吐鲁番-某地调电力二次系统安全防护的设计.docx

某地调电力二次系统安全防护的设计 吐鲁番电业局调度通信中心 史忠平 目录 1、引言 1 2、现状 2 3、整改的方案 3 3.1安全防护的基本原则 3 3.2系统在安全防护中的问题 4 3.3 适应电网的二次防护系统构建 5 3.3.1 EMS与MIS网络间的电力物理隔离 5 3.3.2 其它各区之间的安全策略 7 3.3.3 系统的网络传输控制 9 3.3.4 数据库管理 10 3.3.5 防病毒措施 11 结束语 11 后记 11 参考文献 12 某地调电力二次系统安全防护的设计 【摘要】：电力二次系统是指各级电力监控系统和调度数据网络（SPDnet）以及各级调度管理信息系统(OMS)和电力数据通信网络（SPInet）构成的大系统。本次我们仅就某地区电业局电力二次系统现状，确定电力二次系统的安全区的划分原则，确定各安全区之间在横向及纵向上的防护原则，提出该系统安全防护的思路。 国家电网公司依据我公司内部电网二次系统系统的具体情况制定了《全国电力二次系统安全防护总体方案》，目的是规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全、稳定、经济运行。 【关键字】：二次防护，系统，安全区，数据网络 1、引言 由于随着计算机、Internet的普及以及人们对网络的依赖和使用的深入，病毒、黑客等对计算机、网络的正常使用构成的威胁日渐突出，为防止因病毒或黑客的攻击造调度自动化系统瘫痪、从根本上保证供电企业的自动化系统免受病毒、黑客的攻击，保证供电企业的安全运行。国家经济贸易委员会和国家电力公司相继出台了电力系统自动化方面的网络安全方案。国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》及国家电力公司国电调[2002]411号文件详细描述了供电企业内部四个不同工作区之间的信息交换方式， a.安全区Ⅰ为实时控制区，安全保护的核心。凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区Ⅰ。如：调度自动化系统和相量同步测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统 等，是电力二次系统安全保护的重点与核心。 b.安全区Ⅱ为非控制业务区，原则上不具备控制功能的生产业务和批发交易业务系统均属于该区，如：水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。该区的外部通信边界为SPDnet的非实时VPN。 c.安全区Ⅲ为生产管理区，该区的系统为进行生产管理的系统，如：调度生产管理系统、雷电监测系统、气象信息接入、客户服务等。该区中公共数据库内的数据可提供运行管理人员进行web浏览。该区的外部通信边界为电力数据通信网SPInet。 d.安全区IV为管理信息区，如：管理信息系统及办公自动化系统。该区的外部通信边界为SPInet或因特网。 2、现状 某局目前拥有220KV变电所4座、110KV变电所17座、35KV变电所36座，所有变电所均接入EMS（电网能量管理）系统。实现遥测、遥信、遥控、遥调、SOE、潮流分析等功能，能够适应电网调度运行工作要求。 某局目前采用了DF8002V8电网能量管理系统，该系统于2004年3月投入运行。DF8002V8系统采用分布式的设计模式和网络体系结构，基于TCP/IP网络传输协议，功能以Client/Server模式分布于网络中，支持和管理网络中各自独立的数据处理节点，使数据实现共享和统一。 DF8002V8电网能量管理系统的主站端包含通道系统、系统服务器两台、前置机服务器两台、Web服务器、高级应用工作站、调度员工作站两台、维护工作站、各工作站通过两台交换机组成实时电网能量管理系统，公司其他部门可通过Web调看画面和数据。 一段时间运行表明，DF8002V8系统能够为电网管理提供有效、高质的技术平台，但它在安全防护方面考虑较少，各安全区内部及之间缺少必要的隔离措施，这就造成了现有系统存在安全防护薄弱的事实缺陷。 DF8002V8系统的网络结构中， 服务器、工作站、WEB、前置系统等设备均以总线结构接于一台HUAWEI S2026 24口交换机。单位时间内数据交换流量过大、机器负荷过重，容易造成设备间数据通讯故障，情况严重的甚至可以导致服务器误判网络故障超时，导致自动关闭主程序。同时，经过同一网段进行交换，也增加系统全面感染病毒的可能。 系统各服务器、工作站配置的金山防病毒软件版本过老，缺乏及时的特征库升级。各工作站由于虽然规范了使用人员权限并设置了系统口令，但是仍然有暴露系统于非专业人员、调度人员的可能。如果这些人误动了系统数据库，误操作了系统相关功能，后果将不堪设想。 3、整改的方案 3.1安全防护的基本原则 参照《全国电力二次系统安全防护总体方案》，我们确定电力二次系统的安全防护应遵循以下基本原则 1) 安全分区。分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分区，重点保护生产控制以及直接生产电力生产的系统。 2) 网络专用。电力调度数据网 SPDnet与电力数据通信网SPInet实现安全隔离，并通过采用MPLS-VPN或IPSEC－VPN在SPDnet和SPInet分别形成多个相互逻辑隔离的VPN实现多层次的保护。 3) 横向隔离。在不同安全区之间采用逻辑隔离装置或物理隔离装置使核心系统得到有效保护。 4) 纵向认证、防护。安全区Ⅰ、Ⅱ的纵向边界部署IP认证加密装置；安全区Ⅲ、Ⅳ的纵向边界必须部署硬件防火墙，目前在认证加密装置尚未完善情况下，使用国产硬件防火墙进行防护。 整体安全防护隔离情况如下图所示： 1. 2. 3.2系统在安全防护中的问题 某局目前所使用的DF8002V8系统作为成熟的电网管理平台，是通过自己独立的网络在安全区I和安全区II中运行，系统既担负着电网实时监测、控制、SOE、数据录库、处理等任务，也为调度人员集成了电压无功优化管理、PAS（网络拓扑、状态分析、负荷预测、调度员潮流分析）等功能，且必须为整合DMIS系统提供支撑。同时，系统必须为电力客户和有关部门提供实时发布浏览的WEB服务。 EMS系统独立组网于安全I、II区，DMIS支持软件位于安全III区，而WEB服务器做为连接MIS网的主要设备位于安全III区。实际情况是，调度人员使用的DMIS支撑软件与调度工作站集成于调度I、II区共同使用，WEB服务器在III区间未经过有效的物理隔离设施直接与I、II区相联,且与IV区之间也没有任何防护措施。 DF8002V8系统的网络结构中， 服务器、工作站、WEB、前置系统等设备均以总线结构接于一台HUAWEI S2026 24口交换机。单位时间内数据交换流量过大、机器负荷过重，容易造成设备间数据通讯故障，情况严重的甚至可以导致服务器误判网络故障超时，导致自动关闭主程序。同时，经过同一网段进行交换，也增加系统全面感染病毒的可能。 系统各服务器、工作站配置的金山防病毒软件版本过老，缺乏及时的特征库升级。各工作站由于虽然规范了使用人员权限并设置了系统口令，但是仍然有暴露系统于非专业人员、调度人员的可能。如果这些人误动了系统数据库，误操作了系统相关功能，后果将不堪设想。 3.3 适应电网的二次防护系统构建 操作系统的安全、数据库的安全、网络安全、系统权限论证、病毒防范措施构成电网管理系统安全性的各环节。结合我公司系统现状，调度实时系统与MIS网之间的有效隔离，EMS系统人员权限管理、数据库管理、病毒特征库升级管理成为构建二次防护系统的主要问题。 3.3.1 EMS与MIS网络间的电力物理隔离 根据上图及国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》: 第三条 电力系统安全防护的基本原则是：电力系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。 第四条 各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。 DF8002V8系统需面向MIS网络用户发布实时电网信息。我们的系统需要做如下的变动： l 可以通过一台基于LINUX操作系统的WEB服务器，以数据单向迁移的形式由调度网络将数据镜像发布于WEB服务器，并由WEB服务器生成满足发布浏览要求的WEB页面，供安全III/IV区的用户调用。 l 采用物理隔离装置可使安全区之间物理隔离。禁止跨越安全区Ⅰ/Ⅱ与安全区Ⅲ/Ⅳ的非数据应用穿透物理隔离装置的安全防护强度适应由安全区Ⅰ/Ⅱ向安全区Ⅲ/Ⅳ的单向数据传输。由安全区Ⅲ/Ⅳ向安全区Ⅰ/Ⅱ的单向数据传输必须经安全数据过滤网关串接物理隔离装置。 由此，我们必须采用软、硬件结合的有效安全隔离措施、保证网络数据共享的同时，实施对非法信息的隔离。 结合目前系统情况，可以将现有WEB服务器完全置于安全III区，通过专用电力物理隔离设备实现与安全I、II区的数据共享。        专用电力物理隔离设备 其它网络系统 安全III区 WEB服务器 EMS系统 安全I区   EMS与WEB间的电力物理隔离示意图   电力专用物理隔离设施必须满足以下条件： (1) 具有物理隔离能力的硬件结构,保证了内部网络和外部网络的物理隔离 (2) 软、硬结合的数据流向控制 通过安全策略实现软控制 （通过单向迁移，实现WEB服务器与物理设备的连接，设置Socket端口建立WEB与隔离设备的链路）。 通过物理开关实现硬控制 (3) Socket连接方向的控制 (4) IP与MAC地址绑定 3.3.2 其它各区之间的安全策略 将安全I区（实时数据区）与安全II区进行必要的隔离，禁止跨越安全区Ⅰ与的E-MAIL、WEB、telnet、rlogin。即将系统的数据采集部分全部放入安全Ⅰ区，将剩余的SCADA服务、历史数据服务、各客户端以及部分高级应用服务放入安全Ⅱ区，数据采集区配置自己独立的服务器、交换机，并配置相应策略。 镜像生成数据、数据单向迁移能够部分的消除数据信息传输过程中遭受病毒、HACKER攻击的概率。LINUX系统由于其能够实现对个体文件、任务进行加密处理的特性，使其较WINDOWS系统更为安全、可靠。由于WEB服务器在身份认证和权限管理方面没有有效措施，同时当LINUX系统中的SAMBA服务使WEB服务器在直接面向与INTERNET互联的MIS网络时为HACKER攻击和病毒入侵提供了漏洞或者端口。因此需要在WEB服务器与MIS网络之间，即在安全III区与安全IV区之间配置一台防火墙，并配置相应策略。 防火墙设备 其它网络系统 安全IV区 MIS网络 安全III区 WEB服务器       WEB与MIS网络间的示意图 如此配置后的调度自动化拓扑基本就可以确定为下图： 3.3.3 系统的网络传输控制 拓扑网络中，数据传输与信息交互的控制是需要网络各节点全面控制支持的，因此我们有必要确保网络各环节处于可控、在控状态中，可以利用以下手段实现。 （1）、加强口令管理 字符数较少的弱口令或默认口令常常会被无关人员记忆，也易被HACKER破译。同时，由于EMS系统担负了远控、数据备份等重要任务，一旦被别有用心的人盗用口令，肆意删除数据或者使用其他功能，企业损失将无法估计。 我们可结合现代密码学，使用CA与身份认证保证我们的用户管理。 PKI是一个利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服务的统一的技术框架。 基于PKI的CA认证系统为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务。最终CA认证体系结构图如下所示： CA认证系统的整体结构 CA中心 RA中心 ……. ……. 调度人员 设备 密钥管理中心 RA中心 RA中心 调度人员 设备 调度人员 设备 （2）、 禁用不必要服务 关闭某些网络设备出厂缺省设置，如Finger、BootpServer、IPRedirect、ProxyArp、Directed-Broadcast等服务，另外，在路由器上，对于SNMP、DHCP以及WEB管理服务等，只有绝对必要的时候才可使用这些服务。 （3）、 禁止使用远程访问 使用远程访问客户端，可以方便系统的远程维护，实现厂家在线技术支持。但是，通过INTERNET的访问控制，必然将系统暴露，为攻击提供访问端口，部分病毒也可以伪装成TXT等格式，入侵系统。 （4）、 控制流量有限进入网络 为了避免路由器成为DoS攻击目标，用户应该拒绝以下流量进入：没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击，但用户可以限制DoS的危害；另外，用户还可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN的攻击。 （5）、合理分配交换机 为减轻交换机数据流量和处理任务，我们配置两台交换机，分别构建设前置系统（192.168.0.*）与调度服务器、工作站、WEB（202.0.1.*）两个网段，由此有效提高了数据交互效率，并且减少网络故障概率。 3.3.4 数据库管理 EMS系统拥有丰富的数据资源、数据库的安全管理成为系统二次防护的重要组成。数据资源主要分布在前置系统的服务器、EMS系统主服务器、WEB服务器、VQC、PAS、DMIS系统站的PC工作站、电能量系统的服务器中。处于安全I、II区的EMS系统各组成设备在物理防护下，面临的威胁主要来自于人的因素。因此我们必须采取以下措施：分解系统维护人员、调度操作人员、设备巡视人员职责，并在EMS的人机交互环节设置体现出来，将人员分组赋予不同权限范围，并实现口令管理，同时在系统中用LOG.TXT记录人员访问操作信息。严格口令管理制度，严禁无关人员使用工作人员口令、权限，并健全相关处罚措施。 3.3.5 防病毒措施 利用防病毒软件是系统遏止病毒入侵、防范病毒危害的重要手段。我们的系统选用的主要是金山公司出品的金山毒霸系列软件。病毒是不断发展、衍变的，厂家由此定期会通过INTERNET升级病毒特征库，而我们的系统基于安全I区，不可能直接远程升级特征库代码。 传统的方法我们主要利用设备提供的光盘驱动器、软盘驱动器、USB输入口等设备直接将拷贝下的病毒升级程序迁入系统设备中。中间无论是采取移动设备还是通过网络连接的方式实际上都将系统暂时暴露系统安全防护体系之外。 有鉴于次，我们可以设置一台独立的病毒升级服务器解决这个问题。病毒服务器可以设置于安全III区，该服务器采用LINUX系统为操作平台（KDE平台），并加装防病毒软件，利用KDE系统的文件管理功能处理获取的病毒特征库文件，经过本机杀毒后，经过物理隔离设备提供给总线结构连接的EMS网络各设备，从而实现系统设备病毒库的安全升级。 另外，我们注意到，EMS设备提供的I/O设备成为非专业人员输入病毒的隐患，因此我们将服务器与各工作站中封存的I/O设备予以封存，杜绝出现由此造成的系统崩溃等故障！ 结束语 本文中所阐述内容，是我对某局现有EMS系统二次防护工作的一些建议和想法，部分内容已经实现，经实践证明是行之有效的，有些内容因为资金等原因尚未实现，但是我们有必要就此进行先期探索论证，做好技术储备。 参考文献 1．《电网调度自动化与信息化技术标准》 2．《电网调度自动化与配网自动化技术》 3.《全国电力二次系统安全防护总体方案》 4.《电网和电厂计算机监控系统及调度数据网络安全防护规定》