吐魯番-某地調(diào)電力二次系統(tǒng)安全防護的設(shè)計.doc

某地調(diào)電力二次系統(tǒng)安全防護的設(shè)計 吐魯番電業(yè)局調(diào)度通信中心史忠平目錄1、引言12、現(xiàn)狀23、整改的方案33.1安全防護的基本原則33.2系統(tǒng)在安全防護中的問題43.3 適應(yīng)電網(wǎng)的二次防護系統(tǒng)構(gòu)建53.3.1 EMS與MIS網(wǎng)絡(luò)間的電力物理隔離53.3.2 其它各區(qū)之間的安全策略73.3.3 系統(tǒng)的網(wǎng)絡(luò)傳輸控制93.3.4 數(shù)據(jù)庫管理103.3.5 防病毒措施11結(jié)束語11后記11參考文獻12某地調(diào)電力二次系統(tǒng)安全防護的設(shè)計【摘要】：電力二次系統(tǒng)是指各級電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（SPDnet）以及各級調(diào)度管理信息系統(tǒng)(OMS)和電力數(shù)據(jù)通信網(wǎng)絡(luò)（SPInet）構(gòu)成的大系統(tǒng)。本次我們僅就某地區(qū)電業(yè)局電力二次系統(tǒng)現(xiàn)狀，確定電力二次系統(tǒng)的安全區(qū)的劃分原則，確定各安全區(qū)之間在橫向及縱向上的防護原則，提出該系統(tǒng)安全防護的思路。國家電網(wǎng)公司依據(jù)我公司內(nèi)部電網(wǎng)二次系統(tǒng)系統(tǒng)的具體情況制定了全國電力二次系統(tǒng)安全防護總體方案，目的是規(guī)范和統(tǒng)一我國電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的規(guī)劃、實施和監(jiān)管，以防范對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行。【關(guān)鍵字】：二次防護，系統(tǒng)，安全區(qū)，數(shù)據(jù)網(wǎng)絡(luò)1、引言由于隨著計算機、Internet的普及以及人們對網(wǎng)絡(luò)的依賴和使用的深入，病毒、黑客等對計算機、網(wǎng)絡(luò)的正常使用構(gòu)成的威脅日漸突出，為防止因病毒或黑客的攻擊造調(diào)度自動化系統(tǒng)癱瘓、從根本上保證供電企業(yè)的自動化系統(tǒng)免受病毒、黑客的攻擊，保證供電企業(yè)的安全運行。國家經(jīng)濟貿(mào)易委員會和國家電力公司相繼出臺了電力系統(tǒng)自動化方面的網(wǎng)絡(luò)安全方案。國家經(jīng)濟貿(mào)易委員會第30號令電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定及國家電力公司國電調(diào)2002411號文件詳細描述了供電企業(yè)內(nèi)部四個不同工作區(qū)之間的信息交換方式，a.安全區(qū)為實時控制區(qū)，安全保護的核心。凡是具有實時監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均應(yīng)屬于安全區(qū)。如：調(diào)度自動化系統(tǒng)和相量同步測量系統(tǒng)、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng) 等，是電力二次系統(tǒng)安全保護的重點與核心。b.安全區(qū)為非控制業(yè)務(wù)區(qū)，原則上不具備控制功能的生產(chǎn)業(yè)務(wù)和批發(fā)交易業(yè)務(wù)系統(tǒng)均屬于該區(qū)，如：水調(diào)自動化系統(tǒng)、電能量計量系統(tǒng)、發(fā)電側(cè)電力市場交易系統(tǒng)等。該區(qū)的外部通信邊界為SPDnet的非實時VPN。c.安全區(qū)為生產(chǎn)管理區(qū)，該區(qū)的系統(tǒng)為進行生產(chǎn)管理的系統(tǒng)，如：調(diào)度生產(chǎn)管理系統(tǒng)、雷電監(jiān)測系統(tǒng)、氣象信息接入、客戶服務(wù)等。該區(qū)中公共數(shù)據(jù)庫內(nèi)的數(shù)據(jù)可提供運行管理人員進行web瀏覽。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng)SPInet。d.安全區(qū)IV為管理信息區(qū)，如：管理信息系統(tǒng)及辦公自動化系統(tǒng)。該區(qū)的外部通信邊界為SPInet或因特網(wǎng)。2、現(xiàn)狀某局目前擁有220KV變電所4座、110KV變電所17座、35KV變電所36座，所有變電所均接入EMS（電網(wǎng)能量管理）系統(tǒng)。實現(xiàn)遙測、遙信、遙控、遙調(diào)、SOE、潮流分析等功能，能夠適應(yīng)電網(wǎng)調(diào)度運行工作要求。某局目前采用了DF8002V8電網(wǎng)能量管理系統(tǒng)，該系統(tǒng)于2004年3月投入運行。DF8002V8系統(tǒng)采用分布式的設(shè)計模式和網(wǎng)絡(luò)體系結(jié)構(gòu)，基于TCP/IP網(wǎng)絡(luò)傳輸協(xié)議，功能以Client/Server模式分布于網(wǎng)絡(luò)中，支持和管理網(wǎng)絡(luò)中各自獨立的數(shù)據(jù)處理節(jié)點，使數(shù)據(jù)實現(xiàn)共享和統(tǒng)一。DF8002V8電網(wǎng)能量管理系統(tǒng)的主站端包含通道系統(tǒng)、系統(tǒng)服務(wù)器兩臺、前置機服務(wù)器兩臺、Web服務(wù)器、高級應(yīng)用工作站、調(diào)度員工作站兩臺、維護工作站、各工作站通過兩臺交換機組成實時電網(wǎng)能量管理系統(tǒng)，公司其他部門可通過Web調(diào)看畫面和數(shù)據(jù)。一段時間運行表明，DF8002V8系統(tǒng)能夠為電網(wǎng)管理提供有效、高質(zhì)的技術(shù)平臺，但它在安全防護方面考慮較少，各安全區(qū)內(nèi)部及之間缺少必要的隔離措施，這就造成了現(xiàn)有系統(tǒng)存在安全防護薄弱的事實缺陷。 DF8002V8系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中， 服務(wù)器、工作站、WEB、前置系統(tǒng)等設(shè)備均以總線結(jié)構(gòu)接于一臺HUAWEI S2026 24口交換機。單位時間內(nèi)數(shù)據(jù)交換流量過大、機器負(fù)荷過重，容易造成設(shè)備間數(shù)據(jù)通訊故障，情況嚴(yán)重的甚至可以導(dǎo)致服務(wù)器誤判網(wǎng)絡(luò)故障超時，導(dǎo)致自動關(guān)閉主程序。同時，經(jīng)過同一網(wǎng)段進行交換，也增加系統(tǒng)全面感染病毒的可能。系統(tǒng)各服務(wù)器、工作站配置的金山防病毒軟件版本過老，缺乏及時的特征庫升級。各工作站由于雖然規(guī)范了使用人員權(quán)限并設(shè)置了系統(tǒng)口令，但是仍然有暴露系統(tǒng)于非專業(yè)人員、調(diào)度人員的可能。如果這些人誤動了系統(tǒng)數(shù)據(jù)庫，誤操作了系統(tǒng)相關(guān)功能，后果將不堪設(shè)想。3、整改的方案3.1安全防護的基本原則參照全國電力二次系統(tǒng)安全防護總體方案，我們確定電力二次系統(tǒng)的安全防護應(yīng)遵循以下基本原則1) 安全分區(qū)。分區(qū)防護、突出重點。根據(jù)系統(tǒng)中的業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度進行分區(qū)，重點保護生產(chǎn)控制以及直接生產(chǎn)電力生產(chǎn)的系統(tǒng)。2) 網(wǎng)絡(luò)專用。電力調(diào)度數(shù)據(jù)網(wǎng) SPDnet與電力數(shù)據(jù)通信網(wǎng)SPInet實現(xiàn)安全隔離，并通過采用MPLS-VPN或IPSECVPN在SPDnet和SPInet分別形成多個相互邏輯隔離的VPN實現(xiàn)多層次的保護。3) 橫向隔離。在不同安全區(qū)之間采用邏輯隔離裝置或物理隔離裝置使核心系統(tǒng)得到有效保護。4) 縱向認(rèn)證、防護。安全區(qū)、的縱向邊界部署IP認(rèn)證加密裝置；安全區(qū)、的縱向邊界必須部署硬件防火墻，目前在認(rèn)證加密裝置尚未完善情況下，使用國產(chǎn)硬件防火墻進行防護。整體安全防護隔離情況如下圖所示：1.2.3.2系統(tǒng)在安全防護中的問題某局目前所使用的DF8002V8系統(tǒng)作為成熟的電網(wǎng)管理平臺，是通過自己獨立的網(wǎng)絡(luò)在安全區(qū)I和安全區(qū)II中運行，系統(tǒng)既擔(dān)負(fù)著電網(wǎng)實時監(jiān)測、控制、SOE、數(shù)據(jù)錄庫、處理等任務(wù)，也為調(diào)度人員集成了電壓無功優(yōu)化管理、PAS（網(wǎng)絡(luò)拓?fù)洹顟B(tài)分析、負(fù)荷預(yù)測、調(diào)度員潮流分析）等功能，且必須為整合DMIS系統(tǒng)提供支撐。同時，系統(tǒng)必須為電力客戶和有關(guān)部門提供實時發(fā)布瀏覽的WEB服務(wù)。EMS系統(tǒng)獨立組網(wǎng)于安全I、II區(qū)，DMIS支持軟件位于安全III區(qū)，而WEB服務(wù)器做為連接MIS網(wǎng)的主要設(shè)備位于安全III區(qū)。實際情況是，調(diào)度人員使用的DMIS支撐軟件與調(diào)度工作站集成于調(diào)度I、II區(qū)共同使用，WEB服務(wù)器在III區(qū)間未經(jīng)過有效的物理隔離設(shè)施直接與I、II區(qū)相聯(lián),且與IV區(qū)之間也沒有任何防護措施。DF8002V8系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中， 服務(wù)器、工作站、WEB、前置系統(tǒng)等設(shè)備均以總線結(jié)構(gòu)接于一臺HUAWEI S2026 24口交換機。單位時間內(nèi)數(shù)據(jù)交換流量過大、機器負(fù)荷過重，容易造成設(shè)備間數(shù)據(jù)通訊故障，情況嚴(yán)重的甚至可以導(dǎo)致服務(wù)器誤判網(wǎng)絡(luò)故障超時，導(dǎo)致自動關(guān)閉主程序。同時，經(jīng)過同一網(wǎng)段進行交換，也增加系統(tǒng)全面感染病毒的可能。系統(tǒng)各服務(wù)器、工作站配置的金山防病毒軟件版本過老，缺乏及時的特征庫升級。各工作站由于雖然規(guī)范了使用人員權(quán)限并設(shè)置了系統(tǒng)口令，但是仍然有暴露系統(tǒng)于非專業(yè)人員、調(diào)度人員的可能。如果這些人誤動了系統(tǒng)數(shù)據(jù)庫，誤操作了系統(tǒng)相關(guān)功能，后果將不堪設(shè)想。3.3 適應(yīng)電網(wǎng)的二次防護系統(tǒng)構(gòu)建操作系統(tǒng)的安全、數(shù)據(jù)庫的安全、網(wǎng)絡(luò)安全、系統(tǒng)權(quán)限論證、病毒防范措施構(gòu)成電網(wǎng)管理系統(tǒng)安全性的各環(huán)節(jié)。結(jié)合我公司系統(tǒng)現(xiàn)狀，調(diào)度實時系統(tǒng)與MIS網(wǎng)之間的有效隔離，EMS系統(tǒng)人員權(quán)限管理、數(shù)據(jù)庫管理、病毒特征庫升級管理成為構(gòu)建二次防護系統(tǒng)的主要問題。3.3.1 EMS與MIS網(wǎng)絡(luò)間的電力物理隔離根據(jù)上圖及國家經(jīng)濟貿(mào)易委員會第30號令電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定: 第三條 電力系統(tǒng)安全防護的基本原則是：電力系統(tǒng)中，安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng)，各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護設(shè)施，不得與安全等級低的系統(tǒng)直接相聯(lián)。 第四條 各電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)或其他信息系統(tǒng)之間以網(wǎng)絡(luò)方式互聯(lián)時,必須采用經(jīng)國家有關(guān)部門認(rèn)證的專用、可靠的安全隔離設(shè)施。DF8002V8系統(tǒng)需面向MIS網(wǎng)絡(luò)用戶發(fā)布實時電網(wǎng)信息。我們的系統(tǒng)需要做如下的變動：l 可以通過一臺基于LINUX操作系統(tǒng)的WEB服務(wù)器，以數(shù)據(jù)單向遷移的形式由調(diào)度網(wǎng)絡(luò)將數(shù)據(jù)鏡像發(fā)布于WEB服務(wù)器，并由WEB服務(wù)器生成滿足發(fā)布瀏覽要求的WEB頁面，供安全III/IV區(qū)的用戶調(diào)用。l 采用物理隔離裝置可使安全區(qū)之間物理隔離。禁止跨越安全區(qū)/與安全區(qū)/的非數(shù)據(jù)應(yīng)用穿透物理隔離裝置的安全防護強度適應(yīng)由安全區(qū)/向安全區(qū)/的單向數(shù)據(jù)傳輸。由安全區(qū)/向安全區(qū)/的單向數(shù)據(jù)傳輸必須經(jīng)安全數(shù)據(jù)過濾網(wǎng)關(guān)串接物理隔離裝置。由此，我們必須采用軟、硬件結(jié)合的有效安全隔離措施、保證網(wǎng)絡(luò)數(shù)據(jù)共享的同時，實施對非法信息的隔離。結(jié)合目前系統(tǒng)情況，可以將現(xiàn)有WEB服務(wù)器完全置于安全III區(qū)，通過專用電力物理隔離設(shè)備實現(xiàn)與安全I、II區(qū)的數(shù)據(jù)共享。專用電力物理隔離設(shè)備其它網(wǎng)絡(luò)系統(tǒng)安全III區(qū)WEB服務(wù)器EMS系統(tǒng)安全I區(qū)EMS與WEB間的電力物理隔離示意圖電力專用物理隔離設(shè)施必須滿足以下條件：(1) 具有物理隔離能力的硬件結(jié)構(gòu),保證了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離 (2) 軟、硬結(jié)合的數(shù)據(jù)流向控制 通過安全策略實現(xiàn)軟控制 （通過單向遷移，實現(xiàn)WEB服務(wù)器與物理設(shè)備的連接，設(shè)置Socket端口建立WEB與隔離設(shè)備的鏈路）。 通過物理開關(guān)實現(xiàn)硬控制 (3) Socket連接方向的控制(4) IP與MAC地址綁定 3.3.2 其它各區(qū)之間的安全策略將安全I區(qū)（實時數(shù)據(jù)區(qū)）與安全II區(qū)進行必要的隔離，禁止跨越安全區(qū)與的E-MAIL、WEB、telnet、rlogin。即將系統(tǒng)的數(shù)據(jù)采集部分全部放入安全區(qū)，將剩余的SCADA服務(wù)、歷史數(shù)據(jù)服務(wù)、各客戶端以及部分高級應(yīng)用服務(wù)放入安全區(qū)，數(shù)據(jù)采集區(qū)配置自己獨立的服務(wù)器、交換機，并配置相應(yīng)策略。鏡像生成數(shù)據(jù)、數(shù)據(jù)單向遷移能夠部分的消除數(shù)據(jù)信息傳輸過程中遭受病毒、HACKER攻擊的概率。LINUX系統(tǒng)由于其能夠?qū)崿F(xiàn)對個體文件、任務(wù)進行加密處理的特性，使其較WINDOWS系統(tǒng)更為安全、可靠。由于WEB服務(wù)器在身份認(rèn)證和權(quán)限管理方面沒有有效措施，同時當(dāng)LINUX系統(tǒng)中的SAMBA服務(wù)使WEB服務(wù)器在直接面向與INTERNET互聯(lián)的MIS網(wǎng)絡(luò)時為HACKER攻擊和病毒入侵提供了漏洞或者端口。因此需要在WEB服務(wù)器與MIS網(wǎng)絡(luò)之間，即在安全III區(qū)與安全IV區(qū)之間配置一臺防火墻，并配置相應(yīng)策略。防火墻設(shè)備其它網(wǎng)絡(luò)系統(tǒng)安全IV區(qū)MIS網(wǎng)絡(luò)安全III區(qū)WEB服務(wù)器WEB與MIS網(wǎng)絡(luò)間的示意圖如此配置后的調(diào)度自動化拓?fù)浠揪涂梢源_定為下圖：3.3.3 系統(tǒng)的網(wǎng)絡(luò)傳輸控制拓?fù)渚W(wǎng)絡(luò)中，數(shù)據(jù)傳輸與信息交互的控制是需要網(wǎng)絡(luò)各節(jié)點全面控制支持的，因此我們有必要確保網(wǎng)絡(luò)各環(huán)節(jié)處于可控、在控狀態(tài)中，可以利用以下手段實現(xiàn)。（1）、加強口令管理字符數(shù)較少的弱口令或默認(rèn)口令常常會被無關(guān)人員記憶，也易被HACKER破譯。同時，由于EMS系統(tǒng)擔(dān)負(fù)了遠控、數(shù)據(jù)備份等重要任務(wù)，一旦被別有用心的人盜用口令，肆意刪除數(shù)據(jù)或者使用其他功能，企業(yè)損失將無法估計。我們可結(jié)合現(xiàn)代密碼學(xué)，使用CA與身份認(rèn)證保證我們的用戶管理。PKI是一個利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)的統(tǒng)一的技術(shù)框架?；赑KI的CA認(rèn)證系統(tǒng)為電力調(diào)度生產(chǎn)及管理系統(tǒng)與調(diào)度數(shù)據(jù)網(wǎng)上的用戶、關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器提供數(shù)字證書服務(wù)。最終CA認(rèn)證體系結(jié)構(gòu)圖如下所示：CA認(rèn)證系統(tǒng)的整體結(jié)構(gòu)CA中心RA中心.調(diào)度人員設(shè)備密鑰管理中心RA中心RA中心調(diào)度人員設(shè)備調(diào)度人員設(shè)備（2）、 禁用不必要服務(wù)關(guān)閉某些網(wǎng)絡(luò)設(shè)備出廠缺省設(shè)置，如Finger、BootpServer、IPRedirect、ProxyArp、Directed-Broadcast等服務(wù)，另外，在路由器上，對于SNMP、DHCP以及WEB管理服務(wù)等，只有絕對必要的時候才可使用這些服務(wù)。（3）、 禁止使用遠程訪問使用遠程訪問客戶端，可以方便系統(tǒng)的遠程維護，實現(xiàn)廠家在線技術(shù)支持。但是，通過INTERNET的訪問控制，必然將系統(tǒng)暴露，為攻擊提供訪問端口，部分病毒也可以偽裝成TXT等格式，入侵系統(tǒng)。（4）、 控制流量有限進入網(wǎng)絡(luò)為了避免路由器成為DoS攻擊目標(biāo)，用戶應(yīng)該拒絕以下流量進入：沒有IP地址的包、采用本地主機地址、廣播地址、多播地址以及任何假冒的內(nèi)部地址的包。雖然用戶無法杜絕DoS攻擊，但用戶可以限制DoS的危害；另外，用戶還可以采取增加SYN ACK隊列長度、縮短ACK超時等措施來保護路由器免受TCP SYN的攻擊。（5）、合理分配交換機為減輕交換機數(shù)據(jù)流量和處理任務(wù)，我們配置兩臺交換機，分別構(gòu)建設(shè)前置系統(tǒng)（192.168.0.*）與調(diào)度服務(wù)器、工作站、WEB（202.0.1.*）兩個網(wǎng)段，由此有效提高了數(shù)據(jù)交互效率，并且減少網(wǎng)絡(luò)故障概率。3.3.4 數(shù)據(jù)庫管理EMS系統(tǒng)擁有豐富的數(shù)據(jù)資源、數(shù)據(jù)庫的安全管理成為系統(tǒng)二次防護的重要組成。數(shù)據(jù)資源主要分布在前置系統(tǒng)的服務(wù)器、EMS系統(tǒng)主服務(wù)器、WEB服務(wù)器、VQC、PAS、DMIS系統(tǒng)站的PC工作站、電能量系統(tǒng)的服務(wù)器中。處于安全I、II區(qū)的EMS系統(tǒng)各組成設(shè)備在物理防護下，面臨的威脅主要來自于人的因素。因此我們必須采取以下措施：分解系統(tǒng)維護人員、調(diào)度操作人員、設(shè)備巡視人員職責(zé)，并在EMS的人機交互環(huán)節(jié)設(shè)置體現(xiàn)出來，將人員分組賦予不同權(quán)限范圍，并實現(xiàn)口令管理，同時在系統(tǒng)中用LOG.TXT記錄人員訪問操作信息。嚴(yán)格口令管理制度，嚴(yán)禁無關(guān)人員使用工作人員口令、權(quán)限，并健全相關(guān)處罰措施。3.3.5 防病毒措施利用防病毒軟件是系統(tǒng)遏止病毒入侵、防范