电力监控系统安全防护要求-总体原则
电厂二次安全改造常用拓朴图
数据网及安防系统调试方案
方案编制依据及适用范围
本方案编制依据:
《中华人民共和国计算机信息系统安全保护条例》,国务院1994年发布;
《计算机信息系统保密管理暂行规定》,国家保密局1998年发布;
《计算机信息系统安全保护等级划分准则》(GB17859-1999),公安部1999年发布;
《电力监控系统安全防护规定》(发改委2014年14号令);
《电力监控系统安全防护总体方案》的《发电厂监控系统安全防护总体方案》(国能安全〔2015〕36号附件4);
《电力工业中涉及的国家秘密及具体范围的规定》,电力工业部和国家保密局1996年发布。
方案编制总体目标
调度数据网和二次安防调试的重点是确保电力数据传输及调度数据网络的安全,目标是建立电厂数据通信传输通道、抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及电力监控系统的崩溃或瘫痪。结合发电厂的实际情况,发电厂调度数据网及二次安防调试的总体目标包括:
保证发电厂核心业务(即电力生产)正常传输。
抵御外部人员对发电厂发起的恶意破坏和攻击,及可能对相连的调度自动化系统的影响。
防止利用病毒、木马等恶意程序,从发电厂局域网内部发起的对电力生产及相连的调度自动化系统的恶意破坏和攻击。
保护发电厂系统实时和历史数据,主要防止数据被非授权修改。
电力监控系统安全区划分
根据《电力监控系统安全防护规定》(发改委2014年14号令)、《电力监控系统安全防护总体方案》的《发电厂监控系统安全防护方案》(国能安全〔2015〕36号附件4),安全分区是电力监控系统安全防护体系的结构基础。发电企业内部基于计算机和网络技术的应用系统,原则上划分为生产控制大区和管理信息大区。生产控制大区分为控制区(又称安全区Ⅰ)和非控制区(又称安全区Ⅱ)。安全区的设置应避免通过广域网形成不同安全区的纵向交叉连接。
根据不同安全区域的安全防护要求,确定其安全等级和防护水平,生产控制大区的安全等级高于管理信息大区。
电力监控系统安全防护策略
电力监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证、综合防护”,以保证电力监控系统和电力调度数据网络的安全。
1、生产控制大区内部安全防护策略
禁止生产控制大区内部的E-Mail、WEB、Telent、Rlogin、FTP等安全风险高的通用网络服务,禁止控制区内通用的WEB服务。
允许非控制区内部业务系统B/S结构,但仅限于业务系统内部使用。
2、生产控制大区重要业务的远程通信采用加密认证机制
生产控制大区内的业务系统间采用VLAN和访问控制等安全措施,限制系统间的直接互通。
生产控制大区边界上部署入侵检测系统,应当合理设置监测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。
3、管理信息大区安全策略
统一部署防火墙等通用安全防护措施。
4、横向隔离策略
横向隔离是电力监控系统安全防护体系的横向防线。在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度达到物理隔离。生产控制大区内部的安全区之间采用防火墙实现逻辑隔离。
按照数据通信方向,电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区的非网络方式的单向数据传输。根据实际需求在生产控制大区和管理信息大区之间采用正向安全物理隔离装置。
严格禁止E-Mail、WEB、Telent、Rlogin、FTP等安全风险高的通用网络服务和B/S或C/S方式的数据库访问穿越专用横向单向单向安全隔离装置,仅允许纯数据的单向安全传输。
5、纵向认证策略
纵向加密认证是电力监控系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。在生产控制大区与广域网纵向连接处设置国产IP纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。
6、综合防护策略
综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。
生产控制大区中除安全区外,应当禁止选用具有无线通信功能的设备;管理信息大区业务系统使用无线网络传输信息时,应当具备接入认证、加密等安全机制。
生产控制大区的监控系统应当具备安全审计功能,能够对操作系统、数据库、业务应用的重要操作进行记录、分析,即使发现各种违规行为及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。
安全防护工作中涉及使用的专用安全产品,应当按照国家有关要求做好保密工作,禁止关键技术和设备的扩散。
应当定期对关键业务的数据进行备份,并实现历史归档数据的异地保存。关键主机设备、网络设备或关键部件应当进行相应的冗余配置、控制区的业务系统应当采用冗余方式。
应当及时更新特征码,查看查杀记录。恶意代码更新文件的安装应当经过测试。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。
发电厂电力监控系统在设备选型及配置时,应当禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备;对于已经投入运行的系统及设备,应当按照国家能源局及其派出机构的要求及时进行整改,同时加强相关系统及设备的运行管理和安全防护。
通用安全防护措施
备份与冗灾:定期对关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度。关键主机设备、网络设备或关键部件进行相应的冗余配置。
主机加固:关键应用系统的主服务器以及网络边界的WEB服务器等使用安全加固的操作系统。
调度数据网接入及电力监控系统方案
电力监控系统安全防护方案
电力监控系统安全防护的实施,是电厂生产控制系统安全稳定运行,同时也是电网安全运行的可靠保证,能保证实时数据信息的可靠保存,并有效抵御外部黑客入侵,保证电力监控系统网络的安全运行。具体配置方案如下:
✨纵向通道:
a)安全I区(即控制区):配置两台电力专用纵向认证加密装置部署在控制区与调度数据网实时VPN之间,用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制与传输数据的加密与解密,保障系统链接的合法性和数据传输的机密性及完整性。
b)安全Ⅱ区(即非控制区):配置两台纵向加密认证网关部署在非控制区与调度数据网非实时VPN之间,用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制。
调试基本原则
✨入侵检测设备调试
电厂根据实际业务情况在生产控制大区和管理信息大区各部署一台入侵检测装置,入侵检测装置与各区的接入层交换机镜像口直接连线,所有接入接入层交换机的数据都会通过数据镜像被入侵检测装置进行流量数据分析来检测隐藏与网络边界的入侵行为。
设备安全加固调试
为了抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,保证所有设备能安全稳定运行,除对所有设备基本配置外,还需对设备进行安全加固。
1、路由器安全加固内容
不得使用初始密码,密码复杂满足强度要求,密码必须密文显示,限制登陆次数及时间
限制远程登陆地址
SNMP协议使用V2及以上版本,不得使用默认的读写团体字,限制SNMP服务器地址
只许使用SSH作为远程登录方式
关闭不使用的端口
关闭不需要的服务,如HTTP、Telnet、Rlogin、FTP
必须配置三个用户,普通、审计、超级
路由器做ARP绑定
NTP对时,配置syslog服务器地址
2、交换机安全加固内容
不得使用初始密码,密码复杂满足强度要求,密码必须密文显示,限制登陆次数及时间
限制登陆次数及时间
只许使用SSH作为远程登录方式
关闭不需要的服务,如HTTP、Telnet、Rlogin、FTP
关闭不使用的端口
必须配置三个用户,普通、审计、超级
配置NTP和syslog服务器地址
3、防火墙安全加固
不得使用初始密码、密码复杂满足强度要求、尽量限制登陆次数及时间
不得出现大明通策略
策略必须细化到IP、协议、端口
限制远程登陆地址
防火墙启用对时功能
防火墙启用两个用户,配置用户和审计用户
关闭不使用的端口
4、纵向加密安全加固
隧道必须正确配置且建立正常
不得出现大明通策略
策略必须细化到IP、协议、端口
业务通讯必须使用密文
不得使用默认初始密码
✨安全审计及恶意代码调试原则
在生产控制大区的I区及II区各部署一套安全审计、恶意代码系统。
各区安全审计系统使用独立的网络端口,使用直通线分别连接至各相关业务系统的核心交换机,同时,业务系统核心交换机上配置管理IP,并开启远程管理功能,配置审计用户和密码,使用SSH2安全协议进行身份验证;在安全审计设备中配置运维用户,将各业务系统的核心交换机中配置的审计用户,添加至安全审计设备中,并授权给创建的运维用户;该运维用户通过安全审计设备就能访问,有权限访问的设备。
各区恶意代码系统使用独立的网络端口,使用直通线分别连接至各相关业务系统的核心交换机,同时,规划并分配与业务主机同网段IP地址,并在这些业务主机中部署恶意代码检测客户端。该客户端用于实时检测系统存在的病毒、漏洞等功能。
区安全审计、恶意代码系统,连接至调度数据网的接入交换机。其管理端口连接至I区安全审计系统管理服务器的一个独立网络端口。
区安全审计、恶意代码系统,连接至调度数据网的接入交换机。其管理端口连接至II区安全审计系统管理服务器的一个独立网络端口。
通过安全审计设备能够实现相关人员可以随时了解整个系统的运行情况,及时发现系统异常事件及非法访问行为;通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。对网络设备进行账号集中管理,完成对账号整个生命周期的监控,简化密码管理,让运维人员无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
✨设备测试流程
调度数据网工程在调试完毕后为了保证电厂业务能正常传输还需要对调试完成的设备进行业务测试,测试内容包括以下几个部分:设备测试、功能测试、性能测试、安全测试;涵盖的网络设备有路由器、交换机、纵向加密、防火墙。由于电厂业务未能正式投运,测试业务机由调试笔记本代替。
(1)设备测试:主要是硬件方面的测试,包括加电测试、部件测试:
A)加电测试:测试装置加电之后是否可以正常启动,各个程序模块是否可以正常启动;
B)部件测试:测试装置加电之后装置的模块是否可以正常使用;
C)系统测试:测试设备的系统版本及持续运行时间;
(2) 功能测试:主要包括数据交换、数据加密、旁路功能测试:
A)数据交换测试:测试装置在配置完成后能否顺利进行数据报文的交换。
B)数据加密测试:装置在进行密钥协商成功之后生成相应的通信密钥对,装置通信数据以生成的密钥进行加密,在传输过程中截包之后看到的内容都应是加密之后的报文,可以在交换机上截包检查相关的报文是否已经加密。
C)旁路测试:南瑞信通公司纵向加密认证网关支持旁路模式,在装置关电之后,装置会切换到旁路工作模式,内外网硬件自动连通,原有的数据通信能自动恢复正常。
(3)性能测试:主要包括流量测试、稳定性测试:
A)流量测试:测试地调千兆加密装置与变电站百兆加密装置大流量数据加密通信情况下,业务是否正常。
B)稳定性测试:省调、地调、电厂之间运行业务通讯,测试业务长时间的运行情况。
(4)安全性测试:主要包括用户名密码检查,端口检查,日志检查和访控检查等:
A)用户名密码测试:主要检查是否有不安全的用户,密码是否为密文
B)端口测试:检查设备有无多余的不必要的端口开启
防火墙设备测试
http://www.comqing.com
为我点个赞吧(*╹▽╹*)!
原文链接:https://weibo.com/ttarticle/p/show?id=2309404257697800301208