【正文】 對于 WEB 服務(wù)器在 I 區(qū)，同時客戶端也在 I 區(qū)的應(yīng)用，建議保留此 WEB 供內(nèi)網(wǎng)用戶瀏覽，同時在外網(wǎng)重新開發(fā)一個 WEB 供外網(wǎng)用戶瀏覽，內(nèi)外網(wǎng)的 WEB采用 文件或數(shù)據(jù)庫傳輸?shù)姆绞竭M(jìn)行同步更新， WEB 外移工作建議由 SCADA 廠家進(jìn)行改造。 對于 WEB 服務(wù)器在 I 區(qū)，客戶端在 III 區(qū)的應(yīng)用，必須將 WEB 服務(wù)器移至外網(wǎng)，以專用橫向隔離設(shè)備將調(diào)度自動化系統(tǒng)隔開，由于傳統(tǒng)的防火墻不能做到應(yīng)用 級的安全防護(hù)，所以 WEB 服務(wù)器放在調(diào)度自動化系統(tǒng)內(nèi)部，將很難確保不受基于 IIS 等漏洞的攻擊，進(jìn)而攻擊整個調(diào)度自動化系統(tǒng)，而將其放到外網(wǎng)系統(tǒng)中，在隔離裝置上做控制，只允許 WEB 服務(wù)器上的特定應(yīng)用與自動化系統(tǒng)進(jìn)行通訊，從而可以大大提高整個系統(tǒng)的安全性。 由于需要在 I 區(qū)增加一臺基于 NT 的數(shù)據(jù)庫傳輸服務(wù)器，所以基于 NT 平臺的主機(jī)必須進(jìn)行安全加固。 4） 易于維護(hù)：只需在系統(tǒng)開始投運(yùn)時，進(jìn)行安全策略的配置。 2） 易于開發(fā)：已有相對成熟的產(chǎn)品，開發(fā)部署比較容易，可以在較短的時間內(nèi)完成系統(tǒng)的部署，開發(fā)費(fèi)用低。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 圖 31 數(shù)據(jù)庫傳輸軟件工作流程示意圖 數(shù)據(jù)庫傳輸發(fā)送端主要功能： ? 支持多種流行的數(shù)據(jù)庫如 ORACLE/SYBASE/SQL SERVER/FOXPRO； ? 支持自定義多個數(shù)據(jù)源； ? 手工或自動進(jìn)行用戶指定表的鏡像傳輸； ? 根據(jù)用戶定義的規(guī)則，進(jìn)行不同表結(jié)構(gòu)之間的數(shù)據(jù)傳輸； ? 支持規(guī)則設(shè)定，使得服務(wù)在指定的時間點、指定的時間間隔自動傳輸指定表中的數(shù)據(jù)； ? 可根據(jù)用戶指定的規(guī)則，將數(shù)據(jù)庫中的數(shù)據(jù)以文件方式保存并進(jìn)行傳輸，傳輸失敗后，具備告警功能； ? 完備的日志功能，以便于用戶定位，進(jìn)行故障分析，對失敗的任務(wù)重新執(zhí)行。傳輸軟件分為客戶端與服務(wù)端，客戶端為數(shù)據(jù)發(fā)送端，服務(wù)端為數(shù)據(jù)接收端，客戶端運(yùn) 行在 I 區(qū)的數(shù)據(jù)傳輸服務(wù)器上，服務(wù)端運(yùn)行在 III 區(qū)現(xiàn)有的歷史服務(wù)器上。 圖 30 應(yīng)用改造前數(shù)據(jù)庫訪問示意圖 加裝隔離裝置后，改造方案如下。 3) 數(shù)據(jù)庫傳輸 在應(yīng)用改造前，安全區(qū) III 的一些應(yīng)用程序如瀏覽實時數(shù)據(jù)的 WEB 系統(tǒng)等通過 SQL 命令訪 問安全區(qū) I/II 的數(shù)據(jù)庫服務(wù)器，如圖 30 所示。 從應(yīng)用程序改造的角度來看，只需要改動應(yīng)用程序的工作模式即可，具體的通信規(guī)約不需要進(jìn)行大的改動。 實時數(shù)據(jù)傳輸軟件由以下二部分組成： 1） 實時數(shù)據(jù)發(fā)送端； 2） 實時數(shù)據(jù)接收端； 其數(shù)據(jù)工作流程如下圖所示： 圖 29 實時數(shù)據(jù)傳輸軟件工作流程圖 實時數(shù)據(jù)發(fā)送端運(yùn)行在 I 區(qū)現(xiàn)有監(jiān)控系統(tǒng)的實時數(shù)據(jù)通信網(wǎng)關(guān)機(jī)上，采用單 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 向主動發(fā)送的方式將實時 庫中的數(shù)據(jù)發(fā)送到 III 區(qū)的數(shù)據(jù)接收端，實時數(shù)據(jù)接收端運(yùn)行在 III 區(qū)現(xiàn)有 DMIS 系統(tǒng)的服務(wù)器上，負(fù)責(zé)接收從 I 區(qū)實時數(shù)據(jù)發(fā)送程序發(fā)送來的實時數(shù)據(jù)。對于國產(chǎn)系統(tǒng)，建議由 SCADA廠家進(jìn)行應(yīng)用改造和 WEB 外移工作。 由于正向隔離裝置是單向傳輸?shù)?，實時數(shù)據(jù)必須由 I/區(qū)主動發(fā)送到 III 區(qū)，因此原來的 SCADA/EMS 系統(tǒng)的工作模式需要進(jìn)行改造；專用正向隔離裝置在物理上控制反向的應(yīng)用層應(yīng)答字節(jié)數(shù)最多為 4 個，所以 III 區(qū)的應(yīng)用程序的應(yīng)答報文必須不超過 4 個字節(jié)，這 4 個字節(jié)可以作為出錯應(yīng)答或者狀態(tài)應(yīng)答報文。 圖 28 正向文件傳輸軟件工作流程圖 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 2) 實時數(shù)據(jù)轉(zhuǎn)發(fā) 對于需要從 I 區(qū)轉(zhuǎn)發(fā)實時數(shù)據(jù)到 III 區(qū)的應(yīng)用，在應(yīng)用改造之前通用的做法是 III 區(qū)的網(wǎng)關(guān)機(jī)向 I/II 區(qū)的網(wǎng)關(guān)機(jī)發(fā)起請求，由 I/II 區(qū)的網(wǎng)關(guān)機(jī)組織數(shù)據(jù)，然后 發(fā)給 III 區(qū)的網(wǎng)關(guān)機(jī)。文件接收端指定傳入文件的根目錄，接受客戶端傳入的文件，如圖 28 所示。 本方案采用南瑞集團(tuán)公司開發(fā)的基于 Win32 平臺（也支持 UNIX 平臺）的專用文件傳輸軟件，傳輸軟件分為客戶端與服務(wù)端，客戶端為文件發(fā)送端，運(yùn)行在I 區(qū)數(shù)據(jù)傳輸服務(wù)器上，服務(wù)端為文件接收端。 1) 文件傳輸 文件傳輸是一種非常普遍的數(shù)據(jù)傳輸方式，在應(yīng)用改造之前，通常采用標(biāo)準(zhǔn)的 FTP 命令進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。安裝橫向隔離裝置后，由于隔離裝置是單向傳輸，以往的大部分應(yīng)用都需要進(jìn)行改造才能在新的網(wǎng)絡(luò)環(huán)境下正常工作。反向隔離裝置要求傳輸?shù)奈募仨殲榧兾谋疚募绻麨槠渌袷轿募?，需轉(zhuǎn)換為純文本文件再進(jìn)行傳輸。 對現(xiàn)有系統(tǒng)應(yīng)用軟件的影響 橫向隔離裝置支 持 TCP 和 UDP 兩種協(xié)議。在連接兩個交換機(jī)時，如果需要進(jìn)行報文標(biāo)簽封裝，建議采用標(biāo)準(zhǔn)的 協(xié)議（在報文 MAC 頭后增加 4 個字節(jié)標(biāo)記）進(jìn)行封裝，不宜采用 ISL 協(xié)議（在報文 MAC 頭前增加 26 個字節(jié)標(biāo)記，報文尾增加 4 個字節(jié) CRC 校驗）進(jìn)行封裝。 應(yīng)用改造解決方案 橫向隔離裝置對現(xiàn)有系統(tǒng)的影響 由于橫向隔離裝置技術(shù)要求的嚴(yán)格性，使其只能滿足特定的網(wǎng)絡(luò)環(huán)境和特定的應(yīng)用系統(tǒng)，對現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)環(huán)境的影響主要 有以下兩個方面。對現(xiàn)有系統(tǒng)的物理配置、連接 關(guān)系以及信息流程有明晰的認(rèn)識，確定實際網(wǎng)絡(luò)連接狀況及系統(tǒng)的邏輯邊界和物理邊界；掃描系統(tǒng)漏洞，進(jìn)行安全風(fēng)險評估；修補(bǔ)系統(tǒng)和主服務(wù)器、網(wǎng)關(guān)機(jī)、通信前置機(jī)等關(guān)鍵設(shè)備的主要漏洞；按照二次安全防護(hù)方案，做好相應(yīng)的安全區(qū)規(guī)劃，對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)系統(tǒng)及外部接口進(jìn)行結(jié)構(gòu)調(diào)整和網(wǎng)絡(luò)改造。 橫向隔離裝置接入前期準(zhǔn)備 根據(jù)電力二次系統(tǒng)安全防護(hù)總體方案的要求，電力二次系統(tǒng)安全防護(hù)方案的實施必須分階段進(jìn)行，大致可分如圖 27 所示的六個階段。 保證橫向網(wǎng)絡(luò)安全隔離裝置的可部署性。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 六、隔離裝置接入應(yīng)用改造解決方案 目的 本方案提出了電力系統(tǒng)專用橫向隔離裝置接入后，應(yīng)用系統(tǒng)改造的建議和應(yīng)用系統(tǒng)改造 開發(fā)必須遵從的技術(shù)要求。 ■ Windows 操作平臺： Microsoft Windows 9x 和 ME， NT 、 2020 和 XP 操作系統(tǒng) ，推薦Windows NT 和 2020 或以上版本。安全管理界面如圖 26 所示。 圖 25 ST3000 安全傳輸運(yùn)行狀態(tài)監(jiān)控示意圖 嚴(yán)格的安全控 制 ST3000 安全傳輸平臺通過一整套的用戶管理和安全策略，嚴(yán)格控制用戶對平臺的訪問，所有操作都必須是授權(quán)用戶才可進(jìn)行。 主要功能如下： ? 以仿 FTP 方式，實現(xiàn)從安全 I/II 區(qū)到安全 III 區(qū)的單向文件傳 輸； ? 采用認(rèn)證和加密技術(shù)，實現(xiàn)從安全 III 區(qū)到安全 I/II 區(qū)的反向文件傳輸； ? 采用標(biāo)準(zhǔn)的 FTP 協(xié)議，在安全 I/II 區(qū)內(nèi)或安全 III 區(qū)內(nèi)實現(xiàn)主動下載或上傳文件，目標(biāo)機(jī)器僅需配置 FTP 服務(wù)即可成為文件傳輸網(wǎng)絡(luò)中的一個節(jié)點 ? 支持多點上傳； ? 支持通配符傳輸文件； ? 支持多文件夾嵌套傳輸文件； ? 支持實時掃描傳輸或任意周期傳輸； ? 支持傳輸成功后刪除、備份或保留原文件； 圖 24 ST3000 安全傳輸平臺文件傳輸示意圖 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 實時狀態(tài)監(jiān)控和靈活的日志管理 ST3000 安全傳輸平臺默認(rèn)操作界面下優(yōu)先顯示實時狀態(tài)監(jiān) 控畫面，如圖 24所示，以便隨時了解平臺的運(yùn)行情況；同時以統(tǒng)一的格式把平臺所有的運(yùn)行信息保存入后臺的日志庫，并提供靈活的分類組合查詢和模糊查詢功能，方便查找定位；并可按用戶要求，分類自動刪除過期日志。 菜單欄 工具欄 導(dǎo)航欄 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 強(qiáng)大靈活的數(shù)據(jù)庫傳輸功能 ST3000 安全傳輸軟件采用符合國際標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的 JDBC 技術(shù)，屏蔽各類數(shù)據(jù)庫系統(tǒng)的訪問差異，可穩(wěn)定高效的訪問 Oracle、 SQL Server、 Sybase、 DB2等數(shù)據(jù)庫系統(tǒng)，如圖 23 所示。 圖 21 ST－ 2020 安全傳輸平臺軟件架構(gòu) 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 安全傳輸平臺的技術(shù)特點如下所示 : 跨平臺支持 系統(tǒng)設(shè)計時遵循平臺開放性的要求 ， 采用面向?qū)ο蟮脑O(shè)計和編程，通過JAVA 開發(fā)的友好的界面，來實現(xiàn)可以跨平臺、跨操作系統(tǒng)的，不同數(shù)據(jù)庫系統(tǒng)的、不同數(shù)據(jù)格式要求的數(shù)據(jù)交換 ，如圖 22 所示。 通過在安全區(qū) I/II 和安全區(qū) III 分別部署 ST3000 安全傳輸內(nèi)平臺和外平臺， 實現(xiàn)來自不同廠家的、異構(gòu)、分散數(shù)據(jù)的交換和整合，如大量的文件數(shù)據(jù)和數(shù)據(jù)庫數(shù)據(jù)，并對進(jìn)出數(shù)據(jù)進(jìn)行統(tǒng)一集中管理，進(jìn)一步保障系統(tǒng)間數(shù)據(jù)交換的安全性，可廣泛應(yīng)用于電力二次系統(tǒng)安全區(qū) I/II 與安全區(qū) III 之間的安全數(shù)據(jù)交換。改造傳統(tǒng)點到點式的網(wǎng)關(guān)程序來適應(yīng)安全隔離裝置（正、反向），改造工作繁重，廠家：更改程序；用戶：管理協(xié)調(diào)復(fù)雜；安全隔離裝置規(guī)范的改變使得改造工作反復(fù)進(jìn)行；因此系統(tǒng)之間更加需要通過統(tǒng)一的手段進(jìn)行數(shù)據(jù)交換。尤其是外網(wǎng)中需要進(jìn)行各種事務(wù)處理、電力業(yè)務(wù)管理、查詢統(tǒng)計、報 表等工作時，需要綜合 SCADA 系統(tǒng)、電量計量系統(tǒng)等多個分布在內(nèi)網(wǎng)中的業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)。 圖 20 安全分區(qū)示意圖 隨著電力二次系統(tǒng)安全解決方案基本框架成型，安全分區(qū)的實施，傳統(tǒng)的點到點的網(wǎng)狀的數(shù)據(jù)交換手段的實施面臨著更加復(fù)雜多變的環(huán)境。 圖 19 加密認(rèn)證裝置管理系統(tǒng)配置界面 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 五、南瑞 ST－ 3000 安全傳輸軟件介紹 概述 依據(jù)國家經(jīng)貿(mào)委 [2020]第 30 號令《電網(wǎng)和電廠計算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》，及國家電力調(diào)度通信中心制訂的《全國電力二次系統(tǒng)安全防護(hù)總體方案》，調(diào)度中心的不同業(yè)務(wù)系統(tǒng)根據(jù)系統(tǒng)的安全等級的不同，要求部署在不同的安全區(qū)域，對調(diào)度中心的應(yīng)用系統(tǒng)的使用及數(shù)據(jù)使用提出了安全上的更高要求。 DMS2020 裝置管理系統(tǒng)以離線方式獲得調(diào)度證書系統(tǒng)為本管轄范圍的縱向加密認(rèn)證裝置簽發(fā)的設(shè)備證書、操作員卡和打印了操作員初始口令的密碼信封， 以不同的渠道和方式發(fā)放到各設(shè)備安裝點。 水電公司二次系統(tǒng)安全防護(hù)設(shè)計方案 審計管理 在裝置管理系統(tǒng)進(jìn)行的操作和發(fā)生的事件 均應(yīng)有日志記錄， DMS2020 加密認(rèn)證網(wǎng)關(guān)在系統(tǒng)提供日志的基礎(chǔ)上，基于自身多年對電力系統(tǒng)調(diào)度業(yè)務(wù)的理解和安全隔離裝置的應(yīng)用實踐經(jīng)驗，添加了一些重要的日志信息，為用戶制定審計策略并對其進(jìn)行歸納和分析。其主要功能如下： 策略管理 DMS2020 為本管轄范圍的縱向加密認(rèn)證裝置分別制定安全策略，分配各設(shè)備的公鑰表和配置表，組成管理報文，經(jīng)加密和簽名后，以