黑盾“加固”电力二次系统安全防护
电力监控系统及调度数据网作为电力系统的重要基础设施, 其 安全问题一直是国家有关部门关注的重点之一。一方面, 电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面, Internet 技术和因特网已得到广泛使用, E-mail、Web 和 PC 的应用也日益普及,但同时病毒和黑客也日益猖獗。黑客在 调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的威胁。电力二次系统 的安全性和可靠性已成为一个非常紧迫的问题。
根据电力企业的特点,信息安全按其业务性质一般可分为四种:一种为电网 运行实时控制系统,包括电网自动发电控制系统及支持其运行的调度自动化系统,火电厂分布控制系统( DCS , BMS , DEH , CCS ) , 水电厂计算机监控系统,变电所及集控站综合自动化系统,电网继电保护及安全自动装置,电力市场技术支持系统。第二种为电力营销系统,电量计费系统,负荷管 理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。 海峡信息公司通过对电力二次系统 特点、目前状况和安全要求的 深刻理解,根据 《 全国电力二次系统安全防护总体方案》的要求,采用公司的核心产品黑盾防火墙、黑盾网络入侵检测系统和黑盾 VPN 设备,对 整个二次系统 分为四个安全工作区,进行总体的安全防护策略部署:实时控制区(安全区Ⅰ)、非控制生产区(安全区Ⅱ)、生产管理区(安全区Ⅲ)、管理信息区(安全区 Ⅳ)。 提出如下图所示的电力行业安全整体防护解决方案:
图 1 电力二次系统安全防护总体示意图 安全防护目标 • 防止通过外部边界发起的攻击和侵入,尤其是防止由攻击导致的一次系统的事故以及二次系统的崩溃;
• 防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。 • 分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分
区,重点保护电力实时控制以及生产业务系统。
• 所有系统都必须置于相应的安全区内,纳入统一的安全防护方案; • 系统的安全区间隔离。安全区Ⅰ与安全区Ⅱ之间允许采用逻辑隔离;安全区Ⅰ、Ⅱ 与安全区Ⅲ、Ⅳ之间隔离水平必须接近物理隔离。
• 网络隔离。电力调度数据网 SPDnet 与电力数据通信网 SPTnet 实现物理隔离, SPDnet 提供二个相互逻辑隔离的 MPLS- VPN 分别与安全区Ⅰ和安全区 Ⅱ进行通信 。
• 纵向防护。安全区Ⅰ、Ⅱ的纵向边界应该部署 IP 认证加密装置; 安全区Ⅲ、Ⅳ 的纵 向边界应该部署硬件防火墙。 双重安全闸门,双重安全保障
安全区 I 是实时控制区,安全保护的重点和核心; 安全区Ⅱ是非控制生产区;安全区Ⅲ是生产管理区;安全区 IV是管理信息区。
• 网络防火墙系统 防火墙通过网络地址转换(NAT)功能来隐藏内部网络的IP地址; 通过其动态访问过滤
功能动态检查流经的 IP数据包,根据设定的规则决定数据包是否可以通过,并将不合法的数据包过滤掉;通过其URL地址限定功能限制对某些站点的访问,防止内部网络对外部网络 进行不安全的访问。 防火墙产品可以部署在安全区 I与安全区II之间及安全区III与安全区IV(横向),实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方,还需要 考虑在调度数据接入处部署(纵向),以保证本地调度系统的安全。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。具 体选用的防火墙必须经过有关部门认可的国产硬件防火墙。推荐使用黑盾防火墙。
• 网络防毒系统
网络防毒系统可以采用C/S模式,在网络防毒服务器中安装杀毒软件服务器端程序,并 通过 Internet利用LiveUpdate功能,从免疫中心实时获取最新的病毒码信息。服务器和网络工作站都安装客户端软件,利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。 • 网络入侵检测系统
入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进 的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员 提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制,可广泛应用于 电力行业各单位。推荐使用黑盾网络入侵检测系统。
以上看到,该网络综合采用了各种网络安全技术,包括防火墙、入侵检测、安全漏洞扫描、网络防病毒等。在电力系统的一些网络中还采用 VPN 等技术。这些安全技术在一定程度上保护了网络、主机和系统服务免受来自外部的攻击和破坏,对病毒的危害也能够起到一定的防范效果。但是,这些安全措施在防 范来自内部的攻击,保护应用系统和信息安全方面却无能为力。“后续的工作将是在逐步完善安全体系的基础上,把建设重点由以网络安全为主应用安全为辅转入以 应用安全为主网络安全为辅的阶段。” 信息安全解决方案应该全面考虑信息存储、传输、处理和访问等各环节的安全要求,所以安全方案还必须包括如下组成部分: 1.安全的身份认证:安全的身份认证是安全的第一步,不安全的身份认证可能造成用户假冒,使其它安全措施失去作用。
2.数据备份: 对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。
3.通信安全:采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。 4..文件安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,并实现对文件访问的控制。 5 数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
6..安全审计:通过记录审计信息来为信息安全问题的分析和处理提供线索。 通过以上的各种防护措施,电力二次系统安全防护的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击,能够抵御集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统故障。 成功应用案例:
福建省水口发电有限公司、龙岩电厂、福建安砂水力发电厂、闽东水电开发有限公司、福建
