電力二次系統(tǒng)作為電網(wǎng)公司的重要生產(chǎn)系統(tǒng),長期受到極大的關(guān)注,,電監(jiān)會按照安全分區(qū),、網(wǎng)絡(luò)專用、橫向隔離,、縱向認(rèn)證的思路,,將電力網(wǎng)絡(luò)劃分為一區(qū)、二區(qū),、三區(qū)和四區(qū),,其中一區(qū)為生產(chǎn)實(shí)時(shí)控制大區(qū),二區(qū)為生產(chǎn)非實(shí)時(shí)控制大區(qū),,三區(qū)則為生產(chǎn)管理區(qū),,四區(qū)主要為管理信息系統(tǒng)和企業(yè)ERP系統(tǒng)等。
方案背景
根據(jù)《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》(以下簡稱《規(guī)定》),,對電力系統(tǒng)安全建設(shè)具有重要的指導(dǎo)意義,。2006年電監(jiān)會印發(fā)了《電力二次系統(tǒng)安全防護(hù)總體方案》,提出了省級以上調(diào)度中心,、地縣級調(diào)度中心,、發(fā)電廠、變電站等的二次系統(tǒng)安全防護(hù)方案,。這些制度和方案對各省電力公司的安全體系建設(shè)起著指導(dǎo)意義,。
安全需求
本文根據(jù)電力二次系統(tǒng)的防護(hù)要求,總體按照橫向隔離,,縱向認(rèn)證的主體,,提出了省級以上調(diào)度中心、地縣級調(diào)度中心,、發(fā)電廠,、變電站、配電等的二次系統(tǒng)安全防護(hù)方案,,綜合采用防火墻,、入侵檢測、病毒防護(hù),、審計(jì),、安全管理等多種手段,,對二次系統(tǒng)的安全運(yùn)行提供穩(wěn)定可靠的運(yùn)行環(huán)境。電力二次系統(tǒng)安全防護(hù)工作的具體需求如下:
防病毒,、木馬等惡意代碼的侵害,;
保護(hù)電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的可用性和連續(xù)性;
保護(hù)重要信息在存儲和傳輸過程中的機(jī)密性,、完整性,;
實(shí)現(xiàn)應(yīng)用系統(tǒng)和設(shè)備接入電力二次系統(tǒng)的身份認(rèn)證,防止非法接入和非授權(quán)訪問,;
實(shí)現(xiàn)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)安全事件可發(fā)現(xiàn),、可跟蹤和可審計(jì);
實(shí)現(xiàn)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全管理,。
設(shè)計(jì)思路
首先,,對于電力調(diào)度數(shù)據(jù)網(wǎng),按照國家電監(jiān)會《電力二次系統(tǒng)安全防護(hù)規(guī)定》的要求,,電力調(diào)度數(shù)據(jù)網(wǎng)實(shí)現(xiàn)"安全分區(qū),、網(wǎng)絡(luò)專用、橫向隔離,、縱向認(rèn)證",。
其次,對于電力企業(yè)數(shù)據(jù)網(wǎng),,依據(jù)國家電網(wǎng)公司的指導(dǎo)意見,,并結(jié)合國家電監(jiān)會《電力二次系統(tǒng)安全防護(hù)規(guī)定》的 "安全分區(qū)、網(wǎng)絡(luò)專用,、橫向隔離,、縱向認(rèn)證"。
方案設(shè)計(jì)
本方案依據(jù)《電力二次系統(tǒng)安全防護(hù)規(guī)定》和《電力二次系統(tǒng)安全防護(hù)總體方案》等系列方案,,并結(jié)合天融信在電力行業(yè)的多年積累,,從電力調(diào)度數(shù)據(jù)網(wǎng)和電力企業(yè)數(shù)據(jù)網(wǎng)兩個(gè)方面講解了電力二次系統(tǒng)安全防護(hù)的重點(diǎn),系統(tǒng)安全防護(hù)示意圖如下:
在局域上與其他網(wǎng)絡(luò)間必須使用電力系統(tǒng)專用隔離裝置進(jìn)行隔離,,I區(qū)縱向必須使用IP認(rèn)證裝置認(rèn)證,,II區(qū)可以使用IP認(rèn)證裝置或硬件防火墻作安全防護(hù);
控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火墻,、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯隔離,。
安全區(qū)間網(wǎng)絡(luò)橫向和縱向邊界可部署IDS探頭,對邊界網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行動態(tài)檢測,,以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件,。
在生產(chǎn)控制大區(qū)部署綜合安全管理平臺或日志審計(jì)系統(tǒng),對各種網(wǎng)絡(luò)設(shè)備運(yùn)行日志,、操作系統(tǒng)運(yùn)行日志,、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志,、安全防護(hù)設(shè)備運(yùn)行日志等進(jìn)行集中收集,、自動分析和告警處理。
安全區(qū)內(nèi)應(yīng)部署防病毒系統(tǒng),,定期查殺病毒,。
調(diào)度數(shù)據(jù)網(wǎng)中路由和交換設(shè)備的安全加固。
通過冗余備份機(jī)制增強(qiáng)核心網(wǎng)絡(luò)節(jié)點(diǎn)的可靠性,。
重要服務(wù)器和通信網(wǎng)關(guān)定期進(jìn)行安全評估和加固,,條件具備情況下,可采用調(diào)度數(shù)字證書進(jìn)行登錄的強(qiáng)身份認(rèn)證,。
方案效果
解決生產(chǎn)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離問題,。
解決網(wǎng)絡(luò)重要區(qū)域存在的單點(diǎn)故障問題。
解決了訪問控制身份認(rèn)證與授權(quán)問題,。
解決網(wǎng)絡(luò)入侵或病毒爆發(fā)監(jiān)控與預(yù)警問題,。
解決對不同安全產(chǎn)品日志集中審計(jì)與風(fēng)險(xiǎn)分析問題。
解決了終端病毒防護(hù)能力較弱問題,。
解決網(wǎng)絡(luò)設(shè)備和策略存在漏洞問題,。
解決對重要業(yè)務(wù)系統(tǒng)和服務(wù)器使用的強(qiáng)身份認(rèn)證問題。