集控中心、水电站数字化互联电力二次系统安全防护.doc

流域集控中心、水电站数字化互联电力二次系统安全防护中国水电顾问集团成都勘测设计研究院机电处令狐小林 专业副总工Tel：028-87392842 MB：13808001728Fax：028-87325243E-mail：lh_xiaolin lhxiaolin2010年3月1. 安全保护等级1.1 国外保护等级的发展国外已经在操作系统的检测和评估方面作了大量的工作，美国等西方发达国家和前苏联及其盟国在信息安全产品的开发与评估中都实行了分类、分级原则。美国国家计算机安全中心（NCSC）1983年公布了著名的“可信计算机系统评估准则”（TCSEC，俗称橘皮书），橘皮书论述的重点是通用的操作系统，使用了可信计算基础这一概念，即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体，为了使它的评判方法适用于网络，NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等（俗称彩虹系列）。TCSEC将计算机系统的可信程度划分为D、C、B、A级，由低到高，每级包括它下级的所有特性：D级：最小保护；C1：选择的安全保护；C2：受控的访问环境；B1：标号安全保护；B2：结构化安全保护；B3：安全域机制；A：可验证的安全设计。TCSEC的评价准则中，从B级开始就要求具有强制存取控制和形式化模型技术的应用，B1级和B2级的级差最大，只有B2、B3和A级，才是真正的安全等级，它们至少经得起程度不同的严格测试和攻击。此后，美国推出了“DoD可信计算机系统评估准则”、“可信网络说明”、“可信数据库管理系统说明”、“最低限度安全功能要求”等。英、法、德、荷、加五国国防信息安全机构，加上美国国防部国家安全局和美国商务部国家标准与技术局共同制定了“信息技术安全通用评估准则”（CC），国际标准化组织（ISO）于1999年批准CC标准以“ISO/IEC 15408-1999”名称正式列入国际标准系列。1.2 中国的保护等级体系1994年，国务院发布了中华人民共和国计算机信息系统安全保护条例，第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力，多年攻关，目前，已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系，基本能够满足国家信息安全等级保护制度全面实施的需求。此外，公安部、国家保密局、密码管理局、国务院信息办联合会也陆续出台了相关的标准等。GB 17859将计算机信息系统安全保护等级划分为五个级别：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。第三级是一个分水岭，在整个安全保护等级里阐述了一个概念，就是信息安全或是网络安全归纳为访问控制的安全，第三级及以上就是强制访问控制，第三级以下都是自主的访问控制。GB/T 21028为实现GB 17859的要求对服务器通用安全技术进行了规范。GB/T 22240明确了定级要素与安全保护等级的关系及确定定级对象的安全保护等级原则。2. 电力系统相关法规、法令和文件原国家经贸委颁布了电网和电厂计算机监控系统及调度数据网络安全防护规定。电监会颁布了电力二次系统安全防护规定(以下简称“5号令”)、关于印发电力二次系统安全防护总体方案等安全防护方案的通知(以下简称“34号文”)及其附件、关于印发电力行业信息系统等级保护定级工作指导意见的通知(以下简称“44号文”)。国网公司印发了“关于贯彻落实电监会电力二次系统安全防护总体方案等安全防护方案的通知”(以下简称“1167号文”)。3. 工程设计中的认识和体会我院设计的工程主要涉及流域集中控制中心、发电厂、变电站等，工程设计中应考虑其电力二次系统安全防护方案。结合工程设计，谈谈认识和体会。3.1 原则安全防护方案应严格按照“5号令”、“34号文”、“44号文”、“1167号文”等文件的要求，进行安全防护。大渡河流域梯级电站集中控制中心（以下简称“大渡河集控中心”）工程设计中，我们遵循的总体原则为“安全分区、网络专用、横向隔离、纵向认证”，这是“34号文”颁布后，我院首次对工程所涉及的电力二次系统进行了全面细化的安全防护设计，也首次在监控系统中设计了主机加固。在可研/招标阶段，可研报告和招标文件经专家评审，认为“大渡河流域梯级电站集中控制中心综合自动化系统”安全防护的整体方案是可行的、满足相关法规、法令和文件的要求。目前工程已于2008年12月5日通过了初步验收，投入运行，并陆续接入了瀑布沟、龚嘴、铜街子电站，在各电站侧也按以上原则考虑了相应的安全防护方案。大渡河集控中心计算机监控系统框图如图1所示。图1 大渡河集控中心计算机监控系统框图3.2 安全防护方案电力二次系统安全防护总体方案的框架结构如图2所示。梯级水电站电力二次系统安全防护部署如图3所示。图2 电力二次系统安全防护总体框架结构示意图图3 梯级水电站电力二次系统安全防护部署示意图3.3 安全分区集控中心的安全防护要求可参照地、县级调度中心二次系统安全防护方案执行。我国在不同地区的地、县级调度中心在规模和业务系统的配置上具有很大差别，各工程可以根据应用系统实际情况确定安全防护实施方案，可以简化安全区的设置。“大渡河集控中心”综合自动化系统设计中，划分了控制区（安全区）、非控制区（安全区）、生产管理区（安全区）和管理信息区（安全区），考虑了分别建立内网、外网公共数据区和管理信息公共数据区，内网公共数据分布于计算机监控系统生产管理信息服务器、外网公共数据分布于生产管理数据服务平台、管理信息公共数据分布于管理信息数据服务平台，内网、外网配置网络防病毒系统。各系统安全区的划分见图3。目前已投运的系统有：计算机监控系统、水调自动化系统、水情自动测报系统、电能量采集和报（竞）价系统、继电保护运行及故障信息管理系统、工业电视系统等各总站系统、调度数据网，流域生产管理系统、国电营销系统，以及生产管理数据服务平台。安全区连接的拓扑结构，“大渡河集控中心”工程中采用的是链式结构和三角结构。“44号文”中，有些生产控制系统建议等级为2级，有些生产管理系统建议等级为3级，具体工程设计中可结合“34号文”和“44号文”，确定相应系统的安全保护等级，并经过上级信息安全主管部门和相应电力调度机构的审核。安全分区设计，大型流域集控中心、水电站项目应细化，可以考虑分别建立内网、外网公共数据区，内网公共数据分布于计算机监控系统对外网关，外网公共数据分布于生产管理数据服务平台。内网、外网配置网络防病毒系统。中型项目可以参照大型项目的思路进行安全分区。小型项目根据具体情况可以不设非控制区，重点防护控制区。3.4 网络专用“大渡河集控中心”工程设计了电力调度数据网和电力企业数据网。电力调度数据网是为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务，划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。企业内部管理信息大区纵向互联采用电力企业数据网。数据网由通信专业设计，需与通信专业密切配合，提出相应要求，并实现安全防护措施。“大渡河集控中心”与各梯级电站、上一级调度机构的广域网通信见图3。3.5 横向隔离“大渡河集控中心”工程设计中，生产管理数据服务平台连接区各个应用系统，进行生产数据交换，同时，与监控系统生产管理信息服务器之间采用国产硬件防火墙进行逻辑隔离，与区和区的各系统进行横向隔离的数据交换。管理信息数据服务平台位于管理信息大区，连接管理信息大区各应用系统，主要用于管理信息数据交换，并与生产管理数据服务平台进行横向隔离的数据交换。实施中，因各电力生产应用系统分阶段招标，实际上划分在区的各系统按需要设置了不同的防火墙H3C-NS-SeePath F100-S-AC，NGFWARES(TG-1305-VPN)，NetEyeFW4120-W-H-FE6和正/反向安全隔离装置Syskeeper-2000，HRWall-85M-II分别与区、区相连。3.6 纵向认证“大渡河集控中心”工程，监控系统广域网的纵向连接处均设置了电力专用纵向加密认证装置，配置2台NetKeeper 2000，与各梯级电站广域网通信；电力调度数据网配置2台NetKeeper 2000，与上一级调度机构广域网通信。内的各业务系统与各梯级电站、上一级调度机构广域网的纵向连接处电力调度数据网设置防火墙，这是与四川省电力通信自动化中心目前的要求一致的，各工程可根据当地电力系统的要求配置。区和区内的各业务系统广域网的纵向连接处将设置防火墙。3.7 通用安全防护措施3.7.1备份和容灾关键主机设备、网络设备或关键部件、通信通道进行相应的冗余配置，对关键业务的数据和系统定期进行备份，建立历史归档数据的异地存放制度。对于集控中心，结合业主管理需求，考虑是否设置区域集控中心。“大渡河集控中心”工程可研报告评审意见：“鉴于流域梯级电站多，建议适当设置分区域控制功能，目前暂不考虑设置独立的区域集控中心。”3.7.2 入侵检测在各安全区可以部署基于网络的入侵检测系统。“大渡河集控中心”工程设计中，对计算机监控系统，配置有IDS，包括IDS管理机和3个入侵检测系统探头，IDS-1（NPIDS1000）用于检测控制网络、IDS-2（NPIDS100）用于检测数据交换网络、IDS-3（NPIDS100）用于检测对外连接网络。对生产管理数据服务平台，原设计中也考虑了IDS及其入侵检测系统探头的布置，实施中，因各电力生产应用系统分阶段招标，有些系统还未实施，有待研究是否和如何配置IDS。3.7.3主机加固服务器是由硬件系统和软件系统两大部分组成的，硬件系统、操作系统、数据库管理系统、应用系统的安全保护构成了服务器安全。操作系统所管理的资源包括各种用户资源和系统资源，系统资源包括系统程序和系统数据以及为管理计算机硬件而设置的各种表格。在网络环境中，网络系统的安全性依赖于网络中各主机或服务器系统的安全性，没有安全的主机或服务器系统的支持，网络安全也毫无根基可言。目前，我国尚没有自己的实施高安全等级的相应配套安全技术和产品，我国进口的计算机系统产品，WINDOWS、UNIX商用安全级别太低，本身存在很多漏洞，高安全级别的操作系统国外不对我国出口。进口的计算机系统产品安全功能基本上是最低层次的，使用的微机和网络产品从硬件、固件到软件，基本没有安全保障功能。美国的密码产品也分为多个等级，其中允许出口的密码产品，如数据加密标准（DES）产品，在上世纪90年代，其密钥长度为64位以上的用于美国国内，64位的仅可出口盟国，而对中国仅允许出口40位的密码。虽然国内自主研发出一些操作系统，如：Red Hat（红帽）、Red Flag（红旗）、蓝点等，但基于其自身原因都没有推广应用。国内许多专家和学者认为，坚持自主定级、自主保护的原则，必须采用高安全等级的操作系统和数据库，开发我国自己的高级别的安全操作系统、数据库和服务器的任务迫在眉睫，当然其开发工作也是十分艰巨的。目前，一定要在系统内核加强加固，力争自主可控。提升操作系统的安全保护等级可以通过以下方式实现：设计和实现具有所需要的安全保护等级的操作系统，如：微软下一代操作系统（Vista）已正式发布，其主要特点是全面采用可信计算机技术提高其安全可控性；重构操作系统源代码，如：红旗的安全操作系统；在驱动层加上安全内核模块，即采用专用软件强化操作系统访问控制能力，这是我们目前设计主机加固的解决方案。“34号文”提出了主机加固的要求，但并没有明确具体加固到什么安全防护等级才满足要求，虽然在“大渡河集控中心”工程首次设计了主机加固，此设计方案仅代表我们当前的认识水平及目前的具体实施环境，我们也在摸索，将随着实践逐步完善和提高。我们认为安全配置、安全补丁是操作系统和服务器自身的安全，而安全的应用程序既是操作系统和服务器自身的安全，也是电力二次系统集成商应用程序的安全，如果操作系统和服务器安全保护等级达到第三级及以上，且集成商应用程序是安全的，可以不采用主机加固。我们认为从设计方面，建议等级为3级及以上的电力二次系统应考虑主机加固，建议等级为3级以下的非生产控制系统可以不考虑主机加固。生产控制系统在“44号文”中的建议等级最低为2级，而“34号文”附件1：电力二次系统安全防护总体方案第2.1.4条明确说明“生产控制大区的安全等级高于管理信息大区，其中控制区中关键业务系统的安全等级相当于计算机信息系统安全保护等级划分准则中安全保护等级的第3级或第4级，可根据具体情况确定。”，对建议等级为2级的生产控制系统，除小型工程外，原则上考虑主机加固，并结合上级信息安全主管部门和相应电力调度机构的要求、业主需求决定是否需要主机加固。目前我们考虑实施主机加固的有：控制区：主机或应用程序服务器、数据服务器、网络边界处的通信网关、远程拨号访问服务器。此外，具体工程设计中，可根据集成商所提供系统的特点确定其它服务器或工作站是否实施主机加固。非控制区：WEB服务器。生产管理系统：部分建议等级为3级的系统。目前国内已有一些第三方公司推出了操作系统安全加固软件系统，电力二次系统有实际应用案例，主机加固需实践检验，对第三方专用安全加固软件系统应该立足于选择国内自主研发的产品。同时，业主可以结合管理体制加强安全保护，即从管理体制上划分操作员、系统管理员、安全管理员、审计管理员。操作系统访问控制的最佳策略是权限分离和最小特权原则，通过严格分开系统管理员和安全管理员的权限，以控制超级用户系统管理员的权限，有效防止内部人员的越权访问和外部的攻击。安全管理员本身不参与操作系统行为，并且有审计管理员来监督他的行为。3.7.4大屏幕投影系统的安全防护“大渡河集控中心”工程，设置大屏幕投影系统，监控系统采用网络方式和直通方式（RGB/VGA）接入大屏幕投影系统，同时，网络方式采用硬件防火墙NPFW-100-S进行隔离。管理信息大区中的各业务系统未接入大屏幕投影系统。4. 结束语国内已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系，电力系统也出台了相关法规、法令和文件，国内、国际多个标准并存将成为普遍现象。新建工程电力二次系统安全防护的设计方案必须符合国家有关安全防护的标准、法规、法令、规定等。我们迫切希望我国能尽快自主设计、生产和制造所需要的安全保护等级的操作系统和服务器，以及电力二次系统安全防护设备。设计人员，需要认真踏实学习相关知识，跟踪动态，在设计工作中切实做好自己的本质工作，随着实践逐步提高和完善。希望通过本文的介绍，能在更多的工程设计中更好地进行安全防护研究、交流，并推广应用。参考文献 1. 王斌、邢立民.等级保护与服务器系统的安全，实验科学与技术，2006(3).2. 沈昌祥.信息安全保障建设中的几个焦点问题分析，信息网络安全，2007(6).3. 崔书昆.信息安全产品评估标准综述.作者简介：令狐小林（1964），男，硕士，教授级高工，长期从事电气二次设计工作。