1、电力系统二次安全防护基础,2023年9月28日,2,二滩水电厂异常停机事件；故障录波装置“时间逻辑炸弹”事件；换流站控制系统感染病毒事件；,近年世界上大停电事故反映出电力二次系统的脆弱性和重要性。,电力二次系统安全事件,2023年9月28日,3,2000年四川某水电站无故全厂停机造成川西电网瞬间缺电80万仟瓦引起电网大面积停电。其根源估计是厂内MIS系统与电站的控制系统无任何防护措施的互连，引起有意或无意的控制操作导致停机。2001年9、10月间，安装在全国147座变电站的银山公司生产的录波器的频频“出事”，出现不录波或死机现象，严重影响高压电网安全运行。事后分析结论是该录波器中人为设置了“时2、间限制”或“时间逻辑炸弹”。,二次系统安全防护的由来,2023年9月28日,4,2003年8月14日美国加拿大的停电事故震惊世界，事故扩大的直接原因是两个控制中心的自动化系统故障。若黑客攻击将会引起同样的灾难性后果。这次“814”美国、加拿大大停电造成300亿美圆的损失及社会的不安定。由此可说明电力系统的重要性。2003年12月龙泉、政平、鹅城、荆州等换流站受到计算机病毒的攻击。几年来我国不少基于WINDOWS-NT的电力二次系统的计算机系统,程度不同的受到计算机病毒的攻击。造成了业务损失和经济损失。值得我们严重的关注。有攻击就必须有防护,二次系统安全防护的由来,2023年9月28日,5,调度3、数据网上：明文数据；104规约等的识别，着重保护“控制报文”；物理等原因造成的数据中断不是最危险的；最危险的是旁路控制。窃听篡改伪造,主要风险,2023年9月28日,6,优先级,风险,说明/举例,0,旁路控制（Bypassing Controls）,入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。,1,完整性破坏（Integrity Violation）,非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。,2,违反授权（Authorization Violation）,电力控制系统工作人员利用授权身份或设备，执行非授权的操作。,3,工作人员的随意行为（I4、ndiscretion）,电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。,4,拦截/篡改（Intercept/Alter）,拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。,5,非法使用（Illegitimate Use）,非授权使用计算机或网络资源。,6,信息泄漏（Information Leakage）,口令、证书等敏感信息泄密。,7,欺骗（Spoof）,Web服务欺骗攻击；IP 欺骗攻击。,8,伪装(Masquerade),入侵者伪装合法身份，进入电力监控系统。,9,拒绝服务（Availability,e.g.DoS）,向电力调度数5、据网络或通信网关发送大量雪崩数据，造成拒绝服务。,10,窃听（Eavesdropping,e.g.Data Confidentiality）,黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。,电力二次系统主要安全风险,2023年9月28日,7,国家经贸委2002第 30 号令：电网和电厂计算机监控系统及调度数据网络安全防护规定。于2002年5月8日公布，自 2002 年 6 月 8 日起施行。国家电力监管委员会第 5 号令：电力二次系统安全防护规定于 2004 年 12 月 20 日公布，自 2005 年 2 月 1 日起施行。,系列文件,2023年9月28日,8,6、电力二次系统安全防护规定配套文件：电力二次系统安全防护总体方案省级及以上调度中心二次系统安全防护方案地、县级调度中心二次系统安全防护方案变电站二次系统安全防护方案发电厂二次系统安全防护方案配电二次系统安全防护方案,系列文件,2023年9月28日,9,在对电力二次系统进行了全面系统的安全分析基础上，提出了十六字总体安全防护策略。安全分区、网络专用、横向隔离、纵向认证,总体安全防护策略,2023年9月28日,10,电力二次系统安全防护的目标,抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。,7、2023年9月28日,11,安全分区,2023年9月28日,12,调度自动化系统（SCADA/EMS）、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统、继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。典型特点：是电力生产的重要环节、安全防护的重点与核心；直接实现对一次系统运行的实时监控；纵向使用电力调度数据网络或专用通道。,安全区 I 的典型系统,2023年9月28日,13,调度员培训模拟系统（DTS）、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等。典型特点：所实现的功能为电力生产的必要环节；在线运行，但不8、具备控制功能；使用电力调度数据网络，与控制区（安全区 I）中的系统或功能模块联系紧密。,安全区 II 的典型系统,2023年9月28日,14,调度生产管理系统（DMIS）、调度报表系统（日报、旬报、月报、年报）、雷电监测系统、气象信息接入等。典型特点：主要侧重于生产管理的系统,安全区 III 的典型系统,2023年9月28日,15,管理信息系统（MIS）、办公自动化系统（OA）、客户服务系统等。典型特点：纯管理的系统,安全区 IV 的典型系统,电力二次系统安全防护总体示意图,上级调度/控制中心,下级调度/控制中心,上级信息中心,下级信息中心,实时VPN SPDnet 非实时VPN,IP认证加密9、装置,安全区I(实时控制区),安全区II(非控制生产区),安全区III(生产管理区),安全区IV(管理信息区),外部公共因特网,生产VPN SPTnet 管理VPN,防火墙,防火墙,IP认证加密装置,IP认证加密装置,IP认证加密装置,防火墙,防火墙,安全区I(实时控制区),防火墙,安全区II(非控制生产区),安全区III(生产管理区),防火墙,防火墙,安全区IV(管理信息区),专线,正向专用安全隔离装置,反向专用安全隔离装置,正向专用安全隔离装置,反向专用安全隔离装置,防火墙,防火墙,防火墙,2023年9月28日,17,电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/P10、DH上的不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。子网之间可采用MPLS-VPN技术、安全隧道技术、PVC技术或路由独立技术等来构造子网。电力调度数据网是电力二次安全防护体系的重要网络基础。,网络专用,2023年9月28日,18,SDH（N2M）,SDH（155M）,SPDnet,SPTnet,实时控制,在线生产,调度生产管理,电力综合信息,实时VPN,非实时VPN,调度VPN,信息VPN,语音视频VPN,IP语音视频,SDH/PDH传输网,电力调度数据网,11、电力企业数据网,网络专用,2023年9月28日,19,物理隔离装置（正向型/反向型）,横向隔离,2023年9月28日,20,必须通过公安部安全产品销售许可，获得国家指定机构安全检测证明，用于厂站的设备还需通过电力系统电磁兼容检测。专用横向单向安全隔离装置按照数据通信方向分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。严格禁止 E-Mail、Web、Telnet、Rlogin、FTP 等通用网络服务和以 B/S 或 C/S 方式的数据库访问穿12、越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。,横向隔离装置,隔离设备,实时控制系统,调度生产系统,接口机A,接口机B,安全岛,关键技术-正向型专用安全隔离装置,内网,外网,内部应用网关,外部应用网关,1、采用非INTEL指令系统的（及兼容）双微处理器。2、特别配置LINUX内核，取消所有网络功能，安全、固化的的操作系统。抵御除DoS以外的已知的网络攻击。3、非网络方式的内部通信，支持安全岛,保证装置内外两个处理系统不同时连通。4、透明监听方式，虚拟主机IP地址、隐藏MAC地址，支持NAT5、内设MAC/IP/PORT/PROTOCOL/DIRECTION等综合过滤与访问控制6、防止13、穿透性TCP联接。内外应用网关间的TCP联接分解成两个应用网关分别到装置内外两个网卡的两个TCP虚拟联接。两个网卡在装置内部是非网络连接。7、单向联接控制。应用层数据完全单向传输，TCP应答禁止携带应用数据。8、应用层解析，支持应用层特殊标记识别9、支持身份认证10、灵活方便的维护管理界面,正向专用隔离装置,安全区III到安全区I/II的唯一数据传递途径。反向型专用隔离装置集中接收安全区III发向安全区I/II的数据，进行签名验证、内容过滤、有效性检查等处理。处理后，转发给安全区I/II内部的接收程序。具体过程如下：1.安全区III内的数据发送端首先对需发送的数据签名，然后发给反向型专用隔离装14、置；2.专用隔离装置接收数据后，进行签名验证，并对数据进行内容过滤、有效性检查等处理；3.将处理过的数据转发给安全区I/II内部的接收程序。,反向型专用安全隔离装置,24,安全区、所连接的广域网为国家电力调度数据网SPDnet。SPDnet为安全区、分别提供二个逻辑隔离的MPLS-VPN。安全区所连接的广域网为国家电力数据通信网（SPTnet），SPDnet与SPTnet物理隔离。安全区、接入SPDnet时，应配置纵向加密认证装置，实现远方通信的双向身份认证和数据加密。如暂时不具备条件或业务无此项要求，可以用硬件防火墙代替。安全区接入SPTnet应配置硬件防火墙。,安全区与远方通信的安全防护要15、求(一),2023年9月28日,25,处于外部网络边界的通信网关（如通信服务器等）操作系统应进行安全加固，并配置数字证书。传统的远动通道的通信目前暂不考虑网络安全问题。个别关键厂站的远动通道的通信可采用线路加密器，但需由上级部门认可。经SPDnet的RTU网络通道原则上不考虑传输中的认证加密。个别关键厂站的RTU网络通信可采用认证加密，但需由上级部门认可。禁止安全区的纵向WEB，允许安全区II的纵向WEB服务。安全区I和安全区II的拨号访问服务原则上需要认证、加密和访问控制。,安全区与远方通信的安全防护要求(二),2023年9月28日,26,加密认证装置位于电力控制系统的内部局域网与电力调度数16、据网络的路由器之间，用于安全区I/II的广域网边界保护，可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。加密认证网关除具有加密认证装置的全部功能外，还应实现应用层协议及报文内容识别的功能。,纵向加密认证装置/网关,2023年9月28日,27,路由器,国家电力调度数据网络,国家电力调度数据网络,I/II,I/II,级,级,调度中心,调度中心,管理终端,纵向加密认证装置,国家电力调度数据网络,调度中心,调度中心,管理中心,纵向加密认证网关和管理中心的部署,2023年9月28日,28,采用认证、加密、访问控制等技术措施实17、现数据的远方安全传输以及纵向边界的安全防护。在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。管理信息大区应采用硬件防火墙等安全设备接入电力企业数据网。纵向加密认证是电力二次安全防护体系的纵向防线。传统的基于专用通道的通信不涉及网络安全问题，可采用线路加密技术保护关键厂站及关键业务。,纵向认证,对称密钥体制：是指加密密钥和解密密钥为同一密钥的密码体制。因此，信息发送者和信息接收者在进行信息的传输与处理时，必须共同持有该密码（称为对称密码）。通常,密钥简短，使用的加密算法比较简便高效。不对18、称密钥体制（公钥体制）：用户产生一对公/私密钥，向外界公开的密钥为公钥；自己保留的密钥为私钥。加密过程：信息发送者以信息接收者的公钥加密信息,信息接收者以其私钥解密这加密信息。又称为公钥加密技术。认证过程：信息发送者以自己的私钥加密信息，信息接收者以信息发送者的公钥解密这加密信息。因为任何人都可以用信息发送者的公钥解密这加密信息，但只有知道信息发送者私钥的人才能发出此加密信息。,PKI技术的介绍,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。在生产19、控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。,安全防护要求,安全区边界应当采取必要的安全防护措施，禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。生产控制大区中的业务系统应当具有高安全性和高可靠性，禁止采用安全风险高的通用网络服务功能。依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系统，生产控制大区中的重要业务系统应当采用认证加密机制。,安全防护要求,对安全区及安全区的要求：禁止安全区/内部的E-MAIL服务。安全区不允许存在WEB服务器及客户端。允许安全区内部及纵向（即上下级间）WEB服务。但W20、EB浏览工作站与II区业务系统工作站不得共用，而且必须业务系统向WEB服务器单向主动传送数据。安全区/的重要业务（如SCADA、电力交易）应该采用认证加密机制。安全区/内的相关系统间必须采取访问控制等安全措施。对安全区/进行拨号访问服务，必须采取认证、加密、访问控制等安全防护措施。安全区/应该部署安全审计措施，如IDS等。安全区/必须采取防恶意代码措施。,各安全区内部安全防护的基本要求（一）,对安全区要求：安全区允许开通EMAIL、WEB服务。对安全区拨号访问服务必须采取访问控制等安全防护措施。安全区应该部署安全审计措施，如IDS等。安全区必须采取防恶意代码措施。对安全区不做详细要求。,各安全21、区内部安全防护的基本要求（二）,其它安全措施,防病毒措施：病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。应当及时更新特征码，查看查杀记录。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。入侵检测 IDS：对于生产控制大区统一部署一套内网审计系统或入侵检测系统（IDS），其安全策略的设置重在捕获网络异常行为、分析潜在威胁以及事后安全审计，不宜使用实时阻断功能。禁止使用入侵检测与防火墙的联动。考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其 IDS 探头主要部署在：横向、22、纵向边界以及重要系统的关键应用网段。,其它安全措施,使用安全加固的操作系统：能量管理系统 SCADA/EMS、变电站自动化系统、电厂监控系统、配电网自动化系统、电力市场运营系统等关键应用系统的主服务器，以及网络边界处的通信网关、Web 服务器等，应该使用安全加固的操作系统。主机加固方式包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应用程序。关键应用系统采用电力调度数字证书：能量管理系统、厂站端生产控制系统、电能量计量系统及电力市场运营系统等业务系统，应当逐步采用电力调度数字证书，对用户登录本地操作系统、访问系统资源等操作进行身份认证，根据身份与权限进行访问控制，23、并且对操作行为进行安全审计。,其它安全措施,远程拨号访问的防护策略：通过远程拨号访问生产控制大区时，要求远方用户使用安全加固的操作系统平台，结合调度数字证书技术，进行登录认证和访问认证。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。安全审计：生产控制大区应当具备安全审计功能，可对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。,2023年9月28日,37,数据与系统备份对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。设备备用24、对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。异地容灾对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。,其它安全措施,其它安全措施,安全评估技术：所有系统均需进行投运前的及运行期间的定期评估。已投运的系统要求进行安全评估，新建设的系统必须经过安全评估合格后方可投运,运行期间的定期评估.,有的变电站具有电力数据通信网SPTnet和生产管理系统MIS系统，属于安全区、的子系统。对于分层分布式的变电站自动化系统，由于其核心部分（测控单元）是利用串行非网络通信传递数据，25、与站控层局域网是通过中间层前置单元在逻辑上进行隔离的，可以认为无安全风险。,纵向网络边界的安全防护措施：对外通信网关必须通过具备逻辑隔离功能的接入交换机接入部署IP认证加密装置（位于SPDnet的实时VPN与接入交换机之间）横向网络边界的安全防护措施：对内网关必须通过具备逻辑隔离功能的区内交换机接入（若交换机不具备逻辑隔离功能时，建议部署硬件防火墙）；安全区与安全区之间必须部署硬件防火墙（经有关部门认定核准）。,安 全 管 理,国家电力监管委员会负责电力二次系统安全防护的监管，制定电力二次系统安全防护技术规范并监督实施。电力企业应当按照“谁主管谁负责，谁运营谁负责”，的原则，建立健全电力二次系26、统安全管理制度，将电力二次系统安全防护工作及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂输变电部分的二次系统安全防护的技术监督，发电厂内其他二次系统可由其上级主管单位实施技术监督。,安 全 管 理,建立电力二次系统安全评估制度，采取以自评估为主、联合评估为辅的方式，将电力二次系统安全评估纳入电力系统安全评价体系。对生产控制大区安全评估的所有记录、数据、结果等，应按国家有关要求做好保密工作。建立健全电力二次系统安全的联合防护和应急机制，制定应急预案。电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。当电力27、生产控制大区出现安全事件，尤其是遭受黑客或恶意代码的攻击时，应当立即向其上级电力调度机构报告，并联合采取紧急防护措施，防止事件扩大，同时注意保护现场，以便进行调查取证。,安 全 管 理,电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证其所提供的设备及系统符合本规定的要求，并在设备及系统的生命周期内对此负责。电力二次系统专用安全产品的开发单位、使用单位及供应商，应当按国家有关要求做好保密工作，禁止关键技术和设备的扩散。电力调度机构、发电厂、变电站等运行单位的电力二次系统安全防护实施方案须经过上级信息安全主管部门和相应电力调度机构的审核，方案实施完成后应当由上述机构验收。接入电力调度数据网络的设备和应用系统，其接入技术方案和安全防护措施须经直接负责的电力调度机构核准。,安 全 管 理,对于不符合规定要求的，应当在规定的期限内整改；逾期未整改的，由国家电力监管委员会根据有关规定予以行政处罚。对于因违反本规定，造成电力二次系统故障的，由其上级单位按相关规程规定进行处理；发生电力二次系统设备事故或者造成电力事故的，按国家有关电力事故调查规定进行处理。,