電力二次系統(tǒng)防護總體方案

全國電力二次系統(tǒng)安全防護總體方案4/12/20231安全防護的背景電力二次系統(tǒng)存在安全漏洞（結(jié)構(gòu)、技術(shù)、管理等）容易受到黑客、敵對勢力的攻擊，造成一次系統(tǒng)事故。電力是我國國民經(jīng)濟的基礎(chǔ)產(chǎn)業(yè)，關(guān)系到千家萬戶，關(guān)系到國家安定的大局，決不允許出現(xiàn)大的電力系統(tǒng)事故。4/12/20232一些數(shù)據(jù)FBI統(tǒng)計95%的入侵未被發(fā)現(xiàn)FBI和CSI調(diào)查484公司發(fā)現(xiàn)31%有員工濫用Internet16%有來自內(nèi)部未授權(quán)的存取14%有專利信息被竊取12%有內(nèi)部人的財務(wù)欺騙11%有資料或網(wǎng)絡(luò)的破壞有超過70%的安全威脅來自你企業(yè)內(nèi)部中國國內(nèi)80%的網(wǎng)站存在安全隱患20%的網(wǎng)站有嚴(yán)重安全問題2000年中國國家信息安全課題組的國家信息安全報告指出以9分為滿分計算中國的信息安全強度只有5.5分4/12/20233系統(tǒng)內(nèi)相關(guān)案例二灘水電站分布式控制系統(tǒng)網(wǎng)絡(luò)發(fā)生異常事件；銀山邏輯炸彈事件；龍泉、政平變電站計算機病毒事件；4/12/20234網(wǎng)絡(luò)面臨的主要威脅黑客攻擊網(wǎng)絡(luò)的缺陷軟件的漏洞或后門管理的欠缺網(wǎng)絡(luò)內(nèi)部用戶的誤操作4/12/20235攻擊層次一：通訊&服務(wù)層弱點超過1000個TCP/IP服務(wù)安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.

錯誤的路由配置缺省路由帳戶反向服務(wù)攻擊隱蔽Modem4/12/20236攻擊層次二：操作系統(tǒng)1000個以上的商用操作系統(tǒng)安全漏洞沒有添加安全Patch

文件/用戶權(quán)限設(shè)置錯誤可寫注冊信息缺省用戶權(quán)限簡單密碼特洛依木馬4/12/20237攻擊層次三：應(yīng)用程序Web服務(wù)器:

錯誤的Web目錄結(jié)構(gòu)

Web服務(wù)器應(yīng)用程序缺陷防火墻:

防火墻的錯誤配置會導(dǎo)致漏洞:冒名IP,SYNfloodingDenialofserviceattacks其他應(yīng)用程序:Oracle,SQLServer,SAP等缺省帳戶有缺陷的瀏覽器4/12/20238常見的攻擊方式病毒virus,木馬程序Trojan,蠕蟲Worm拒絕服務(wù)和分布式拒絕服務(wù)攻擊Dos&DDosIP地址欺騙和IP包替換IPspoofing,Packetmodification郵件炸彈Mailbombing宏病毒MarcoVirus口令破解Passwordcrack4/12/20239攻擊的工具和步驟標(biāo)準(zhǔn)的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描

(ISS-Safesuit,Nmap,protscanner…)網(wǎng)絡(luò)包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)4/12/202310加強網(wǎng)絡(luò)安全的必要性保證業(yè)務(wù)系統(tǒng)穩(wěn)定可靠運行防止企業(yè)重要信息外泄防止企業(yè)聲譽被毀●●●●●●4/12/202311網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是一個關(guān)系國家安全和主權(quán)、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加快而變到越來越重要?！凹议T就是國門”，安全問題刻不容緩。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。4/12/202312網(wǎng)絡(luò)安全的語義范圍保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性；完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性；可用性：可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息；可控性：對信息的傳播及內(nèi)容具有控制能力；4/12/202313電力系統(tǒng)安全防護體系全國全世界非實時調(diào)度生產(chǎn)系統(tǒng)準(zhǔn)實時非實時實時控制系統(tǒng)電力信息系統(tǒng)社會電力調(diào)度4/12/202314電力二次系統(tǒng)安全防護總體方案

依據(jù)中華人民共和國國家經(jīng)濟貿(mào)易委員會2002年第30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的規(guī)定》的要求，并根據(jù)我國電力調(diào)度系統(tǒng)的具體情況編制的，目的是防范對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，規(guī)范和統(tǒng)一我國電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的規(guī)劃、實施和監(jiān)管，以保障我國電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行，保護國家重要基礎(chǔ)設(shè)施的安全。4/12/202315重要的名詞解釋計算機監(jiān)控系統(tǒng)：包括各級電網(wǎng)調(diào)度自動化系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā)電廠計算機監(jiān)控系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、微機保護和安全自動裝置、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量計費系統(tǒng)、電力市場交易系統(tǒng)等；

調(diào)度數(shù)據(jù)網(wǎng)絡(luò)：包括各級電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)、用于遠(yuǎn)程維護及電能量計費等的撥號網(wǎng)絡(luò)、各計算機監(jiān)控系統(tǒng)接入的本地局域網(wǎng)絡(luò)等；4/12/202316國家經(jīng)貿(mào)委30號令的有關(guān)要求各電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)或其他信息系統(tǒng)之間以網(wǎng)絡(luò)方式互聯(lián)時,必須采用經(jīng)國家有關(guān)部門認(rèn)證的專用、可靠的安全隔離設(shè)施

電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)均不得和互聯(lián)網(wǎng)相連,并嚴(yán)格限制電子郵件的使用各有關(guān)單位應(yīng)制定安全應(yīng)急措施和故障恢復(fù)措施，對關(guān)鍵數(shù)據(jù)做好備份并妥善存放；及時升級防病毒軟件及安裝操作系統(tǒng)漏洞修補程序；加強對電子郵件的管理；在關(guān)鍵部位配備攻擊監(jiān)測與告警設(shè)施，提高安全防護的主動性4/12/202317電力系統(tǒng)安全防護的基本原則電力系統(tǒng)中，安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng)，各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護設(shè)施，不得與安全等級低的系統(tǒng)直接相聯(lián)。----國家經(jīng)貿(mào)委30號令4/12/202318安全防護總體方案的適用范圍安全防護總體方案的基本防護原則適用于電力二次系統(tǒng)中各類應(yīng)用和網(wǎng)絡(luò)系統(tǒng)；總體方案直接適用于與電力生產(chǎn)和輸配過程直接相關(guān)的計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)；電力通信系統(tǒng)、電力信息系統(tǒng)、電廠信息系統(tǒng)等可參照電力二次系統(tǒng)安全防護總體方案制定具體安全防護方案。4/12/202319電力二次系統(tǒng)邏輯結(jié)構(gòu)4/12/202320電力二次系統(tǒng)安全防護的目標(biāo)與重點電力二次系統(tǒng)安全防護的重點是確保電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全；電力二次系統(tǒng)安全防護的目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故，及二次系統(tǒng)的崩潰或癱瘓。4/12/202321電力二次系統(tǒng)主要安全風(fēng)險（1）隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入國家電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來越多。特別是隨著電力改革的推進和電力市場的建立，要求在調(diào)度中心、電廠、用戶等之間進行的數(shù)據(jù)交換也越來越頻繁。電力一次設(shè)備的改善使得其可控性能滿足閉環(huán)的要求。電廠、變電站減人增效，大量采用遠(yuǎn)方控制，對電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實時性提出了新的嚴(yán)峻挑戰(zhàn)；因特網(wǎng)和Internet技術(shù)已得到廣泛使用，E-mail、Web和PC的應(yīng)用也日益普及，但同時病毒和黑客也日益猖獗；目前有一些調(diào)度中心、發(fā)電廠、變電站在規(guī)劃、設(shè)計、建設(shè)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)時，對網(wǎng)絡(luò)安全問題重視不夠，使得具有實時遠(yuǎn)方控制功能的監(jiān)控系統(tǒng)，在沒有進行有效安全隔離的情況下與當(dāng)?shù)氐腗IS系統(tǒng)或其他數(shù)據(jù)網(wǎng)絡(luò)互連，構(gòu)成了對電網(wǎng)安全運行的嚴(yán)重隱患；4/12/202322優(yōu)先級風(fēng)險說明/舉例0旁路控制（BypassingControls）入侵者對發(fā)電廠、變電站發(fā)送非法控制命令，導(dǎo)致電力系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞（IntegrityViolation）非授權(quán)修改電力控制系統(tǒng)配置或程序；非授權(quán)修改電力交易中的敏感數(shù)據(jù)。2違反授權(quán)（AuthorizationViolation）電力控制系統(tǒng)工作人員利用授權(quán)身份或設(shè)備，執(zhí)行非授權(quán)的操作。3工作人員的隨意行為（Indiscretion）電力控制系統(tǒng)工作人員無意識地泄漏口令等敏感信息，或不謹(jǐn)慎地配置訪問控制規(guī)則等。4攔截/篡改（Intercept/Alter）攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設(shè)置、交易報價等敏感數(shù)據(jù)。5非法使用（IllegitimateUse）非授權(quán)使用計算機或網(wǎng)絡(luò)資源。6信息泄漏（InformationLeakage）口令、證書等敏感信息泄密。7欺騙（Spoof）Web服務(wù)欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進入電力監(jiān)控系統(tǒng)。9拒絕服務(wù)（Availability）向電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪崩數(shù)據(jù)，造成拒絕服務(wù)。10竊聽（Eavesdropping）黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明文傳輸?shù)拿舾行畔?，為后續(xù)攻擊準(zhǔn)備數(shù)據(jù)。電力二次系統(tǒng)主要安全風(fēng)險（2）4/12/202323二次系統(tǒng)安全防護總體原則系統(tǒng)性原則（木桶原理）；簡單性原則；實時、連續(xù)、安全相統(tǒng)一的原則；需求、風(fēng)險、代價相平衡的原則；實用與先進相結(jié)合的原則；方便與安全相統(tǒng)一的原則；全面防護、突出重點的原則；分層分區(qū)、強化邊界的原則；整體規(guī)劃、分步實施的原則；責(zé)任到人，分級管理，聯(lián)合防護的原則；4/12/202324安全防護模型PolicyProtectionDetectionResponse防護檢測反應(yīng)策略4/12/202325相關(guān)的安全法律法規(guī)《關(guān)于維護網(wǎng)絡(luò)安全和信息安全的決議》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機信息系統(tǒng)保密管理暫行規(guī)定》《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》《電力工業(yè)中涉及的國家秘密及具體范圍的規(guī)定》《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的規(guī)定》《電力二次系統(tǒng)安全防護規(guī)定》

4/12/202326電力二次系統(tǒng)安全防護總體策略安全分區(qū)：根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度進行分區(qū)，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)；對實時控制系統(tǒng)等關(guān)鍵業(yè)務(wù)采用認(rèn)證、加密等技術(shù)實施重點保護。網(wǎng)絡(luò)專用：建立調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實現(xiàn)與其它數(shù)據(jù)網(wǎng)絡(luò)物理隔離。并以技術(shù)手段在專網(wǎng)上形成多個相互邏輯隔離的子網(wǎng)，以保障上下級各安全區(qū)的縱向互聯(lián)僅在相同安全區(qū)進行，避免安全區(qū)縱向交叉。橫向隔離：采用不同強度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護，關(guān)鍵是將實時監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)等實行有效安全隔離，隔離強度應(yīng)接近或達到物理隔離?？v向認(rèn)證：采用認(rèn)證、加密、訪問控制等手段實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護。

4/12/202327電力二次系統(tǒng)的安全區(qū)劃分安全區(qū)Ⅰ：實時控制區(qū)安全區(qū)Ⅱ：非控制生產(chǎn)區(qū)安全區(qū)Ⅲ：生產(chǎn)管理區(qū)安全區(qū)Ⅳ：管理信息區(qū)4/12/202328安全區(qū)Ⅰ：實時控制區(qū)安全區(qū)Ⅰ中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為直接實現(xiàn)實時監(jiān)控功能，是電力生產(chǎn)的重要必備環(huán)節(jié)，系統(tǒng)實時在線運行，使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?。安全區(qū)Ⅰ的典型系統(tǒng)包括調(diào)度自動化系統(tǒng)、廣域相量測量系統(tǒng)、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)等，其主要使用者為調(diào)度員和運行操作人員，數(shù)據(jù)實時性為秒級，外部邊界的通信經(jīng)由電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet-VPN1。該區(qū)中還包括采用專用通道的控制系統(tǒng)，如：繼電保護、安全自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負(fù)荷控制系統(tǒng)等，這類系統(tǒng)對數(shù)據(jù)通信的實時性要求為毫秒級或秒級。安全區(qū)Ⅰ是電力二次系統(tǒng)中最重要系統(tǒng)，安全等級最高，是安全防護的重點與核心。4/12/202329安全區(qū)Ⅱ：非控制生產(chǎn)區(qū)安全區(qū)Ⅱ中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：所實現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié)，但不具備控制功能，使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，在線運行，與安全區(qū)I中的系統(tǒng)或功能模塊聯(lián)系緊密。安全區(qū)Ⅱ的典型系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)（DTS）、水調(diào)自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、批發(fā)電力交易系統(tǒng)等，其面向的主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護人員及電力市場交易員等。該區(qū)數(shù)據(jù)的實時性是分鐘級、小時級，其外部通信邊界為電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet-VPN2。4/12/202330安全區(qū)Ⅲ：生產(chǎn)管理區(qū)安全區(qū)III中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：實現(xiàn)電力生產(chǎn)的管理功能，但不具備控制功能，不在線運行，可不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與調(diào)度中心或控制中心工作人員的桌面終端直接相關(guān)，與安全區(qū)IV的辦公自動化系統(tǒng)關(guān)系密切。該區(qū)的典型系統(tǒng)為調(diào)度生產(chǎn)管理系統(tǒng)（DMIS）、統(tǒng)計報表系統(tǒng)（日報、旬報、月報、年報）、雷電監(jiān)測系統(tǒng)、氣象信息接入等。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng)SPTnet-VPN1。4/12/202331安全區(qū)Ⅳ：管理信息區(qū)安全區(qū)IV中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：實現(xiàn)電力信息管理和辦公自動化功能，使用電力數(shù)據(jù)通信網(wǎng)絡(luò)，業(yè)務(wù)系統(tǒng)的訪問界面主要為桌面終端。該區(qū)包括管理信息系統(tǒng)（MIS）、辦公自動化系統(tǒng)（OA）、客戶服務(wù)等。該區(qū)的外部通信邊界為SPTnet-VPN2及因特網(wǎng)。4/12/202332電網(wǎng)二次系統(tǒng)安全防護總體示意圖下級調(diào)度/控制中心上級信息中心下級信息中心實時VPNSPDnet

非實時VPNIP認(rèn)證加密裝置安全區(qū)I(實時控制區(qū))安全區(qū)II(非控制生產(chǎn)區(qū))安全區(qū)III(生產(chǎn)管理區(qū))安全區(qū)IV(管理信息區(qū))外部公共因特網(wǎng)生產(chǎn)VPN

SPTnet

管理VPN防火墻防火墻IP認(rèn)證加密裝置IP認(rèn)證加密裝置IP認(rèn)證加密裝置防火墻防火墻安全區(qū)I(實時控制區(qū))

防火墻安全區(qū)II(非控制生產(chǎn)區(qū))安全區(qū)III(生產(chǎn)管理區(qū))

防火墻

防火墻安全區(qū)IV(管理信息區(qū))專線正向?qū)Ｓ冒踩綦x裝置反向?qū)Ｓ冒踩綦x裝置正向?qū)Ｓ冒踩綦x裝置反向?qū)Ｓ冒踩綦x裝置

防火墻

防火墻

防火墻4/12/202333電力數(shù)據(jù)業(yè)務(wù)與網(wǎng)絡(luò)的關(guān)系示意圖SDH（N×2M）SDH（155M）SPDnetSPTnet實時控制在線生產(chǎn)調(diào)度生產(chǎn)管理電力綜合信息實時VPN非實時VPN調(diào)度VPN信息VPN語音視頻VPNIP語音視頻SDH/PDH傳輸網(wǎng)4/12/202334業(yè)務(wù)系統(tǒng)置于安全區(qū)的規(guī)則（一）根據(jù)該系統(tǒng)的實時性、使用者、功能、場所、各業(yè)務(wù)系統(tǒng)的相互關(guān)系、廣域網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響，將其分置于四個安全區(qū)之中。實時控制系統(tǒng)或未來可能有實時控制功能的系統(tǒng)需置于安全區(qū)Ⅰ。電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移到低安全區(qū)。允許把屬于低安全區(qū)的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全區(qū)，由屬于高安全區(qū)的人員使用。4/12/202335業(yè)務(wù)系統(tǒng)置于安全區(qū)的規(guī)則（二）某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時，可將業(yè)務(wù)系統(tǒng)根據(jù)不同的功能模塊分為若干子系統(tǒng)分置于各安全區(qū)中，各子系統(tǒng)經(jīng)過安全區(qū)之間的通信來構(gòu)成整個業(yè)務(wù)系統(tǒng)。自我封閉的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則不作要求，但需遵守所在安全區(qū)的安全防護規(guī)定。各電力二次系統(tǒng)原則上均應(yīng)劃分為四安全區(qū)的電力二次系統(tǒng)安全防護方案，但并非四安全區(qū)都必須存在。某安全區(qū)不存在的條件是:其本身不存在該安全區(qū)的業(yè)務(wù)。與其它電網(wǎng)二次系統(tǒng)在該安全區(qū)不存在“縱向“互聯(lián)。4/12/202336安全區(qū)之間的安全強度要求安全區(qū)Ⅰ與安全區(qū)Ⅱ的業(yè)務(wù)系統(tǒng)都屬電力生產(chǎn)系統(tǒng)，都采用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，都在線運行，數(shù)據(jù)交換較多，關(guān)系比較密切，可以作為一個生產(chǎn)控制的邏輯大區(qū)；安全區(qū)Ⅲ與安全區(qū)Ⅳ的業(yè)務(wù)系統(tǒng)都屬管理信息系統(tǒng)，都采用電力數(shù)據(jù)通信網(wǎng)絡(luò)，數(shù)據(jù)交換較多，關(guān)系比較密切，可以作為一個管理信息的邏輯大區(qū)。生產(chǎn)控制的邏輯大區(qū)與管理信息的邏輯大區(qū)之間安全強度應(yīng)該達到相互物理隔離或接近于物理隔離。安全區(qū)Ⅰ與安全區(qū)Ⅱ之間，以及安全區(qū)III與安全區(qū)IV之間的安全強度應(yīng)該達到相互邏輯隔離。4/12/202337安全區(qū)之間的橫向隔離要求（一）安全區(qū)I與安全區(qū)II之間須采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進行邏輯隔離，應(yīng)禁止E-mail、Web、Telnet、Rlogin等服務(wù)穿越安全區(qū)之間的隔離設(shè)備。安全區(qū)III與安全區(qū)IV之間應(yīng)采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進行邏輯隔離。4/12/202338安全區(qū)之間的橫向隔離要求（二）安全區(qū)Ⅰ、Ⅱ不得與安全區(qū)Ⅳ直接聯(lián)系；安全區(qū)Ⅰ、Ⅱ與安全區(qū)Ⅲ之間應(yīng)該采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的專用安全隔離裝置。專用安全隔離裝置應(yīng)該達到接近物理隔離的強度。嚴(yán)格禁止E-MAIL、WEB、TELnet、Rlogin等網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫訪問功能穿越專用安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。專用安全隔離裝置分為正向型和反向型。從安全區(qū)Ⅰ、Ⅱ往安全區(qū)Ⅲ必須采用正向安全隔離裝置單向傳輸信息；由安全區(qū)Ⅲ往安全區(qū)Ⅱ甚至安全區(qū)Ⅰ的單向數(shù)據(jù)傳輸必須經(jīng)反向安全隔離裝置。反向安全隔離裝置采取簽名認(rèn)證和數(shù)據(jù)過濾措施，僅允許純文本數(shù)據(jù)通過，并嚴(yán)格進行病毒、木馬等惡意代碼的查殺。

4/12/202339專用外部邊界網(wǎng)絡(luò)根據(jù)系統(tǒng)性原則，各電力二次系統(tǒng)的安全區(qū)的外部邊界網(wǎng)絡(luò)之間的安全防護隔離強度應(yīng)該和所連接的安全區(qū)之間的安全防護隔離強度相匹配。安全區(qū)Ⅰ、Ⅱ連接的廣域網(wǎng)為國家電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet。安全區(qū)Ⅲ、Ⅳ連接的廣域網(wǎng)為國家電力數(shù)據(jù)通信網(wǎng)SPTnet。國家電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet與國家電力數(shù)據(jù)通信網(wǎng)SPTnet應(yīng)該物理隔離，如基于SDH/PDH上的不同通道、不同波長、不同纖芯等。安全區(qū)Ⅰ和安全區(qū)Ⅱ分別連接國家電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet的不同子網(wǎng)。安全區(qū)Ⅲ和安全區(qū)Ⅳ分別連接國家電力數(shù)據(jù)通信網(wǎng)SPTnet的不同子網(wǎng)。子網(wǎng)之間應(yīng)該邏輯隔離，可以通過MPLS-VPN技術(shù)、安全隧道技術(shù)、PVC技術(shù)或路由獨立技術(shù)等來構(gòu)造子網(wǎng)。4/12/202340安全區(qū)與遠(yuǎn)方通信的縱向安全防護要求安全區(qū)Ⅰ、Ⅱ接入SPDnet時，應(yīng)配置縱向認(rèn)證加密裝置，實現(xiàn)網(wǎng)絡(luò)層雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制，也可與業(yè)務(wù)系統(tǒng)的通信網(wǎng)關(guān)設(shè)備配合，實現(xiàn)部分傳輸層或應(yīng)用層的安全功能。如暫時不具備條件或根據(jù)具體業(yè)務(wù)的重要程度，可以用硬件防火墻或ACL技術(shù)的訪問控制代替。安全區(qū)Ⅲ連接國家電力數(shù)據(jù)通信網(wǎng)SPTnet的生產(chǎn)子網(wǎng)應(yīng)通過硬件防火墻接入。處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)的操作系統(tǒng)應(yīng)進行安全加固。根據(jù)具體業(yè)務(wù)的重要程度及信息的敏感程度，對I、II區(qū)的外部通信網(wǎng)關(guān)可以應(yīng)該增加加密、認(rèn)證和過濾的功能。傳統(tǒng)的基于專用信道的通信不涉及網(wǎng)絡(luò)安全問題，可逐步采用線路加密技術(shù)保護關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。4/12/202341安全區(qū)Ⅰ及安全區(qū)Ⅱ的防護要求（一）禁止安全區(qū)Ⅰ/Ⅱ內(nèi)部的E-MAIL服務(wù)。禁止安全區(qū)Ⅰ的WEB服務(wù)。允許安全區(qū)Ⅱ內(nèi)部采用B/S結(jié)構(gòu)的系統(tǒng)，但必須采取有效措施進行封閉。允許安全區(qū)Ⅱ縱向WEB服務(wù)，其專用WEB服務(wù)器和WEB瀏覽工作站應(yīng)在“非軍事區(qū)”的網(wǎng)段，專用WEB服務(wù)器應(yīng)該是經(jīng)過安全加固且支持HTTPS的安全WEB服務(wù)器，WEB瀏覽工作站與安全區(qū)II業(yè)務(wù)系統(tǒng)工作站不得共用，而且必須由業(yè)務(wù)系統(tǒng)向WEB服務(wù)器單向主動傳送數(shù)據(jù)。安全區(qū)Ⅰ/Ⅱ的重要業(yè)務(wù)（如SCADA/AGC、電力交易）應(yīng)該逐步采用認(rèn)證加密機制。安全區(qū)Ⅰ/Ⅱ內(nèi)的相關(guān)系統(tǒng)間應(yīng)該采取訪問控制等安全措施。4/12/202342安全區(qū)Ⅰ及安全區(qū)Ⅱ的防護要求（二）對安全區(qū)Ⅰ/Ⅱ進行撥號訪問服務(wù)，用戶端應(yīng)該使用UNIX或LINUX操作系統(tǒng)且采取認(rèn)證、加密、訪問控制等安全防護措施。安全區(qū)Ⅰ/Ⅱ邊界上可考慮部署入侵檢測系統(tǒng)IDS。安全區(qū)Ⅰ、Ⅱ可以合用一套IDS管理系統(tǒng)。安全區(qū)Ⅰ/Ⅱ應(yīng)該考慮部署安全審計措施，應(yīng)把安全審計與安全區(qū)網(wǎng)絡(luò)管理系統(tǒng)、IDS管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪問權(quán)限相結(jié)合。安全區(qū)Ⅰ/Ⅱ應(yīng)該采取防惡意代碼措施。病毒庫和木馬庫的更新應(yīng)該離線進行，不得直接從因特網(wǎng)下載。安全區(qū)Ⅰ/Ⅱ內(nèi)的系統(tǒng)必須經(jīng)過安全評估。4/12/202343安全區(qū)Ⅲ的防護要求安全區(qū)Ⅲ允許開通EMAIL、WEB服務(wù)。對安全區(qū)Ⅲ撥號訪問服務(wù)必須采取訪問控制等安全防護措施。安全區(qū)Ⅲ應(yīng)該部署安全審計措施，邊界上應(yīng)部署入侵檢測系統(tǒng)，如IDS等。安全區(qū)Ⅲ必須采取防惡意代碼措施。4/12/202344電力二次系統(tǒng)四安全區(qū)拓?fù)浣Y(jié)構(gòu)電力二次系統(tǒng)四安全區(qū)的拓?fù)浣Y(jié)構(gòu)有三種模式，這三種模式均能滿足電力二次系統(tǒng)安全防護體系的要求。4/12/202345電力二次系統(tǒng)安全防護方案的實施步驟（一）第一階段是理清流程，修補漏洞。需要對本地系統(tǒng)的物理配置、連接關(guān)系，以及信息流程有明晰的認(rèn)識，必須有業(yè)務(wù)系統(tǒng)的詳細(xì)的物理連線圖及數(shù)據(jù)流圖。第二階段是調(diào)整結(jié)構(gòu)，清理邊界。按照安全防護方案，做好相應(yīng)的安全區(qū)規(guī)劃，將各類系統(tǒng)置于對應(yīng)的安全區(qū)內(nèi)，并增加必要的設(shè)備，對各類應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備的配置進行相應(yīng)的修改。第三階段及第四階段部署橫向隔離裝置和縱向防護措施?？煞蛛A段逐步實現(xiàn)。第五階段部署認(rèn)證機制。在各類專用裝置和與認(rèn)證機制有關(guān)的CA、RA已建立的條件下部署認(rèn)證機制。第六階段為現(xiàn)系統(tǒng)改造和新系統(tǒng)開發(fā)。要求二次系統(tǒng)各研究、生產(chǎn)單位按照方案的要求研制新系統(tǒng)，并對現(xiàn)有系統(tǒng)進行改造。4/12/202346電力二次系統(tǒng)安全防護方案的實施步驟（二）

4/12/202347網(wǎng)絡(luò)安全的技術(shù)措施專用安全隔離裝置防火墻入侵檢測設(shè)備防病毒系統(tǒng)系統(tǒng)備份與災(zāi)難恢復(fù)加密與認(rèn)證網(wǎng)絡(luò)安全評估系統(tǒng)4/12/202348專用安全隔離裝置電力專用安全隔離裝置作為安全區(qū)I/II與安全區(qū)III的必備邊界，要求具有最高的安全防護強度，是安全區(qū)I/II橫向防護的要點。安全隔離裝置（正向）用于安全區(qū)I/II到安全區(qū)III的單向數(shù)據(jù)傳遞；安全隔離裝置（反向）用于安全區(qū)III到安全區(qū)I/II的單向數(shù)據(jù)傳遞。安全隔離裝置的部署：4/12/202349隔離裝置的安全保障要求采用非INTEL指令系統(tǒng)（及兼容）的微處理器；精簡的、安全的、固化的操作系統(tǒng)；不存在設(shè)計與實現(xiàn)上的安全漏洞；能夠抵御對Ⅰ/Ⅱ區(qū)的部分DoS攻擊及其他已知的網(wǎng)絡(luò)攻擊。4/12/202350正向隔離裝置的硬件結(jié)構(gòu)及網(wǎng)絡(luò)連接專用隔離設(shè)備實時系統(tǒng)管理系統(tǒng)處理器A處理器BTCP/IPTCP/IP雙聯(lián)網(wǎng)段切換開關(guān)非網(wǎng)1、取消TCP外所有網(wǎng)絡(luò)功能；2、內(nèi)設(shè)地址過濾，對外沒有IP地址；3、采用非網(wǎng)（USB等）專用進程通信，內(nèi)外網(wǎng)不同時接通；4/12/202351§正向隔離裝置的功能要求（一）實現(xiàn)兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且保證安全隔離裝置內(nèi)外兩個處理系統(tǒng)不同時連通；要求用物理方式實現(xiàn)數(shù)據(jù)完全單向傳輸，即從安全區(qū)Ⅲ到安全區(qū)Ⅰ/Ⅱ的TCP應(yīng)答報文禁止攜帶應(yīng)用數(shù)據(jù)；透明工作方式，虛擬主機IP地址、隱藏MAC地址；基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報文過濾與訪問控制；支持NAT；4/12/202352§正向隔離裝置的功能要求（二）防止穿透性TCP連接：禁止內(nèi)網(wǎng)、外網(wǎng)的兩個應(yīng)用網(wǎng)關(guān)之間直接建立TCP連接，應(yīng)將內(nèi)外兩個應(yīng)用網(wǎng)關(guān)之間的TCP連接分解成內(nèi)外兩個應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個網(wǎng)卡的兩個TCP虛擬連接。隔離裝置內(nèi)外兩個網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允許以物理方式實現(xiàn)數(shù)據(jù)數(shù)據(jù)單向傳輸；具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識別；安全、方便的維護管理方式：基于證書的管理人員認(rèn)證，圖形化的管理界面。4/12/202353反向隔離裝置的工作過程安全區(qū)III到安全區(qū)I/II的唯一數(shù)據(jù)傳遞途徑；安全區(qū)III內(nèi)的數(shù)據(jù)發(fā)送端首先對需發(fā)送的數(shù)據(jù)簽名，然后發(fā)給反向型專用隔離裝置；專用隔離裝置接收數(shù)據(jù)后，進行簽名驗證，并對數(shù)據(jù)進行內(nèi)容過濾、有效性檢查等處理；將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序。4/12/202354§反向隔離裝置的功能要求應(yīng)滿足正向隔離裝置的所有基本功能；具有應(yīng)用網(wǎng)關(guān)功能，實現(xiàn)應(yīng)用數(shù)據(jù)的接收與轉(zhuǎn)發(fā)；具有應(yīng)用數(shù)據(jù)內(nèi)容有效性檢查功能；具有基于數(shù)字證書的數(shù)據(jù)簽名和驗證功能；實現(xiàn)兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)傳遞，要求用物理方式實現(xiàn)數(shù)據(jù)完全單向傳輸，即從安全區(qū)Ⅰ/Ⅱ到安全區(qū)Ⅲ的TCP應(yīng)答報文禁止攜帶應(yīng)用數(shù)據(jù)。4/12/202355IP認(rèn)證加密裝置對于縱向通信過程，主要考慮是兩個系統(tǒng)之間的認(rèn)證，具體實現(xiàn)可以由兩個通信網(wǎng)關(guān)之間的認(rèn)證實現(xiàn)，或者兩處IP認(rèn)證加密裝置之間的認(rèn)證來實現(xiàn)。建議采用對IP認(rèn)證加密裝置之間的認(rèn)證。IP認(rèn)證加密裝置用于安全區(qū)I/II的廣域網(wǎng)邊界保護。為本地安全區(qū)I/II提供類似包過濾防火墻的功能。為通信網(wǎng)關(guān)間的廣域網(wǎng)通信提供具有認(rèn)證與加密功能的VPN，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護。4/12/202356IP認(rèn)證加密裝置功能IP認(rèn)證加密裝置之間支持基于數(shù)字證書的認(rèn)證，支持定向認(rèn)證加密；對傳輸?shù)臄?shù)據(jù)通過數(shù)據(jù)簽名與加密進行數(shù)據(jù)機密性、完整性保護；支持透明工作方式與網(wǎng)關(guān)工作方式；具有基于IP、傳輸協(xié)議、應(yīng)用端口號的綜合報文過濾與訪問控制功能。具有選擇加密方向以及對被加密報文進行報文長度或其它被設(shè)置特征的選擇加密和解密功能；具有NAT功能；性能要求：10M/100M線速轉(zhuǎn)發(fā)，支持100個并發(fā)會話；具有查詢、設(shè)置、統(tǒng)計等管理功能，以及相應(yīng)的友好的用戶界面；多家開發(fā)的設(shè)備可以互聯(lián)互通。4/12/202357縱向通信認(rèn)證示意圖4/12/202358遠(yuǎn)程撥號訪問防護方案撥號的防護措施可以在鏈路層或網(wǎng)絡(luò)層實施，采用認(rèn)證、加密技術(shù)保證通信雙方身份的真實性和數(shù)據(jù)的完整性、保密性。鏈路方式：對于以遠(yuǎn)方終端的方式通過被訪問的本地主機的RS232接口直接訪問本地主機的情況，采用鏈路層保護措施，即在兩端安裝鏈路加密設(shè)備。該方式主要用于安全區(qū)I的遠(yuǎn)程撥號訪問。網(wǎng)絡(luò)方式：通過RAS（遠(yuǎn)程訪問服務(wù)器）訪問本地網(wǎng)絡(luò)與系統(tǒng)的遠(yuǎn)程訪問，建議采用網(wǎng)絡(luò)層保護措施，即采用用戶端證書與撥號認(rèn)證加密裝置配合的撥號VPN。該方式主要用于安全區(qū)II/III的遠(yuǎn)程撥號訪問。4/12/202359遠(yuǎn)程撥號訪問防護示意圖鏈路保護措施：

使用專用鏈路加密設(shè)備，實現(xiàn)以下安全功能：兩端鏈路加密設(shè)備相互進行認(rèn)證對鏈路幀進行加密網(wǎng)絡(luò)保護措施：采用遠(yuǎn)程訪問VPN方式。在RAS與本地網(wǎng)絡(luò)之間設(shè)置撥號認(rèn)證加密裝置，結(jié)合用戶數(shù)字證書，對遠(yuǎn)程撥入的用戶身份進行認(rèn)證，通過認(rèn)證后，在遠(yuǎn)程撥入用戶與撥號認(rèn)證加密裝置之間建立IPSecVPN，對網(wǎng)絡(luò)層數(shù)據(jù)進行機密性與完整性保護。相關(guān)的安全產(chǎn)品包括：用戶端的IPSecVPN客戶端插件及相應(yīng)的加密卡、RAS端的撥號認(rèn)證加密裝置（包括相應(yīng)的加密設(shè)備）。撥號認(rèn)證加密裝置可以是單獨的設(shè)備，置于RAS與本地網(wǎng)絡(luò)之間，也可以與RAS集成在一個物理設(shè)備中。4/12/202360傳統(tǒng)專用通道的防護—線路加密設(shè)備線路加密設(shè)備可用于傳統(tǒng)專線RTU、保護裝置、安控裝置通道上數(shù)據(jù)的加密保護，防止搭線篡改數(shù)據(jù)。要求該設(shè)備具有一定強度的對稱加密功能。建議新開發(fā)的專線RTU、保護裝置、安控裝置，內(nèi)置安全加密功能。

4/12/202361防火墻防火墻產(chǎn)品可以部署在安全區(qū)I與安全區(qū)II之間（橫向），實現(xiàn)兩個區(qū)域的邏輯隔離、報文過濾、訪問控制等功能。對于調(diào)度數(shù)據(jù)專網(wǎng)條件不完善的地方，需要部署在調(diào)度數(shù)據(jù)接入處（縱向）。防火墻安全策略主要是基于業(yè)務(wù)流量的IP地址、協(xié)議、應(yīng)用端口號、以及方向的報文過濾。具體選用的防火墻必須經(jīng)過有關(guān)部門認(rèn)可的國產(chǎn)硬件防火墻。4/12/202362Web服務(wù)的使用與防護在安全區(qū)I中取消Web服務(wù)。禁止安全區(qū)I中的計算機使用瀏覽器訪問安全區(qū)II的Web服務(wù)。安全區(qū)II中的Web服務(wù)將是安全區(qū)I與II的統(tǒng)一的數(shù)據(jù)發(fā)布與查詢窗口?？紤]到目前Web服務(wù)的不安全性，以及安全區(qū)II的Web服務(wù)需要向整個SPDnet開放，因此在安全區(qū)II中將用于Web服務(wù)的服務(wù)器與瀏覽器客戶機統(tǒng)一布置在安全區(qū)II中的一個邏輯子區(qū)――Web服務(wù)子區(qū)，置于安全區(qū)II的接入交換機上的獨立VLAN中。Web服務(wù)器采用安全Web服務(wù)器，即經(jīng)過主機安全加固的，支持SSL、HTTPS的Web服務(wù)器，能夠?qū)g覽器客戶端進行身份認(rèn)證、以及應(yīng)用數(shù)據(jù)加密。4/12/202363電力二次系統(tǒng)的數(shù)字證書數(shù)字證書提供以下安全功能：支持身份認(rèn)證功能、支持基于證書的密鑰分發(fā)與加密；支持基于證書的簽名以及基于證書擴展屬性的權(quán)限管理。電力調(diào)度業(yè)務(wù)系