國華河北分公司 電力監控系統安全防護 昝永清 電力監控系統安全防護 背景原則 背景原則 震網病毒事件 2010年11月Stuxnet蠕蟲 震網病毒 攻擊伊朗核電廠 該病毒專門針對西門子公司的SIMATICWinCC監控與數據采集 SCADA 系統進行攻擊 造成伊朗布什爾核電站推遲發電 震網病毒將工業控制系統信息安全推到了風口浪尖 背景原則 網絡安全內容 安全功能 安全管理 安全檢測 安全恢復 安全策略 安全維護 安全預防 安全治理 背景原則 木桶理論 背景原則 進不來 拿不走 看不懂 改不了 走不脫 網絡安全目標 網絡安全五元素 電力監控系統主要內容 主要內容 電力監控系統防護原則 安全分區 網絡專用 橫向隔離 縱向認證 主要內容 安全分區 按照 電力監控系統安全防護規定 將發電廠基于計算機及網絡技術的業務系統劃分為生產控制大區和管理信息大區 并根據業務系統的重要性和對一次系統的影響程度將生產控制大區劃分為控制區 安全區I 及非控制區 安全區II 重點保護生產控制以及直接影響電力生產 機組運行 的系統 主要內容 網絡專用 電力調度數據網是與生產控制大區相連接的專用網絡 承載電力實時控制 在線生產交易等業務 發電廠端的電力調度數據網應當在專用通道上使用獨立的網絡設備組網 在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離 主要內容 橫向隔離 橫向隔離是電力監控系統安全防護體系的橫向防線 應采用不同強度的安全設備隔離個安全區 在生產控制大區與管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置 隔離強度應當接近或達到物理隔離 生產控制大區內部的安全區之間應當采用具有訪問控制功能的網絡設備 安全可靠的硬件防火墻或相當功能的設施 主要內容 縱向認證 縱向加密認證是電力監控系統安全防護體系的縱向防線 發電廠生產控制大區與調度數據網的縱向連接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置 實現雙向身份認證 數據加密和訪問控制 主要內容 生產控制大區 管理信息大區 控制區 安全I區 非控制區 安全II區 安全區劃分 電力監控系統安全區 主要內容 安全系統部署 主要內容 風電場監控系統 安全區主要內容 無功電壓控制AVC 有功功率控制AGC 同步向量測量PMU 升壓站監控系統 風功率預試系統 電能量采集裝置 故障錄波裝置 天氣預報系統 檢修管理系統OMS 測風塔系統 控制區 安全I區 管理信息大區 主要內容 安全區的特點 控制區 安全I區 是電力生產的重要環節 安全防護的重點與核心 直接實現對一次系統運行的實時監控 縱向使用電力調度數據網絡或專用通道 非控制區 安全II區 所實現的功能為電力生產的必要環節 在線運行 但不具備控制功能 使用電力調度數據網絡 與控制區中的系統或功能模塊聯系緊密 管理信息大區 管理信息大區是指生產控制大區以外的電力企業管理信息系統的集合 典型業務系統包括調度管理系統 行政電話網管系統 綜合數據網等 電力企業可根據具體情況劃分安全區 但不能影響生產控制大區的安全 電力監控系統安全防護技術措施 技術措施 主要內容 密碼技術 邏輯隔離 入侵檢測 防病毒措施 備用與容災 主機防護 Web服務的使用與防護 安全免疫 內網安全監視 技術措施 密碼技術 加密涉及三個基本元素 明文 密文和密鑰明文 cleartext 就是人們或計算機可懂的語言 密文 ciphertext 就是明文經加密變換后人們或計算機不可懂的語言 密鑰 key 參與加密變換的一個參數 經常是一個二進制字符串 技術措施 密碼技術 PKI技術 PKI基于公鑰體系 在該體系的安全系統中 密鑰是成對生成的 每對密鑰由一個公鑰和一個私鑰組成 完全相同 技術措施 邏輯隔離 防火墻產品可以部署在安全區I與安全區II之間 橫向 實現兩個區域的邏輯隔離 報文過濾 訪問控制等功能 入侵檢測系統 其IDS探頭主要部署在 安全區I與II的邊界點 調度數據專網的接入點 以及安全區I與II內的關鍵應用網段 其主要的功能用于捕獲網絡異常行為 分析潛在風險 以及安全審計 防病毒措施 病毒防護是調度系統與網絡必須的安全措施 建議病毒的防護應該覆蓋所有安全區I II III的主機與工作站 病毒特征碼要求必須以離線的方式及時更新 備用與容災 對關鍵業務的數據與系統進行備份 確保數據損壞 系統崩潰情況下快速恢復數據與系統的可用性 技術措施 主機防護 通過合理地設置系統配置 服務 權限 減少安全弱點 禁止不必要的應用 作為調度業務系統的專用主機或者工作站 嚴格管理系統及應用軟件的安裝與使用 Web服務的使用與防護 禁止安全區I中通用Web服務 禁止安全區I中的計算機使用瀏覽器訪問安全區II的Web服務 安全免疫 生產控制大區具備控制功能的系統應逐步推廣應用以密碼硬件為核心的可信計算技術 用于實現計算環境和網絡環境安全可信 免疫未知惡意代碼破壞 應對高級別的惡意攻擊 內網安全監視 生產控制大區應逐步推廣內網安全監視功