【正文】 防護(hù)措施 撥號的防護(hù)可以采用鏈路層保護(hù)措施，或者網(wǎng)絡(luò)層保護(hù)措施。 遠(yuǎn)程撥號訪問 防護(hù)策略 1) 2) 3) 4) 5) 6) 遠(yuǎn)程用戶與工作站與系統(tǒng)本地具有相同的安全信任度與防護(hù)級別 遠(yuǎn)程用戶與工作站的安全防護(hù)是前提 在撥號連接建立過程中對撥號實(shí)體（用戶或者設(shè)備）進(jìn)行基于數(shù)字證書的身份認(rèn)證， 通過后才可以建立網(wǎng)絡(luò)層的連接 對通信過程中的認(rèn)證信息與應(yīng)用數(shù)據(jù)進(jìn)行完整性、機(jī)密性保護(hù)。通過認(rèn)證后，進(jìn)入常規(guī)的系統(tǒng)登錄程序。 計(jì)算機(jī)系統(tǒng)本地訪問控制 技術(shù)措施 結(jié)合用戶數(shù)字證書，對用戶登錄本 地操作系統(tǒng)，訪問操作系統(tǒng)資源等操作進(jìn)行身份認(rèn) 證，根據(jù)身份與權(quán)限進(jìn)行訪問控制，并且對操作行為進(jìn)行安全審計(jì)。 應(yīng)用目標(biāo) 需要 在 Web 服務(wù)子區(qū)開展安全 Web 服務(wù)的應(yīng)用限于：電力市場交易系統(tǒng)、 DTS 系統(tǒng)?？紤]到目前 Web 服務(wù)的不安全性，以及安全區(qū) II 的 Web 服務(wù)需要向整個(gè) SPD 開放，因此在安全區(qū) II 中將用于 Web 服務(wù)的服務(wù)器與瀏覽器客戶機(jī)統(tǒng)一布置在安全區(qū) II 中的一個(gè)邏輯子區(qū) ―― Web 服務(wù)子區(qū)，置于安全區(qū) II 的接入交換機(jī)上的獨(dú)立 VLAN 中。同時(shí)，禁止安全區(qū) I 中的計(jì)算機(jī)使用瀏覽 器訪問安全區(qū) II 的 Web 服務(wù)。 但是，由于安全區(qū) I 是整個(gè)二次系統(tǒng)的防護(hù)重點(diǎn)，其向安全區(qū) II 以及整個(gè) SPD 提供 Web 服務(wù)將引入很大的安全風(fēng)險(xiǎn)。 縱向 Web 瀏覽指各級同安全區(qū)之間的 Web 瀏覽，例如 Web 服務(wù)器位于省調(diào)級安全區(qū) II， 而客戶端瀏覽器位于地調(diào)級安全區(qū) II。在安全區(qū) I、 II，以及電力調(diào)度數(shù)據(jù)網(wǎng) SPD 環(huán)境中， Web 服務(wù)可以分為兩種 形式：橫向?yàn)g覽與縱向?yàn)g覽。 詳細(xì)的技術(shù)規(guī)范參見附件：《電力調(diào)度專用 IP 認(rèn)證加密裝置技術(shù)規(guī)范說明》。 近期，作為過渡防護(hù)措施，可以使用防火墻代替 IP 認(rèn)證加密裝置對安全區(qū) I/II 進(jìn)行一 定程度的邊界保護(hù)。 其功能要求如下： 1) 2) 3) 4) 5) 6) 7) 8) 具有應(yīng)用網(wǎng)關(guān)功能，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的接收與轉(zhuǎn)發(fā)； 具有應(yīng)用數(shù)據(jù)內(nèi)容有效性檢查功能； 具有基于數(shù)字證書的數(shù)據(jù)簽名 /解簽名功能； 實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)傳遞； 支持透明工作方式：虛擬主機(jī) IP 地址、隱藏 MAC 地址； 支持 NAT； 基于 MAC、 IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過濾與訪問控制； 防止穿透性 TCP 聯(lián)接； 安全保障要求 專用安全隔離裝置本身應(yīng)該具有較高的安全防護(hù)能力，其安全性要求主要包括： 1) 2) 3) 4) 采用非 INTEL 指令系統(tǒng)的（及兼容）微處理器； 安全、固化的的操作系統(tǒng)； 不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全漏洞； 抵御除 DoS 以外的已知的網(wǎng)絡(luò)攻擊。 專用安全隔離裝置（反向） 專用安全隔離裝置（反向）用于從安全區(qū) III 到安全區(qū) I/II 傳遞數(shù)據(jù)，是安全區(qū) III 到 安全區(qū) I/II 的唯一一個(gè)數(shù)據(jù)傳遞途徑。隔離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允 許數(shù)據(jù)單向傳輸。 其中，安全隔離裝置（正向）用于安全區(qū) I/II 到安全區(qū) III 的單向數(shù)據(jù)傳遞；安全隔離 裝置（反向）用于安全區(qū) III 到安全區(qū) I/II 的單向數(shù)據(jù)傳遞。本技術(shù)框架對 IP 認(rèn)證加密裝 置之間的認(rèn)證進(jìn)行了建議，具體認(rèn)證過程參見相關(guān)章節(jié)。 設(shè)備證書，主要用于本地設(shè)備接入認(rèn)證，遠(yuǎn)程通信實(shí)體之間的認(rèn)證，以及實(shí)體之間通信 過程的數(shù)據(jù)加密與簽名。具體應(yīng)用方式參見本章以下小節(jié)： Web 服務(wù)的使用 關(guān)鍵應(yīng)用服務(wù)器的安全增強(qiáng) 遠(yuǎn)程撥號的防護(hù) 程序證書，主要用于應(yīng)用程序與遠(yuǎn)程程序進(jìn)行安全的數(shù)據(jù)通信，提供雙方之間的認(rèn)證、 數(shù)據(jù)的加密與簽名功能 。 設(shè)備證書 網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)，在接入本地網(wǎng)絡(luò)系統(tǒng)、與其它實(shí)體通 信過程中需要持有的證 書。 因此調(diào)度系統(tǒng)數(shù)字證書類型包括： 人員證書 應(yīng)用的用戶、系統(tǒng)管理人員、以及必要的應(yīng)用維護(hù)與開發(fā)人員，在訪問系統(tǒng)、進(jìn)行操 作時(shí)需要的持有的證書。在數(shù)字證書基礎(chǔ)上可以在調(diào)度系統(tǒng)與網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié) 實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸、以及可靠的行為審計(jì)。公鑰加密 技術(shù)可以提供信息的保密性和訪問控制的有效手段，而數(shù)字簽名技術(shù)則提供了在網(wǎng)絡(luò)通信之 前相互認(rèn)證的有效方法、在通信過程中保證信息完整性的可靠手段、以及在通信結(jié)束之后防 止雙方相互信賴的有效機(jī)制。 數(shù)字證書與認(rèn)證 PKI 是一個(gè)利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及 數(shù)字簽名服務(wù)的統(tǒng)一的技術(shù)框架。 應(yīng)用目標(biāo) 以下主機(jī)必須采取主機(jī)防護(hù)措施： 關(guān)鍵應(yīng)用，包括 SCADA/EMS 系統(tǒng)服務(wù)器、電力市場交易服務(wù)器等等。 12 安全 補(bǔ)丁 通過及時(shí)更新系統(tǒng)安全補(bǔ)丁，消除系統(tǒng)內(nèi)核漏洞與后門。 安全配置 通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點(diǎn)。 對于安全區(qū) III，禁止使用安全區(qū) I 與 II 的 IDS，建議與安全區(qū) IV 的 IDS 系統(tǒng)統(tǒng)一規(guī)劃 部署?？紤]到調(diào)度業(yè)務(wù)的可靠性，采用 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ NIDS），其 IDS 探頭主要部署在： 安全區(qū) I 與 II 的邊界點(diǎn)、 SPD 的接入點(diǎn)、以及安全區(qū) I 與 II 內(nèi)的關(guān)鍵應(yīng)用網(wǎng)段。 根據(jù)技術(shù)原理， IDS 可分為以下兩類：基于網(wǎng)絡(luò)的入侵檢測 系統(tǒng)（ NIDS）和基于主機(jī) 的入侵檢測系統(tǒng)（ HIDS）。 具體選用的防火墻必須經(jīng)過有關(guān)部門認(rèn)可的國產(chǎn)硬件防火墻。對于調(diào)度數(shù)據(jù)專網(wǎng)條件不 完善的地方，還需要考慮在調(diào)度數(shù)據(jù) 接入處部署（縱向），以保證本地調(diào)度系統(tǒng)的安全。病毒特征碼要求必須以離線的方式及時(shí)更新。 防病毒措施 病毒防護(hù)是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須的安全措施。 11 設(shè)備備用 對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)的設(shè)備與部件進(jìn)行相應(yīng)的熱備份與冷備份，避免單點(diǎn)故障影響系 統(tǒng)可靠性。對于廠站接入本處不作統(tǒng)一要求。 SPT 使用私有 IP 地址，與 Inter 以及其它外部網(wǎng)絡(luò)沒有直接的網(wǎng)絡(luò)連接。 關(guān)閉或限定網(wǎng)絡(luò)服務(wù)； 禁止缺省口令登錄； 避免使用默認(rèn)路由； 網(wǎng)絡(luò)邊界關(guān)閉 OSPF 路由功能； 采用安全增強(qiáng)的 SNMPv2 及以上版本的網(wǎng)管系統(tǒng)。 實(shí)施在所有網(wǎng)絡(luò)邊界接入點(diǎn)的安全措施應(yīng)該提供一致的安全強(qiáng)度。 網(wǎng)絡(luò)邊界防護(hù) 網(wǎng)絡(luò)邊界防護(hù)主要措施包括： 邊界的封閉性， 即網(wǎng)絡(luò)接入點(diǎn)是有限的、明確的，與外部系統(tǒng)不存在隱藏的聯(lián)接。其中實(shí)時(shí) VPN 保證了實(shí)時(shí) 業(yè)務(wù)的路由獨(dú)立性，以及網(wǎng)絡(luò)服務(wù)質(zhì)量 QoS。 SPD 構(gòu)建在專用 SDH/PDH 的 n*2Mbps 通道上面，并且接入網(wǎng)絡(luò)的安全區(qū) I/II 的相關(guān) 系統(tǒng)在本地與安全區(qū) III/IV 的系統(tǒng)實(shí)行了物理隔離措施，因此整個(gè)網(wǎng)絡(luò)與外界其它網(wǎng)絡(luò)實(shí)現(xiàn) 了物理隔離。 9 安 全 強(qiáng) 度 現(xiàn)系統(tǒng)改造 新系統(tǒng)開發(fā) 研究部署 認(rèn)證機(jī)制 研究部署縱 向安全裝置 第 4階段 部署橫向 隔離裝置 第 3階段 結(jié)構(gòu)調(diào)整 清理邊界 第 2階段 理清流程 修補(bǔ)漏洞 第 1階段 實(shí)施階段 3. 電力二次系統(tǒng)安全防護(hù)技術(shù) 電力數(shù)據(jù)通信網(wǎng)絡(luò)的安全防護(hù) 電力二次系統(tǒng)涉及到的數(shù)據(jù)通信網(wǎng)絡(luò)包括：電力調(diào)度數(shù)據(jù)網(wǎng) SPD，國家電力數(shù)據(jù)通 信網(wǎng) SPT。在各類專用裝置和與認(rèn)證機(jī)制有關(guān)的 CA、 RA 已建立 的條件下部署認(rèn)證機(jī)制。 該二個(gè)階段執(zhí)行會(huì)很不平衡， 必須按過渡方案進(jìn)行。 現(xiàn)系統(tǒng)整改同時(shí)，加緊研制各類專用裝置和建立與認(rèn)證機(jī)制有關(guān)的 CA、 RA 等。通過軟件和硬件的結(jié)構(gòu)調(diào)整或改動(dòng)，使安全 區(qū)間和安全區(qū)與外部邊界網(wǎng)絡(luò)的連接處達(dá)到簡單、清晰。需要把自身系統(tǒng)的物理配置、連接關(guān)系，以 及信息流有明晰的認(rèn)識(shí)，要有一個(gè)詳細(xì)的物理連線圖及數(shù)據(jù)流圖。對現(xiàn)系統(tǒng)必然要經(jīng)過整改。如圖 6 鏈?zhǔn)浇Y(jié)構(gòu)、三角結(jié)構(gòu)和星形結(jié)構(gòu)。 安全區(qū)內(nèi)的個(gè)別業(yè)務(wù)系統(tǒng)，如因其業(yè)務(wù)的特殊性 需要附加的安全防護(hù) ,該類安全防 護(hù)方案參照執(zhí)行 7 本總體方案對安全區(qū) Ⅳ 不做詳細(xì)要求。 說明： 電力二次系統(tǒng)安全防護(hù)方案假設(shè)某電力二次系統(tǒng)都是局域范圍。 對安全區(qū) Ⅲ 要求： 安全區(qū) Ⅲ 允許開通 EMAIL、 WEB 服務(wù)。 安全區(qū) Ⅰ /安全區(qū) Ⅱ 的重要業(yè)務(wù)（如 SCADA、電力交易）應(yīng)該采用認(rèn)證加密機(jī)制； 安全區(qū) Ⅰ /安全區(qū) Ⅱ 內(nèi)的相關(guān)系統(tǒng)間必須采取訪問控制等安全措施。 對安全區(qū) Ⅰ 及安全區(qū) Ⅱ 的要求： 允許安全區(qū) Ⅱ 內(nèi)部 WEB 服務(wù) ，但 WEB 瀏覽工作站與 II 區(qū)業(yè)務(wù)系統(tǒng)工作站不得 共用。禁止安全區(qū) Ⅰ 內(nèi) 部和縱向的 WEB 服務(wù)。 禁止安全區(qū) Ⅰ 的縱向 WEB。 經(jīng) SPD 的 RTU 網(wǎng)絡(luò)通道原則上不考慮傳輸中的認(rèn)證加密。 傳統(tǒng)的遠(yuǎn)動(dòng)通道的通信目前暫不考慮網(wǎng)絡(luò)安全問題。 安全區(qū) Ⅲ 接入 SPT 應(yīng)配置硬件防火墻。 安全區(qū) Ⅰ 、 Ⅱ 接入 SPD 時(shí)，應(yīng)配置 IP 認(rèn)證加密裝置，實(shí)現(xiàn)網(wǎng)絡(luò)層雙向身份認(rèn)證、數(shù) 據(jù)加密和訪問控制。 SPD 的 VPN 子網(wǎng)和一般子網(wǎng) 可為安全區(qū) Ⅰ 、 Ⅱ 分別提供二個(gè)邏輯隔離的子網(wǎng)。對采用 MPLSVPN 技術(shù) 的 SPD 為安全區(qū) Ⅰ 、 Ⅱ 分別提供二個(gè)邏輯隔離的 MPLSVPN。反向隔離裝置采取簽 名認(rèn)證和數(shù) 6 據(jù)過濾措施 (禁止 EMAIL、 WEB、 TEL、 Rlogin 等訪問 )。專用隔離裝置分為正向隔離裝置和反向隔離裝置。 安全區(qū) Ⅰ 與安全區(qū) Ⅱ 之間的隔離要求： 允許采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻（禁 止 Email、 Web、 Tel、 Rlogin 等訪問）。具體隔離裝置的選擇不僅需要考慮 網(wǎng)絡(luò)安全的要求，還需要考慮帶寬及實(shí)時(shí)性的要求。一個(gè)電力二次系統(tǒng)某安全區(qū)不存在的條件不僅其本 身不存在該安全區(qū)的業(yè)務(wù)而且與其他電網(wǎng)二次系統(tǒng)在該安全區(qū)不存在 “縱 ”向 互聯(lián)。 自我封閉的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則不作要求，但需遵守所在安 全區(qū)的安全防護(hù)規(guī)定。 4) 5) 6) 某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時(shí)，可把業(yè)務(wù) 系統(tǒng)根據(jù)不同的功能模塊分為若干子系統(tǒng)分置于各安全區(qū)中。 3) 電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移到低安全區(qū)。 業(yè)務(wù)系統(tǒng)置于安全區(qū)的規(guī)則 1) 2) 根據(jù)該系統(tǒng)的實(shí)時(shí)性、使用者、功能、場所、在各業(yè)務(wù)系統(tǒng)的相互關(guān)系、廣域 網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響，將其分置于四個(gè)安全區(qū)之中。該區(qū)的外部通信邊界為 SPT 及因特網(wǎng)。 安全區(qū) IV 是管理信息區(qū)。本安全 區(qū)內(nèi)的生產(chǎn)系統(tǒng)采取安全防護(hù)措施后可以提供 WEB 服務(wù)。 安全區(qū) Ⅲ 是生產(chǎn)管理區(qū)。數(shù)據(jù) 的實(shí)時(shí)性是分級、小時(shí)級。 屬于安全區(qū) Ⅱ 的典型系統(tǒng)包括水調(diào)自動(dòng)化系統(tǒng)、電能量計(jì)量系統(tǒng)、發(fā)電側(cè)電力市場交易 系統(tǒng)等。 安全區(qū) Ⅱ 是非控制生產(chǎn)區(qū)。其面向的使用者為調(diào) 度員和運(yùn)行操作人員，數(shù)據(jù)實(shí)時(shí)性為秒級，外部邊界的通信均經(jīng)由電力調(diào)度數(shù)據(jù)網(wǎng)（ SPD） 的實(shí)時(shí)虛擬專用網(wǎng)（ VPN）。 凡是實(shí)時(shí)監(jiān)控系統(tǒng)或具有實(shí)時(shí)監(jiān)控功能的系統(tǒng)其監(jiān)控功能部分均應(yīng)屬于安全區(qū) Ⅰ 。 根據(jù)電力二次系統(tǒng)的特點(diǎn)、目前狀況和安全要求， 整個(gè)二次系統(tǒng)分為四個(gè)安全工作區(qū)： 實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)。 電力二次系統(tǒng)的安全區(qū)劃分 電力二次系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務(wù)系統(tǒng)的重要性的差別。 縱向防護(hù)。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò) 物理隔離。采用各類強(qiáng)度的隔離裝置使核心系統(tǒng)得到有效保護(hù)。根據(jù)系統(tǒng)中的業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度 進(jìn)行分區(qū)，重點(diǎn)保護(hù)實(shí)時(shí)控制系統(tǒng)以及生產(chǎn)業(yè)務(wù)系統(tǒng)。 相關(guān)的安全防護(hù)法規(guī) 《關(guān)于維護(hù)網(wǎng)絡(luò)安全和信息安全的決議》，全國人大常委會(huì) 2020 年 10 月審議 通過 《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，國務(wù)院 1994 年發(fā)布 《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》，國家保密局 1998 年發(fā)布 《涉及國家秘密的通信、