【正文】 適用范圍 本安全防護(hù)總體方案的基本防護(hù)原則適用于電力二次系統(tǒng)中各類應(yīng)用和網(wǎng)絡(luò)系統(tǒng)，總體 方案直接適用于與電力生產(chǎn)和輸配過(guò)程直接相關(guān)的計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)。 全國(guó)電力二次系統(tǒng)是指各級(jí)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（ SPD）以及各級(jí)管理信息 系統(tǒng) (MIS)和電力數(shù)據(jù)通信網(wǎng)絡(luò)（ SPT）構(gòu)成的大系統(tǒng)。 內(nèi)部資料 注意保密 全國(guó)電力二次系統(tǒng) 安全防護(hù)總體方案 （第 7 稿） 全國(guó)電力二次系統(tǒng)安全防護(hù)專家組、工作組 2020 年 2 月 26 日 引 言 根據(jù)全國(guó)電力二次系統(tǒng)安全工作組的安排，二次系統(tǒng)安全專家組會(huì)同電力 系統(tǒng)有關(guān)單位編寫了全國(guó)電力二次系統(tǒng)安全防護(hù)體系系列文件共 12 篇，其中： 《水調(diào)自動(dòng)化系統(tǒng)安全防護(hù)方案》由西北網(wǎng)調(diào)完成； 《 水電廠監(jiān)控系統(tǒng)安全防護(hù)方案》由華中網(wǎng)調(diào)完成； 《火電廠監(jiān)控系統(tǒng)安全防護(hù)方案》由華能信息中心完成； 《電能量計(jì)量系統(tǒng)安全防護(hù)方案》由東北網(wǎng)調(diào)完成； 《電力市場(chǎng)運(yùn)營(yíng)系統(tǒng)安全防護(hù)方案》由浙江省調(diào)完成； 《調(diào)度生產(chǎn)管理系統(tǒng)安全防護(hù)方案》由安徽省調(diào)完成； 《變電站自動(dòng)化系統(tǒng)安全防護(hù)方案》由華東網(wǎng)調(diào)完成； 《配電自動(dòng)化系統(tǒng)安全防護(hù)方案》由東方電子完成； 《繼電保護(hù)和故障錄波信息系統(tǒng)安全防護(hù)方案》由山東省調(diào)完成； 《調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)方案》由安全防護(hù)專家組完成； 《電力二次系統(tǒng)安全防護(hù)公共技術(shù)專題》由安全防護(hù)專家組完 成； 《電力二次系統(tǒng)安全防護(hù)總體框架》由安全防護(hù)專家組完成。本安全防護(hù)方案主要 針對(duì)各級(jí)電 力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)以及與各級(jí)管理信息系統(tǒng)和電力數(shù)據(jù)通信網(wǎng)絡(luò)的邊 界的安全防護(hù)。電力通 信系統(tǒng)、電力信息系統(tǒng)可參照電力二次系統(tǒng)安全防護(hù)總體方案制 定具體安全防護(hù)方案。 電力生產(chǎn)直接關(guān)系到國(guó)計(jì)民生，其安全問(wèn)題一直是國(guó)家有關(guān)部門關(guān)注的重點(diǎn)之一。電廠、變電 站減人增效，大量采用遠(yuǎn)方控制，對(duì) 電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提 出了新的嚴(yán)峻挑戰(zhàn)。電力二次系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)見表 1。 2 違反授權(quán)（ Authorization Violation） 電力控制系統(tǒng)工作人員利用授權(quán)身份或設(shè) 備，執(zhí)行非授權(quán)的操作。 6 信息泄漏（ Information Leakage） 口令、證書等敏感信息泄 密。 10 竊聽（ E av es drop pi ng, . Data Confidentiality） 黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明 文傳輸?shù)拿舾行畔?，為后續(xù)攻擊準(zhǔn)備數(shù)據(jù)。電力二次系統(tǒng)是一個(gè)大系統(tǒng)，并 且處在不斷的變化和發(fā)展中，但其安全防護(hù)不能違反二次系統(tǒng)安全防護(hù)的基本原則。動(dòng)態(tài)自適應(yīng)安全模型的設(shè)計(jì)思想是將安全管理看作一個(gè)動(dòng)態(tài)的過(guò)程，安全策略應(yīng)適應(yīng)網(wǎng) 絡(luò)的動(dòng)態(tài) 性。 螺旋上升的周期性原則表明安全工程的實(shí)施過(guò)程不是一蹴而就的，而是一個(gè)持續(xù)的、長(zhǎng) 期的 “攻與防 ”的矛盾斗爭(zhēng)過(guò)程。根據(jù)系統(tǒng)中的業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影響程度 進(jìn)行分區(qū)，重點(diǎn)保護(hù)實(shí)時(shí)控制系統(tǒng)以及生產(chǎn)業(yè)務(wù)系統(tǒng)。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò) 物理隔離。 電力二次系統(tǒng)的安全區(qū)劃分 電力二次系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務(wù)系統(tǒng)的重要性的差別。 凡是實(shí)時(shí)監(jiān)控系統(tǒng)或具有實(shí)時(shí)監(jiān)控功能的系統(tǒng)其監(jiān)控功能部分均應(yīng)屬于安全區(qū) Ⅰ 。 安全區(qū) Ⅱ 是非控制生產(chǎn)區(qū)。數(shù)據(jù) 的實(shí)時(shí)性是分級(jí)、小時(shí)級(jí)。本安全 區(qū)內(nèi)的生產(chǎn)系統(tǒng)采取安全防護(hù)措施后可以提供 WEB 服務(wù)。該區(qū)的外部通信邊界為 SPT 及因特網(wǎng)。 3) 電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移到低安全區(qū)。 自我封閉的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則不作要求，但需遵守所在安 全區(qū)的安全防護(hù)規(guī)定。具體隔離裝置的選擇不僅需要考慮 網(wǎng)絡(luò)安全的要求，還需要考慮帶寬及實(shí)時(shí)性的要求。專用隔離裝置分為正向隔離裝置和反向隔離裝置。對(duì)采用 MPLSVPN 技術(shù) 的 SPD 為安全區(qū) Ⅰ 、 Ⅱ 分別提供二個(gè)邏輯隔離的 MPLSVPN。 安全區(qū) Ⅰ 、 Ⅱ 接入 SPD 時(shí)，應(yīng)配置 IP 認(rèn)證加密裝置，實(shí)現(xiàn)網(wǎng)絡(luò)層雙向身份認(rèn)證、數(shù) 據(jù)加密和訪問(wèn)控制。 傳統(tǒng)的遠(yuǎn)動(dòng)通道的通信目前暫不考慮網(wǎng)絡(luò)安全問(wèn)題。 禁止安全區(qū) Ⅰ 的縱向 WEB。 對(duì)安全區(qū) Ⅰ 及安全區(qū) Ⅱ 的要求： 允許安全區(qū) Ⅱ 內(nèi)部 WEB 服務(wù) ，但 WEB 瀏覽工作站與 II 區(qū)業(yè)務(wù)系統(tǒng)工作站不得 共用。 對(duì)安全區(qū) Ⅲ 要求： 安全區(qū) Ⅲ 允許開通 EMAIL、 WEB 服務(wù)。 安全區(qū)內(nèi)的個(gè)別業(yè)務(wù)系統(tǒng)，如因其業(yè)務(wù)的特殊性 需要附加的安全防護(hù) ,該類安全防 護(hù)方案參照?qǐng)?zhí)行 7 本總體方案對(duì)安全區(qū) Ⅳ 不做詳細(xì)要求。對(duì)現(xiàn)系統(tǒng)必然要經(jīng)過(guò)整改。通過(guò)軟件和硬件的結(jié)構(gòu)調(diào)整或改動(dòng)，使安全 區(qū)間和安全區(qū)與外部邊界網(wǎng)絡(luò)的連接處達(dá)到簡(jiǎn)單、清晰。 該二個(gè)階段執(zhí)行會(huì)很不平衡， 必須按過(guò)渡方案進(jìn)行。 9 安 全 強(qiáng) 度 現(xiàn)系統(tǒng)改造 新系統(tǒng)開發(fā) 研究部署 認(rèn)證機(jī)制 研究部署縱 向安全裝置 第 4階段 部署橫向 隔離裝置 第 3階段 結(jié)構(gòu)調(diào)整 清理邊界 第 2階段 理清流程 修補(bǔ)漏洞 第 1階段 實(shí)施階段 3. 電力二次系統(tǒng)安全防護(hù)技術(shù) 電力數(shù)據(jù)通信網(wǎng)絡(luò)的安全防護(hù) 電力二次系統(tǒng)涉及到的數(shù)據(jù)通信網(wǎng)絡(luò)包括：電力調(diào)度數(shù)據(jù)網(wǎng) SPD，國(guó)家電力數(shù)據(jù)通 信網(wǎng) SPT。其中實(shí)時(shí) VPN 保證了實(shí)時(shí) 業(yè)務(wù)的路由獨(dú)立性，以及網(wǎng)絡(luò)服務(wù)質(zhì)量 QoS。 實(shí)施在所有網(wǎng)絡(luò)邊界接入點(diǎn)的安全措施應(yīng)該提供一致的安全強(qiáng)度。 SPT 使用私有 IP 地址，與 Inter 以及其它外部網(wǎng)絡(luò)沒(méi)有直接的網(wǎng)絡(luò)連接。 11 設(shè)備備用 對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)的設(shè)備與部件進(jìn)行相應(yīng)的熱備份與冷備份，避免單點(diǎn)故障影響系 統(tǒng)可靠性。病毒特征碼要求必須以離線的方式及時(shí)更新。 具體選用的防火墻必須經(jīng)過(guò)有關(guān)部門認(rèn)可的國(guó)產(chǎn)硬件防火墻?？紤]到調(diào)度業(yè)務(wù)的可靠性，采用 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ NIDS），其 IDS 探頭主要部署在： 安全區(qū) I 與 II 的邊界點(diǎn)、 SPD 的接入點(diǎn)、以及安全區(qū) I 與 II 內(nèi)的關(guān)鍵應(yīng)用網(wǎng)段。 安全配置 通過(guò)合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點(diǎn)。 應(yīng)用目標(biāo) 以下主機(jī)必須采取主機(jī)防護(hù)措施： 關(guān)鍵應(yīng)用，包括 SCADA/EMS 系統(tǒng)服務(wù)器、電力市場(chǎng)交易服務(wù)器等等。公鑰加密 技術(shù)可以提供信息的保密性和訪問(wèn)控制的有效手段，而數(shù)字簽名技術(shù)則提供了在網(wǎng)絡(luò)通信之 前相互認(rèn)證的有效方法、在通信過(guò)程中保證信息完整性的可靠手段、以及在通信結(jié)束之后防 止雙方相互信賴的有效機(jī)制。 因此調(diào)度系統(tǒng)數(shù)字證書類型包括： 人員證書 應(yīng)用的用戶、系統(tǒng)管理人員、以及必要的應(yīng)用維護(hù)與開發(fā)人員，在訪問(wèn)系統(tǒng)、進(jìn)行操 作時(shí)需要的持有的證書。具體應(yīng)用方式參見本章以下小節(jié)： Web 服務(wù)的使用 關(guān)鍵應(yīng)用服務(wù)器的安全增強(qiáng) 遠(yuǎn)程撥號(hào)的防護(hù) 程序證書，主要用于應(yīng)用程序與遠(yuǎn)程程序進(jìn)行安全的數(shù)據(jù)通信，提供雙方之間的認(rèn)證、 數(shù)據(jù)的加密與簽名功能 。本技術(shù)框架對(duì) IP 認(rèn)證加密裝 置之間的認(rèn)證進(jìn)行了建議，具體認(rèn)證過(guò)程參見相關(guān)章節(jié)。隔離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允 許數(shù)據(jù)單向傳輸。 其功能要求如下： 1) 2) 3) 4) 5) 6) 7) 8) 具有應(yīng)用網(wǎng)關(guān)功能，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的接收與轉(zhuǎn)發(fā)； 具有應(yīng)用數(shù)據(jù)內(nèi)容有效性檢查功能； 具有基于數(shù)字證書的數(shù)據(jù)簽名 /解簽名功能； 實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)傳遞； 支持透明工作方式：虛擬主機(jī) IP 地址、隱藏 MAC 地址； 支持 NAT； 基于 MAC、 IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過(guò)濾與訪問(wèn)控制； 防止穿透性 TCP 聯(lián)接； 安全保障要求 專用安全隔離裝置本身應(yīng)該具有較高的安全防護(hù)能力，其安全性要求主要包括： 1) 2) 3) 4) 采用非 INTEL 指令系統(tǒng)的（及兼容）微處理器； 安全、固化的的操作系統(tǒng)； 不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全漏洞； 抵御除 DoS 以外的已知的網(wǎng)絡(luò)攻擊。 詳細(xì)的技術(shù)規(guī)范參見附件：《電力調(diào)度專用 IP 認(rèn)證加密裝置技術(shù)規(guī)范說(shuō)明》。 縱向 Web 瀏覽指各級(jí)同安全區(qū)之間的 Web 瀏覽，例如 Web 服務(wù)器位于省調(diào)級(jí)安全區(qū) II， 而客戶端瀏覽器位于地調(diào)級(jí)安全區(qū) II。同時(shí)，禁止安全區(qū) I 中的計(jì)算機(jī)使用瀏覽 器訪問(wèn)安全區(qū) II 的 Web 服務(wù)。 應(yīng)用目標(biāo) 需要 在 Web 服務(wù)子區(qū)開展安全 Web 服務(wù)的應(yīng)用限于：電力市場(chǎng)交易系統(tǒng)、 DTS 系統(tǒng)。通過(guò)認(rèn)證后，進(jìn)入常規(guī)的系統(tǒng)登錄程序。 防護(hù)措施 撥號(hào)的防護(hù)可以采用鏈路層保護(hù)措施，或者網(wǎng)絡(luò)層保護(hù)措施。 遠(yuǎn)程撥號(hào)訪問(wèn) 防護(hù)策略 1) 2) 3) 4) 5) 6) 遠(yuǎn)程用戶與工作站與系統(tǒng)本地具有相同的安全信任度與防護(hù)級(jí)別 遠(yuǎn)程用戶與工作站的安全防護(hù)是前提 在撥號(hào)連接建立過(guò)程中對(duì)撥號(hào)實(shí)體（用戶或者設(shè)備）進(jìn)行基于數(shù)字證書的身份認(rèn)證， 通過(guò)后才可以建立網(wǎng)絡(luò)層的連接 對(duì)通信過(guò)程中的認(rèn)證信息與應(yīng)用數(shù)據(jù)進(jìn)行完整性、機(jī)密性保護(hù)。 計(jì)算機(jī)系統(tǒng)本地訪問(wèn)控制 技術(shù)措施 結(jié)合用戶數(shù)字證書，對(duì)用戶登錄本 地操作系統(tǒng)，訪問(wèn)操作系統(tǒng)資源等操作進(jìn)行身份認(rèn) 證，根據(jù)身份與權(quán)限進(jìn)行訪問(wèn)控制，并且對(duì)操作行為進(jìn)行安全審計(jì)?？紤]到目前 Web 服務(wù)的不安全性，以及安全區(qū) II 的 Web 服務(wù)需要向整個(gè) SPD 開放，因此在安全區(qū) II 中將用于 Web 服務(wù)的服務(wù)器與瀏覽器客戶機(jī)統(tǒng)一布置在安全區(qū) II 中的一個(gè)邏輯子區(qū) ―― Web 服務(wù)子區(qū)，置于安全區(qū) II 的接入交換機(jī)上的獨(dú)立 VLAN 中。 但是，由于安全區(qū) I 是整個(gè)二次系統(tǒng)的防護(hù)重點(diǎn)，其向安全區(qū) II 以及整個(gè) SPD 提供 Web 服務(wù)將引入很大的安全風(fēng)險(xiǎn)。在安全區(qū) I、 II，以及電力調(diào)度數(shù)據(jù)網(wǎng) SPD 環(huán)境中， Web 服務(wù)可以分為兩種 形式：橫向?yàn)g覽與縱向?yàn)g覽。 近期，作為過(guò)渡防護(hù)措施，可以使用防火墻代替 IP 認(rèn)證加密裝置對(duì)安全區(qū) I/II 進(jìn)行一 定程度的邊界保護(hù)。 專用安全隔離裝置（反向） 專用安全隔離裝置（反向）用于從安全區(qū) III 到安全區(qū) I/II 傳遞數(shù)據(jù)，是安全區(qū) III 到 安全區(qū) I/II 的唯一一個(gè)數(shù)據(jù)傳遞途徑。 其中，安全隔離裝置（正向）用于安全區(qū) I/II 到安全區(qū) III 的單向數(shù)據(jù)傳遞；安全隔離 裝置（反向）用于安全區(qū) III 到安全區(qū) I/II 的單向數(shù)據(jù)傳遞。 設(shè)備證書，主要用于本地設(shè)備接入認(rèn)證，遠(yuǎn)程通信實(shí)體之間的認(rèn)證，以及實(shí)體之間通信 過(guò)程的數(shù)據(jù)加密與簽名。 設(shè)備證書 網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)，在接入本地網(wǎng)絡(luò)系統(tǒng)、與其它實(shí)體通 信過(guò)程中需要持有的證 書。在數(shù)字證書基礎(chǔ)上可以在調(diào)度系統(tǒng)與網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié) 實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸、以及可靠的行為審計(jì)。 數(shù)字證書與認(rèn)證 PKI 是一個(gè)利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及 數(shù)字簽名服務(wù)的統(tǒng)一的技術(shù)框架。 12 安全 補(bǔ)丁 通過(guò)及時(shí)更新系統(tǒng)安全補(bǔ)丁，消除系統(tǒng)內(nèi)核漏洞與后門。 對(duì)于安全區(qū) III，禁止使用安全區(qū) I 與 II 的 IDS，建議與安全區(qū) IV 的 IDS 系統(tǒng)統(tǒng)一規(guī)劃 部署。 根據(jù)技術(shù)原理， IDS 可分為以下兩類：基于網(wǎng)絡(luò)的入侵檢測(cè) 系統(tǒng)（ NIDS）和基于主機(jī) 的入侵檢測(cè)系統(tǒng)（ HIDS）。對(duì)于調(diào)度數(shù)據(jù)專網(wǎng)條件不 完善的地方，還需要考慮在調(diào)度數(shù)據(jù) 接入處部署（縱向），以保證本地調(diào)度系統(tǒng)的安全。 防病毒措施 病毒防護(hù)是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須的安全措施。對(duì)于廠站接入本處不作統(tǒng)一要求。 關(guān)閉或限定網(wǎng)絡(luò)服務(wù)； 禁止缺省口令登錄； 避免使用默認(rèn)路由； 網(wǎng)絡(luò)邊界關(guān)閉 OSPF 路由功能； 采用安全增強(qiáng)的 SNMPv2 及以上版本的網(wǎng)管系統(tǒng)。 網(wǎng)絡(luò)邊界防護(hù) 網(wǎng)絡(luò)邊界防護(hù)主要措施包括： 邊界