电力二次系统安全防护培训ppt课件.ppt

电力二次系统安全防护培训,2014年12月,引 言,电力二次系统为什么要重视安全防护？,银行系统的安全防护,二次系统主要安全风险,二次安防实施背景,电网控制设备故障可能引发或扩大电网事故,重大停电故障,2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011年,信息安全事件,2000年10月13日二滩电站收外网信号突甩出力89万千瓦,2001年10月1日全国146套故障录波器出现时间逻辑炸弹,2003年12月30日三峡送出工程三个换流站感染病毒,2008年8月奥运期间涉奥电网受到外网攻击8939次,2010年9月，“震网”病毒攻击伊朗核电站设施,2003年8月14日美国和加拿大停电,2006年11月4日欧洲电网解列停电,2007年末08年初我国南方冰雪灾害电网受损,2008年5月12日我国汶川地震电网受损,2009年11月1日和2011年2月4日巴西电网停电,2011年3月，日本9.0级大地震引发海啸导致福岛核电危机,二滩水电厂异常停机事件；故障录波装置“时间逻辑炸弹”事件；换流站控制系统感染病毒事件；,电力二次系统安全事件,近年世界上大停电事故反映出电力二次系统的脆弱性和重要性。,内容大纲,电力调度数据网简介电力二次系统安全防护基本原则安全防护技术和装置二次安防相关文件学习电厂二次系统安全防护方案及业务接入方案,第一部分电力调度数据网简介,相关文件精神,发改委2014年 第14号令电力行业信息系统安全定级工作指导意见2007关于印发电力二次系统安全防护总体方案等安全防护方案的通知（电监安全200634号）,总体方案：主要目标,建立电力二次系统安全防护体系，有效抵御黑客、恶意代码等各种形式的攻击，尤其是集团式攻击，重点是保障电力二次系统安全稳定，防止由此引起电力系统事故。,1)系统性原则（木桶原理）；2)简单性原则；3)实时、连续、安全相统一的原则；4)需求、风险、代价相平衡的原则；5)实用与先进相结合的原则；6)方便与安全相统一的原则；7)全面防护、突出重点（实时闭环控制部分）的原则8)分层分区、强化边界的原则；9)整体规划、分步实施的原则；10)责任到人，分级管理，联合防护的原则。,总体方案：总体原则,总体方案：防护模型和技术路线,综合采用通用安全技术，开发关键专用安全技术。,电力二次系统安全防护体系,4、纵向认证,3、横向隔离,2、网络专用,1、安全分区,1,2,3,4,在对电力二次系统进行了全面系统的安全分析基础上，提出了十六字总体安全防护策略。,总体方案：安全分区,总体方案：网络专用,总体方案：横向隔离,物理隔离装置（正向型/反向型）,2022/11/12,17,电力专用网络安全隔离设备,正向型设备反向型设备,2022/11/12,隔离设备作用,正向型网络安全隔离设备采用软、硬结合的安全措施，在硬件上使用双嵌入式计算机结构，通过安全岛装置通信来实现物理上的隔离；在软件上，采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时，实现了对非法信息的隔离。将外网到内网传递的应用数据大小限定为1个bit，保证从低安全区到高安全区的TCP应答禁止携带应用数据。反向型网络安全隔离设备文件发送软件，实现E语言文件计划自动或手动地从外网到内网的传输，传输过程中，发送端程序对外网数据进行双字节转换及数字签名，设备比对签名进行验证，对验证通过的报文再进行双字节检查，这样检查通过的报文才可以进入内网，以保证内网系统的安全。,2022/11/12,物理隔离装置接口/型号,型号性能分： 普通型 增强型功能分： 正向、反向接口配置两个CONSOLE口（管理设备用）两个COM口（输出告警信息）四个10/100M 网卡（2内+2外）两个电源插座、两个电源开关,2022/11/12,安全岛原理示意图,数据到达接口机A,这时接口机A与安全半岛间，安全半岛与接口机B间均处于断开状态。接口机A确认数据可以通过后，与安全半岛连通，将数据送上安全半岛。然后断开与安全半岛的连接。接口机A通知接口机B，安全半岛上有待收数据。接口机B与安全半岛连通，取走数据，然后断开与安全半岛的连接接口机B根据收到的数据，组织报文，将数据发出。反方向只有单个比特位。,2022/11/12,物理隔离装置,正向型（高安全区到低安全区）通过配置，可以建立非穿透的TCP连接反向仅能传输1bit的确认数据,反向型（低安全区到高安全区）仅能传输E文本，不能建立数据连接客户端程序需加装数字证书，对数据进行加密认证,总体方案：纵向认证,在访问控制（防火墙功能）基础上，同时具备加密和认证的功能,数据网安全纵向加密装置拓扑防护,纵向加密装置的算法,对称加密算法：用于数据加密，采用国密办指定的专用分组加密算法，分组长度128位，密钥长度128位。非对称加密算法：用于数字签名和数字信封，采用RSA1024散列算法：用于数据完整性验证，采用国密办指定的算法或MD5随机数生成算法：采用WNG-4噪音发生器芯片,协商原理,公开密钥密码体制（RSA）公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(大素数分解)在公开密钥密码体制中，加密密钥（即公钥）是公开信息，而解密密钥（即私钥）是需要保密的。加密算法和解密算法也都是公开的。虽然私钥是由公钥决定的，但却不能根据公钥计算出私钥。,协商原理,协商原理,协商原理,协商状态四种：Init：初始状态，未发送协商请求。Request：协商请求状态。Respone：协商应答状态。Opened：隧道建立成功状态。,数据传输过程,协商完成后，建立隧道，主机A访问主机B全过程,主机A向主机B发送报文 192.168.1.1-192.168.2.1 (TCP协议),纵向装置A在0口接收到该报文，查找策略为加密策略且隧道OPEN，将整个IP报文加密并重新构造IP头，源IP为192.168.1.250，目的IP192.168.2.250，协议为ESP。192.168.1.250-192.168.2.250(ESP协议),纵向装置B在1口接收到该报文，查找对应隧道进行解密还原，策略判断。发送至eth0口。192.168.1.1-192.168.2.1(TCP协议),主机B接收到报文，产生应答。,结论,纵向加密认证装置更适用于实时通信,第三部分安全防护技术和装置,问题：接收方如何知道发送方就是合法的？,关键技术电力调度数字证书,电力调度数字证书是专用于电力调度业务需要的数字证书，主要用于生产控制大区，可使用于交互式登录的身份认证、网络身份认证、通信数据加密及认证（包括数据完整性和数据源认证）等。 地市以上调度控制中心应该建立电力调度证书系统。,关键技术电力调度数字证书,用户首先产生自己的密钥对将自己的公钥及部分个人身份信息传送给认证中心认证中心验证个人身份。认证中心对用户的公钥和个人信息进行签名认证中心发给用户一个数字证书。,数字证书颁发过程,至此，用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。,调度证书系统结构,证书链短，认证效率高风险分散,国调 根,国调,省调,网调,其他,网调,网调,省调,省调,省调,省调,地调,地调,2022/11/12,36,电力专用拨号加密认证装置,2022/11/12,37,部署位置,变电站自动化系统的拨号安全防护方案,调度自动化系统的拨号安全防护方案,2022/11/12,38,应用场景,按照国家电力调度中心电力二次系统安全防护要求，电力信息系统分为生产控制大区及生产管理大区，电力系统专用拨号加密认证装置主要用于生产控制大区的远程拨号安全接入,参考下图：电力系统专用拨号加密认证装置将TCP/IP网络通讯技术、IPSEC安全隧道技术以及USB KEY加密认证技术完美地融合在一起，为生产控制大区的技术维护人员提供安全的远程接入，实现随时随地以拨号方式接入使用，并且无需网络或应用软件做任何改动，提高维护工作效率，同时保证信息安全。,总体方案,其他安全防护技术措施,备份与恢复,数据与系统备份对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。设备备用对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。异地容灾对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。,备份系统,在一定的备份策略的引导下，通过磁带库等设备对系统进行备份也十分必要。 备份系统由备份管理系统和备份设备构成。备份策略 ：全备份 (Full Backup) ，增量备份 (Incremental Backup) （又分：差量备份及累计备份）,防病毒措施,病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。,防火墙,防火墙产品仅用于横向逻辑隔离防护，部署在安全区I与安全区II之间、安全区III与安全区IV之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。,入侵检测 IDS,对于安全区I与II，建议统一部署一套IDS管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其IDS探头主要部署在： 安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。对于安全区III，禁止使用安全区I与II的IDS，建议与安全区IV的IDS系统统一规划部署。,主机防护,安全配置通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站， 严格管理系统及应用软件的安装与使用。安全补丁通过及时更新系统安全补丁，消除系统内核漏洞与后门。主机加固安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。,计算机系统本地访问控制,技术措施结合用户数字证书，对用户登录本地操作系统，访问操作系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计。计算机系统本地访问控制需要的技术产品包括： 用户证书介质，如IC卡、USBKey； 本地加密设备，如：加密卡、加密USBKey； 访问控制安全插件，实现认证与访问控制功能；应用目标对于调度端安全区I中的SCADA/EMS系统，安全区II中的电力市场交易系统，厂站端的控制系统要求采用本地访问控制手段进行保护。,关键应用系统服务器访问控制,技术措施 调度系统内部关键应用，要求在调度系统CA 建成后，充分利用这一PKI基础设施，在身份认证、授权、访问控制、安全通信、行为审计方面进行安全增强。对于新开发的关键应用系统，要求本身实现了基于调度CA证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。应用目标 安全区I中的SCADA系统应用服务器 安全区II中的电力市场交易系统应用服务器 应用系统改造改造原有应用（包括服务器端与客户端），调用调度CA提供的认证、签名、加密等API ，添加必要的加密设备。,应用程序安全禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。 安全审计安全审计是安全管理的重要环节。目前的安全审计工作大多是手工方式。随着系统规模扩展与安全设施的完善，应该引入集中智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。,其它措施,三分技术、七分管理电监会电力企业电力调度机构发电厂,二次安全防护技术与管理,总体方案：人员安全职责,建立完善的安全分级负责制明确各级的人员的安全职责各调度机构、发电厂、变电站的主要负责人为该单位所管辖的电力二次系统的安全防护第一责任人各调度机构、发电厂、变电站应该指定专人负责管理本单位所属电力二次系统的公共安全设施各个电力二次专业应用系统应该指定专人负责该系统的安全管理指定专人负责管理本单位或本部门的电力二次系统的数字证书管理系统各单位业务系统的工作人员应该严格遵守各项安全管理制度，保护好本人的调度数字证书等安全设施。,电力二次系统安全评估采用以自评估为主、检查评估为辅的方式，并纳入电力系统安全评价体系。电力企业的关键部门应该建立自主的评估队伍，掌握评估技术和方法，配备必要的工具，定期进行评估，可聘请电力部门的有关单位联合进行评估。上级主管单位可对下级单位进行定期或不定期的检查性安全评估。电力二次系统的新系统在投运之前、老系统进行安全整改之后或进行重大改造或升级之后必须进行安全评估；电力二次系统应该定期（每年或每两年）进行安全评估。对生产控制大区安全评估的任何记录、数据、结果等禁止以任何形式携带出被评估单位。,总体方案：安全评估管理,信息安全等级保护,二次系统安全防护,二次安防与等级保护关系,二次系统等级保护定级,根据电监会印发的电力行业信息系统等级保护定级工作指导意见（电监信息200744号），审批了生产控制系统的定级结果。,电力二次系统安全防护评估工作,型式评估上线安全评估自评估检查评估,电力二次系统安全防护评估工作,3、4级系统，应委托评估机构定期开展检查评估工作，周期最长不超过三年，每年都要进行自评估工作。2级系统应由运行单位定期组织开展自评估工作，周期最长不超过两年，也可根据情况委托评估机构开展检查评估工作。,国家电网公司,电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证所提供的设备及系统符合电力二次系统安全防护规定和本方案的要求，并在设备及系统的生命期内对此负责。电力二次系统专用安全产品的开发单位、使用单位及供应商，应当按国家有关要求做好保密工作，禁止关键技术和设备的扩散（用于其它行业以及出口到国外）。电力企业各运行单位的电力二次系统的安全防护实施方案必须经过上级信息安全主管部门和相应电力调度机构的审核、批准，完工后必须经过上述机构验收。,总体方案：工程实施安全管理,总体方案：工程实施安全管理,新建的电力二次系统工程的设计必须符合国家、行业的有关安全防护的标准、法规、法令、规定等 ；电力二次系统各相关设备及系统的供应商必须承诺：所提供的设备及系统中不包含任何安全隐患，并承担由此引起的连带责任，终生有效 ；,新接入电力调度数据网络的节点、设备和应用系统，其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准，并送上一级电力调度机构备案。在已经建立安全防护体系的电力二次系统中，接入任何新的设备和应用及服务，必须立案申请、审查批准后，方可在安全管理人员的监管下实施接入。接入电力二次系统的生产控制区中的安全产品，必须具有公安部安全产品销售许可，获得国家指定机构安全检测证明，用于厂站的设备还需有电力系统电磁兼容检测证明。接入电力二次系统的安全区及安全区中的安全产品必须使用国产产品并经过国家有关安全部门或电力有关部门的认证；,总体方案：设备接入管理,总体方案：应用及服务的接入管理,电力二次专业系统的安全区及安全区中的PC机及其它微机原则上应该将软盘驱动、光盘驱动、USB接口拆除，以防止病毒的传播；电力二次专业系统的安全区及安全区中的工作站、服务器原则上不得开通拨号功能 ；若确需开通拨号服务，必须配置强认证机制，否则该应用必须与安全区及安全区彻底隔离 ；在所有电力二次专业系统的安全区及安全区中的任何工作站、服务器均严格禁止以各种方式开通与互联网、其它安全区及任何外部网络的连接 ；,日常运行的安全管理制度包括：门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码（病毒及木马等）的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。 审计管理制度应该规定对安全设备和网络装置及关键系统的日志妥善保存，由具有特许授权的安全管理人员对日志进行分析检查，及时发现各种违规行动以及病毒和黑客的攻击行为，并依据分析结果及时修改设备的安全策略或采取其它相应的措施。 应该定期对各级人员进行电力二次系统安全防护知识的培训，以保证各项安全措施的认真执行。,总体方案：安全管理制度,建立完善的安全管理制度 以加强运行管理,人员管理 权限管理 访问控制管理 设备及子系统的维护管理 恶意代码（病毒及木马等）的防护 审计管理 数据及系统的备份管理 用户口令及数字证书的管理 应急处理 联合防护,建立健全电力二次系统安全的联合防护和应急机制，电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证。当电力生产控制大区出现安全事故，尤其是遭到黑客、恶意代码攻击和其他人为破坏时，应当立即向其上级电力调度机构和信息安全主管部门报告，必须按应急处理预案立即采取相应的安全应急措施。并通报有网络连接的相邻单位（有关的调度中心及发电厂和变电站），联合采取紧急防护措施，以防止事件扩大。同时注意保护事故现场，以便进行调查取证和事故分析。当系统遭到破坏时，应当按照预先制定的应急方案尽快实施恢复。,总体方案：联合防护和应急处理,电厂二次安全防护,发电厂具有实时控制功能的监控系统，在没有进行有效安全防护的情况下与当地的MIS系统互连，甚至与互联网直接互连。监控系统和数据网络缺乏必要的安全防护措施。对设备制造商缺乏有效的安全管理方法（PLC事件）。电力二次系统的管理及运行人员缺乏必要的安全防范意识。,发电厂安全隐患,防止发电厂监控系统服务的核心业务（即电力生产）中断。防止发电厂监控系统本身崩溃。防止发电厂二次系统核心崩溃或人为破坏引起的一次系统误动作，确保一次系统的正常、连续运行；防止发电厂二次系统的崩溃，并由此导致发电厂事故或大面积停电事故，确保系统本身的正常运行；抵御外部对发电厂监控系统发起的恶意破坏和攻击（包括传播病毒/木马等恶意代码），导致对电力生产及相连的调度自动化系统的恶意破坏。保护发电厂监控系统实时和历史数据，主要防止数据被非授权修改。,发电厂防护目标,1.内部安全风险 发电厂监控系统的操作系统易受各种潜在病毒爆发而瘫痪。发电厂监控系统的计算机输入、输出读写设备的使用导致感染病毒。不适当的应用TCP/IP或UDP/IP等网络协议而引发的安全风险。应用软件设计的不成熟性，存在漏洞和缺陷，在某种条件下诱发致使计算机系统崩溃。发电厂监控系统缺乏有效的访问控制、监视和记录手段。,风险分析,2.边界安全风险网络边界的风险：在通信网关和SPDnet的网络边界，存在来自远程非法入侵的威胁；在发电厂监控系统网络和其他系统的连接的边界，存在非授权入侵和病毒传播的威胁；非法访问和破坏：在访问连接建立期间，存在非授权者非法登录，对发电厂监控系统进行攻击的威胁。,风险分析,重点防护,抵御外部人员通过网络对发电厂二次系统发起的电子攻击和破坏；防止非授权人员对监控系统的非法操作和破坏，确保操作的安全合法性；防止计算机病毒感染和侵袭发电厂二次系统；防止非授权人员对监控系统的系统参数配置、数据库结构、数据库文件和数据的修改和破坏。,水电厂二次系统参考逻辑结构A,水电厂安全防护示意图A,结 束,陈俊杰电话：18075100130 0731-85542202邮箱：,