火力發(fā)電廠廠級監(jiān)控信息系統(tǒng)安全操作指南（初稿）

1、火力發(fā)電廠廠級監(jiān)控信息系統(tǒng)安全操作指南（初稿） 1 前言 2 發(fā)電廠信息系統(tǒng)安全分級 3 SIS邊界安全 4 SIS內(nèi)網(wǎng)安全技術(shù) 5 機(jī)房安全 6 安全管理 7 安全評估 內(nèi)容提要1 前言 發(fā)電廠網(wǎng)絡(luò)互聯(lián)、信息共享、管控一體化，網(wǎng)絡(luò)與信 息安全問題日益突出 SIS的健康發(fā)展首先必須解決安全問題 對SIS及發(fā)電廠信息系統(tǒng)安全的認(rèn)識還不統(tǒng)一 國家及電力行業(yè)關(guān)于發(fā)電廠信息安全的有關(guān)法規(guī)與標(biāo)準(zhǔn) SIS的規(guī)劃、設(shè)計、開發(fā)、實(shí)施及維護(hù)提供安全方面的指導(dǎo) 供大家討論、修正2 發(fā)電廠信息系統(tǒng)安全分級 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例第九條 ：計算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級

2、保護(hù)的具體辦法，由公安部會同有關(guān)部門制定。 公安部組織制訂的計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則國家標(biāo)準(zhǔn)（GB 17859-1999） 將信息系統(tǒng)的安全等級劃分為五個級別的安全保護(hù)能力：用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級 、安全標(biāo)記保護(hù)級 、結(jié)構(gòu)化保護(hù)級、訪問驗(yàn)證保護(hù)級 安全保護(hù)能力從第一級到第五級逐級加強(qiáng) 2 發(fā)電廠信息系統(tǒng)安全分級 各部門、各單位均應(yīng)當(dāng)使用法律和有關(guān)標(biāo)準(zhǔn)，確定其系統(tǒng)安全等級，制定本系統(tǒng)安全等級保護(hù)解決方案 建議SIS為第四級 結(jié)構(gòu)化保護(hù)級。計算機(jī)信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。此外，還要考

3、慮隱蔽通道。本級的計算機(jī)信息系統(tǒng)可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。計算機(jī)信息系統(tǒng)可信計算基的接口也必須明確定義，使其設(shè)計與實(shí)現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。 安全級別的確定與安全需求、安全成本、技術(shù)水平相關(guān) 2 發(fā)電廠信息系統(tǒng)安全分級 國家電力監(jiān)管委員會：電力二次系統(tǒng)安全防護(hù)規(guī)定 電力二次系統(tǒng)，包括電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)網(wǎng)絡(luò)等。其中電力監(jiān)控系統(tǒng)，是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運(yùn)行過程的、基于計算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備等。 電力二次系統(tǒng)安全防護(hù)

4、原則：安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證。安全管理：誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)，落實(shí)分級負(fù)責(zé)責(zé)任制。 2 發(fā)電廠信息系統(tǒng)安全分級 安全分區(qū)：生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)）；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。根據(jù)應(yīng)用系統(tǒng)實(shí)際情況，在滿足總體安全要求的前提下，可以簡化安全區(qū)的設(shè)置，但是應(yīng)當(dāng)避免通過廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。 在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。 生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的設(shè)備

5、、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。2 發(fā)電廠信息系統(tǒng)安全分級2 發(fā)電廠信息系統(tǒng)安全分級優(yōu)先級風(fēng)險說明/舉例0旁路控制（Bypassing Controls）入侵者向發(fā)電廠控制系統(tǒng)發(fā)送非法控制命令，導(dǎo)致電力系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞（Integrity Violation）非授權(quán)修改電力控制系統(tǒng)配置或程序；非授權(quán)修改電力交易中的敏感數(shù)據(jù)。2違反授權(quán)（Authorization Violation）電力控制系統(tǒng)工作人員利用授權(quán)身份或設(shè)備，執(zhí)行非授權(quán)的操作。3工作人員的隨意行為（Indiscretion）電力控制系統(tǒng)工作人員無意識地泄漏口令等敏感信息，或不謹(jǐn)慎地配置訪問控制規(guī)則等。

6、4攔截/篡改（Intercept/Alter）攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設(shè)置、交易報價等敏感數(shù)據(jù)。5非法使用（Illegitimate Use）非授權(quán)使用計算機(jī)或網(wǎng)絡(luò)資源。6信息泄漏（Information Leakage）口令、證書等敏感信息泄密。7計算機(jī)病毒（Computer Virus）破壞數(shù)據(jù)及文件，造成信息系統(tǒng)不能正常運(yùn)行。8欺騙（Spoof）Web服務(wù)欺騙攻擊；IP 欺騙攻擊。9偽裝(Masquerade)入侵者偽裝合法身份，進(jìn)入電力監(jiān)控系統(tǒng)。10拒絕服務(wù)（Availability, e.g. Denial of Service）向通信網(wǎng)關(guān)發(fā)送大量雪崩數(shù)據(jù)，造成

7、拒絕服務(wù)。11竊聽（Eavesdropping, e.g. Data Confidentiality）黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明文傳輸?shù)拿舾行畔?，為后續(xù)攻擊準(zhǔn)備數(shù)據(jù)。 發(fā)電廠信息系統(tǒng)面臨的主要安全風(fēng)險 2 發(fā)電廠信息系統(tǒng)安全分級 發(fā)電廠信息系統(tǒng)安全防護(hù)目標(biāo)及重點(diǎn) 發(fā)電廠信息系統(tǒng)安全防護(hù)的重點(diǎn)是生產(chǎn)過程控制系統(tǒng)（PCS）。安全防護(hù)目標(biāo)為： 防止通過外部邊界發(fā)起的攻擊和侵入，尤其是防止由攻擊導(dǎo)致的生產(chǎn)過程控制系統(tǒng)故障，引起機(jī)組安全事故； 防止由外部及內(nèi)部引入的病毒，導(dǎo)致網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失； 防止未授權(quán)用戶訪問系統(tǒng)或非法獲取信息和侵入； 防止授權(quán)用戶超出授權(quán)范圍，越權(quán)操作； 防止重大的操

8、作失誤。2 發(fā)電廠信息系統(tǒng)安全分級 發(fā)電廠信息系統(tǒng)安全防護(hù)的基本原則 系統(tǒng)性原則（木桶原理）； 簡單性原則； 實(shí)時、連續(xù)、安全相統(tǒng)一的原則； 需求、風(fēng)險、代價相平衡的原則； 實(shí)用與先進(jìn)相結(jié)合的原則； 方便與安全相統(tǒng)一的原則； 全面防護(hù)、突出重點(diǎn)（實(shí)時閉環(huán)控制部分）的原則； 分層分區(qū)、強(qiáng)化邊界的原則； 整體規(guī)劃、分步實(shí)施的原則； 責(zé)任到人，分級管理，聯(lián)合防護(hù)的原則。2 發(fā)電廠信息系統(tǒng)安全分級 發(fā)電廠信息系統(tǒng)的安全區(qū)規(guī)劃 過程控制系統(tǒng)PCS 處于生產(chǎn)控制大區(qū)中的安全區(qū)。 SIS歸屬于生產(chǎn)控制大區(qū)，建議為安全區(qū)。但與安全相關(guān)的配置及管理仍建議按安全區(qū)要求進(jìn)行。當(dāng)SIS以網(wǎng)絡(luò)通信方式向PCS發(fā)送控制指

9、令，實(shí)現(xiàn)優(yōu)化控制時，二者已經(jīng)相互融合，應(yīng)該處于同一安全水平，即安全區(qū)。 當(dāng)SIS不具備任何形式的閉環(huán)控制，此時可以將SIS規(guī)劃為安全區(qū)。不排除SIS與MIS共用同一網(wǎng)絡(luò)的可能性，但應(yīng)在PCS與SIS間加裝單向物理隔離裝置。 MIS與Internet相連，歸屬于管理信息大區(qū)中的安全區(qū) 與火力發(fā)電廠廠級監(jiān)控信息系統(tǒng)技術(shù)條件（DL/T 924-2005） 相吻合2 發(fā)電廠信息系統(tǒng)安全分級 發(fā)電廠信息系統(tǒng)安全可靠性模型 2 發(fā)電廠信息系統(tǒng)安全分級 發(fā)電廠信息系統(tǒng)安全防護(hù)措施 安全性等級較低的MIS與安全性等級較高的SIS之間采用硬件的物理隔離裝置實(shí)現(xiàn)數(shù)據(jù)的單向傳輸，從技術(shù)上避免了網(wǎng)絡(luò)黑客和計算機(jī)病毒對

10、SIS甚至PCS的破壞。 接口計算機(jī)只從PCS中讀取數(shù)據(jù)，而沒有數(shù)據(jù)從SIS返回PCS。必要時可以在PCS與SIS間安裝防火墻或物理隔離裝置（僅當(dāng)SIS規(guī)劃為安全區(qū)時）。 SIS的網(wǎng)絡(luò)維護(hù)站除具有網(wǎng)絡(luò)配置與管理功能之外，還具有病毒檢測功能； 加強(qiáng)信息系統(tǒng)的安全管理。3 SIS邊界安全 SIS邊界 3 SIS邊界安全編號名稱經(jīng)過的數(shù)據(jù)通信方式環(huán)境信任度I1DCS(分散控制系統(tǒng))接口運(yùn)行實(shí)時數(shù)據(jù)、事件記錄數(shù)據(jù)串并口通信、TCP/IP、OPC等高I2輔控系統(tǒng)接口運(yùn)行實(shí)時數(shù)據(jù)、事件記錄數(shù)據(jù)OPC高I3NCS（網(wǎng)絡(luò)控制系統(tǒng)）接口運(yùn)行實(shí)時數(shù)據(jù)OPC高I4脫硫控制系統(tǒng)接口運(yùn)行實(shí)時數(shù)據(jù)、事件記錄數(shù)據(jù)串并口通信

11、、TCP/IP、OPC等高I5TDM（汽輪機(jī)診斷系統(tǒng)）接口實(shí)時數(shù)據(jù)及分析診斷數(shù)據(jù)TCP/IP中I6爐管泄漏檢測系統(tǒng)接口實(shí)時數(shù)據(jù)及分析診斷數(shù)據(jù)TCP/IP中I7RTU接口調(diào)度數(shù)據(jù)本地局域網(wǎng)，TCP/IP高I8故障錄波接口實(shí)時數(shù)據(jù)專用通信協(xié)議中I9GPS接口時鐘數(shù)據(jù)串口或網(wǎng)絡(luò)接口中O1與MIS（管理信息系統(tǒng)）的接口實(shí)時數(shù)據(jù)、SIS運(yùn)算分析數(shù)據(jù)TCP/IP，通過物理隔離與鏡像中O2與上級生產(chǎn)系統(tǒng)的接口實(shí)時數(shù)據(jù)、SIS運(yùn)算分析數(shù)據(jù)TCP/IP，通過物理隔離與鏡像低O3與其它系統(tǒng)（仿真、報價等）接口實(shí)時數(shù)據(jù)、SIS運(yùn)算分析數(shù)據(jù)TCP/IP，通過物理隔離與鏡像中O4廠級負(fù)荷分配/優(yōu)化控制控制系統(tǒng)設(shè)定值數(shù)據(jù)

12、硬接線或與DCS通信高3 SIS邊界安全 SIS與下層控制系統(tǒng)的連接 3 SIS邊界安全 SIS與上層信息系統(tǒng)的連接 發(fā)電廠管理信息系統(tǒng)（MIS） 上級（發(fā)電集團(tuán)）生產(chǎn)管理系統(tǒng) 發(fā)電廠在線仿真系統(tǒng) 發(fā)電廠報價系統(tǒng)3 SIS邊界安全 SIS內(nèi)網(wǎng)設(shè)備安全 序號設(shè)備名稱數(shù)量安全措施可控性可信度1接口計算機(jī)視具體情況而定，一般510個通過防火墻與下層控制系統(tǒng)隔離；軟件實(shí)現(xiàn)數(shù)據(jù)單向傳輸；數(shù)據(jù)緩存；受內(nèi)網(wǎng)網(wǎng)管軟件管理；內(nèi)網(wǎng)統(tǒng)一配置防病毒、防黑客檢測；放置在生產(chǎn)現(xiàn)場或SIS機(jī)房好。安裝調(diào)試完畢后，不用維護(hù)管理，可脫離鍵盤、鼠標(biāo)、顯示器獨(dú)立運(yùn)行，無人為安全隱患高2數(shù)據(jù)庫服務(wù)器1個或2個（冗余）授權(quán)使用；受內(nèi)網(wǎng)

13、網(wǎng)管軟件管理；內(nèi)網(wǎng)統(tǒng)一配置防病毒、防黑客檢測；放置在SIS機(jī)房較好。維護(hù)管理人員可操作。可能成為病毒的入口較高3功能站包括計算站、維護(hù)站等，一般25個授權(quán)使用；受內(nèi)網(wǎng)網(wǎng)管軟件管理；內(nèi)網(wǎng)統(tǒng)一配置防病毒、防黑客檢測；放置在SIS機(jī)房一般。系統(tǒng)開發(fā)、維護(hù)、調(diào)試人員可操作。可能成為病毒的入口一般4客戶端包括值長站、操作員站等，數(shù)量應(yīng)盡可能少授權(quán)使用；受內(nèi)網(wǎng)網(wǎng)管軟件管理；內(nèi)網(wǎng)統(tǒng)一配置防病毒、防黑客檢測；放置在SIS機(jī)房、運(yùn)行集控室等處低。值長及相關(guān)人員可操作?？赡艹蔀椴《镜娜肟诘? SIS邊界安全 SIS內(nèi)網(wǎng)設(shè)備安全 限制SIS內(nèi)網(wǎng)設(shè)備數(shù)量，使每個內(nèi)網(wǎng)設(shè)備可控在控是行之有效的安全措施之一 在內(nèi)網(wǎng)中，最大

14、的安全隱患是SIS客戶端。典型的SIS客戶端如值長站、運(yùn)行人員監(jiān)視站、數(shù)據(jù)錄入站（主要是煤質(zhì)化驗(yàn)數(shù)據(jù)）等。SIS客戶端由于安裝位置分散、使用人員構(gòu)成復(fù)雜，會給SIS的安全管理造成極大的壓力。因此，建議盡可能少的安裝SIS客戶端。從目前的SIS應(yīng)用水平來看，建議只配置值長、操作員（根據(jù)功能需要）及SIS機(jī)房等少量客戶端。對日?；?yàn)數(shù)據(jù)，建議首先將數(shù)據(jù)統(tǒng)一發(fā)送給SIS錄入員，然后使用單獨(dú)的客戶端進(jìn)行錄入。4 SIS內(nèi)網(wǎng)安全技術(shù) 訪問控制 入網(wǎng)訪問控制策略 操作權(quán)限控制策略 目錄安全控制策略 網(wǎng)絡(luò)監(jiān)測和鎖定控制策略 客戶端計算機(jī)應(yīng)取消軟驅(qū)、光驅(qū)，并屏蔽USB端口 SIS系統(tǒng)專用設(shè)備，不可與MIS系統(tǒng)

15、混用4 SIS內(nèi)網(wǎng)安全技術(shù) 遠(yuǎn)程撥號訪問 不易使用遠(yuǎn)程撥號訪問PCS及SIS內(nèi)網(wǎng)。 安全審計 對網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計，及時自動分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理 對于確實(shí)需要遠(yuǎn)程維護(hù)的下層控制系統(tǒng)，如遠(yuǎn)程診斷、遠(yuǎn)程升級等，應(yīng)采取身份驗(yàn)證等措施，規(guī)定訪問時間，并確保遠(yuǎn)程訪問時及訪問后不留安全隱患。其訪問控制策略及安全防護(hù)由下層控制系統(tǒng)維護(hù)管理人員負(fù)責(zé)。4 SIS內(nèi)網(wǎng)安全技術(shù) 防病毒措施 病毒的防護(hù)應(yīng)覆蓋SIS內(nèi)網(wǎng)所有的主機(jī)、功能站及客戶端 入侵檢測 IDS 若SIS與MIS間采用單向物理隔離裝置，此時SIS網(wǎng)

16、絡(luò)的入侵檢測就不是十分必要；當(dāng)采用DCS與SIS間進(jìn)行單向物理隔離，SIS與MIS間安裝防火墻的網(wǎng)絡(luò)配置時，這時應(yīng)在信息系統(tǒng)中設(shè)置入侵檢測系統(tǒng)，保護(hù)MIS與SIS免受黑客的攻擊 病毒定義代碼采用手動升級方式 定期對系統(tǒng)中的計算機(jī)設(shè)備進(jìn)行全面的病毒掃描和殺毒4 SIS內(nèi)網(wǎng)安全技術(shù) 主機(jī)防護(hù) 安全配置 數(shù)據(jù)保護(hù) 安全可靠的數(shù)據(jù)存儲方案 安全補(bǔ)丁 主機(jī)加固 數(shù)據(jù)備份 異地保存 數(shù)據(jù)恢復(fù) 數(shù)據(jù)訪問控制4 SIS內(nèi)網(wǎng)安全技術(shù) 防火墻 布置在安全區(qū)I與安全區(qū)II之間，實(shí)現(xiàn)兩個區(qū)域的邏輯隔離、報文過濾、訪問控制等功能。在SIS與下層控制系統(tǒng)之間，視情況可安裝防火墻 優(yōu)點(diǎn)是技術(shù)成熟、適用性強(qiáng)、效率高、可選擇性

17、好、使用維護(hù)方便；不足之處是不能徹底避免安全漏洞，不能防止由于應(yīng)用程序安全隱患帶來的問題，無法抵御通過電子郵件等途徑傳播病毒，對未知的攻擊和病毒不能提供有效防護(hù)，不能徹底保證內(nèi)部網(wǎng)絡(luò)信息的安全，不能滿足電力監(jiān)控系統(tǒng)等核心系統(tǒng)或敏感信息的安全和保密需求。4 SIS內(nèi)網(wǎng)安全技術(shù) 物理隔離裝置 內(nèi)部信息網(wǎng)絡(luò)不和外部信息網(wǎng)絡(luò)相連、從物理上斷開 優(yōu)點(diǎn)是安全強(qiáng)度高（絕對隔離），沒有穿透性傳輸控制協(xié)議（TCP）鏈接，能真正做到防攻擊、防病毒，針對性很強(qiáng)。缺點(diǎn)是通信效率受限、使用維護(hù)較復(fù)雜、必須針對具體設(shè)備專門開發(fā)和改造通信程序，在SIS與DCS間加裝單向物理隔離裝置后，類似OPC（OLE for Proce

18、ss Control）等標(biāo)準(zhǔn)接口將無法采用。5 機(jī)房安全 應(yīng)建有專門的SIS機(jī)房，存放SIS交換機(jī)、數(shù)據(jù)庫服務(wù)器、工作站、防火墻、物理隔離裝置、接口計算機(jī)等SIS設(shè)備。SIS機(jī)房也可與DCS工程師間共用，或設(shè)置在電子間內(nèi)，但必須統(tǒng)一考慮散熱、空調(diào)、電源、防火等 當(dāng)SIS與MIS共用同一房間時，要在房間內(nèi)設(shè)置封閉的SIS機(jī)房，將SIS設(shè)備集中放置，SIS機(jī)房具有嚴(yán)格的管理制度 機(jī)房門禁系統(tǒng) 滿足國家標(biāo)準(zhǔn)電子計算機(jī)房設(shè)計規(guī)范（GB50174-93）及其它相關(guān)標(biāo)準(zhǔn)的要求 機(jī)房監(jiān)控攝像系統(tǒng)6 安全管理 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 、電監(jiān)會電力二次系統(tǒng)安全防護(hù)規(guī)定 、國家電網(wǎng)公司在關(guān)于加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作的意見 等關(guān)于網(wǎng)絡(luò)安全管理都有明確規(guī)定 安全管理要求 誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé) 建立電力二次系統(tǒng)建立健全信息安全管理責(zé)任制估制度 聯(lián)合防護(hù)和應(yīng)急機(jī)制 ，制定應(yīng)急預(yù)案 建立健全信息安全管理責(zé)任制 6 安全管理 建立完善的安全分級負(fù)責(zé)制 本著“誰主管，誰負(fù)責(zé)”和“誰經(jīng)營，誰負(fù)責(zé)”的原則，落實(shí)發(fā)電廠信息系統(tǒng)的安全責(zé)任。設(shè)置發(fā)電廠信息系統(tǒng)安全防護(hù)小組或?qū)Ｂ毴藛T。 組織建設(shè) 明確各級人員的安全職責(zé) 發(fā)電廠的主要負(fù)責(zé)人為該單位所管轄的信息系統(tǒng)安全防護(hù)第一責(zé)任人 指定專人負(fù)責(zé)管理本單位SIS系統(tǒng) 6 安全管理