《赛晶科技-电力二次安防介绍-20110503》由会员分享,可在线阅读,更多相关《赛晶科技-电力二次安防介绍-20110503(19页珍藏版)》请在金锄头文库上搜索。
1、电力二次系统安全防护介绍南京赛晶电子科技有限公司时间:2011.5.3主要内容 1、电力二次系统安全防护知识背景 2、电力二次系统安全防护的基本原则 3、安全防护技术和装置 4、发电厂二次系统安全防护方案1、目标:为了确保电力监控系统和电力调度数据网络的安全,抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击,特别是抵御集团式攻击,防止电力二次系统的崩溃或瘫痪,以及由此造成的电力系统事故或大面积停电事故。电力二次系统安全防护知识背景2、依据法规、文件:2002年5月,原国家经贸委发布第30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定;2004年12月,电监会第5号令电力二次系统安全
2、防护规定;2006年11月,电监会下发第34号文关于印发电力二次系统安全防护总体方案等安全防护方案的通知。电力二次系统安全防护知识背景主要内容 1、电力二次系统安全防护知识背景 2、电力二次系统安全防护基本原则 3、安全防护技术和装置 4、发电厂二次系统安全防护方案1、基本原则: “安全分区、网络专用、横向隔离、纵向认证”2、重点:主要针对网络系统和基于网络的电力生产控制系统,重点强化边界防护能力,保证电力生产控制系统及重要数据的安全。电力二次系统安全防护基本原则3、总体框架结构示意图:电力二次系统安全防护基本原则4、安全区划分:生产控制大区控制区(安全区)非控制区(安全区)管理信息大区可根据
3、具体情况划分安全区,但不应影响生产控制大区的安全。生产管理区(安全区)管理信息区(安全区)电力二次系统安全防护基本原则4.1、控制区(安全区) :控制区中的业务系统或功能模块是电力生产的重要环节,直接实现对电力一次系统实时监控,纵向数据通信使用电力调度数据网络或专用信道,是安全防护的重点与核心。典型业务系统: 能量管理系统(SCADA、AGC、AVC) 广域相量测量系统、配电网自动化系统 变电站自动化系统、发电厂自动监控系统 继电保护系统、安全自动控制系统 低频(低压)自动减负荷系统电力二次系统安全防护基本原则4.2、非控制区(安全区) :非控制区中的业务系统或功能模块是电力生产的必要环节,在
4、线运行但不具备控制功能,纵向数据通信使用电力调度数据网络或专用信道。 典型业务系统: 调度员培训模拟系统 水库调度自动化系统 故障录波信息管理系统 电能量计量系统 电力市场运营系统电力二次系统安全防护基本原则4.3、安全区 :通过电力企业数据网络进行远方通信的生产管理系统(包括电力监管信息系统、雷电监测系统、气象信息、DMIS等)。4.4、安全区:与因特网互联并允许对其进行访问的管理信息系统和企业办公区域(包括营销系统、OA、MIS等)电力二次系统安全防护基本原则5、生产控制大区内部的安全防护:禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务。允许非控制区内部业务系统采用B
5、/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务,可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。生产控制大区重要业务(如SCADA/AGC)、电力市场交易等)的远程通信必须采用加密认证机制,对已有系统逐步改造。生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施,限制系统间的直接互通。电力二次系统安全防护基本原则5、生产控制大区内部的安全防护:生产控制大区的拨号访问服务,服务器和用户端均应使用经国家指定部门认证的。安全加固的操作系统,并采取加密、认证和访问控制等安全措施。生产控制大区边界上可以部署入侵检测系统。生产控制大区应部署安全审计措施,
6、把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。生产控制大区应该统一部署恶意代码防护系统,采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。电力二次系统安全防护基本原则6、管理信息大区的安全要求:应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。电力二次系统安全防护基本原则7、网络专用:电力调度数据网:专为生产控制大区服务的专用数据网络,承载电力实时控制、在线生产交易等业务。电力企业数据网:承载管理信息大区中各业务之间的信息交互的电力实时控制、在线生产交易等业务。电力调度数据网与电力企业数据网之
7、间在物理层面上安全隔离。电力二次系统安全防护基本原则主要内容 1、电力二次系统安全防护知识背景 2、电力二次系统安全防护的基本原则 3、安全防护技术和装置 4、发电厂二次系统安全防护方案1、横向隔离技术:横向隔离技术是电力二次系统安全防护体系的横向防线,是二次系统安全防护体系的重要技术措施。生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度接近或达到物理隔离安全区与安全区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。安全区与安全区之间应采用具有访问控制功能的网络设备(如防火墙)实现逻辑隔离。安全防护技术和装置2、
8、正向隔离装置基本功能:非网络数据交换,内外两个处理系统不同时连通。数据完全单向传输。透明工作模式,虚拟主机IP地址、隐藏MAC地址。基于MAC/IP/Port/协议的综合报文过滤与访问控制,支持NAT。割断穿透性TCP连接。应用层解析功能,支持标记识别。安全方便的维护管理,支持数字证书的管理员认证。安全防护技术和装置3、反向隔离装置基本功能:应用网关功能,实现数据的接收与转发。具有数字证书的签名/解签名功能。纯文本编码检查与转换功能。基于E语言纯文本文件的强过滤功能透明工作模式,虚拟主机IP地址、隐藏MAC地址。基于MAC/IP/Port/协议的综合报文过滤与访问控制,支持NAT。割断穿透性TCP连接。安全方便的维护管理,支持数字证书的管理员认证。安全防护技术和装置
