【正文】 備使各安全區(qū) 中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)。 總體防護(hù)方案 安全區(qū)劃分 電力二次系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務(wù)系統(tǒng)的重要性的差別。根據(jù)電力二次系統(tǒng)的特點(diǎn)、目前狀況和安全要求，整個(gè)二次系統(tǒng)分為兩個(gè)大區(qū)：生產(chǎn)控制大區(qū)和管理信 息大區(qū)。管理信息大區(qū)可根據(jù)業(yè)務(wù)系統(tǒng)的狀況再細(xì)分。 22 控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊（或子系統(tǒng)）的典型特征為：是電力生產(chǎn)的重要環(huán)節(jié)，直接實(shí)現(xiàn)對電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?，是安全防護(hù)的重點(diǎn)與核心。 非控制區(qū)中業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：是電力生產(chǎn)的必要環(huán)節(jié)，在線運(yùn)行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊聯(lián)系緊密。 應(yīng)用系統(tǒng)分區(qū)原則 1）根據(jù)該系統(tǒng)的實(shí)時(shí)性、使用者、功能、場所、與各業(yè) 務(wù)系統(tǒng)的相互關(guān)系、廣域網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響，將其分置于各安全區(qū)之中。 3）電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移到低安全區(qū)。 4）某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時(shí)，可把業(yè)務(wù)系統(tǒng)根據(jù)不同的功能模塊分為若干子系統(tǒng)分置于各安 全區(qū)中。 5）自我封閉的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則 不作要求，但 23 需遵守所在安全區(qū)的安全防護(hù)規(guī)定。 ﹡ 禁止安全區(qū)Ⅰ的 Web 服務(wù)。 ﹡ 在安全區(qū)Ⅰ、Ⅱ內(nèi)禁止使用 IDS 與 防火墻的聯(lián)動(dòng)。 ﹡ 安全區(qū)Ⅰ和安全區(qū)Ⅱ的重要業(yè)務(wù)用認(rèn)證加密機(jī)制。 ﹡ 對安全區(qū)Ⅰ和安全區(qū)Ⅱ進(jìn)行撥號(hào)訪問服務(wù)，用戶端應(yīng)該使用 Unix 或 Linux 操作系統(tǒng)且采取認(rèn)證、加密、訪問控制等安全防護(hù)措施。 ﹡ 安全區(qū)Ⅰ和安全區(qū)Ⅱ必 須采取防惡意代碼措施。 ﹡ 安全區(qū)Ⅰ和安全區(qū)Ⅱ內(nèi)的系統(tǒng)必須經(jīng)過安全評估。 ﹡ 對安全區(qū)Ⅲ的撥號(hào)訪問服務(wù)必須采取訪問控制等安全防護(hù)措施。 3）安全區(qū)Ⅳ的防護(hù)應(yīng)嚴(yán)格遵照電力二次系統(tǒng)安全防護(hù)總體方案執(zhí)行。具體隔離裝置的選擇不僅需要考慮網(wǎng)絡(luò)安全的要求，還 需要考慮帶寬及實(shí)時(shí)性的 要求。 1） 安全區(qū)Ⅰ與安全區(qū)Ⅱ之間的隔離要求： 安全區(qū)Ⅰ、Ⅱ之間采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進(jìn)行邏輯隔離、報(bào)文過濾、狀態(tài)檢測、訪問控制，禁止 mail、 Web、 Tel、 Rlogin 等服務(wù)穿越安全區(qū)之間的隔離設(shè)備。 3） 安全區(qū)Ⅰ、Ⅱ與安全區(qū)Ⅲ、Ⅳ之間的隔 離要求： 安全區(qū)Ⅰ、Ⅱ不得與安全區(qū)Ⅳ直接聯(lián)系，安全區(qū)Ⅰ、Ⅱ與安全區(qū)Ⅲ之間必須采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的專用隔離裝置。從安全區(qū)Ⅰ、Ⅱ往 安全區(qū)Ⅲ單向傳輸信息須采用正向隔離裝置，由安全區(qū)Ⅲ往安全 區(qū)Ⅱ甚至安全區(qū)Ⅰ的單向數(shù)據(jù)傳輸必須采用反向隔離裝置。 安全區(qū)與遠(yuǎn)方通信的縱向安全防護(hù)要求 安全區(qū)Ⅰ、Ⅱ所連接的廣域網(wǎng)為電力調(diào)度數(shù)據(jù)網(wǎng) SPD，應(yīng)采 用 MPLSVPN 技術(shù)的 SPD 為安全區(qū)Ⅰ、Ⅱ分別提供二個(gè)邏輯隔離的MPLSVPN。 安全區(qū)Ⅲ所連接的廣域網(wǎng)為發(fā)電集團(tuán) / 公司電力數(shù)據(jù)通信網(wǎng)， SPD 與電力數(shù)據(jù)通信網(wǎng)應(yīng)采用物理隔離。 25 處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)的操作系統(tǒng)要進(jìn)行安全加固，Ⅰ、 Ⅱ安全區(qū)的外部通信網(wǎng)關(guān)增加加密、認(rèn)證和過濾功能。 2） 計(jì)算機(jī)監(jiān)控系統(tǒng)應(yīng)該作為安全防護(hù)的核心點(diǎn)。 4） 生產(chǎn)控制系統(tǒng) /裝置的遠(yuǎn)程撥號(hào)維護(hù)接口因采取禁止策略，故不再在現(xiàn)狀描述中體現(xiàn)。 6） 入侵檢測系統(tǒng)； 7） 防范病毒入侵網(wǎng)絡(luò)和傳播； 安全分區(qū) ﹡ 安全區(qū) I：包括計(jì)算機(jī)監(jiān)控系統(tǒng)。 ﹡ 安全區(qū) II： 包括電能量采集系統(tǒng)、報(bào)價(jià)系統(tǒng)。 分區(qū)規(guī)劃如圖 131 所示。 26 圖 131 安全分區(qū)規(guī)劃 安全區(qū) I 安全防護(hù) I區(qū)計(jì)算機(jī)監(jiān)控系統(tǒng)獨(dú)立系統(tǒng)，沒有和電廠內(nèi)二次業(yè)務(wù)系統(tǒng)通信，因此可不考慮橫向隔離。 ﹡ 在安全區(qū) I的 實(shí)時(shí) VPN交換機(jī)上增加一套入侵 系統(tǒng) ，監(jiān)測 I區(qū)系統(tǒng)與電力調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)邊界 。 27 圖 132 I區(qū)安全防護(hù) 安全區(qū) II 安全防護(hù) 安全區(qū) II包括：電能量計(jì)量系統(tǒng)、報(bào)價(jià)系統(tǒng)和繼電保護(hù)及故障信息系統(tǒng)。在安全區(qū) II的 非實(shí)時(shí) VPN交換機(jī)上增加一套入侵檢測 系統(tǒng) ，監(jiān)測 II區(qū)系統(tǒng)與電力調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng) 絡(luò)邊界。具體措施如下。應(yīng)任命安全專責(zé)對小組事務(wù)全面管理。 明確各類人員的安全職責(zé) 1）管理層領(lǐng)導(dǎo)為安全防護(hù)第一責(zé)任人，其安全職責(zé)為： ﹡ 負(fù)責(zé)組織有關(guān)人員建立所管轄的電力二次系統(tǒng)的安全防護(hù)體系； ﹡ 經(jīng)常檢查安全防護(hù)的執(zhí)行情況、審計(jì)結(jié)果； ﹡ 定期組織人員進(jìn)行安全評估； ﹡ 組織人員對安全事故進(jìn)行認(rèn)真分析并及時(shí)向上級(jí)報(bào)告； 2）二次系統(tǒng)安全防護(hù)專責(zé)的職責(zé)為： ﹡ 參與所管轄的電力二次系統(tǒng)的安全防護(hù)體系的建立 ； ﹡ 負(fù)責(zé)各個(gè)安全區(qū)的橫向邊界和縱向邊界部署的安全產(chǎn)品的 日常運(yùn)行和維護(hù)； ﹡ 定期對所管理的電力二次系統(tǒng)進(jìn)行安全檢測和評估； ﹡ 負(fù)責(zé)及時(shí)處理所管轄的電力二次系統(tǒng)發(fā)生的安全事故； ﹡ 擔(dān)負(fù)基本安全知識(shí)的咨詢及培訓(xùn)。 4）電力二次專業(yè)系統(tǒng)的一般工作人員的安全職責(zé)： ﹡ 嚴(yán)格遵守各項(xiàng)安全管理制度； ﹡ 保護(hù)本人的口令、數(shù)字證書、密鑰、 IC 卡等 安全設(shè)施，一旦泄露或丟失，應(yīng)該立即報(bào)告。 2）安全評估的內(nèi)容包括：風(fēng)險(xiǎn)評估、攻擊演習(xí)、漏洞掃描、安全體系的評估、安全設(shè)備的部署及性能評估、安全管理措施的評估等；安全評估過程的任何記錄、數(shù)據(jù)、結(jié)果等均不容許以任何形式攜帶出被評估單位。 工程實(shí)施過程中的安全管理 1）二次系統(tǒng)各相關(guān)設(shè)備及系統(tǒng)的供應(yīng)商必須承諾：所提供的設(shè)備及系統(tǒng)中不包含任何安全隱患，并在設(shè)備及系統(tǒng)的生命期（自交付至退役為止）內(nèi)承擔(dān)由此引起的連帶責(zé)任； 2）接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的節(jié)點(diǎn)、設(shè)備和應(yīng)用系統(tǒng)，須經(jīng)二次系統(tǒng)安全防護(hù)小組核準(zhǔn)，并送上一級(jí)電力調(diào)度機(jī)構(gòu)備案； 3）二次系統(tǒng)的安全防護(hù)方案必須經(jīng)過上級(jí)主管單位的審查、批準(zhǔn)， 完工后必須經(jīng)過上 級(jí)有關(guān)部門驗(yàn)收；安全防護(hù)方案的實(shí)施必須嚴(yán)格遵守有關(guān)規(guī)定，保證部署的安全裝置的可用性指標(biāo)達(dá)到 %； 31 4）電力二次專業(yè)系統(tǒng)在投運(yùn)前必須進(jìn)行安全評估。若個(gè)別 PC機(jī)確有必要插接 USBkey， 應(yīng)該嚴(yán)格管理； 3）接入電力二次系統(tǒng)的安全區(qū)Ⅰ及安全區(qū)Ⅱ中的安全產(chǎn)品，必須使用經(jīng)過國家有關(guān)安全部門認(rèn)證的國產(chǎn)產(chǎn)品，其中電力專用安全產(chǎn)品還必須經(jīng)過電力安全主管部門檢測認(rèn)證；這些安全產(chǎn)品都必須通過電力系統(tǒng)強(qiáng)電磁環(huán)境中的電磁干擾和電磁兼容測試。 2）人員管理 明確各級(jí)人員的安全職責(zé)，定期檢查各級(jí)人員安全職責(zé)的實(shí)施情況。對違規(guī)操作制定明確的處罰內(nèi)容。與網(wǎng)絡(luò)外部的連接應(yīng)進(jìn)行嚴(yán)格的審查。 4）訪問控制管理 ﹡ 應(yīng)對重要數(shù)據(jù)信息實(shí)行清晰的安全等級(jí)劃分 ，并嚴(yán)格限定其訪問用戶群。 ﹡ 訪問控制的粒度應(yīng)達(dá)到主體為用戶組 /用戶級(jí)，以權(quán)限分配的方式實(shí)施控制。 ﹡ 安全管理人員應(yīng)定時(shí)檢查各應(yīng)用系統(tǒng)訪問情況和訪問規(guī)則，對出現(xiàn)的問題及時(shí)進(jìn)行調(diào)整。 ﹡ 為超級(jí)用戶或特權(quán)用戶設(shè)定復(fù)雜的口令，刪除臨時(shí)用戶和已經(jīng)不用的用戶，對 WINDOWS 系統(tǒng)中有管理員權(quán)限的帳戶必須 設(shè)置強(qiáng)口令。 6）文件管理及保密 應(yīng)建立嚴(yán)格的文件管理?xiàng)l例，詳細(xì)規(guī)定文件的生成、發(fā)布、使用、修訂、保存、作廢等過程的操作規(guī)范。應(yīng)特別重視電子文檔在使用、保存、發(fā)布中的 保密。 8）常規(guī)設(shè)備及各系統(tǒng)的維護(hù)管理 對設(shè)備及各系統(tǒng)及時(shí)進(jìn)行防 護(hù)或加 33 固；制定各系統(tǒng)及設(shè)備故障處理的預(yù)案，并經(jīng)常進(jìn)行預(yù)演；及時(shí)了解相關(guān)系統(tǒng)軟件漏洞，發(fā)布信息，及時(shí)進(jìn)行加固；一旦出現(xiàn)安全故障及時(shí)報(bào)告，保護(hù)現(xiàn)場，恢復(fù)系統(tǒng)。 10）審計(jì)管理 對安全設(shè)備和網(wǎng)絡(luò)裝置（如隔離裝置、縱向加密認(rèn)證裝置、入侵檢測系統(tǒng)、防火墻、路由器、交換機(jī)等）及關(guān)鍵系統(tǒng)（如：計(jì)算機(jī)監(jiān)控系 統(tǒng)、機(jī)組狀態(tài)監(jiān)測系統(tǒng)、水調(diào)自動(dòng)化系統(tǒng)等）的應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫日志進(jìn)行維護(hù)；認(rèn)真保存日志；由具有特許授權(quán)的安全管理人員進(jìn)行管理，及時(shí)進(jìn)行分析，檢查各種違規(guī)行動(dòng)以及病毒和黑客的攻擊行為；并根據(jù)情況，修改設(shè)備的安全策略以及采取其它相應(yīng)的措施。 ﹡ 計(jì)算機(jī)系統(tǒng)的備份：各專業(yè)系統(tǒng)的計(jì)算機(jī)系統(tǒng)（包括操作系 統(tǒng)、應(yīng)用系統(tǒng)）要有存儲(chǔ)在可靠介質(zhì)的全備份并存放在安全場所；必須制定完善可靠的進(jìn)行系統(tǒng)快速恢復(fù)的方案，定期進(jìn)行預(yù)演。 13）培訓(xùn)管理 安全產(chǎn)品廠家應(yīng)負(fù)責(zé)對安全防護(hù)小組相關(guān)成員進(jìn)行細(xì)致的培訓(xùn)，加強(qiáng)電站安全人員對安全技術(shù)的認(rèn)識(shí)，提高電站自主解決安全 34 問題的能力。 14）應(yīng)急處理 ﹡ 必須制定事故應(yīng)急處理方案 ， 并必須經(jīng)過預(yù)演或模擬驗(yàn)證， 以盡量維持生產(chǎn)管理的運(yùn)行為目標(biāo)； ﹡ 一旦出現(xiàn)安全事故（遭到黑客、病毒攻擊和其他人為破壞 ） ， 須根據(jù)情況立即采取相應(yīng) 的 安全應(yīng)急措施：加強(qiáng)保護(hù)、中斷對方連接、反跟蹤以及其 它 處理措施；并及時(shí)向與本單位直接相關(guān)的電力調(diào)度結(jié)構(gòu)和本 地信息安全主管部門報(bào)告，保 護(hù)事故現(xiàn)場，進(jìn)行事故分析； ﹡ 恢復(fù)維護(hù)：當(dāng)系統(tǒng)遭到破壞 ， 應(yīng)當(dāng)按照預(yù)先制定的應(yīng)急方案實(shí)施恢復(fù) ；采取立即完全恢 復(fù) 、部分恢復(fù)或啟用備份系統(tǒng)恢 復(fù)（保護(hù)現(xiàn)場）等措施。 15 安全防護(hù)產(chǎn)品技術(shù)要求 注：縱向加密認(rèn)證裝置必須采用國產(chǎn)設(shè)備和系統(tǒng)。 同時(shí)滿足電力專用應(yīng)用層通信協(xié)議轉(zhuǎn)換功能，以便于實(shí)現(xiàn)端到端的選擇性保護(hù)。 2） 滿 足電力專用通信協(xié) 議 （ 10 TaseII 等 ） 轉(zhuǎn)換和應(yīng)用過 濾 功 能。 4） 提供基于 RSA 公私密鑰對的數(shù)字簽名和采用專用加密 算法 進(jìn)行數(shù)字加密的功能。 6） 支持明通和密文傳輸，支持標(biāo)準(zhǔn)的 VLAN 封裝協(xié)議， 可以實(shí)現(xiàn)不同網(wǎng)段應(yīng)用無縫透明接入。 主機(jī)加固軟件技術(shù)要求 ，控制非授權(quán)訪問 在操作系統(tǒng)內(nèi)核層采用數(shù)字簽名方式對用戶進(jìn)行認(rèn)證，認(rèn)證證書本身通過加密算法加密保存，不可偽造，用戶使用數(shù)字證書通過正常認(rèn)證以后才能訪問系統(tǒng)。 、全面的訪問控制 可根據(jù)用戶的需求管理系統(tǒng)調(diào)用，對文件、系統(tǒng)、進(jìn)程進(jìn)行保護(hù)，并可防止由攻擊造成的數(shù)據(jù)篡改，阻止非授權(quán)用戶中斷進(jìn)程和系統(tǒng)服務(wù)，保障服務(wù)器的穩(wěn)定運(yùn)行。當(dāng)發(fā)生安全問題時(shí)，強(qiáng)制結(jié)束惡意進(jìn)程及自動(dòng)阻斷相應(yīng) IP，并通過管理控制臺(tái)等進(jìn)行實(shí)時(shí)報(bào)警。審計(jì)日志記錄所有與安全相關(guān)的內(nèi)核事件，并提供多 種報(bào)表格式供使用。通過嚴(yán)格分開系統(tǒng)管理員和安全管理員的權(quán)限，以控制超級(jí)用戶 (Windows 中的Administrator， Unix/Linux中的 root)的權(quán)限，可有效防止內(nèi)部人員的越權(quán)訪問和外部的攻擊。主機(jī)加固系統(tǒng)具有內(nèi)核隱藏 (Kernel Stealth)功能，它隱藏了安全內(nèi)核，并自動(dòng)保護(hù)主機(jī)加固 系統(tǒng)程序目錄和文件，可防止安全內(nèi)核程序被刪除，最大限度地降低了安全風(fēng)險(xiǎn)。通過從內(nèi)核層截取文件訪問控制方式，加強(qiáng)操作系統(tǒng)安全性，同時(shí)，并不對操作系統(tǒng)的內(nèi)核進(jìn)行修改。 2）產(chǎn)品廠家應(yīng)獲得如下資 質(zhì)： 安全服務(wù) 2 級(jí)資質(zhì)； 應(yīng)急相應(yīng) 1 級(jí)資質(zhì)； 企業(yè) CIMM3 資質(zhì)。 4） 引擎為標(biāo)準(zhǔn)機(jī)架式硬件設(shè)備；最少具備二個(gè)監(jiān)聽端口，最多可擴(kuò)充到四端口監(jiān)聽。 5） 具有用戶自定義事件功能。 5） 提供事件關(guān)聯(lián)分析功能，可實(shí)現(xiàn)入侵檢測事件之間的關(guān)聯(lián)，也可以實(shí)現(xiàn)入侵檢測事件和漏洞掃描事件之間的關(guān)聯(lián)。支持協(xié)議衍生功能，定義檢測非標(biāo)準(zhǔn)端口協(xié)議事件。 8） 應(yīng)具備集中控制、集中管理功能，可實(shí)現(xiàn)集中式安全監(jiān)測管理和配置管理，提供有選擇的上下級(jí)事件上報(bào)策略，并支持在整個(gè)網(wǎng)絡(luò)內(nèi)的全局預(yù)警功能。 10） 應(yīng)具備與主機(jī)入侵檢測系統(tǒng) /漏洞掃描系統(tǒng)同臺(tái)管理功能。同時(shí)支持多個(gè)用戶監(jiān)測臺(tái)的設(shè)置，支持至少 8 個(gè)以上的多用戶監(jiān)測臺(tái)設(shè)置。 13）支持虛擬引擎功能，可以按照不同檢測對象設(shè)置不同的檢測策略。 15）應(yīng)具備基于時(shí)間、事件、風(fēng)險(xiǎn)級(jí)別、源地址、源端口、目標(biāo)地址、目標(biāo)端口、行為參數(shù)、響應(yīng)方式等復(fù)雜邏輯組合的分析查詢 功能，并且可以產(chǎn)生各種圖片、文字報(bào)告；支持自定義的報(bào)表模版，生成的報(bào)表可以導(dǎo)出為 DOC/CSV/XLS 等常見文本格式。 16）事件幫助信息必須全中文并提供對事件的描述和如何修補(bǔ)漏洞的指導(dǎo)。同時(shí)具備專門的數(shù)據(jù)庫維護(hù)功能，要求能夠按照事件上報(bào)的日期時(shí)間和風(fēng)險(xiǎn)等級(jí)、引擎來源等對日志數(shù)據(jù)庫進(jìn)行刪除、轉(zhuǎn) 儲(chǔ)等操作。對各級(jí)權(quán)限的用戶行為進(jìn)行審計(jì)。 漏洞掃描 系統(tǒng) 技術(shù)要求 技術(shù)要求 1) 對網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫和應(yīng)用服務(wù)的漏洞進(jìn)行掃描時(shí)，不更改任何配置和安裝任何類似探針的軟件，也不需要被掃描