电力行业安全建设方案

1.    电力行业概述

1.1. 电力行业简介

电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。

电力工业是国民经济发展中最重要的基础能源产业,是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用,与社会经济和社会发展有着十分密切的关系,它不仅是关系国家经济安全的战略大问题,而且与人们的日常生活、社会稳定密切相关。随着我国经济的发展,对电的需求量不断扩大,电力销售市场的扩大又刺激了整个电力生产的发展。

1.2. 电力行业特征

电力行业是技术密集和资产密集型产业,电力企业生产和管理不同于离散制造业,最根本的原因在于:其生产过程中不仅有与离散制造业相同的信息流和物质流,还包括了连续的能源流,而且伴随着复杂的物理化学反应,物质和能量的转化和传递等过程。因而电力企业是一个比离散制造业更为复杂的工业大系统,其中生产工艺目标往往不能以独立的数据形式实现直接控制。相对于其他行业,电力企业有着以下显著的特点:

电力生产的整体性。电力系统是由发电、供电和用电三者紧密连接起来的一个系统,任何一个环节配合不好,都会影响电力系统的安全、稳定、可靠和经济运行。电网中,发电机、变压器、高压输电线路、配电线路和用电设备形成一个不可分割的整体,缺少哪一个环节,电力生产都不可能完成。同样,任何设备脱离电网都将失去意义。

电力生产的同时性。发电、输电、配电、变电、供电和用电是同时完成的,既不能中断,又不能储存,必须是用多少,发多少,是典型的连续生产、连续消费的过程。电能的传输速度与光速相同,达到30 万千米/秒(万km/s)。即使发电端与用电端相距千万里,发、供、用电都是在同一瞬间进行和完成的。

电力生产的随机性。负荷变化、设备异常情况、电能质量的变化以及事故的发生,随时都在变化着,而且发展迅速,波及面大。因此,在电力生产过程中,需要适时调度,要求适时安全监控,随时跟踪随机事件动态,以保证电能质量及电网安全运行。

电力企业内外存在复杂的原辅料供求关系。电力工业的产品虽然单一,但其生产过程却极为复杂。比如在发电环节的电厂就需要燃料、锅炉、汽机、发电、热工、通信等众多功能部门的配合,管理流程和数据流程极为复杂。因此电力企业对外存在着燃料、配件的采购供应,存在着面向用户的、具有高可靠性要求的商品化电力输出;在内部,各个生产、辅助部门存在着强耦合的严密的并行协同关系。

图1.1电力行业的生产特点

1.3. 电力行业企业组成及架构

按照“厂网分开”原则,原国家电力公司的电力资产按照发电和电网两类业务进行了划分。发电资产直接改组或重组为规模大致相当的五个全国性的独立发电集团公司,逐步实行“竞价上网”,展开竞争。五大发电集团公司分别是中国华能集团公司、中国大唐集团公司、中国华电集团公司、中国国电集团公司、中国电力投资集团公司。电网环节则设立了两大电网公司:国家电网公司和中国XX电网有限责任公司,国家电网公司又下设华北、东北、华东、华中和西北五个区域电网公司。另外,还成立了四大辅业集团:中国电力工程顾问集团公司、中国水电工程顾问集团公司、中国水利水电建设集团公司和中国葛洲坝集团公司。

下图是电力行业的总体架构和企业数量分布图。

 

图1.2 电力行业的总体架构及企业组成(2007年)

1.4. 电力行业信息化IT系统架构

电力行业IT 系统基础架构包括五个平台,两个体系,一个中心。五个平台是网络平台、系统支撑平台、信息集成平台、应用平台和门户平台,其中网络平台、系统支撑平台、应用平台是电力企业IT 系统架构所必具的,而门户平台和信息集成平台是信息化程度达到系统整合阶段的电力企业所必须建的平台。为了保障平台上主要业务系统的正常运转,还要建立两个相应的保障体系,包括信息安全保障体系和信息标准管理体系。与此同时还需要一个不可缺少、贯穿各个平台的中心——数据中心。见下图。

 

1.5. 电力信息化安全建设情况

1.5.1.           电力网络行为与内容的安全情况

电力网络行为与内容的安全主要是指建立在行为可信性、有效性、完整性和对电力资源管理与控制行为方面,面对的威胁应当属于是战略性质的,即电力系统威胁不仅要考虑一般的信息犯罪问题,更主要是要考虑敌对势力与恐怖组织对电力相关信息、通信与调度的攻击,甚至要考虑战争与灾害的威胁。

1.5.2.           电力领域业务运营信息化安全情况

目前主要是指国家电监会、国家电网公司与南方电网公司管理的业务范围,“智能电力网络”的发展技术,这项发展计划必须全面的进行电力线含光纤新型电力传输线逐步替换工作,光纤通信传输线与电力传输线合为一体,对于电力调度、控制、通信合信息都会带来巨大的好处。如果解决配电线与光纤混合进入社区和家庭,对于用电的智能化管理带来革命性的变化,这种基础性的建设也必然为城市智能化社区的建设和人民生活信息化带来新的变化,对于提高人民生活水平有积极的帮助。但是,这种“智能电力网络”的发展计划也必然会带来安全方面的挑战,因此也必须对信息化安全也要进行全面规划和设计。

1.5.3.           电力网络系统安全情况

对于电力行业主要考虑以下系统:各类发电企业、输电网、配电网、电力调度系统、电力通信系统(微波、电力载波、有线、电力线含光纤)、电力信息系统等。这里主要考虑到电力调度数据网(SPDNET)、电力通信网与电力信息网几个方面的安全问题。电力系统的安全建设以资源可用和资源控制的安全为中心,必须保障电力系统畅通的24小时服务。

目前,大多数规模较大的发电企业和很多省市的电力公司载网络安全建设方面已经做了很多工作,通过防火墙、入侵检测系统、VPN设备等关键的安全产品的部署和实施已经初步地建立起了基础性的网络安全防护系统,并取得一定的效果,应当说是有自主特色的。但在对于已经部署的安全产品和系统合理有效的配置使用,使其充分发挥其安全防护作用方面,以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面,都还需要做进一步的工作。

1.5.4.           电力用户关注的安全情况

电力用户关注的安全主要是使用电力的安全和有效使用电力。“智能电力网络”的发展计划不仅仅是电力领域合理配电的体系,也是节能的重要措施,所以也是广大电力用户关注的问题。但是,智能电力网络规划与建设必须要进行安全建设,维护电力用户的权益。

鉴于上述分析我们做如下建议:

Ø  全面整合电力信息化安全建设,在此基础上建立电力信息安全自主保障、应急和监管与监控系统。电力系统应在考虑建设信息安全自主保障体系的同时,围绕标准控制与电调、通信与信息三大系统的管理中心的建设,以及数据安全、环境安全、边界安全、信息集成设施安全、数字证书、灾备、业务行为监管以及远程服务等方面进行安全规划。在规划时要从电力应用与系统的实际出发,要考虑专用的特点,建立公共技术标准,把记者与分散合理结合起来,注意考虑一套“和平时期高效,战争时期可靠”方案出来,注意结合电力系统特点采用代理技术应用。

Ø  电力调度系统与其他系统和公网的隔离建设。电力调度系统与其他系统(包括:办公自动化(OA)系统和管理系统、企业电子商务和对外服务系统等)尽可能不在统一个网络上,或者如果在一个网上至少需要通过高安全级(TCSEC的B1级)的电力专用的防火墙、网关或其它隔离设备等进行有效的隔离,要按照安全域的概念严格断开,同时通过相关产品和管理手段严格控制调度系统中主机私自拨号上互联网,防止引入安全隐患。同时要采用必要产品和技术手段进行网络信道的安全检测和监控,保障关键业务系统的正常工作。应当注意,这种隔离是充分考虑了互操作性基础上的隔离技术

Ø  电力调度中心、通信中心与信息中心的安全加固建设。通过多种安全产品和技术,实现各电力调度中心的信息、计算环境、边界安全的建设与加固。

Ø  输电网/配电网的线路安全加固建设。加强输电和配电网线路安全保护的措施,并采取一定的监控手段,保证输电/配电设备的正常运行,和输电/配电线路处于良好状态。积极开展“智能电力网络”发展计划的规划和试点工作。

Ø  核电站(及其他关键系统)外包服务的安全建设。核电站、大型电厂、省电力公司、电力调度中心等关键部门在将远程配置/测试/诊断/维护等服务进行外包时,尤其是服务外包给境外提供商核国内外资提供商时,应严格对其资质核可靠性进行审查,在技术服务能力相当的情况下应优先考虑国内的厂商和提供商。对特别关键系统应考虑培养内部技术人员。在确定外包服务的提供商后,应确保其获得的是为完成服务所需的最少权限。同时应通过相关产品提供的技术途径和管理方面的措施,加强对外包服务工作的操作审计和加强过程监控。

Ø  电力通信系统安全加固建设。电力通信系统为电力调度、内部办公自动化等多各应用系统提供网络平台。为保证各种应用系统的持续稳定运行,电力通信系统需要考虑对信道进行备份,通过微波、电力载波、地面专线、以及电力线含光纤等多种其他线路类型相结合使用,以保证关键业务系统能够不间断运行。如果需要时,则需要考虑通信网络利用GPS系统在特殊情况下不可控制的问题,以及网络定位系统存在漏洞问题。因而关键系统可考虑采用国内专用定位卫星。在整个通信网络层面考虑安全审计、信息源追踪与定位问题以及大规模入侵检测和防护问题,逐渐构成电力行业网络安全的基础设施。对于向一般用户提供接入等服务的网络线路,建议与现有电力调度系统、办公自动化等系统严格隔离,避免对关键业务和内部网络造成影响。

Ø  另外,对于公开对外服务系统安全加固建设、办公自动化和管理系统安全加固建设、安全检测、监控、审计、追踪与定位系统建设和应急规范制定和安全应急培训采取与其他行业类似要求。

 

2.  电力二次系统安全防护总体要求

2.1. 电力二次系统简介

电力二次系统主要是指支撑电力调度任务的相关系统,包括电力监控系统、电力通信及数据网络等,其中电力监控是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等;电力调度数据网络,是指各级电力调度专用广域数据网络、电力生产专用拨号网络等;电力二次系统是电力生产的重要环节,其信息网络也是电力行业信息化建设的重要组成。

国家对电力二次系统信息网络的安全防护非常重视,2002年5月中华人民共和国国家经贸委30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》(以下简称《规定》),对电力系统安全建设具有重要的指导意义。2006年电监会印发了《电力二次系统安全防护总体方案》,确定了电力二次系统安全防护体系的总体框架,细化了电力二次系统安全防护总体原则,定义了通用和专用的安全防护技术与设备,提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案。这些制度和方案对各省电力公司的安全体系建设起着指导意义。

 

2.2. 电力二次系统安全风险分析

随着计算机技术、通信技术和网络技术的发展,接入数据网络的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换也越来越多。电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、Web和PC的应用也日益普及,但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时,对网络安全问题重视不够,使得具有实时控制功能的监控系统,在没有进行有效安全防护的情况下与当地的MIS系统互连,甚至与因特网直接互连,存在严重的安全隐患。除此之外,还存在采用线路搭接等手段对传输的电力控制信息进行窃听或篡改,进而对电力一次设备进行非法破坏性操作的威胁。电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。电力二次系统面临的主要安全风险见表 1。

1  电力二次系统面临的主要风险

优先级

风险

说明/举例

0

旁路控制(Bypassing Controls)

入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。

1

完整性破坏(Integrity Violation)

非授权修改电力控制系统配置、程序、控制命令;非授权修改电力交易中的敏感数据。

2

违反授权(Authorization Violation)

电力控制系统工作人员利用授权身份或设备,执行非授权的操作。

3

工作人员的随意行为(Indiscretion)

电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。

4

拦截/篡改(Intercept/Alter)

拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。

5

非法使用(Illegitimate Use)

非授权使用计算机或网络资源。

6

信息泄漏(Information Leakage)

口令、证书等敏感信息泄密。

7

欺骗(Spoof)

Web服务欺骗攻击;IP 欺骗攻击。

8

伪装(Masquerade)

入侵者伪装合法身份,进入电力监控系统。

9

拒绝服务(Availability, e.g. Denial of Service)

向电力调度数据网络或通信网关发送大量雪崩数据,造成网络或监控系统瘫痪。

10

窃听(Eavesdropping, e.g. Data Confidentiality)

黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击做准备。

 

2.3. 电力二次系统安全防护目标

电力二次系统安全防护工作的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全,总体目标是建立健全电力二次系统安全防护体系,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障XX电网安全稳定运行。

电力二次系统安全防护工作的具体目标如下:

l  防病毒、木马等恶意代码的侵害;

l  保护电力监控系统和电力调度数据网络的可用性和连续性;

l  保护重要信息在存储和传输过程中的机密性、完整性;

l  实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问;

l  实现电力监控系统和调度数据网安全事件可发现、可跟踪和可审计;

l  实现电力监控系统和调度数据网络的安全管理。

2.4. 电力二次系统安全防护的基本原则

电力二次系统安全防护的基本原则为:

1)       系统性原则(木桶原理);

2)       简单性和可靠性原则;

3)       实时、连续、安全相统一的原则;

4)       需求、风险、代价相平衡的原则;

5)       实用与先进相结合的原则;

6)       方便与安全相统一的原则;

7)       全面防护、突出重点的原则;

8)       分层分区、强化边界的原则;

9)       整体规划、分步实施的原则;

10)   责任到人,分级管理,联合防护的原则。

 

2.5. 电力二次系统安全防护总体结构

根据《电力二次系统安全防护规定》的要求,电力二次系统安全防护总体方案的框架结构如图2.1所示。

 

图2.1 电力二次系统安全防护总体框架结构示意图

安全分区是电力二次系统安全防护体系的结构基础。发电企业、电网企业和供电企业内部基于计算机和网络技术的应用系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区Ⅱ)。

在满足安全防护总体原则的前提下,可以根据应用系统实际情况,简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。

2.5.1.           生产控制大区的安全区划分

(1)控制区(安全区Ⅰ):

控制区中的业务系统或其功能模块(或子系统)的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。

控制区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据传输实时性为毫秒级或秒级,其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频(或低压)自动减负荷系统、负荷管理系统等,这类系统对数据传输的实时性要求为毫秒
级或秒级,其中负荷管理系统为分钟级。

(2)非控制区(安全区Ⅱ):

非控制区中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或其功能模块联系紧密。

非控制区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等,其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非控制区的数据采集频度是分钟级或小时级,其数据通信使用电力调度数据网的非实时子网。

2.5.2.           管理信息大区的安全区划分

管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区,但不应影响生产控制大区的安全。

2.5.3.           业务系统分置于安全区的原则

根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系、广域网通信方式以及对电力系统的影响程度等,按以下规则将业务系统或其功能模块置于相应的安全区:

(1)实时控制系统、有实时控制功能的业务模块以及未来有实时控制功能的业务系统应置于控制区。

(2)应当尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时,可将其功能模块分置于相应的安全区中,经过安全区之间的安全隔离设施进行通信。

(3)不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域;但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域。

(4)对不存在外部网络联系的孤立业务系统,其安全分区无特殊要求,但需遵守所在安全区的防护要求。

(5)对小型县调、配调、小型电厂和变电站的二次系统可以根据具体情况不设非控制区,重点防护控制区。

 

2.5.4.           安全区拓扑结构

电力二次系统安全区连接的拓扑结构有链式、三角和星形结构三种。链式结构中的控制区具有较高的累积安全度,但总体层次较多;三角结构各区可直接相连,效率较高,但所用隔离设备较多;星形结构所用设备较少、易于实施,但中心点故障影响范围大。三种模式均能满足电力二次系统安全防护体系的要求,可根据具体情况选用,见图2.2。

图2.2 电力二次系统安全区连接拓扑结构

 

2.6. 电力二次系统安全防护技术要求

2.6.1.           生产控制大区内部安全防护要求

(1)禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务。

(2)允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务,可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。

(3)生产控制大区重要业务(如SCADA/AGC、电力市场交易等)的远程通信必须采用加密认证机制,对已有系统应逐步改造。

(4)生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施,限制系统间的直接互通。

(5)生产控制大区的拨号访问服务,服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统,并采取加密、认证和访问控制等安全防护措施。

(6)生产控制大区边界上可以部署入侵检测系统IDS。

(7)生产控制大区应部署安全审计措施,把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。

(8)生产控制大区应该统一部署恶意代码防护系统,采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。

(9)对重要的服务器和通信网关必须进行安全加固;登陆口令的长度必须在8位以上且必须定期更换,在条件具备时,可采用调度数字证书系统实现登陆的强身份验证。

2.6.2.           管理信息大区安全防护要求

(1)管理信息大区应根据业务系统划分安全区或安全网段(如服务器区域和终端区域),并通过防火墙等控制手段对关键业务系统实施安全防护;

(2)管理信息大区的纵向互联边界应部署防火墙;

(3)管理信息大区与公用数据网互联边界应部署防火墙;

(4)管理信息大区应部署防病毒系统,并配置病毒库定期升级和定期扫描病毒等策略;

(5)管理信息大区应使用企业PKI/CA数字证书系统基础设施,对关键应用实施保护。

2.6.3.           安全区间横向网络边界安全防护要求

横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。

按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。专用横向单向隔离装置
应该满足实时性、可靠性和传输流量等方面的要求。

严格禁止E-Mail、WEB、Telnet、Rlogin、FTP等安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。

控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。

在省级及以上调度中心和大型地市级调度中心,安全区间网络横向边界可部署IDS探头,对边界网络数据报文进行动态检测,以及时发现网络安全事件。

 

2.6.4.           安全区纵向网络边界安全防护要求

纵向加密认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替。

纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护,同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外,还应实现对电力系统数据通信应用层协议及报文的处理功能。

对处于外部网络边界的其他通信网关,应进行操作系统的安全加固,对于新上的系统应支持加密认证的功能。

重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置;当调度中心侧已配置纵向加密认证装置时,与其相连的小型厂站侧可以不配备该装置,此时至少实现安全过滤功能。

传统的基于专用通道的数据通信不涉及网络安全问题,新建系统可逐步采用加密等技术保护关键厂站及关键业务。

在省级及以上调度中心和大型地市级调度中心,安全区纵向网络边界可部署IDS探头,对边界网络数据报文进行动态检测,以及时发现网络安全事件。

2.6.5.           调度数据网安全防护要求

电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。可采用MPLS-VPN技术、安全隧道技术、PVC技术、静态路由等构造子网。电力调度数据网应当采用以下安全防护措施:

(1)网络路由防护

按照电力调度管理体系及数据网络技术规范,采用虚拟专网技术,将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网,分别对应控制业务和非控制生产业务,保证实时业务的封闭性和高等级的网络服务质量。

(2)网络边界防护

应当采用严格的接入控制措施,保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网,进行广域网通信。

数据网络与业务系统边界采用必要的访问控制措施,对通信方式与通信业务类型进行控制;在生产控制大区与电力调度数据网的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务,应该通过纵向加密认证装置或加密认证网关接入调度数据网。

(3)网络设备的安全配置

网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。

(4)数据网络安全的分层分区设置

电力调度数据网采用安全分层分区设置的原则。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网(简称骨干网)。省调、地调和县调及省、地直调厂站节点构成省级调度数据网(简称省网)。

县调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用专用数据网络,不具备专网条件的也可采用公用通信网络(不包括因特网),且必须采取安全防护措施。

各层面的数据网络之间应该通过路由限制措施进行安全隔离。当县调或配调内部采用公用通信网时,禁止与调度数据网互联。保证网络故障和安全事件限制在局部区域之内。

 

2.6.6.           安全审计要求

生产控制大区应当具备安全审计功能,可对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。

2.6.7.           备份与容灾要求

电力企业应当定期对关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度。关键主机设备、网络设备或关键部件应当进行相应的冗余配置。控制区的业务应采用热备份方式。省级以上调度中心的电力监控系统应当逐步实现系统级容灾功能。

2.6.8.           电力调度数字证书系统要求

电力调度数字证书系统是基于公钥技术的分布式的数字证书系统,主要用于生产控制大区,为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备提供数字证书服务,实现高强度的身份认证、安全的数据传输以及可靠的行为审计。

电力调度数字证书分为人员证书、程序证书、设备证书三类。人员证书指用户在访问系统、进行操作时对其身份进行认证所需要持有的证书;程序证书指关键应用的模块、进程、服务器程序运行时需要持有的证书;设备证书指网络设备、服务器主机等,在接入本地网络系统与其它实体通信过程中需要持有的证书。

电力调度数字证书系统的建设运行应当符合如下要求:

(1)统一规划数字证书的信任体系,各级电力调度数字证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度数字证书系统通过信任链构成认证体系;

(2)采用统一的数字证书格式和加密算法;

(3)提供规范的应用接口,支持相关应用系统和安全专用设备嵌入电力调度数字证书服务;

(4)电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络,独立运行。

电力调度数字证书系统按照电力调度管理体系进行配置,省级以上调度中心和有实际业务需要的地区调度中心应该建立电力调度数字证书系统。

应当利用数字证书技术提高系统安全强度,新建设的电力监控系统应当支持电力调度数字证书的应用,现有应用系统的外部通信接口部分应当逐步进行相应的改造。

2.7. 电力二次系统安全防护管理要求

2.7.1.           安全分级负责制

国家电力监管委员会负责电力二次系统安全防护的监管,组织制定电力二次系统安全防护技术规范并监督实施。电力企业应当按照“谁主管谁负责,谁运营谁负责”的原则,建立电力二次系统安全管理制度,将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系,各电力企业负责所辖范围内计算机及数据网络的安全管理。各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员。

电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的二次系统安全防护的技术监督。发电厂内涉及到电力调度的生产控制系统和装置,如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置等,由电力调度机构和发电厂的上级主管单位共同实施技术监督,发电厂内其它二次系统安全防护可由其上级主管单位实施技术监督。

2.7.2.           相关人员的安全职责

电力企业应当明确由主管安全生产的领导作为电力二次系统安全防护的主要责任人,并指定专人负责管理本单位所辖电力二次系统的公共安全设施,明确各业务系统专责人的安全管理责任。

电力调度机构应指定专人负责管理本级调度数字证书系统。

2.7.3.           工程实施的安全管理

电力二次系统相关设备及系统的开发单位、供应商应以合同条款或协议的方式保证所提供的设备及系统符合《电力二次系统安全防护规定》和本方案的要求,并在设备及系统的生命期内对此负责。

电力二次系统专用安全产品的开发单位、使用单位及供应商,应当按国家有关要求做好保密工作,禁止安全防护关键技术和设备的扩散。

电力企业各单位的电力二次系统安全防护实施方案必须严格遵守国家电监会5号令、原国家经贸委30号令以及本方案的有关规定,并经过上级信息安全主管部门和相应电力调度机构的审核,方案实施完成后应当由上述机构共同组织验收。

2.7.4.           设备和应用系统的接入管理

接入电力调度数据网络的节点、设备和应用系统,其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准。

生产控制大区的各业务系统禁止以各种方式与互联网连接;限制开通拨号功能;关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等,确需保留的必须通过安全管理措施实施严格监控。

接入电力二次系统生产控制大区中的安全产品,应当获得国家指定机构安全检测证明,用于厂站的设备还需有电力系统电磁兼容检测证明。

2.7.5.           日常安全管理制度

日常安全管理制度包括:门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。

2.7.6.           联合防护和应急处理

建立健全电力二次系统安全的联合防护和应急机制。由电监会负责对电力二次系统安全防护的监管,电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证。

当电力生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,应当立即向其上级电力调度机构报告,同时按应急处理预案采取安全应急措施。相应电力调度机构应当立即组织采取紧急联合防护措施,以防止事件扩大。同时注意保护现场,以便进行调查取证和分析。事件发生单位及相应调度机构应当及时将事件情况向相关电力监管部门和信息安全主管部门报告。

2.7.7.           安全评估

应当依据本方案的要求对电力二次系统的总体安全防护水平进行安全评估。

应当建立二次系统安全评估制度,采取以自评估为主、联合评估为辅的方式,将安全评估纳入电力系统安全评价体系。应当掌握基本的自评估技术和方法,配备必要的评估工具。

电力二次系统在投运之前、升级改造之后必须进行安全评估;已投入运行的系统应该定期进行安全评估,对于电力监控系统应该每年进行一次安全评估。评估方案及结果应及时向上级主管部门汇报、备案。

参与评估的机构及人员必须稳定、可靠、可控,并与被评估单位签署长期保密协议。对生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式携带出被评估单位,按国家有关要求做好保密工作。

电力二次系统安全评估应严格控制实施风险,确保评估工作不影响电力二次系统的安全稳定运行。评估前制定相应的应急预案,实施过程应符合电力二次系统的相关管理规定。

 

3.  省级以上调度中心二次系统安全防护方案

调度中心电力二次系统安全防护目标是抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击,能够抵御集团式攻击,防止调度中心电力二次系统的瘫痪,并由此导致电力系统事故,特别是大面积停电事故。调度中心电力二次系统安全防护的重点是确保电网调度自动化系统及调度数据网络的安全。

本方案适用于省级以上电力调度中心,大型地(市)电力调度中心可参照执行。

3.1. 省级以上调度中心二次系统安全防护的总体部署

省级以上调度中心二次系统主要包括能量管理系统、广域相量测量系统、电网动态监控系统、继电保护和故障录波信息管理系统、电能量计量系统、电力市场运营系统、调度员培训模拟系统、水库调度自动化系统、调度生产管理系统、雷电监测系统和电力调度数据网络等,根据安全分区原则,结合调度中心应用系统和功能模块的特点,将各功能模块分别置于控制区、非控制区和管理信息大区,详见表1。

表1 省级以上调度中心电力二次系统安全分区表

序号

业务系统

控制区

非控制区

管理信息大区

1

能量管理系统

EMS

 

WEB发布

2

广域相量测量系统

采集、实时数据处理、分析等

 

WEB发布

3

安全自动控制系统

安控系统主站端

 

 

4

通信监控系统

通信监控信息采集、监视

 

 

5

调度数据网网络管理及安全告警系统

网管、安全告警

 

 

6

继电保护和故障信息管理系统

继电保护远方修改定值、远方投退等控制功能。

故障录波信息管理模块,继电保护信息管理(无远方设置功能)

 

7

电力市场运营系统

在线安全稳定校核

交易、结算、考核、内网报价

外网报价、公众信息发布

8

调度员培训模拟系统

 

调度员培训模拟

 

9

水库调度自动化系统

 

水调采集、处理

 

10

电能量计量系统

 

电能量采集、处理

 

11

电网动态监控系统

在线监控、稳定计算等

 

 

12

电力市场监管信息系统接口

 

 

向电力市场监管系统发布有关信息

13

调度生产管理系统

 

 

数据平台、应用系统(早报、日报等)

14

雷电监测系统

 

 

采集、处理

15

气象/卫星云图系统

 

 

接收、处理

16

视频监视系统

 

 

接收、处理

17

调度信息发布

 

 

WEB服务

18

办公自动化

 

 

MIS、OA

19

电力调度数据网络

实时子网

非实时子网

 

20

备份系统

生产控制大区备份系统

 

根据总体方案要求,结合调度中心二次系统的安全分区和安全区域边界条件,确定调度中心二次系统安全防护的总体逻辑结构如图1。

图1 调度中心二次系统安全防护总体逻辑结构示意图

调度中心的安全区域之间可以采用链式、三角或星形结构,此处仅以链式结构示意。

各安全区均分别配置了前端交换机和后端交换机,总体结构清晰,是调度中心二次系统安全防护的典型模式;也可根据具体情况,合并前端交换机和后端交换机,便于区内各业务系统或功能模块之间的数据交换。

调度中心安全防护的基本措施是结构调整,结构调整的重点是生产控制大区中业务系统原有WEB功能和数据的外移。可根据具体情况在管理信息大区或非控制区中配置综合数据平台或数据交换平台,平台规模以实用为宜。

调度中心应当具有病毒防护、入侵检测、安全审计和安全管理平台等安全防护手段,提高电力二次系统整体安全防护能力。生产控制大区的安全管理平台不应当与管理信息大区的安全管理平台互联。

调度中心应用IEC61970国际标准时,应依据本方案的原则,将IEC61970规定的功能模块适当的置于各安全区中,从而实现国际标准与我国电力二次系统安全防护的有机结合。省级以上调度中心应该建立电力调度数字证书系统,负责所辖调度范围及下级调度机构的电力调度数字证书的颁发、维护和管理。能量管理系统和电力市场运营系统应当逐步采用数字证书技术实现加密认证机制。

3.2. 主要业务系统安全防护方案

本章仅对省级以上调度中心的主要业务系统的安全防护进行描述,不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。 

3.2.1.           能量管理系统的安全防护

能量管理系统(EMS)实现对实时运行的电力系统进行数据采集、监视、控制和安全分析的功能,是调度中心的核心系统;其中SCADA、AGC和安全分析功能模块置于控制区,调度员培训模拟(DTS)功能模块置于非控制区,WEB浏览功能模块置于管理信息大区。系统逻辑结构如图2。

图2 EMS系统的逻辑结构示意图

系统逻辑结构图中所指的逻辑接口(I1-I6)的描述见表2。

表2 EMS系统的逻辑接口

序号

名称

数据类型

通信方式及协议

I1

EMS开发商的远程维护接口

开发商通过拨号方式远程维护EMS系统软件,数据类型不定。

电话拨号

TCP/IP

本系统的维护人员的远程维护接口

通过拨号方式远程维护EMS系统软件,数据类型不定

电话拨号

TCP/IP

I2

专用通道连接厂站 RTU/监控系统的接口

实时数据:遥信、遥测、遥控、遥调等数据

专线

专用协议

I3

网络连接厂站RTU/监控系统的接口

实时数据:遥信、遥测、遥控、遥调等数据

电力调度数据网 TCP/IP

I4

与 上 下 级EMS系统的远程通信接口

1.遥信、遥测及计算数据;
2.电网模型数据等

电力调度数据网 TCP/IP

I5

与调度员培训模拟系统、电力市场运营系统、电能量计量系统、水调自动化系统的接口

1.负荷需求数据

2.发电计划数据

3.联络线数据

4.DTS

5.市场交易安全校核等

本地局域网

TCP/IP

I6

与控制区的其它 系 统 如WAMS系统的接口

动态相量数据等

本地局域网

TCP/IP

根据能量管理系统的特点和电力二次系统安全防护总体方案的要求,其物理边界及安全部署如图3。

图3 EMS系统的物理边界及安全部署示意图

EMS系统的物理边界为:拨号网络边界(PI1)、传统专用远动通道(PI2)、纵向网络边界(PI3)、横向网络边界(PI4)。这四个边界的安全防护措施按照总体方案实施,并要求新建能量管理系统的控制功能模块应当支持认证加密机制,对已有系统应当逐步进行改造。

3.2.2.           电力市场运营系统的安全防护

电力市场运营系统是电力调度(交易)中心的核心业务系统之一,主要包括市场交易、报价处理、合同管理、交易结算等功能模块,是电力市场技术支持系统的重要组成部分。该系统横跨三个安全区域,其主体部分位于非控制区,实时电力市场中的在线控制功能应当位于控制区,对社会发布市场信息的功能模块应当位于管理信息大区。系统逻辑结构如图4。

图4 电力市场运营系统的逻辑结构示意图

系统逻辑结构图中所指的逻辑接口(I1-I8)的描述见表3

表3 电力市场运营系统的逻辑接口

序号

名称

数据类型

通信方式及协议

I1

电力市场运营系统之间的接口

实时数据

电力调度数据网

TCP/IP

I2

电力市场运营系统与市场成员报价系统的接口

报价数据、实时浏览数据、历史数据

电力调度数据网,
TCP/IP

I3

电力市场运营系统与市场成员报价系统的备用接口

报价数据、实时浏
览数据、历史数据

电话拨号,
TCP/IP

I4

与EMS系统的接口

 

电网实时数据

本地局域网,
TCP/IP

I5

对调度生产管理系统的接口

包括:公开信息发布数据、结算数据、市场动态数据、报价数据、实时浏览数据(报价处理)

本地局域网
TCP/IP

I6

与电能量计量系统的接口

电能量数据

本地局域网,TCP/IP

I7

对非控制区其它系统的接口

生产管理所需数据等

电力调度数据网,
TCP/IP

I8

与电力市场监管信息系统的接口

电力市场监管信息

本地局域网,
TCP/IP

根据电力市场运营系统的特点和电力二次系统安全防护总体方案的要求,物理边界及安全部署如图5。

图5 电力市场运营系统的物理边界及安全部署示意图

电力市场运营系统的物理边界为拨号网络边界(PI1)、纵向网络边界(PI2)和横向网络边界(PI3)。这三个边界的安全防护措施按照总体方案实施。

电力市场运营系统应当以网络通信方式为主,拨号方式可作为备用,拨号访问安全风险较大,应当限制使用,禁止无安全措施的拨号访问。

拨号访问的安全措施要求通过拨号服务器(RAS)接入非控制区的接入交换机,接入交换机应具备逻辑隔离功能;在RAS和接入交换机之间应当部署拨号认证加密装置,拨入端配相应的电力调度数字证书。

电力市场运营系统应当支持加密认证机制,实现与远方市场交易成员的基于电力调度数字证书的身份认证与加密通信。

电力市场运营系统的市场信息发布功能模块部署在非控制区和管理信息大区,分别面向市场交易成员和社会公众。

根据《电力监管条例》的要求,将电力市场监管信息经过加密认证等安全措施,直接向电力监管机构报送。

3.2.3.           电能量计量系统的安全防护

电能量计量系统通过电能量采集装置采集电能量数据,作为计量和结算的依据,禁止修改原始数据。该系统属于非控制区,系统逻辑结构如图6。

图6 电能量计量系统逻辑结构示意图

系统逻辑结构图中所指的逻辑接口(I1-I6)的描述见表4

表4 电能量计量系统的逻辑接口

序号

名称

数据类型

通信方式及协议

I1

网络连接其它电力调度中心的接口

时段电能量数据

电力调度数据网
TCP/IP

I2

网络连接厂站电能量采集装置的接口

时段电能量数据、对时命令等信息

电力调度数据网
TCP/IP

I3

拨号连接厂站电能量采集装置的接口

时段电能量数据、对时命令等信息

电话拨号

I4

与电力市场运营系统的接口

电能量数据、交易计划、合同电能量数据

本地局域网
TCP/IP

I5

与EMS系统接口

电能量数据、实时数据

本地局域网
TCP/IP

I6

与调度生产管理系统接口

电能量数据

本地局域网
TCP/IP

根据电能量计量系统的特点和《电力二次系统安全防护总体方案》的要求,物理边界及安全部署如图7。

图7 电能量计量系统的物理边界及安全部署示意图

电能量计量系统的物理边界为:拨号网络边界(PI1)、纵向网络边界(PI2)和横向网络边界(PI3)。这三个边界的安全防护措施按照总体方案实施。推荐采用网络方式采集电能量数据,也可采用以下两种拨号通信方式:

(1)单向拨号方式。从主站端向厂站端单向拨号,避免拨号转移。厂站端的电能量采集装置与当地的其它系统需有效隔离。

(2)拨号服务器方式。该方式要求通过拨号服务器(RAS)接入非控制区的接入交换机,在RAS和接入交换机之间部署拨号认证加密装置,拨号访问应使用电力调度数字证书。

若不具备实现上述安全防护措施时,则禁止开通拨号访问。

省级以上调度中心的电能量计量系统中原则上不采用GPRS或CDMA等公用移动数据通信方式,确实需要者,可将主站通信网关机置于管理信息大区,电能量数据通过专用横向反向安全隔离装置导入。

3.2.4.           水库调度自动化系统的安全防护

水库调度自动化系统采集水情、水文、气象信息,进行水情预报和水库调度。其主体在非控制区,气象信息采集模块、与外部机构(如防洪指挥部、流域委员会)通信的模块在管理信息大区。系统逻辑结构如图8。

图8 水库调度自动化系统逻辑结构示意图

系统逻辑结构图中所指的逻辑接口(I1-I4)的描述见表5

表5 水库调度自动化系统的逻辑接口

序号

名称

数据类型

接入方式

I1

对网络连接的其他数据源系统的接口

卫星气象云图、气象实况、水文信息等

网络(专用通道)、
DL476-92,TCP/IP

I2

对网络连接电厂分中心站的接口

实时数据

电力调度数据网,

TCP/IP

对上、下级水调系统的接口

实时数据

电力调度数据网,
TCP/IP

I3

与EMS系统的接口

实时数据、历史数据

网络,TCP/IP

I4

不同安全区水调系统接口

卫星气象云图、气象实况、水文信息等

网络,TCP/IP

根据水库调度自动化系统的特点和《电力二次系统安全防护总体方案》的要求,其物理边界及安全部署如图9。

图9 水库调度自动化系统物理边界及安全部署示意图

水库调度自动化系统的物理边界为外部网络边界(PI1)、纵向网络边界(PI2)和横向网络边界(PI3、PI4)。这四个边界的安全防护措施按照总体方案实施。

从外部公网采集的气象信息、水文数据等先进入管理信息大区的通信网关,应采用硬件防火墙与外网隔离,通信网关通过反向型电力专用横向单向安全隔离装置将相应数据送入非控制区。

3.2.5.           继电保护和故障信息管理系统的安全防护

继电保护和故障信息管理系统采集继电保护装置的相关信息和故障录波的故障信息,监视继电保护运行状态,为电网故障判断和分析提供技术手段。继电保护和故障信息管理系统中的继电保护管理功能模块应当置于控制区,故障录波信息管理模块应当置于非控制区;当继电保护管理功能模块不具备远方设置和远方投退等控制功能时也可置于非控制区。系统逻辑结构如图10。

图10 继电保护和故障信息管理系统逻辑结构示意图

系统逻辑结构图中所指的逻辑接口(I1-I6)的描述见表6

表6 继电保护和故障信息管理系统的逻辑接口

序号

名称

数据

通信方式

I1

对通过拨号方式连接厂站端系统的接口

保护及故障信息实时数据

电话拨号
TCP/IP

I2.1

通过网络方式进行远方修改定值和远方投退

远方修改定值和远方投退的实时控制信息

电力调度数据网
TCP/IP

I2.2

对通过网络方式连接厂站端系统的接口

保护及故障信息实时数据

电力调度数据网
TCP/IP

I3

对其它调度端系统(上、下级系统)的接

电网拓扑及一次参数数据、继电保护图档数据

电力调度数据网
TCP/IP

I4

对SCADA/EMS系统的接口

实时和历史的一次设备运行状态数据

本地局域网
TCP/IP

I5

对DMIS的接口

电网一次设备参数,准实时的保护设备运行状态、保护定值、故障信息和统计分析结果等

电力调度数据网
TCP/IP

I6

对厂站端监控系统远端工作站的接口

来自厂站端监控系统的数据远端工作站与本系统的交换数据

本地局域网

电力调度数据网
TCP/IP

根据继电保护和故障信息管理系统的特点和电力二次系统安全防护总体方案的要求,其安全部署如图11。

图11 继电保护和故障录波信息管理系统安全部署示意图

继电保护和故障信息管理系统通过电力调度数据网的非实时子网实现远程网络通信。也可采用单向拨号方式,从主站端向厂站端单向拨号,避免拨号转移。厂站端的保护终端和故障录波终端应与当地的其它系统进行有效隔离。

设置工作站通过电力调度数据网的实时子网实现远程网络通信。进行保护远方定值修改和投退操作的人员必须使用电力调度数字证书进行身份认证。

3.2.6.           调度生产管理系统的安全防护

调度生产管理系统(简称DMIS)主要包括调度生产数据服务、调度报表管理、调度检修信息、水文气象信息、雷电监测等多种业务,系统主体位于管理信息大区。

调度生产管理系统使用电网企业数据网的生产子网进行广域网通信,并采用硬件防火墙实现安全隔离。调度生产管理系统属于电网企业管理信息大区中的一个重要业务系统,与发电企业管理信息大区没有直接联系。

调度生产管理系统与生产控制大区之间的数据通信必须采用电力专用横向单向安全隔离装置实现强隔离。通过正向型电力专用横向单向隔离装置从生产控制大区向管理信息大区传输实时数据和交易信息等。通过反向型电力专用横向单向隔离装置从管理信息大区向生产控制大区传输计划数据和气象信息等。

调度生产管理系统的安全防护部署如图12。

图12 调度生产管理系统安全部署示意图

3.2.7.           大屏幕投影系统的安全防护

生产控制大区中各业务系统可以采用网络方式接入大屏幕投影系统,同时采用硬件防火墙等进行隔离。管理信息大区中的各业务系统可以采用非网络方式接入该大屏幕投影系统。生产控制大区和管理信息大区中的各业务系统不能同时以网络方式接入大屏幕投影系统。

图14 大屏幕系统安全防护结构示意图

4.  地、县级调度中心二次系统安全防护方案

地、县级调度中心电力二次系统安全防护目标是抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击,能够抵御集团式攻击,防止地、县级调度中心电力二次系统的瘫痪,并由此导致电力系统事故。地、县级调度中心电力二次系统安全防护的重点是确保电网调度自动化系统及调度数据网络的安全。

本方案适用于地、县级电力调度中心。大型地级电力调度中心安全防护方案可参照《省级以上调度中心二次系统安全防护方案》执行。小型县级电力调度中心安全防护方案可参照《配电二次系统安全防护方案》。集控中心或集控站的集中监控系统的安全防护可参照本方案执行。

4.1. 地、县级调度中心二次系统的总体安全部署

地、县级调度中心二次系统主要包括调度自动化系统(SCADA、PAS等)、电能量计量系统、调度员培训模拟系统、调度生产管理系统和电力调度数据网络等,根据安全分区原则,结合调度中心应用系统和功能模块的特点,将各功能模块分别置于控制区、非控制区和管理信息大区,详见表1。

小型县调的安全防护措施可以根据具体情况进行简化,对生产控制大区可不再细分,重点保护监控系统,相当于只有控制区,与厂站端数据通信的纵向边界可采用简单有效的数据加密等安全防护措施。

表1 地、县级调度中心电力二次系统安全分区表

序号

业务系统

控制区

非控制区

管理信息大区

1

SCADA系统

数据采集监视和控制

 

WEB发布

2

PAS系统

电力系统高级应用软件

 

 

3

通信监控系统

通信监控信息采集、监视

 

 

4

电力调度数据网网络管理及安全告警系统

网管、安全告警

 

 

5

继电保护管理子系统

继电保护管理模块,继电保护远方修改定值、远方投退等实时控制模块。

继电保护信息管理(无远方设置功能)

 

6

故障信息管理系统

 

故障录波信息管理模块

 

7

调度计划管理系统

 

计划信息处理

 

8

调度员培训模拟系统

 

调度员培训模拟

 

9

电能量计量系统

 

电能量采集、处理

 

10

调度生产管理系统

 

 

应用系统(早报、日报等)

11

电力调度数据网络

实时子网

非实时子网

 

12

调度信息发布

 

 

WEB服务

13

办公自动化

 

 

MIS、OA

14

气象信息系统

 

 

接收、处理

15

视频监视系统

 

 

接收、处理

16

AVC系统

自动无功控制

 

 

继电保护和故障信息管理系统中的继电保护管理功能模块应当置于控制区,故障录波信息管理模块应当置于非控制区;当继电保护管理功能模块不具备远方设置和远方投退等控制功能时也可置于非控制区;调度员培训模拟系统和调度计划管理系统原则上应当置于非控制区,根据实际情况也可置于管理信息大区。

根据总体方案要求,结合地、县级调度中心二次系统的安全分区和安全区域边界条件,确定地、县级调度中心二次系统安全防护的总体逻辑结构如图1。

图1 地、县级调度中心二次系统安全防护总体结构示意图

调度中心的安全区域之间可以采用链式、三角或星形结构,此处仅以链式结构示意。

我国不同地区的地、县级调度中心在规模和业务系统的配置上具有很大的差别,在安全工程具体实施时可以根据应用系统实际情况,确定安全实施方案,并报上级调度中心审核。

地、县级调度中心安全防护的基本措施是结构调整,结构调整的重点是生产控制大区中业务系统原有WEB功能和数据的外移。

县级以上调度中心应当具有病毒防护措施,地区和大型县调还应配备入侵检测和安全审计等安全防护措施。

新建SCADA、AVC等具有控制功能的业务系统应当支持电力调度数字证书实现加密认证。

县调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用县级专用数据网络,不具备专网条件的也可采用公用通信网络,但必须采取数据加密等有效安全防护措施。

县级专用数据网络可以采用多种通信方式,如:光纤通信、一点多址微波、无线电通信、电力线载波、屏蔽层载波等;不具备专网条件的可采用公用通信网络,如GPRS、CDMA、TD-SCDMA、ADSL和无线局域网等,应当采取安全防护措施,并禁止与电力调度数据网互联。

4.2. 主要业务系统安全防护方案

本章仅对地、县级调度中心的主要业务系统的安全防护进行描述,不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。

4.2.1.           调度自动化系统安全防护

调度自动化系统实现对实时运行的电力系统进行数据采集、监视、控制和安全分析功能,是地、县级调度中心最重要的系统;系统主体位于控制区,WEB浏览功能模块置于管理信息大区。系统逻辑结构如图2。

图2 调度自动化系统的逻辑结构示意图

系统逻辑结构图中所指的逻辑接口(I1-I6)的描述见表2。

表2 调度自动化系统的逻辑接口

序号

名称

数据类型

通信方式及协议

I1

SCADA系统或PAS系统开发商的远程维护接口

开发商通过拨号方式远程维护SCADA系统或PAS系统软件,数据类型不定。

电话拨号TCP/IP

本系统的维护人员的远程维护接口

通过拨号方式远程维护SCADA系统或PAS系统软件,数据类型不定。

电话拨号
TCP/IP

I2

专用通道连接厂站 RTU/监控系统的接口

实时数据:遥信、遥测、遥控、遥调等数据。

专线
专用协议

I3

网络连接厂站自动化系统或RTU/监控系统的接口

1.遥信、遥测及计算数据;
2.电网模型数据等。

电力调度数据网TCP/IP

I4

与 上 下 级SCADA系统的远程通信接口

1.厂站的遥信、遥测;
2.发电、负荷的计算数据。

电力调度数据网
TCP/IP

I5

与电能量计量系统的接口

1.电能量数据;
2.实时信息等。

本地局域网
TCP/IP

I6

与控制区有关的其它系统

有关数据等

本地局域网

TCP/IP

根据调度自动化系统的特点和电力二次系统安全防护总体方案的要求,其物理边界及安全部署如图3。

图3 调度自动化系统的物理边界及安全部署示意图

调度自动化系统的物理边界为:拨号网络边界(PI1)、传统专用远动通道(PI2)、纵向网络边界(PI3)、横向网络边界(PI4)。这四个边界的安全防护措施按照总体方案实施。并要求新建调度自动化系统的控制功能模块应当支持认证加密机制,对已有系统应当逐步进行改造。

4.2.2.           电能量计量系统的安全防护

电能量计量系统通过电能量终端装置采集电能量数据,作为计量和结算的依据,原始数据禁止修改。该系统属于非控制区,系统逻辑结构如图4。

图4 电能量计量系统逻辑边界示意图

系统逻辑结构图中所指的逻辑接口(I1-I5)的描述见表3。

表3 电能量计量系统的逻辑接口

序号

名称

数据类型

通信方式及协议

I1

网络连接其它电力调度通信中心的接口

时段电能量数据

电力调度数据网,
TCP/IP

I2

网络连接厂站电能量采集装置的接口

时段电能量数据、对时命令等信息

电力调度数据网,
TCP/IP

I3

拨号连接厂站电能量采集装置的接口

时段电能量数据、对时命令等信息

电话拨号

I4

与SCADA系统接口

电能量数据、实时数据

本地局域网,TCP/IP

I5

与调度生产管理系统接口

电能量数据

本地局域网,TCP/IP

根据电能量计量系统的特点和电力二次系统安全防护总体方案的要求,物理边界及安全部署如图5。

图5电能量计量系统的物理边界及安全部署示意图

电能量计量系统的物理边界为:拨号网络边界(PI1)、纵向网络边界(PI2)和横向网络边界(PI3)。这三个边界的安全防护措施按照总体方案实施。

地级调度中心的电能量计量系统主体应当位于非控制区,当下级厂站端或调度机构只有控制区时,计量数据需通过控制区传输。

推荐采用网络方式采集电能量数据,也可采用以下两种拨号通信方式:

(1)单向拨号方式。从主站端向厂站端单向拨号,避免拨号转移。厂站端的电能量采集装置与当地的其它系统需有效隔离。

(2)拨号服务器方式。该方式要求通过拨号服务器(RAS)接入非控制区的接入交换机,在RAS和接入交换机之间部署拨号认证加密装置,拨号访问应使用电力调度数字证书。

若无条件实现上述安全防护时,则禁止开通拨号访问。

4.2.3.           调度生产管理系统的安全防护

调度生产管理系统(简称DMIS系统)主要包括调度生产数据服务、调度报表管理、调度检修管理、水文气象信息、雷电监测等多种业务,系统主体位于管理信息大区。

调度生产管理系统使用电力企业数据网的生产VPN进行广域网通信,并采用硬件防火墙实现安全隔离。

调度生产管理系统与生产控制大区之间的数据通信必须采用专用横向单向安全隔离装置实现强隔离。通过正向型电力专用横向单向隔离装置从生产控制大区向管理信息大区传输实时数据和交易信息等。通过反向型电力专用横向单向隔离装置从管理信息大区向生产控制大区传输计划数据和气象信息等。

调度生产管理系统的安全防护部署如图6。

图6 调度生产管理系统安全部署示意图

5.  变电站二次系统安全防护方案

变电站二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击,以及其它非法操作,防止变电站二次系统瘫痪和失控,并由此导致的变电站一次系统事故。

变电站二次系统安全防护的重点是强化变电站边界防护,加强内部安全措施,保障变电站安全稳定运行。新建的变电站二次系统应满足本方案要求。

本方案适用于变电站、换流站、开关站二次系统安全防护,包括发电厂的升压站或开关站;集控中心或集控站的集中监控系统的安全防护可参照《地、县级调度中心二次系统安全防护方案》执行。

5.1. 变电站二次系统典型结构

变电站监控系统主要包括:变电站自动化系统、五防系统、继电保护装置、安全自动装置、故障录波装置和电能量采集装置等;换流站还包括阀控系统及站间协调控制系统等,有人值班变电站还有生产管理系统等;集控站还包括对受控变电站的监控系统等。变电站二次系统逻辑结构如图1。

图1 变电站二次系统逻辑结构示意图

变电站自动化系统按结构可分为分层分布式(站、间隔、设备三层)或全分布式(站、设备二层),如图1。

图2 变电站自动化系统结构示意图

5.2. 变电站二次系统安全分区

按变电站的电压等级、规模、重要程度的不同以及变电站运行模式(有人值班模式、无人值班少人值守模式、无人值守模式等)差别,变电站二次系统的安全区划分应该根据实际情况,按下列原则确定。

220kV以上变电站二次系统的生产控制大区应当设置控制区和非控制区,其中生产管理系统仅适合于有人值班变电站,详见表1。

表1 220kV以上变电站电力二次系统安全分区表

序号

业务系统或设备

控制区

非控制区

管理信息大区

1

变电站自动化系统

变电站自动化系

 

 

2

变电站微机五防系统

变电站微机五防系统

 

 

3

广域相量测量装置

广域相量测量装置

 

 

4

电能量采集装置

 

电能量采集装置

 

5

继电保护

继电保护装置及管理终端(有设置功能)

 

继电保护管理终端(无设置功能)

 

 

6

故障录波

 

故障录波子站端

 

7

安全自动控制子站系统

安全自动控制装置

 

 

8

集控站的集控功能

集控站的集控功能

 

 

9

生产管理系统

 

 

生产管理系统

10

火灾报警系统

火灾报警

 

 

对于不接入省级以上调度中心的110kV及以下变电站,其二次系统生产控制大区可不再进行细分,相当于只设置控制区,其中生产管理系统仅适合于有人值班变电站,见表2。

表2 110kV及以下变电站电力二次系统安全分区表

序号

业务系统或设备

控制区

管理信息大区

1

变电站自动化系统

变电站自动化系统

 

2

五防系统

五防系统

 

3

广域相量测量装置

广域相量测量装置

 

4

电能量采集装置

电能量采集装置

 

5

继电保护

继电保护装置及管理终端

 

6

故障录波

故障录波

 

7

安全自动控制子站系统

安全自动控制装置

 

8

集控站的集控功能

集控站的集控功能

 

9

生产管理系统

 

生产管理系统

10

火灾报警系统

火灾报警

 

变电站二次系统应用IEC61850国际标准时,应依据本方案的原则,将IEC61850规定的功能模块适当的置于各安全区中,从而实现国际标准与我国电力二次系统安全防护的有机结合。

5.3. 变电站二次系统安全防护的逻辑结构

根据电力二次系统安全防护总体方案的原则对变电站二次系统进行逻辑边界分析,如图3所示。

图3 变电站二次系统的逻辑结构示意图

图3中所列出的逻辑边界在表4中描述。

表4变电站二次系统的逻辑接口

序号

名称

数据类型

通信方式和规约

I1

开发商的远程维护接口

开发商通过拨号方式远程维护变电站自动化系统,数据类型不定。

电话拨号
TCP/IP

I2

通过专用通道连接变电站RTU或变电站站自动系统的接口

 

1.实时数据:遥信、遥测、遥控和遥调等数据;
2.广域测量数据:带时标的PMU数据;
3.继电保护数据:继电保护的远方投退和远方设置命令、继电保护装置信息。

专线
专用协议

 

I3

通过网络连接变电站RTU或变电站自动化系统的接口

1.实时数据:遥信、遥测、遥控和遥调等数据;
2.广域测量数据:带时标的PMU数据;
3.继电保护数据:继电保护的远方投退和远方设置命令、继电保护装置信息。

电力调度数据网
TCP/IP
IEC60870-5-101、104
TASE.2
DL476-92
IEC61850
等专用协议

 

I4

位于控制区的继电保护子站与非控制区间的通信接口

继电保护装置状态信息

本站局域网

TCP或UDP
IEC61850

I5

继电保护和故障录波管理子站、电能量采集终端与站内生产管理系统间的接口

1.继电保护装置状态信息;
2.故障录波数据;
3.电能量计量数据。

本站局域网
TCP或UDP
IEC61850

I6

故障录波管理子站、电能量采集装置以及继电保护网关与调度中心之间的接口

1.继电保护装置状态信息;
2.故障录波信息;
3.电能量计量数据。

电力调度数据网
TCP或UDP
IEC61850、
IEC60870-5-102、103
COMSTRAT等

I7

站内生产管理系统与上级DMIS系统间的接口

生产管理信息

电力企业数据网

TCP/IP

I8

站内MIS与上级MIS系统间的接口

管理信息

电力企业数据网

TCP/IP

I9

站内MIS与上级MIS系统间的接口

管理信息

外部公共网

TCP/IP

除了图3及表4中所描述的逻辑接口以外,还有发电厂升压站或开关站的监控系统与发电厂监控系统之间的逻辑接口,集控站的集控功能部分与被控制的变电站二次系统之间的逻辑接口。

5.4. 变电站二次系统安全防护的总体部署

本章仅对典型变电站二次系统安全防护进行描述,不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。

图4 变电站二次系统安全部署示意图

对于220kV以上的变电站二次系统,应该在变电站层面构造控制区和非控制区。将故障录波装置和电能量采集装置置于非控制区;对继电保护管理终端,具有远方设置功能的应置于控制区,否则可以置于非控制区。

对于不接入省级以上调度机构的110kV及以下变电站的二次系统,其生产控制大区可以不再细分,可将各业务系统和装置均置于控制区,其中在控制区中的故障录波装置和电能量采集装置可以通过调度数据网或拨号方式将录波数据及计量数据传输到上级调度中心;在与调度中心数据通信的本侧边界上,可采用简单有效的安全防护措施。

当采用专用通道和专用协议进行非网络方式的数据传输时,可逐步采取简单加密等安全防护措施。

厂站的远方视频监视系统应当相对独立,不能影响监控系统功能。

6.  发电厂二次系统安全防护方案

本方案重点描述发电厂监控系统及与电网直接相关部分的安全防护,各发电企业应当根据本企业实际情况参照本方案制定完整的二次系统安全防护实施方案。

发电厂二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对发电厂二次系统发起的恶意破坏和攻击,以及其它非法操作,防止发电厂电力二次系统瘫痪和失控,并由此导致的发电厂一次系统事故。

发电厂安全防护的重要措施是强化发电厂二次系统的边界防护。新建的发电厂二次系统应当满足本方案要求。

本方案适用于各类发电厂。发电厂升压站或开关站部分的安全防护按照《变电站二次系统安全防护方案》执行。

6.1. 安全分区

本方案以火电厂和水电厂为例进行描述。发电厂的控制区主要包括以下业务系统和功能模块:火电厂厂级监控功能、火电机组控制系统DCS、调速系统和自动发电控制功能、励磁系统和无功电压控制功能、水电厂监控系统、梯级调度监控系统、网控系统、相量测量装置PMU、各种控制装置(电力系统稳定器PSS、快关汽门装置等)、五防系统等。

发电厂的非控制区主要包括以下业务系统和功能模块:梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、电能量采集装置、电力市场报价终端、继电保护和故障录波信息管理终端等。

发电厂的管理信息大区主要包括以下业务系统和功能模块:电厂生产管理系统、雷电监测系统、气象信息系统、大坝自动监测系统、防汛信息系统、报价辅助决策系统、检修管理系统以及办公自动化(OA)和管理信息系统(MIS)等。

对于省级以上调度机构直调的发电厂,各业务系统安全分区如表1所示。对于其他并网发电厂,特别是小型电厂,安全防护措施可以根据具体情况进行简化,对生产控制大区可不再细分,重点保护监控系统,相当于只有控制区。

表1 发电厂二次系统安全分区表

序号

业务系统及设备

控制区

非控制区

管理信息大区

备注

1

发电厂SIS

厂级监控功能

 

生产管理功能

A2

2

火电机组控制系统DCS

DCS

 

 

A2

3

调速系统和自动发电控制功能

调速、自动发电控制

 

 

A1

4

励磁系统和无功电压控制功能

励磁、无功电压控制

 

 

A1

5

水电厂监控系统

水电厂监控

 

 

A1

6

梯级调度监控系统

梯级调度监控

 

 

A1

7

网控系统

网控系统

 

 

A1

8

相量测量装置PMU

PMU

 

 

B

9

自动控制装置

PSS、气门快关等

 

 

B

10

五防系统

五防系统

 

 

A2

11

梯级水库调度自动化系统

 

梯级水库调度自动化

 

A1

12

水情自动测报系统

 

水情自动测报

 

A1

13

水电厂水库调度自动化系统

 

水电厂水库调度自动化

 

A1

14

电能量采集装置

 

电能量采集

 

B、A1

15

电力市场报价终端

 

电力市场报价

 

B

16

继电保护

继电保护装置及管理终端(有远方设置功能)

继电保护管理终端(无远方设置功能)

 

B

17

故障录波

 

故障录波装置

 

B

18

电厂生产管理系统

 

 

电厂生产管理

A2

19

雷电监测系统

 

 

雷电监测

A2

20

气象信息系统

 

 

气象消息

A2

21

大坝自动监测系统

 

 

大坝自动监测

A2

22

防汛信息系统

 

 

防汛信息

A2

23

报价辅助决策系统

 

 

报价辅助决策

A2

24

检修管理系统

 

 

检修管理

A2

25

管理信息系统、办公自动化

 

 

MIS、OA

A2

26

火灾报警系统

火灾报警

 

 

A2

注:A1与调度中心有关的电厂二次系统

A2电厂内部二次系统

B调度中心二次系统的厂站侧设备。

6.2. 火电厂二次系统安全防护的总体部署

火电厂监控系统主要包括机组单元控制、自动发电控制、机组保护和自动装置、辅机控制、公用系统;输变电部分包括数据采集、控制保护和自动装置等;公用系统包括厂用电、化学水、输煤、燃油、循环水等。机炉电辅系统的监控系统涉及火电厂监控系统的核心业务,执行生产过程中各类一次设备的数据采集和控制,应当具有最高安全级别,可靠性要求较高。

图1 火电厂二次系统安全部署示意图

火电厂的安全区域之间可以采用链式、三角或星形结构,此处仅以链式结构示意。各安全区域边界的安全防护措施按照总体方案实施。火电厂二次系统安全防护的重点是保证电厂监控系统的安全可靠。火电厂监控系统从功能上划分为三个级别:

第一级为生产过程控制级:直接面向生产过程的现场仪表,完成生产过程的数据采集、自动调节控制、顺序控制和批量控制等。该过程的信息源来自现场的各种传感器和变送器信号,其输出直接驱动执行机构。安全防护的重点是防止外部的非法访问或入侵。

第二级为生产监控操作级:以监控操作为主要任务,面向现场运行操作人员、系统工程师,提供现场操作过程的全部信息,指导现场工作人员的相关操作。并配备各种外部设备,存储生产过程全部实时数据。另外还提供计算机接口单元及专用通信协议对外通信,通信方式有网络、现场总线、串口和并口等。应当在与厂级监控系统及调度中心的通信接口处采取安全防护措施。

第三级厂级监控系统管理一个或多个监控操作级别,通常采用基于TCP/IP的数据网络通信。主要对发电厂全厂生产过程进行综合优化、实时管理和监控。应当在生产控制大区与管理信息大区之间部署强隔离的安全防护措施。

6.3. 水电厂二次系统安全防护的总体部署

水电厂二次系统主要包括:水情自动测报系统、水电厂监控系统、继电保护和故障录波信息管理终端、电能量采集装置、大坝自动监测系统、交直流电源控制系统、电力市场报价终端等。

水电厂监控系统包括机组单元控制、机组保护和自动装置、辅机控制、公用系统控制、闸门控制;输变电部分包括数据采集、控制保护和自动装置;公用系统包括厂用电、油、水、气系统等。

图2 水电厂二次系统安全部署示意图

水电厂的安全防护部署如图2。当水电厂监控系统与监控中心或梯级调度中心之间通过广域网络连接时,应当采取必要的安全防护措施。梯级水电厂的安全防护部署如图3。水电厂、梯级水电厂的安全区域之间可以采用链式、三角或星形结构,图2、图3中仅以链式结构示意。

图3 梯级水电厂二次系统安全部署示意图

6.4. 发电厂二次系统安全防护的总体要求

发电厂的生产控制大区与管理信息大区间相连必须采取接近于物理隔离强度的隔离措施;如以网络方式相连,必须部署电力专用横向单向安全隔离装置。

发电厂内同属于控制区的各机组监控系统之间、机组监控系统与公用控制系统之间,尤其与输变电部分控制系统之间应当采取必要的访问控制措施。

非控制区内厂站端电能量采集装置与电厂其它的业务系统不存在网络方式连接、只接受调度端电能量计量系统的拨入请求、且使用专用通信协议时,可以不采取安全防护措施。

对于省级以上调度机构直调发电厂的二次系统,可在厂级层面构造控制区和非控制区。将故障录波装置和电能量采集装置置于非控制区;对于发电厂的控制区内具有电能量采集装置,可以只将计量通信网关置于非控制区。对于具有远方设置功能的继电保护管理终端应当置于控制区,否则可以置于非控制区。

对于没有DCS的小型发电厂的二次系统,其生产控制大区可以不再细分,可将各业务系统和装置均置于控制区,其中在控制区中的故障录波装置和电能量采集装置可以通过调度数据网或拨号方式与相应调度中心通信。

参与系统AGC、AVC调节的发电厂应当在电力调度数据网边界配置纵向加密认证装置或纵向加密认证网关进行安全防护。对于没有DCS系统,或不参与AGC、AVC调节的发电厂,其电力调度数据网边界配置的安全防护措施可根据具体情况进行简化。

发电厂电力市场报价终端部署在非控制区,与运行在管理信息大区的报价辅助决策系统信息交换应当采用电力专用横向单向安全隔离装置。发电企业的市场报价终端与同安全区内其它业务系统进行数据交换时,应当采取必要的安全措施,以保证敏感数据的安全。

发电厂管理信息大区的业务主要运行在发电企业数据网或公共数据网,各发电企业可遵照安全防护规定的原则,根据各自实际情况,自行决定其安全防护策略和措施。

 

7.  配电二次系统安全防护方案

配电二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对配电二次系统发起的恶意破坏和攻击,以及其它非法操作,防止配电二次系统瘫痪和失控,并由此导致的配电网一次系统事故。

本方案重点描述配电网自动化、负荷管理等具有控制功能的业务系统的安全防护,保证配电二次系统的安全,提高可靠供电水平。

本方案适用于配电二次系统安全防护。

7.1. 配电二次系统典型结构

配电二次系统主要包括:配电网自动化系统、电力负荷管理系统、用户集中抄表系统、配电管理系统、地理信息系统、电力营销管理信息系统、95598客户服务系统、其他相关的管理信息系统,及其相连的专用局域和广域网,结构和功能相对比较复杂。其中,配电网自动化系统和负荷管理系统具有实时控制功能,而其它系统不具备控制功能,无实时性要求。配电二次系统典型应用系统结构如图1。

图1 配电二次系统典型应用系统结构示意图

7.2. 配电二次系统安全分区

鉴于配电二次系统涉及面广,地区差异较大,为减少防护成本,降低实施风险,应当简化安全区设置,重点防护具有直接控制功能的系统。将各业务系统分别置于生产控制大区和管理信息大区。

生产控制大区主要包括具有控制功能的配电网自动化系统、电力负荷管理系统、低频低压减负荷装置等,其内部不再进行安全区的划分,逻辑上相当于只有控制区。

管理信息大区主要包括电力营销技术支持系统和管理信息系统。其中营销技术支持系统还包括用户集中抄表系统、电力营销管理信息系统、配电管理系统、地理信息系统、95598客户服务系统等,管理信息大区统一实施安全防护。安全分区如表1所示。

表1 配电二次系统安全分区表

序号

业务系统

生产控制大区(控制区)

管理信息大区

1

配电网自动化系统

SCADA等

 

2

电力负荷管理系统

负荷控制、电能量采集

 

3

低频低压减负荷装置

低频低压减负荷装置

 

4

用户集中抄表系统

 

抄表

5

配电管理系统

 

配电管理

6

地理信息系统

 

地理信息

7

电力营销管理信息系统

 

营销管理

8

95598客户服务系统

 

客户服务管理

9

管理信息系统

 

MIS、OA

7.3. 配电二次系统安全防护的逻辑结构

根据电力二次系统安全防护总体方案的原则,对配电二次系统进行逻辑边界分析,逻辑边界如图2所示。

图2 配电二次系统的逻辑结构示意图

图中虚线表示有的地区具有电力专用数据网,配电二次系统可通过电力专用数据网与其他调度中心和信息中心通信。系统逻辑结构图中所指的逻辑接口(I0-I9)的描述见表2。

表2 配电二次系统的逻辑接口

序号

名称

经过的数据

通信方式

I0

专用通道

实时遥测、遥信、遥控等
信息

专用通信协议

I1

专用网络连接配配电终端

实时数据:遥信、遥测、遥控、遥调等信息

TCP/IP、专用通信协议

I2

公网通道

实时遥测、遥信等信息

专用通信协议

I3

通过专用网络连接负荷终端的接口

实时数据:遥信、遥测、遥控、遥调等信息

专用数据网、
TCP/IP、专用协议

I4

通过公网连接负荷终端

实时数据:

1、终端的遥信、遥测

2、负荷的计算数据等信息

TCP/IP、专用协议

 

I5

与管理信息大区接口

1、用户信息(实时信息和设备信息)
2、地理信息
3、计算数据等
4、抄表信息、工作管理
信息等

本地局域网,
TCP/IP

I6

与上级调度自动化系统接口

实时信息(遥测、遥信)

调度数据网

I7

与上级生产管理系统的接口

设备信息、数据

信息网

I8

与上级客服系统的接口

95598管理信息

信息网

I9

与上级管理信息系统接口

企业公共信息及其它基础信息

公共信息网

7.4. 配电二次系统安全防护的总体安全部署

本章仅对典型配电二次系统的安全防护进行描述,不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。配电二次系统安全部署如图3:

图3 配电二次系统安全部署示意图

配电二次系统的横向网络边界、传统专用远动通道、拨号访问、调度数据网络等物理边界安全防护措施按照总体方案实施。

配网自动化、负荷管理系统与被控对象之间的数据通信可采用专用数据网络,不具备专网条件的也可采用公用通信网络,但都应当采取具有一定强度的数据加密等有效安全防护措施。

专用数据网络可以采用多种通信方式,如:光纤通信、一点多址微波、无线电通信、电力线载波、屏蔽层载波等;不具备专网条件的可采用公用通信网络,如GPRS、CDMA、TD-SCDMA、ADSL和无线局域网等,应当采取等安全防护措施,并禁止与调度数据网互联。

新建配电网自动化系统及负荷控制系统应当支持必要的加解密防护措施,重点防护控制指令的安全。

在具体实施安全防护工程时,应当注意与上级安全区域的对应,防止出现纵向交叉。当上级调度中心的电能量计量系统主体位于非控制区时,计量数据需通过控制区转发。

位于管理信息大区的抄表系统和控制区中的负荷管理系统电能量采集模块之间的数据交换需穿越大区边界,应当进行必要的安全防护。

 

8.  电力调度数据网安全建设方案

8.1. 电力调度数据网

XX省电力调度数据网络目前涵盖XX省调、XX个地市调度、主要大型发电厂、水电站、500kV变电站、220kV变电所和部分110kV变电站共计XXX个节点。网络采用路由器组网,采用IPoverPDH/SDH技术体制,网络承载电力生产的各种应用业务信息的传输。其中I区主要包含能量管理系统、安全自动控制系统等实时监控系统,II区目前包含电能量计量系统、电力市场技术支持系统、保护故障信息系统、保护行波测距系统等。

XX省电力调度系统为三级结构,50万伏变电站直接接入国家电网,22万伏变电站直接接入省调,11万伏变电站接入地调。具体结构如下图所示:

 

按照国家电监会《电力二次系统安全防护规定》的要求,电力调度数据网实现“安全分区、网络专用、横向隔离、纵向认证”,应当采取以下安全防护措施:

l  在广域上利用MPLS VPN技术分为I、II两个分区,在局域上与其他网络间必须使用电力系统专用隔离装置进行隔离,I区纵向必须使用IP认证装置认证,II区可以使用IP认证装置或硬件防火墙作安全防护;

l  控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。

l  安全区间网络横向和纵向边界可部署IDS探头,对边界网络数据报文进行动态检测,以及时发现网络安全事件。

l  在生产控制大区部署综合安全管理平台或日志审计系统,对各种网络设备运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全防护设备运行日志等进行集中收集、自动分析和告警处理。

l  安全区内应部署防病毒系统,定期查杀病毒。

l  调度数据网中路由和交换设备的安全加固。

l  通过冗余备份机制增强核心网络节点的可靠性。

l  重要服务器和通信网关定期进行安全评估和加固,条件具备情况下,可采用调度数字证书进行登录的强身份认证。

 

8.2. 防火墙系统建设

8.2.1.           防火墙系统部署意义

防火墙是安全体系建设中的重要安全技术,其主要作用是在网络入口点检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通信。通过使用Firewall过滤不安全的服务器,提高网络安全和减少子网中主机的风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具。

设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击,防火墙的主要功能包括以下几个方面:

(1)防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性,降低受攻击的风险。

(2)防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济。

(3)防火墙强化安全认证和监控审计。因为所有进出网络的通信流都通过防火墙,使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。

(4)防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防外,又能防止内部未经授权用户对互联网的访问。

电力调度系统网络是一个分层分域的多级广域网络,控制区和非控制区、以及上下级非控制区之间都是完全不互信的域,应此需要利用防火墙设备将电力调度系统网络控制区与非控制区、以及上下级非控制区之间进行安全隔离。

基于上述的情况,本方案以天融信网络卫士高端防火墙为核心,建设电力调度数据网防火墙系统的防护系统。

8.2.2.           防火墙系统部署设计

电力调度数据网的防火墙系统部署位置及方式说明如下:

l  控制区与非控制区网络边界部署防火墙系统,采用双机热备方式透明接入网络。

l  非控制区的纵向网络边界部署防火墙系统,采用双机热备方式透明接入网络。

通过防火墙部署实现以下功能:

l  控制区与非控制区边界的隔离与防护

控制区和非控制区通过防火墙设备进行边界隔离,严格控制源地址、目的地址、源端口、目的端口、协议、数据流向等进行检查,原则上只允许控制区系统主动与非控制区系统建立连接,禁止从非控制区反向访问控制区系统,确有必要反向访问时,必须对访问的地址、协议和端口实施严格的访问控制。

l  非控制区纵向边界的隔离与防护

非控制区纵向边界通过防火墙边界隔离与访问控制,严格控制源地址、目的地址、源端口、目的端口、协议、数据流向等。

l  记录和统计网络日志

防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据并对非法访问作记录日志,从防火墙或专门的日志服务器提供统计数据,来判断可能的攻击和探测,利用日志可以对入侵和非法访问进行跟踪以及事后分析。

8.2.3.           防火墙系统部署效果

我们采用防火墙作为电力调度系统网络重要的安全设备,防火墙是指设置在不同网络(如可信任的电力调度系统内部网和不可信的公共网、外部网络)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据电力调度系统网络的安全政策控制(允许、拒绝、监测)出入网络的信息流,防火墙可以确定哪些内部服务允许外部访问,哪些外人被许可访问所允许的内部服务,哪些外部服务可由内部人员访问。并且防火墙本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。主要特点如下:

l  保护脆弱的服务。通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。

l  控制对系统的访问。Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。

l  集中的安全管理。Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过防火墙的—次认证即可访问内部网。

l  增强保密性。使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。

l  记录和统计网络利用数据以及非法使用数据。Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。

l  策略执行。Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。

 

8.3. 入侵检测系统建设

8.3.1.           入侵检测系统部署意义

电力调度数据网已经在一些重要网络边界部署了防火墙系统,防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对电力调度数据网部署了防火墙的边界的所有访问进行严格控制(允许、禁止、报警)。但配置了防火墙却不一定就能保证电力调度数据网的安全,防火墙还存在以下的不足:

l  不可能完全防止有些新的攻击。

l  入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内,而防火墙对于所保护网络内部的终端设备所发出的攻击是无能为力的,因为这种访问没有经过防火墙。

针对电力调度数据网的特点,需要部署入侵检测系统。入侵检测是防火墙等其它安全措施的补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测。

电力调度数据网的入侵检测具体需要满足以下需求:

l  能够在各安全区横向和纵向网络边界、以及安全区内部的交换机等包含敏感数据和关键服务的网络中实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试,以及网络内部的攻击行为等。

l  当发现网络违规行为和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件记录、实时阻断、安全联动或执行用户自定义的安全策略等。

l  能够与重要区域的边界防火墙进行联动,及时阻断攻击行为,实现实时的入侵防御。

基于上述的情况,天融信建议以TopSentry网络卫士入侵检测系统为核心,建设电力调度数据网入侵检测系统的设计方案。

8.3.2.           入侵检测系统部署设计

电力调度数据网的入侵检测系统部署位置及方式说明如下:

l  对于控制区与非控制区,建议统一部署一套IDS管理系统。考虑到调度业务的可靠性,采用基于网络的入侵检测系统(NIDS),其IDS探头主要部署在:控制区与非控制区的边界点、电力调度数据网的接入点以及控制区与非控制区内的关键应用网段。其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。

本次项目入侵检测系统的具体部署情况如下图所示:

入侵检测系统部署示意图

通过入侵检测系统的部署可以实现以下功能:

l  实时网络数据流跟踪,分析网络通信会话轨迹

l  网络攻击模式识别

l  网络安全违规活动捕获

l  网络安全事件的自动响应

l  提供智能化网络安全审计方案

l  支持用户自定义网络安全策略和网络安全事件

l  具有生成分析报告的能力

l  自动或人工方式更新知识库

l  能相互监视和控制程序的运行,确保系统的健壮性提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控。

l  通过入侵检测探测器和安全服务中心对网络内流动的数据包进行获取和分析处理,发现网络攻击行为或者符合用户自定义策略的操作,及时报警。

l  与相应区域边界部署的防火墙互动响应,阻断攻击行为,实时地实现入侵防御。

 

8.3.3.           入侵检测系统部署效果

入侵检测的根本意义在于发现网络中的异常。管理人员需要了解网络中正在发生的各种活动,需要在攻击到来之前发现攻击行为,需要识别异常行为,需要有效的工具进行针对攻击行为以及异常的实时和事后分析。通过在电力调度数据网的重要区域部署入侵检测系统,能够取得以下效果:

l  通过入侵检测系统能够检测出网络违规模式和未经授权的网络访问尝试,及时预警,从而将攻击行为扼杀在发生之前。

l  当发现网络违规行为和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件记录、实时阻断、安全联动或执行用户自定义的安全策略等。

l  记录了详细和全面的网络行为数据,可以为很多管理系统提供分析数据源,如审计系统、安全网管系统等。

8.4. 日志审计系统建设

日志审计是安全管理的重要环节。目前的安全审计工作大多是手工方式。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。

 

8.5. 安全管理平台建设

8.5.1.           XX电力调度数据网SOC建设概述

8.5.1.1.     设计背景

XX电力调度数据网需在全网实现对重要资产基础信息的收集、整理;从而建立全网重要资产基础信息数据库,并能够实现安全系统告警信息与资产基础信息的关联分析,重点呈现重要资产的风险程度,从而有效协助对重要资产进行重点监控、重点保护。

由于XX电力调度数据网本身职能的特殊性,对信息系统的安全性要求很高,因此在XX电力调度数据网络中部署了很多信息安全产品来加强整体安全性。这些安全产品虽然确实可以解决一些较为紧迫的安全问题,如病毒泛滥、黑客攻击等,但是仍然不够完善,网络中仍然存在一定的安全风险,例如:缺乏内网安全管理机制,不能对内部用户滥用网络系统资源或外界人员绕过边界安全控制设施进行的各种非法操作行为进行有效的监控和审计;缺乏集中的信息安全审计技术平台和流程化的安全告警信息处理机制,现有的各种安全防护机制彼此孤立,不能够有效互动和统一协调地工作。

由于以上原因,XX电力调度数据网决定建设SOC平台以实现集中的网络信息安全监控,重点保护重要资产。

8.5.1.2.     设计目的

信息安全的目标就是确保信息在采集、存储、传输、处理、使用、销毁整个生命周期内的保密性、完整性、可用性。从这个角度来看,保障信息安全的手段就是建立一套行之有效的信息安全管理体系实现对信息保密性、完整性、可用性的有效管理。

本次SOC平台的建设目的主要为实现对信息安全事故进行定义、发现、报告、响应、评价、惩戒和预警等功能。即在信息安全事故发生时能够迅速对事故进行定义、分级,并及时发现和报告给相关人员,相关人员迅速成立处理小组对事故进行快速响应,防止事态进一步扩大,减少损失。事故处理完毕后,要寻找事故发生的原因,对相关责任人员进行惩处,避免类似事故再次发生。

事件是“显在的”,而风险是“潜在的”;潜在的“风险”在一定条件下能够转化为显在的“安全告警信息”。要想不发生“安全告警信息”或者少发生“安全告警信息”,我们需要客观评估信息系统面临的潜在“安全风险”,然后通过采取合适的控制措施有效管理“安全风险”,从而消除安全告警信息发生的“原因”。因此我们需要构建一个集中的SOC平台,通过对信息资产、信息资产属性、信息资产的运行状态、信息资产产生的安全告警信息的集中监控、管理与分析,形成由预警、检测、防护、响应、恢复和反击等一系列动作构成的安全闭环反馈系统。

因此在XX电力调度数据网需要建立集中的SOC平台,结合XX电力调度数据网信息系统业务流的特点,识别和管理组成内部IT基础架构的关键信息资产,制订统一的信息安全策略,在规范统一的平台上有机整合系统内部各种安全资源,实施集中的安全告警信息管理、安全风险管理、终端安全管理等一系列安全管理活动,并通过统一的安全报表、安全报警响应以及安全告警信息处理流程,保证XX电力调度数据网信息系统正常运行和持续性发展。

8.5.1.3.     设计思想

8.5.1.3.1.    方案指导思想

由于建立XX电力调度数据网SOC平台的目标就是要以业务系统为导向,维护XX电力调度数据网重要信息系统及网络的安全运行,并有效降低安全体系结构的总体拥有成本,所以SOC平台应当建立在一套符合XX电力调度数据网网络安全建设和运维需要的设计原则上。

基于XX电力调度数据网职能的特殊性,其信息安全监控体系的建设,除了要满足信息系统自身安全可靠运行的需求外,还必须符合国家的要求,如国家信息安全等级保护要求。

8.5.1.3.2.    方案政策依据

我国对信息安全保障工作的要求非常重视,国家相关部门也陆续出台了相应的文件和要求,针对XX电力调度数据网信息系统,本方案的设计指导思想主要参考以下的政策和要求:

国信办于2003年颁布的中办[2003]27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》),对计算机信息系统的等级化保护提出了建设要求,提出“积极防御,综合防范”的八字方针,是我国今后一段时期内信息安全保障工作的纲领性文件,文件中对我国信息安全保障工作指出了总体思路:我国信息安全保障体系建设的主要工作可以用1-4-4来概括,即建立健全信息安全责任制(1个)、信息安全保障的基础性工作(4项)、信息安全保障的支撑性工作(4项);

公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部门于2004年联合颁发的公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知),明确提出“信息安全等级保护制度是国家在国民经济和社会信息化发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。”指出了我国信息安全保障工作的不足,强调等级化保护的重要性;

公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部门于2007年联合颁发的公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知),对“等级划分与保护”、“等级保护的实施与管理”、“涉及国家秘密信息系统的分级保护管理”、“信息安全等级保护的密码管理”和“法律责任”五个方面提出具体的要求。

在XX电力调度数据网SOC平台项目的设计和建议中,我们将深刻理解和借鉴以上国家各条相关政策和要求,为XX电力调度数据网SOC平台的建设提供正确导向。

8.5.1.3.3.    方案参考标准

在构建XX电力调度数据网SOC平台时,应充分分析其信息系统的实际情况并遵循有关国际/国内的信息安全标准和规范。

l  技术标准

《GB 17859计算机信息系统安全保护等级划分准则》:这是我国政府颁布的信息安全产品等级划分准则。

《GB/T 18336信息技术 安全技术 信息技术安全性评估准则》:等同采用ISO/IEC15408(CC)《信息技术安全评估准则》。该标准历经数年完成,提出了新的安全模型,是很多信息安全理论的基础。

l  管理标准

ISO/IEC 27001:2005:采用BS7799-2,信息安全管理体系规范,是一个可以认证的标准。

ISO/IEC 17799:2005:采用BS7799-1,信息安全管理体系实施指南

BS 7799-1和BS 7799-2:是由英国标准协会(BSI)编写的信息安全管理体系标准,已被采纳为国际标准,为各种机构、企业进行信息安全管理提供了一个完整的管理框架。该“姐妹对”标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全告警信息的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。

GB/T 19716-2005《信息技术 信息安全管理实用规则》:该标准修改采用国际标准ISO/IEC 17799:2000,对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。本标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并提供组织间交往的信任。国际标准ISO/IEC 17799:2000已由ISO/IEC17799:2005替代。

信产部《信息安全管理体系要求》(等同采用ISO/IEC 27001:2005)和《信息安全管理实用规则》(等同采用ISO/IEC17799:2005)。

ISO13335:是一个信息安全管理指南,这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。第一部分:《IT安全的概念和模型》;第二部分:《IT安全的管理和计划制定》;第三部分:《IT安全管理技术》;第四部分:《安全措施的选择》;第五部分:《网络安全管理指南》。

GB/T 19715.1-2005《信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和基本模型》:等同采用国际标准ISO/IEC TR13335-1:1996。该标准提出了基本的IT安全管理概念和模型,用来全面理解本系列标准的后续各部分。国际标准ISO/IEC TR 13335-1:1996已由ISO/IEC 13335-1:2004《信息技术  安全技术  信息和通信技术安全管理  第1部分:信息和通信技术安全管理概念和模型》替代。

GB/T 19715.2-2005《信息技术 信息技术安全管理指南 第2部分:管理和规划信息技术安全》:等同采用国际标准ISO/IEC TR 13335-2:1997。该部分中的指南提出IT安全管理的一些基本专题以及这些专题之间的关系。这些指南主要用来帮助标识和管理IT安全的各个方面。国际标准ISO/IEC TR 13335-2:1997已由ISO/IEC 13335-1:2004《信息技术 安全技术  信息和通信技术安全管理  第1部分:信息和通信技术安全管理概念和模型》替代。

 

 

8.5.2.           XX电网调度数网面临的安全管理问题

在XX电力调度数据网虽然已经部署了大量的安全设备和软件,并制定了一定的安全管理制度和规程,但是仍然存在着许多安全管理方面的风险,主要体现在以下一些方面:

l  海量的安全告警信息淹没了真正的安全威胁

在信息系统的运行过程中,我们的信息网络系统每天都会产生上几十万、甚至上百万条的各种日志和报警信息,而同时这些信息格式不同、技术特征不同,使得我们的技术人员根本没有足够的时间和精力去分析和处理这些日志信息,真正的安全威胁就像大海里的一根针一样难以被有效地发现。

l  安全技术体系的复杂化导致管理困难

网络安全系统会涉及到很多设备,如:网络设备、安全设备以及各种应用软件系统,而它们都有各自独立的部署方式和运行机制,这样就使得我们在配置、监控等环节面临着众多技术难题,特别是难以从全局的风险角度(特别是我们很多业务应用都涉及到多个网段、多个设备,多个系统的现状)去进行策略分析和处理,最终导致了技术分析的复杂性,安全策略管理不一致性,以及应用安全管理变化的不可预见性等,直接制约了安全防御体系的有效性,因而导致了网络安全的重大隐患。

l  安全技术人员的匮乏

网络维护人员负担着繁重的网络维护和网络安全保障工作。面对如此庞大的网络业务支持需要和层出不穷的网络安全产品的管理,大大超出了用户现有技术人员的支撑范围。而由各种网络设备所产生的大量警报信息和复杂的安全管理流程更是增加了技术管理员人的工作量,并对其专业的安全技能要求更高了,不仅是网络的专家,还要是系统的、应用的以及各种安全技术的专家,这样就造成安全技术人员的严重匮乏,特别是随着网络应用的不断拓展,单纯依靠人员或专家的自身能力来解决问题已经成为制约整个信息系统网络发展的重要瓶颈。

l  缺乏整体安全风险的集中监控

安全是整体的,它涉及到整个XX电力调度数据网的信息系统,虽然我们在网络的建设过程中,投入了大量的人力、物力和财力建设网络安全防护体系,但这些并不意味着我们的网络就已经变得十分安全和坚固了。由于缺乏集中的安全风险监控,无法实时地掌握网络中各个部门、各个网段、各个应用系统的安全风险,因而不能及时进行应对和响应,不能做到尽可能减少或避免安全告警信息造成的影响。

l  繁琐、低效的安全响应处理措施和流程

当出现安全问题,管理员总是要尝试很多种办法才能解决问题,要做大量的重复性工作。比如说网络经常遭受蠕虫病毒感染时,我们也往往进行病毒的检查、杀毒等安全措施,但经常发现病毒总是清除不了,重复性杀毒工作很多,员工仍然经常通过很多非法途径感染病毒且觉得无所谓。好的经验和方法不能形成整个单位的安全告警信息处理规范供大家共享,这样使得我们技术人员的安全响应慢、工作效率低等现象时有发生。

8.5.3.           XX电力调度数据网安全管理需求

分析XX电力调度数据网的所面临的问题,包括网络设备、安全设备、业务应用系统、主机、操作系统、数据库等产生的海量事件中无法发现真正的威胁;安全设备众多无法有效管理;安全技术人员的匮乏;缺乏整体安全风险的集中监控;繁琐、低效的安全响应处理措施和流程等问题;面对这些问题,需要XX电力调度数据网采取必要的安全管理措施,来规避风险,保障XX电力调度数据网的安全性。

8.5.3.1.     资产基础信息管理需求

资产管理是安全管理的基础,要做到XX电力调度数据网信息系统的安全管理,必须知晓整个信息系统中都有哪些资产,资源以及其状态,如网络中各种安全产品、系统网络设备、应用等都可以看作是IT的资产。

要实现对信息系统内所有的IT资产进行集中统一的管理,包括资产的特征、分类等属性;但同时资产信息管理并不是为了简单的统计,而是在统计的基础上来发现资产的安全状况,并纳入到平台的数据库中,为其它安全管理模块提供信息接口。

 

8.5.3.2.     安全告警信息管理需求

安全告警信息管理是一种实时的、动态的管理模型,通过关联分析来自于不同地点、不同层次、不同类型的信息事件,帮助我们从海量事件中发现真正关注的安全风险,且提高安全报警的信噪比,从而可以准确的、实时的评估当前的安全态势和风险,并根据预先制定策略做出快速的响应,因此它是安全管理体系中人工智能的主要体现。

安全告警信息管理实现对各种事件的整合管理、风险可视化以及及时响应等需求。

  

8.5.3.3.     安全系统告警与资产基础信息关联分析与呈现

安全管理平台可根据告警信息中的IP地址,定位出所对应的资产基础信息(设备名称、资产重要程度、所属系统、责任人等)进行呈现,并且能够结合告警级别、资产重要性,确定最终告警级别,重点呈现需优先关注的告警信息,并可以通过颜色的方式重点展示安全级别高的事件,通过事件可以定位到相关的资产。

8.5.3.4.     自动响应需求

响应管理块提供对响应流程和响应方式的管理。提供专家系统和知识库的支持,针对各类用户所关心的安全问题进行响应。响应方式包括从专家系统调用相关脚本自动进行漏洞修补、防火墙配置下发、网络设备端口关闭等操作,从知识库自动/手动的进行解决方案的匹配,然后通过自动或手动产生工单,通知相关管理员进行处理,并对工单的生命周期进行监控,此外还包括利用短信、Email等方式进行通知等。

 

8.5.3.5.     安全告警处理信息呈现需求

要求能对安全告警处理信息进行直接呈现,实现基于策略库、脚本库、方案库、案例库等,采用专家推理的技术,为管理员定位问题,解决问题提供参考和帮助,为安全工作提出建议。针对已知的安全问题给出适合的解决方案。提供各类安全目标和安全指标对应的安全措施,提供统一的界面供相关人员发布、查看安全信息和解决方案,形成一个安全共享知识库,提供安全培训的资源。

知识库做为公司内部信息安全交流和沟通的主要平台,能提供多种方式实现信息共享和交流,同时也是做为人员培训的重要资源。

8.5.3.6.     报表统计需求

能对最新的动态安全数据进行深层次统计分析并生成易于理解、结果明确的图形报表,为相关人员提供及时准确的决策依据,通过更加灵活的、方便的、丰富的统计分析内容,使各级人员可以迅速方便的查到决策所需的信息。提供多种的报表内容和形式,为下一步的信息化安全建设规划和资金合理利用提供科学的依据。

 

8.5.3.7.     用户分级管理需求

根据XX电力调度数据网的业务特点,需要将XX电力调度数据网的用户权限进行分配,按照管理员、维护操作权限用户、监控操作权限用记有、全网审计权限用户分类,实现用户的分级管理。

 

 

8.5.4.           XX电力调度数据网安全运营中心(SOC)设计方案

安全运营中心(SOC)是一种安全集中管理的形式,它不仅仅是技术(Technology)层面产品的功能实现,而是由运维人员、运维流程、制度和技术手段等不同组件充分结合的构筑的安全运维体系。

安全运营中心(SOC)的组成可以表述为:

SOC安全运营核心平台+SOC安全管理运营流程+SOC安全运营组织

安全运营中心(SOC),是由SOC安全运营核心平台、SOC安全运营组织及天融信SOC安全管理运营流程几个组件共同组成,以安全运营中心核心平台为技术核心,以安全运营组织为管理主体。安全运营中心运维流程(SMOP)为运维管理提供规范和流程。

安全运维流程是天融信集中安全管理重要的一个环节,是基于对当前最为流程、最有权威性的IT管理标准ITIL的深刻理解和实践,以BS7799和信息系统安全等级保护办法为基础,以组织业务和客户实际需求为出发点而设计的标准运维流程。

 

8.5.4.1.      SOC技术模型

安全运营中心(SOC)的技术模型设计如下图所示:

 

8.5.4.2.      SOC核心平台

安全运营中心(SOC)的核心平台主要由以下几部分组成:

l  集中安全控制台

l  事件管理中心

l  知识库

l  远程访问平台

SOC核心平台架构的图示如下:

8.5.4.2.1.     集中安全控制台

集中安全控制台提供一个图形化的界面,使得所有SOC的安全配置都可以在一个平台上实现。控制台功能包括分析、报告、计数与配置等,为安全专家对紧急事件实时分析提供全套的分析和处理工具。

8.5.4.2.2.     事件管理中心

事件管理中心主要对不同的事件收集引擎(包括基础事件收集引擎和可定义的事件引擎两种)所收集的各类安全事件进行分布式的智能分析、过滤,并按照标准格式进行事件关联分析。

8.5.4.2.3.     数据库

数据库中存储重要的安全事件、分析报告和安全知识等,同时数据库也提供事件处理流程等信息。

安全知识的共享是安全水平提高的必要基础,天融信SOC建立完善的、多数据来源的安全知识库,安全知识库的数据和来源包括:

l  安全漏洞:SOC数据库中建立完整的CVE、CERT、BUGTRAQ、CNCERT等数千种安全漏洞。每一个漏洞都包含名称、描述、风险级别、演变过程、受影响系统、危害、详细的解决办法和操作步骤等内容。还可以将Nessus, ISS,Languard等弱点分析工具的结果自动导入漏洞库中。该漏洞库还提供漏洞信息在线自动更新的功能。系统能自动下载更新数据,从而在有新的漏洞被发现时,漏洞信息库能得到及时更新。

l  安全通告:天融信公司提供不定期的安全通告,承诺至少每15天一次,以最快速度向用户提供最新安全问题和病毒信息,这些通告也可导入知识库。

l  案例:所有事件处理表单和处理结果都进入知识库。

l  安全知识:天融信提供的一些安全知识可以导入信息库。

l  产品资料:产品相关的datasheet、白皮书、用户手册等可以导入知识库。

8.5.4.2.4.     远程访问客户端

管理人员可以通过Web方式和应用程序方式远程访问与配置SOC平台。天融信SOC平台的远程访问客户端通过SSL加密通道访问SOC平台,并能够进行图标化趋势分析、数据分析与调查、安全现状报告查看与制定等操作。

 

8.5.4.2.5.     远程监视器客户端

通过安装客户端软件,远程监视器客户端允许远程地点、远程办公室和场所能够访问到需要的报告,以及进行动态的数据分析。安全分析站设在其他的远端位置,能够执行数据分析和用不同格式(XML, Excel, Text, HTML 和PDF)生成可用报告。同样的客户端布置了代理(Agent),可以通过WEB GUI查看各种统计事件:

1. 实时访问生成报告

2. 实时访问执行动态的数据分析

3. 实时访问生成事件图表

4. 报告访问控制(只有确定的报告能够被经授权的用户访问)

5. 客户访问控制(只有授权的用户能够访问远程监视器服务器端访问SOC平台)

 

8.5.4.3.      SOC解决的问题

8.5.4.3.1.     领导关心的问题

通过安全运营与管理,全面实时掌握信息系统内的安全状况

a) 系统内实时发生的安全活动?这些活动的危害程度?对这些活动如何有效控制?

通过对系统内发生事件的实时监控与分析,我们可以及时发现发生的安全相关活动,并根据安全活动与资产、漏洞等对应关系,分析这些活动的危害程度,严重级别等,并分析对安全事件的有效控制措施。

 

b) 系统每天发生多少安全攻击?都发生那些类型的攻击?那些攻击已经被成功阻断?这些攻击主要针对那些业务系统?这些攻击来自于那些地区、那些部门?

通过我们部署的事件收集引擎,对整个网络设备,主机系统,应用系统,IDS,入侵检测等系统进行相关的日志和报警信息收集,并实时进行监控。安全管理平台对所有的信息进行了统一化和整合化处理,能够对上百个信息字段进行监控与分析,通常包括事件名称,时间,攻击者IP,目的IP,源端口,目的端口,事件级别,设备类型,设备型号,设备动作,关联业务等进行监控。

监控人员可以实时对事件进行深入分析,找出事件的相关性和关系图,可以迅速找到攻击源,目标,以及事件类型等,并可以找出攻击发生的轨迹,如何一步步深入攻击的。

 

c) 系统每天发生多少违规事件?哪些违规需要重点审查?这些违规来自于哪些部门、哪些人?

每台设备每天产生的安全信息一般有数千条到几万条,成百上千设备的安全管理就面临了每天数百万条的安全信息。如何快速分析处理这些安全信息是安全管理平台的技术关键。我们的安全管理平台提供了事件的自动整合和自动关联分析的功能。通过事件统一与整合,安全事件可以以统一的格式集中上报,通过事件关联,安全管理系统可以发现与某种特定攻击相关的关键事件甚至可以知道其所产生的实际危害。关联分析技术是SOC安全管理的核心技术之一。  关联分析后得到的截图,将事件量大大减少,准确性大大提升。

 通过一系列的数据统一化,整合化,关联分析与可视化,安全专家可以准确的识别发生的安全威胁,快速的进行分析与响应,快速识别那些人员违法了哪些安全策略等等。安全专家通过不断跟踪最新的安全漏洞与最新的攻击方法,不断更新关联规则库,保持关联分析的有效性。关联分析得到的安全事件是需要重点跟踪和处理的安全事件,需要对每个事件专门进行深入分析和处理,检查违规事件来自哪个部门哪些人员。

 

d) 哪些安全制度没有很好的被执行?都是哪些部门、哪些人没有执行?还缺少哪些安全制度?

发生安全事件后,系统会产生工单通知相关人员处理。在安全管理平台内根据各角色用户的定义,可以分为操作人员,响应人员,管理层等各个组,并分为各种级别的人员。安全事件根据自己的级别通知相关的人员,并对该工单进行跟踪处理,当不能按时对事件进行处理时,系统自动升级到更高级别人员来处理。当发现有人违背安全制度时,我们可以快速定位相应的部门和人员,改进我们的安全策略和制度。发现是具体哪些部门哪些人员违法安全制度后,我们可以对此事件进行跟踪处理,直至最终解决。

 

8.5.4.3.2.     技术人员关心的问题

通过安全运营与管理,全面动态管理信息系统内部的资源

l  业务系统是否被合法使用

通过对业务系统的访问与操作日志进行深入分析,掌握所有人员对业务系统的操作,检查是否是规定的人员在规定的时间、规定的地点、路径、以及是否按照访问规则访问业务系统。

l  内部脆弱性的有效管理(那些业务系统有哪些脆弱性?那些已经采取措施弥补?)

对于所有的信息资产,可以通过安全扫描器定期来进行安全扫描,自动将结果导入数据库中,对资产所有的漏洞进行管理。目前支持CVE, Bugtraq,Cert, nessus, X-force等漏洞标准,所有主流扫描器基本都参照了这些标准。

l  IP地址资源、带宽资源的合法使用

通过定期分析IP地址的使用状况,资产的报表,资源的使用状况等,我们可以对所有资产的合法使用有很好的控制。

8.5.4.3.3.     安全监督和审计

通过安全运营与管理,对组织安全政策的执行情况进行有效的监督与审计

对所有访问违规行为的审计、跟踪、分析、处理、报告、惩戒

通过定期对所有访问行为的审计和分析,我们可以分析组织安全策略的具体执行情况,对所有违规行为进行审计,跟踪,处理等,有效实现对业务安全的监督。

8.5.4.3.4.     实现有效安全预警

通过安全运营与管理,对安全威胁进行有效的预警,减少安全事故造成的损失

早发现、早处理、早惩戒、早反思

通过安全监控,我们可以及时分析安全信息和事件,通常我们定义五级安全事件,包括:

1. 事件级别5 – 大规模事件: 通过跨用户的关联分析可以快速得到一个正在广为传播的安全威胁。适用海量数据分析结果。比如冲击波,震荡波等。.

2. 事件级别4 – 严重事件: 观察到恶意的行为,可能已经取得成功 。系统自动通知客户,安全管理平台自动产生工单,专家立即响应。安全专家同时电话通知客户来检查和处理。客户可以通过web portal来获得相关信息。.

3. 事件级别3 – 威胁事件: 观察到恶意的行为,可能尚未取得成功,产生一个相关的威胁报警。专家进行深入分析,及时阻止恶意行为,记录并随后报告给客户。客户也可以通过web potal来获得相关信息。

4. 事件级别2 – 可疑事件:观察到有探测的行为,不代表会产生威胁。事件信息会包含在定期的安全报告中,客户可通过webportal获得相关信息。

5. 事件级别1 – 安全信息: 识别出来的有用的安全信息。

对于可疑的IP地址和行为进行跟踪监控,实时分析其安全状况:

对新发布的安全漏洞与安全事件,我们通过SOC平台及时通报给客户,客户可以通过mail,web等方式及时收到相关的安全通告,达到早防护的目的。

 

8.5.4.3.5.     安全规划支撑

通过安全运营与管理,为组织制定安全规划、编制安全投入预算提供充分的数据支撑

SOC提供的强大分析报表是组织制定安全规划、编制安全预算的重要依据。

8.5.4.4.     安全运营中心(SOC)的功能

通过XX电力调度数据网系统安全运营中心的建设,就是要建立一个企业网安全的基础设施——通过安全运营中心的实时信息收集和处理发布的作用,将各个网络设备、安全设备和系统设备等整个安全系统统一的管理和监控起来,通过SOC对事件的关联分析,结合企业的信息安全管理政策和流程,进行事件的实时响应,从而将企业的信息安全风险降到最低,实现现代的动态信息安全管理。

8.5.4.4.1.     高效管理网络资源

XX电力调度数据网系统涉及到了多个分公司及众多的部门,将其信息共享于一个外网平台势在必行,而所有这些内容的完成都是依赖于相应的信息处理单元(PC、服务器等),那么管理好这个网络,而且要安全的管理好这个网络就必须要高效的管理全部的网络资源。况且网络资源也是安全管理的最终实施单元。所以,要想安全运行就必须做好网络资源的管理。

8.5.4.4.2.     收集各个设备的安全事件

网络中的各种设备都有各自特定的安全事件,这些事件对于实现这个系统的安全性,起着极为重要的作用。所以如何收集这些安全事件将是安全工作的前提和基石。只有收集到安全事件才能为安全策略、安全管理和安全机制提供佐证。

8.5.4.4.3.     综合分析安全事件,自动匹配关联

网络庞大,收集到的安全事件也是海量数据,对这些海量信息的分析成为了必须要解决的问题。只有对各种安全事件进行了综合的和有效的分析,才能利用他们,自动匹配安全事件,实现各种安全事件之间的关联管理。

8.5.4.4.4.     实时监控,综合防范

安全是实时的、动态的,安全事件分析的最终目的就是要实现对网络的实时的安全防范,那么实时监控及时最为有效的方案之一。当然,这里要求的实时监控,不仅是简单的事件监控,而且要在“综合分析安全事件,自动匹配关联”的基础上实现真正意义上的综合防范。

8.5.4.4.5.     有效的蠕虫、病毒防范

从国内各类大型网络来说,不止一次的遭到蠕虫和病毒的攻击,造成了无法想象的损失。蠕虫、病毒防范也是重要内容之一。

8.5.4.4.6.     提供反制的能力,精确打击

安全系统的建立为XX电力调度数据网建立了极好的安全防范系统,但是仅仅防御是不够的,我们建立有效的反制机制,使系统具备精确打击的能力。这要依靠多种系统来实现。

8.5.4.4.7.     安全信息发布机制,发挥震慑作用

安全信息的发布,不是一个摆设,而是一种极为有效的安全管理的机制,就像:公安机关的犯罪公告,新闻机构的公害行为发布一样,对不法的人员产生极好的威慑,使他们不敢轻易发难、从而减少犯罪的发生。安全信息发布系统,起着同样的作用。

8.5.4.5.     安全运营中心(SOC)的体系架构

通用字典把信息定义为:“从任何来源得到的知识”;ISO 17799认为:“信息可以以任何形式存在;它可以被打印或写在纸上,以电子的形式储存,邮寄或以电子的工具传输,以影片的形式放映,或出现在对话中”。信息安全管理的定义可以从如下两个层面来理解:

a)  技术层面的理解:信息安全管理的目标就是确保信息在采集、存储、传输、处理、使用、销毁整个生命周期内的保密性、完整性、可用性。从这个角度来看,信息安全管理的手段就是建立一套行之有效的信息安全管理体系实现对信息保密性、完整性、可用性的有效管理。

b)  管理层面的理解:信息安全管理的目标就是确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也要将影响降到最低。从这个角度来看,信息安全管理的手段就是建立起一套行之有效的信息安全事件处理机制与流程,实现信息安全事件的明确定义、快速发现、及时报告、迅速响应、客观评价、严厉惩戒、准确预警。

信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性,从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。安全事件是一个“结果”,要想不发生安全事件或者少发生安全事件,就要寻找安全事件发生的“原因”,通过消除原因达到预防结果的目的。“安全事件”发生的原因是因为信息系统存在“安全风险”;事件是“显在的”,而风险是“潜在的”;潜在的“风险”在一定条件下能够转化为显在的“安全事件”。要想不发生“安全事件”或者少发生“安全事件”,我们需要客观评估信息系统面临的潜在“安全风险”,然后通过采取合适的控制措施有效管理“安全风险”,从而消除安全事件发生的“原因”。因此我们需要构建一套安全运营中心,通过对信息资产、信息资产属性、信息资产的运行状态、信息资产产生的安全事件的监控、管理与分析,实现其连接了预警、检测、防护、响应、恢复和反击这些关键的安全过程,从而促进安全闭环反馈系统的形成;这个平台就是安全运营中心。

8.5.4.5.1.    基于安全事件的安全管理

安全管理体系需要一种能够从管理的高度代表信息安全系统的动态模型,而不仅仅是一些静态的管理模型(安全策略管理、身份管理、安全意识教育等)。

安全事件管理就是这样一种实时的、动态的管理模型,是安全管理体系中人工智能的主要体现。基于安全事件的管理技术能够实时的分析来自于计算/网络/存储/安全等设备的与安全相关的事件,其优势在于信息来源的广泛。通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比,从而可以准确的、实时的评估当前的安全态势和风险,并根据预先制定策略做出快速的响应。

安全事件管理的目标

事件整合和关联:这是安全事件管理的首要目标。查阅和分析大量的日志是一项耗时耗力的事情,但却又是安全管理员不得不做的日常工作,他们的时间大部分耗费在排除大量不重要的事件上,这必然使得对真正安全事故响应的延迟,错过了安全防护的最佳时机。因此,安全管理系统中事件的自动整合和关联显得尤为重要。通过事件整合,安全事件可以以统一的格式集中上报,通过事件关联,安全管理系统可以发现与某种特定攻击相关的关键事件甚至可以知道其所产生的实际危害。

实时风险的可视:通过对事件的处理,在结合其他的一些因素,系统会实时的计算当前风险,我们称之为风险的量化,然后以图形化的方法将它表达出来,让安全管理员在最短的时间感知到风险的程度。这里需要强调的是风险感知的实时性,而非传统安全服务中所涉及的静态风险评估(Risk Snapshot),高度的实时性正是安全事件管理技术所带来的突破。

及时的响应:当量化的风险达到一定的阈值时,系统可以提供某些机制自动抵御和降低风险,或者提供某些工具协助安全管理人员来快速响应风险。

为了达到以上的三个目标,我们首先需要具备的是安全事件管理一些常规的技术手段,他们将成为进一步通过“安全业务的基础平台”- “安全运营中心”体统实现安全事件管理系统的底层技术支撑,因此事件管理包含了统一化,整合化,关联化和可视化的四个技术支撑过程。

统一化:

通过对信息系统中常见的数据源的进行采集,它们根据可预先定义的配置,把各种类型的安全数据格式化成统一的格式。

整合化:

通过对统一采集的事件进行过滤,冗余处理,以及根据预先定义的分类规则对事件进行归纳分类,并根据事件路由规则,把事件转发到各种事件处理服务器上或者直接转存到事件数据库中进行数据保全。

关联化:

可以包括:事件与环境信息(资产信息,网络逻辑等)的关联;事件风险级别,优先级,时间段关联;基于状态机的攻击场景关联;基于统计的大时间窗关联(风险累计,个数累计,阈值);事件与固有安全漏洞的关联;关联权威部门发出安全警告和互联网安全整体安全态势的关联等多种处理方法。

可视化:

包括在线和离线2种方式,“在线”是通过实时风险的综合计算和可视,表达当前信息系统的安全态势;“离线”则通过对于安全事件的数据挖掘,并对统计分析的结果进行可视化输出,其相对“在线”的优势是可以帮助用户分析信息系统某一事件段内的安全态势。

8.5.4.5.2.    面向安全业务的支撑设施

为了真正的实现有效安全事件管理,安全运营中心不只是前面提及的支撑技术,而且是一种具备高度可扩展性的基础系统和一系列适应不同环境的解决方案。

 “安全运营中心系统模型“从广义来看属于“业务基础软件平台”的类型,通过这种平台技术我们能够把“各种针对特定环境或者特殊用途的安全技术和产品”与“对它们的应用、整合、管理”分离开,这样做所带来的好处是对各种安全技术的细节进行了屏蔽,让以业务应用为中心的安全体系结构的设计人员和管理人员只需要关注自己特有的业务应用环境,让安全随应用而变。

 

“安全运营中心”系统模型图

安全运营中心通过其基于服务的分布式核心提供各种分布式的技术去支撑“安全体系结构”中的各种安全组件(安全子系统)的协作运行,这些安全组件在分布式平台中以面向服务概念的虚拟化称为“安全中间件”,因此整个信息系统可以通过开发和加载不同的安全中间件(或安全引擎),能方便地加入新的安全产品和技术,因此建立了如上图所示的安全运营中心系统模型。

通过基于安全事件的安全管理和面向安全业务的支撑设施的实现,能够建立这样的系统:

第一、安全运营中心的组织体系为分布、分层式的管理方式,同时保持了系统的集中控管能力。

系统采用中心——二级——三级的分层结构,形成立体的信息传输网,该结构保证了系统由中心到下级单位的各个层面的不同安全需求。

l  分布式的体系结构——扩展性强

l  分布计算的体系结构——负载均衡

l  立体的信息传输网——两级区域的安全隔离

第二、网络信息安全综合管理监控平台完成了多种安全设备的综合性管理。

现代计算机网络的信息安全不再是以前的那样静态、孤立的模式,而是要智能化、模块化、良好的扩展、集中管理和集中审计等等功能的集合。这样可以通过网络信息安全综合管理监控平台管理IDS、入侵检测和审计系统、日志审计系统、防病毒系统、扫描系统以及未来要纳入本系统的其他安全系统。在这些系统中,我们要实现对它们的配置集中管理。即通过安全运营中心集中管理全部的网络中的设备。

第三、安全运营中心完成了多种安全设备的安全监控。

安全运营中心实现了对安全设备进行集中管理,监控安全设备是否正常工作;对安全设备、重要服务器的系统进行监控,系统的运行状态是否正常,内存、CPU利用率是否过高,系统运行的各种进程是否正常,各服务器、设备使用的操作系统类型;对重要服务器、安全设备的应用进行监控,对出现的异常情况进行报警,报警信息可在安全网站上发布,提供查询、统计、按条件筛选等功能。

第四、安全运营中心综合了多种安全设备信息,完成了系统的安全策略的统一制定。

通过安全运营中心获取网络中的各种数据,来自于入侵监测、网络安全分析系统,综合处理各路信息,分析得出相应策略。这样可以极大地提高系统对付网络攻击的能力,提高了安全系统的智能化(包括安全审计、监视、进攻识别和响应)。这样,形成了一个良性循环的过程,安全性能在不断的监测和审计过程中不断发展。

第五、关联的、综合的信息审计。

安全运营中心提供了综合安全审计功能,对安全运营中心收集的各种事件信息进行深度分析,找出可疑的行为,同时生成详尽的统计和分析报表。审计分析的对象包括安全产品、应用系统、操作系统的事件信息。

第六、安全运营中心综合系统安全事件,提供安全事件发布机制。

安全运营中心能够对下列安全事件进行发布:安全设备的故障信息、各安全设备的攻击日志信息、各安全设备管理日志信息、联动信息、非法外联信息、PC补丁状态信息、冒用IP地址等信息、日志统计报表、日志分析报表。

安全运营中心提供一个WEB等的浏览接口,可以在网络中实时或非实时的现实当前系统的各种事件网络事件和安全事件等。

 

8.5.4.6.     平台安全功能设计

8.5.4.6.1.     安全预警管理

通过安全运营中心的预警系统可以让XX电力调度数据网在安全风险影响运作前加以拦阻从而达到提前保护自己的作用。

l  预警信息及时化

安全运营中心的预警系统可以在动态威胁和影响XX电力调度数据网业务前,事先传送相关的警示,让管理员采取主动式的步骤以保护整个信息基础架构;并预防全网业务中断、效能损失或对其公众信誉造成很大的危害。

l  预警内容丰富化

安全运营中心的预警信息内容能提供个性化的漏洞和恶意代码告警服务,以通知组织新的潜在威胁。在发现漏洞和利用行为时,该服务能够发送通知并提供及时、可操作的信息和指导,帮助降低风险,防患于未然。

l  预警方式多样化

安全运营中心的预警系统通过追踪最新的攻击技术,会分析威胁信息以辨识出真正潜在的攻击,并提供包含了报警、报表以及迅速响应的客制化威胁分析。安全报警会通过电子邮件、传真、短信或语音等方式,分类、分级别地直接传送到特定负责的管理员手中。

l  安全资源最优化

安全运营中心的预警系统整合了主动式的情报信息与响应机制,让XX电力调度数据网可以部署特殊的对策以预防潜在的威胁。另外,它也为XX电力调度数据网各级单位消除为了收集信息而花在搜寻网站与电子邮件的时间,因此可在XX电力调度数据网顺利运作的同时,让 IT 资源达到最佳化的状态。

8.5.4.6.2.     安全监控管理

通过安全运营中心的监控功能可以实时监控XX电力调度数据网的安全态势,实时监控整个信息网络中发生了哪些攻击,出现了什么异常,每台主机存在什么漏洞以及产生了哪些危险日志等等,并为其他安全子系统提供及时、准确的信息,因此安全监控对于整个XX电力调度数据网的安全保障系统来说是至关重要的。

l  基于异构性的安全监控

安全运营中心的安全监控的异构性主要体现在对安全对象的异构性(如:对不同的安全产品、网络产品、系统平台以及应用程序等进行统一收集和格式整合);同时对于目前还不能支持的系统事件则可以通过安全运营中心的中间件技术实现其采集整合。

l  基于实时性的安全监控

安全运营中心通过其在线式的管理其IT资源状态和实时安全事件,因而它能及时关注IT资源和安全风险的现状和趋势,通过对这些方面的统一管理来提高安全性和IT资源的效能。

l  基于智能化的安全监控

安全运营中心的关联分析就是利用智能信息处理技术对信息网络中的各种信息事件进行智能处理,实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警的目的,从而帮助XX电力调度数据网有效地提高安全保障系统中报警信息的可信度,从而有效地提高整个信息系统的安全性。

l  基于可视化的安全监控

通过安全运营中心的安全事件分析过程与分析报告的可视化(通过图表/曲线/数据表/关联关系图等)使得安全事件的分析更为直观。另外,安全运营中心还将根据报警信息及其关联分析,力图提供详细的入侵攻击信息直至关于攻击场景的重现,使其能够实现入侵攻击的追踪或入侵攻击的特征分析,从而将有效提高安全管理人员对于入侵攻击的监控理解,从而使安全系统的管理更为有效。

l  基于分布式的安全监控

通过安全运营中心分布式的多级部署方式实现其对各个子系统的全网监控和综合分析能力,同时对安全运营中心不同安全等级和安全类型的用户提供相应权限的监控界面和信息,从而严格满足其安全等级划分的用户级要求。

8.5.4.6.3.     安全防护与响应管理

在XX电力调度数据网的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的,所以XX电力调度数据网通过安全运营中心对信息系统实时的安全风险态势分析功能可以及时响应和优化整个安全防护策略;最直接的响应就是向管理员报警,安全运营中心可以提供多种方式,如:报警灯报警、窗口报警、邮件报警、手机短信报警;然后将日志保存本地数据库或者异地数据库中。

l   优化安全策略分析

通过安全运营中心的安全监控功能,XX电力调度数据网可以实时掌握自身的安全态势,和各个安全防护层面的网络、系统和应用处理情况,并且能够输出正常和非法个性化的安全策略报表,然后直接通知对应的安全管理人员或厂商对其自身策略进行优化调整。

l  动态响应策略调整

安全运营中心通过自身对国内外标准安全响应协议的支持(如:SNMP、TOPSEC联动协议等),能够自动地和相关的安全防护技术实现策略自动交互,同时通过安全运营中心的专家知识库能从全局的角度去响应安全事件,因此可以很好地解决安全误报的问题。

l  安全服务自动协调

当XX电力调度数据网系统通过安全运营中心的智能分析和安全定位功能确认安全事件或安全故障时,由安全运营中心运维支撑系统直接调派其安全服务人员小组(提供安全服务的供应商)进行相应的安全加固防护。

8.5.4.6.4.     安全恢复管理

安全运营中心主要是负责安全恢复系统的监控和组织流程的协调。

8.5.4.6.5.     安全反击管理

l  安全事件的取证管理

取证在计算机安全事件的调查中是非常有用的工具,可以给XX电力调度数据网和相关调查人员提供安全事件的直接取证,因此通过安全运营中心对全网监控的安全事件的存储和分析以达到安全取证的目的。

l  安全事件的追踪反击

安全运营中心通过资产管理、关联分析、专家系统分析等有效手段,能检测到攻击,并定位攻击源。随后,系统会自动对目标进行扫描,并将扫描结果告知管理员,并会提示管理员查询知识库,从中提取可用的攻击手段对攻击源进行反击控制。知识库会提供相关工具,并提供相关教程。

8.5.4.7.     安全管理平台部署

8.5.4.7.1.     安全管理平台部署拓扑设计

我们建议在调度数据网部署安全管理系统,对全网网络设备、安全系统进行综合安全管理,归并告警事件,分析设备日志。

安全管理平台(TopAnalyzer)采用纯软件安装在服务器的方式,安装于XX电网调度中心,通过10/100/1000M电口接入到XX电力调度数据网之中,分配对应的调度数据网IP地址,对全网网络设备和网络安全设备包括IDS系统、漏洞扫描系统、流量监测系统、防火墙等进行统一分析管理,包括设备的配置,安全威胁,攻击事件分析、日志管理等,系统支持第三方安全产品的安全事件统计分析。

调度数据网安全管理平台部署拓扑如下:

8.5.4.7.2.     系统策略设计

安全运营中心需要支撑着整个安全保障系统,因此它是由安全运营中心各级部分共同组成的系统性基础设施,所以安全运营中心的策略、职责和范围也有各自的偏重。

事件的等级分析:

安全运营中心安全事件的安全风险共分了5级,具体如下:

 

低风险事件

较低

较低风险事件

中风险事件

较高

较高风险事件

高风险事件

用户的等级分析:

安全运营中心的用户划分为3级,具体如下:

l  超级管理员:具有超级权限,可以进行任何操作。

l  普通管理员:可以对授权的区域进行配置、监控以及报表输出等操作。

l  监控管理员:只能对授权区域进行事件和资源的监视,以及对应的报表输出等操作。

8.6. 纵向加密认证系统建设

IP认证加密装置用于安全区I/II的广域网边界防护,作用之一是为本地安全区I/II提供一个网络屏障,类似包过滤防火墙的功能,作用之二是为网关机之间的广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护。

可以使用防火墙代替IP认证加密装置对安全区I/II进行一定程度的边界防护。

8.7. 正/反向安全隔离装置建设

电力专用安全隔离装置作为安全区I/II与安全区III的必备边界,要求具有最高的安全防护强度,是安全区I/II横向防护的要点。

其中,安全隔离装置(正向)用于安全区I/II到安全区III的单向数据传递;安全隔离装置(反向)用于安全区III到安全区I/II的单向数据传递。

设备部署如下图:

图 安全隔离装置部署示意

8.8. 调度数字证书系统建设

公钥技术是利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服务的统一的技术框架。

公钥技术中最主要的安全技术包括两个方面:公钥加密技术、数字签名技术。公钥加密技术可以提供信息的保密性和访问控制的有效手段,而数字签名技术则提供了在网络通信之前相互认证的有效方法,在通信过程中保证信息完整性的可靠手段,以及在通信结束之后保证双方相互信赖的有效机制。

全国电力调度统一建设基于公钥技术的调度证书服务系统,由相关主管部门统一颁发调度系统数字证书,为电力监控系统、调度生产系统及调度数据网上的关键应用、关键用户和关键设备提供数字证书服务。在数字证书基础上可以在调度系统与网络关键环节实现高强度的身份认证、安全的数据传输以及可靠的行为审计。

电力调度业务系统及数据网络中需要发放数字证书的对象主要包括:

1)       调度系统内部关键应用系统服务器,目前包括调度端SCADA系统、电力交易系统、厂站端的控制系统;

2)       以上关键应用系统的相关人员,包括用户、管理人员、维护人员;

3)       关键设备:通信网关机、IP认证加密装置、安全隔离装置、线路加密设备、以及部分网络设备(如厂站端接入交换机)。

数字证书为这些实体提供以下安全功能支持:支持身份认证功能、支持基于证书的密钥分发与加密、支持基于证书的签名以及基于证书扩展属性的权限管理。

因此调度系统数字证书类型包括:

Ø  人员证书

关键应用的用户、系统管理人员以及必要的应用维护与开发人员,在访问系统、进行操作时需要的持有的证书。

Ø  程序证书

某些关键应用的模块、进程、服务器程序运行时需要持有的证书。

Ø  设备证书

网络设备、服务器主机,在接入本地网络系统与其它实体通信过程中需要持有的证书。

 

8.9. 防病毒系统建设

病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II的主机与工作站。

应当及时更新特征码,查看查杀记录。对安全区I和II病毒特征码必须以离线的方式及时更新。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。

8.10.    服务器主机防护建设

主机安全防护主要的方式包括:安全配置、安全补丁、安全主机加固。

l  安全配置

通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理操作系统及应用软件的安装与使用。

l  安全补丁

通过及时更新操作系统安全补丁,消除系统内核漏洞与后门。

l  主机加固

安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合规定的主机安全策略,防止主机权限被滥用。

l  应用对象

以下主机应考虑采取主机防护措施:

Ø  关键应用系统主机,包括调度自动化系统(SCADA)、变电站自动化系统、电厂监控系统、配电自动化系统等的主服务器,电力交易系统主服务器等。

Ø  网络边界处的通信网关、Web服务器等。

9.   电力企业数据网安全建设方案

9.1. 电力企业数据网

XX省电力公司信息网(电力企业数据网)连接XX1个供电公司、XX2个调峰电厂、XX3个设计施工修造企业、XX4所学校和XX5所医院,并通过百兆链路连接国家电网公司,联网的IP节点上万个,其中服务器YY1台,网络设备YY2台。

XX省电力公司公用信息网网络拓扑结构分为3层,即核心层、骨干层、接入层。其中AA供电公司、BB供电公司、CC供电公司、XX电力公司本部设置核心节点,各安装2台路有设备,核心节点之间采用2*622M互联,其余地市供电公司为骨干节点,骨干节点采用622M上联至核心节点,FF电厂、GG电厂等单位为接入节点,上联至骨干节点。XX省公用信息网拓扑图如下所示:

内外网隔离是国家电网在信息化建设上的一项重要安全举措,XX省电力公司将严格按照国家电网公司网络与信息系统安全隔离指导意见执行,将公司现有管理信息网络改造为信息内网和信息外网。其中,信息内网定位为:内部业务应用系统承载网络和内部办公网络;信息外网定位为:对外业务服务网络和访问互联网用户终端网络。信息内网与信息外网之间将采用逻辑强隔离设备进行连接,实现内、外网交互的数据传递和严格控制。网络安全建设的指导思想是充分认识信息安全工作的重要性,进一步统一思想,强化公司网络与信息系统边界保护水平,大力推进公司信息安全更上新台阶,贯彻国家有关信息系统等级保护制度,全面加强信息安全和保密管理,确保信息系统安全运行。

依据国家电网公司的指导意见,并结合国家电监会《电力二次系统安全防护规定》的“安全分区、网络专用、横向隔离、纵向认证”的要求,XX省电力公用信息网络将遵循以下原则进行安全防护体系建设:

l  进行信息外网建设,形成内外网各自独立的架构,信息内网与信息外网之间安装逻辑强隔离装置。信息化“SG186”工程业务应用承载网络+内部办公网络应用(涉及企业商业秘密、工作秘密)安放在信息内网;对外业务网络+互联网用户终端网络(不涉及企业商业秘密、工作秘密)放置在信息外网,形成“双网双机”模式,如下图:

l  在现有广域(公用信息网)采用MPLS/VPN技术设置信息外网广域网通道,通过信息外网广域网统一管理信息外网的网络设备,共享信息外网信息资源。

l  完成信息内网和信息外网的安全建设,部署防病毒、防火墙、互联网审计系统,以及桌面管理系统。

l  建立完善的网络安全管理制度。

9.2. 信息内网安全防护体系建设

XX省电力公司信息内网属于电力网络的管理信息大区中,信息内网定位为内部业务应用系统承载网络和内部办公网络,部署了大量的应用服务器和数据库服务器、以及不需要外联的办公终端。

XX省电力公司的信息内网对外连接包括:

l  通过公用信息网与上下级电力公司的信息内网相连接;

l  通过VPN连接互联网,以保障移动办公终端的接入;

l  通过逻辑强隔离设备与信息外网相连接;

l  通过正/反向隔离装置与生产控制大区相连。

XX省电力公司信息内网的网络拓扑示意如下:

信息内网应用系统有财务管理(内)、营销管理(内)、电力市场交易(内)、招投标(内)、安全生产、协同办公、人力资源、项目管理、物资管理和综合管理等,此外,信息内网还部署了内部门户以及邮件系统等。

为了完善XX省电力公司安全防护体系建设,信息内网应当部署以下安全防护手段:

防火墙系统建设

信息内网内部不同安全区域之间部署防火墙,增强区域隔离和访问控制力度,严格防范越权访问、病毒扩散等内部威胁;

信息内网出口处部署防火墙系统,实现网络边界防护,同时保护Web服务器域;

VPN系统建设

信息内网出口处部署VPN系统,为移动办公、营销系统远程访问等提供接入防护,客户端应当采取硬件证书的方式进行接入认证;

为了统一管理和维护,XX省电力的移动办公统一入口设在信息内网的VPN网关处;

入侵检测系统建设

信息内网核心交换机和重要网段部署入侵检测系统,实现对网络流量的动态监视、记录和管理、对异常事件进行告警等;

日志审计系统建设

信息内网部署一套日志审计系统,采用分级部署方式,实现全省信息内网安全事件的集中收集和审计问题;

终端管理系统建设

XX省电力信息内网统一部署终端管理系统,实现终端设备的统一管理和防护;

防病毒系统建设

XX省电力公司信息内网部署一套防病毒系统,采用分级部署方式,控管中心设在XX省电力公司本部,地市供电公司分别安装二级控管中心和防病毒服务器,接收控管中心的统一管理。

安全管理平台建设

XX省电力公司信息内网部署一套安全管理平台,全面提升安全管控能力和效果;

 

具体安全系统部署示意如下:

9.3. 信息外网安全防护体系建设

XX省电力公司信息外网属于电力网络的管理信息大区中,信息外网定位为对外业务服务网络和访问互联网用户终端网络,部署了对外提供服务的应用服务器、以及上网终端等。信息内网的网络拓扑示意如下:

信息外网应用系统有财务管理(外)、营销管理(外)、电力市场交易(外)、招投标(外)等,95598网上客服、网上缴费等系统也部署在信息外网。此外,取消信息内网的邮件系统,统一部署到信息外网中来。

为了完善XX省电力公司安全防护体系建设,信息外网应当部署以下安全防护手段:

防火墙系统建设

信息外网内部不同安全区域之间部署防火墙,增强区域隔离和访问控制力度,严格防范越权访问、病毒扩散等内部威胁;

信息外网的互联网出口处和公用信息网出口处部署防火墙系统,实现网络边界防护,同时保护Web服务器域;

VPN系统建设

信息外网互联网出口处部署VPN系统,为OA等远程访问等提供接入防护,客户端应当采取硬件证书的方式进行接入认证;

入侵检测系统建设

信息外网核心交换机和重要网段部署入侵检测系统,实现对网络流量的动态监视、记录和管理、对异常事件进行告警等;

综合审计系统建设

信息外网部署一套综合审计系统,对网络访问行为进行全面审计;

终端管理系统建设

XX省电力信息外网统一部署终端管理系统,实现终端设备的统一管理和防护;

防病毒系统建设

XX省电力公司信息外网部署一套防病毒系统,采用分级部署方式,控管中心设在XX省电力公司本部,地市供电公司分别安装二级控管中心和防病毒服务器,接收控管中心的统一管理。

安全管理平台建设

XX省电力公司信息外网部署一套安全管理平台,全面提升安全管控能力和效果;

 

具体安全系统部署示意如下:

10.         安全制度体系建设

加强网络的安全管理,制定有关规章制度,对于确保系统安全、可靠地运行,将起到十分有效的作用。安全管理包括机构组织管理、人员管理、技术安全管理、技术文档管理及密钥管理等。

10.1.    安全组织体系建设

实施安全应管理先行,安全组织体系的建设势在必行。

1.组织结构

(1)在XX电力公司领导小组的直接领导下,在信息主管部门的指导下,建立统一的安全管理机构,充实人员,建立健全各种规章制度。确定系统内信息类别和信息交换的规则,确定统一的身份认证策略和授权管理机制,为系统使用人员和操作人员分配存取权限,定期开展安全宣传、安全培训、安全检查和违规查处等工作。

 

主管领导应领导安全体系的建设实施,在安全实施过程中取得相关部门的配合。领导整个部门不断提高系统的安全等级。

网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。安全操作员负责安全系统的具体实施。

另外,应建立安全专家小组,负责安全问题的重大决策。

(2)共建安全管理部门之间要互相协作,定期通报安全问题,制定防范措施。

(3)根据安全策略、安全管理计划的要求,定期对系统开展风险分析、安全性评估等方面的工作。

 

10.2.    安全管理制度建设

面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。

 

10.2.1.      制定和实施安全管理的原则

多人负责原则。每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。

任期有限原则。一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。

职责分离原则。除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

其具体工作为:

l  确定系统中每一部分的安全等级。

l  根据确定的安全等级,确定安全管理的规范。

l  制定安全管理制度。

 

10.3.   安全管理的规范

10.3.1.      硬件设施

1、     设备管理

a)  统一管理的计算机设备。

b)  计算机设备的选型、购置、登记、保养、维修、报废等必须严格按规定手续办理,重大设备应建立维护档案。

c)  选用的计算机设备必须经过技术论证,符合国家有关标准的规定,满足可靠性与兼容性要求。

d)  新购置的设备应经过测试,测试合格后方能投入使用。

e)  必须定期对计算机设备进行专业维护保养。

f)  未经许可,不得擅自开拆设备或调换设备配件。

 

2、     计算机机房

a)  计算机机房建设应符合国标GB2887-89《计算机场地技术条件》和GB9361-88《计算站场地安全要求》。

b)  供电系统

       i.     机房应有单独的配电柜,计算机系统要设有独立于一般照明电的专用的供配电线路,其容量应有一定的余量,建议采用双路供电;

      ii.     机房应配备不间断电源设备,其容量应保证机房设备和关键交易设备在断电情况下维持到后备电源供电。无备用发电机时,不间断电源设备应能够持续供电4小时以上。

c)  3.2.3  接地与防雷系统

       i.     机房应采用独立的直流地、交流工作地和防雷保护地。直流地和防雷保护地之间的距离应大于10米;

      ii.     直流地的接地电阻应小于2欧姆,交流工作地的接地电阻应小于4欧姆,防雷保护地的接地电阻应小于10欧姆;

    iii.     各类通信线路和设备宜增加相应的防雷设施。

d)  机房环境

       i.     机房的使用面积(不包括不间断电源放置面积)不得小于30平方米;

      ii.     机房的操作间与设备间应作分隔,布局应有良好的人机工作环境,保障工作人员的安全与健康;

    iii.     机房宜安装独立空调设备;

      iv.     机房应有防火、防潮、防尘、防盗、防磁、防鼠等设施;

       v.     机房应配置备用应急照明装置。

 

3、     通信线路

a)  重要通信线路必须建立后备线路。

b)  通信线路接口部分应采取防止非法进入的安全措施,如IDS和入侵检测系统。

c)  通信设备应具有防干扰、防截取能力,具有加密传输功能。

d)  通信设备应建立设备备份。

 

4、     局域网络

a)  布线系统设计可参照CECS89-97《建筑与建筑群综合布线系统工程设计规范》。在现行技术条件下,宜使用五类双绞线。

b)  网络结构应合理可靠,划分安全域并严格限制互相访问的权限。

c)  通信速率应保证正常办公的需要。

 

5、     网络设备

a)  网络设备应兼具技术先进性和产品成熟性。

b)  网络设备应有冗余备份。

c)  网络设备的firmware版本要定期检查升级。

 

6、     安全设备

a)  IDS

       i.     IDS的策略和配置必须有完整的文档。

      ii.     如果没有明确指定,服务的缺省配置是禁止。

    iii.     需要提供的试验性服务不能放在内部网络中,要放在IDS以外。

      iv.     禁止从internet上访问IDS的管理端口。

       v.     IDS要提供持续不断的服务,在用户使用量少的时候进行维护。

      vi.     IDS要定期进行监视和审计。

    vii.     要保留详细的IDS日志,不仅在本地保存,还要放在集中的日志服务器上。

   viii.     所有日志至少要保留一年。

      ix.     重要的日志项要每天进行检查。

       x.     IDS的配置要定期做备份。

b)  入侵检测系统

       i.     要保证入侵检测系统(尤其是控制台)自身的安全。

      ii.     入侵检测系统的策略和配置必须有完整的文档。

    iii.     必须指派专人监控入侵检测系统的状态。

      iv.     发现报警信息,要能及时地分析,排除误报,发现安全事件并汇报。

       v.     要定期审计入侵检测系统的日志。

c)  防病毒

       i.     建立计算机病毒防范制度。

      ii.     指定专人负责计算机病毒防范工作。定期进行病毒检测,发现病毒立即处理并报告;

    iii.     经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用;

      iv.     禁止安装、运行未经审核批准的软件;

       v.     应采用国家许可的正版防病毒软件并及时更新软件版本。

 

其他安全设备的管理规范待进一步的设计后提出。

 

7、     计算机设备

a)  服务器

       i.     服务器应具有充分的可靠性和充足的容量;

      ii.     服务器应具有一定的容错特性,宜采用镜像、阵列、双机、群集等容错技术;

    iii.     服务器应有备品备件。

b)  办公PC

       i.     办公PC应具有良好的性能及可靠性;

      ii.     除计算机机房外,用户工作站要禁用USB、光驱等移动存储。

    iii.     重要工作站应有冗余备份。

c)  存储设备

       i.     应配备安全可靠的数据备份设备;

      ii.     一些重要业务数据的存储应采用只读式数据记录设备。

 

8、     办公设备

a)  办公设备包括传真机、复印机、打印机、碎纸机和扫描仪。

b)  办公设备要做定期维护和检修。

c)  使用复印机前要输入密码,经过识别后放可使用。

d)  销毁重要文档必须通过碎纸机彻底销毁,不可随意丢弃。

e)  在对办公设备的操作必须按照操作说明规范操作,不得人为的损坏机器和浪费资源。

 

10.3.2.      软件环境

1、     系统软件

a)  系统软件主要包括操作系统软件和数据库管理软件。系统软件的选用应充分考虑软件的安全性、可靠性、稳定性和健壮性。

b)  应使用正版软件。

c)  系统软件应具备如下功能:

       i.     身份验证功能,防止非法用户随意进入系统;

      ii.     访问控制功能,防止系统中出现越权访问;

    iii.     故障恢复功能,能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和数据丢失;

      iv.     安全保护功能,对信息的交换、传输、存储提供安全保护;

       v.     安全审计功能,便于应用系统建立访问用户资源的审计记录;

      vi.     分权制约功能,支持对操作员和管理员的权限分离与相互制约。

d)  必须启用系统软件提供的安全审计留痕功能。

e)  数据库管理软件除上述功能要求外,还应具有数据库的安全性、完整性、一致性及可恢复性保障机制。

f)  系统软件应达到C2级以上(含C2级)安全级别。

 

2、     应用软件

a)  应用软件包括核心业务系统、银保通、销售支持系统及其它业务处理系统等。

b)  业务处理系统必须具有如下特性:

       i.     自动记录全部操作过程;

      ii.     关键数据不得以明码存放;

    iii.     无法绕过应用界面直接查看或操作数据库;

      iv.     系统管理与业务操作权限严格分开;

       v.     防止异常中断后非法进入系统;

      vi.     提供超时断开连接功能;

    vii.     业务数据在通信网络上以加密方式传输;

   viii.     应存储一年以上完整的系统运行记录与交易清算记录;

      ix.     提供系统运行状态监控模块;

       x.     提供数据接口,满足稽核、审计及技术监控的要求;

      xi.     其它有助于控制业务操作风险的功能特性。

 

3、     软件管理

a)  应用软件在开发或购买之前应正式立项,成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系。

b)  根据应用系统对安全的要求,同步进行安全设计。

c)  软件开发过程应符合GB8566-88《计算机软件开发规范》。

d)  软件开发过程的安全保障应参考ISO17799第10项“系统的开发和维护”。

e)  开发维护人员与操作人员必须实行岗位分离,开发环境和现场必须与生产环境和现场隔离。软件设计方案、数据结构、加密算法、源代码等技术资料严禁流入生产现场、散失和外泄。

f)  应用软件在正式投入使用前必须经过内部评审,确认系统功能、测试结果和试运行结果均满足设计要求,技术文档齐全,并经分管领导批准。

g)  应规定软件的使用范围和使用权限。

h)  软件使用人员应经过适当的操作培训和安全教育。

i)  建立应用软件的文档管理制度、版本管理制度及软件分发制度,防止软件的盗用、误用、流失及越权使用。

j)  应采取有效措施,防止对应用软件的非法修改。

 

4、     技术资料

a)  技术资料是指与信息系统有关的技术文件、图表、程序与数据,包括信息系统建设规划、网络设计方案、软件设计方案、安全设计方案、源代码、系统配置参数、技术数据及相关技术资料。

b)  各级管理机构应制定技术资料的管理制度,明确执行管理制度的责任人。

c)  借阅、复制技术资料应履行必要的手续。

d)  重要技术资料应有副本并异地存放。

e)  技术资料应实施密期管理办法。

f)  报废的技术资料应有严格的销毁和监销制度。

 

10.3.3.      数据管理

1、     系统数据

a)  系统数据主要包括数据字典、权限设置、存贮分配、网络地址、硬件配置及其它系统配置参数。

b)  应制定系统数据管理制度,对系统数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄漏、丢失与破坏。

c)  对系统数据实行专人管理。

d)  系统数据不得泄露。

 

2、     业务数据

a)  业务数据主要包括保单数据及其它相关数据。

b)  应建立业务数据管理制度,对业务数据实施严格的安全保密管理。

c)  对业务数据实行专人管理。其他人员不得拥有数据库管理员操作口令。

d)  信息系统内应保存一年以上的业务数据。

e)  数据备份:

       i.     每个工作日结束后必须制作数据的备份并异地存放,保证系统发生故障时能够快速恢复;

      ii.     业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少10年;

    iii.     备份的数据必须指定专人负责保管,应在指定的数据保管室或指定的场所保管;

      iv.     数据保管员必须对备份数据进行规范的登记管理;

       v.     备份数据不得更改;

      vi.     备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

f)  数据保密:

       i.     数据不得泄露,禁止外借;

      ii.     数据应仅用于明确规定的目的,未经批准不得它用;

    iii.     无正当理由和有关批准手续,不得查阅客户资料。经正式批件查阅数据时必须登记,并由查阅人签字;

      iv.     保密数据不得以明码形式存储和传输;

       v.     根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续。

g)  业务数据不得随意更改。

 

3、     操作安全

a)  应采取严密的安全措施防止无关用户进入系统。

b)  数据库管理系统的口令必须由专人掌管,并要求定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令。

c)  操作人员应有互不相同的用户名,定期更换操作口令。严禁操作人员泄露自己的操作口令。

d)  必须启用系统软件提供的安全审计留痕功能。

e)  各岗位操作权限要严格按岗位职责设置。应定期检查操作员的权限。

f)  重要岗位的登录过程应增加必要的限制措施。

 

10.3.4.      事故处理

1、     防范

a)  事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行,经启动备用系统仍未恢复正常,导致系统中断服务并造成经济损失的事件。

b)  技术事故的防范原则是:预防为主、处理及时,力争把事故的损失降低到最小程度。

c)  建立健全技术事故的防范对策,严格按本规范要求建设、管理信息系统的硬件设施和软件环境,定期进行事故防范演习,针对薄弱环节不断改进完善。

d)  制定技术事故发生时的应急计划:

       i.     应急计划必须形成文字;

      ii.     应急计划应针对可能发生的故障制定紧急处理程序;

    iii.     紧急处理程序应张贴在规定的地方;

      iv.     对执行应急计划的全体人员进行专项培训,定期进行演习;

       v.     根据演习结果不断完善应急计划。

 

2、     处理

a)  下列情况免责:

       i.     因不可抗力引发的技术事故;

      ii.     因软硬件故障导致的技术事故,经技术专家论证,确认信息系统建设和管理符合本规范要求,确属小概率或偶发性事件;

b)  因通信线路故障导致的技术事故,应会同通信部门共同调查,界定责任。

c)  因人为操作失误导致的技术事故,经调查核实后,相关部门及人员负相关责任。

d)  技术事故的事后处理:

       i.     立即进行事故调查,提出书面调查报告,必要时可组织有关专家鉴定,确定事故的原因和责任;

      ii.     对调查中发现的技术薄弱环节,应限期整改。

 

10.4.   安全管理制度

我们建议XX电力调度数据网通过安全制度体系建设服务建立全方位的不同层次安全管理文档,包括:

《XX电力数据网络安全标准总纲》;

《XX电力数据网络安全防护实施规范》;

《XX电力数据网络安全管理规定》;

《XX电力数据网络安全管理操作手册》;

《XX电力数据网络安全管理工作细则》;

《XX电力数据网络安全管理实施流程》;

《XX电力数据网络漏洞分析报告》;

《通信网设备通用安全功能和配置规范》;

CISCO、华为、H3C、Juniper、阿尔卡特等网络设备的《数据网络产品安全配置规范》;

《设备安全加固方案》和《设备安全加固报告》;

《XX电力数据网络安全应急响应制度》,并通过模拟事故检验其有效性。应急制度应该以保障通信为出发点,体现先遏制问题并恢复通信、再查找原因彻底解决故障,而后回顾和改进的思路。

在以上的基础上,我们建议还增加如下管理制度,以完善南网的安全制度体系:

机房人员管理制度、机房UPS管理制度、机房安全管理制度、网络管理及服务制度、网络管理及服务制度、网络保密管理制度、防病毒管理制度、信息资源管理制度、计算机设备维护管理制度、数据备份管理制度、应急响应预案制度、操作系统及数据库安全管理制度、审计规范制度、公司主页发布信息制度、上互联网规定制度、违法犯罪案件报案制度。

 

10.5.    安全管理手段

XX电力调度数据网信息系统安全技术管理体系是实施安全管理制度的技术手段,是安全管理智能化、程序化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。

网络安全管理,主要对XX电力调度数据网信息系统的IDS、入侵检测系统等网络安全设备进行管理;

应用安全管理,主要对XX电力调度数据网信息系统的应用安全系统进行管理,如用户认证系统的管理、病毒防范系统的管理。

安全管理策略中的网络设备综合管理系统、安全系统综合管理系统和核心业务和服务运行监管中心都是通过该部分实现,将在方案的其他部分描述。

 

10.5.1.      网络安全管理

在安全管理平台的控制下,通过SNMP、RMON、TOPSEC等协议与被管设备、主机、服务进行通信,实现有关的安全管理。

维护并识别被管设备、主机、服务的身份,防止非法设备、主机、服务的接入,防止设备、主机、服务之间的非法操作。

实时监视被管设备、主机、服务的运行,发生异常时向管理员报警。

维护被管设备、主机、服务的配置信息,防止非授权修改,配置遭到破坏时可自动恢复。

维护网络的安全拓扑,确保交换、路由、虚网的正常运行。

配置网络的安全策略,设置网络边界安全设备的访问控制规则和数据包加解密处理方式。

审计、分析网络安全事件日志,形成安全决策报告。

实现网络安全风险集中统一管理,如入侵检测系统、漏洞扫描系统的管理。

 

10.5.2.      应用安全管理

在应用安全管理平台的支持下,安全管理员使用安全控制台实施应用安全管理策略。安全管理员可以:

建立和维护用户账号。

建立和维护被管资源的连接和目录。

建立和维护访问控制列表。

统计、分析审计记录信息。

配置、维护安全平台。

设置会话密钥生命期等。

扫描和防杀病毒。

 

10.5.3.      系统运行管理

进行各种系统维护、数据备份。

定期检查各种审计日志、安全事件报告、敏感操作记录等。查找安全隐患,并进行分析和处理。

定期测试系统的运行状况。

定期检查非涉密网上有无涉密信息,涉密网终端有无上非涉密网的现象。

10.6.    紧急应急体系

10.6.1.       建立技术交流机制

加强横向的技术交流和协作。共享网络监控预警情报。

 

10.6.2.       专业应急响应和支援的技术队伍

购买或自建对应急情况进行支援(包括病毒防治、网络防护、关键数据修复和技术人员重大任务和突发情况下的支援等等)。

 

10.6.3.       专业服务队伍提供各类安全服务。

购买专业安全服务,对包括威胁与脆弱点分析、系统安全风险分析、系统安全设计、安全需求分析、系统安全测试和安全保密培训等部分进行外包。

 

10.7.    应急响应流程

当一个严重网络漏洞出现时,有可能威胁到系统的正常运行时,值班工程师,将会立刻通知系统管理员,并告知补救的措施。

在网站出现非正常运行时,值班工程师将立刻到现场,帮助分析问题的原因,在尽可能短的时间内恢复网站正常工作,并作出事故分析报告, 并提交上一级主管部门。

响应流程如下所示。

详细步骤

准备:应急响应组的成员要有思想准备,要意识到攻击的可能性;

10.7.1.       事件检测:进行快速评估

确定事件来源

l  超级用户的失误操作?

l  内部保密文件的意外泄漏?

l  来自Internet的攻击?

l  来自电话网的攻击?

l  来自内部网络的攻击?

检查威胁的结果

l  检查系统、服务、数据的完整性、保密性或可用性;

l  检查攻击者是否侵入了系统;

l  检查攻击者以后能不能再次随意进入;

l  入侵者被发现的地点;

l  损失的程度;

l  暴露出的主要危险。

l  必须注意到从一个地点发起的攻击可能隐藏了攻击者的真正所在地。

 

10.7.2.       立即行动:限制损失

l  如果发生了较为严重的事件,管理负责人和技术负责人应该决定所采取的应急手段以消除威胁,限制损失。

l  要明确地指出处理事件的人员,确保安全保护指令深入理解;

l  启动事件日志:记录每一个发生的动作、事件、证据(要有时间和日期)

 

10.7.3.       可能的立即行动

l  恢复信息;

l  受到影响的计算机从网络中隔离或关机;

l  相关的局域网与Internet断开连接;

l  一个或多个远程访问服务器可以从网络中移走,或关闭;

l  网络或计算机并不关闭,而是试着在不影响服务的前提下使损失最小化;

l  立即对日志、数据进行备份,应该保存在磁带上或其它不联机存储设备。

 

10.7.4.       公共关系/社会交往

l  只有新闻负责人员能够联系新闻界,并发表声明;

l  如果希望就攻击的细节问题与其它人要讨论,要使用加密带签名(如PGP)的电子邮件;

l  如果需要,并且得到新闻负责部门的授权,应将事件信息通知其它受影响的站点;

l  如果要采取的立即措施影响到了对用户提供的服务,要决定要给用户发送什么消息。

 

10.7.5.       详细的情况分析

l  设定优先级,决定所要做的工作;

l  评估损失的范围,如分析系统:有没有被改动的文件;有没有被增加/修改的程序或用户帐号;如果发现了修改,在相似的系统上检查这些变动;

l  证实发生的确切事件;

l  按要求通知系统管理员、管理部门和纪律部门

恢复:恢复数据、服务、系统

l  清理系统、恢复数据、程序、服务;

l  修改系统中存在的漏洞;

l  不能信任被攻入系统中的程序,将它们与安全的版本进行比较。

后续工作:

l  检查是不是所有的服务都已经恢复;

l  攻击者所利用的漏洞是否已经解决;其发生的原因是否已经处理;

l  保险措施,法律声明/手续是否已经归档;

l  应急响应步骤是否需要修改;

l  如果需要对IDS等安全设备进行修改,对相关产品安全配置进行修改。


©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页