨应用场景按照国家电力调度中心电力二次系统安全防护要求，电力信息系统分为生产控制大区及生产管理大区，电力系统专用拨号加密认证装置主要用于生产控制大区的远程拨号安全接入,参考下图：

电力系统专用拨号加密认证装置将TCP/IP网络通讯技术、IPSEC安全隧道技术以及USBKEY加密认证技术完美地融合在一起，为生产控制大区的技术维护人员提供安全的远程接入，实现随时随地以拨号方式接入使用，并且无需网络或应用软件做任何改动，提高维护工作效率，同时保证信息安全。2022/12/2139应用场景按照国家电力调度中心电力二次系统安全防护要求，电力信总体方案其他安全防护技术措施总体方案其他安全防护技术措施40备份与恢复数据与系统备份对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。设备备用对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。异地容灾对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。备份与恢复数据与系统备份41备份系统在一定的备份策略的引导下，通过磁带库等设备对系统进行备份也十分必要。备份系统由备份管理系统和备份设备构成。备份策略：全备份(FullBackup)，增量备份(IncrementalBackup)（又分：差量备份及累计备份）备份系统42防病毒措施

病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。防病毒措施 病毒防护是调度系统与网络必须的安全措施。建议病43防火墙防火墙产品仅用于横向逻辑隔离防护，部署在安全区I与安全区II之间、安全区III与安全区IV之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。防火墙防火墙产品仅用于横向逻辑隔离防护，部署在安全区I与安44入侵检测IDS

对于安全区I与II，建议统一部署一套IDS管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其IDS探头主要部署在：

安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。 对于安全区III，禁止使用安全区I与II的IDS，建议与安全区IV的IDS系统统一规划部署。入侵检测IDS 对于安全区I与II，建议统一部署一套ID45主机防护安全配置通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。安全补丁通过及时更新系统安全补丁，消除系统内核漏洞与后门。主机加固安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。主机防护安全配置46计算机系统本地访问控制技术措施结合用户数字证书，对用户登录本地操作系统，访问操作系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计。计算机系统本地访问控制需要的技术产品包括：用户证书介质，如IC卡、USBKey；本地加密设备，如：加密卡、加密USBKey；访问控制安全插件，实现认证与访问控制功能；应用目标对于调度端安全区I中的SCADA/EMS系统，安全区II中的电力市场交易系统，厂站端的控制系统要求采用本地访问控制手段进行保护。计算机系统本地访问控制技术措施47关键应用系统服务器访问控制技术措施调度系统内部关键应用，要求在调度系统CA建成后，充分利用这一PKI基础设施，在身份认证、授权、访问控制、安全通信、行为审计方面进行安全增强。对于新开发的关键应用系统，要求本身实现了基于调度CA证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。应用目标

安全区I中的SCADA系统应用服务器安全区II中的电力市场交易系统应用服务器应用系统改造改造原有应用（包括服务器端与客户端），调用调度CA提供的认证、签名、加密等API，添加必要的加密设备。关键应用系统服务器访问控制技术措施48应用程序安全禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。安全审计安全审计是安全管理的重要环节。目前的安全审计工作大多是手工方式。随着系统规模扩展与安全设施的完善，应该引入集中智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。其它措施应用程序安全其它措施49三分技术、七分管理电监会电力企业电力调度机构发电厂二次安全防护技术与管理三分技术、七分管理二次安全防护技术与管理50总体方案：人员安全职责建立完善的安全分级负责制明确各级的人员的安全职责各调度机构、发电厂、变电站的主要负责人为该单位所管辖的电力二次系统的安全防护第一责任人各调度机构、发电厂、变电站应该指定专人负责管理本单位所属电力二次系统的公共安全设施各个电力二次专业应用系统应该指定专人负责该系统的安全管理指定专人负责管理本单位或本部门的电力二次系统的数字证书管理系统各单位业务系统的工作人员应该严格遵守各项安全管理制度，保护好本人的调度数字证书等安全设施。总体方案：人员安全职责建立完善的安全分级负责制51

电力二次系统安全评估采用以自评估为主、检查评估为辅的方式，并纳入电力系统安全评价体系。电力企业的关键部门应该建立自主的评估队伍，掌握评估技术和方法，配备必要的工具，定期进行评估，可聘请电力部门的有关单位联合进行评估。上级主管单位可对下级单位进行定期或不定期的检查性安全评估。 电力二次系统的新系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估；电力二次系统应该定期（每年或每两年）进行安全评估。 对生产控制大区安全评估的任何记录、数据、结果等禁止以任何形式携带出被评估单位。总体方案：安全评估管理 电力二次系统安全评估采用以自评估为主、检查评估为辅的方式，52信息安全等级保护二次系统安全防护二次安防与等级保护关系信息安全等级保护二次系统安全防护二次安防与等级保护关系53二次系统等级保护定级根据电监会印发的《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号），审批了生产控制系统的定级结果。

定级对象系统级别总部区域（省）地市能量管理系统（具有SCADA、AGC、AVC等控制功能）43变电站自动化系统

(含开关站、换流站、集控站)220kV及以上变电站为3级，以下为2级；集控站为3级；火电机组控制系统DCS（含辅机控制系统）单机容量300MW以上为3级，以下为2级水电厂监控系统总装机1000MW以上为3级，以下为2级电能量计量系统32广域相量测量系统（WAMS）3无电网动态预警系统3无调度交易计划系统3无水调自动化系统2调度管理系统（OMS）22雷电监测系统2电力调度数据网络（SGDnet）32通信设备网管系统32通信资源管理系统32综合数据通信网络(SGTnet)2二次系统等级保护定级根据电监会印发的《电力行业信息系统等54电力二次系统安全防护评估工作型式评估上线安全评估自评估检查评估电力二次系统安全防护评估工作型式评估55电力二次系统安全防护评估工作3、4级系统，应委托评估机构定期开展检查评估工作，周期最长不超过三年，每年都要进行自评估工作。2级系统应由运行单位定期组织开展自评估工作，周期最长不超过两年，也可根据情况委托评估机构开展检查评估工作。电力二次系统安全防护评估工作3、4级系统，应委托评估机构定期56国家电网公司

电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证所提供的设备及系统符合《电力二次系统安全防护规定》和本方案的要求，并在设备及系统的生命期内对此负责。 电力二次系统专用安全产品的开发单位、使用单位及供应商，应当按国家有关要求做好保密工作，禁止关键技术和设备的扩散（用于其它行业以及出口到国外）。 电力企业各运行单位的电力二次系统的安全防护实施方案必须经过上级信息安全主管部门和相应电力调度机构的审核、批准，完工后必须经过上述机构验收。

总体方案：工程实施安全管理国家电网公司 电力二次系统相关设备及系统的开发单位、供应商应57总体方案：工程实施安全管理新建的电力二次系统工程的设计必须符合国家、行业的有关安全防护的标准、法规、法令、规定等；电力二次系统各相关设备及系统的供应商必须承诺：所提供的设备及系统中不包含任何安全隐患，并承担由此引起的连带责任，终生有效；总体方案：工程实施安全管理新建的电力二次系统工程的设计必须符58

新接入电力调度数据网络的节点、设备和应用系统，其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准，并送上一级电力调度机构备案。在已经建立安全防护体系的电力二次系统中，接入任何新的设备和应用及服务，必须立案申请、审查批准后，方可在安全管理人员的监管下实施接入。 接入电力二次系统的生产控制区中的安全产品，必须具有公安部安全产品销售许可，获得国家指定机构安全检测证明，用于厂站的设备还需有电力系统电磁兼容检测证明。 接入电力二次系统的安全区Ⅰ及安全区Ⅱ中的安全产品必须使用国产产品并经过国家有关安全部门或电力有关部门的认证；总体方案：设备接入管理 新接入电力调度数据网络的节点、设备和应用系统，其接入技术方59总体方案：应用及服务的接入管理电力二次专业系统的安全区Ⅰ及安全区Ⅱ中的PC机及其它微机原则上应该将软盘驱动、光盘驱动、USB接口拆除，以防止病毒的传播；电力二次专业系统的安全区Ⅰ及安全区Ⅱ中的工作站、服务器原则上不得开通拨号功能；若确需开通拨号服务，必须配置强认证机制，否则该应用必须与安全区Ⅰ及安全区Ⅱ彻底隔离；在所有电力二次专业系统的安全区Ⅰ及安全区Ⅱ中的任何工作站、服务器均严格禁止以各种方式开通与互联网、其它安全区及任何外部网络的连接；总体方案：应用及服务的接入管理电力二次专业系统的安全区Ⅰ及安60

日常运行的安全管理制度包括：门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码（病毒及木马等）的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。审计管理制度应该规定对安全设备和网络装置及关键系统的日志妥善保存，由具有特许授权的安全管理人员对日志进行分析检查，及时发现各种违规行动以及病毒和黑客的攻击行为，并依据分析结果及时修改设备的安全策略或采取其它相应的措施。应该定期对各级人员进行电力二次系统安全防护知识的培训，以保证各项安全措施的认真执行。总体方案：安全管理制度 日常运行的安全管理制度包括：门禁管理、人员管理、权限管理、61建立完善的安全管理制度以加强运行管理人员管理权限管理访问控制管理设备及子系统的维护管理恶意代码（病毒及木马等）的防护审计管理数据及系统的备份管理用户口令及数字证书的管理应急处理联合防护建立完善的安全管理制度以加强运行管理人员管理62

建立健全电力二次系统安全的联合防护和应急机制，电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证。 当电力生产控制大区出现安全事故，尤其是遭到黑客、恶意代码攻击和其他人为破坏时，应当立即向其上级电力调度机构和信息安全主管部门报告，必须按应急处理预案立即采取相应的安全应急措施。并通报有网络连接的相邻单位（有关的调度中心及发电厂和变电站），联合采取紧急防护措施，以防止事件扩大。同时注意保护事故现场，以便进行调查取证和事故分析。当系统遭到破坏时，应当按照预先制定的应急方案尽快实施恢复。总体方案：联合防护和应急处理 建立健全电力二次系统安全的联合防护和应急机制，电力调度机构63电厂二次安全防护电厂二次安全防护64发电厂具有实时控制功能的监控系统，在没有进行有效安全防护的情况下与当地的MIS系统互连，甚至与互联网直接互连。监控系统和数据网络缺乏必要的安全防护措施。对设备制造商缺乏有效的安全管理方法（PLC事件）。电力二次系统的管理及运行人员缺乏必要的安全防范意识。发电厂安全隐患发电厂具有实时控制功能的监控系统，在没有进行有效安全防护的情65防止发电厂监控系统服务的核心业务（即电力生产）中断。防止发电厂监控系统本身崩溃。防止发电厂二次系统核心崩溃或人为破坏引起的一次系统误动作，确保一次系统的正常、连续运行；防止发电厂二次系统的崩溃，并由此导致发电厂事故或大面积停电事故，确保系统本身的正常运行；抵御外部对发电厂监控系统发起的恶意破坏和攻击（包括传播病毒/木马等恶意代码），导致对电力生产及相连的调度自动化系统的恶意破坏。保护发电厂监控系统实时和历史数据，主要防止数据被非授权修改。发电厂防护目标防止发电厂监控系统服务的核心业务（即电力生产）中断。发电厂防661.内部安全风险

发电厂监控系统的操作系统易受各种潜在病毒爆发而瘫痪。发电厂监控系统的计算机输入、输出读写设备的使用导致感染病毒。不适当的应用TCP/IP或UDP/IP等网络协议而引发的安全风险。应用软件设计的不成熟性，存在漏洞和缺陷，在某种条件下诱发致使计算机系统崩溃。发电厂监控系统缺乏有效的访问控制、监视和记录手段。风险分析1.内部安全风险风险分析672.边界安全风险网络边界的风险：在通信网关和SPDnet的网络边界，存在来自远程非法入侵的威胁；在发电厂监控系统网络和其他系统的连接的边界，存在非授权入侵和病毒传播的威胁；非法访问和破坏：在访问连接建立期间，存在非授权者非法登录，对发电厂监控系统进行攻击的威胁。风险分析2.边界安全风险风险分析68重点防护抵御外部人员通过网络对发电厂二次系统发起的电子攻击和破坏；防止非授权人员对监控系统的非法操作和破坏，确保操作的安全合法性；防止计算机病毒感染和侵袭发电厂二次系统；防止非授权人员对监控系统的系统参数配置、数据库结构、数据库文件和数据的修改和破坏。重点防护抵御外部人员通过网络对发电厂二次系统发起的电子攻击和69水电厂二次系统参考逻辑结构A水电厂二次系统参考逻辑结构A70水电厂安全防护示意图A水电厂安全防护示意图A71结束陈俊杰电话：180751001300731-85542202邮箱：3789545@qq结束陈俊杰72共同学习相互提高谢谢聆听共同学习相互提高谢谢聆听73电力二次系统安全防护培训此处添加副标题内容电力二次系统安全防护培训电力二次系统安全防护培训此处添加副标题内容电力二次系统安全防护培训

2014年12月团结电力二次系统安全防护培训此处添加副标题内容电力二次系统安全防74电力二次系统安全防护培训

2014年12月电力二次系统安全防护培训

2014年12月75引言电力二次系统为什么要重视安全防护？引言电力二次系统为什么要重视安全防护？76银行系统的安全防护银行系统的安全防护77优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（IntegrityViolation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（AuthorizationViolation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability,e.g.DoS）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping,e.g.DataConfidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。二次系统主要安全风险优先级风险说明/举例0旁路控制入侵者对发电厂、变电站发送非法78二次安防实施背景

电网控制设备故障可能引发或扩大电网事故重大停电故障200020012002200320042005200620072008200920102011年信息安全事件2000年10月13日二滩电站收外网信号突甩出力89万千瓦2001年10月1日全国146套故障录波器出现时间逻辑炸弹2003年12月30日三峡送出工程三个换流站感染病毒2008年8月奥运期间涉奥电网受到外网攻击8939次2010年9月，“震网”病毒攻击伊朗核电站设施2003年8月14日美国和加拿大停电2006年11月4日欧洲电网解列停电2007年末08年初我国南方冰雪灾害电网受损2008年5月12日我国汶川地震电网受损2009年11月1日和2011年2月4日巴西电网停电2011年3月，日本9.0级大地震引发海啸导致福岛核电危机二次安防实施背景

电网控制设备故障可能引发或扩大电网事故重大79二滩水电厂异常停机事件；故障录波装置“时间逻辑炸弹”事件；换流站控制系统感染病毒事件；电力二次系统安全事件近年世界上大停电事故反映出电力二次系统的脆弱性和重要性。二滩水电厂异常停机事件；电力二次系统安全事件近年世界上大停电80内容大纲电力调度数据网简介电力二次系统安全防护基本原则安全防护技术和装置二次安防相关文件学习电厂二次系统安全防护方案及业务接入方案内容大纲电力调度数据网简介81第一部分电力调度数据网简介第一部分82相关文件精神发改委2014年第14号令《电力行业信息系统安全定级工作指导意见》2007关于印发《电力二次系统安全防护总体方案》等安

全防护方案的通知（电监安全〔2006〕34号）相关文件精神83总体方案：主要目标电力信息系统电力调度系统出口出口调度中心电厂变电站控制系统外部因特网

建立电力二次系统安全防护体系，有效抵御黑客、恶意代码等各种形式的攻击，尤其是集团式攻击，重点是保障电力二次系统安全稳定，防止由此引起电力系统事故。总体方案：主要目标电电出出调度中心电厂变电站控制系统外部因特841)

系统性原则（木桶原理）；2)

简单性原则；3)

实时、连续、安全相统一的原则；4)

需求、风险、代价相平衡的原则；5)

实用与先进相结合的原则；6)

方便与安全相统一的原则；7)

全面防护、突出重点（实时闭环控制部分）的原则8)

分层分区、强化边界的原则；9)

整体规划、分步实施的原则；10)

责任到人，分级管理，联合防护的原则。总体方案：总体原则1)

系统性原则（木桶原理）；总体方案：总体原则85PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护检测检测反应反应策略策略PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护检测检测反应反应策略策略防火墙、防病毒、横行隔离装置、纵向加密认证装置等入侵检测、安全审计、安全综合告警等快速响应、调度系统联合防护、网络快速处理等总体方案：防护模型和技术路线综合采用通用安全技术，开发关键专用安全技术。PPolicyolicyPProtectionrotecti86电力二次系统安全防护体系

4、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区1234

在对电力二次系统进行了全面系统的安全分析基础上，提出了十六字总体安全防护策略。电力二次系统安全防护体系

4、纵向认证3、横向隔离87总体方案：安全分区总体方案：安全分区88SDH（N×2M）SDH（155M）SPTnet实时控制在线生产调度生产管理电力综合信息实时VPN非实时VPN调度VPN信息VPN语音视频VPNIP语音视频SDH/PDH传输网电力调度数据网电力企业数据网总体方案：网络专用SDH（N×2M）SDH（155M）实时在线调度生产管理电力89总体方案：横向隔离物理隔离装置（正向型/反向型）总体方案：横向隔离物理隔离装置（正向型/反向型）90电力专用网络安全隔离设备

正向型设备反向型设备2022/12/2191电力专用网络安全隔离设备

正向型设备2022/12/1818隔离设备作用正向型网络安全隔离设备采用软、硬结合的安全措施，在硬件上使用双嵌入式计算机结构，通过安全岛装置通信来实现物理上的隔离；在软件上，采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时，实现了对非法信息的隔离。将外网到内网传递的应用数据大小限定为1个bit，保证从低安全区到高安全区的TCP应答禁止携带应用数据。反向型网络安全隔离设备文件发送软件，实现E语言文件计划自动或手动地从外网到内网的传输，传输过程中，发送端程序对外网数据进行双字节转换及数字签名，设备比对签名进行验证，对验证通过的报文再进行双字节检查，这样检查通过的报文才可以进入内网，以保证内网系统的安全。2022/12/21隔离设备作用正向型网络安全隔离设备采用软、硬结合的安全措施，92物理隔离装置接口/型号型号性能分：普通型增强型功能分：正向、反向接口配置两个CONSOLE口（管理设备用）两个COM口（输出告警信息）四个10/100M网卡（2内+2外）两个电源插座、两个电源开关2022/12/21物理隔离装置接口/型号型号2022/12/1893安全岛原理示意图数据到达接口机A,这时接口机A与安全半岛间，安全半岛与接口机B间均处于断开状态。接口机A确认数据可以通过后，与安全半岛连通，将数据送上安全半岛。然后断开与安全半岛的连接。接口机A通知接口机B，安全半岛上有待收数据。接口机B与安全半岛连通，取走数据，然后断开与安全半岛的连接接口机B根据收到的数据，组织报文，将数据发出。反方向只有单个比特位。接口机A安全半岛接口机B断开断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开断开2022/12/21安全岛原理示意图数据到达接口机A,这时接口机A与安全半岛间，94物理隔离装置正向型（高安全区到低安全区）通过配置，可以建立非穿透的TCP连接反向仅能传输1bit的确认数据反向型（低安全区到高安全区）仅能传输E文本，不能建立数据连接客户端程序需加装数字证书，对数据进行加密认证2022/12/21物理隔离装置正向型（高安全区到低安全区）反向型（低安全区到高95纵向加密认证装置调度数据网VPNSCADA服务器网关机网关机当地监控服务器自动化系统自动化系统纵向加密认证装置总体方案：纵向认证在访问控制（防火墙功能）基础上，同时具备加密和认证的功能纵向加密认证装置调度数据网VPNSCADA服务器网关机网关机96数据网安全纵向加密装置拓扑防护数据网安全纵向加密装置拓扑防护97纵向加密装置的算法对称加密算法：用于数据加密，采用国密办指定的专用分组加密算法，分组长度128位，密钥长度128位。非对称加密算法：用于数字签名和数字信封，采用RSA1024散列算法：用于数据完整性验证，采用国密办指定的算法或MD5随机数生成算法：采用WNG-4噪音发生器芯片纵向加密装置的算法对称加密算法：用于数据加密，采用国密办指定98协商原理公开密钥密码体制（RSA）公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(大素数分解)在公开密钥密码体制中，加密密钥（即公钥）是公开信息，而解密密钥（即私钥）是需要保密的。加密算法和解密算法也都是公开的。虽然私钥是由公钥决定的，但却不能根据公钥计算出私钥。协商原理公开密钥密码体制（RSA）99协商原理协商原理100协商原理协商原理101协商原理协商状态四种：Init：初始状态，未发送协商请求。Request：协商请求状态。Respone：协商应答状态。Opened：隧道建立成功状态。MaryRick明文密文明文加密操作解密操作公钥私钥协商原理协商状态四种：MaryRick明密文明加密操作解密操102数据传输过程协商完成后，建立隧道，主机A访问主机B全过程①主机A向主机B发送报文192.168.1.1->192.168.2.1(TCP协议)②纵向装置A在0口接收到该报文，查找策略为加密策略且隧道OPEN，将整个IP报文加密并重新构造IP头，源IP为192.168.1.250，目的IP192.168.2.250，协议为ESP。192.168.1.250->192.168.2.250(ESP协议)③纵向装置B在1口接收到该报文，查找对应隧道进行解密还原，策略判断。发送至eth0口。192.168.1.1->192.168.2.1(TCP协议)④主机B接收到报文，产生应答。数据传输过程协商完成后，建立隧道，主机A访问主机B全过程①主103结论纵向加密认证装置更适用于实时通信结论纵向加密认证装置更适用于实时通信104第三部分安全防护技术和装置第三部分105问题：接收方如何知道发送方就是合法的？关键技术——电力调度数字证书问题：接收方如何知道发送方就是合法的？关键技术——电力调度106

电力调度数字证书是专用于电力调度业务需要的数字证书，主要用于生产控制大区，可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证（包括数据完整性和数据源认证）等。地市以上调度控制中心应该建立电力调度证书系统。

关键技术——电力调度数字证书电力调度数字证书是专用于电力调度业务需要的数字证书，主107用户首先产生自己的密钥对将自己的公钥及部分个人身份信息传送给认证中心认证中心验证个人身份。认证中心对用户的公钥和个人信息进行签名认证中心发给用户一个数字证书。数字证书颁发过程至此，用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。用户首先产生自己的密钥对数字证书颁发过程至此，用户就可以使用108调度证书系统结构证书链短，认证效率高风险分散国调根国调省调网调其他网调网调省调省调省调省调地调地调调度证书系统结构国调根国调省调网调其他网调网调省调省调省调109电力专用拨号加密认证装置2022/12/21110电力专用拨号加密认证装置2022/12/1837部署位置变电站自动化系统的拨号安全防护方案调度自动化系统的拨号安全防护方案2022/12/21111部署位置变电站自动化系统的拨号安全防护方案调度自动化系统的拨应用场景按照国家电力调度中心电力二次系统安全防护要求，电力信息系统分为生产控制大区及生产管理大区，电力系统专用拨号加密认证装置主要用于生产控制大区的远程拨号安全接入,参考下图：

电力系统专用拨号加密认证装置将TCP/IP网络通讯技术、IPSEC安全隧道技术以及USBKEY加密认证技术完美地融合在一起，为生产控制大区的技术维护人员提供安全的远程接入，实现随时随地以拨号方式接入使用，并且无需网络或应用软件做任何改动，提高维护工作效率，同时保证信息安全。2022/12/21112应用场景按照国家电力调度中心电力二次系统安全防护要求，电力信总体方案其他安全防护技术措施总体方案其他安全防护技术措施113备份与恢复数据与系统备份对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。设备备用对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。异地容灾对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。备份与恢复数据与系统备份114备份系统在一定的备份策略的引导下，通过磁带库等设备对系统进行备份也十分必要。备份系统由备份管理系统和备份设备构成。备份策略：全备份(FullBackup)，增量备份(IncrementalBackup)（又分：差量备份及累计备份）备份系统115防病毒措施

病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。防病毒措施 病毒防护是调度系统与网络必须的安全措施。建议病116防火墙防火墙产品仅用于横向逻辑隔离防护，部署在安全区I与安全区II之间、安全区III与安全区IV之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。防火墙防火墙产品仅用于横向逻辑隔离防护，部署在安全区I与安117入侵检测IDS

对于安全区I与II，建议统一部署一套IDS管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其IDS探头主要部署在：

安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。 对于安全区III，禁止使用安全区I与II的IDS，建议与安全区IV的IDS系统统一规划部署。入侵检测IDS 对于安全区I与II，建议统一部署一套ID118主机防护安全配置通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。安全补丁通过及时更新系统安全补丁，消除系统内核漏洞与后门。主机加固安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。主机防护安全配置119计算机系统本地访问控制技术措施结合用户数字证书，对用户登录本地操作系统，访问操作系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计。计算机系统本地访问控制需要的技术产品包括：用户证书介质，如IC卡、USBKey；本地加密设备，如：加密卡、加密USBKey；访问控制安全插件，实现认证与访问控制功能；应用目标对于调度端安全区I中的SCADA/EMS系统，安全区II中的电力市场交易系统，厂站端的控制系统要求采用本地访问控制手段进行保护。计算机系统本地访问控制技术措施120关键应用系统服务器访问控制技术措施调度系统内部关键应用，要求在调度系统CA建成后，充分利用这一PKI基础设施，在身份认证、授权、访问控制、安全通信、行为审计方面进行安全增强。对于新开发的关键应用系统，要求本身实现了基于调度CA证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。应用目标

安全区I中的SCADA系统应用服务器安全区II中的电力市场交易系统应用服务器应用系统改造改造原有应用（包括服务器端与客户端），调用调度CA提供的认证、签名、加密等API，添加必要的加密设备。关键应用系统服务器访问控制技术措施121应用程序安全禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。安全审计安全审计是安全管理的重要环节。目前的安全审计工作大多是手工方式。随着系统规模扩展与安全设施的完善，应该引入集中智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。其它措施应用程序安全其它措施122三分技术、七分管理电监会电力企业电力调度机构发电厂二次安全防护技术与管理三分技术、七分管理二次安全防护技术与管理123总体方案：人员安全职责建立完善的安全分级负责制明确各级的人员的安全职责各调度机构、发电厂、变电站的主要负责人为该单位所管辖的电力二次系统的安全防护第一责任人各调度机构、发电厂、变电站应该指定专人负责管理本单位所属电力二次系统的公共安全设施各个电力二次专业应用系统应该指定专人负责该系统的安全管理指定专人负责管理本单位或本部门的电力二次系统的数字证书管理系统各单位业务系统的工作人员应该严格遵守各项安全管理制度，保护好本人的调度数字证书等安全设施。总体方案：人员安全职责建立完善的安全分级负责制124

电力二次系统安全评估采用以自评估为主、检查评估为辅的方式，并纳入电力系统安全评价体系。电力企业的关键部门应该建立自主的评估队伍，掌握评估技术和方法，配备必要的工具，定期进行评估，可聘请电力部门的有关单位联合进行评估。上级主管单位可对下级单位进行定期或不定期的检查性安全评估。 电力二次系统的新系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估；电力二次系统应该定期（每年或每两年）进行安全评估。 对生产控制大区安全评估的任何记录、数据、结果等禁止以任何形式携带出被评估单位。总体方案：安全评估管理 电力二次系统安全评估采用以自评估为主、检查评估为辅的方式，125信息安全等级保护二次系统安全防护二次安防与等级保护关系信息安全等级保护二次系统安全防护二次安防与等级保护关系126二次系统等级保护定级根据电监会印发的《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号），审批了生产控制系统的定级结果。

定级对象系统级别总部区域（省）地市能量管理系统（具有SCADA、AGC、AVC等控制功能）43变电站自动化系统

(含开关站、换流站、集控站)220kV及以上变电站为3级，以下为2级；集控站为3级；火电机组控制系统DCS（含辅机控制系统）单机容量300MW以上为3级，以下为2级水电厂监控系统总装机1000MW以上为3级，以下为2级电能量计量系统32广域相量测量系统（WAMS）3无电网动态预警系统3无调度交易计划系统3无水调自动化系统2调度管理系统（OMS）22雷电监测系统2电力调度数据网络（SGDnet）32通信设备网管系统32通信资源管理系统32综合数据通信网络(SGTnet)2二次系统等级保护定级根据电监会印发的《电力行业信息系统等127电力二次系统安全防护评估工作型式评估上线安全评估自评估检查评估电力二次系统安全防护评估工作型式评估128电力二次系统安全防护评估工作3、4级系统，应委托评估机构定期开展检查评估工作，周期最长不超过三年，每年都要进行自评估工作。2级系统应由运行单位定期组织开展自评估工作，周期最长不超过两年，也可根据情况委托评估机构开展检查评估工作。电力二次系统安全防护评估工作3、4级系统，应委托评估机构定期129国家电网公司

电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证所提供的设备及系统符合《电力二次系统安全防护规定》和本方案的要求，并在设备及系统的生命期内对此负责。 电力二次系统专用安全产品的开发单位、使用单位及供应商，应当按国家有关要求做好保密工作，禁止关键技术和设备的扩散（用于其它行业以及出口到国外）。 电力企业各运行单位的电力二次系统的安全防护实施方案必须经过上级信息安全主管部门和相应电力调度机构的审核、批准，完工后必须经过上述机构验收。

总体方案：工程实施安全管理国家电网公司 电力二次系统相关设备及系统的开发单位、供应商应130总体方案：工程实施安全管理新建的电力二次系统工程的设计必须符合国家、行业的有关安全防护的标准、法规、法令、规定等；电力二次系统各相关设备及系统的供应商必须承诺：所提供的设备及系统中不包含任何安全隐患，并承担由此引起的连带责任，终生有效；总体方案：工程实施安全管理新建的电力二次系统工程的设计必须符131

新接入电力调度数据网络的节点、设备和应用系统，其接入技术方案和安全