自动化系统安全防护方案

10
自动化系统安全防护方案
需要对原有系统进行一定的改造，在调度系统端增加一台应用网关，用于采集调 度系统中的实时数据，进行单向发送。在 MIS 网中增加一台应用网关，用于接收 来自调度系统的单向数据，MIS 系统中的用户只能访问位于 MIS 网中的应用网关 中的数据。这样，调度数据单向的从调度系统流向 MIS 系统。 为了满足 MIS 系统中的一些信息需要传送给调度系统的情况， 特设置了数据 过滤网关和反向隔离装置。数据过滤网关对数据源进行严格的身份认证，对应用 数据进行分析过滤，同时，加密签名传送给反向隔离装置。反向隔离装置对数据 解密，单向传送到调度系统中的接收端。当然，如 MIS 系统无信息需要传送到调 度系统，则可省略该部分投资。 � 防火墙在电力系统中的配置 防火墙在电力调度系统中的配置地点位于调度系统(安全区Ⅰ)与能量计量系 统(安全区Ⅱ)之间。如下图：
4
自动化系统安全防护方案
目前暂不考虑其安全问题，必要时采取线路加密措施。 PI3——SCADA/EMS 纵向网络边界。 对外通信网关必须通过具备逻辑隔离功能的接入交换机接入；部署 IP 认证加密装置（位于 SPDnet 的实时 VPN 与接入交换机之间） 。 PI4——SCADA/EMS 横向网络边界。 对内网关必须通过具备逻辑隔离功能的区内交换机接入（若交换机不具 备逻辑隔离功能时，建议部署硬件防火墙）
二、电力企业网络安全相关政策
中华人民共和国国家经济贸易委员会第 30 号令颁布《电网与电厂计算机 监控系统及调度数据网络安全防护规定》,其中 第三条 电力系统安全防护的基本原则是：电力系统中，安全等级较高的 系统不受安全等级较低系统的影响。 电力监控系统的安全等级高于电力管理信 息系统及办公自动化系统， 各电力监控系统必须具备可靠性高的自身安全防护 设施，不得与安全等级低的系统直接相联。 第四条 各电力监控系统与办公自动化系统或其他信息系统之间以网络方 式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。 第九条 各有关单位应制定安全应急措施和故障恢复措施，对关键数据做 好备份并妥善存放；及时升级防病毒软件及安装操作系统漏洞修补程序；加强 对电子邮件的管理；在关键部位配备攻击监测与告警设施，提高安全防护的主 动性。
DTS 系统
RAS
PI1
数据采集网关
PI2
终端服务器
*
PI3
接入交换机 IP认证加密装置
PI4
区内交换机
拨号维护服务
SPDnet 实时VPN
安全区I
终端服务器
专用通道 连接RTU
厂站监控系统
其它SCADA /EMS系统
*
：泛指终端服务器及传统的前置机
图 2 SCADA 系统的物理边界及安全部署示意图
与各厂站 RTU 及当地监控系统采用专用通道进行通信， 在安全部署
中暂不考虑其安全问题 PI4---与 MIS 系统（III 区）的接口，目前是通过 WEB 服务器浏览方式。该 方式不符合二次系统安全防护有关要求，需采取有关的技术措施进行防护。 电能量采集系统于 2003 年 9 月进行升级改造，2004 年 1 月 1 日投运，系统 运行稳定，至今亦未出现较大的异常情况。 目前电能量采集器物理边界有 2 个， PI1---与各变电站计量装置通过拨号（MODEM 或 232 专线）采集数据接口， 目前为单向拨号（主站端向厂站端） PI3---与安全区 III 接口是通过 WEB 服务器浏览方式，与 SCADA 系统一样， 不符合二次系统安全防护有关要求。需采取有关的技术措施进行防护。
2
自动化系统安全防护方案
三、现状分析
在电力应用系统中，MIS 系统用户要访问调度自动化系统的数据，多通过 Web 服务器/通讯服务器方式来实现的，如图 1 所示。而调度自动化系统的安 全等级高于 MIS 系统，两个应用系统不能直接互连。
系统工作站
实时服务器
系统工作站
调度 web 服务器
历史服务器 系统工作站 电力调度系统 图 1 电力调度系统和 MIS 系统互连示意图 MIS 网
6
自动化系统安全防护方案
原则上不具备控制功能的生产业务和批发交易业务系统或系统中不进 行控制的部分均属于安全区Ⅱ。 属于安全区Ⅱ的典型系统包括水调自动化系统、电能量计量系统、发电 侧电力市场交易系统等。其面向的使用者为运行方式、运行计划工作人员及 发电侧电力市场交易员等。数据的实时性是分级、小时级。该区的外部通信 边界为 SPDnet 的非实时 VPN。 � 安全区Ⅲ是生产管理区。
SCADA 系统的物理边界最多只能有以下 4 个，不符合要求的边界必须整改： � PI1——拨号网络边界。 要求通过拨号服务器（ RAS）接入 EMS 系统的 LAN，在 RAS 和 LAN 之间必须部署拨号认证加密装置，拨入端配相应的数字证书（证书由国家电 力调度 CA 统一签发） ；若无条件实现安全防护时，则不得开通拨号服务。 PI2——传统专用远动通道。
电能量采集系统安全防护总体技术方案 二、 二、电能量采集系统安全防护总体技术方案
电能采集系统物理边界及安全部署示意图如下：
电能量计量系统物理边界及安全部署方案
电能量采集及 处理服务器 数据库服务器 电量工作站 报表工作站
GPS/频 率 计 对内网关 对外网关
PI3
安全区I EM S
接入交换机
区内交换机
四、现状
我局 SCADA 系统于 2003 年 12 月投运，系统自运行以来较稳定，未出现大 的异常情况。SCDAD 系统目前的物理边界有以下三个： PI1--远程拨号维护，该端口平时未开放，厂家需要远程维护时通过口令
加以保护，结束后关闭远程维护的 MODEM。
7
自动化系统安全防护方案
PI2---
六 方案原则
根据相关的国家规定以及我局的实际需求： 1、保证电能量计量等非实时数据(安全区Ⅱ)以及实时系统(安全区Ⅰ)的部
9
自动化系统安全防护方案
分数据能够传送到 MIS 系统(安全区Ⅲ)； 2、保证实时系统(安全区Ⅰ)与非实时控制系统(安全区Ⅱ)之间的安全需 求。 确定以下方案 1) MIS 系统(安全区Ⅲ)与实时系统(安全区Ⅰ)之间必须实现物理隔离; 实时系统(安全区Ⅰ)与非实时控制系统(安全区Ⅱ)之间必须实现防火墙过滤策 略,从而使整个结构体系成为一个可管理的安全可靠的网络。 � 物理隔离在电力系统中的配置 在电力调度系统中,将实时隔离网关配置在调度系统(安全区Ⅰ)与 MIS 系统 (安全区Ⅲ)之间或者位于能量计量系统(安全区Ⅱ)或者与 MIS 系统(安全区Ⅲ) 之间。如下图：
实时服务器 镜像服务器 SCADA 工作站 正向隔离网关 反向隔离网关 调度 web 服务器
SCADA 工作站
SCADA 工作站
历史服务器
MIS 网(安全区Ⅲ)
电力调度系统(安全区Ⅰ)
注: 电力调度系统(安全区Ⅰ)也可以是能量计量系统(安全区Ⅱ) 图 4 实时隔离网关在电力系统中的配置
一台用于从调度系统向 MIS 系统单向传送数据， 返回包限制只能有 8 字节的 ACK（序列号确认）信息通过，禁止 ACK 应答包携带数据。为了配合单向传送，
8
防火墙
图 3 国电公司规划配置示意图
自动化系统安全防护方案
�
安全区Ⅰ、Ⅱ不得与安全区Ⅲ直接联系，安全区Ⅰ、Ⅱ与安全区Ⅲ之间 必须采用经有关部门认定核准的专用隔离装置。
�
专用隔离装置分为正向隔离装置和反向隔离装置，从安全区Ⅰ、Ⅱ往安 全区Ⅲ单向传输信息须采用正向隔离装置， 由安全区Ⅲ往安全区Ⅱ甚至 安全区Ⅰ的单向数据传输必须采用反向隔离装置。
5
自动化系统安全防护方案
PI1——纵向网络边界 只允许从主站端向厂站端单向拨号（同时注意核查不得有拨号转移） ；并要 求厂站端的计量装置与当地的其它系统必须有相应的安全隔离 （目前要求厂站端 计量装置与当地系统分离） 。 PI2――纵向网络边界 对外通信网关必须通过具备逻辑隔离功能的接入交换机接入；部署 IP 认证 加密装置（位于 SPDnet 的非实时 VPN 与接入交换机之间） 。 PI3——横向网络边界 对内网关必须通过具备逻辑隔离功能的区内交换机接入（若交换机不具备 逻辑隔离功能时，建议部署硬件防火墙） ，实现同区内不同系统间的逻辑隔离；
五、各安全区之间隔离要求
国电公司在《全国电网二次系统安全防护总体框架》中对控制系统与管理系 统之间的物理隔离装置的配置如图 2。
物理 隔离 装置 物理 隔离 装置
安全区 I (实 时控制区)
安全区 II（非 控制生产区）
安全区 III （生产管理 （生产管理 区） 区）
安全区 III
1、安全区Ⅰ与安全区Ⅱ之间的隔离要求： � 应采用经有关部门认定核准的硬件防火墙（禁止 E-mail、Web、Telnet、 Rlogin 等 访 问 ） 。 2、安全区Ⅰ、Ⅱ与安全区Ⅲ之间的隔离要求：
调度自动化系统安全防护 技术方案
2011 年 12 月
自动化系统安全防护方案
第一部分
一、概述
总体说明
随着 Internet 的迅速发展，信息安全问题面临新的挑战。电力系统信息安 全问题已威胁到电力系统的安全、稳定、经济、优质运行。电力系统信息安全已 经成为电力企业生产、经营和管理的重要组成部分，是电力系统安全运行和对社 会可靠供电的保障。 因此，开发相应的应用系统、制定电力系统信息遭受外部 攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。
该区包括进行生产管理的系统，典型的系统为雷电监测系统、气象信息 接入等。本安全区内的生产系统采取安全防护措施后可以提供 WEB 服务。该 区的外部通信边界为电力数据通信网（SPTnet） 。 � 安全区 IV 是管理信息区。
该区包括办公管理信息系统、客户服务等。该区的外部通信边界为 SPTnet 及因特网。该区在本文件中不作详细规定，但必须具备必要的安全防 护措施。 根据以上分区原则， 我局 SCADA 系统属于安全区 I,电能量采集系统属于 安全区 II。
安 全 区 III 生产管理 系统
PI1
拨号认证加密装置
PI2
IP 认 证 加 密 装 置 电力交易系统 SPDnet 非 实 时 VPN (正 向 型 ）
RAS
PSTN
电 厂 /变 电 站 计量装置来自百度文库
其它电能量 计量系统
安 全 区 II
图 3
电能量计量系统的物理边界及安全部署示意图
电能量计量系统的物理边界最多只能有以下 3 个，不符合要求的边界必须整改：
三、电力二次系统分区原则
根据电力二次系统的特点、目前状况和安全要求，整个二次系统分为四 个安全工作区：实时控制区、非控制生产区、生产管理区、管理信息区。 � 安全区Ⅰ是实时控制区
凡是实时监控系统或具有实时监控功能的系统其监控功能部分均应属 于安全区Ⅰ。 例如调度中心中 EMS 系统和广域相量测量系统（WAMS） 、配电自动化系 统、 变电站自动化系统、 发电厂自动监控系统或火电厂的管理信息系统 （SIS） 中 AGC 功能等。这类系统对数据通信的实时性要求为毫秒级或秒级，是电力 二次系统中最为重要系统，安全等级最高。该区的外部通信边界为电力调度 数据网（SPDnet）的实时虚拟专用网（VPN） � 安全区Ⅱ是非控制生产区。
反向隔离装置采取签名认证和数据过滤措施。 专用隔离装置应禁止 E-MAIL、 WEB、TELnet、Rlogin 等访问。
3、安全区Ⅰ及安全区Ⅱ内部安全防范的基本要求： � 禁止安全区Ⅰ/Ⅱ内部的 E-MAIL 服务。安全区Ⅰ不允许存在 WEB 服务器 及客户端。 � 允许安全区Ⅱ内部及纵向（即上下级间）WEB 服务。但 WEB 浏览工作站 与 II 区业务系统工作站不得共用，而且必须由业务系统向 WEB 服务器 单向主动传送数据。 � � � 安全区Ⅰ/Ⅱ的重要业务 （如 SCADA、 电力交易） 应该采用认证加密机制 。 安全区Ⅰ/Ⅱ内的相关系统间必须采取访问控制等安全措施。 对安全区Ⅰ/Ⅱ进行拨号访问服务，必须采取认证、加密、访问控制等 安全防护措施。 � � 安全区Ⅰ/Ⅱ应该部署安全审计措施，如 IDS 等。 安全区Ⅰ/Ⅱ必须采取防恶意代码措施。
3
自动化系统安全防护方案
第二部分
技术方案
一、调度自动化 SCADA 系统安全防护总体技术方案
SCADA 系统物理边界及安全部署示意图如下：
SCADA系统物理边界及安全部署示意图
SCADA服务器 历史数据服务器 PAS服务器 工作站
安全区II
安全SCADA WEB服务
拨号认证加密装置
GPS/频率计 通信网关 对内网关
四、安全防护目标及重点
系统安全防护的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意 破坏和攻击，能够抵御集团式攻击，重点保护电力实时闭环监控系统及调度数据 网络的安全，防止由此引起电力系统故障。安全防护目标： 1、防止通过外部边界发起的攻击和侵入，尤其是防止由攻击导致的一次 系统的事故以及二次系统的崩溃； 2、防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。