電力調度通信中心系統(tǒng)安全防護方案設計及實現(xiàn)

1、 PAGE 6電力調度通信中心系統(tǒng)安全防護方案設計及系統(tǒng)實現(xiàn)目 錄 TOC o 1-3 h z u HYPERLINK l _Toc29542233 一、引言 PAGEREF _Toc29542233 h 3 HYPERLINK l _Toc29542234 二、電力調度通信中心二次系統(tǒng)安全防護方案設計及實施 PAGEREF _Toc29542234 h 3 HYPERLINK l _Toc29542235 2.1.電力調度通信中心二次系統(tǒng)安全分區(qū)設計 PAGEREF _Toc29542235 h 3 HYPERLINK l _Toc29542236 2.2. 電力系統(tǒng)專用隔離裝置的部署 PA

2、GEREF _Toc29542236 h 6 HYPERLINK l _Toc29542237 反向型專用隔離裝置 PAGEREF _Toc29542237 h 6 HYPERLINK l _Toc29542238 2.3基于防火墻的安全防護體系的設計 PAGEREF _Toc29542238 h 3 HYPERLINK l _Toc29542239 調通中心防火墻的部署 PAGEREF _Toc29542239 h 4 HYPERLINK l _Toc29542240 2.4基于入侵檢測（IDS）的安全防護體系的設計 PAGEREF _Toc29542240 h 4 HYPERLINK l

3、_Toc29542241 基于網(wǎng)絡的入侵檢測 PAGEREF _Toc29542241 h 4 HYPERLINK l _Toc29542242 基于主機的入侵檢測 PAGEREF _Toc29542242 h 6 HYPERLINK l _Toc29542243 2.5網(wǎng)絡防病毒的方案設計 PAGEREF _Toc29542243 h 6 HYPERLINK l _Toc29542244 2.6. 撥號訪問認證 PAGEREF _Toc29542244 h 7 HYPERLINK l _Toc29542245 2.7. 數(shù)據(jù)備份與災難恢復系統(tǒng)設計 PAGEREF _Toc29542245 h

4、 8 HYPERLINK l _Toc29542246 2.8. 應用軟件改造 PAGEREF _Toc29542246 h 9 HYPERLINK l _Toc29542247 應用軟件改造技術要求 PAGEREF _Toc29542247 h 9 HYPERLINK l _Toc29542248 跨越隔離裝置的應用軟件改造 PAGEREF _Toc29542248 h 10 HYPERLINK l _Toc29542249 三、結論 PAGEREF _Toc29542249 h 10引言按照中華人民共和國國家經(jīng)濟貿(mào)易委員會第 30 號令電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護的規(guī)定以

5、及國家電力調度通信中心全國電網(wǎng)二次系統(tǒng)安全防護總體框架的要求，結合華中電力調度通信中心的具體情況而組織制訂了華中電力調度通信中心二次系統(tǒng)安全防護技術方案并開始部署實施。目的是防范對華中電網(wǎng)調度自動化系統(tǒng)、調度生產(chǎn)管理信息系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡的攻擊侵害及由此引起的電力系統(tǒng)事故，以保障華中電網(wǎng)的安全、穩(wěn)定、經(jīng)濟運行，保護國家重要基礎設施的安全。華中電力調度通信中心二次系統(tǒng)安全防護所涵蓋的范圍包括：調度數(shù)據(jù)網(wǎng)絡、調度自動化（EMS）系統(tǒng)、水調自動化系統(tǒng)、電能量計費系統(tǒng)、調度生產(chǎn)管理（DMIS）系統(tǒng)、調通中心局域網(wǎng)中所有網(wǎng)絡和計算機應用系統(tǒng)。網(wǎng)絡安全防護的重點是抵御病毒、黑客等通過各種形式對系統(tǒng)的發(fā)起的

6、惡意破壞和攻擊，尤其是集團式攻擊，重點保護實時閉環(huán)監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡的安全，從而保障國家重要基礎設施 電力系統(tǒng)的安全。電力調度通信中心二次系統(tǒng)安全防護方案設計及實施2.1.電力調度通信中心二次系統(tǒng)安全分區(qū)設計隨著計算機技術和網(wǎng)絡技術的發(fā)展，接入華中電力調度通信中心局域網(wǎng)的應用系統(tǒng)越來越多，在各個系統(tǒng)及用戶之間的數(shù)據(jù)交換也越來越頻繁，加之在一些系統(tǒng)的規(guī)劃、設計、建設時，對網(wǎng)絡安全問題重視不夠， 使得系統(tǒng)存在一些安全隱患，這對調通中心的調度自動化系統(tǒng)和調度數(shù)據(jù)網(wǎng)絡的安全性、可靠性、實時性提出了嚴峻的挑戰(zhàn)，構成了對電網(wǎng)安全運行的潛在威脅和嚴重隱患。、通根據(jù)電力二次系統(tǒng)的特點，各相關業(yè)務系統(tǒng)的重要

7、程度和數(shù)據(jù)流程目前狀況和安全需求，以及國調中心的技術要求，我們將華中電力調度信中心二次系統(tǒng)分為四個安全區(qū)：I 實時控制區(qū)、II 非控制生產(chǎn)區(qū)、III 生產(chǎn)管理區(qū)、IV 管理信息區(qū)。其中安全區(qū)的安全等級最高，安全區(qū) II 次之，其余依次類推。采用三角結構實現(xiàn)不同安全區(qū)之間的互連，即安全區(qū) I、II 分別通過專用隔離裝置與安全區(qū) III 互連，安全區(qū) I 和安全區(qū)II 之間采用防火墻等隔離設備實現(xiàn)互連。根據(jù)華中網(wǎng)各業(yè)務系統(tǒng)的實時性、使用者、功能、場所、相互關系、廣域網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響，將其分置于四個安全區(qū)之中。其中調度自動化系統(tǒng)、穩(wěn)定控制在線預決策及控制系統(tǒng)的監(jiān)視和管理系統(tǒng)等

8、位于安全區(qū)；電能量計量系統(tǒng)、水調自動化系統(tǒng)、華中電網(wǎng)綜合考核系統(tǒng)、故障錄波管理系統(tǒng)等位于安全區(qū) II；華中電網(wǎng)調度管理信息系統(tǒng)、檢修票系統(tǒng)、保護定值通知單管理系統(tǒng)等位于安全區(qū) III；辦公自動化系統(tǒng)等位于安全區(qū) IV。2.2. 電力系統(tǒng)專用隔離裝置的部署正向型專用隔離裝置由于華中電力調度通信中心網(wǎng)絡安全防護方案采用三角型連接方式， 因此在安全區(qū)與安全區(qū)之間、安全區(qū)與安全區(qū)分別部署一臺正向型專用隔離裝置。反向型專用隔離裝置裝專用安全隔離裝置（反向）用于從安全區(qū) III 到安全區(qū) I/II 傳遞數(shù)據(jù)，是安全區(qū) III 到安全區(qū) I/II 的唯一數(shù)據(jù)傳遞途徑。專用安全隔離 PAGE 4置（反向）集中

9、接收安全區(qū) III 發(fā)向安全區(qū) I/II 的數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢查等處理后，轉發(fā)給安全區(qū) I/II 內(nèi)部的接收程序。路由器Cisco 3640正向隔離裝置安全區(qū)三層交換機Catalyst8540安全區(qū)防火墻安全區(qū)三層交換機(待購)正向隔離裝置路由器Cisco 3640安全區(qū)三層交換機Catalyst8540安全區(qū)防火墻安全區(qū)通信服務器三層交換機(待購)通信服務器反向隔離裝置考慮到調通中心安全區(qū) I 和安全區(qū) II 之間是弱保護，同時由于安全區(qū)到安全區(qū) I/II 的數(shù)據(jù)通信實時性要求不高而且業(yè)務數(shù)據(jù)量較少，目前就日計劃數(shù)據(jù)送安全區(qū) I，氣象數(shù)據(jù)、檢修和計劃數(shù)據(jù)送安全區(qū) II，因

10、此在安全區(qū) I/II 中共享一個反向通信服務器，與安全區(qū)的反向通信服務器進行數(shù)據(jù)的交換，反向型專用安全隔離裝置平時關閉，只有需要從安全區(qū) III 向安全區(qū) I、II 傳輸數(shù)據(jù)時才臨時開通，數(shù)據(jù)傳輸完畢后就立即關閉。2.3基于防火墻的安全防護體系的設計防火墻是 Internet/Intranet 上公認網(wǎng)絡存取控制最佳的安全解決方案，網(wǎng)絡公司正式將防火墻列入信息安全機制；防火墻是軟硬件的結合體，架設在網(wǎng)絡之間以確保安全的連接。因此它可以當作 Internet、Intranet 或 Extranet 的網(wǎng)關器，以定義一個規(guī)則組合或安全政策，來控制網(wǎng)絡間的通訊。并可有效率的記錄各種 Internet

11、 應用服務的存取信息、隱藏企業(yè)內(nèi)部資源、減少企業(yè)網(wǎng)絡曝露的危機等。所以正確安全的防火墻架構必須讓所有外部到內(nèi)部或內(nèi)部到外部的封包都必須通過防火墻，且唯有符合安全政策定義的封包，才能通過防火墻。調通中心防火墻的部署安全區(qū)和安全之間的隔離；安全區(qū)中 DMIS 網(wǎng)絡與華中電網(wǎng)有限公司局域網(wǎng)絡間的隔離；安全區(qū)中 DMIS 網(wǎng)絡與電話管理服務系統(tǒng)之間的隔離；安全區(qū)中 DMIS 網(wǎng)絡與華中電力氣象服務系統(tǒng)之間的隔離； PAGE 7安全區(qū)中 DMIS 網(wǎng)絡與電力通信網(wǎng)（SPTNet）之間的隔離；2.4基于入侵檢測（IDS）的安全防護體系的設計防火墻只是保護計算機網(wǎng)絡系統(tǒng)的第一道防線，它主要側重在對通訊的源、

12、目的地址和端口進行限制。在實際應用中，用戶的業(yè)務要求所有地址都可以訪問 WEB 服務器上的 WEB 應用，所以即使有了防火墻，黑客還是可以從任何地方訪問 WEB 服務器，數(shù)據(jù)包要通過 DMZ 區(qū)域網(wǎng)絡傳輸，這些數(shù)據(jù)包中很可能包含入侵攻擊代碼。入侵檢測技術是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡安全技術。入侵檢測技術可以幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的關鍵點收集信息，并分析這些信息， 看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，它在不影

13、響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。基于網(wǎng)絡的入侵檢測基于網(wǎng)絡的 IDS 主要用于實時監(jiān)控網(wǎng)絡關鍵路徑的信息。它可利用工作在混合模式下的網(wǎng)卡實時監(jiān)視和分析所有通過共享網(wǎng)絡的傳輸?；诰W(wǎng)絡的 IDS 一般被放置在比較重要的網(wǎng)段內(nèi)，部分也可以利用交換式網(wǎng)絡中的端口映射功能來監(jiān)視特定端口的網(wǎng)絡入侵行為。一旦攻擊被檢測到，響應模塊按照配置對攻擊做出反應。通常這些反應包括發(fā)送電子郵件、尋呼、記錄日志、切斷網(wǎng)絡連接等。IDS 探頭 1：監(jiān)控 SCADA/EMS 系統(tǒng)內(nèi)部訪問活動；IDS 探頭 2：監(jiān)控 SCADA/EMS 系統(tǒng)與 SPDnet 之間的訪問活動

14、；IDS 探頭 3：監(jiān)控撥號進入 SCADA/EMS 系統(tǒng)的訪問活動；IDS 探頭 4：監(jiān)控 DMIS 系統(tǒng)與 SPInet 之間的訪問活動；IDS 探頭 5：監(jiān)控 DMIS 遠程用戶的訪問活動；的以上基于網(wǎng)絡的入侵檢測實施后，可提供包括限制 Web 訪問、監(jiān)控/ 阻塞/報警、入侵探測、攻擊探測、惡意 applets、惡意 Email 等在內(nèi)安全保護措施?；谥鳈C的入侵檢測基于主機的入侵檢測系統(tǒng)用于保護關鍵應用的服務器，實時監(jiān)視可疑的連接、系統(tǒng)日志、非法訪問的闖入等，并且提供對典型應用的監(jiān)視，如Web 服務器應用?；谥鳈C的 IDS 通常采用查看針對可疑行為的審計記錄來執(zhí)行。它能夠比較新的記錄

15、條目與攻擊特征，并檢查不應該改變的系統(tǒng)文件的校驗和分析系統(tǒng)是否被侵入或者被攻擊。兩種入侵檢測系統(tǒng)都具有自己的優(yōu)點和不足，互相可作為補充?；谥鳈C的入侵檢測系統(tǒng)可以精確地判斷入侵事件，可對入侵事件立即進行反應，還可針對不同操作系統(tǒng)的特點判斷應用層的入侵事件; 其缺點是會占用主機寶貴的資源。 基于網(wǎng)絡的入侵檢測系統(tǒng)只能監(jiān)視經(jīng)過本網(wǎng)段的活動，并且精確度較差，在交換網(wǎng)絡環(huán)境中難于配置，防入侵欺騙的能力也比較差; 但是它可以提供實時網(wǎng)絡監(jiān)視，并且監(jiān)視力度更細致。建立調通中心安全監(jiān)測中心，實現(xiàn)對入侵檢測系統(tǒng)中探頭（或稱為探測器）的統(tǒng)一管理與控制，它與探頭之間可以通過單獨通道建立連接。這樣既可以使安全監(jiān)測中

16、心在網(wǎng)絡中隱形，也可以使安全監(jiān)測中心與探頭之間的通信不占用被檢測網(wǎng)絡的帶寬資源。2.5網(wǎng)絡防病毒的方案設計2.5.1華中電力調度通信中心防病毒系統(tǒng)的實施按照四安全區(qū)的劃分，調通中心的網(wǎng)絡防病毒系統(tǒng)應該包括兩部分， 以專用隔離裝置為界，分別實施。根據(jù)華中電力調度通信中心計算機的網(wǎng)絡結構和對病毒來源的分析， 每套網(wǎng)絡病毒防護系統(tǒng)均應由四部分組成：在調通中心建立中心級防病毒管理中心：可以管理到網(wǎng)絡中的任何一臺防病毒計算機，進行病毒定義碼的更新、防病毒政策的設定、病毒情況的監(jiān)控、手動的、定時的病毒掃描及清除、病毒日志及匯總報表以及集中隔離未知病毒；網(wǎng)關級病毒防護：主要針對通過 Internet 出口連

17、接點、撥號訪問點等集中進行病毒掃描，對郵件的附件進行病毒過濾；務群件服務器病毒防護：針對 Microsoft Exchange Server 郵件服 PAGE 9器和 Lotus Notes Domino 服務器這種協(xié)同工作機制的服務器進行病毒防護；客 戶 端 病 毒 防 護 ： 針 對 各 種 桌 面 操 作 系 統(tǒng) ， 如 Windows95/98/Me/NT/2000/XP 等，進行病毒掃描和清除。2.6. 撥號訪問認證目前，華中電力調度通信中心撥號訪問的有四種情況：位于安全區(qū)的用于對調度自動化系統(tǒng)遠程維護的撥號服務器；位于安全區(qū)的用于移動辦公和調度管理信息（DMIS）系統(tǒng)的撥號服務器；

18、一些專用系統(tǒng)的撥號服務；終端用戶辦公微機的撥號訪問；針對這四種不同的撥號需求，我們考慮在電力系統(tǒng)縱向認證加密設備研制成功以前，在安全區(qū)/設一臺具有 IPSec VPN 功能的防火墻，在保持采用回撥機制的情況下，通過防火墻的 IPSec VPN 功能和基于令牌的一次性口令對接入的用戶進行嚴格的身份認證，并對其訪問進行詳細的審計記錄；在安全區(qū)就利用現(xiàn)有的CISCO 3640 撥號訪問路由器，將TACACS+ 認證和路由器的訪問控制列表（ACL）相結合，實現(xiàn)用戶的安全訪問。對于一些專用系統(tǒng)的撥號，我們考慮將原有的撥號方式將逐漸轉變?yōu)榫W(wǎng)絡方式，在轉換之前，我們要求調通中心主站端主動撥號發(fā)起連接到各個廠

19、站端，禁止廠站端的主動連接；對于終端用戶辦公微機的撥號，我們原則上不允許，如因工作需要必須使用時，應請示相關領導，并通知自動化科專業(yè)技術人員，定時定點使用，同時做好記錄。在使用前，應先斷開該機器與 DMIS 之間的網(wǎng)絡連接，然后再進行撥號，操作完成后，應及時斷開撥號連接，最后再恢復其與 DMIS 網(wǎng)絡的連接。2.7. 數(shù)據(jù)備份與災難恢復系統(tǒng)設計由于專用隔離裝置的技術要求，我們考慮在調通中心安全區(qū)/和安全區(qū)/中分開部署實施數(shù)據(jù)備份和災難恢復系統(tǒng)，因此需要兩套數(shù)據(jù)備份與災難恢復系統(tǒng)。，由于安全區(qū)中的調度自動化（EMS）系統(tǒng)是相對封閉的專用系統(tǒng)采用的雙網(wǎng)、雙機冗余，系統(tǒng)的可靠性相對較高，而且采用的磁

20、帶和硬盤等介質定期備份，備份的實用性和系統(tǒng)的完全性都較好，因此我們認為可以暫時不更改它的備份和恢復策略。另外，國網(wǎng)公司2003177 號文關于印發(fā)的通知中指出，用戶終端上的辦公數(shù)據(jù)屬于本單位數(shù)據(jù)資源的一部分，要統(tǒng)一納入數(shù)據(jù)備份與管理體制。因此我們考慮在安全區(qū)中增設一臺數(shù)據(jù)共享服務器，將其納入?yún)^(qū)的數(shù)據(jù)備份和災難恢復系統(tǒng)，并在服務器上為調通中心每個職工開辟一塊固定大小的存儲區(qū)域，放置每個職工的辦公數(shù)據(jù)，在提高共享的同時，確保用戶數(shù)據(jù)的安全性。2.8. 應用軟件改造由于國調中心網(wǎng)絡安全防護技術方案的要求和華中電力調度通信中心網(wǎng)絡安全防護的需要，我們在安全區(qū)/和安全區(qū)之間加裝了正向和反向的專用隔離裝置，要求穿過隔離裝置的應用的數(shù)據(jù)流均只能單向傳輸，因此相當多的原有應用系統(tǒng)需要改造。應用軟件改造技術要求要求從位于高安全等級的安全區(qū)的應用向低安全等級的安全區(qū)的應用發(fā)起連接；正向隔離裝置僅允許從安全區(qū)/到安全區(qū)的單向數(shù)據(jù)流傳遞；反向隔離裝置僅允許從安全區(qū)到安全區(qū)/的單向數(shù)據(jù)流傳遞；禁止 SQL 查詢、API 調用、FTP、WEB 等應用穿透隔離裝置；禁止應用程序以操作系統(tǒng)的超級用戶