火力发电厂厂级监控信息系统安全操作指南(初稿)

违反授权（Authorization Violation） 电力控制系统工作人员利用授权身份或设备，执行非 授权的操作。
工作人员的随意行为（Indiscretion） 电力控制系统工作人员无意识地泄漏口令等敏感信息， 或不谨慎地配置访问控制规则等。
拦截/篡改（Intercept/Alter）
拦截或篡改调度数据广域网传输中的控制命令、参数 设置、交易报价等敏感数据。
敏感信息，为后续攻击准备数据。
2 发电厂信息系统安全分级
◆ 发电厂信息系统安全防护目标及重点
发电厂信息系统安全防护的重点是生产过程控制系统（PCS）。 安全防护目标为：
► 防止通过外部边界发起的攻击和侵入，尤其是防止由攻击导 致的生产过程控制系统故障，引起机组安全事故；
► 防止由外部及内部引入的病毒，导致网络瘫痪或数据丢失； ► 防止未授权用户访问系统或非法获取信息和侵入； ► 防止授权用户超出授权范围，越权操作； ► 防止重大的操作失误。
公
共
因
网特
IP 认证加密装置
IP 认证加密装置
（正向型）
防火墙
防火墙
隔专
离用
装安
安全区 I (实 时 控 制 区 )
防
安 全 区 II
火 墙
(非 控 制 生 产 区 )
置全
隔专 离用
安 全 区 III 防
(生 产 管 理 区 )
火 墙
安 全 区 IV (管 理 信 息 区 )
防 火 墙
装安
置全
线路加密设备
◆ 对SIS及发电厂信息系统安全的认识还不统一 ◆ 国家及电力行业关于发电厂信息安全的有关法规与标准 ◆ SIS的规划、设计、开发、实施及维护提供安全方面的 指导 ◆ 供大家讨论、修正
2 发电厂信息系统安全分级
◆ 《中华人民共和国计算机信息系统安全保护条例》 第九条 ：计算机信息系统实行安全等级保护。安全等级
火 墙
(非 控 制 生 产 区 )
Leabharlann Baidu装安
置全
安 全 区 III 防
安 全 区 IV
防
隔专
(生 产 管 理 区 )
火 墙
(管 理 信 息 区 )
火 墙
离用
装安
置全
IP 认证加密装置
IP 认证加密装置
（反向型）
防火墙
防火墙
外
专线
部
实 时 VPN S PDnet 非 实时 VPN
生 产 VPN SPTnet 信 息 VP N
非法使用（Illegitimate Use）
非授权使用计算机或网络资源。
信息泄漏（Information Leakage）
口令、证书等敏感信息泄密。
7
计算机病毒（Computer Virus）
破坏数据及文件，造成信息系统不能正常运行。
8
欺骗（Spoof）
Web服务欺骗攻击；IP 欺骗攻击。
9
伪装(Masquerade)
◆安全管理：谁主管谁负责，谁运营谁负责，落实分级负责 责任制。
2 发电厂信息系统安全分级
◆ 安全分区：生产控制大区和管理信息大区。生产控制大区 可以分为控制区（安全区I）和非控制区（安全区Ⅱ）； 管理信息大区内部在不影响生产控制大区安全的前提下， 可以根据各企业不同安全要求划分安全区。根据应用系 统实际情况，在满足总体安全要求的前提下，可以简化 安全区的设置，但是应当避免通过广域网形成不同安全 区的纵向交叉连接。
2 发电厂信息系统安全分级
◆ 各部门、各单位均应当使用法律和有关标准，确定其系 统安全等级，制定本系统安全等级保护解决方案
◆ 安全级别的确定与安全需求、安全成本、技术水平相关
建议SIS为第四级－－ 结构化保护级。
计算机信息系统可信计算基建立于一个明确定义的形式化安全 策略模型之上，它要求将第三级系统中的自主和强制访问控制 扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计 算机信息系统可信计算基必须结构化为关键保护元素和非关键 保护元素。计算机信息系统可信计算基的接口也必须明确定义， 使其设计与实现能经受更充分的测试和更完整的复审。加强了 鉴别机制；支持系统管理员和操作员的职能；提供可信设施管 理；增强了配置管理控制。系统具有相当的抗渗透能力。
（反向型）
2 发电厂信息系统安全分级
◆ 发电厂信息系统面临的主要安全风险
优先级 0 1 2 3 4 5 6
风险
说明/举例
旁路控制（Bypassing Controls）
入侵者向发电厂控制系统发送非法控制命令，导致电 力系统事故，甚至系统瓦解。
完整性破坏（Integrity Violation） 非授权修改电力控制系统配置或程序；非授权修改电 力交易中的敏感数据。
► 在生产控制大区与管理信息大区之间必须设置经国家指 定部门检测认证的电力专用横向单向安全隔离装置。
► 生产控制大区内部的安全区之间应当采用具有访问控制功能 的设备、防火墙或者相当功能的设施，实现逻辑隔离。
2 发电厂信息系统安全分级
（正向型）
隔专
离用
安全区 I (实 时 控 制 区 )
防
安 全 区 II
的划分标准和安全等级保护的具体办法，由公安部会 同有关部门制定。 ◆ 公安部组织制订的《计算机信息系统安全保护等级划 分准则》国家标准（GB 17859-1999）
将信息系统的安全等级划分为五个级别的安全保护能力： 用户自主保护级、系统审计保护级 、安全标记保护级 、 结构化保护级、访问验证保护级
安全保护能力从第一级到第五级逐级加强
入侵者伪装合法身份，进入电力监控系统。
10
拒绝服务（Availability, e.g.
向通信网关发送大量雪崩数据，造成拒绝服务。
Denial of Service）
11
窃听（Eavesdropping, e.g. Data
黑客在调度数据网或专线通道上搭线窃听明文传输的
Confidentiality）
火力发电厂厂级监控信息系统安全操作指南 （初稿）
内容提要
1 前言 2 发电厂信息系统安全分级 3 SIS边界安全 4 SIS内网安全技术 5 机房安全 6 安全管理 7 安全评估
1 前言
◆ 发电厂网络互联、信息共享、管控一体化，网络与信 息安全问题日益突出 ◆ SIS的健康发展首先必须解决安全问题
2 发电厂信息系统安全分级
◆ 国家电力监管委员会：《电力二次系统安全防护规定》
电力二次系统，包括电力监控系统、电力通信及数据网络等。 其中电力监控系统，是指用于监视和控制电网及电厂生产运行 过程的、基于计算机及网络技术的业务处理系统及智能设备等。
◆ 电力二次系统安全防护原则：安全分区、网络专用、横向 隔离、纵向认证。