《电力二次系统安全防护培训》由会员分享,可在线阅读,更多相关《电力二次系统安全防护培训(71页珍藏版)》请在金锄头文库上搜索。
1、电力二次系统安全防护培训,2014年12月,引 言,电力二次系统为什么要重视安全防护?,银行系统的安全防护,二次系统主要安全风险,二次安防实施背景,电网控制设备故障可能引发或扩大电网事故,重大 停电 故障,2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011年,信息 安全 事件,2000年10月13日二滩电站收外网信号突甩出力89万千瓦,2001年10月1日全国146套故障录波器出现时间逻辑炸弹,2003年12月30日三峡送出工程三个换流站感染病毒,2008年8月奥运期间涉奥电网受到外网攻击8939次,2010年9月,“震网”病
2、毒攻击伊朗核电站设施,2003年8月14日美国和加拿大停电,2006年11月4日欧洲电网解列停电,2007年末08年初我国南方冰雪灾害电网受损,2008年5月12日我国汶川地震电网受损,2009年11月1日和2011年2月4日巴西电网停电,2011年3月,日本9.0级大地震引发海啸导致福岛核电危机,二滩水电厂异常停机事件; 故障录波装置“时间逻辑炸弹”事件; 换流站控制系统感染病毒事件;,电力二次系统安全事件,近年世界上大停电事故反映出电力二次系统的脆弱性和重要性。,内容大纲,电力调度数据网简介 电力二次系统安全防护基本原则 安全防护技术和装置 二次安防相关文件学习 电厂二次系统安全防护方案及
3、业务接入方案,第一部分电力调度数据网简介,相关文件精神,发改委2014年 第14号令 电力行业信息系统安全定级工作指导意见2007 关于印发电力二次系统安全防护总体方案等安 全防护方案的通知(电监安全200634号),总体方案:主要目标,建立电力二次系统安全防护体系,有效抵御黑客、恶意代码等各种形式的攻击,尤其是集团式攻击,重点是保障电力二次系统安全稳定,防止由此引起电力系统事故。,1) 系统性原则(木桶原理); 2) 简单性原则; 3) 实时、连续、安全相统一的原则; 4) 需求、风险、代价相平衡的原则; 5) 实用与先进相结合的原则; 6) 方便与安全相统一的原则; 7) 全面防护、突出重
4、点(实时闭环控制部分)的原则 8) 分层分区、强化边界的原则; 9) 整体规划、分步实施的原则; 10) 责任到人,分级管理,联合防护的原则。,总体方案:总体原则,总体方案:防护模型和技术路线,综合采用通用安全技术,开发关键专用安全技术。,电力二次系统安全防护体系,4、纵向认证,3、横向隔离,2、网络专用,1、安全分区,1,2,3,4,在对电力二次系统进行了全面系统的安全分析基础上,提出了十六字总体安全防护策略。,总体方案:安全分区,总体方案:网络专用,总体方案:横向隔离,物理隔离装置(正向型/反向型),2018/10/16,17,电力专用网络安全隔离设备,正向型设备 反向型设备,2018/1
5、0/16,隔离设备作用,正向型网络安全隔离设备采用软、硬结合的安全措施,在硬件上使用双嵌入式计算机结构,通过安全岛装置通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。将外网到内网传递的应用数据大小限定为1个bit,保证从低安全区到高安全区的TCP应答禁止携带应用数据。 反向型网络安全隔离设备文件发送软件,实现E语言文件计划自动或手动地从外网到内网的传输,传输过程中,发送端程序对外网数据进行双字节转换及数字签名,设备比对签名进行验证,对验证通过的报文再进行双字节检查,这样检查通过的报文才可以进
6、入内网,以保证内网系统的安全。,2018/10/16,物理隔离装置接口/型号,型号 性能分: 普通型增强型 功能分: 正向、反向 接口配置 两个CONSOLE口(管理设备用) 两个COM口(输出告警信息) 四个10/100M 网卡(2内+2外) 两个电源插座、两个电源开关,2018/10/16,安全岛原理示意图,数据到达接口机A,这时接口机A与安全半岛间,安全半岛与接口机B间均处于断开状态。 接口机A确认数据可以通过后,与安全半岛连通,将数据送上安全半岛。然后断开与安全半岛的连接。 接口机A通知接口机B,安全半岛上有待收数据。 接口机B与安全半岛连通,取走数据,然后断开与安全半岛的连接 接口机
7、B根据收到的数据,组织报文,将数据发出。 反方向只有单个比特位。,2018/10/16,物理隔离装置,正向型(高安全区到低安全区) 通过配置,可以建立非穿透的TCP连接 反向仅能传输1bit的确认数据,反向型(低安全区到高安全区) 仅能传输E文本,不能建立数据连接 客户端程序需加装数字证书,对数据进行加密认证,总体方案:纵向认证,在访问控制(防火墙功能)基础上,同时具备加密和认证的功能,数据网安全纵向加密装置拓扑防护,纵向加密装置的算法,对称加密算法:用于数据加密,采用国密办指定的专用分组加密算法,分组长度128位,密钥长度128位。非对称加密算法:用于数字签名和数字信封,采用RSA1024散
8、列算法:用于数据完整性验证,采用国密办指定的算法或MD5随机数生成算法:采用WNG-4噪音发生器芯片,协商原理,公开密钥密码体制(RSA)公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(大素数分解)在公开密钥密码体制中,加密密钥(即公钥)是公开信息,而解密密钥(即私钥)是需要保密的。加密算法和解密算法也都是公开的。虽然私钥是由公钥决定的,但却不能根据公钥计算出私钥。,协商原理,协商原理,协商原理,协商状态四种: Init:初始状态,未发送协商请求。 Request:协商请求状态。 Respone:协商应答状态。 Opened
9、:隧道建立成功状态。,数据传输过程,协商完成后,建立隧道,主机A访问主机B全过程,主机A向主机B发送报文 192.168.1.1-192.168.2.1 (TCP协议),纵向装置A在0口接收到该报文,查找策略为加密策略且隧道OPEN,将整个IP报文加密并重新构造IP头,源IP为192.168.1.250,目的IP192.168.2.250,协议为ESP。192.168.1.250-192.168.2.250(ESP协议),纵向装置B在1口接收到该报文,查找对应隧道进行解密还原,策略判断。发送至eth0口。 192.168.1.1-192.168.2.1(TCP协议),主机B接收到报文,产生应答
10、。,结论,纵向加密认证装置更适用于实时通信,第三部分安全防护技术和装置,问题:接收方如何知道发送方就是合法的?,关键技术电力调度数字证书,电力调度数字证书是专用于电力调度业务需要的数字证书,主要用于生产控制大区,可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证(包括数据完整性和数据源认证)等。地市以上调度控制中心应该建立电力调度证书系统。,关键技术电力调度数字证书,用户首先产生自己的密钥对 将自己的公钥及部分个人身份信息传送给认证中心 认证中心验证个人身份。 认证中心对用户的公钥和个人信息进行签名 认证中心发给用户一个数字证书。,数字证书颁发过程,至此,用户就可以使用自己的数字证
11、书进行相关的各种活动。数字证书由独立的证书发行机构发布。,调度证书系统结构,证书链短,认证效率高 风险分散,国调 根,国调,省调,网调,其他,网调,网调,省调,省调,省调,省调,地调,地调,2018/10/16,36,电力专用拨号加密认证装置,2018/10/16,37,部署位置,变电站自动化系统的拨号安全防护方案,调度自动化系统的拨号安全防护方案,2018/10/16,38,应用场景,按照国家电力调度中心电力二次系统安全防护要求,电力信息系统分为生产控制大区及生产管理大区,电力系统专用拨号加密认证装置主要用于生产控制大区的远程拨号安全接入,参考下图:电力系统专用拨号加密认证装置将TCP/IP
12、网络通讯技术、IPSEC安全隧道技术以及USB KEY加密认证技术完美地融合在一起,为生产控制大区的技术维护人员提供安全的远程接入,实现随时随地以拨号方式接入使用,并且无需网络或应用软件做任何改动,提高维护工作效率,同时保证信息安全。,总体方案,其他安全防护技术措施,备份与恢复,数据与系统备份 对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。 设备备用 对关键主机设备、网络的设备与部件进行相应的热备份与冷备份,避免单点故障影响系统可靠性。 异地容灾 对实时控制系统、电力市场交易系统,在具备条件的前提下进行异地的数据与系统备份,提供系统级容灾功能,保证
13、在规模灾难情况下,保持系统业务的连续性。,备份系统,在一定的备份策略的引导下,通过磁带库等设备对系统进行备份也十分必要。 备份系统由备份管理系统和备份设备构成。 备份策略 :全备份 (Full Backup) ,增量备份 (Incremental Backup) (又分:差量备份及累计备份),防病毒措施,病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。,防火墙,防火墙产品仅用于横向逻辑隔离防护,部署在安全区I与安全区II之间、安全区III与安全区IV之间,实现两个区域的逻辑隔离、报文过滤、访问控制等
14、功能。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。,入侵检测 IDS,对于安全区I与II,建议统一部署一套IDS管理系统。考虑到调度业务的可靠性,采用基于网络的入侵检测系统(NIDS),其IDS探头主要部署在:安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。对于安全区III,禁止使用安全区I与II的IDS,建议与安全区IV的IDS系统统一规划部署。,主机防护,安全配置 通过合理地设置系统配置、服务、权限,减少
15、安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理系统及应用软件的安装与使用。 安全补丁 通过及时更新系统安全补丁,消除系统内核漏洞与后门。 主机加固 安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。,计算机系统本地访问控制,技术措施 结合用户数字证书,对用户登录本地操作系统,访问操作系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。计算机系统本地访问控制需要的技术产品包括:用户证书介质,如IC卡、USBKey;本地加密设备,如:加密卡、加密USBKey;访问控制
16、安全插件,实现认证与访问控制功能; 应用目标 对于调度端安全区I中的SCADA/EMS系统,安全区II中的电力市场交易系统,厂站端的控制系统要求采用本地访问控制手段进行保护。,关键应用系统服务器访问控制,技术措施 调度系统内部关键应用,要求在调度系统CA 建成后,充分利用这一PKI基础设施,在身份认证、授权、访问控制、安全通信、行为审计方面进行安全增强。 对于新开发的关键应用系统,要求本身实现了基于调度CA证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。 应用目标 安全区I中的SCADA系统应用服务器安全区II中的电力市场交易系统应用服务器 应用系统改造 改造原有应用(包括服务器端与客户端),调用调度CA提供的认证、签名、加密等API ,添加必要的加密设备。,应用程序安全 禁止应用程序以操作系统root权限运行,应用系统合理设置用户权限,重要资源的访问与操作要求进行身份认证与审计,用户口令不得以明文方式出现在程序及配置文件中。 安全审计 安全审计是安全管理的重要环节。目前的安全审计工作大多是手工方式。随着系统规模扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。,
