【正文】 控制生產區(qū) ) 裝 線路加密設備 圖 3 （反向型） 電力二次系統安全防護總體示意圖 電力二次系統四安全區(qū)拓撲結構 電力二次系統四安全區(qū)的拓撲結構有三種結構，這三種結構均能滿足電力二次系統安 全防護體系的要求。 8 實時控制區(qū) 隔 離 實時控制區(qū) 裝 置 安 全 生產管理區(qū) 防 火 墻 非控制 隔 離 生產區(qū) 實時控制區(qū) 防 火 墻 匯 聚 非控制 生產區(qū) 電力二次系統安全防護方案的實施 電力二次系統安全防護方案的實施必須分階段進行。 第一階段是理清流程、修補漏洞。 第二階段是結構調整，清理邊界。做好過渡方案。 第三階段及第四階段部署縱向和橫向隔離裝置。 第五階段部署認證機制。 第六階段為現系統改造和新系統開發(fā)。 電力調度數據網絡 SPD 的安全防護 與其它網絡的隔離 電力調度數據網絡（ SPD）是專用網絡，承載業(yè)務是電力實時控制業(yè)務、在線生產業(yè) 務、與網管業(yè)務。 網絡路由防護 采用 MPLS VPN 技術，將實時調度業(yè)務、非實時調度業(yè)務、以及網管業(yè)務分割成三個 相對獨立的邏輯專網，獨立的路由，在網絡路由層面不能互通。 同時，對路由器之間的路由信息交換進行 MD5 簽名，保證信息的完整性與可信性。 10 邊界的可信性， 即通過邊界接入的網絡設備是可信任的，考慮結合基于 IEEE 與數字證書來實現接入認證。 運行安全 對網絡設備運行管理采取必要的安全措施，保證運行安全。 國家電力數據通信網（ SPT）的安全防護 國家電力數據通信網（ SPT）為國家電網公司內聯網，技術體制為 IP over SDH，主 干 速率 155Mbps，該網承載業(yè)務主要為電力綜合信息、電力調度生產管理業(yè)務、電力內部 IP 語音視頻、以及網管業(yè)務，該網不經營對外業(yè)務。 對應電力綜合信息、電力調度生產管理業(yè)務、電力內部 IP 語音視頻三類業(yè)務， SPT 采用 MPLS－ VPN 技術構造三個 VPN：調度 VPN、信息 VPN、以及語音視頻 VPN，三類業(yè)務分別 通過專用的接入路由器接入各自 VPN。 電力數據通信網絡業(yè)務關系 數據業(yè)務與網絡關系示意圖如下： 實時 控制 實時 VPN 在線 生產 非實時 VPN 調度生 產管理 調度 VPN 電力綜 合信息 信息 VPN IP 語音 視頻 語音視 頻 VPN SPD SDH（ N2M） SPT SDH（ 155M） SDH/PDH 傳輸網 備份與恢復 數據與系統備份 對關鍵應用的數據與應用系統進行備份，確保數據損壞、系統崩潰情況下快速恢復數據 與系統的可用性。 異地容災 對實時控制系統、電力市場交易系統，在具備條件的前提下進行異地的數據與系統備份， 提供系統級容災功能，保證在規(guī)模災難情況下，保持系統業(yè)務的連續(xù)性。建議病毒的防護應該覆蓋所有安全區(qū) I、 II、 III 的主機與工作站。 防火墻 防火墻產品可以部署在安全區(qū) I 與安全區(qū) II 之間（橫向），實現兩個區(qū)域的邏輯隔離、 報文過濾、訪問控制等功能。 防火墻安全策略主要是基于業(yè)務流量的 IP 地址、協議、應用端口號、以及方向的報文 過濾。 入侵檢測 IDS IDS 系統的主要功能包括：實時檢測入侵行為，事后安全審計。 對于安全區(qū) I 與 II，建議統一部署一套 IDS 管理系統。其 主要的功能用于捕獲網絡異常行為，分析潛在風險，以及安全審計。 主機防護 主機安全防護主要的方式包括：安全配置、安全補丁、安全主機加固。禁止不必要的應用，作為調度 業(yè)務系統的專用主機或者工作站， 嚴格管理系統及應用軟件的安裝與使用。 主機加固 安裝主機加固軟件，強制進行權限分配，保證對系統的資源（包括數據與進程）的訪問 符合定義的主機安全策略，防止主機權限被濫用。 網絡邊界處的主機，包括通信網關、 Web 服務器。 PKI 技術中最主要的安全技術包括兩個方面：公鑰加密技術、數字簽名技術。 全國電力調度統一建設基于 PKI 的 CA 證書服務系統 ― ― 電力調度 CA 系統，由相關主 管部門統一頒發(fā)調度系統數字證書，為電力調度生產及管理系統與調度數據網上的用戶、關 鍵網絡設備、服務器提供數字證書服務。 證書類型 電力調度網絡與系統中需要發(fā)放數字證書的對象主要包括： 調度系統內部關鍵應用系統服務器，目前包括調度端 SCADA 系統、電力市場交易 系統、廠站端的控制系統 以上關鍵應用系統的相關人員，包括用戶、管理人員、維護人員 關鍵設備：通信 網關機、 IP 認證加密裝置、安全隔離裝置、線路加密設備、以及 部分網絡設備（如廠站端接入交換機） 數字證書為這些實體提供以下安全功能支持：支持身份認證功能、支持基于證書的密鑰 分發(fā)與加密、支持基于證書的簽名、以及基于證書擴展屬性的權限管理。 程序證書 應用的模塊、進程、與服務器程序運行時需要持有的證書。 13 證書的應用 人員證書，主要用于用戶登錄網絡與操作系統、登錄應用系統、以及訪問應用資源、執(zhí) 行應用操作命令時對用戶的身份進行認證，與其它實體通信過程中的認證、加密與簽名，以 及行為審計。建議的應用方式為：通信網關中的通信進程之間的安全通信。具體應用方式參見本章以下小節(jié)： 專用安全隔離裝置 IP 認證加密裝置 遠程撥號的防護 縱向通信認證示意 對于調度中心到廠站端的縱向數據通信與控制過程，過程中涉及到的通信實體之間的認 證關系示意如下： 對于該通信過程，主要考慮的是兩個系統之間的認證，具體實現可以由兩個通信網關 之 間的認證實現，或者兩處 IP 認證加密裝置之間的認證來實現。 14 專用安全隔離裝置 環(huán)境描述 電力專用安全隔離裝置作為安全區(qū) I/II 與安全區(qū) III 的必備邊界，要 求具有最高的安全 防護強度，是安全區(qū) I/II 橫向防護的要點。 設備部署如下圖： 應用網關 安全隔離裝置（正向） 應用網關 安全區(qū) I/II 圖 安全隔離裝置（反向） 安全隔離裝置部署示意圖 安全區(qū) III 專用安全隔離裝置（正向） 安全隔離裝置（正向）應該具有如下功能： 1) 2) 3) 4) 5) 6) 7) 8) 實現兩個安全區(qū)之間的非網絡方式的安全的數據交換，并且保證安全隔離裝置內外 兩個處理系統不同時連通； 表示層與應用層數據完全單向傳輸，即從安全區(qū) III 到安全區(qū) I/II 的 TCP 應答禁止 攜帶應用數據； 透明工作方式：虛擬主機 IP 地址、隱藏 MAC 地址； 基于 MAC、 IP、傳輸協議、傳輸端口以及通信方向的綜合報文過濾與訪問控制； 支持 NAT； 防止穿透性 TCP 聯接：禁止兩個應用網關之間直接建立 TCP 聯接，應將內外兩個 應用網關之間的 TCP 聯接分解成內外兩個應用網關分別到隔離裝置內外兩個網卡 的兩個 TCP 虛擬聯接。 具有可定制的應用層解析功能，支持應 用層特殊標記識別； 安全、方便的維護管理方式：基于證書的管理人員認證，圖形化的管理界面。專用安全隔離裝置（反向）集中接收安全區(qū) III 發(fā)向 安全區(qū) I/II 的數據，進行簽名驗證、內容過濾、有效性檢查等處理后，轉發(fā)給安全區(qū) I/II 內 部的接收程序具體過程如下： 1. 安全區(qū) III 內的數據發(fā)送端首先對需要發(fā)送的數據簽名，然后發(fā)給專用安全隔離裝 15 置（反向）； 2. 3. 專用安全隔離裝置（反向）接收數據后，進行簽名驗證，并對數據進行內容過濾、 有效性檢查等處理； 將處理過的數據轉發(fā)給安全區(qū) I/II 內部的接收程序。 IP 認證加密裝置 應用說明 IP 認證加密裝置用于安全區(qū) I/II 的廣域網邊界保護，作用之一是為本地安全區(qū) I/II 提供 一個網絡屏障，類似包過濾防火墻的功能，作用之二是為網關機之間的廣域網通信提供具有 認證、與加密功能的 VPN，實現數據傳輸的機密性、完整性保護。 安全功能要求 1) 2) 3) 4) 5) 6) IP 認證加密裝置之間支持基于數字證書的認證； 對傳輸的數據通過數據簽名與加密進行數據真實性、機密性、完整性保護； 支持透明工作方式與網關工作方式； 具有基于 IP、傳輸協議、應用端口號的綜合報文過濾與訪問控制功能； 采用 “Agent”技術，實現裝置之間智能協調，動態(tài)調整安全策略； 性能要求： 10M/100M 線速轉發(fā)，支持 100 個并發(fā)會話。 安全保障要求 1) 安全操作系統內核、非 Intel 指令集； 16 2) 不存在設計與實現上的安全漏洞； 3) 抵御除 DOS 以外的已知的網絡攻擊； 4) 可安全管理； Web 服務的使用與防護 Web 服務是一種通用的數據發(fā)布方 式，其作用、功能與服務對象與調度生產系統的客戶 端是不同的。 橫向 Web 瀏覽指跨越不同安全區(qū)的瀏覽，例如 Web 服務器位于安全區(qū) I，而客戶端瀏 覽器位于安全區(qū) II。 安全區(qū) I 的 Web 服務 從業(yè)務需求上，安全區(qū) I 有為其它系 統提供數據的需求，同時 Web 服務又是目前發(fā)布 數據的很好的方式。因此在安全區(qū) I 中取消 Web 服務，將數據以數據交換的 方式導入安全區(qū) II，在安全區(qū) II 中進行數據發(fā)布。 安全區(qū) II 的 Web 服務 安全區(qū) II 中的 Web 服務將是安全區(qū) I 與 II 的統一的數 據發(fā)布與查詢窗口。并且， Web 服務器采用安 全 Web 服務器，即經過主機安全加固的，支持 HTTPS 的 Web 服務器，能夠對瀏覽器客戶 端進行基于數字證書的身份認證、以及應用數據加密傳輸。 Email 的使用 由于 Email 服務會為安全區(qū) I 與 II 引入高級別安全風險，同時在安全區(qū) III/IV 中已經提 供了 Email 服務，因此安全區(qū) I 與 II 中禁止 Email 服務，杜絕病毒、木馬程序借助 Email 傳 播，避免被成功攻擊并且成為進一步攻擊的跳板，保證邊界防護的安全程度。 17 使用方式 當用戶需要登錄系統時，系統通過相應接口（如 USB、讀卡器）連接用戶的證書介質， 讀取證書，進行身份認證。 應用目標 對于調度端安全區(qū) I 中的 SCADA/EMS 系統，安全區(qū) II 中的電力市場交易系統，廠站 端的控制系統要求采用本地訪問控制手段進行保護 。 對授權的用戶進行合理的權限限制，在經過認證的連接上應該僅能夠行使受限的網 絡功能與應用 防護措施應該對用 戶操作、應用性能、以及便攜程度產生盡量小的影響。 鏈路保護措施 使用專用鏈路加密設備，實現以下安全功能： 兩端鏈路加密設備相互進行認證 對鏈路幀進行加密 網絡保護措施： 采用遠程訪問 VPN 方式：在 RAS 與本地網絡之間設置撥號認證加密裝置， 結合用戶數字證書，對遠程撥入的用戶身份進行認證，通過認證后，在遠程撥入