当前位置:首页 >> 互联网 >>

电力二次系统安全防护介绍


电力二次系统安全防护 总体技术介绍

珠海市鸿瑞软件技术公司

1、安全防护方案

电力二次系统示意图
电 网 调 度 应用服务器

通讯服务器

RTU

数据采集和传输
RTU RTU

发电

>输电

变电

配电

用电

电力二次系统安全隐患分析
一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和 数据网络时,在没有进行有效安全防护的情况下与外网互连。 电力监控系统和数据网络本身缺乏必要的安全防护措施。 存在直接进入设备系统机房,或采用线路搭结手段,进入计算机监控系 统的可能性。

存在不安全拨号等后门。
对自动化设备的研发和生产过程缺乏有效的安全管理方法。 管理及运行人员缺乏必要的经验和安全意识。

电力二次系统安全防护相关法规

为了贯彻落实国家电力监管委员会第5号令《电力二次系统安全防护规定》(简称《5号令》) 和原国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》 (简称《30号令》),构建电力二次系统安全防护体系,保障电力二次系统的安全,从而保障电 力系统的安全稳定运行,制定电力二次安全防护方案。

“十六字原则示意图”
生产控制大区
控制区 4 电力调度数据网 非控制区 3 1

管理信息大区
管理区
防火墙

信息区

2

电力企业数据网

1、安全分区

2、网络专用

3、横向隔离

4、纵向认证

横向与纵向防护结构
上级调度/控制中心
3
移动用户
PST N

1
安全区II (非控制生产区)
正向 专用 安全 隔离 装置 反向 专用 安全 隔离 装置

上级信息中心
防 火 墙
安全区IV (管理信息区) 防 火 墙

拨号网关

安全区I (实时控制区)

逻 辑 隔 离

安全区III (生产管理区)

IP认证加密装置

IP认证加密装置

2

防火墙

防火墙 外 部 公 共 因 特 网

远动通信安全网关

4

专 线

实时VPN SPDnet

非实时VPN

生产VPN SPTnet 管理VPN

IP认证加密装置

IP认证加密装置
正向 专用 安全 隔离 装置

防火墙

防火墙

拨号网关 移动用户
PST N

安全区I (实时控制区)

逻 辑 隔 离

安全区II (非控制生产区)

安全区III (生产管理区)

反向 专用 安全 隔离 装置

防 火 墙

安全区IV (管理信息区)

防 火 墙

下级调度/控制中心

下级信息中心

调度安全防护总体结构示意图

220kV及以上变电站二次系统安全防护示意图

配电二次系统安全防护示意图

2、相关的安全防护设备

2.1、横向安全隔离

安全隔离原理
安全隔离设备,也称为“网 闸”,其原理是模拟人工的数据 “拷贝”,不建立两个网络的“物 理通路”,所以网闸是把应用的数 据“剥离 ”,摆渡到另外一方后,
应用数据

应用程序层

应用程序层

驱动程序层

驱动程序层

再通过正常的通讯方式送到目的地,
因此从安全的角度,网闸摆渡的数 据中格式信息越少越好,当然是没 有任何格式的原始数据就更好了, 因为没有格式信息的文本就没有办 法隐藏其他的非数据的东西,减少 了携带非法信息的可能性。

硬件物理层

硬件物理层

内网

外网

安全隔离概念

1. 可以阻断网络直接连接,两个网络不同时连接在设备上; 2. 可以阻断网络逻辑连接,即TCP/IP必须被剥离,将原始数据 非网方式传送;

3. 隔离传输机制具有不可编程性;
4. 任何数据都是通过两级代理方式完成; 5. 具备对数据的审查功能,数据不具有攻击及有害的特性; 6. 具有强大的管理与控制功能;

电监会技术要求
根据国家电监会5号令《电力二次系统安全防护规定》的要求,安全 隔离设备技术要求如下:
1) 实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内 外两个处理系统不同时连通; 2) 表示层与应用层数据完全单向传输,即从安全区III到安全区I/II的TCP应答禁止携 带应用数据; 3) 透明工作方式:虚拟主机IP地址、隐藏MAC地址; 4) 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制; 5) 支持NAT; 6) 防止穿透性TCP联接:隔离装置内外两个网卡在装置内部是非网络连接,且只允 许数据单向传输。 7) 具有可定制的应用层解析功能,支持应用层特殊标记识别; 8) 安全、方便的维护管理方式

双机非网结构

内网分区 安全隔离分区

外网分区

内网

外网

LAN

CPU 主板1

非网通信

CPU 主板2

LAN

两级代理方式
模拟TCP/UDP模块 (连接终止) 读取、写入链路数据包 防火墙 网卡设备驱动 安全隔离区 模拟TCP/UDP模块 (连接发起) 读取、写入链路数据包 防火墙 网卡设备驱动 链接… 外网 链接 n

链接…

链接 n

内网 允许发起连接

不允许发起连接

典型连接方式
I区 SCADA I#网 II#网 III区 MIS

I#网 II#网

正向隔离装置1

正向隔离装置2

正向隔离装置
? ? 完全单向通讯方式(UDP); 单向数据1Bit返回方式(TCP);

生产控制大区

隔离装置

管理信息大区

反向隔离装置

?

反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,集 中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、 有效性检查等处理后,转发给生产控制大区内部的接收程序。

生产控制大区

隔离装置

管理信息大区

2.2、纵向加密认证

基本要求
按照《电力系统专用纵向加密认证装置技术规范》的要求设计与研制。 位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,为电力通 信提供安全可靠的服务: 1. 用于生产控制区的广域网边界防护,在为本地提供一个网络屏障同时为上下级 控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完 整性保护。 2. 重点保护电力实时闭环监控系统及调度数据网络的安全,禁止外部非授权用户 的非法进入,防止从网络传输平台引入的攻击和破坏造成的的电力系统事故。

典型部署
调度自动化系统
SCADA服务器 网关机
接入交换机 人机 工作站

调度员

最终用户 应用层,服务

当地认证

传输层+应用层

纵向加密认证装置

网络层

56所 30所 数据所

电科院

SPDnet MPLS VPN
纵向加密认证装置
接入交换机

南自院

网关机

当地监控服务器

厂站自动化系统

间隔 单元

执行 装置

2.3、远程接入防护

传统远程维护的安全隐患
在电力监控系统中通常是采用Modem实现远程维护功能,这种访问方式存
在非常大的安全隐患,主要如下: 系统维护人员的安全意识不够,维护口令采用原厂家默认口令且长期不变,容易造

成泄漏维护口令等敏感信息导致执行非授权的操作;
在系统拨号维护期间采用明文进行传输,非法入侵者容易对电力监控系统发送非法 控制命令,导致电力系统事故; 没有对远程维护人员进行身份认证、操作过程等进行详细记录,出现问题时难以进 行审计。

安全防护方案中对拨号接入的要求
? 通过远程拨号访问生产控制大区,要求远方用户使用安全加固的操作系 统平台,结合数字证书技术,进行登录认证和访问认证。 ? 对于通过拨号服务器(RAS)访问本地网络与系统的远程拨号访问的方式, 应当采用网络层保护,应用 VPN 技术建立加密通道。对于以远方终端直 接拨号访问的方式,应当采用链路层保护,使用专用的链路加密设备。 对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。
出自电监安全(2006)34号 附件1:《电力二次系统安全防护总体防护方案》

产品特点
HR FW-3000V电力系统专用远程拨号安全服务器是根据 国家电力二次系统安全防护要求,针对远程拨号接入而设计

的。
装置采用工业级硬件、调度数字证书身份认证、防火 墙、VPN等安全技术,对接入用户进行认证,对传输的信息进 行加密和数字签名,对接入的用户访问的范围和资源进行限 制,通过审计日志对其访问进行记录,以提高安全防护强度,

保证拨号操作的安全性和可追查性。

使用场合

2.4、公网安全防护

目前使用公网通信的系统
“公网”由于其具备覆盖范围或建设与运行成本低等特点,在电力系统主要有如下应用:
序号 1 2 3 4 主站 地调及以上调度自动化系统 地调及以上调度电能量采集系统 地调及以上调度保护及故障信息采集系统 部分县调及地调系统 公网 卫星网络 电话拨号 电话拨号 GPRS/CDMA 使用方式 应急通信 备用通道 备用通道 主通道 子站系统 220KV及以上变电站RTU或综自系统 220KV及以上变电站电量采集子站 220KV及以上变电站保护信息子站 35Kv变电站RTU

5
6

部分县调及地调系统
配电及用电网管理系统

GPRS/CDMA
GPRS/CDMA

主通道
主通道

小水电数据采集系统
配电终端

公网通信的安全风险
公网是基于IP的骨干网,而目前许多黑客都对TCP/IP协议非常熟悉,
这就使得它更容易受到攻击。公网可能面临的攻击如下: ● 黑客:是指试图从外部IP网络(如Internet)侵入到公网的人,他们的

目的是破坏公网或者窃取信息以显示他们的能力,也有的是为了出卖信
息来赚钱。 ● 管理人员:应确保公网网络管理人员对系统不造成任何危害,对他们访

问内部网络的权限要加以限制。
● 服务提供商:大多数服务提供商都不是有意的破坏公网,但是由于疏于 软件更新或其它类似的情况都会对网络造成威胁。

公网安全防护策略
电力系统公网数据通信安全防护项目实现“网络隔离、身份认证、 传输加密、权限受控”的措施来进行安全防护:

1) 将电力系统内网与传输远动数据的公网进行网络隔离

2) 在远动通信通道建立的过程中进行基于调度数字证书的身份验证
3) 所有通信数据采用密文传输,保证数据的机密性、完整性、不可否认性

4) 对传输数据的相关权限可以根据策略进行控制

产品基本结构
产品采用“双机非网”的结构模式,“内网主机”与内网(安全区I、II)以 网络或串口的方式连接,“外网主机”与公网以网络连接,“内网主机”与“外网

主机”以高速串口结合非网络协议方式连接,从而达到既能保证应用程序之间进行
双向数据通信,又能保证网络层面公网与内网之间网络隔离。

内网 主机 TCP/IP 或串口

串口

外网 主机 TCP/IP

黑客攻击

外网 主机 TCP/IP

串口

内网 主机 TCP/IP 或串口

主站安全网关 GPRS/CDMA

子站安全网关

通信前置机

RTU

项目专利成果

电网应急通信系统应用
MCU
主站 MSR50-60 主站安全网关 2M专线路由器 主站EMS IP加密装置

综合 数据网 卫星 网络
远动数据应急路由 应急车视频会议路由 有安全风险的IP域 要求安全的IP域 新增安全网关
说明: 内网 主机 外网 主机

2 M 专 线

电 力 调 度 数 据 网

厂站 MSR20-30

端站安全网关 2M专线路由器

IP加密装置 端站RTU

应急车 MSR20-30

视频会议 终端

串口

音视频 系统

安全网关内部结构图

电厂数据接入应用
SCADA服务器 数据库服务器

中国移动 (APN设备)
128路串口或网络

主站安全网关

接入

路由器

调度
SCADA工作站 前置机 前置机

2M光纤

电厂

GPRS
子站安全网关 1 子站安全网关 100

RTU

电量系统 水情系统

RTU

电量系统 水情系统

实际接入现场情况
序号 1 使用单位 贵港供电局 数量 17

2
3 4 5 6

云南文山供电局
广东电力通信 韶关供电局 东莞供电局 凯里供电局

1
11 2 2 2

7
8 9 10

东方二电厂
北京燕山石化分公司 广西玉林供电局 广西河池供电局

1
3 4 20

11

甘肃嘉峪关供电局

40

3.5、更高安全等级的单向 隔离防护

单向技术的发展趋势

数据泵单向技术
数据泵技术也称为“安全存储转发技术”。它是在基于通讯的基础上,只允 许单方向传送数据,反方向只有控制信息的可以通过,比如数据的收到确认、差 错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。 数据泵技术中虽然数据是单方向的,但协议控制信息是双方向传递的,若协 议本身存在漏洞,则有可能利用协议的漏洞达到反向发送数据的可能。(4字节 是指反向控制信息,存在漏洞,因此现在升级为1比特,出现漏洞的可能性大大 降低,但还是有可能性(1比特反向通道客观存在))

单向二极管技术
数据二极管技术:若连反向的控制协议也取消,采用“盲发”
的方式,也就是一方只管发送,另一方只管接收,至于数据是否有错 误,是否完整都不去管它,反向没有数据通道也没有控制通道,完全

处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的
线路,所以也称为信息流的单向技术。 错误处理措施:

1. 发送方增加冗余校验
2. 出现不能恢复的错误通过其它途径(人工或反向装置处理)

单向技术在国外的情况
数据二极管技术的产品化,国外已经趋于成熟,比较出名的有美国Owl公司,荷兰Fox-IT公司,
澳大利亚Tenix公司。 例如从owl公司产品介绍来看,其是以生产的硬件单向光纤网卡为基础而形成了一系列的配套 软件产品,其关键是进行了两次单向隔离处理;

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Owl Communication Cards Products Overview Directory File Transfer System Owl ScanFile Management System UDP Packet Transfer System TCP Packet Transfer System Secure Network Packet Transfer System Remote File Transfer Service Owl Release Management System Owl TSABI OWT System

单向千兆隔离装置情况
珠海鸿瑞研制的网络隔离装置(单向型)采用基于多模光纤的单向光接口技术,与国外的单向
二极管技术相似,主CPU采用国产龙芯2F,网络平均带宽300Mbps,速度是百兆装置的6倍

内网主机 安全区I、II
LAN LAN LAN LAN

外网主机

安全区III

龙芯CPU 主板

单向光纤 非网通信

龙芯CPU 主板

LAN LAN LAN LAN

3.6、电力系统专用安全网管

对电力应用系统多层次统一集中监测
HR NM-3000电力系统安全网管装置可以对主机设备、网络设备、 存储与备份系统、数据库、中间件、业务应用系统等实现统一监管和集 中管理,对安全事件进行收集和综合分析,对电力二次系统的整体运行 情况图形化监视和报表呈现,对系统事件和安全事件进行及时统一报警, 降低IT管理维护的复杂性,从而达到“集中监管、集中管理、集中维护” 的目标。

pc

加密装置

路由器 服务器

数据库

HR NM-3000

交换机 拨号服务器

防火墙 物理隔离装置

采用安全隔离技术对各安全区进行联合监测
电力二次系统中的网络监管对象广泛分布在生产控制大区和管理信 息大区,HR NM-3000电力系统安全网管装置采用符合电监会标准的 单向安全隔离技术,在不改动系统网络环境的情况下,可以跨各安全区 域,实现统一监视和集中管理。

路由器

交换机 主机、数据库

管理中心

I区
专用设备

防火墙

应用程序 电力系统安全网管装置

应用程序

主机、数据库

防火墙

隔 离 装 置

电力系统安全网管装置

III区

交换机

电力系统安全网管装置

路由器

II 区

专用设备 主机、数据库

应用程序

防火墙

专用设备 防火墙 路由器 交换机

隔离技术通信架构
通过不同网络接口对电力系统各个VLAN进行逻辑连接采集数据,通 过内置串口对外部网络进行隔离,保证内部网络的安全性。

逻辑隔离技术(CPU板2)

管理中心

ETH0

ETH1

ETH2

ETH3

高速串口

逻辑隔离技术(CPU板1)

ETH0

ETH1

ETH2

ETH3

当地web维护监视

VLAN1 VLAN2

VLAN3

通过多种方式对各种设备进行监测
针对电力系统中,各个应用系统接口多元化和复杂的特点,装置提 供网络、RS232、RS485等接入方式,以适应各个不同环境下的应用场 景。

以太网口

转 接 口

控 制 口

U S B 口

与电力专用安全防护设备检测与联动
通过采集、过滤、归并、关联分析等手段充分缩减大型信息系统中 海量的安全事件信息,并对安全事件进行严重性排序,优先呈现和处理 严重性级别较高的安全事件,当被监视应用系统出现异常时,装置可以 向其他电力专用安全防护设备发出指令信息,并做出联动操作,在最短 时间内通知管理人员处理。

产品功能丰富
HR NM-3000电力系统安全网管装置具备完整的运维管理功能, 包括:智能网络拓扑生成,性能管理、进程管理、统一安全管理、安全 登陆管理、安全审计、关联分析、资产管理、安全事件管理、告警管理、 用户访问权限管理、报表分析等。

设备容易部署、系统配置灵活
HR NM-3000电力系统安全网管装置,采用模板化配置方法对监 控对象进行配置管理。对于相同功能的网络产品可以重用模板,配置更 容易,方便管理,减少了重复配置工作量。

为了满足电力系统复杂、大型、分层、分区管理的需求,HR NM3000可根据用户不同的组织结构、地理分布以及业务关系,实施跨地域 层次化的统一管理模式,从而使责权管理更加明确,拓扑图更加清晰, 并能大幅度降低网络流量,提高系统的工作效率。

谢 谢!


相关文章:
电力二次系统安全防护管理制度汇编
提高电力二次系统的安全管理水平,根据国家电监会颁布的《电力二次 系统安全防护规定》 (电监会5号令) 及 《电力二次系统安全防护总体方案》 (电监安全[2006]34...
3.电力二次系统安全防护总体策略
教案用纸第1页 第3章 电力二次系统安全防护总体策略 3.1 电力二次系统安全防护的基本原则电力二次系统安全防护的基本原则为: 1) 系统性原则(木桶原理); 2) ...
电力二次系统安全防护应急预案
新疆昆玉钢铁有限公司 电力二次系统安全防护应急预案 编制:程刚 审核:柳总 批准:于先明 2014 年 6 月 总则 1.1 编制目的 高效、 有序地做好本企业全厂电力...
电力二次系统安全防护事故处理预案
电力二次系统安全防护事故处理预案 1 事故类型和危险程度分析 1.1 事故类型 因...事故调查组到达现场后应认真听取现场 应 急处置工作情况介绍,并与现场应急指挥...
电力二次安全防护方案
各种形式对公司电力二次系统的 攻击侵害,防范由此引发的电力事故,依据国家电监会电力二次系统 安全防护专家组、工作组编写的《电力二次系统安全防护规定》 (电监会...
电力二次系统安全防护管理制度
提高电 力二次系统的安全管理水平,根据国家电监会颁布的《电力 二次系统安全防护规定》(电监会5号令)及《电力二次系 统安全防护总体方案》(电监安全[2006]34...
电力二次系统安全防护检查重点要求
附件一:电力二次系统安全防护检查重点要求 一、安全分区 各单位二次系统须分为生产控制大区和管理信息大区。 其中生产控制大区分为控制区和非控制区。各业务系统和...
电力二次系统安全防护管理制度
管理职责 2.1.根据国家电监会《电力二次系统安全防护总体方案》要 求,按照“谁主管谁负责,谁运营谁负责”的原则,建立电 力二次系统安全管理制度,明确运行、检修...
电力二次系统安全防护总体方案
电力二次系统安全防护总体方案 1 总则 电力二次系统安全防护的总体原则是“安全分区、网络专用、横向隔离、纵向认证” 。 2 安全防护方案 图 1 电力二次系统安全...
电力二次系统安全防护应急预案
10 中广核阿勒泰风力发电有限公司 电力二次系统安全防护应急预案 1 总则 1.1 编制目的 高效、有序地做好本企业全厂电力二次安全防护系统故障事件的应急处置和救援...
更多相关标签: