【導(dǎo)讀】××水電公司二次系統(tǒng)。安全防護設(shè)計方案與南瑞安。全隔離技術(shù)與產(chǎn)品介紹

　　

【正文】 界和物理邊界；掃描系統(tǒng)漏洞，進行安全風(fēng)險評估；修補系統(tǒng)和主服務(wù)器、網(wǎng)關(guān)機、通信前置機等關(guān)鍵設(shè)備的主要漏洞；按照二次安全防護方案，做好相應(yīng)的安全區(qū)規(guī)劃，對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)系統(tǒng)及外部接口進行結(jié)構(gòu)調(diào)整和網(wǎng)絡(luò)改造。經(jīng)過上述工作后，就可以進行電力專用橫向隔離裝置的安裝部署了。 應(yīng)用改造解決方案 橫向隔離裝置對現(xiàn)有系統(tǒng)的影響 由于橫向隔離裝置技術(shù)要求的嚴格性，使其只能滿足特定的網(wǎng)絡(luò)環(huán)境和特定的應(yīng)用系統(tǒng)，對現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)環(huán)境的影響主要 有以下兩個方面。 對現(xiàn)有系統(tǒng)網(wǎng)絡(luò)環(huán)境的影響 橫向隔離裝置部署在 I,II 區(qū)和 III 區(qū)的網(wǎng)關(guān)機之間，支持連接路由器，交換機，集線器或者直接和網(wǎng)關(guān)機相連，支持透明接入。在連接兩個交換機時，如果需要進行報文標簽封裝，建議采用標準的 協(xié)議（在報文 MAC 頭后增加 4 個字節(jié)標記）進行封裝，不宜采用 ISL 協(xié)議（在報文 MAC 頭前增加 26 個字節(jié)標記，報文尾增加 4 個字節(jié) CRC 校驗）進行封裝。 ISL 協(xié)議為 Cisco 交換機之間進行標簽封裝的默認協(xié)議，需要調(diào)整為標準的 協(xié)議。 對現(xiàn)有系統(tǒng)應(yīng)用軟件的影響 橫向隔離裝置支 持 TCP 和 UDP 兩種協(xié)議?，F(xiàn)有系統(tǒng)如果采用 UDP 協(xié)議，外網(wǎng)不能返回任何應(yīng)用數(shù)據(jù)，應(yīng)用系統(tǒng)如果采用 TCP 協(xié)議，反向應(yīng)答字節(jié)數(shù)不能超過 4 個字節(jié)。反向隔離裝置要求傳輸?shù)奈募仨殲榧兾谋疚募?，如果為其它格式文件，需轉(zhuǎn)換為純文本文件再進行傳輸。 水電公司二次系統(tǒng)安全防護設(shè)計方案 二次系統(tǒng)應(yīng)用改造 根據(jù)電力二次系統(tǒng)安全防護的要求，在 I/II 區(qū)與 III 區(qū)之間需要安裝電力系統(tǒng)專用橫向隔離裝置（正向 、 反向）。安裝橫向隔離裝置后，由于隔離裝置是單向傳輸，以往的大部分應(yīng)用都需要進行改造才能在新的網(wǎng)絡(luò)環(huán)境下正常工作。現(xiàn)有的二次系統(tǒng)中比較典型的應(yīng)用有 ：文件傳輸 、 實時數(shù)據(jù)轉(zhuǎn)發(fā)、數(shù)據(jù)庫傳輸及WEB 應(yīng)用。 1) 文件傳輸 文件傳輸是一種非常普遍的數(shù)據(jù)傳輸方式，在應(yīng)用改造之前，通常采用標準的 FTP 命令進行數(shù)據(jù)轉(zhuǎn)發(fā)。由于 FTP 協(xié)議是一種雙向通信的協(xié)議，所以在安裝隔離裝置后，原來的文件傳輸方式必須進行改造。 本方案采用南瑞集團公司開發(fā)的基于 Win32 平臺（也支持 UNIX 平臺）的專用文件傳輸軟件，傳輸軟件分為客戶端與服務(wù)端，客戶端為文件發(fā)送端，運行在I 區(qū)數(shù)據(jù)傳輸服務(wù)器上，服務(wù)端為文件接收端。根據(jù)調(diào)度系統(tǒng)需要，文件發(fā)送端在功能上具備定時發(fā)送多批文件（分別放置在不同目錄），實 時發(fā)送多批文件（分別放置在不同目錄），與手動發(fā)送一組文件的功能。文件接收端指定傳入文件的根目錄，接受客戶端傳入的文件，如圖 28 所示。 采用網(wǎng)絡(luò)磁盤映射的方式將 I、 II 區(qū)的文件映射到 I 區(qū)數(shù)據(jù)傳輸服務(wù)器的一個網(wǎng)絡(luò)磁盤上，文件傳輸軟件客戶端通過掃描不同的目錄，將 I/II 區(qū)的文件發(fā)送到 III 區(qū)服務(wù)器指定目錄下。 圖 28 正向文件傳輸軟件工作流程圖 水電公司二次系統(tǒng)安全防護設(shè)計方案 2) 實時數(shù)據(jù)轉(zhuǎn)發(fā) 對于需要從 I 區(qū)轉(zhuǎn)發(fā)實時數(shù)據(jù)到 III 區(qū)的應(yīng)用，在應(yīng)用改造之前通用的做法是 III 區(qū)的網(wǎng)關(guān)機向 I/II 區(qū)的網(wǎng)關(guān)機發(fā)起請求，由 I/II 區(qū)的網(wǎng)關(guān)機組織數(shù)據(jù)，然后 發(fā)給 III 區(qū)的網(wǎng)關(guān)機。在 I/II 區(qū)和 III 區(qū)之間安裝隔離裝置后，這種通信方式是不允許的，容易造成攻擊，必須對此類應(yīng)用加以修改以符合電力二次系統(tǒng)安全防護的要求，主要包括連接方向和反向應(yīng)答字節(jié)數(shù)的調(diào)整，具體如下所述。 由于正向隔離裝置是單向傳輸?shù)?，實時數(shù)據(jù)必須由 I/區(qū)主動發(fā)送到 III 區(qū)，因此原來的 SCADA/EMS 系統(tǒng)的工作模式需要進行改造；專用正向隔離裝置在物理上控制反向的應(yīng)用層應(yīng)答字節(jié)數(shù)最多為 4 個，所以 III 區(qū)的應(yīng)用程序的應(yīng)答報文必須不超過 4 個字節(jié)，這 4 個字節(jié)可以作為出錯應(yīng)答或者狀態(tài)應(yīng)答報文。 目前，電力 調(diào)度通信中心和電廠的實時系統(tǒng)主要包括國產(chǎn)的主流 EMS/SCADA系統(tǒng)和一些國外的實時 SCADA系統(tǒng)如 PI實時系統(tǒng)等。對于國產(chǎn)系統(tǒng)，建議由 SCADA廠家進行應(yīng)用改造和 WEB 外移工作。對于國外的實時系統(tǒng)，可以利用現(xiàn)有系統(tǒng)資源，根據(jù)實時系統(tǒng)提供的標準 SQL 接口，開發(fā)實時數(shù)據(jù)轉(zhuǎn)發(fā)軟件。 實時數(shù)據(jù)傳輸軟件由以下二部分組成： 1） 實時數(shù)據(jù)發(fā)送端； 2） 實時數(shù)據(jù)接收端； 其數(shù)據(jù)工作流程如下圖所示： 圖 29 實時數(shù)據(jù)傳輸軟件工作流程圖 實時數(shù)據(jù)發(fā)送端運行在 I 區(qū)現(xiàn)有監(jiān)控系統(tǒng)的實時數(shù)據(jù)通信網(wǎng)關(guān)機上，采用單 水電公司二次系統(tǒng)安全防護設(shè)計方案 向主動發(fā)送的方式將實時 庫中的數(shù)據(jù)發(fā)送到 III 區(qū)的數(shù)據(jù)接收端，實時數(shù)據(jù)接收端運行在 III 區(qū)現(xiàn)有 DMIS 系統(tǒng)的服務(wù)器上，負責(zé)接收從 I 區(qū)實時數(shù)據(jù)發(fā)送程序發(fā)送來的實時數(shù)據(jù)。實時數(shù)據(jù)接收端預(yù)留標準接口，可以將實時數(shù)據(jù)轉(zhuǎn)發(fā)給 III區(qū)的其它應(yīng)用系統(tǒng)或者直接寫入 DMIS 數(shù)據(jù)庫。 從應(yīng)用程序改造的角度來看，只需要改動應(yīng)用程序的工作模式即可，具體的通信規(guī)約不需要進行大的改動。由于反向 4 個字節(jié)的限制，所以應(yīng)答報文需要精心設(shè)計，保證應(yīng)用程序的可靠穩(wěn)定運行。 3) 數(shù)據(jù)庫傳輸 在應(yīng)用改造前，安全區(qū) III 的一些應(yīng)用程序如瀏覽實時數(shù)據(jù)的 WEB 系統(tǒng)等通過 SQL 命令訪 問安全區(qū) I/II 的數(shù)據(jù)庫服務(wù)器，如圖 30 所示。由于 SQL 命令是一種雙向的訪問方式，并且訪問方式為外網(wǎng)為數(shù)據(jù)請求端，存在安全隱患，所以在安裝隔離裝置后，必須進行改造。 圖 30 應(yīng)用改造前數(shù)據(jù)庫訪問示意圖 加裝隔離裝置后，改造方案如下。 本方案采用南瑞信息公司基于 Java 技術(shù)的跨平臺的數(shù)據(jù)庫傳輸軟件，通過一定的安全策略實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)庫的同步，數(shù)據(jù)庫傳輸 軟件采用標準 Socket 語言開發(fā)，單向數(shù)據(jù)傳送方式，數(shù)據(jù)加工采用通用的XML 格式。傳輸軟件分為客戶端與服務(wù)端，客戶端為數(shù)據(jù)發(fā)送端，服務(wù)端為數(shù)據(jù)接收端，客戶端運 行在 I 區(qū)的數(shù)據(jù)傳輸服務(wù)器上，服務(wù)端運行在 III 區(qū)現(xiàn)有的歷史服務(wù)器上。正向工作流程如圖 31 所示。 水電公司二次系統(tǒng)安全防護設(shè)計方案 圖 31 數(shù)據(jù)庫傳輸軟件工作流程示意圖 數(shù)據(jù)庫傳輸發(fā)送端主要功能： ? 支持多種流行的數(shù)據(jù)庫如 ORACLE/SYBASE/SQL SERVER/FOXPRO； ? 支持自定義多個數(shù)據(jù)源； ? 手工或自動進行用戶指定表的鏡像傳輸； ? 根據(jù)用戶定義的規(guī)則，進行不同表結(jié)構(gòu)之間的數(shù)據(jù)傳輸； ? 支持規(guī)則設(shè)定，使得服務(wù)在指定的時間點、指定的時間間隔自動傳輸指定表中的數(shù)據(jù)； ? 可根據(jù)用戶指定的規(guī)則，將數(shù)據(jù)庫中的數(shù)據(jù)以文件方式保存并進行傳輸，傳輸失敗后，具備告警功能； ? 完備的日志功能，以便于用戶定位，進行故障分析，對失敗的任務(wù)重新執(zhí)行。 數(shù)據(jù)庫接收端主要功能 ? 接收客戶端數(shù)據(jù)，將內(nèi)網(wǎng)表結(jié)構(gòu)及數(shù)據(jù)保存到外網(wǎng)的數(shù)據(jù)庫中； 完備的日志功能； 方案分析： 1） 易于應(yīng)用：基于 WIN32 系統(tǒng)的數(shù)據(jù)庫傳輸軟件，采用圖形化的管理界面，方便用戶統(tǒng)一進行數(shù)據(jù)傳輸策略的配置。 2） 易于開發(fā)：已有相對成熟的產(chǎn)品，開發(fā)部署比較容易，可以在較短的時間內(nèi)完成系統(tǒng)的部署，開發(fā)費用低。 水電公司二次系統(tǒng)安全防護設(shè)計方案 3） 易于擴展：數(shù)據(jù)庫傳輸軟件預(yù)留標準接口，方便用戶在今后系統(tǒng)升級或者新的系統(tǒng)接入時，進行功能擴展。 4） 易于維護：只需在系統(tǒng)開始投運時，進行安全策略的配置。維護工作采用圖形化的界面，有詳細的日志處理，配置維護工作簡單。 由于需要在 I 區(qū)增加一臺基于 NT 的數(shù)據(jù)庫傳輸服務(wù)器，所以基于 NT 平臺的主機必須進行安全加固。 4) WEB 應(yīng)用 目前在電力二次系統(tǒng)中的 WEB 應(yīng)用一般有兩種形式：一種是 WEB 服務(wù)器在 I區(qū)，供 III 區(qū)的用戶瀏覽；第二種是 WEB 服務(wù)器在 I 區(qū)，同時供 I 區(qū)的用戶瀏覽。 對于 WEB 服務(wù)器在 I 區(qū)，客戶端在 III 區(qū)的應(yīng)用，必須將 WEB 服務(wù)器移至外網(wǎng)，以專用橫向隔離設(shè)備將調(diào)度自動化系統(tǒng)隔開，由于傳統(tǒng)的防火墻不能做到應(yīng)用 級的安全防護，所以 WEB 服務(wù)器放在調(diào)度自動化系統(tǒng)內(nèi)部，將很難確保不受基于 IIS 等漏洞的攻擊，進而攻擊整個調(diào)度自動化系統(tǒng)，而將其放到外網(wǎng)系統(tǒng)中，在隔離裝置上做控制，只允許 WEB 服務(wù)器上的特定應(yīng)用與自動化系統(tǒng)進行通訊，從而可以大大提高整個系統(tǒng)的安全性。 WEB一般發(fā)布數(shù)據(jù)庫中或?qū)崟r數(shù)據(jù)的信息，在將數(shù)據(jù)庫應(yīng)用和實時數(shù)據(jù)轉(zhuǎn)發(fā)改造完畢后，將 WEB 服務(wù)器移至外網(wǎng)，即可完成改造。 對于 WEB 服務(wù)器在 I 區(qū)，同時客戶端也在 I 區(qū)的應(yīng)用，建議保留此 WEB 供內(nèi)網(wǎng)用戶瀏覽，同時在外網(wǎng)重新開發(fā)一個 WEB 供外網(wǎng)用戶瀏覽，內(nèi)外網(wǎng)的 WEB采用 文件或數(shù)據(jù)庫傳輸?shù)姆绞竭M行同步更新， WEB 外移工作建議由 SCADA 廠家進行改造。 水電公司二次系統(tǒng)安全防護設(shè)計方案 七 、安全隔離系列產(chǎn)品預(yù)算清單 產(chǎn)品名稱 規(guī) 格 單位 數(shù)量 單 價（元） 說明 SysKeeper－2020安全隔離裝置 正向 II 型 臺 4 1）支持雙機、雙網(wǎng) 2）雙電源模塊 SysKeeper－2020安全隔離裝置 反向 II 型 臺 2 1）支持雙機、雙網(wǎng) 2）雙電源模塊 3）支持電力專用密碼單元 4）智能 IC 讀寫認證 電力專用安全同步軟件 ST－200 跨平臺數(shù)據(jù)同步系統(tǒng) 套 1 支持文件、數(shù) 據(jù)庫內(nèi)、外網(wǎng)同步傳輸 安全隔離裝置專用調(diào)試工具 套 1 采用專用調(diào)試工具，方便用戶進行隔離裝置的診斷與調(diào)試 反向文件傳API 接口 套 1 提供方便的接口軟件，方便用戶進行反向傳輸系統(tǒng)的改造 安全隔離裝置專用日志分析審計軟件 套 1 用于所管轄的安全隔離裝置的日志收集與分析 水電公司二次系統(tǒng)安全防護設(shè)計方案 NetKeeper－2020縱向加密認證網(wǎng)關(guān) 縱向 I 型 臺 8 1）支持雙機、 2）雙電源模塊 3）電力專用密碼單元 4）電力專用認證單元 5）支持應(yīng)用透明接入 電廠網(wǎng)絡(luò)系統(tǒng)改造 1 視電廠現(xiàn)狀情況和所選設(shè)備而定 應(yīng)用系統(tǒng)改造 1 視電廠應(yīng)用現(xiàn)狀情況而定 水電公司二次系統(tǒng)安全防護設(shè)計方案 八 、認證資質(zhì) 1) 公安部檢驗報告 2) 公安銷售許可證 3) 型式試驗檢驗報告 4) EMC 檢驗報告 5) 解放軍信息安全測評認證中心報告 6) 國家電力調(diào)度通信中心檢測證明（正向型） 7) 國家電力調(diào)度通信中心檢測證明（反向型）