电力监控系统安全防护

电力监控系统安全防护2021/5/91

电力监控系统安全防护2021/5/92背景原则2021/5/93背景原则震网病毒事件：2010年11月Stuxnet蠕虫（震网病毒）攻击伊朗核电厂，该病毒专门针对西门子公司的SIMATICWinCC监控与数据采集(SCADA)系统进行攻击，造成伊朗布什尔核电站推迟发电。震网病毒将工业控制系统信息安全推到了风口浪尖。2021/5/94背景原则网络安全内容安全功能安全管理安全检测安全恢复安全策略安全维护安全预防安全治理2021/5/95背景原则木桶理论2021/5/96背景原则“进不来”“拿不走”“看不懂”“改不了”“走不脱”网络安全目标网络安全五元素2021/5/97电力监控系统主要内容2021/5/98主要内容电力监控系统防护原则安全分区网络专用横向隔离纵向认证2021/5/99主要内容安全分区：

按照《电力监控系统安全防护规定》，将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区I）及非控制区（安全区II），重点保护生产控制以及直接影响电力生产（机组运行）的系统。2021/5/910主要内容网络专用：

电力调度数据网是与生产控制大区相连接的专用网络，承载电力实时控制、在线生产交易等业务。发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。2021/5/911主要内容横向隔离：

横向隔离是电力监控系统安全防护体系的横向防线。应采用不同强度的安全设备隔离个安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或相当功能的设施。2021/5/912主要内容纵向认证：

纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。2021/5/913主要内容生产控制大区管理信息大区控制区（安全I区）非控制区（安全II区）安全区划分电力监控系统安全区2021/5/914主要内容安全系统部署2021/5/915主要内容风电场监控系统安全区主要内容无功电压控制AVC有功功率控制AGC同步向量测量PMU升压站监控系统风功率预试系统电能量采集装置故障录波装置天气预报系统检修管理系统OMS测风塔系统控制区（安全I区）管理信息大区2021/5/916主要内容安全区的特点控制区（安全I区）：是电力生产的重要环节、安全防护的重点与核心；直接实现对一次系统运行的实时监控；纵向使用电力调度数据网络或专用通道。

非控制区（安全II区）：所实现的功能为电力生产的必要环节；在线运行，但不具备控制功能；使用电力调度数据网络，与控制区中的系统或功能模块联系紧密。管理信息大区：管理信息大区是指生产控制大区以外的电力企业管理信息系统的集合。典型业务系统包括调度管理系统、行政电话网管系统、综合数据网等。电力企业可根据具体情况划分安全区，但不能影响生产控制大区的安全。2021/5/917电力监控系统安全防护技术措施2021/5/918技术措施主要内容密码技术逻辑隔离入侵检测防病毒措施备用与容灾主机防护Web服务的使用与防护安全免疫内网安全监视2021/5/919技术措施密码技术加密涉及三个基本元素：明文、密文和密钥明文（cleartext）：就是人们或计算机可懂的语言。密文（ciphertext）：就是明文经加密变换后人们或计算机不可懂的语言。密钥（key）：参与加密变换的一个参数，经常是一个二进制字符串。2021/5/920技术措施密码技术PKI技术：PKI基于公钥体系，在该体系的安全系统中，密钥是成对生成的，每对密钥由一个公钥和一个私钥组成。私有密钥公开密钥数据输入算法算法数据输出完全相同2021/5/921技术措施逻辑隔离：防火墙产品可以部署在安全区I与安全区II之间（横向），实现两个区域的逻辑隔离、报文过滤、访问控制等功能。

入侵检测系统：其IDS探头主要部署在：安全区I与II的边界点、调度数据专网的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。防病毒措施：病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。备用与容灾：对关键业务的数据与系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。2021/5/922技术措施主机防护：通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。

Web服务的使用与防护：禁止安全区I中通用Web服务。禁止安全区I中的计算机使用浏览器访问安全区II的Web服务。安全免疫：生产控制大区具备控制功能的系统应逐步推广应用以密码硬件为核心的可信计算技术，用于实现计算环境和网络环境安全可信，免疫未知恶意代码破坏，应对高级别的恶意攻击。内网安全监视：

生产控制大区应逐步推广内网安全监视功能，实时监测电力监控系统的计算机、网络及