【導(dǎo)讀】《水調(diào)自動(dòng)化系統(tǒng)安全防護(hù)方案》由西北網(wǎng)調(diào)完成；《配電自動(dòng)化系統(tǒng)安全防護(hù)方案》由東方電子完成；全國電力二次系統(tǒng)安全防護(hù)工作組和專家。組對(duì)所有參加此項(xiàng)工作的人員和單位表示衷心感謝！

　　

【正文】 以下主機(jī)必須采取主機(jī)防護(hù)措施： 關(guān)鍵應(yīng)用，包括 SCADA/EMS 系統(tǒng)服務(wù)器、電力市場(chǎng)交易服務(wù)器等等。 網(wǎng)絡(luò)邊界處的主機(jī)，包括通信網(wǎng)關(guān)、 Web 服務(wù)器。 數(shù)字證書與認(rèn)證 PKI 是一個(gè)利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及 數(shù)字簽名服務(wù)的統(tǒng)一的技術(shù)框架。 PKI 技術(shù)中最主要的安全技術(shù)包括兩個(gè)方面：公鑰加密技術(shù)、數(shù)字簽名技術(shù)。公鑰加密 技術(shù)可以提供信息的保密性和訪問控制的有效手段，而數(shù)字簽名技術(shù)則提供了在網(wǎng)絡(luò)通信之 前相互認(rèn)證的有效方法、在通信過程中保證信息完整性的可靠手段、以及在通信結(jié)束之后防 止雙方相互信賴的有效機(jī)制。 全國電力調(diào)度統(tǒng)一建設(shè)基于 PKI 的 CA 證書服務(wù)系統(tǒng) ― ― 電力調(diào)度 CA 系統(tǒng)，由相關(guān)主 管部門統(tǒng)一頒發(fā)調(diào)度系統(tǒng)數(shù)字證書，為電力調(diào)度生產(chǎn)及管理系統(tǒng)與調(diào)度數(shù)據(jù)網(wǎng)上的用戶、關(guān) 鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器提供數(shù)字證書服務(wù)。在數(shù)字證書基礎(chǔ)上可以在調(diào)度系統(tǒng)與網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié) 實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸、以及可靠的行為審計(jì)。 證書類型 電力調(diào)度網(wǎng)絡(luò)與系統(tǒng)中需要發(fā)放數(shù)字證書的對(duì)象主要包括： 調(diào)度系統(tǒng)內(nèi)部關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器，目前包括調(diào)度端 SCADA 系統(tǒng)、電力市場(chǎng)交易 系統(tǒng)、廠站端的控制系統(tǒng) 以上關(guān)鍵應(yīng)用系統(tǒng)的相關(guān)人員，包括用戶、管理人員、維護(hù)人員 關(guān)鍵設(shè)備：通信 網(wǎng)關(guān)機(jī)、 IP 認(rèn)證加密裝置、安全隔離裝置、線路加密設(shè)備、以及 部分網(wǎng)絡(luò)設(shè)備（如廠站端接入交換機(jī)） 數(shù)字證書為這些實(shí)體提供以下安全功能支持：支持身份認(rèn)證功能、支持基于證書的密鑰 分發(fā)與加密、支持基于證書的簽名、以及基于證書擴(kuò)展屬性的權(quán)限管理。 因此調(diào)度系統(tǒng)數(shù)字證書類型包括： 人員證書 應(yīng)用的用戶、系統(tǒng)管理人員、以及必要的應(yīng)用維護(hù)與開發(fā)人員，在訪問系統(tǒng)、進(jìn)行操 作時(shí)需要的持有的證書。 程序證書 應(yīng)用的模塊、進(jìn)程、與服務(wù)器程序運(yùn)行時(shí)需要持有的證書。 設(shè)備證書 網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)，在接入本地網(wǎng)絡(luò)系統(tǒng)、與其它實(shí)體通 信過程中需要持有的證 書。 13 證書的應(yīng)用 人員證書，主要用于用戶登錄網(wǎng)絡(luò)與操作系統(tǒng)、登錄應(yīng)用系統(tǒng)、以及訪問應(yīng)用資源、執(zhí) 行應(yīng)用操作命令時(shí)對(duì)用戶的身份進(jìn)行認(rèn)證，與其它實(shí)體通信過程中的認(rèn)證、加密與簽名，以 及行為審計(jì)。具體應(yīng)用方式參見本章以下小節(jié)： Web 服務(wù)的使用 關(guān)鍵應(yīng)用服務(wù)器的安全增強(qiáng) 遠(yuǎn)程撥號(hào)的防護(hù) 程序證書，主要用于應(yīng)用程序與遠(yuǎn)程程序進(jìn)行安全的數(shù)據(jù)通信，提供雙方之間的認(rèn)證、 數(shù)據(jù)的加密與簽名功能 。建議的應(yīng)用方式為：通信網(wǎng)關(guān)中的通信進(jìn)程之間的安全通信。 設(shè)備證書，主要用于本地設(shè)備接入認(rèn)證，遠(yuǎn)程通信實(shí)體之間的認(rèn)證，以及實(shí)體之間通信 過程的數(shù)據(jù)加密與簽名。具體應(yīng)用方式參見本章以下小節(jié)： 專用安全隔離裝置 IP 認(rèn)證加密裝置 遠(yuǎn)程撥號(hào)的防護(hù) 縱向通信認(rèn)證示意 對(duì)于調(diào)度中心到廠站端的縱向數(shù)據(jù)通信與控制過程，過程中涉及到的通信實(shí)體之間的認(rèn) 證關(guān)系示意如下： 對(duì)于該通信過程，主要考慮的是兩個(gè)系統(tǒng)之間的認(rèn)證，具體實(shí)現(xiàn)可以由兩個(gè)通信網(wǎng)關(guān) 之 間的認(rèn)證實(shí)現(xiàn)，或者兩處 IP 認(rèn)證加密裝置之間的認(rèn)證來實(shí)現(xiàn)。本技術(shù)框架對(duì) IP 認(rèn)證加密裝 置之間的認(rèn)證進(jìn)行了建議，具體認(rèn)證過程參見相關(guān)章節(jié)。 14 專用安全隔離裝置 環(huán)境描述 電力專用安全隔離裝置作為安全區(qū) I/II 與安全區(qū) III 的必備邊界，要 求具有最高的安全 防護(hù)強(qiáng)度，是安全區(qū) I/II 橫向防護(hù)的要點(diǎn)。 其中，安全隔離裝置（正向）用于安全區(qū) I/II 到安全區(qū) III 的單向數(shù)據(jù)傳遞；安全隔離 裝置（反向）用于安全區(qū) III 到安全區(qū) I/II 的單向數(shù)據(jù)傳遞。 設(shè)備部署如下圖： 應(yīng)用網(wǎng)關(guān) 安全隔離裝置（正向） 應(yīng)用網(wǎng)關(guān) 安全區(qū) I/II 圖 安全隔離裝置（反向） 安全隔離裝置部署示意圖 安全區(qū) III 專用安全隔離裝置（正向） 安全隔離裝置（正向）應(yīng)該具有如下功能： 1) 2) 3) 4) 5) 6) 7) 8) 實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且保證安全隔離裝置內(nèi)外 兩個(gè)處理系統(tǒng)不同時(shí)連通； 表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸，即從安全區(qū) III 到安全區(qū) I/II 的 TCP 應(yīng)答禁止 攜帶應(yīng)用數(shù)據(jù)； 透明工作方式：虛擬主機(jī) IP 地址、隱藏 MAC 地址； 基于 MAC、 IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過濾與訪問控制； 支持 NAT； 防止穿透性 TCP 聯(lián)接：禁止兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立 TCP 聯(lián)接，應(yīng)將內(nèi)外兩個(gè) 應(yīng)用網(wǎng)關(guān)之間的 TCP 聯(lián)接分解成內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個(gè)網(wǎng)卡 的兩個(gè) TCP 虛擬聯(lián)接。隔離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允 許數(shù)據(jù)單向傳輸。 具有可定制的應(yīng)用層解析功能，支持應(yīng) 用層特殊標(biāo)記識(shí)別； 安全、方便的維護(hù)管理方式：基于證書的管理人員認(rèn)證，圖形化的管理界面。 專用安全隔離裝置（反向） 專用安全隔離裝置（反向）用于從安全區(qū) III 到安全區(qū) I/II 傳遞數(shù)據(jù)，是安全區(qū) III 到 安全區(qū) I/II 的唯一一個(gè)數(shù)據(jù)傳遞途徑。專用安全隔離裝置（反向）集中接收安全區(qū) III 發(fā)向 安全區(qū) I/II 的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給安全區(qū) I/II 內(nèi) 部的接收程序具體過程如下： 1. 安全區(qū) III 內(nèi)的數(shù)據(jù)發(fā)送端首先對(duì)需要發(fā)送的數(shù)據(jù)簽名，然后發(fā)給專用安全隔離裝 15 置（反向）； 2. 3. 專用安全隔離裝置（反向）接收數(shù)據(jù)后，進(jìn)行簽名驗(yàn)證，并對(duì)數(shù)據(jù)進(jìn)行內(nèi)容過濾、 有效性檢查等處理； 將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū) I/II 內(nèi)部的接收程序。 其功能要求如下： 1) 2) 3) 4) 5) 6) 7) 8) 具有應(yīng)用網(wǎng)關(guān)功能，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的接收與轉(zhuǎn)發(fā)； 具有應(yīng)用數(shù)據(jù)內(nèi)容有效性檢查功能； 具有基于數(shù)字證書的數(shù)據(jù)簽名 /解簽名功能； 實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)傳遞； 支持透明工作方式：虛擬主機(jī) IP 地址、隱藏 MAC 地址； 支持 NAT； 基于 MAC、 IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過濾與訪問控制； 防止穿透性 TCP 聯(lián)接； 安全保障要求 專用安全隔離裝置本身應(yīng)該具有較高的安全防護(hù)能力，其安全性要求主要包括： 1) 2) 3) 4) 采用非 INTEL 指令系統(tǒng)的（及兼容）微處理器； 安全、固化的的操作系統(tǒng)； 不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全漏洞； 抵御除 DoS 以外的已知的網(wǎng)絡(luò)攻擊。 IP 認(rèn)證加密裝置 應(yīng)用說明 IP 認(rèn)證加密裝置用于安全區(qū) I/II 的廣域網(wǎng)邊界保護(hù)，作用之一是為本地安全區(qū) I/II 提供 一個(gè)網(wǎng)絡(luò)屏障，類似包過濾防火墻的功能，作用之二是為網(wǎng)關(guān)機(jī)之間的廣域網(wǎng)通信提供具有 認(rèn)證、與加密功能的 VPN，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。 近期，作為過渡防護(hù)措施，可以使用防火墻代替 IP 認(rèn)證加密裝置對(duì)安全區(qū) I/II 進(jìn)行一 定程度的邊界保護(hù)。 安全功能要求 1) 2) 3) 4) 5) 6) IP 認(rèn)證加密裝置之間支持基于數(shù)字證書的認(rèn)證； 對(duì)傳輸?shù)臄?shù)據(jù)通過數(shù)據(jù)簽名與加密進(jìn)行數(shù)據(jù)真實(shí)性、機(jī)密性、完整性保護(hù)； 支持透明工作方式與網(wǎng)關(guān)工作方式； 具有基于 IP、傳輸協(xié)議、應(yīng)用端口號(hào)的綜合報(bào)文過濾與訪問控制功能； 采用 “Agent”技術(shù)，實(shí)現(xiàn)裝置之間智能協(xié)調(diào)，動(dòng)態(tài)調(diào)整安全策略； 性能要求： 10M/100M 線速轉(zhuǎn)發(fā)，支持 100 個(gè)并發(fā)會(huì)話。 詳細(xì)的技術(shù)規(guī)范參見附件：《電力調(diào)度專用 IP 認(rèn)證加密裝置技術(shù)規(guī)范說明》。 安全保障要求 1) 安全操作系統(tǒng)內(nèi)核、非 Intel 指令集； 16 2) 不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全漏洞； 3) 抵御除 DOS 以外的已知的網(wǎng)絡(luò)攻擊； 4) 可安全管理； Web 服務(wù)的使用與防護(hù) Web 服務(wù)是一種通用的數(shù)據(jù)發(fā)布方 式，其作用、功能與服務(wù)對(duì)象與調(diào)度生產(chǎn)系統(tǒng)的客戶 端是不同的。在安全區(qū) I、 II，以及電力調(diào)度數(shù)據(jù)網(wǎng) SPD 環(huán)境中， Web 服務(wù)可以分為兩種 形式：橫向?yàn)g覽與縱向?yàn)g覽。 橫向 Web 瀏覽指跨越不同安全區(qū)的瀏覽，例如 Web 服務(wù)器位于安全區(qū) I，而客戶端瀏 覽器位于安全區(qū) II。 縱向 Web 瀏覽指各級(jí)同安全區(qū)之間的 Web 瀏覽，例如 Web 服務(wù)器位于省調(diào)級(jí)安全區(qū) II， 而客戶端瀏覽器位于地調(diào)級(jí)安全區(qū) II。 安全區(qū) I 的 Web 服務(wù) 從業(yè)務(wù)需求上，安全區(qū) I 有為其它系 統(tǒng)提供數(shù)據(jù)的需求，同時(shí) Web 服務(wù)又是目前發(fā)布 數(shù)據(jù)的很好的方式。 但是，由于安全區(qū) I 是整個(gè)二次系統(tǒng)的防護(hù)重點(diǎn)，其向安全區(qū) II 以及整個(gè) SPD 提供 Web 服務(wù)將引入很大的安全風(fēng)險(xiǎn)。因此在安全區(qū) I 中取消 Web 服務(wù)，將數(shù)據(jù)以數(shù)據(jù)交換的 方式導(dǎo)入安全區(qū) II，在安全區(qū) II 中進(jìn)行數(shù)據(jù)發(fā)布。同時(shí)，禁止安全區(qū) I 中的計(jì)算機(jī)使用瀏覽 器訪問安全區(qū) II 的 Web 服務(wù)。 安全區(qū) II 的 Web 服務(wù) 安全區(qū) II 中的 Web 服務(wù)將是安全區(qū) I 與 II 的統(tǒng)一的數(shù) 據(jù)發(fā)布與查詢窗口?？紤]到目前 Web 服務(wù)的不安全性，以及安全區(qū) II 的 Web 服務(wù)需要向整個(gè) SPD 開放，因此在安全區(qū) II 中將用于 Web 服務(wù)的服務(wù)器與瀏覽器客戶機(jī)統(tǒng)一布置在安全區(qū) II 中的一個(gè)邏輯子區(qū) ―― Web 服務(wù)子區(qū)，置于安全區(qū) II 的接入交換機(jī)上的獨(dú)立 VLAN 中。并且， Web 服務(wù)器采用安 全 Web 服務(wù)器，即經(jīng)過主機(jī)安全加固的，支持 HTTPS 的 Web 服務(wù)器，能夠?qū)g覽器客戶 端進(jìn)行基于數(shù)字證書的身份認(rèn)證、以及應(yīng)用數(shù)據(jù)加密傳輸。 應(yīng)用目標(biāo) 需要 在 Web 服務(wù)子區(qū)開展安全 Web 服務(wù)的應(yīng)用限于：電力市場(chǎng)交易系統(tǒng)、 DTS 系統(tǒng)。 Email 的使用 由于 Email 服務(wù)會(huì)為安全區(qū) I 與 II 引入高級(jí)別安全風(fēng)險(xiǎn)，同時(shí)在安全區(qū) III/IV 中已經(jīng)提 供了 Email 服務(wù)，因此安全區(qū) I 與 II 中禁止 Email 服務(wù)，杜絕病毒、木馬程序借助 Email 傳 播，避免被成功攻擊并且成為進(jìn)一步攻擊的跳板，保證邊界防護(hù)的安全程度。 計(jì)算機(jī)系統(tǒng)本地訪問控制 技術(shù)措施 結(jié)合用戶數(shù)字證書，對(duì)用戶登錄本 地操作系統(tǒng)，訪問操作系統(tǒng)資源等操作進(jìn)行身份認(rèn) 證，根據(jù)身份與權(quán)限進(jìn)行訪問控制，并且對(duì)操作行為進(jìn)行安全審計(jì)。 17 使用方式 當(dāng)用戶需要登錄系統(tǒng)時(shí)，系統(tǒng)通過相應(yīng)接口（如 USB、讀卡器）連接用戶的證書介質(zhì)， 讀取證書，進(jìn)行身份認(rèn)證。通過認(rèn)證后，進(jìn)入常規(guī)的系統(tǒng)登錄程序。 應(yīng)用目標(biāo) 對(duì)于調(diào)度端安全區(qū) I 中的 SCADA/EMS 系統(tǒng)，安全區(qū) II 中的電力市場(chǎng)交易系統(tǒng)，廠站 端的控制系統(tǒng)要求采用本地訪問控制手段進(jìn)行保護(hù) 。 遠(yuǎn)程撥號(hào)訪問 防護(hù)策略 1) 2) 3) 4) 5) 6) 遠(yuǎn)程用戶與工作站與系統(tǒng)本地具有相同的安全信任度與防護(hù)級(jí)別 遠(yuǎn)程用戶與工作站的安全防護(hù)是前提 在撥號(hào)連接建立過程中對(duì)撥號(hào)實(shí)體（用戶或者設(shè)備）進(jìn)行基于數(shù)字證書的身份認(rèn)證， 通過后才可以建立網(wǎng)絡(luò)層的連接 對(duì)通信過程中的認(rèn)證信息與應(yīng)用數(shù)據(jù)進(jìn)行完整性、機(jī)密性保護(hù)。 對(duì)授權(quán)的用戶進(jìn)行合理的權(quán)限限制，在經(jīng)過認(rèn)證的連接上應(yīng)該僅能夠行使受限的網(wǎng) 絡(luò)功能與應(yīng)用 防護(hù)措施應(yīng)該對(duì)用 戶操作、應(yīng)用性能、以及便攜程度產(chǎn)生盡量小的影響。 防護(hù)措施 撥號(hào)的防護(hù)可以采用鏈路層保護(hù)措施，或者網(wǎng)絡(luò)層保護(hù)措施。 鏈路保護(hù)措施 使用專用鏈路加密設(shè)備，實(shí)現(xiàn)以下安全功能： 兩端鏈路加密設(shè)備相互進(jìn)行認(rèn)證 對(duì)鏈路幀進(jìn)行加密 網(wǎng)絡(luò)保護(hù)措施： 采用遠(yuǎn)程訪問 VPN 方式：在 RAS 與本地網(wǎng)絡(luò)之間設(shè)置撥號(hào)認(rèn)證加密裝置， 結(jié)合用戶數(shù)字證書，對(duì)遠(yuǎn)程撥入的用戶身份進(jìn)行認(rèn)證，通過認(rèn)證后，在遠(yuǎn)程撥入