【正文】 對(duì)控制臺(tái)與探測(cè)引擎之間的數(shù)據(jù)通信及存儲(chǔ)進(jìn)行加密、完整性檢查和基于 RSA（ 1024 位）的身份鑒別處理；網(wǎng)絡(luò)探測(cè)引擎采用固化模塊（包含軟硬件），專有操作系統(tǒng)，探測(cè)引擎無 IP 地址，在網(wǎng)絡(luò)中實(shí)現(xiàn)自身隱藏及帶外管理。 18）要求對(duì)用戶分級(jí)，并能夠調(diào)整對(duì)不同用戶具體權(quán)限，具備不同的操作。 17）應(yīng)支持多種數(shù)據(jù)庫(kù)類型，包括： ACCESS、 MSDE（ SQL SERVER）和任何具備 ODBC（開放式數(shù)據(jù)庫(kù)互聯(lián)）通用數(shù)據(jù)庫(kù)接口的數(shù)據(jù)庫(kù)系統(tǒng)，并且支持獨(dú)立的日志數(shù)據(jù)庫(kù)部署。同時(shí)還應(yīng)具備基于統(tǒng)計(jì)的圖表型報(bào)表。 14）具備動(dòng)態(tài)策略調(diào)整功能，對(duì)一些頻繁出現(xiàn)的低風(fēng)險(xiǎn)事件，自動(dòng)調(diào) 38 整其響應(yīng)方式。 12）應(yīng)提供按照檢測(cè)對(duì)象、攻擊類型等分類的默認(rèn)內(nèi)置檢測(cè)模版，且默認(rèn)模版不可修改；提供向?qū)Щ牟呗跃幹品绞?，提供合、并、交等策略集操作策略? 11）具有設(shè)備的拓?fù)滹@示功能，可以在界面上以 圖形化的方式顯示當(dāng)前的 IDS 部署拓?fù)洹? 9） 各組件間（管理平臺(tái)與引擎等）使用加密信道通信；簡(jiǎn)便易用的 GUI 管理界面，要求能夠?qū)︼@示窗口進(jìn)行自定義，做到只顯示需要關(guān)注的內(nèi)容。 7） 支持異常流量檢測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的流量異常行為。 6） 采用基于行為分析的檢測(cè)技術(shù)，對(duì)未知漏洞 進(jìn)行攻擊能夠很好防范。具備完備、開放的特征庫(kù)，支持生成自己的事件庫(kù)，對(duì)非通用入侵行為進(jìn)行定義檢測(cè)；支持向?qū)降淖远x事件方式。支持冗余電源設(shè)置。 37 3） 系統(tǒng)集成商必須提交原廠家的授權(quán)書及售后服務(wù)承 諾函。 入侵檢測(cè)系統(tǒng)技術(shù)要求 1） 產(chǎn)品需獲得如下資質(zhì)證書： 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證； 國(guó)際信息安全認(rèn)證產(chǎn)品 EAL3 認(rèn)證證書； 涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書； 國(guó)際 CVE 組織產(chǎn)品兼容認(rèn)證證書。 “零影響 ” 系統(tǒng)應(yīng)采用動(dòng)態(tài)可加載模塊技術(shù)，保證服務(wù)器加固與管理系統(tǒng)安裝或卸載時(shí)不需要重啟系統(tǒng)。 系統(tǒng)采用內(nèi)核密封 (Kernel Sealing)技術(shù)，管理內(nèi)核模塊的加載 /卸載，可阻斷對(duì)內(nèi)核的惡意攻擊。 操作系統(tǒng)訪問控制的最佳策略是權(quán)限分離和最小特權(quán)原則。當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時(shí)，在 36 網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對(duì)該用戶或程序進(jìn)行阻斷，并由系統(tǒng)向管理員報(bào)警。 可在內(nèi)核層防止 BOF(緩沖區(qū)溢出 )攻擊，阻止獲得 ROOTSHELL。 基于數(shù)字簽名認(rèn)證機(jī)制，可以防止未經(jīng)授權(quán)的超級(jí)用戶非法中止進(jìn)程或中斷系統(tǒng) 。 7） 具有應(yīng)用層通信協(xié)議轉(zhuǎn)換功能 日志審計(jì)功能 、 支持雙機(jī)熱備 、 基于數(shù)字證書的圖形化界 面 。 5） 采用專用嵌入式 安全操作系統(tǒng)，系統(tǒng)無 TCP/IP 協(xié)議棧。 3） 采用電力專用分組密碼算法和公鑰密碼算法，支持身份鑒別，信息加密，數(shù)字簽名和密鑰生成與保護(hù)。 電力專用加密認(rèn)證裝置其功能要求如下： 35 1） 縱向加密認(rèn)證網(wǎng)關(guān)能為電力調(diào)度數(shù)據(jù)網(wǎng)通信提供具有認(rèn) 證 、 與加密功能 的 VPN，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性 保 護(hù)。 縱向加密認(rèn)證裝置技術(shù)要求 電力專用加密認(rèn)證裝置安置在電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間，用來保障電力調(diào)度系統(tǒng)縱向數(shù)據(jù)傳輸過 程中的數(shù)據(jù)機(jī)密性、完整性和真實(shí)性。 15）聯(lián)合防護(hù) ﹡ 應(yīng)密切配合上級(jí)和其它電廠，聯(lián)合進(jìn)行安全防護(hù)； ﹡ 出現(xiàn)安全事故或遭受病毒或 黑 客的攻擊時(shí)，應(yīng)該及時(shí)向上級(jí)部門報(bào)告，并通報(bào)有網(wǎng)絡(luò)連 接 的單位，采取聯(lián)合防護(hù)措施， 防止事故的擴(kuò)大以保證整個(gè)系統(tǒng)的正常運(yùn)行。定期對(duì)工作人員 進(jìn)行電力二次系統(tǒng)安全防護(hù)知識(shí)的培訓(xùn)，應(yīng)該形成制度，堅(jiān)持不懈的貫徹，以保證各項(xiàng)安全措施的可靠執(zhí)行。 12）用戶口令管理 人員的登錄名及口令的設(shè)置必須進(jìn)行審批；口令應(yīng)該具有足夠的長(zhǎng)度和復(fù)雜度，及時(shí)更新；系統(tǒng)的超級(jí)管理員的登錄名及口令嚴(yán)格限定使用范圍；用戶丟失或遺忘登錄名及口令，應(yīng)該申請(qǐng)新的登錄名及口令；用戶調(diào)離后，應(yīng)該立即注銷登錄名及口令。 11）數(shù)據(jù)及系統(tǒng)的備份管理 ﹡ 數(shù)據(jù)備份：各專業(yè)系統(tǒng)的實(shí)時(shí)數(shù)據(jù)庫(kù)以及歷史數(shù)據(jù)庫(kù)必須定期進(jìn)行備份，備份的數(shù)據(jù)必須存儲(chǔ)在可靠的介質(zhì)中并與系統(tǒng)分開存放，并制定詳盡的使用數(shù)據(jù)備份進(jìn)行數(shù)據(jù)庫(kù)故障恢復(fù)的預(yù)案，并進(jìn)行預(yù)演。 9）惡意代碼（病毒及木馬等）的防護(hù)以有效的方式及時(shí)發(fā)布病毒報(bào)告、相應(yīng)的升級(jí)防病毒軟件、以及各個(gè)公用系統(tǒng)軟件的漏洞報(bào)告及相應(yīng)的軟件補(bǔ)丁；及時(shí)部署升級(jí)的防病毒軟件，并追蹤查殺效果；及時(shí)向上級(jí)報(bào)告新病毒等惡意代碼的入侵情況。 7）安全防護(hù)系統(tǒng)的維護(hù)管理 在各個(gè)安全區(qū)分別設(shè)立安全防護(hù)系統(tǒng)的軟硬結(jié)合的維護(hù)機(jī)制，負(fù)責(zé)采集有關(guān)安全裝置的日志記錄、狀態(tài)，并進(jìn)行綜合處理，以便 及時(shí)發(fā)現(xiàn)安全事故、非法入侵、安全漏洞以及安全裝置的故障。明確保密文件范圍及保密等級(jí)和使用人員。 ﹡ 禁止任何應(yīng)用程序以超級(jí)用戶身份運(yùn)行。 5）權(quán)限管理 ﹡ 針對(duì)不同專業(yè)的業(yè)務(wù)系統(tǒng)，對(duì)不同的用戶實(shí)體、不同的使用人員按最小化原則賦予相應(yīng)的訪問權(quán)限和操作權(quán)限。 ﹡ 原則上建議刪除默認(rèn)用戶，否則應(yīng)嚴(yán)格限制默認(rèn)用戶的權(quán)限。相關(guān)內(nèi)容應(yīng)以文件規(guī)定形式明確。 32 ﹡ 定期檢查網(wǎng)絡(luò)設(shè)備安全設(shè)置，進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行及時(shí)修補(bǔ)。 ﹡ 禁止在網(wǎng)絡(luò)內(nèi)部私自使用撥號(hào)方式訪問 Inter 等外部公共網(wǎng)絡(luò)。 3）網(wǎng)絡(luò)管理 ﹡ 對(duì)網(wǎng)絡(luò)使用人員的操作行為作嚴(yán)格的規(guī)定。 建立日常運(yùn)行的安 全管理制度 1）門禁制度 電力二次專業(yè)系統(tǒng)的機(jī)房及重要場(chǎng)所必須建立合理、嚴(yán)格的門禁制度。 設(shè)備、應(yīng)用及服務(wù)的接入管理 1）在已經(jīng)建立安全防護(hù)體系的電力二次系統(tǒng)中，接入任何新的設(shè)備和應(yīng)用及服務(wù)，均必須立案申請(qǐng)，經(jīng)過本單位的安全管理員以及本單位安全主管的審查批準(zhǔn)后，方可在安全管理員的監(jiān)管下實(shí)施接入； 2）安全區(qū)Ⅰ及安全區(qū)Ⅱ中的工作站、服務(wù)器均嚴(yán)格禁止以各種方式開通與互聯(lián)網(wǎng)、與其它安全區(qū)及任何外部網(wǎng)絡(luò)的連接；原則上不得開通撥號(hào)功能，若確 需開通撥號(hào)服務(wù)，必須配置強(qiáng)認(rèn)證機(jī)制；在安全區(qū)Ⅰ及安全區(qū)Ⅱ中的 PC 機(jī)及其它微機(jī)原則上應(yīng)該將軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、 USB 接口、串行口等拆除，或通過安全管理平臺(tái)實(shí)施嚴(yán)格管理，以防止病毒等惡意代碼的傳播。 3）新的生產(chǎn)設(shè)備或 信息系統(tǒng)在投運(yùn)之前、老系統(tǒng)進(jìn)行安全整改之后或進(jìn)行重大改造或升級(jí)之后必須進(jìn)行安全評(píng)估；電力二次系統(tǒng)應(yīng)該定期（一年或兩年）進(jìn)行安全評(píng)估。 安全評(píng)估的管理 1）對(duì)電力二次系統(tǒng)的安全評(píng)估應(yīng)該盡量聘請(qǐng)電力部門的有關(guān)單位進(jìn)行；如確實(shí)需要聘請(qǐng)外系統(tǒng)的有關(guān)機(jī)構(gòu)進(jìn)行評(píng)估，必須聘請(qǐng)經(jīng)過國(guó)家有關(guān)結(jié)構(gòu)認(rèn)證并具有資質(zhì)的國(guó)內(nèi)單位進(jìn)行；電力系統(tǒng)關(guān)鍵部門應(yīng)配備必要的安全掃描及檢測(cè)工具，盡量自己進(jìn)行常規(guī)安全檢查。 3）安全防護(hù)小組成員的職責(zé)為：負(fù)責(zé)對(duì)專業(yè)維護(hù)的應(yīng)用系統(tǒng)中已部 30 署的安全產(chǎn)品的安全策略進(jìn)行設(shè)置和調(diào)整，定期對(duì)安全產(chǎn)品的日志進(jìn)行審計(jì)，及時(shí)將結(jié)果向本單位的安全負(fù)責(zé)人報(bào)告。管理層應(yīng)指定專人對(duì)安全小組的工作進(jìn)行統(tǒng)籌、安排和指導(dǎo)，并協(xié)調(diào)配合上級(jí)信息安全機(jī)構(gòu)的工作。 建立完善的安全管理組織機(jī)構(gòu) 系統(tǒng)設(shè)立一套安全審計(jì)平臺(tái)： 建立完善的安全負(fù)責(zé)制 本著“誰(shuí)主管，誰(shuí)負(fù)責(zé)”和“誰(shuí)經(jīng)營(yíng)，誰(shuí)負(fù)責(zé)”的原則，應(yīng)成立二次系統(tǒng)安全防護(hù)小組，小組成員由各類業(yè)務(wù)的代表組成，成員對(duì)各自業(yè)務(wù)所涉及的應(yīng)用系 統(tǒng)的安全防護(hù)工作負(fù)責(zé)。 II區(qū)安全防護(hù)如圖 133所示： 28 圖 133 II區(qū)安全防護(hù) 29 14 二次系統(tǒng)安全管理體系建設(shè) 電力二次系統(tǒng)的安全防護(hù)除了采取技術(shù)手段之外必須加強(qiáng)管理，按照 “三分技術(shù)，七分管理”的原則認(rèn)真地將安全管理落到實(shí)處。安全區(qū) II各應(yīng)用系統(tǒng)在橫向上與其它區(qū)業(yè)務(wù)系統(tǒng)沒有數(shù)據(jù)交換；但是在 II區(qū)業(yè)務(wù)接入調(diào)度數(shù)據(jù)網(wǎng)時(shí)，應(yīng)通過縱向加密認(rèn)證裝置進(jìn)行安全防護(hù)。 ﹡ 安全區(qū) I配置一套漏洞掃描系統(tǒng)。安全區(qū) I網(wǎng)絡(luò)結(jié)構(gòu)及安全防護(hù)產(chǎn)品如下： ﹡ 安全區(qū) I與省調(diào)縱向通信中采用認(rèn)證加密裝置進(jìn)行安全隔離。本期重點(diǎn)設(shè)計(jì) I、 II 區(qū)安全措施。數(shù)據(jù)的非實(shí)時(shí)性是分鐘級(jí)、小時(shí)級(jí)、日、月甚至年。計(jì)算機(jī)監(jiān) 控系統(tǒng)是實(shí)時(shí)生產(chǎn)監(jiān)控系統(tǒng)，是整個(gè)安全保護(hù)的核心。 5） 系統(tǒng)設(shè)備之間的硬接線不視為通信連接，本設(shè)計(jì)中視其為安全。 3） 本次設(shè)計(jì)以各系統(tǒng)間的橫向通信和與上級(jí)單位及調(diào)度端的縱向 通信接口防護(hù)為重點(diǎn)。 13 XX、 XX梯級(jí)電站 二次安防方案 按照《電力 二次系統(tǒng)安全防護(hù)總體方案》的具體要求，綜合考慮電廠的業(yè)務(wù)系統(tǒng)二次系統(tǒng)安全防護(hù)現(xiàn)狀，確定本安全防護(hù)工程以下原則： 1） 調(diào)度數(shù)據(jù)網(wǎng)作為生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)的通信通道，不將其作為一個(gè)單獨(dú)的系統(tǒng)考慮。安全區(qū)Ⅲ接入電力數(shù)據(jù)通信網(wǎng)應(yīng)配置硬件防火墻。安全區(qū)Ⅰ、Ⅱ接入 SPD 時(shí)，應(yīng)配置縱向加密認(rèn)證裝置，實(shí)現(xiàn)網(wǎng)絡(luò)層雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。反向 隔離裝置采取簽名認(rèn)證和數(shù)據(jù)過濾措施 (禁止 EMAIL、Web、 TEL、 Rlogin 等訪問 )。專用 隔離裝置分為正向隔離裝置和反向隔離裝置。 2） 安全區(qū) III 與安全區(qū) IV 之間的隔離要求： 安全區(qū)Ⅲ、Ⅳ之間采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進(jìn)行邏輯隔離、報(bào)文過濾、訪問控制。隔離裝置必須是國(guó)產(chǎn)設(shè)備并經(jīng)過國(guó)家或電力系統(tǒng)有關(guān)部門認(rèn)證。 24 安全區(qū)之間的橫向隔離要求 在各安全區(qū)之間均需選擇適當(dāng)安全強(qiáng)度的隔離裝置。 ﹡ 安全區(qū)Ⅲ必須采取防病毒和惡意代碼措施。 2）對(duì)安全區(qū)Ⅲ的要求： ﹡ 安全區(qū)Ⅲ允許開通 Email、 Web 服務(wù)。病毒庫(kù)和木馬庫(kù) 的更新必須離線進(jìn)行，不得直接從因特網(wǎng)下載。 ﹡ 安全區(qū)Ⅰ和安全區(qū)Ⅱ應(yīng)該部署安全審計(jì)措施，把安全審計(jì)與安全區(qū)網(wǎng)絡(luò)管理系統(tǒng)、入侵檢測(cè)系統(tǒng)（ IDS）、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪問權(quán)限相結(jié)合。 ﹡ 安全區(qū)Ⅰ和安全區(qū)Ⅱ內(nèi)的相關(guān)系統(tǒng)間采取訪問控制等安全措施。 ﹡ 允許安全區(qū)Ⅱ內(nèi)部 B/S 結(jié)構(gòu)的系統(tǒng)，系統(tǒng)必須采取措施進(jìn)行封閉。 ﹡ 允許安全區(qū)Ⅱ縱向 Web服務(wù)，其專用 Web服務(wù)器和 Web瀏覽工作站均在“非軍事區(qū)”的網(wǎng)段，專用 Web服務(wù)器是經(jīng)過安全加固且支持 HTTPS的安全 Web服務(wù)器， Web瀏覽工作站與 II區(qū)業(yè)務(wù)系統(tǒng)工作站不得共用，而且必須由業(yè)務(wù)系統(tǒng)向 Web服務(wù)器單向主動(dòng)傳送數(shù)據(jù)。 各安全區(qū)內(nèi)部防護(hù)基本要求 1）對(duì)安全區(qū)Ⅰ及安全區(qū)Ⅱ的要求： ﹡ 禁止安全區(qū)Ⅰ和安全區(qū)Ⅱ內(nèi)部的 Email 服務(wù)。各子系統(tǒng)經(jīng)過安全區(qū)之間的通信來構(gòu)成整個(gè)業(yè)務(wù)系統(tǒng)。允許把屬于低安全區(qū)的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全區(qū)，由屬于高安全區(qū)的人員使用。 2）進(jìn)行實(shí)時(shí)控制的功能或系統(tǒng)均須置于安全區(qū)Ⅰ。 （ 2）管理信息大區(qū) 按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》，管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)，原則上應(yīng)劃分為安全區(qū)Ⅲ（生產(chǎn)管理區(qū)）和安全區(qū)Ⅳ（管理信息 區(qū)）。 ﹡ 安全區(qū)Ⅱ（非控制區(qū)） 在生產(chǎn)控制范圍內(nèi)由在線運(yùn)行但不直接參與控制、是電力生產(chǎn)過程的必要環(huán)節(jié)、 縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。 （ 1） 生產(chǎn)控制大區(qū) ﹡ 安全區(qū)Ⅰ（控制區(qū)） 是指由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。生產(chǎn)控制大區(qū)劃分為：實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)。不同的安全區(qū)確定了不同的安全防護(hù)要求，從而決定了不同的安全等級(jí)和防護(hù)水平。 ﹡ 縱向認(rèn)證 采用認(rèn)證、加密、訪問控制等手段滿足各種數(shù)據(jù)在遠(yuǎn)程通信中的保密性、完整性和可用性要求，防止遠(yuǎn)程攻擊和違規(guī)操作，形成縱向邊界的安全防御，與調(diào)度機(jī)構(gòu)和上級(jí)管理單位建立互信可靠的 通信機(jī)制。特別強(qiáng)調(diào)，為保護(hù)生產(chǎn)控制業(yè) 務(wù)應(yīng)建設(shè)電力調(diào)度數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)與其它數(shù)據(jù)網(wǎng)絡(luò)物理隔離，并以技術(shù)手段在專網(wǎng)上形成多個(gè)相互邏輯隔離的子網(wǎng)，保障上下級(jí)各安全區(qū)的縱向互聯(lián)僅在相同安全區(qū)進(jìn)行，避免安全區(qū)縱向交叉。 圖 121 安全防護(hù) P2DR 動(dòng)態(tài)模 型 P o licyP ro t ec t io nD et e ct i o nR es po ns e防護(hù)防護(hù)檢測(cè)檢測(cè)反應(yīng)反應(yīng)策略策略防護(hù)防護(hù)檢測(cè)檢測(cè)反應(yīng)反應(yīng)策略策略 21 總體安全策略 ﹡ 安全分區(qū) 根據(jù)系統(tǒng)