电力二次系统安全防护介绍

产品基本结构
产品采用“双机非网”的结构模式，“内网主机”与内网（安全区I、II）以网络或串口的方式连接，“外网主机”与公网以网络连接，“内网主机”与“外网主机”以高速串口结合非网络协议方式连接，从而达到既能保证应用程序之间进行双向数据通信，又能保证网络层面公网与内网之间网络隔离。
项目专利成果
电网应急通信系统应用
单击此处添加文本具体内容，简明扼要地阐述你的观点
传统远程维护的安全隐患
在电力监控系统中通常是采用Modem实现远程维护功能，这种访问方式存在非常大的安全隐患，主要如下： 系统维护人员的安全意识不够，维护口令采用原厂家默认口令且长期不变，容易造成泄漏维护口令等敏感信息导致执行非授权的操作； 在系统拨号维护期间采用明文进行传输，非法入侵者容易对电力监控系统发送非法控制命令，导致电力系统事故； 没有对远程维护人员进行身份认证、操作过程等进行详细记录，出现问题时难以进行审计。
内网
外网
内网分区
外网分区
安全隔离分区
LAN
CPU 主板1
LAN
CPU 主板2
非网通信
双机非网结构
网卡设备驱动
读取、写入链路数据包
防火墙
模拟
TCP/UDP模块
（连接终止）
安全隔离区
链接
…
网卡设备驱动
读取、写入链路数据包
防火墙
模拟
TCP/UDP模块
（连接发起）
链接 n
链接
…
内网 允许发起连接
外网 不允许发起连接
单击此处添加小标题
单向二极管技术
数据二极管技术：若连反向的控制协议也取消，采用“盲发”的方式，也就是一方只管发送，另一方只管接收，至于数据是否有错误，是否完整都不去管它，反向没有数据通道也没有控制通道，完全处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路，所以也称为信息流的单向技术。
链接 n
两级代理方式
I区 SCADA
III区 MIS
正向隔离装置1
正向隔离装置2
ห้องสมุดไป่ตู้
I#网
II#网
I#网
II#网
典型连接方式
01
生产控制大区
02
隔离装置
03
管理信息大区
正向隔离装置
完全单向通讯方式（UDP）； 单向数据1Bit返回方式（TCP）；
反向隔离装置
01
生产控制大区
02
隔离装置
产品特点
HR FW-3000V电力系统专用远程拨号安全服务器是根据国家电力二次系统安全防护要求，针对远程拨号接入而设计的。 装置采用工业级硬件、调度数字证书身份认证、防火墙、VPN等安全技术，对接入用户进行认证，对传输的信息进行加密和数字签名，对接入的用户访问的范围和资源进行限制，通过审计日志对其访问进行记录，以提高安全防护强度，保证拨号操作的安全性和可追查性。
电厂数据接入应用
序号
使用单位
数量
1
贵港供电局
17
2
云南文山供电局
1
3
广东电力通信
11
4
韶关供电局
2
5
东莞供电局
2
6
凯里供电局
2
7
东方二电厂
1
8
北京燕山石化分公司
3
9
广西玉林供电局
4
10
广西河池供电局
20
11
甘肃嘉峪关供电局
40
实际接入现场情况
单击此处添加小标题
珠海市鸿瑞软件技术有限公司
单击此处添加小标题
纵向加密认证装置
SPDnet MPLS VPN
接入交换机
SCADA服务器
调度员
网关机
接入交换机
网关机
当地监控服务器
间隔 单元
执行 装置
厂站自动化系统
调度自动化系统
网络层
应用层，服务
传输层+应用层
最终用户
当地认证
56所 30所 数据所
纵向加密认证装置
电科院 南自院
典型部署
2.3、远程接入防护
03
公网安全防护策略
电力系统公网数据通信安全防护项目实现“网络隔离、身份认证、传输加密、权限受控”的措施来进行安全防护： 将电力系统内网与传输远动数据的公网进行网络隔离 在远动通信通道建立的过程中进行基于调度数字证书的身份验证 所有通信数据采用密文传输，保证数据的机密性、完整性、不可否认性 对传输数据的相关权限可以根据策略进行控制
电话拨号
备用通道
220KV及以上变电站电量采集子站
3
地调及以上调度保护及故障信息采集系统
电话拨号
备用通道
220KV及以上变电站保护信息子站
4
部分县调及地调系统
GPRS/CDMA
主通道
35Kv变电站RTU
5
部分县调及地调系统
GPRS/CDMA
主通道
小水电数据采集系统
6
配电及用电网管理系统
GPRS/CDMA
“十六字原则示意图”
纵向认证
横向隔离
电力企业数据网
控制区
非控制区
管理区
信息区
电力调度数据网
生产控制大区
管理信息大区
防火墙
网络专用
安全分区
上级调度/控制中心
下级调度/控制中心
上级信息中心
下级信息中心
实时VPN SPDnet 非实时VPN
安全区I (实时控制区)
安全区II (非控制生产区)
内网
外网
应用数据
安全隔离原理
安全隔离概念
可以阻断网络直接连接，两个网络不同时连接在设备上； 可以阻断网络逻辑连接，即TCP/IP必须被剥离，将原始数据非网方式传送； 隔离传输机制具有不可编程性； 任何数据都是通过两级代理方式完成； 具备对数据的审查功能，数据不具有攻击及有害的特性； 具有强大的管理与控制功能；
安全防护方案中对拨号接入的要求
通过远程拨号访问生产控制大区，要求远方用户使用安全加固的操作系统平台，结合数字证书技术，进行登录认证和访问认证。 对于通过拨号服务器(RAS)访问本地网络与系统的远程拨号访问的方式，应当采用网络层保护,应用 VPN 技术建立加密通道。对于以远方终端直接拨号访问的方式，应当采用链路层保护，使用专用的链路加密设备。 对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。 出自电监安全（2006）34号 附件1：《电力二次系统安全防护总体防护方案》
Part.
安全隔离设备，也称为“网闸”，其原理是模拟人工的数据“拷贝”，不建立两个网络的“物理通路”，所以网闸是把应用的数据“剥离 ”，摆渡到另外一方后，再通过正常的通讯方式送到目的地，因此从安全的角度，网闸摆渡的数据中格式信息越少越好，当然是没有任何格式的原始数据就更好了， 因为没有格式信息的文本就没有办法隐藏其他的非数据的东西，减少了携带非法信息的可能性。
电力二次系统安全防护 总体技术介绍
添加副标题
珠海市鸿瑞软件技术公司
1、安全防护方案
01
单击此处添加文本具体内容，简明扼要地阐述你的观点
通讯服务器
发电
用电
输电
变电
配电
RTU
RTU
RTU
数据采集和传输
应用服务器
电 网 调 度
电力二次系统示意图
电力二次系统安全隐患分析
一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时，在没有进行有效安全防护的情况下与外网互连。 电力监控系统和数据网络本身缺乏必要的安全防护措施。 存在直接进入设备系统机房，或采用线路搭结手段，进入计算机监控系统的可能性。 存在不安全拨号等后门。 对自动化设备的研发和生产过程缺乏有效的安全管理方法。 管理及运行人员缺乏必要的经验和安全意识。
专线
逻辑隔离
防火墙
防火墙
移动用户
拨号网关
移动用户
拨号网关
远动通信安全网关
1
2
3
4
横向与纵向防护结构
调度安全防护总体结构示意图
220kV及以上变电站二次系统安全防护示意图
配电二次系统安全防护示意图
2、相关的安全防护设备
02
单击此处添加文本具体内容，简明扼要地阐述你的观点
2.1、横向安全隔离
更高安全等级的单向隔离防护
单向技术的发展趋势
数据泵单向技术
数据泵技术也称为“安全存储转发技术”。它是在基于通讯的基础上，只允许单方向传送数据，反方向只有控制信息的可以通过，比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。
单击此处添加小标题
数据泵技术中虽然数据是单方向的，但协议控制信息是双方向传递的，若协议本身存在漏洞，则有可能利用协议的漏洞达到反向发送数据的可能。（4字节是指反向控制信息，存在漏洞，因此现在升级为1比特，出现漏洞的可能性大大降低，但还是有可能性（1比特反向通道客观存在））
电力二次系统安全防护相关法规
为了贯彻落实国家电力监管委员会第5号令《电力二次系统安全防护规定》（简称《5号令》）和原国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（简称《30号令》），构建电力二次系统安全防护体系，保障电力二次系统的安全，从而保障电力系统的安全稳定运行，制定电力二次安全防护方案。
安全区III (生产管理区)
安全区IV (管理信息区)
外部公共因特网
生产VPN SPTnet 管理VPN
防火墙
防火墙
IP认证加密装置
IP认证加密装置
防火墙
防火墙
安全区I (实时控制区)
逻辑隔离
安全区II (非控制生产区)
安全区III (生产管理区)
防火墙
防火墙
安全区IV (管理信息区)
03
管理信息大区
反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。
2.2、纵向加密认证
Part.
基本要求
添加标题
重点保护电力实时闭环监控系统及调度数据网络的安全，禁止外部非授权用户的非法进入，防止从网络传输平台引入的攻击和破坏造成的的电力系统事故。
电监会技术要求
根据国家电监会5号令《电力二次系统安全防护规定》的要求,安全隔离设备技术要求如下：
实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通； 表示层与应用层数据完全单向传输，即从安全区III到安全区I/II的TCP应答禁止携带应用数据； 透明工作方式：虚拟主机IP地址、隐藏MAC地址； 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制； 支持NAT； 防止穿透性TCP联接：隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。 具有可定制的应用层解析功能，支持应用层特殊标记识别； 安全、方便的维护管理方式
使用场合
2.4、公网安全防护
01
单击此处添加文本具体内容，简明扼要地阐述你的观点
“公网”由于其具备覆盖范围或建设与运行成本低等特点，在电力系统主要有如下应用：
序号
主站
公网
使用方式
子站系统
1
地调及以上调度自动化系统
卫星网络
应急通信
220KV及以上变电站RTU或综自系统
2
地调及以上调度电能量采集系统
主通道
配电终端
目前使用公网通信的系统
公网通信的安全风险
公网是基于IP的骨干网，而目前许多黑客都对TCP/IP协议非常熟悉，这就使得它更容易受到攻击。公网可能面临的攻击如下： 黑客：是指试图从外部IP网络（如Internet）侵入到公网的人，他们的目的是破坏公网或者窃取信息以显示他们的能力，也有的是为了出卖信息来赚钱。 管理人员：应确保公网网络管理人员对系统不造成任何危害，对他们访问内部网络的权限要加以限制。 服务提供商：大多数服务提供商都不是有意的破坏公网，但是由于疏于软件更新或其它类似的情况都会对网络造成威胁。
添加标题
用于生产控制区的广域网边界防护，在为本地提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。
添加标题
按照《电力系统专用纵向加密认证装置技术规范》的要求设计与研制。位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，为电力通信提供安全可靠的服务：
添加标题
错误处理措施： 发送方增加冗余校验 出现不能恢复的错误通过其它途径（人工或反向装置处理）
添加标题
数据二极管技术的产品化，国外已经趋于成熟，比较出名的有美国Owl公司，荷兰Fox-IT公司，澳大利亚Tenix公司。 例如从owl公司产品介绍来看，其是以生产的硬件单向光纤网卡为基础而形成了一系列的配套软件产品，其关键是进行了两次单向隔离处理； 1. Owl Communication Cards 2. Products Overview 3. Directory File Transfer System 4. Owl ScanFile Management System 5. UDP Packet Transfer System 6. TCP Packet Transfer System 7. Secure Network Packet Transfer System 8. Remote File Transfer Service 9. Owl Release Management System 10. Owl TSABI OWT System