1、电力二次系统安全防护总体技术介绍,1、安全防护方案,通讯服务器,发电,用电,输电,变电,配电,RTU,RTU,RTU,数据采集和传输,应用服务器,电 网 调 度,电力二次系统示意图,电力二次系统安全隐患分析,一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时，在没有进行有效安全防护的情况下与外网互连。电力监控系统和数据网络本身缺乏必要的安全防护措施。存在直接进入设备系统机房，或采用线路搭结手段，进入计算机监控系统的可能性。存在不安全拨号等后门。对自动化设备的研发和生产过程缺乏有效的安全管理方法。管理及运行人员缺乏必要的经验和安全意识。,电力二次系统安全防护相关法规,为了贯2、彻落实国家电力监管委员会第5号令电力二次系统安全防护规定（简称5号令）和原国家经贸委2002第30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定（简称30号令），构建电力二次系统安全防护体系，保障电力二次系统的安全，从而保障电力系统的安全稳定运行，制定电力二次安全防护方案。,4、纵向认证,3、横向隔离,电力企业数据网,控制区,非控制区,管理区,信息区,电力调度数据网,生产控制大区,管理信息大区,防火墙,2、网络专用,1、安全分区,1,2,3,4,“十六字原则示意图”,横向与纵向防护结构,上级调度/控制中心,下级调度/控制中心,上级信息中心,下级信息中心,实时VPN SPDnet 非实3、时VPN,IP认证加密装置,安全区I(实时控制区),安全区II(非控制生产区),安全区III(生产管理区),安全区IV(管理信息区),外部公共因特网,生产VPN SPTnet 管理VPN,防火墙,防火墙,IP认证加密装置,IP认证加密装置,IP认证加密装置,防火墙,防火墙,安全区I(实时控制区),逻辑隔离,安全区II(非控制生产区),安全区III(生产管理区),防火墙,防火墙,安全区IV(管理信息区),专线,逻辑隔离,防火墙,防火墙,PSTN,移动用户,拨号网关,PSTN,移动用户,拨号网关,正向专用安全隔离装置,反向专用安全隔离装置,正向专用安全隔离装置,反向专用安全隔离装置,远动通信安全网4、关,1,2,3,4,调度安全防护总体结构示意图,220kV及以上变电站二次系统安全防护示意图,配电二次系统安全防护示意图,2、相关的安全防护设备,2.1、横向安全隔离,安全隔离原理,安全隔离设备，也称为“网闸”，其原理是模拟人工的数据“拷贝”，不建立两个网络的“物理通路”，所以网闸是把应用的数据“剥离”，摆渡到另外一方后，再通过正常的通讯方式送到目的地，因此从安全的角度，网闸摆渡的数据中格式信息越少越好，当然是没有任何格式的原始数据就更好了，因为没有格式信息的文本就没有办法隐藏其他的非数据的东西，减少了携带非法信息的可能性。,内网,外网,应用数据,安全隔离概念,可以阻断网络直接连接，两个网络不5、同时连接在设备上；可以阻断网络逻辑连接，即TCP/IP必须被剥离，将原始数据非网方式传送；隔离传输机制具有不可编程性；任何数据都是通过两级代理方式完成；具备对数据的审查功能，数据不具有攻击及有害的特性；具有强大的管理与控制功能；,电监会技术要求,根据国家电监会5号令电力二次系统安全防护规定的要求,安全隔离设备技术要求如下：1)实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；2)表示层与应用层数据完全单向传输，即从安全区III到安全区I/II的TCP应答禁止携带应用数据；3)透明工作方式：虚拟主机IP地址、隐藏MAC地址；4)基于MAC、IP、传输6、协议、传输端口以及通信方向的综合报文过滤与访问控制；5)支持NAT；6)防止穿透性TCP联接：隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。7)具有可定制的应用层解析功能，支持应用层特殊标记识别；8)安全、方便的维护管理方式,双机非网结构,内网,外网,内网分区,外网分区,安全隔离分区,LAN,CPU主板1,LAN,CPU主板2,非网通信,两级代理方式,网卡设备驱动,读取、写入链路数据包,防火墙,模拟,TCP/UDP模块,（连接终止）,安全隔离区,链接,网卡设备驱动,读取、写入链路数据包,防火墙,模拟,TCP/UDP模块,（连接发起）,链接 n,链接,内网 允许发起连接,外网7、 不允许发起连接,链接 n,典型连接方式,I区 SCADA,III区 MIS,正向隔离装置1,正向隔离装置2,I#网,II#网,I#网,II#网,正向隔离装置,管理信息大区,隔离装置,生产控制大区,完全单向通讯方式（UDP）；单向数据1Bit返回方式（TCP）；,反向隔离装置,管理信息大区,隔离装置,生产控制大区,反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。,2.2、纵向加密认证,基本要求,按照电力系统专用纵向加密认证装置技术规范的要求设计与研制。位于电力8、控制系统的内部局域网与电力调度数据网络的路由器之间，为电力通信提供安全可靠的服务：用于生产控制区的广域网边界防护，在为本地提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。重点保护电力实时闭环监控系统及调度数据网络的安全，禁止外部非授权用户的非法进入，防止从网络传输平台引入的攻击和破坏造成的的电力系统事故。,纵向加密认证装置,SPDnet MPLS VPN,SCADA服务器,调度员,网关机,网关机,当地监控服务器,间隔单元,执行装置,人机工作站,厂站自动化系统,调度自动化系统,网络层,应用层，服务,传输层+应用层,最终用户,当地认证,569、所30所数据所,纵向加密认证装置,电科院南自院,典型部署,2.3、远程接入防护,传统远程维护的安全隐患,在电力监控系统中通常是采用Modem实现远程维护功能，这种访问方式存在非常大的安全隐患，主要如下：系统维护人员的安全意识不够，维护口令采用原厂家默认口令且长期不变，容易造成泄漏维护口令等敏感信息导致执行非授权的操作；在系统拨号维护期间采用明文进行传输，非法入侵者容易对电力监控系统发送非法控制命令，导致电力系统事故；没有对远程维护人员进行身份认证、操作过程等进行详细记录，出现问题时难以进行审计。,通过远程拨号访问生产控制大区，要求远方用户使用安全加固的操作系统平台，结合数字证书技术，进行登录认10、证和访问认证。对于通过拨号服务器(RAS)访问本地网络与系统的远程拨号访问的方式，应当采用网络层保护,应用 VPN 技术建立加密通道。对于以远方终端直接拨号访问的方式，应当采用链路层保护，使用专用的链路加密设备。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。出自电监安全（2006）34号 附件1：电力二次系统安全防护总体防护方案,安全防护方案中对拨号接入的要求,产品特点,HR FW-3000V电力系统专用远程拨号安全服务器是根据国家电力二次系统安全防护要求，针对远程拨号接入而设计的。装置采用工业级硬件、调度数字证书身份认证、防火墙、VPN等安全技术，对接入用户进行认证，对传输11、的信息进行加密和数字签名，对接入的用户访问的范围和资源进行限制，通过审计日志对其访问进行记录，以提高安全防护强度，保证拨号操作的安全性和可追查性。,使用场合,2.4、公网安全防护,目前使用公网通信的系统,“公网”由于其具备覆盖范围或建设与运行成本低等特点，在电力系统主要有如下应用：,公网通信的安全风险,公网是基于IP的骨干网，而目前许多黑客都对TCP/IP协议非常熟悉，这就使得它更容易受到攻击。公网可能面临的攻击如下：黑客：是指试图从外部IP网络（如Internet）侵入到公网的人，他们的目的是破坏公网或者窃取信息以显示他们的能力，也有的是为了出卖信息来赚钱。管理人员：应确保公网网络管理人员对12、系统不造成任何危害，对他们访问内部网络的权限要加以限制。服务提供商：大多数服务提供商都不是有意的破坏公网，但是由于疏于软件更新或其它类似的情况都会对网络造成威胁。,公网安全防护策略,电力系统公网数据通信安全防护项目实现“网络隔离、身份认证、传输加密、权限受控”的措施来进行安全防护：1)将电力系统内网与传输远动数据的公网进行网络隔离2)在远动通信通道建立的过程中进行基于调度数字证书的身份验证3)所有通信数据采用密文传输，保证数据的机密性、完整性、不可否认性4)对传输数据的相关权限可以根据策略进行控制,产品采用“双机非网”的结构模式，“内网主机”与内网（安全区I、II）以网络或串口的方式连接，“外13、网主机”与公网以网络连接，“内网主机”与“外网主机”以高速串口结合非网络协议方式连接，从而达到既能保证应用程序之间进行双向数据通信，又能保证网络层面公网与内网之间网络隔离。,产品基本结构,项目专利成果,电网应急通信系统应用,电厂数据接入应用,实际接入现场情况,珠海市鸿瑞软件技术有限公司,3.5、更高安全等级的单向隔离防护,单向技术的发展趋势,数据泵单向技术,数据泵技术也称为“安全存储转发技术”。它是在基于通讯的基础上，只允许单方向传送数据，反方向只有控制信息的可以通过，比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。数据泵技术中虽然数据是单方向的，但协议控制14、信息是双方向传递的，若协议本身存在漏洞，则有可能利用协议的漏洞达到反向发送数据的可能。（4字节是指反向控制信息，存在漏洞，因此现在升级为1比特，出现漏洞的可能性大大降低，但还是有可能性（1比特反向通道客观存在）,单向二极管技术,数据二极管技术：若连反向的控制协议也取消，采用“盲发”的方式，也就是一方只管发送，另一方只管接收，至于数据是否有错误，是否完整都不去管它，反向没有数据通道也没有控制通道，完全处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路，所以也称为信息流的单向技术。错误处理措施：发送方增加冗余校验 出现不能恢复的错误通过其它途径（人工或反向装置处理）,单向技术在国外的15、情况,数据二极管技术的产品化，国外已经趋于成熟，比较出名的有美国Owl公司，荷兰Fox-IT公司，澳大利亚Tenix公司。例如从owl公司产品介绍来看，其是以生产的硬件单向光纤网卡为基础而形成了一系列的配套软件产品，其关键是进行了两次单向隔离处理；1.Owl Communication Cards2.Products Overview3.Directory File Transfer System4.Owl ScanFile Management System5.UDP Packet Transfer System6.TCP Packet Transfer System7.Secure Net16、work Packet Transfer System8.Remote File Transfer Service9.Owl Release Management System10.Owl TSABI OWT System,单向千兆隔离装置情况,珠海鸿瑞研制的网络隔离装置（单向型）采用基于多模光纤的单向光接口技术，与国外的单向二极管技术相似，主CPU采用国产龙芯2F,网络平均带宽300Mbps，速度是百兆装置的6倍,珠海市鸿瑞软件技术有限公司,3.6、电力系统专用安全网管,对电力应用系统多层次统一集中监测,HR NM-3000电力系统安全网管装置可以对主机设备、网络设备、存储与备份系统、数据库17、中间件、业务应用系统等实现统一监管和集中管理，对安全事件进行收集和综合分析，对电力二次系统的整体运行情况图形化监视和报表呈现，对系统事件和安全事件进行及时统一报警，降低IT管理维护的复杂性，从而达到“集中监管、集中管理、集中维护”的目标。,采用安全隔离技术对各安全区进行联合监测,电力二次系统中的网络监管对象广泛分布在生产控制大区和管理信息大区，HR NM-3000电力系统安全网管装置采用符合电监会标准的单向安全隔离技术，在不改动系统网络环境的情况下，可以跨各安全区域，实现统一监视和集中管理。,隔离技术通信架构,通过不同网络接口对电力系统各个VLAN进行逻辑连接采集数据,通过内置串口对外部网络18、进行隔离，保证内部网络的安全性。,通过多种方式对各种设备进行监测,针对电力系统中，各个应用系统接口多元化和复杂的特点，装置提供网络、RS232、RS485等接入方式，以适应各个不同环境下的应用场景。,以太网口,控制口,转接口,USB口,与电力专用安全防护设备检测与联动,通过采集、过滤、归并、关联分析等手段充分缩减大型信息系统中海量的安全事件信息，并对安全事件进行严重性排序，优先呈现和处理严重性级别较高的安全事件，当被监视应用系统出现异常时，装置可以向其他电力专用安全防护设备发出指令信息，并做出联动操作，在最短时间内通知管理人员处理。,产品功能丰富,HR NM-3000电力系统安全网管装置具备完19、整的运维管理功能，包括：智能网络拓扑生成，性能管理、进程管理、统一安全管理、安全登陆管理、安全审计、关联分析、资产管理、安全事件管理、告警管理、用户访问权限管理、报表分析等。,设备容易部署、系统配置灵活,HR NM-3000电力系统安全网管装置，采用模板化配置方法对监控对象进行配置管理。对于相同功能的网络产品可以重用模板，配置更容易，方便管理，减少了重复配置工作量。为了满足电力系统复杂、大型、分层、分区管理的需求，HR NM-3000可根据用户不同的组织结构、地理分布以及业务关系，实施跨地域层次化的统一管理模式，从而使责权管理更加明确，拓扑图更加清晰，并能大幅度降低网络流量，提高系统的工作效率。,谢 谢！,