电力二次系统安全防护

电力二次系统安全防护

梁辰 ,李积辉 ,徐漠北

中电投东北能源科技有限公司  辽宁沈阳  1100179

Safety protection of power secondary system

LiangChen1；LiJihui1；XuMobei1

（1.The CPI Northeast Energy Technology Co., Ltd, Shenyang Liaoning  1100179）.

- 1 -             

摘要：网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”，安全问题刻不容缓。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

关键词：网络安全；保密性；安全防护

ABSTRACT:Internet security is an important issue related to national security and sovereignty, social stability, and the inheritance and development of national culture. Its importance is becoming more and more important with the acceleration of global information technology. "Home is the door of the country", the security issue is urgent. Internet security is a comprehensive subject involving computer science, network technology, communication technology, cryptography, information security technology, applied mathematics, number theory, information theory and other disciplines. Internet security means that the hardware, software and data in the network system are protected from being damaged, changed or leaked by accidental or malicious reasons. The system runs continuously, reliably and normally, and network services are not interrupted. Internet security is essentially information security on the network. Generally speaking, all related technologies and theories concerning the confidentiality, integrity, availability, authenticity and controllability of information on the network are the research fields of Internet security.

KEY WORD:Internet security；confidentiality；safety protection

- 1 -             

1安全防护的背景

电力二次系统存在安全漏洞（结构、技术、管理等）容易受到黑客、敌对势力的攻击，造成一次系统事故。电力是我国国民经济的基础产业，关系到千家万户，关系到国家安定的大局，决不允许出现大的电力系统事故。

1.1数据统计

FBI统计95%的入侵未被发现；FBI和CSI调查484公司发现：31%有员工滥用Internet；16%有来自内部未授权的存取；14%有专利信息被窃取；12%有内部人的财务欺骗；11%有资料或网络的破坏；有超过70%的安全威胁来自你企业内部；中国国内80%的网站存在安全隐患20%的网站有严重安全问题。

2000年中国国家信息安全课题组的国家信息安全报告指出以9分为满分计算中国的信息安全强度只有5.5分。

1.2网络面临的主要威胁

黑客攻击；网络的缺陷；软件的漏洞或后门；管理的欠缺；网络内部用户的误操作。

1.3网络安全的语义范围

保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性；

完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性；

可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息；

可控性：对信息的传播及内容具有控制能力；

2电力二次系统安全防护总体方案

2.1电力系统安全防护的基本原则

电力系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。【1】

2.2安全防护总体方案的适用范围

安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统；

总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络；

电力通信系统、电力信息系统、电厂信息系统等可参照电力二次系统安全防护总体方案制定具体安全防护方案。

2.3电力二次系统安全防护总体策略

安全分区 ：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。

网络专用 ：建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。

横向隔离 ：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。

纵向认证 ：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。

电力二次系统逻辑结构

2.4电力二次系统安全防护的目标与重点

电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全；

电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪 。

3电力二次系统的安全区划分

3.1安全区Ⅰ：实时控制区

安全区Ⅰ中的业务系统或功能模块的典型特征为直接实现实时监控功能，是电力生产的重要必备环节，系统实时在线运行，使用调度数据网络或专用通道。

安全区Ⅰ的典型系统包括调度自动化系统、广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信经由电力调度数据网SPDnet-VPN1。该区中还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要求为毫秒级或秒级。

安全区Ⅰ是电力二次系统中最重要系统，安全等级最高，是安全防护的重点与核心。

3.2安全区Ⅱ：非控制生产区

安全区Ⅱ中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节，但不具备控制功能，使用调度数据网络，在线运行，与安全区I中的系统或功能模块联系紧密。

安全区Ⅱ的典型系统包括调度员培训模拟系统（DTS）、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等，其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。

该区数据的实时性是分钟级、小时级，其外部通信边界为电力调度数据网SPDnet-VPN2。

3.3安全区Ⅲ：生产管理区

安全区III中的业务系统或功能模块的典型特征为：实现电力生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度中心或控制中心工作人员的桌面终端直接相关，与安全区IV的办公自动化系统关系密切。

该区的典型系统为调度生产管理系统（DMIS）、统计报表系统（日报、旬报、月报、年报）、雷电监测系统、气象信息接入等。

该区的外部通信边界为电力数据通信网SPTnet-VPN1。

3.4安全区Ⅳ：管理信息区

安全区IV中的业务系统或功能模块的典型特征为：实现电力信息管理和办公自动化功能，使用电力数据通信网络，业务系统的访问界面主要为桌面终端。

该区包括管理信息系统（MIS）、办公自动化系统（OA）、客户服务等。

该区的外部通信边界为SPTnet-VPN2及因特网。

3.5安全区之间的安全强度要求

安全区Ⅰ与安全区Ⅱ的业务系统都属电力生产系统，都采用电力调度数据网络，都在线运行，数据交换较多，关系比较密切，可以作为一个生产控制的逻辑大区；安全区Ⅲ与安全区Ⅳ的业务系统都属管理信息系统，都采用电力数据通信网络，数据交换较多，关系比较密切，可以作为一个管理信息的逻辑大区。生产控制的逻辑大区与管理信息的逻辑大区之间安全强度应该达到相互物理隔离或接近于物理隔离。

安全区Ⅰ与安全区Ⅱ之间，以及安全区III与安全区IV之间的安全强度应该达到相互逻辑隔离。

3.6专用外部边界网络

根据系统性原则，各电力二次系统的安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。

安全区Ⅰ、Ⅱ连接的广域网为国家电力调度数据网SPDnet。安全区Ⅲ、Ⅳ连接的广域网为国家电力数据通信网SPTnet。国家电力调度数据网SPDnet与国家电力数据通信网SPTnet应该物理隔离，如基于SDH/PDH上的不同通道、不同波长、不同纤芯等。

安全区Ⅰ和安全区Ⅱ分别连接国家电力调度数据网SPDnet的不同子网。安全区Ⅲ和安全区Ⅳ分别连接国家电力数据通信网SPTnet的不同子网。子网之间应该逻辑隔离，可以通过MPLS-VPN技术、安全隧道技术、PVC技术或路由独立技术等来构造子网。

3.7安全区与远方通信的纵向安全防护要求

安全区Ⅰ、Ⅱ接入SPDnet时，应配置纵向认证加密装置，实现网络层双向身份认证、数据加密和访问控制，也可与业务系统的通信网关设备配合，实现部分传输层或应用层的安全功能。如暂时不具备条件或根据具体业务的重要程度，可以用硬件防火墙或ACL技术的访问控制代替。

安全区Ⅲ连接国家电力数据通信网SPTnet的生产子网应通过硬件防火墙接入。

处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度，对I、II区的外部通信网关可以应该增加加密、认证和过滤的功能。

传统的基于专用信道的通信不涉及网络安全问题，可逐步采用线路加密技术保护关键厂站及关键业务。

4电力二次系统安全防护方案的实施步骤

4.1安全防护方案

第一阶段是理清流程，修补漏洞。需要对本地系统的物理配置、连接关系，以及信息流程有明晰的认识，必须有业务系统的详细的物理连线图及数据流图。

第二阶段是调整结构，清理边界。按照安全防护方案，做好相应的安全区规划，将各类系统置于对应的安全区内，并增加必要的设备，对各类应用系统和网络设备的配置进行相应的修改。

第三阶段及第四阶段部署横向隔离装置和纵向防护措施。可分阶段逐步实现。

第五阶段部署认证机制。在各类专用装置和与认证机制有关的CA、RA已建立的条件下部署认证机制。

第六阶段为现系统改造和新系统开发。要求二次系统各研究、生产单位按照方案的要求研制新系统，并对现有系统进行改造。

4.2其它技术措施

应用程序安全：

禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。

安全审计：

安全审计是安全管理的重要环节。应该引入集中智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

安全“蜜罐”：

应用“主动防御”思想，在安全区II中的Web子区中，设置“安全蜜罐”，迷惑攻击者，配合安全审计，收集攻击者相关信息。

安全评估技术：

已投运的系统要求进行安全评估，新建设的系统必须经过安全评估合格后方可投运。

5结束语

本文依据中华人民共和国国家经济贸易委员会2002年第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。

参考文献

[1]国家经贸委30号令

作者简介：梁辰，(1994.07)，男，辽宁沈阳，籍贯：汉族，本科学历，工程师，研究方向：电气系统调试及电气专业技术监督。

- 1 -