电力行业安全建设方案
1. 电力行业概述
1.1. 电力行业简介
电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。
电力工业是国民经济发展中最重要的基础能源产业,是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用,与社会经济和社会发展有着十分密切的关系,它不仅是关系国家经济安全的战略大问题,而且与人们的日常生活、社会稳定密切相关。随着我国经济的发展,对电的需求量不断扩大,电力销售市场的扩大又刺激了整个电力生产的发展。
1.2. 电力行业特征
电力行业是技术密集和资产密集型产业,电力企业生产和管理不同于离散制造业,最根本的原因在于:其生产过程中不仅有与离散制造业相同的信息流和物质流,还包括了连续的能源流,而且伴随着复杂的物理化学反应,物质和能量的转化和传递等过程。因而电力企业是一个比离散制造业更为复杂的工业大系统,其中生产工艺目标往往不能以独立的数据形式实现直接控制。相对于其他行业,电力企业有着以下显著的特点:
l 电力生产的整体性。电力系统是由发电、供电和用电三者紧密连接起来的一个系统,任何一个环节配合不好,都会影响电力系统的安全、稳定、可靠和经济运行。电网中,发电机、变压器、高压输电线路、配电线路和用电设备形成一个不可分割的整体,缺少哪一个环节,电力生产都不可能完成。同样,任何设备脱离电网都将失去意义。
l 电力生产的同时性。发电、输电、配电、变电、供电和用电是同时完成的,既不能中断,又不能储存,必须是用多少,发多少,是典型的连续生产、连续消费的过程。电能的传输速度与光速相同,达到30 万千米/秒(万km/s)。即使发电端与用电端相距千万里,发、供、用电都是在同一瞬间进行和完成的。
l 电力生产的随机性。负荷变化、设备异常情况、电能质量的变化以及事故的发生,随时都在变化着,而且发展迅速,波及面大。因此,在电力生产过程中,需要适时调度,要求适时安全监控,随时跟踪随机事件动态,以保证电能质量及电网安全运行。
l 电力企业内外存在复杂的原辅料供求关系。电力工业的产品虽然单一,但其生产过程却极为复杂。比如在发电环节的电厂就需要燃料、锅炉、汽机、发电、热工、通信等众多功能部门的配合,管理流程和数据流程极为复杂。因此电力企业对外存在着燃料、配件的采购供应,存在着面向用户的、具有高可靠性要求的商品化电力输出;在内部,各个生产、辅助部门存在着强耦合的严密的并行协同关系。
图1.1电力行业的生产特点
1.3. 电力行业企业组成及架构
按照“厂网分开”原则,原国家电力公司的电力资产按照发电和电网两类业务进行了划分。发电资产直接改组或重组为规模大致相当的五个全国性的独立发电集团公司,逐步实行“竞价上网”,展开竞争。五大发电集团公司分别是中国华能集团公司、中国大唐集团公司、中国华电集团公司、中国国电集团公司、中国电力投资集团公司。电网环节则设立了两大电网公司:国家电网公司和中国XX电网有限责任公司,国家电网公司又下设华北、东北、华东、华中和西北五个区域电网公司。另外,还成立了四大辅业集团:中国电力工程顾问集团公司、中国水电工程顾问集团公司、中国水利水电建设集团公司和中国葛洲坝集团公司。
下图是电力行业的总体架构和企业数量分布图。
图1.2 电力行业的总体架构及企业组成(2007年)
1.4. 电力行业信息化IT系统架构
电力行业IT 系统基础架构包括五个平台,两个体系,一个中心。五个平台是网络平台、系统支撑平台、信息集成平台、应用平台和门户平台,其中网络平台、系统支撑平台、应用平台是电力企业IT 系统架构所必具的,而门户平台和信息集成平台是信息化程度达到系统整合阶段的电力企业所必须建的平台。为了保障平台上主要业务系统的正常运转,还要建立两个相应的保障体系,包括信息安全保障体系和信息标准管理体系。与此同时还需要一个不可缺少、贯穿各个平台的中心——数据中心。见下图。
1.5. 电力信息化安全建设情况
1.5.1. 电力网络行为与内容的安全情况
1.5.2. 电力领域业务运营信息化安全情况
1.5.3. 电力网络系统安全情况
1.5.4. 电力用户关注的安全情况
Ø 电力调度中心、通信中心与信息中心的安全加固建设。通过多种安全产品和技术,实现各电力调度中心的信息、计算环境、边界安全的建设与加固。
Ø 另外,对于公开对外服务系统安全加固建设、办公自动化和管理系统安全加固建设、安全检测、监控、审计、追踪与定位系统建设和应急规范制定和安全应急培训采取与其他行业类似要求。
2. 电力二次系统安全防护总体要求
2.1. 电力二次系统简介
2.2. 电力二次系统安全风险分析
优先级 |
风险 |
说明/举例 |
0 |
旁路控制(Bypassing Controls) |
入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。 |
1 |
完整性破坏(Integrity Violation) |
非授权修改电力控制系统配置、程序、控制命令;非授权修改电力交易中的敏感数据。 |
2 |
违反授权(Authorization Violation) |
电力控制系统工作人员利用授权身份或设备,执行非授权的操作。 |
3 |
工作人员的随意行为(Indiscretion) |
电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。 |
4 |
拦截/篡改(Intercept/Alter) |
拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。 |
5 |
非法使用(Illegitimate Use) |
非授权使用计算机或网络资源。 |
6 |
信息泄漏(Information Leakage) |
口令、证书等敏感信息泄密。 |
7 |
欺骗(Spoof) |
Web服务欺骗攻击;IP 欺骗攻击。 |
8 |
伪装(Masquerade) |
入侵者伪装合法身份,进入电力监控系统。 |
9 |
拒绝服务(Availability, e.g. Denial of Service) |
向电力调度数据网络或通信网关发送大量雪崩数据,造成网络或监控系统瘫痪。 |
10 |
窃听(Eavesdropping, e.g. Data Confidentiality) |
黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击做准备。 |
2.3. 电力二次系统安全防护目标
l 实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问;
l 实现电力监控系统和调度数据网安全事件可发现、可跟踪和可审计;
2.4. 电力二次系统安全防护的基本原则
2.5. 电力二次系统安全防护总体结构
根据《电力二次系统安全防护规定》的要求,电力二次系统安全防护总体方案的框架结构如图2.1所示。
在满足安全防护总体原则的前提下,可以根据应用系统实际情况,简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
2.5.1. 生产控制大区的安全区划分
控制区中的业务系统或其功能模块(或子系统)的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。
非控制区中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或其功能模块联系紧密。
2.5.2. 管理信息大区的安全区划分
管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区,但不应影响生产控制大区的安全。
2.5.3. 业务系统分置于安全区的原则
根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系、广域网通信方式以及对电力系统的影响程度等,按以下规则将业务系统或其功能模块置于相应的安全区:
(1)实时控制系统、有实时控制功能的业务模块以及未来有实时控制功能的业务系统应置于控制区。
(2)应当尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时,可将其功能模块分置于相应的安全区中,经过安全区之间的安全隔离设施进行通信。
(3)不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域;但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域。
(4)对不存在外部网络联系的孤立业务系统,其安全分区无特殊要求,但需遵守所在安全区的防护要求。
(5)对小型县调、配调、小型电厂和变电站的二次系统可以根据具体情况不设非控制区,重点防护控制区。
2.5.4. 安全区拓扑结构
2.6. 电力二次系统安全防护技术要求
2.6.1. 生产控制大区内部安全防护要求
(1)禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务。
(2)允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务,可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。
(3)生产控制大区重要业务(如SCADA/AGC、电力市场交易等)的远程通信必须采用加密认证机制,对已有系统应逐步改造。
(4)生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施,限制系统间的直接互通。
(5)生产控制大区的拨号访问服务,服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统,并采取加密、认证和访问控制等安全防护措施。
(7)生产控制大区应部署安全审计措施,把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。
(8)生产控制大区应该统一部署恶意代码防护系统,采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。
(9)对重要的服务器和通信网关必须进行安全加固;登陆口令的长度必须在8位以上且必须定期更换,在条件具备时,可采用调度数字证书系统实现登陆的强身份验证。
2.6.2. 管理信息大区安全防护要求
(1)管理信息大区应根据业务系统划分安全区或安全网段(如服务器区域和终端区域),并通过防火墙等控制手段对关键业务系统实施安全防护;
(4)管理信息大区应部署防病毒系统,并配置病毒库定期升级和定期扫描病毒等策略;
(5)管理信息大区应使用企业PKI/CA数字证书系统基础设施,对关键应用实施保护。
2.6.3. 安全区间横向网络边界安全防护要求
严格禁止E-Mail、WEB、Telnet、Rlogin、FTP等安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。
控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。
在省级及以上调度中心和大型地市级调度中心,安全区间网络横向边界可部署IDS探头,对边界网络数据报文进行动态检测,以及时发现网络安全事件。
2.6.4. 安全区纵向网络边界安全防护要求
对处于外部网络边界的其他通信网关,应进行操作系统的安全加固,对于新上的系统应支持加密认证的功能。
重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置;当调度中心侧已配置纵向加密认证装置时,与其相连的小型厂站侧可以不配备该装置,此时至少实现安全过滤功能。
传统的基于专用通道的数据通信不涉及网络安全问题,新建系统可逐步采用加密等技术保护关键厂站及关键业务。
在省级及以上调度中心和大型地市级调度中心,安全区纵向网络边界可部署IDS探头,对边界网络数据报文进行动态检测,以及时发现网络安全事件。
2.6.5. 调度数据网安全防护要求
电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。
电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。可采用MPLS-VPN技术、安全隧道技术、PVC技术、静态路由等构造子网。电力调度数据网应当采用以下安全防护措施:
按照电力调度管理体系及数据网络技术规范,采用虚拟专网技术,将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网,分别对应控制业务和非控制生产业务,保证实时业务的封闭性和高等级的网络服务质量。
应当采用严格的接入控制措施,保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网,进行广域网通信。
电力调度数据网采用安全分层分区设置的原则。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网(简称骨干网)。省调、地调和县调及省、地直调厂站节点构成省级调度数据网(简称省网)。
各层面的数据网络之间应该通过路由限制措施进行安全隔离。当县调或配调内部采用公用通信网时,禁止与调度数据网互联。保证网络故障和安全事件限制在局部区域之内。
2.6.6. 安全审计要求
生产控制大区应当具备安全审计功能,可对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。
2.6.7. 备份与容灾要求
2.6.8. 电力调度数字证书系统要求
(1)统一规划数字证书的信任体系,各级电力调度数字证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度数字证书系统通过信任链构成认证体系;
(3)提供规范的应用接口,支持相关应用系统和安全专用设备嵌入电力调度数字证书服务;
(4)电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络,独立运行。
电力调度数字证书系统按照电力调度管理体系进行配置,省级以上调度中心和有实际业务需要的地区调度中心应该建立电力调度数字证书系统。
应当利用数字证书技术提高系统安全强度,新建设的电力监控系统应当支持电力调度数字证书的应用,现有应用系统的外部通信接口部分应当逐步进行相应的改造。
2.7. 电力二次系统安全防护管理要求
2.7.1. 安全分级负责制
2.7.2. 相关人员的安全职责
电力企业应当明确由主管安全生产的领导作为电力二次系统安全防护的主要责任人,并指定专人负责管理本单位所辖电力二次系统的公共安全设施,明确各业务系统专责人的安全管理责任。
2.7.3. 工程实施的安全管理
电力二次系统相关设备及系统的开发单位、供应商应以合同条款或协议的方式保证所提供的设备及系统符合《电力二次系统安全防护规定》和本方案的要求,并在设备及系统的生命期内对此负责。
电力二次系统专用安全产品的开发单位、使用单位及供应商,应当按国家有关要求做好保密工作,禁止安全防护关键技术和设备的扩散。
2.7.4. 设备和应用系统的接入管理
接入电力调度数据网络的节点、设备和应用系统,其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准。
生产控制大区的各业务系统禁止以各种方式与互联网连接;限制开通拨号功能;关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等,确需保留的必须通过安全管理措施实施严格监控。
接入电力二次系统生产控制大区中的安全产品,应当获得国家指定机构安全检测证明,用于厂站的设备还需有电力系统电磁兼容检测证明。
2.7.5. 日常安全管理制度
2.7.6. 联合防护和应急处理
2.7.7. 安全评估
应当依据本方案的要求对电力二次系统的总体安全防护水平进行安全评估。
应当建立二次系统安全评估制度,采取以自评估为主、联合评估为辅的方式,将安全评估纳入电力系统安全评价体系。应当掌握基本的自评估技术和方法,配备必要的评估工具。
电力二次系统在投运之前、升级改造之后必须进行安全评估;已投入运行的系统应该定期进行安全评估,对于电力监控系统应该每年进行一次安全评估。评估方案及结果应及时向上级主管部门汇报、备案。
参与评估的机构及人员必须稳定、可靠、可控,并与被评估单位签署长期保密协议。对生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式携带出被评估单位,按国家有关要求做好保密工作。
电力二次系统安全评估应严格控制实施风险,确保评估工作不影响电力二次系统的安全稳定运行。评估前制定相应的应急预案,实施过程应符合电力二次系统的相关管理规定。
3. 省级以上调度中心二次系统安全防护方案
本方案适用于省级以上电力调度中心,大型地(市)电力调度中心可参照执行。
3.1. 省级以上调度中心二次系统安全防护的总体部署
序号 |
业务系统 |
控制区 |
非控制区 |
管理信息大区 |
1 |
能量管理系统 |
EMS |
WEB发布 |
|
2 |
广域相量测量系统 |
采集、实时数据处理、分析等 |
WEB发布 |
|
3 |
安全自动控制系统 |
安控系统主站端 |
||
4 |
通信监控系统 |
通信监控信息采集、监视 |
||
5 |
调度数据网网络管理及安全告警系统 |
网管、安全告警 |
||
6 |
继电保护和故障信息管理系统 |
继电保护远方修改定值、远方投退等控制功能。 |
故障录波信息管理模块,继电保护信息管理(无远方设置功能) |
|
7 |
电力市场运营系统 |
在线安全稳定校核 |
交易、结算、考核、内网报价 |
外网报价、公众信息发布 |
8 |
调度员培训模拟系统 |
调度员培训模拟 |
||
9 |
水库调度自动化系统 |
水调采集、处理 |
||
10 |
电能量计量系统 |
电能量采集、处理 |
||
11 |
电网动态监控系统 |
在线监控、稳定计算等 |
||
12 |
电力市场监管信息系统接口 |
向电力市场监管系统发布有关信息 |
||
13 |
调度生产管理系统 |
数据平台、应用系统(早报、日报等) |
||
14 |
雷电监测系统 |
采集、处理 |
||
15 |
气象/卫星云图系统 |
接收、处理 |
||
16 |
视频监视系统 |
接收、处理 |
||
17 |
调度信息发布 |
WEB服务 |
||
18 |
办公自动化 |
MIS、OA |
||
19 |
电力调度数据网络 |
实时子网 |
非实时子网 |
|
20 |
备份系统 |
生产控制大区备份系统 |
根据总体方案要求,结合调度中心二次系统的安全分区和安全区域边界条件,确定调度中心二次系统安全防护的总体逻辑结构如图1。
图1 调度中心二次系统安全防护总体逻辑结构示意图
调度中心的安全区域之间可以采用链式、三角或星形结构,此处仅以链式结构示意。
各安全区均分别配置了前端交换机和后端交换机,总体结构清晰,是调度中心二次系统安全防护的典型模式;也可根据具体情况,合并前端交换机和后端交换机,便于区内各业务系统或功能模块之间的数据交换。
调度中心安全防护的基本措施是结构调整,结构调整的重点是生产控制大区中业务系统原有WEB功能和数据的外移。可根据具体情况在管理信息大区或非控制区中配置综合数据平台或数据交换平台,平台规模以实用为宜。
调度中心应当具有病毒防护、入侵检测、安全审计和安全管理平台等安全防护手段,提高电力二次系统整体安全防护能力。生产控制大区的安全管理平台不应当与管理信息大区的安全管理平台互联。
调度中心应用IEC61970国际标准时,应依据本方案的原则,将IEC61970规定的功能模块适当的置于各安全区中,从而实现国际标准与我国电力二次系统安全防护的有机结合。省级以上调度中心应该建立电力调度数字证书系统,负责所辖调度范围及下级调度机构的电力调度数字证书的颁发、维护和管理。能量管理系统和电力市场运营系统应当逐步采用数字证书技术实现加密认证机制。
3.2. 主要业务系统安全防护方案
本章仅对省级以上调度中心的主要业务系统的安全防护进行描述,不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。
3.2.1. 能量管理系统的安全防护
能量管理系统(EMS)实现对实时运行的电力系统进行数据采集、监视、控制和安全分析的功能,是调度中心的核心系统;其中SCADA、AGC和安全分析功能模块置于控制区,调度员培训模拟(DTS)功能模块置于非控制区,WEB浏览功能模块置于管理信息大区。系统逻辑结构如图2。
图2 EMS系统的逻辑结构示意图
系统逻辑结构图中所指的逻辑接口(I1-I6)的描述见表2。
表2 EMS系统的逻辑接口
序号 |
名称 |
数据类型 |
通信方式及协议 |
I1 |
EMS开发商的远程维护接口 |
开发商通过拨号方式远程维护EMS系统软件,数据类型不定。 |
电话拨号 TCP/IP |
本系统的维护人员的远程维护接口 |
通过拨号方式远程维护EMS系统软件,数据类型不定 |
电话拨号 TCP/IP |
|
I2 |
专用通道连接厂站 RTU/监控系统的接口 |
实时数据:遥信、遥测、遥控、遥调等数据 |
专线 专用协议 |
I3 |
网络连接厂站RTU/监控系统的接口 |
实时数据:遥信、遥测、遥控、遥调等数据 |
电力调度数据网 TCP/IP |
I4 |
与 上 下 级EMS系统的远程通信接口 |
1.遥信、遥测及计算数据; |
电力调度数据网 TCP/IP |
I5 |
与调度员培训模拟系统、电力市场运营系统、电能量计量系统、水调自动化系统的接口 |
1.负荷需求数据 2.发电计划数据 3.联络线数据 4.DTS 5.市场交易安全校核等 |
本地局域网 TCP/IP |
I6 |
与控制区的其它 系 统 如WAMS系统的接口 |
动态相量数据等 |
本地局域网 TCP/IP |
根据能量管理系统的特点和电力二次系统安全防护总体方案的要求,其物理边界及安全部署如图3。
图3 EMS系统的物理边界及安全部署示意图
EMS系统的物理边界为:拨号网络边界(PI1)、传统专用远动通道(PI2)、纵向网络边界(PI3)、横向网络边界(PI4)。这四个边界的安全防护措施按照总体方案实施,并要求新建能量管理系统的控制功能模块应当支持认证加密机制,对已有系统应当逐步进行改造。
3.2.2. 电力市场运营系统的安全防护
电力市场运营系统是电力调度(交易)中心的核心业务系统之一,主要包括市场交易、报价处理、合同管理、交易结算等功能模块,是电力市场技术支持系统的重要组成部分。该系统横跨三个安全区域,其主体部分位于非控制区,实时电力市场中的在线控制功能应当位于控制区,对社会发布市场信息的功能模块应当位于管理信息大区。系统逻辑结构如图4。
图4 电力市场运营系统的逻辑结构示意图
系统逻辑结构图中所指的逻辑接口(I1-I8)的描述见表3
表3 电力市场运营系统的逻辑接口
序号 |
名称 |
数据类型 |
通信方式及协议 |
I1 |
电力市场运营系统之间的接口 |
实时数据 |
电力调度数据网 TCP/IP |
I2 |
电力市场运营系统与市场成员报价系统的接口 |
报价数据、实时浏览数据、历史数据 |
电力调度数据网, |
I3 |
电力市场运营系统与市场成员报价系统的备用接口 |
报价数据、实时浏 |
电话拨号, |
I4 |
与EMS系统的接口 |
电网实时数据 |
本地局域网, |
I5 |
对调度生产管理系统的接口 |
包括:公开信息发布数据、结算数据、市场动态数据、报价数据、实时浏览数据(报价处理) |
本地局域网 |
I6 |
与电能量计量系统的接口 |
电能量数据 |
本地局域网,TCP/IP |
I7 |
对非控制区其它系统的接口 |
生产管理所需数据等 |
电力调度数据网, |
I8 |
与电力市场监管信息系统的接口 |
电力市场监管信息 |
本地局域网, |
根据电力市场运营系统的特点和电力二次系统安全防护总体方案的要求,物理边界及安全部署如图5。
图5 电力市场运营系统的物理边界及安全部署示意图
电力市场运营系统的物理边界为拨号网络边界(PI1)、纵向网络边界(PI2)和横向网络边界(PI3)。这三个边界的安全防护措施按照总体方案实施。
电力市场运营系统应当以网络通信方式为主,拨号方式可作为备用,拨号访问安全风险较大,应当限制使用,禁止无安全措施的拨号访问。
拨号访问的安全措施要求通过拨号服务器(RAS)接入非控制区的接入交换机,接入交换机应具备逻辑隔离功能;在RAS和接入交换机之间应当部署拨号认证加密装置,拨入端配相应的电力调度数字证书。
电力市场运营系统应当支持加密认证机制,实现与远方市场交易成员的基于电力调度数字证书的身份认证与加密通信。
电力市场运营系统的市场信息发布功能模块部署在非控制区和管理信息大区,分别面向市场交易成员和社会公众。
根据《电力监管条例》的要求,将电力市场监管信息经过加密认证等安全措施,直接向电力监管机构报送。
3.2.3. 电能量计量系统的安全防护
电能量计量系统通过电能量采集装置采集电能量数据,作为计量和结算的依据,禁止修改原始数据。该系统属于非控制区,系统逻辑结构如图6。
图6 电能量计量系统逻辑结构示意图
系统逻辑结构图中所指的逻辑接口(I1-I6)的描述见表4
表4 电能量计量系统的逻辑接口
序号 |
名称 |
数据类型 |
通信方式及协议 |
I1 |
网络连接其它电力调度中心的接口 |
时段电能量数据 |
电力调度数据网 |
I2 |
网络连接厂站电能量采集装置的接口 |
时段电能量数据、对时命令等信息 |
电力调度数据网 |
I3 |
拨号连接厂站电能量采集装置的接口 |
时段电能量数据、对时命令等信息 |
电话拨号 |
I4 |
与电力市场运营系统的接口 |
电能量数据、交易计划、合同电能量数据 |
本地局域网 |
I5 |
与EMS系统接口 |
电能量数据、实时数据 |
本地局域网 |
I6 |
与调度生产管理系统接口 |
电能量数据 |
本地局域网 |
根据电能量计量系统的特点和《电力二次系统安全防护总体方案》的要求,物理边界及安全部署如图7。
图7 电能量计量系统的物理边界及安全部署示意图
电能量计量系统的物理边界为:拨号网络边界(PI1)、纵向网络边界(PI2)和横向网络边界(PI3)。这三个边界的安全防护措施按照总体方案实施。推荐采用网络方式采集电能量数据,也可采用以下两种拨号通信方式:
(1)单向拨号方式。从主站端向厂站端单向拨号,避免拨号转移。厂站端的电能量采集装置与当地的其它系统需有效隔离。
(2)拨号服务器方式。该方式要求通过拨号服务器(RAS)接入非控制区的接入交换机,在RAS和接入交换机之间部署拨号认证加密装置,拨号访问应使用电力调度数字证书。
若不具备实现上述安全防护措施时,则禁止开通拨号访问。
省级以上调度中心的电能量计量系统中原则上不采用GPRS或CDMA等公用移动数据通信方式,确实需要者,可将主站通信网关机置于管理信息大区,电能量数据通过专用横向反向安全隔离装置导入。
3.2.4. 水库调度自动化系统的安全防护
水库调度自动化系统采集水情、水文、气象信息,进行水情预报和水库调度。其主体在非控制区,气象信息采集模块、与外部机构(如防洪指挥部、流域委员会)通信的模块在管理信息大区。系统逻辑结构如图8。
图8 水库调度自动化系统逻辑结构示意图
系统逻辑结构图中所指的逻辑接口(I1-I4)的描述见表5
表5 水库调度自动化系统的逻辑接口
序号 |
名称 |
数据类型 |
接入方式 |
I1 |
对网络连接的其他数据源系统的接口 |
卫星气象云图、气象实况、水文信息等 |
网络(专用通道)、 |
I2 |
对网络连接电厂分中心站的接口 |
实时数据 |
电力调度数据网, TCP/IP |
对上、下级水调系统的接口 |
实时数据 |
电力调度数据网, |
|
I3 |
与EMS系统的接口 |
实时数据、历史数据 |
网络,TCP/IP |
I4 |
不同安全区水调系统接口 |
卫星气象云图、气象实况、水文信息等 |
网络,TCP/IP |
根据水库调度自动化系统的特点和《电力二次系统安全防护总体方案》的要求,其物理边界及安全部署如图9。
图9 水库调度自动化系统物理边界及安全部署示意图
水库调度自动化系统的物理边界为外部网络边界(PI1)、纵向网络边界(PI2)和横向网络边界(PI3、PI4)。这四个边界的安全防护措施按照总体方案实施。
从外部公网采集的气象信息、水文数据等先进入管理信息大区的通信网关,应采用硬件防火墙与外网隔离,通信网关通过反向型电力专用横向单向安全隔离装置将相应数据送入非控制区。
3.2.5. 继电保护和故障信息管理系统的安全防护
继电保护和故障信息管理系统采集继电保护装置的相关信息和故障录波的故障信息,监视继电保护运行状态,为电网故障判断和分析提供技术手段。继电保护和故障信息管理系统中的继电保护管理功能模块应当置于控制区,故障录波信息管理模块应当置于非控制区;当继电保护管理功能模块不具备远方设置和远方投退等控制功能时也可置于非控制区。系统逻辑结构如图10。
图10 继电保护和故障信息管理系统逻辑结构示意图
系统逻辑结构图中所指的逻辑接口(I1-I6)的描述见表6
表6 继电保护和故障信息管理系统的逻辑接口
序号 |
名称 |
数据 |
通信方式 |
I1 |
对通过拨号方式连接厂站端系统的接口 |
保护及故障信息实时数据 |
电话拨号 |
I2.1 |
通过网络方式进行远方修改定值和远方投退 |
远方修改定值和远方投退的实时控制信息 |
电力调度数据网 |
I2.2 |
对通过网络方式连接厂站端系统的接口 |
保护及故障信息实时数据 |
电力调度数据网 |
I3 |
对其它调度端系统(上、下级系统)的接 |
电网拓扑及一次参数数据、继电保护图档数据 |
电力调度数据网 |
I4 |
对SCADA/EMS系统的接口 |
实时和历史的一次设备运行状态数据 |
本地局域网 |
I5 |
对DMIS的接口 |
电网一次设备参数,准实时的保护设备运行状态、保护定值、故障信息和统计分析结果等 |
电力调度数据网 |
I6 |
对厂站端监控系统远端工作站的接口 |
来自厂站端监控系统的数据远端工作站与本系统的交换数据 |
本地局域网 电力调度数据网 |
根据继电保护和故障信息管理系统的特点和电力二次系统安全防护总体方案的要求,其安全部署如图11。
图11 继电保护和故障录波信息管理系统安全部署示意图
继电保护和故障信息管理系统通过电力调度数据网的非实时子网实现远程网络通信。也可采用单向拨号方式,从主站端向厂站端单向拨号,避免拨号转移。厂站端的保护终端和故障录波终端应与当地的其它系统进行有效隔离。
设置工作站通过电力调度数据网的实时子网实现远程网络通信。进行保护远方定值修改和投退操作的人员必须使用电力调度数字证书进行身份认证。
3.2.6. 调度生产管理系统的安全防护
调度生产管理系统(简称DMIS)主要包括调度生产数据服务、调度报表管理、调度检修信息、水文气象信息、雷电监测等多种业务,系统主体位于管理信息大区。
调度生产管理系统使用电网企业数据网的生产子网进行广域网通信,并采用硬件防火墙实现安全隔离。调度生产管理系统属于电网企业管理信息大区中的一个重要业务系统,与发电企业管理信息大区没有直接联系。
调度生产管理系统与生产控制大区之间的数据通信必须采用电力专用横向单向安全隔离装置实现强隔离。通过正向型电力专用横向单向隔离装置从生产控制大区向管理信息大区传输实时数据和交易信息等。通过反向型电力专用横向单向隔离装置从管理信息大区向生产控制大区传输计划数据和气象信息等。
调度生产管理系统的安全防护部署如图12。
图12 调度生产管理系统安全部署示意图
3.2.7. 大屏幕投影系统的安全防护
生产控制大区中各业务系统可以采用网络方式接入大屏幕投影系统,同时采用硬件防火墙等进行隔离。管理信息大区中的各业务系统可以采用非网络方式接入该大屏幕投影系统。生产控制大区和管理信息大区中的各业务系统不能同时以网络方式接入大屏幕投影系统。
图14 大屏幕系统安全防护结构示意图
4. 地、县级调度中心二次系统安全防护方案
地、县级调度中心电力二次系统安全防护目标是抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击,能够抵御集团式攻击,防止地、县级调度中心电力二次系统的瘫痪,并由此导致电力系统事故。地、县级调度中心电力二次系统安全防护的重点是确保电网调度自动化系统及调度数据网络的安全。
本方案适用于地、县级电力调度中心。大型地级电力调度中心安全防护方案可参照《省级以上调度中心二次系统安全防护方案》执行。小型县级电力调度中心安全防护方案可参照《配电二次系统安全防护方案》。集控中心或集控站的集中监控系统的安全防护可参照本方案执行。
4.1. 地、县级调度中心二次系统的总体安全部署
地、县级调度中心二次系统主要包括调度自动化系统(SCADA、PAS等)、电能量计量系统、调度员培训模拟系统、调度生产管理系统和电力调度数据网络等,根据安全分区原则,结合调度中心应用系统和功能模块的特点,将各功能模块分别置于控制区、非控制区和管理信息大区,详见表1。
小型县调的安全防护措施可以根据具体情况进行简化,对生产控制大区可不再细分,重点保护监控系统,相当于只有控制区,与厂站端数据通信的纵向边界可采用简单有效的数据加密等安全防护措施。
表1 地、县级调度中心电力二次系统安全分区表
序号 |
业务系统 |
控制区 |
非控制区 |
管理信息大区 |
1 |
SCADA系统 |
数据采集监视和控制 |
WEB发布 |
|
2 |
PAS系统 |
电力系统高级应用软件 |
||
3 |
通信监控系统 |
通信监控信息采集、监视 |
||
4 |
电力调度数据网网络管理及安全告警系统 |
网管、安全告警 |
||
5 |
继电保护管理子系统 |
继电保护管理模块,继电保护远方修改定值、远方投退等实时控制模块。 |
继电保护信息管理(无远方设置功能) |
|
6 |
故障信息管理系统 |
故障录波信息管理模块 |
||
7 |
调度计划管理系统 |
计划信息处理 |
||
8 |
调度员培训模拟系统 |
调度员培训模拟 |
||
9 |
电能量计量系统 |
电能量采集、处理 |
||
10 |
调度生产管理系统 |
应用系统(早报、日报等) |
||
11 |
电力调度数据网络 |
实时子网 |
非实时子网 |
|
12 |
调度信息发布 |
WEB服务 |
||
13 |
办公自动化 |
MIS、OA |
||
14 |
气象信息系统 |
接收、处理 |
||
15 |
视频监视系统 |
接收、处理 |
||
16 |
AVC系统 |
自动无功控制 |
继电保护和故障信息管理系统中的继电保护管理功能模块应当置于控制区,故障录波信息管理模块应当置于非控制区;当继电保护管理功能模块不具备远方设置和远方投退等控制功能时也可置于非控制区;调度员培训模拟系统和调度计划管理系统原则上应当置于非控制区,根据实际情况也可置于管理信息大区。
根据总体方案要求,结合地、县级调度中心二次系统的安全分区和安全区域边界条件,确定地、县级调度中心二次系统安全防护的总体逻辑结构如图1。
图1 地、县级调度中心二次系统安全防护总体结构示意图
调度中心的安全区域之间可以采用链式、三角或星形结构,此处仅以链式结构示意。
我国不同地区的地、县级调度中心在规模和业务系统的配置上具有很大的差别,在安全工程具体实施时可以根据应用系统实际情况,确定安全实施方案,并报上级调度中心审核。
地、县级调度中心安全防护的基本措施是结构调整,结构调整的重点是生产控制大区中业务系统原有WEB功能和数据的外移。
县级以上调度中心应当具有病毒防护措施,地区和大型县调还应配备入侵检测和安全审计等安全防护措施。
新建SCADA、AVC等具有控制功能的业务系统应当支持电力调度数字证书实现加密认证。
县调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用县级专用数据网络,不具备专网条件的也可采用公用通信网络,但必须采取数据加密等有效安全防护措施。
县级专用数据网络可以采用多种通信方式,如:光纤通信、一点多址微波、无线电通信、电力线载波、屏蔽层载波等;不具备专网条件的可采用公用通信网络,如GPRS、CDMA、TD-SCDMA、ADSL和无线局域网等,应当采取安全防护措施,并禁止与电力调度数据网互联。
4.2. 主要业务系统安全防护方案
本章仅对地、县级调度中心的主要业务系统的安全防护进行描述,不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。
4.2.1. 调度自动化系统安全防护
调度自动化系统实现对实时运行的电力系统进行数据采集、监视、控制和安全分析功能,是地、县级调度中心最重要的系统;系统主体位于控制区,WEB浏览功能模块置于管理信息大区。系统逻辑结构如图2。
图2 调度自动化系统的逻辑结构示意图
系统逻辑结构图中所指的逻辑接口(I1-I6)的描述见表2。
表2 调度自动化系统的逻辑接口
序号 |
名称 |
数据类型 |
通信方式及协议 |
I1 |
SCADA系统或PAS系统开发商的远程维护接口 |
开发商通过拨号方式远程维护SCADA系统或PAS系统软件,数据类型不定。 |
电话拨号TCP/IP |
本系统的维护人员的远程维护接口 |
通过拨号方式远程维护SCADA系统或PAS系统软件,数据类型不定。 |
电话拨号 |
|
I2 |
专用通道连接厂站 RTU/监控系统的接口 |
实时数据:遥信、遥测、遥控、遥调等数据。 |
专线 |
I3 |
网络连接厂站自动化系统或RTU/监控系统的接口 |
1.遥信、遥测及计算数据; |
电力调度数据网TCP/IP |
I4 |
与 上 下 级SCADA系统的远程通信接口 |
1.厂站的遥信、遥测; |
电力调度数据网 |
I5 |
与电能量计量系统的接口 |
1.电能量数据; |
本地局域网 |
I6 |
与控制区有关的其它系统 |
有关数据等 |
本地局域网 TCP/IP |
根据调度自动化系统的特点和电力二次系统安全防护总体方案的要求,其物理边界及安全部署如图3。
图3 调度自动化系统的物理边界及安全部署示意图
调度自动化系统的物理边界为:拨号网络边界(PI1)、传统专用远动通道(PI2)、纵向网络边界(PI3)、横向网络边界(PI4)。这四个边界的安全防护措施按照总体方案实施。并要求新建调度自动化系统的控制功能模块应当支持认证加密机制,对已有系统应当逐步进行改造。
4.2.2. 电能量计量系统的安全防护
电能量计量系统通过电能量终端装置采集电能量数据,作为计量和结算的依据,原始数据禁止修改。该系统属于非控制区,系统逻辑结构如图4。
图4 电能量计量系统逻辑边界示意图
系统逻辑结构图中所指的逻辑接口(I1-I5)的描述见表3。
表3 电能量计量系统的逻辑接口
序号 |
名称 |
数据类型 |
通信方式及协议 |
I1 |
网络连接其它电力调度通信中心的接口 |
时段电能量数据 |
电力调度数据网, |
I2 |
网络连接厂站电能量采集装置的接口 |
时段电能量数据、对时命令等信息 |
电力调度数据网, |
I3 |
拨号连接厂站电能量采集装置的接口 |
时段电能量数据、对时命令等信息 |
电话拨号 |
I4 |
与SCADA系统接口 |
电能量数据、实时数据 |
本地局域网,TCP/IP |
I5 |
与调度生产管理系统接口 |
电能量数据 |
本地局域网,TCP/IP |
根据电能量计量系统的特点和电力二次系统安全防护总体方案的要求,物理边界及安全部署如图5。
图5电能量计量系统的物理边界及安全部署示意图
电能量计量系统的物理边界为:拨号网络边界(PI1)、纵向网络边界(PI2)和横向网络边界(PI3)。这三个边界的安全防护措施按照总体方案实施。
地级调度中心的电能量计量系统主体应当位于非控制区,当下级厂站端或调度机构只有控制区时,计量数据需通过控制区传输。
推荐采用网络方式采集电能量数据,也可采用以下两种拨号通信方式:
(1)单向拨号方式。从主站端向厂站端单向拨号,避免拨号转移。厂站端的电能量采集装置与当地的其它系统需有效隔离。
(2)拨号服务器方式。该方式要求通过拨号服务器(RAS)接入非控制区的接入交换机,在RAS和接入交换机之间部署拨号认证加密装置,拨号访问应使用电力调度数字证书。
若无条件实现上述安全防护时,则禁止开通拨号访问。
4.2.3. 调度生产管理系统的安全防护
调度生产管理系统(简称DMIS系统)主要包括调度生产数据服务、调度报表管理、调度检修管理、水文气象信息、雷电监测等多种业务,系统主体位于管理信息大区。
调度生产管理系统使用电力企业数据网的生产VPN进行广域网通信,并采用硬件防火墙实现安全隔离。
调度生产管理系统与生产控制大区之间的数据通信必须采用专用横向单向安全隔离装置实现强隔离。通过正向型电力专用横向单向隔离装置从生产控制大区向管理信息大区传输实时数据和交易信息等。通过反向型电力专用横向单向隔离装置从管理信息大区向生产控制大区传输计划数据和气象信息等。
调度生产管理系统的安全防护部署如图6。
图6 调度生产管理系统安全部署示意图
5. 变电站二次系统安全防护方案
变电站二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击,以及其它非法操作,防止变电站二次系统瘫痪和失控,并由此导致的变电站一次系统事故。
变电站二次系统安全防护的重点是强化变电站边界防护,加强内部安全措施,保障变电站安全稳定运行。新建的变电站二次系统应满足本方案要求。
本方案适用于变电站、换流站、开关站二次系统安全防护,包括发电厂的升压站或开关站;集控中心或集控站的集中监控系统的安全防护可参照《地、县级调度中心二次系统安全防护方案》执行。
5.1. 变电站二次系统典型结构
变电站监控系统主要包括:变电站自动化系统、五防系统、继电保护装置、安全自动装置、故障录波装置和电能量采集装置等;换流站还包括阀控系统及站间协调控制系统等,有人值班变电站还有生产管理系统等;集控站还包括对受控变电站的监控系统等。变电站二次系统逻辑结构如图1。
图1 变电站二次系统逻辑结构示意图
变电站自动化系统按结构可分为分层分布式(站、间隔、设备三层)或全分布式(站、设备二层),如图1。
图2 变电站自动化系统结构示意图
5.2. 变电站二次系统安全分区
按变电站的电压等级、规模、重要程度的不同以及变电站运行模式(有人值班模式、无人值班少人值守模式、无人值守模式等)差别,变电站二次系统的安全区划分应该根据实际情况,按下列原则确定。
220kV以上变电站二次系统的生产控制大区应当设置控制区和非控制区,其中生产管理系统仅适合于有人值班变电站,详见表1。
表1 220kV以上变电站电力二次系统安全分区表
序号 |
业务系统或设备 |
控制区 |
非控制区 |
管理信息大区 |
1 |
变电站自动化系统 |
变电站自动化系 |
||
2 |
变电站微机五防系统 |
变电站微机五防系统 |
||
3 |
广域相量测量装置 |
广域相量测量装置 |
||
4 |
电能量采集装置 |
电能量采集装置 |
||
5 |
继电保护 |
继电保护装置及管理终端(有设置功能) |
继电保护管理终端(无设置功能) |
|
6 |
故障录波 |
故障录波子站端 |
||
7 |
安全自动控制子站系统 |
安全自动控制装置 |
||
8 |
集控站的集控功能 |
集控站的集控功能 |
||
9 |
生产管理系统 |
生产管理系统 |
||
10 |
火灾报警系统 |
火灾报警 |
对于不接入省级以上调度中心的110kV及以下变电站,其二次系统生产控制大区可不再进行细分,相当于只设置控制区,其中生产管理系统仅适合于有人值班变电站,见表2。
表2 110kV及以下变电站电力二次系统安全分区表
序号 |
业务系统或设备 |
控制区 |
管理信息大区 |
1 |
变电站自动化系统 |
变电站自动化系统 |
|
2 |
五防系统 |
五防系统 |
|
3 |
广域相量测量装置 |
广域相量测量装置 |
|
4 |
电能量采集装置 |
电能量采集装置 |
|
5 |
继电保护 |
继电保护装置及管理终端 |
|
6 |
故障录波 |
故障录波 |
|
7 |
安全自动控制子站系统 |
安全自动控制装置 |
|
8 |
集控站的集控功能 |
集控站的集控功能 |
|
9 |
生产管理系统 |
生产管理系统 |
|
10 |
火灾报警系统 |
火灾报警 |
变电站二次系统应用IEC61850国际标准时,应依据本方案的原则,将IEC61850规定的功能模块适当的置于各安全区中,从而实现国际标准与我国电力二次系统安全防护的有机结合。
5.3. 变电站二次系统安全防护的逻辑结构
根据电力二次系统安全防护总体方案的原则对变电站二次系统进行逻辑边界分析,如图3所示。
图3 变电站二次系统的逻辑结构示意图
图3中所列出的逻辑边界在表4中描述。
表4变电站二次系统的逻辑接口
序号 |
名称 |
数据类型 |
通信方式和规约 |
I1 |
开发商的远程维护接口 |
开发商通过拨号方式远程维护变电站自动化系统,数据类型不定。 |
电话拨号 |
I2 |
通过专用通道连接变电站RTU或变电站站自动系统的接口 |
1.实时数据:遥信、遥测、遥控和遥调等数据; |
专线 |
I3 |
通过网络连接变电站RTU或变电站自动化系统的接口 |
1.实时数据:遥信、遥测、遥控和遥调等数据; |
电力调度数据网 |
I4 |
位于控制区的继电保护子站与非控制区间的通信接口 |
继电保护装置状态信息 |
本站局域网 TCP或UDP |
I5 |
继电保护和故障录波管理子站、电能量采集终端与站内生产管理系统间的接口 |
1.继电保护装置状态信息; |
本站局域网 |
I6 |
故障录波管理子站、电能量采集装置以及继电保护网关与调度中心之间的接口 |
1.继电保护装置状态信息; |
电力调度数据网 |
I7 |
站内生产管理系统与上级DMIS系统间的接口 |
生产管理信息 |
电力企业数据网 TCP/IP |
I8 |
站内MIS与上级MIS系统间的接口 |
管理信息 |
电力企业数据网 TCP/IP |
I9 |
站内MIS与上级MIS系统间的接口 |
管理信息 |
外部公共网 TCP/IP |
除了图3及表4中所描述的逻辑接口以外,还有发电厂升压站或开关站的监控系统与发电厂监控系统之间的逻辑接口,集控站的集控功能部分与被控制的变电站二次系统之间的逻辑接口。
5.4. 变电站二次系统安全防护的总体部署
本章仅对典型变电站二次系统安全防护进行描述,不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。
图4 变电站二次系统安全部署示意图
对于220kV以上的变电站二次系统,应该在变电站层面构造控制区和非控制区。将故障录波装置和电能量采集装置置于非控制区;对继电保护管理终端,具有远方设置功能的应置于控制区,否则可以置于非控制区。
对于不接入省级以上调度机构的110kV及以下变电站的二次系统,其生产控制大区可以不再细分,可将各业务系统和装置均置于控制区,其中在控制区中的故障录波装置和电能量采集装置可以通过调度数据网或拨号方式将录波数据及计量数据传输到上级调度中心;在与调度中心数据通信的本侧边界上,可采用简单有效的安全防护措施。
当采用专用通道和专用协议进行非网络方式的数据传输时,可逐步采取简单加密等安全防护措施。
厂站的远方视频监视系统应当相对独立,不能影响监控系统功能。
6. 发电厂二次系统安全防护方案
本方案重点描述发电厂监控系统及与电网直接相关部分的安全防护,各发电企业应当根据本企业实际情况参照本方案制定完整的二次系统安全防护实施方案。
发电厂二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对发电厂二次系统发起的恶意破坏和攻击,以及其它非法操作,防止发电厂电力二次系统瘫痪和失控,并由此导致的发电厂一次系统事故。
发电厂安全防护的重要措施是强化发电厂二次系统的边界防护。新建的发电厂二次系统应当满足本方案要求。
本方案适用于各类发电厂。发电厂升压站或开关站部分的安全防护按照《变电站二次系统安全防护方案》执行。
6.1. 安全分区
本方案以火电厂和水电厂为例进行描述。发电厂的控制区主要包括以下业务系统和功能模块:火电厂厂级监控功能、火电机组控制系统DCS、调速系统和自动发电控制功能、励磁系统和无功电压控制功能、水电厂监控系统、梯级调度监控系统、网控系统、相量测量装置PMU、各种控制装置(电力系统稳定器PSS、快关汽门装置等)、五防系统等。
发电厂的非控制区主要包括以下业务系统和功能模块:梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、电能量采集装置、电力市场报价终端、继电保护和故障录波信息管理终端等。
发电厂的管理信息大区主要包括以下业务系统和功能模块:电厂生产管理系统、雷电监测系统、气象信息系统、大坝自动监测系统、防汛信息系统、报价辅助决策系统、检修管理系统以及办公自动化(OA)和管理信息系统(MIS)等。
对于省级以上调度机构直调的发电厂,各业务系统安全分区如表1所示。对于其他并网发电厂,特别是小型电厂,安全防护措施可以根据具体情况进行简化,对生产控制大区可不再细分,重点保护监控系统,相当于只有控制区。
表1 发电厂二次系统安全分区表
序号 |
业务系统及设备 |
控制区 |
非控制区 |
管理信息大区 |
备注 |
1 |
发电厂SIS |
厂级监控功能 |
生产管理功能 |
A2 |
|
2 |
火电机组控制系统DCS |
DCS |
A2 |
||
3 |
调速系统和自动发电控制功能 |
调速、自动发电控制 |
A1 |
||
4 |
励磁系统和无功电压控制功能 |
励磁、无功电压控制 |
A1 |
||
5 |
水电厂监控系统 |
水电厂监控 |
A1 |
||
6 |
梯级调度监控系统 |
梯级调度监控 |
A1 |
||
7 |
网控系统 |
网控系统 |
A1 |
||
8 |
相量测量装置PMU |
PMU |
B |
||
9 |
自动控制装置 |
PSS、气门快关等 |
B |
||
10 |
五防系统 |
五防系统 |
A2 |
||
11 |
梯级水库调度自动化系统 |
梯级水库调度自动化 |
A1 |
||
12 |
水情自动测报系统 |
水情自动测报 |
A1 |
||
13 |
水电厂水库调度自动化系统 |
水电厂水库调度自动化 |
A1 |
||
14 |
电能量采集装置 |
电能量采集 |
B、A1 |
||
15 |
电力市场报价终端 |
电力市场报价 |
B |
||
16 |
继电保护 |
继电保护装置及管理终端(有远方设置功能) |
继电保护管理终端(无远方设置功能) |
B |
|
17 |
故障录波 |
故障录波装置 |
B |
||
18 |
电厂生产管理系统 |
电厂生产管理 |
A2 |
||
19 |
雷电监测系统 |
雷电监测 |
A2 |
||
20 |
气象信息系统 |
气象消息 |
A2 |
||
21 |
大坝自动监测系统 |
大坝自动监测 |
A2 |
||
22 |
防汛信息系统 |
防汛信息 |
A2 |
||
23 |
报价辅助决策系统 |
报价辅助决策 |
A2 |
||
24 |
检修管理系统 |
检修管理 |
A2 |
||
25 |
管理信息系统、办公自动化 |
MIS、OA |
A2 |
||
26 |
火灾报警系统 |
火灾报警 |
A2 |
注:A1与调度中心有关的电厂二次系统
A2电厂内部二次系统
B调度中心二次系统的厂站侧设备。
6.2. 火电厂二次系统安全防护的总体部署
火电厂监控系统主要包括机组单元控制、自动发电控制、机组保护和自动装置、辅机控制、公用系统;输变电部分包括数据采集、控制保护和自动装置等;公用系统包括厂用电、化学水、输煤、燃油、循环水等。机炉电辅系统的监控系统涉及火电厂监控系统的核心业务,执行生产过程中各类一次设备的数据采集和控制,应当具有最高安全级别,可靠性要求较高。
图1 火电厂二次系统安全部署示意图
火电厂的安全区域之间可以采用链式、三角或星形结构,此处仅以链式结构示意。各安全区域边界的安全防护措施按照总体方案实施。火电厂二次系统安全防护的重点是保证电厂监控系统的安全可靠。火电厂监控系统从功能上划分为三个级别:
第一级为生产过程控制级:直接面向生产过程的现场仪表,完成生产过程的数据采集、自动调节控制、顺序控制和批量控制等。该过程的信息源来自现场的各种传感器和变送器信号,其输出直接驱动执行机构。安全防护的重点是防止外部的非法访问或入侵。
第二级为生产监控操作级:以监控操作为主要任务,面向现场运行操作人员、系统工程师,提供现场操作过程的全部信息,指导现场工作人员的相关操作。并配备各种外部设备,存储生产过程全部实时数据。另外还提供计算机接口单元及专用通信协议对外通信,通信方式有网络、现场总线、串口和并口等。应当在与厂级监控系统及调度中心的通信接口处采取安全防护措施。
第三级厂级监控系统管理一个或多个监控操作级别,通常采用基于TCP/IP的数据网络通信。主要对发电厂全厂生产过程进行综合优化、实时管理和监控。应当在生产控制大区与管理信息大区之间部署强隔离的安全防护措施。
6.3. 水电厂二次系统安全防护的总体部署
水电厂二次系统主要包括:水情自动测报系统、水电厂监控系统、继电保护和故障录波信息管理终端、电能量采集装置、大坝自动监测系统、交直流电源控制系统、电力市场报价终端等。
水电厂监控系统包括机组单元控制、机组保护和自动装置、辅机控制、公用系统控制、闸门控制;输变电部分包括数据采集、控制保护和自动装置;公用系统包括厂用电、油、水、气系统等。
图2 水电厂二次系统安全部署示意图
水电厂的安全防护部署如图2。当水电厂监控系统与监控中心或梯级调度中心之间通过广域网络连接时,应当采取必要的安全防护措施。梯级水电厂的安全防护部署如图3。水电厂、梯级水电厂的安全区域之间可以采用链式、三角或星形结构,图2、图3中仅以链式结构示意。
图3 梯级水电厂二次系统安全部署示意图
6.4. 发电厂二次系统安全防护的总体要求
发电厂的生产控制大区与管理信息大区间相连必须采取接近于物理隔离强度的隔离措施;如以网络方式相连,必须部署电力专用横向单向安全隔离装置。
发电厂内同属于控制区的各机组监控系统之间、机组监控系统与公用控制系统之间,尤其与输变电部分控制系统之间应当采取必要的访问控制措施。
非控制区内厂站端电能量采集装置与电厂其它的业务系统不存在网络方式连接、只接受调度端电能量计量系统的拨入请求、且使用专用通信协议时,可以不采取安全防护措施。
对于省级以上调度机构直调发电厂的二次系统,可在厂级层面构造控制区和非控制区。将故障录波装置和电能量采集装置置于非控制区;对于发电厂的控制区内具有电能量采集装置,可以只将计量通信网关置于非控制区。对于具有远方设置功能的继电保护管理终端应当置于控制区,否则可以置于非控制区。
对于没有DCS的小型发电厂的二次系统,其生产控制大区可以不再细分,可将各业务系统和装置均置于控制区,其中在控制区中的故障录波装置和电能量采集装置可以通过调度数据网或拨号方式与相应调度中心通信。
参与系统AGC、AVC调节的发电厂应当在电力调度数据网边界配置纵向加密认证装置或纵向加密认证网关进行安全防护。对于没有DCS系统,或不参与AGC、AVC调节的发电厂,其电力调度数据网边界配置的安全防护措施可根据具体情况进行简化。
发电厂电力市场报价终端部署在非控制区,与运行在管理信息大区的报价辅助决策系统信息交换应当采用电力专用横向单向安全隔离装置。发电企业的市场报价终端与同安全区内其它业务系统进行数据交换时,应当采取必要的安全措施,以保证敏感数据的安全。
发电厂管理信息大区的业务主要运行在发电企业数据网或公共数据网,各发电企业可遵照安全防护规定的原则,根据各自实际情况,自行决定其安全防护策略和措施。
7. 配电二次系统安全防护方案
配电二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对配电二次系统发起的恶意破坏和攻击,以及其它非法操作,防止配电二次系统瘫痪和失控,并由此导致的配电网一次系统事故。
本方案重点描述配电网自动化、负荷管理等具有控制功能的业务系统的安全防护,保证配电二次系统的安全,提高可靠供电水平。
本方案适用于配电二次系统安全防护。
7.1. 配电二次系统典型结构
配电二次系统主要包括:配电网自动化系统、电力负荷管理系统、用户集中抄表系统、配电管理系统、地理信息系统、电力营销管理信息系统、95598客户服务系统、其他相关的管理信息系统,及其相连的专用局域和广域网,结构和功能相对比较复杂。其中,配电网自动化系统和负荷管理系统具有实时控制功能,而其它系统不具备控制功能,无实时性要求。配电二次系统典型应用系统结构如图1。
图1 配电二次系统典型应用系统结构示意图
7.2. 配电二次系统安全分区
鉴于配电二次系统涉及面广,地区差异较大,为减少防护成本,降低实施风险,应当简化安全区设置,重点防护具有直接控制功能的系统。将各业务系统分别置于生产控制大区和管理信息大区。
生产控制大区主要包括具有控制功能的配电网自动化系统、电力负荷管理系统、低频低压减负荷装置等,其内部不再进行安全区的划分,逻辑上相当于只有控制区。
管理信息大区主要包括电力营销技术支持系统和管理信息系统。其中营销技术支持系统还包括用户集中抄表系统、电力营销管理信息系统、配电管理系统、地理信息系统、95598客户服务系统等,管理信息大区统一实施安全防护。安全分区如表1所示。
表1 配电二次系统安全分区表
序号 |
业务系统 |
生产控制大区(控制区) |
管理信息大区 |
1 |
配电网自动化系统 |
SCADA等 |
|
2 |
电力负荷管理系统 |
负荷控制、电能量采集 |
|
3 |
低频低压减负荷装置 |
低频低压减负荷装置 |
|
4 |
用户集中抄表系统 |
抄表 |
|
5 |
配电管理系统 |
配电管理 |
|
6 |
地理信息系统 |
地理信息 |
|
7 |
电力营销管理信息系统 |
营销管理 |
|
8 |
95598客户服务系统 |
客户服务管理 |
|
9 |
管理信息系统 |
MIS、OA |
7.3. 配电二次系统安全防护的逻辑结构
根据电力二次系统安全防护总体方案的原则,对配电二次系统进行逻辑边界分析,逻辑边界如图2所示。
图2 配电二次系统的逻辑结构示意图
图中虚线表示有的地区具有电力专用数据网,配电二次系统可通过电力专用数据网与其他调度中心和信息中心通信。系统逻辑结构图中所指的逻辑接口(I0-I9)的描述见表2。
表2 配电二次系统的逻辑接口
序号 |
名称 |
经过的数据 |
通信方式 |
I0 |
专用通道 |
实时遥测、遥信、遥控等 |
专用通信协议 |
I1 |
专用网络连接配配电终端 |
实时数据:遥信、遥测、遥控、遥调等信息 |
TCP/IP、专用通信协议 |
I2 |
公网通道 |
实时遥测、遥信等信息 |
专用通信协议 |
I3 |
通过专用网络连接负荷终端的接口 |
实时数据:遥信、遥测、遥控、遥调等信息 |
专用数据网、 |
I4 |
通过公网连接负荷终端 |
实时数据: 1、终端的遥信、遥测 2、负荷的计算数据等信息 |
TCP/IP、专用协议 |
I5 |
与管理信息大区接口 |
1、用户信息(实时信息和设备信息) |
本地局域网, |
I6 |
与上级调度自动化系统接口 |
实时信息(遥测、遥信) |
调度数据网 |
I7 |
与上级生产管理系统的接口 |
设备信息、数据 |
信息网 |
I8 |
与上级客服系统的接口 |
95598管理信息 |
信息网 |
I9 |
与上级管理信息系统接口 |
企业公共信息及其它基础信息 |
公共信息网 |
7.4. 配电二次系统安全防护的总体安全部署
本章仅对典型配电二次系统的安全防护进行描述,不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。配电二次系统安全部署如图3:
图3 配电二次系统安全部署示意图
配电二次系统的横向网络边界、传统专用远动通道、拨号访问、调度数据网络等物理边界安全防护措施按照总体方案实施。
配网自动化、负荷管理系统与被控对象之间的数据通信可采用专用数据网络,不具备专网条件的也可采用公用通信网络,但都应当采取具有一定强度的数据加密等有效安全防护措施。
专用数据网络可以采用多种通信方式,如:光纤通信、一点多址微波、无线电通信、电力线载波、屏蔽层载波等;不具备专网条件的可采用公用通信网络,如GPRS、CDMA、TD-SCDMA、ADSL和无线局域网等,应当采取等安全防护措施,并禁止与调度数据网互联。
新建配电网自动化系统及负荷控制系统应当支持必要的加解密防护措施,重点防护控制指令的安全。
在具体实施安全防护工程时,应当注意与上级安全区域的对应,防止出现纵向交叉。当上级调度中心的电能量计量系统主体位于非控制区时,计量数据需通过控制区转发。
位于管理信息大区的抄表系统和控制区中的负荷管理系统电能量采集模块之间的数据交换需穿越大区边界,应当进行必要的安全防护。
8. 电力调度数据网安全建设方案
8.1. 电力调度数据网
XX省电力调度数据网络目前涵盖XX省调、XX个地市调度、主要大型发电厂、水电站、500kV变电站、220kV变电所和部分110kV变电站共计XXX个节点。网络采用路由器组网,采用IPoverPDH/SDH技术体制,网络承载电力生产的各种应用业务信息的传输。其中I区主要包含能量管理系统、安全自动控制系统等实时监控系统,II区目前包含电能量计量系统、电力市场技术支持系统、保护故障信息系统、保护行波测距系统等。
XX省电力调度系统为三级结构,50万伏变电站直接接入国家电网,22万伏变电站直接接入省调,11万伏变电站接入地调。具体结构如下图所示:
按照国家电监会《电力二次系统安全防护规定》的要求,电力调度数据网实现“安全分区、网络专用、横向隔离、纵向认证”,应当采取以下安全防护措施:
l 在广域上利用MPLS VPN技术分为I、II两个分区,在局域上与其他网络间必须使用电力系统专用隔离装置进行隔离,I区纵向必须使用IP认证装置认证,II区可以使用IP认证装置或硬件防火墙作安全防护;
l 控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。
l 安全区间网络横向和纵向边界可部署IDS探头,对边界网络数据报文进行动态检测,以及时发现网络安全事件。
l 在生产控制大区部署综合安全管理平台或日志审计系统,对各种网络设备运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全防护设备运行日志等进行集中收集、自动分析和告警处理。
l 安全区内应部署防病毒系统,定期查杀病毒。
l 调度数据网中路由和交换设备的安全加固。
l 通过冗余备份机制增强核心网络节点的可靠性。
l 重要服务器和通信网关定期进行安全评估和加固,条件具备情况下,可采用调度数字证书进行登录的强身份认证。
8.2. 防火墙系统建设
8.2.1. 防火墙系统部署意义
设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击,防火墙的主要功能包括以下几个方面:
(1)防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性,降低受攻击的风险。
(2)防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济。
(3)防火墙强化安全认证和监控审计。因为所有进出网络的通信流都通过防火墙,使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。
(4)防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防外,又能防止内部未经授权用户对互联网的访问。
电力调度系统网络是一个分层分域的多级广域网络,控制区和非控制区、以及上下级非控制区之间都是完全不互信的域,应此需要利用防火墙设备将电力调度系统网络控制区与非控制区、以及上下级非控制区之间进行安全隔离。
基于上述的情况,本方案以天融信网络卫士高端防火墙为核心,建设电力调度数据网防火墙系统的防护系统。
8.2.2. 防火墙系统部署设计
l 控制区与非控制区网络边界部署防火墙系统,采用双机热备方式透明接入网络。
l 非控制区的纵向网络边界部署防火墙系统,采用双机热备方式透明接入网络。
非控制区纵向边界通过防火墙边界隔离与访问控制,严格控制源地址、目的地址、源端口、目的端口、协议、数据流向等。
8.2.3. 防火墙系统部署效果
l 控制对系统的访问。Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
l 增强保密性。使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
l 记录和统计网络利用数据以及非法使用数据。Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
l 策略执行。Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
8.3. 入侵检测系统建设
8.3.1. 入侵检测系统部署意义
l 入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内,而防火墙对于所保护网络内部的终端设备所发出的攻击是无能为力的,因为这种访问没有经过防火墙。
l 能够在各安全区横向和纵向网络边界、以及安全区内部的交换机等包含敏感数据和关键服务的网络中实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试,以及网络内部的攻击行为等。
l 当发现网络违规行为和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件记录、实时阻断、安全联动或执行用户自定义的安全策略等。
l 能够与重要区域的边界防火墙进行联动,及时阻断攻击行为,实现实时的入侵防御。
基于上述的情况,天融信建议以TopSentry网络卫士入侵检测系统为核心,建设电力调度数据网入侵检测系统的设计方案。
8.3.2. 入侵检测系统部署设计
l 能相互监视和控制程序的运行,确保系统的健壮性提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控。
l 通过入侵检测探测器和安全服务中心对网络内流动的数据包进行获取和分析处理,发现网络攻击行为或者符合用户自定义策略的操作,及时报警。
l 与相应区域边界部署的防火墙互动响应,阻断攻击行为,实时地实现入侵防御。
8.3.3. 入侵检测系统部署效果
l 通过入侵检测系统能够检测出网络违规模式和未经授权的网络访问尝试,及时预警,从而将攻击行为扼杀在发生之前。
l 当发现网络违规行为和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件记录、实时阻断、安全联动或执行用户自定义的安全策略等。
l 记录了详细和全面的网络行为数据,可以为很多管理系统提供分析数据源,如审计系统、安全网管系统等。
8.4. 日志审计系统建设
8.5. 安全管理平台建设
8.5.1. XX电力调度数据网SOC建设概述
8.5.1.1. 设计背景
由于以上原因,XX电力调度数据网决定建设SOC平台以实现集中的网络信息安全监控,重点保护重要资产。
8.5.1.2. 设计目的
8.5.1.3. 设计思想
8.5.1.3.1. 方案指导思想
基于XX电力调度数据网职能的特殊性,其信息安全监控体系的建设,除了要满足信息系统自身安全可靠运行的需求外,还必须符合国家的要求,如国家信息安全等级保护要求。
8.5.1.3.2. 方案政策依据
我国对信息安全保障工作的要求非常重视,国家相关部门也陆续出台了相应的文件和要求,针对XX电力调度数据网信息系统,本方案的设计指导思想主要参考以下的政策和要求:
在XX电力调度数据网SOC平台项目的设计和建议中,我们将深刻理解和借鉴以上国家各条相关政策和要求,为XX电力调度数据网SOC平台的建设提供正确导向。
8.5.1.3.3. 方案参考标准
在构建XX电力调度数据网SOC平台时,应充分分析其信息系统的实际情况并遵循有关国际/国内的信息安全标准和规范。
《GB 17859计算机信息系统安全保护等级划分准则》:这是我国政府颁布的信息安全产品等级划分准则。
《GB/T 18336信息技术 安全技术 信息技术安全性评估准则》:等同采用ISO/IEC15408(CC)《信息技术安全评估准则》。该标准历经数年完成,提出了新的安全模型,是很多信息安全理论的基础。
ISO/IEC 27001:2005:采用BS7799-2,信息安全管理体系规范,是一个可以认证的标准。
ISO/IEC 17799:2005:采用BS7799-1,信息安全管理体系实施指南
信产部《信息安全管理体系要求》(等同采用ISO/IEC 27001:2005)和《信息安全管理实用规则》(等同采用ISO/IEC17799:2005)。
8.5.2. XX电网调度数网面临的安全管理问题
在XX电力调度数据网虽然已经部署了大量的安全设备和软件,并制定了一定的安全管理制度和规程,但是仍然存在着许多安全管理方面的风险,主要体现在以下一些方面:
8.5.3. XX电力调度数据网安全管理需求
8.5.3.1. 资产基础信息管理需求
资产管理是安全管理的基础,要做到XX电力调度数据网信息系统的安全管理,必须知晓整个信息系统中都有哪些资产,资源以及其状态,如网络中各种安全产品、系统网络设备、应用等都可以看作是IT的资产。
8.5.3.2. 安全告警信息管理需求
安全告警信息管理实现对各种事件的整合管理、风险可视化以及及时响应等需求。
8.5.3.3. 安全系统告警与资产基础信息关联分析与呈现
8.5.3.4. 自动响应需求
8.5.3.5. 安全告警处理信息呈现需求
知识库做为公司内部信息安全交流和沟通的主要平台,能提供多种方式实现信息共享和交流,同时也是做为人员培训的重要资源。
8.5.3.6. 报表统计需求
8.5.3.7. 用户分级管理需求
根据XX电力调度数据网的业务特点,需要将XX电力调度数据网的用户权限进行分配,按照管理员、维护操作权限用户、监控操作权限用记有、全网审计权限用户分类,实现用户的分级管理。
8.5.4. XX电力调度数据网安全运营中心(SOC)设计方案
安全运营中心(SOC)是一种安全集中管理的形式,它不仅仅是技术(Technology)层面产品的功能实现,而是由运维人员、运维流程、制度和技术手段等不同组件充分结合的构筑的安全运维体系。
SOC安全运营核心平台+SOC安全管理运营流程+SOC安全运营组织
8.5.4.1. SOC技术模型
8.5.4.2. SOC核心平台
8.5.4.2.1. 集中安全控制台
集中安全控制台提供一个图形化的界面,使得所有SOC的安全配置都可以在一个平台上实现。控制台功能包括分析、报告、计数与配置等,为安全专家对紧急事件实时分析提供全套的分析和处理工具。
8.5.4.2.2. 事件管理中心
事件管理中心主要对不同的事件收集引擎(包括基础事件收集引擎和可定义的事件引擎两种)所收集的各类安全事件进行分布式的智能分析、过滤,并按照标准格式进行事件关联分析。
8.5.4.2.3. 数据库
数据库中存储重要的安全事件、分析报告和安全知识等,同时数据库也提供事件处理流程等信息。
安全知识的共享是安全水平提高的必要基础,天融信SOC建立完善的、多数据来源的安全知识库,安全知识库的数据和来源包括:
l 安全通告:天融信公司提供不定期的安全通告,承诺至少每15天一次,以最快速度向用户提供最新安全问题和病毒信息,这些通告也可导入知识库。
l 产品资料:产品相关的datasheet、白皮书、用户手册等可以导入知识库。
8.5.4.2.4. 远程访问客户端
8.5.4.2.5. 远程监视器客户端
5. 客户访问控制(只有授权的用户能够访问远程监视器服务器端访问SOC平台)
8.5.4.3. SOC解决的问题
8.5.4.3.1. 领导关心的问题
a) 系统内实时发生的安全活动?这些活动的危害程度?对这些活动如何有效控制?
通过对系统内发生事件的实时监控与分析,我们可以及时发现发生的安全相关活动,并根据安全活动与资产、漏洞等对应关系,分析这些活动的危害程度,严重级别等,并分析对安全事件的有效控制措施。
b) 系统每天发生多少安全攻击?都发生那些类型的攻击?那些攻击已经被成功阻断?这些攻击主要针对那些业务系统?这些攻击来自于那些地区、那些部门?
监控人员可以实时对事件进行深入分析,找出事件的相关性和关系图,可以迅速找到攻击源,目标,以及事件类型等,并可以找出攻击发生的轨迹,如何一步步深入攻击的。
c) 系统每天发生多少违规事件?哪些违规需要重点审查?这些违规来自于哪些部门、哪些人?
d) 哪些安全制度没有很好的被执行?都是哪些部门、哪些人没有执行?还缺少哪些安全制度?
8.5.4.3.2. 技术人员关心的问题
通过对业务系统的访问与操作日志进行深入分析,掌握所有人员对业务系统的操作,检查是否是规定的人员在规定的时间、规定的地点、路径、以及是否按照访问规则访问业务系统。
l 内部脆弱性的有效管理(那些业务系统有哪些脆弱性?那些已经采取措施弥补?)
通过定期分析IP地址的使用状况,资产的报表,资源的使用状况等,我们可以对所有资产的合法使用有很好的控制。
8.5.4.3.3. 安全监督和审计
通过安全运营与管理,对组织安全政策的执行情况进行有效的监督与审计
通过定期对所有访问行为的审计和分析,我们可以分析组织安全策略的具体执行情况,对所有违规行为进行审计,跟踪,处理等,有效实现对业务安全的监督。
8.5.4.3.4. 实现有效安全预警
通过安全运营与管理,对安全威胁进行有效的预警,减少安全事故造成的损失
通过安全监控,我们可以及时分析安全信息和事件,通常我们定义五级安全事件,包括:
1. 事件级别5 – 大规模事件: 通过跨用户的关联分析可以快速得到一个正在广为传播的安全威胁。适用海量数据分析结果。比如冲击波,震荡波等。.
3. 事件级别3 – 威胁事件: 观察到恶意的行为,可能尚未取得成功,产生一个相关的威胁报警。专家进行深入分析,及时阻止恶意行为,记录并随后报告给客户。客户也可以通过web potal来获得相关信息。
4. 事件级别2 – 可疑事件:观察到有探测的行为,不代表会产生威胁。事件信息会包含在定期的安全报告中,客户可通过webportal获得相关信息。
5. 事件级别1 – 安全信息: 识别出来的有用的安全信息。
对新发布的安全漏洞与安全事件,我们通过SOC平台及时通报给客户,客户可以通过mail,web等方式及时收到相关的安全通告,达到早防护的目的。
8.5.4.3.5. 安全规划支撑
通过安全运营与管理,为组织制定安全规划、编制安全投入预算提供充分的数据支撑
SOC提供的强大分析报表是组织制定安全规划、编制安全预算的重要依据。
8.5.4.4. 安全运营中心(SOC)的功能
8.5.4.4.1. 高效管理网络资源
8.5.4.4.2. 收集各个设备的安全事件
8.5.4.4.3. 综合分析安全事件,自动匹配关联
网络庞大,收集到的安全事件也是海量数据,对这些海量信息的分析成为了必须要解决的问题。只有对各种安全事件进行了综合的和有效的分析,才能利用他们,自动匹配安全事件,实现各种安全事件之间的关联管理。
8.5.4.4.4. 实时监控,综合防范
8.5.4.4.5. 有效的蠕虫、病毒防范
从国内各类大型网络来说,不止一次的遭到蠕虫和病毒的攻击,造成了无法想象的损失。蠕虫、病毒防范也是重要内容之一。
8.5.4.4.6. 提供反制的能力,精确打击
安全系统的建立为XX电力调度数据网建立了极好的安全防范系统,但是仅仅防御是不够的,我们建立有效的反制机制,使系统具备精确打击的能力。这要依靠多种系统来实现。
8.5.4.4.7. 安全信息发布机制,发挥震慑作用
8.5.4.5. 安全运营中心(SOC)的体系架构
8.5.4.5.1. 基于安全事件的安全管理
安全管理体系需要一种能够从管理的高度代表信息安全系统的动态模型,而不仅仅是一些静态的管理模型(安全策略管理、身份管理、安全意识教育等)。
l 及时的响应:当量化的风险达到一定的阈值时,系统可以提供某些机制自动抵御和降低风险,或者提供某些工具协助安全管理人员来快速响应风险。
通过对信息系统中常见的数据源的进行采集,它们根据可预先定义的配置,把各种类型的安全数据格式化成统一的格式。
通过对统一采集的事件进行过滤,冗余处理,以及根据预先定义的分类规则对事件进行归纳分类,并根据事件路由规则,把事件转发到各种事件处理服务器上或者直接转存到事件数据库中进行数据保全。
8.5.4.5.2. 面向安全业务的支撑设施
为了真正的实现有效安全事件管理,安全运营中心不只是前面提及的支撑技术,而且是一种具备高度可扩展性的基础系统和一系列适应不同环境的解决方案。
通过基于安全事件的安全管理和面向安全业务的支撑设施的实现,能够建立这样的系统:
第一、安全运营中心的组织体系为分布、分层式的管理方式,同时保持了系统的集中控管能力。
系统采用中心——二级——三级的分层结构,形成立体的信息传输网,该结构保证了系统由中心到下级单位的各个层面的不同安全需求。
第二、网络信息安全综合管理监控平台完成了多种安全设备的综合性管理。
第四、安全运营中心综合了多种安全设备信息,完成了系统的安全策略的统一制定。
安全运营中心提供了综合安全审计功能,对安全运营中心收集的各种事件信息进行深度分析,找出可疑的行为,同时生成详尽的统计和分析报表。审计分析的对象包括安全产品、应用系统、操作系统的事件信息。
安全运营中心能够对下列安全事件进行发布:安全设备的故障信息、各安全设备的攻击日志信息、各安全设备管理日志信息、联动信息、非法外联信息、PC补丁状态信息、冒用IP地址等信息、日志统计报表、日志分析报表。
安全运营中心提供一个WEB等的浏览接口,可以在网络中实时或非实时的现实当前系统的各种事件网络事件和安全事件等。
8.5.4.6. 平台安全功能设计
8.5.4.6.1. 安全预警管理
通过安全运营中心的预警系统可以让XX电力调度数据网在安全风险影响运作前加以拦阻从而达到提前保护自己的作用。
安全运营中心的预警系统可以在动态威胁和影响XX电力调度数据网业务前,事先传送相关的警示,让管理员采取主动式的步骤以保护整个信息基础架构;并预防全网业务中断、效能损失或对其公众信誉造成很大的危害。
安全运营中心的预警信息内容能提供个性化的漏洞和恶意代码告警服务,以通知组织新的潜在威胁。在发现漏洞和利用行为时,该服务能够发送通知并提供及时、可操作的信息和指导,帮助降低风险,防患于未然。
8.5.4.6.2. 安全监控管理
安全运营中心通过其在线式的管理其IT资源状态和实时安全事件,因而它能及时关注IT资源和安全风险的现状和趋势,通过对这些方面的统一管理来提高安全性和IT资源的效能。
通过安全运营中心分布式的多级部署方式实现其对各个子系统的全网监控和综合分析能力,同时对安全运营中心不同安全等级和安全类型的用户提供相应权限的监控界面和信息,从而严格满足其安全等级划分的用户级要求。
8.5.4.6.3. 安全防护与响应管理
当XX电力调度数据网系统通过安全运营中心的智能分析和安全定位功能确认安全事件或安全故障时,由安全运营中心运维支撑系统直接调派其安全服务人员小组(提供安全服务的供应商)进行相应的安全加固防护。
8.5.4.6.4. 安全恢复管理
8.5.4.6.5. 安全反击管理
取证在计算机安全事件的调查中是非常有用的工具,可以给XX电力调度数据网和相关调查人员提供安全事件的直接取证,因此通过安全运营中心对全网监控的安全事件的存储和分析以达到安全取证的目的。
8.5.4.7. 安全管理平台部署
8.5.4.7.1. 安全管理平台部署拓扑设计
我们建议在调度数据网部署安全管理系统,对全网网络设备、安全系统进行综合安全管理,归并告警事件,分析设备日志。
8.5.4.7.2. 系统策略设计
安全运营中心需要支撑着整个安全保障系统,因此它是由安全运营中心各级部分共同组成的系统性基础设施,所以安全运营中心的策略、职责和范围也有各自的偏重。
风 险 级 别 |
低 |
低风险事件 |
较低 |
较低风险事件 |
|
中 |
中风险事件 |
|
较高 |
较高风险事件 |
|
高 |
高风险事件 |
用户的等级分析:
安全运营中心的用户划分为3级,具体如下:
l 超级管理员:具有超级权限,可以进行任何操作。
l 普通管理员:可以对授权的区域进行配置、监控以及报表输出等操作。
l 监控管理员:只能对授权区域进行事件和资源的监视,以及对应的报表输出等操作。
8.6. 纵向加密认证系统建设
可以使用防火墙代替IP认证加密装置对安全区I/II进行一定程度的边界防护。
8.7. 正/反向安全隔离装置建设
电力专用安全隔离装置作为安全区I/II与安全区III的必备边界,要求具有最高的安全防护强度,是安全区I/II横向防护的要点。
其中,安全隔离装置(正向)用于安全区I/II到安全区III的单向数据传递;安全隔离装置(反向)用于安全区III到安全区I/II的单向数据传递。
8.8. 调度数字证书系统建设
公钥技术是利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服务的统一的技术框架。
电力调度业务系统及数据网络中需要发放数字证书的对象主要包括:
1) 调度系统内部关键应用系统服务器,目前包括调度端SCADA系统、电力交易系统、厂站端的控制系统;
2) 以上关键应用系统的相关人员,包括用户、管理人员、维护人员;
3) 关键设备:通信网关机、IP认证加密装置、安全隔离装置、线路加密设备、以及部分网络设备(如厂站端接入交换机)。
数字证书为这些实体提供以下安全功能支持:支持身份认证功能、支持基于证书的密钥分发与加密、支持基于证书的签名以及基于证书扩展属性的权限管理。
关键应用的用户、系统管理人员以及必要的应用维护与开发人员,在访问系统、进行操作时需要的持有的证书。
网络设备、服务器主机,在接入本地网络系统与其它实体通信过程中需要持有的证书。
8.9. 防病毒系统建设
病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II的主机与工作站。
应当及时更新特征码,查看查杀记录。对安全区I和II病毒特征码必须以离线的方式及时更新。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。
8.10. 服务器主机防护建设
主机安全防护主要的方式包括:安全配置、安全补丁、安全主机加固。
通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理操作系统及应用软件的安装与使用。
安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合规定的主机安全策略,防止主机权限被滥用。
Ø 关键应用系统主机,包括调度自动化系统(SCADA)、变电站自动化系统、电厂监控系统、配电自动化系统等的主服务器,电力交易系统主服务器等。
9. 电力企业数据网安全建设方案
9.1. 电力企业数据网
依据国家电网公司的指导意见,并结合国家电监会《电力二次系统安全防护规定》的“安全分区、网络专用、横向隔离、纵向认证”的要求,XX省电力公用信息网络将遵循以下原则进行安全防护体系建设:
l 在现有广域(公用信息网)采用MPLS/VPN技术设置信息外网广域网通道,通过信息外网广域网统一管理信息外网的网络设备,共享信息外网信息资源。
l 完成信息内网和信息外网的安全建设,部署防病毒、防火墙、互联网审计系统,以及桌面管理系统。
9.2. 信息内网安全防护体系建设
XX省电力公司信息内网属于电力网络的管理信息大区中,信息内网定位为内部业务应用系统承载网络和内部办公网络,部署了大量的应用服务器和数据库服务器、以及不需要外联的办公终端。
信息内网应用系统有财务管理(内)、营销管理(内)、电力市场交易(内)、招投标(内)、安全生产、协同办公、人力资源、项目管理、物资管理和综合管理等,此外,信息内网还部署了内部门户以及邮件系统等。
为了完善XX省电力公司安全防护体系建设,信息内网应当部署以下安全防护手段:
信息内网内部不同安全区域之间部署防火墙,增强区域隔离和访问控制力度,严格防范越权访问、病毒扩散等内部威胁;
信息内网出口处部署防火墙系统,实现网络边界防护,同时保护Web服务器域;
信息内网出口处部署VPN系统,为移动办公、营销系统远程访问等提供接入防护,客户端应当采取硬件证书的方式进行接入认证;
为了统一管理和维护,XX省电力的移动办公统一入口设在信息内网的VPN网关处;
信息内网核心交换机和重要网段部署入侵检测系统,实现对网络流量的动态监视、记录和管理、对异常事件进行告警等;
信息内网部署一套日志审计系统,采用分级部署方式,实现全省信息内网安全事件的集中收集和审计问题;
XX省电力信息内网统一部署终端管理系统,实现终端设备的统一管理和防护;
XX省电力公司信息内网部署一套防病毒系统,采用分级部署方式,控管中心设在XX省电力公司本部,地市供电公司分别安装二级控管中心和防病毒服务器,接收控管中心的统一管理。
XX省电力公司信息内网部署一套安全管理平台,全面提升安全管控能力和效果;
9.3. 信息外网安全防护体系建设
XX省电力公司信息外网属于电力网络的管理信息大区中,信息外网定位为对外业务服务网络和访问互联网用户终端网络,部署了对外提供服务的应用服务器、以及上网终端等。信息内网的网络拓扑示意如下:
信息外网应用系统有财务管理(外)、营销管理(外)、电力市场交易(外)、招投标(外)等,95598网上客服、网上缴费等系统也部署在信息外网。此外,取消信息内网的邮件系统,统一部署到信息外网中来。
为了完善XX省电力公司安全防护体系建设,信息外网应当部署以下安全防护手段:
信息外网内部不同安全区域之间部署防火墙,增强区域隔离和访问控制力度,严格防范越权访问、病毒扩散等内部威胁;
信息外网的互联网出口处和公用信息网出口处部署防火墙系统,实现网络边界防护,同时保护Web服务器域;
信息外网互联网出口处部署VPN系统,为OA等远程访问等提供接入防护,客户端应当采取硬件证书的方式进行接入认证;
信息外网核心交换机和重要网段部署入侵检测系统,实现对网络流量的动态监视、记录和管理、对异常事件进行告警等;
XX省电力信息外网统一部署终端管理系统,实现终端设备的统一管理和防护;
XX省电力公司信息外网部署一套防病毒系统,采用分级部署方式,控管中心设在XX省电力公司本部,地市供电公司分别安装二级控管中心和防病毒服务器,接收控管中心的统一管理。
XX省电力公司信息外网部署一套安全管理平台,全面提升安全管控能力和效果;
10. 安全制度体系建设
加强网络的安全管理,制定有关规章制度,对于确保系统安全、可靠地运行,将起到十分有效的作用。安全管理包括机构组织管理、人员管理、技术安全管理、技术文档管理及密钥管理等。
10.1. 安全组织体系建设
主管领导应领导安全体系的建设实施,在安全实施过程中取得相关部门的配合。领导整个部门不断提高系统的安全等级。
网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。安全操作员负责安全系统的具体实施。
(2)共建安全管理部门之间要互相协作,定期通报安全问题,制定防范措施。
(3)根据安全策略、安全管理计划的要求,定期对系统开展风险分析、安全性评估等方面的工作。
10.2. 安全管理制度建设
面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。
10.2.1. 制定和实施安全管理的原则
多人负责原则。每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。
任期有限原则。一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。
职责分离原则。除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
10.3. 安全管理的规范
10.3.1. 硬件设施
b) 计算机设备的选型、购置、登记、保养、维修、报废等必须严格按规定手续办理,重大设备应建立维护档案。
c) 选用的计算机设备必须经过技术论证,符合国家有关标准的规定,满足可靠性与兼容性要求。
a) 计算机机房建设应符合国标GB2887-89《计算机场地技术条件》和GB9361-88《计算站场地安全要求》。
i. 机房应有单独的配电柜,计算机系统要设有独立于一般照明电的专用的供配电线路,其容量应有一定的余量,建议采用双路供电;
ii. 机房应配备不间断电源设备,其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。无备用发电机时,不间断电源设备应能够持续供电4小时以上。
i. 机房应采用独立的直流地、交流工作地和防雷保护地。直流地和防雷保护地之间的距离应大于10米;
ii. 直流地的接地电阻应小于2欧姆,交流工作地的接地电阻应小于4欧姆,防雷保护地的接地电阻应小于10欧姆;
i. 机房的使用面积(不包括不间断电源放置面积)不得小于30平方米;
ii. 机房的操作间与设备间应作分隔,布局应有良好的人机工作环境,保障工作人员的安全与健康;
b) 通信线路接口部分应采取防止非法进入的安全措施,如IDS和入侵检测系统。
a) 布线系统设计可参照CECS89-97《建筑与建筑群综合布线系统工程设计规范》。在现行技术条件下,宜使用五类双绞线。
b) 网络结构应合理可靠,划分安全域并严格限制互相访问的权限。
iii. 需要提供的试验性服务不能放在内部网络中,要放在IDS以外。
v. IDS要提供持续不断的服务,在用户使用量少的时候进行维护。
vii. 要保留详细的IDS日志,不仅在本地保存,还要放在集中的日志服务器上。
iv. 发现报警信息,要能及时地分析,排除误报,发现安全事件并汇报。
ii. 指定专人负责计算机病毒防范工作。定期进行病毒检测,发现病毒立即处理并报告;
iii. 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用;
ii. 服务器应具有一定的容错特性,宜采用镜像、阵列、双机、群集等容错技术;
ii. 除计算机机房外,用户工作站要禁用USB、光驱等移动存储。
e) 在对办公设备的操作必须按照操作说明规范操作,不得人为的损坏机器和浪费资源。
10.3.2. 软件环境
a) 系统软件主要包括操作系统软件和数据库管理软件。系统软件的选用应充分考虑软件的安全性、可靠性、稳定性和健壮性。
iii. 故障恢复功能,能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和数据丢失;
iv. 安全保护功能,对信息的交换、传输、存储提供安全保护;
v. 安全审计功能,便于应用系统建立访问用户资源的审计记录;
vi. 分权制约功能,支持对操作员和管理员的权限分离与相互制约。
e) 数据库管理软件除上述功能要求外,还应具有数据库的安全性、完整性、一致性及可恢复性保障机制。
a) 应用软件包括核心业务系统、银保通、销售支持系统及其它业务处理系统等。
viii. 应存储一年以上完整的系统运行记录与交易清算记录;
a) 应用软件在开发或购买之前应正式立项,成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系。
c) 软件开发过程应符合GB8566-88《计算机软件开发规范》。
d) 软件开发过程的安全保障应参考ISO17799第10项“系统的开发和维护”。
e) 开发维护人员与操作人员必须实行岗位分离,开发环境和现场必须与生产环境和现场隔离。软件设计方案、数据结构、加密算法、源代码等技术资料严禁流入生产现场、散失和外泄。
f) 应用软件在正式投入使用前必须经过内部评审,确认系统功能、测试结果和试运行结果均满足设计要求,技术文档齐全,并经分管领导批准。
i) 建立应用软件的文档管理制度、版本管理制度及软件分发制度,防止软件的盗用、误用、流失及越权使用。
a) 技术资料是指与信息系统有关的技术文件、图表、程序与数据,包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、技术数据及相关技术资料。
b) 各级管理机构应制定技术资料的管理制度,明确执行管理制度的责任人。
10.3.3. 数据管理
a) 系统数据主要包括数据字典、权限设置、存贮分配、网络地址、硬件配置及其它系统配置参数。
b) 应制定系统数据管理制度,对系统数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄漏、丢失与破坏。
b) 应建立业务数据管理制度,对业务数据实施严格的安全保密管理。
c) 对业务数据实行专人管理。其他人员不得拥有数据库管理员操作口令。
i. 每个工作日结束后必须制作数据的备份并异地存放,保证系统发生故障时能够快速恢复;
ii. 业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少10年;
iii. 备份的数据必须指定专人负责保管,应在指定的数据保管室或指定的场所保管;
vi. 备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
iii. 无正当理由和有关批准手续,不得查阅客户资料。经正式批件查阅数据时必须登记,并由查阅人签字;
v. 根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续。
b) 数据库管理系统的口令必须由专人掌管,并要求定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令。
c) 操作人员应有互不相同的用户名,定期更换操作口令。严禁操作人员泄露自己的操作口令。
e) 各岗位操作权限要严格按岗位职责设置。应定期检查操作员的权限。
10.3.4. 事故处理
a) 事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行,经启动备用系统仍未恢复正常,导致系统中断服务并造成经济损失的事件。
b) 技术事故的防范原则是:预防为主、处理及时,力争把事故的损失降低到最小程度。
c) 建立健全技术事故的防范对策,严格按本规范要求建设、管理信息系统的硬件设施和软件环境,定期进行事故防范演习,针对薄弱环节不断改进完善。
iv. 对执行应急计划的全体人员进行专项培训,定期进行演习;
ii. 因软硬件故障导致的技术事故,经技术专家论证,确认信息系统建设和管理符合本规范要求,确属小概率或偶发性事件;
b) 因通信线路故障导致的技术事故,应会同通信部门共同调查,界定责任。
c) 因人为操作失误导致的技术事故,经调查核实后,相关部门及人员负相关责任。
i. 立即进行事故调查,提出书面调查报告,必要时可组织有关专家鉴定,确定事故的原因和责任;
10.4. 安全管理制度
我们建议XX电力调度数据网通过安全制度体系建设服务建立全方位的不同层次安全管理文档,包括:
CISCO、华为、H3C、Juniper、阿尔卡特等网络设备的《数据网络产品安全配置规范》;
《XX电力数据网络安全应急响应制度》,并通过模拟事故检验其有效性。应急制度应该以保障通信为出发点,体现先遏制问题并恢复通信、再查找原因彻底解决故障,而后回顾和改进的思路。
在以上的基础上,我们建议还增加如下管理制度,以完善南网的安全制度体系:
10.5. 安全管理手段
XX电力调度数据网信息系统安全技术管理体系是实施安全管理制度的技术手段,是安全管理智能化、程序化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。
网络安全管理,主要对XX电力调度数据网信息系统的IDS、入侵检测系统等网络安全设备进行管理;
应用安全管理,主要对XX电力调度数据网信息系统的应用安全系统进行管理,如用户认证系统的管理、病毒防范系统的管理。
安全管理策略中的网络设备综合管理系统、安全系统综合管理系统和核心业务和服务运行监管中心都是通过该部分实现,将在方案的其他部分描述。
10.5.1. 网络安全管理
在安全管理平台的控制下,通过SNMP、RMON、TOPSEC等协议与被管设备、主机、服务进行通信,实现有关的安全管理。
维护并识别被管设备、主机、服务的身份,防止非法设备、主机、服务的接入,防止设备、主机、服务之间的非法操作。
实时监视被管设备、主机、服务的运行,发生异常时向管理员报警。
维护被管设备、主机、服务的配置信息,防止非授权修改,配置遭到破坏时可自动恢复。
配置网络的安全策略,设置网络边界安全设备的访问控制规则和数据包加解密处理方式。
实现网络安全风险集中统一管理,如入侵检测系统、漏洞扫描系统的管理。
10.5.2. 应用安全管理
在应用安全管理平台的支持下,安全管理员使用安全控制台实施应用安全管理策略。安全管理员可以:
10.5.3. 系统运行管理
定期检查各种审计日志、安全事件报告、敏感操作记录等。查找安全隐患,并进行分析和处理。
定期检查非涉密网上有无涉密信息,涉密网终端有无上非涉密网的现象。
10.6. 紧急应急体系
10.6.1. 建立技术交流机制
10.6.2. 专业应急响应和支援的技术队伍
购买或自建对应急情况进行支援(包括病毒防治、网络防护、关键数据修复和技术人员重大任务和突发情况下的支援等等)。
10.6.3. 专业服务队伍提供各类安全服务。
购买专业安全服务,对包括威胁与脆弱点分析、系统安全风险分析、系统安全设计、安全需求分析、系统安全测试和安全保密培训等部分进行外包。
10.7. 应急响应流程
当一个严重网络漏洞出现时,有可能威胁到系统的正常运行时,值班工程师,将会立刻通知系统管理员,并告知补救的措施。
在网站出现非正常运行时,值班工程师将立刻到现场,帮助分析问题的原因,在尽可能短的时间内恢复网站正常工作,并作出事故分析报告, 并提交上一级主管部门。
10.7.1. 事件检测:进行快速评估
l 必须注意到从一个地点发起的攻击可能隐藏了攻击者的真正所在地。
10.7.2. 立即行动:限制损失
l 如果发生了较为严重的事件,管理负责人和技术负责人应该决定所采取的应急手段以消除威胁,限制损失。
l 启动事件日志:记录每一个发生的动作、事件、证据(要有时间和日期)
10.7.3. 可能的立即行动
l 网络或计算机并不关闭,而是试着在不影响服务的前提下使损失最小化;
l 立即对日志、数据进行备份,应该保存在磁带上或其它不联机存储设备。
10.7.4. 公共关系/社会交往
l 如果希望就攻击的细节问题与其它人要讨论,要使用加密带签名(如PGP)的电子邮件;
l 如果需要,并且得到新闻负责部门的授权,应将事件信息通知其它受影响的站点;
l 如果要采取的立即措施影响到了对用户提供的服务,要决定要给用户发送什么消息。
10.7.5. 详细的情况分析
l 评估损失的范围,如分析系统:有没有被改动的文件;有没有被增加/修改的程序或用户帐号;如果发现了修改,在相似的系统上检查这些变动;
l 不能信任被攻入系统中的程序,将它们与安全的版本进行比较。
l 攻击者所利用的漏洞是否已经解决;其发生的原因是否已经处理;
l 如果需要对IDS等安全设备进行修改,对相关产品安全配置进行修改。
电力行业安全建设方案相关推荐
- 输电线路巡检机器人PPT_常见的电力行业智能巡检方案.ppt
常见的电力行业智能巡检方案 金惠科技电力行业智能巡检方案 背景需求 解决方案 应用领域 汇报提纲 电力行业智能巡检背景 在智能电网和物联网高速发展的今天,电力设备巡检已不再满足于人工巡检的现状,它需要 ...
- 化妆行业网站建设方案
化妆品业网站建设方案详解 一.定义: 化妆品行业属于较为精细化工类的行业,主要通过对原材料进行混合.分离.粉碎.加热等物理或化学方法,使原材料增值. 通常,以批量或连续的方式进行生产,和离散型生产相 ...
- 电力行业设备远程监控及预警系统
随着我国经济的快速增长,推动了国网电力行业的建设和发展.日常生活和企业工厂生产都已离不开电力系统,电力系统在当今阶段占有举足轻重的地位.如何有效维护.推动电力系统的安全稳定高效运行,已经成为国网电力行 ...
- 五金机械行业网站建设方案
电子电器行业网站建设方案 以电子行业宣传与营销为核心定制的,而且网站的栏目功能比较全面, 全部采用精美设计,结合高速主机与国际域名,对电子行业企业的营销活动有很大的帮助,适合电子行业企业建 ...
- 智和网管平台SugarNMS电力行业综合网管解决方案
第1章 电力行业网络管理背景 电力行业是国家的重点单位,关系到国计民生.随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多,网络管理的难度也越来越大.同 ...
- 直播预告:电力行业互联网改革思路与应对方案
本次分享主要针对电力行业与大家共同探讨.电力行业包括电力公司和电力辅业公司,其中电力公司包括了发电.输变配售电.用电,电力辅业公司包括了设计建设和设备.电力行业,尤其是国网和南网,在十一五和十二五的规 ...
- 洞见未来|电力可视化运营大脑——Wyn BI数据可视化建设方案
一.背景介绍 目前数据是电力企业的战略资源,数据可视化分析已经成为电力行业发电运行.故障检修.用电客户活动.燃料供应.发电能力评估.发电报价与交易.预算与计划业务应用.智能分析决策的重要基石.电力企业 ...
- 高校舆情监控系统建设(TOOM)如何做好教育行业舆情监控方案?
高校作为高密度学生聚集地,舆情管理上,需要保持高度的警惕性.高校中大学生是活跃在互联网上的重要群体,他们作为文化水平较高.思维较活跃的特殊群体,其网络中的言论合集往往会引发社会关注.高校舆情监控系统建 ...
- 5G ToB行业专网建设方案和关键技术
[摘 要]行业专网建设是5G网络发展的重要组成,并驱动5G快速发展,电信运营商需要考虑5G ToC公网和ToB专网的融合部署.介绍了5G ToB行业专网的建设方案,分析了5G ToB专网的安全性保障 ...
- 电力公司机房建设信息服务器,供电局信息中心机房建设方案-20210801090042.pdf-原创力文档...
供电局信息中心机房建设方案 供电局信息中心机房建设方案 供电局信息中心机房建设方案 目 录 第一章.前 言 3 第二章.机房建设解决方案 4 一.工程概况 4 二.设计引用标准和依据 4 三.建设内容 ...
最新文章
- egg风格 什么意思_egg是什么意思
- 第一个问题就难倒我了!
- 较高人工智能的人机博弈程序实现(多个算法结合)含C++源码
- nefu java作业2020.3.11第二章
- [深度学习] PyTorch-BigGraph 使用
- 收藏 | 超轻量目标检测模型NanoDet,比YOLO跑得快,上线两天Star量超200
- 03-搭建Eureka注册中心和服务端
- 【BZOJ-2400】Spoj839Optimal Marks 最小割 + DFS
- bzoj 2761 平衡树
- 美国亚马逊账号被锁定之后
- 如何将 Mac Dock 恢复到原始设置?
- [转]Java集合类: Set、List、Map、Queue使用场景梳理
- 绕过某省某大学校园网的探索(处女作)
- [算法题]返回数组A的元素组成的小于n的最大数
- iOS 上的插件化设计
- ARP局域网断网攻击原理分析及演示
- 算法还是算力?一篇微博引爆深度学习的“鸡生蛋,蛋生鸡”问题
- Android发送消息的核心代码,Android 抖音 发消息Call 调用 实现群发消息 代码hook源码...
- matlab tcpip数据解析,Matlab数据输出、、从MATLAB 以tcpip方式传输数据到 vvvv
- 后端验证 Facebook 登录是否有效
热门文章
- python爬虫百度地图_Python抓取百度地图的数据
- 远程桌面工具TeamViewer模块之顶部菜单
- 【利用FLASH制作交互式课件】
- 超级管理器Android,超级文件管理器官方最新版下载-超级文件管理器 安卓版v5.5.2-PC6安卓网...
- android模拟机新闻APP,Exagear ET(Exagear模拟器)
- AE zoom to selected 地图刷新
- doe五步法_DOE系列--试验设计(DOE)五部曲
- 为了开发世嘉MD游戏我写了个Tile地图编辑器
- 做了三年开发后,我选择回家创业
- 《深度学习》之 VGG卷积神经网络 原理 详解