电力二次系统安全防护培训.ppt
- 文档编号:18850312
- 上传时间:2024-01-28
- 格式:PPT
- 页数:71
- 大小:3.12MB
电力二次系统安全防护培训.ppt
《电力二次系统安全防护培训.ppt》由会员分享,可在线阅读,更多相关《电力二次系统安全防护培训.ppt(71页珍藏版)》请在冰点文库上搜索。
电力二次系统安全防护培训2014年年12月月引言引言电力二次系统为什么要重视安全防护电力二次系统为什么要重视安全防护?
银行系统的安全防护银行系统的安全防护银行系统的安全防护银行系统的安全防护优先级优先级风险风险说明说明/举例举例0旁路控制旁路控制(BypassingControls)入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。
1完整性破坏完整性破坏(IntegrityViolation)非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数据。
2违反授权违反授权(AuthorizationViolation)电力控制系统工作人员利用授权身份或设备,执行非授权的操作。
3工作人员的随意行为工作人员的随意行为(Indiscretion)电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。
4拦截拦截/篡改篡改(Intercept/Alter)拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。
5非法使用非法使用(IllegitimateUse)非授权使用计算机或网络资源。
6信息泄漏信息泄漏(InformationLeakage)口令、证书等敏感信息泄密。
7欺骗欺骗(Spoof)Web服务欺骗攻击;IP欺骗攻击。
8伪装伪装(Masquerade)入侵者伪装合法身份,进入电力监控系统。
9拒绝服务拒绝服务(Availability,e.g.DoS)向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。
10窃听窃听(Eavesdropping,e.g.DataConfidentiality)黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击准备数据。
二次系统主要安全风险二次系统主要安全风险二次安防实施背景电网控制设备故障可能引发或扩大电网事故重大重大停电停电故障故障200020012002200320042005200620072008200920102011200020012002200320042005200620072008200920102011年年200020012002200320042005200620072008200920102011200020012002200320042005200620072008200920102011年年信息信息安全安全事件事件2000年10月13日二滩电站收外网信号突甩出力89万千瓦2000年10月13日二滩电站收外网信号突甩出力89万千瓦2001年10月1日全国146套故障录波器出现时间逻辑炸弹2001年10月1日全国146套故障录波器出现时间逻辑炸弹2003年12月30日三峡送出工程三个换流站感染病毒2003年12月30日三峡送出工程三个换流站感染病毒2008年8月奥运期间涉奥电网受到外网攻击8939次2008年8月奥运期间涉奥电网受到外网攻击8939次2010年9月,“震网”病毒攻击伊朗核电站设施2010年9月,“震网”病毒攻击伊朗核电站设施2003年8月14日美国和加拿大停电2003年8月14日美国和加拿大停电2006年11月4日欧洲电网解列停电2006年11月4日欧洲电网解列停电2007年末08年初我国南方冰雪灾害电网受损2007年末08年初我国南方冰雪灾害电网受损2008年5月12日我国汶川地震电网受损2008年5月12日我国汶川地震电网受损2009年11月1日和2011年2月4日巴西电网停电2009年11月1日和2011年2月4日巴西电网停电2011年3月,日本9.0级大地震引发海啸导致福岛核电危机2011年3月,日本9.0级大地震引发海啸导致福岛核电危机二滩水电厂异常停机事件;二滩水电厂异常停机事件;故障录波装置“时间逻辑炸弹”事件;故障录波装置“时间逻辑炸弹”事件;换流站控制系统感染病毒事件;换流站控制系统感染病毒事件;电力二次系统安全事件电力二次系统安全事件近年世界上大停电事故反近年世界上大停电事故反映出电力二次系统的脆弱映出电力二次系统的脆弱性和重要性。
性和重要性。
内容大纲内容大纲电力调度数据网简介电力调度数据网简介电力二次系统安全防护基本原则电力二次系统安全防护基本原则安全防护技术和装置安全防护技术和装置二次安防相关文件学习二次安防相关文件学习电厂二次系统安全防护方案及业务接入方案电厂二次系统安全防护方案及业务接入方案第一部分第一部分电力调度数据网简介电力调度数据网简介相关文件精神发改委发改委2014年第年第14号令号令电力行业信息系统安全定级工作指导意见电力行业信息系统安全定级工作指导意见2007关于印发关于印发电力二次系统安全防护总体方案电力二次系统安全防护总体方案等安等安全防护方案的通知(电监安全全防护方案的通知(电监安全200634号)号)总体方案:
主要目标总体方案:
主要目标电电电电力力力力信信信信息息息息系系系系统统统统电电电电力力力力调调调调度度度度系系系系统统统统出出口口出出口口调度中心调度中心调度中心调度中心电厂电厂电厂电厂变电站变电站变电站变电站控制系统控制系统控制系统控制系统外部因特网外部因特网建立电力二次系统安全防护体系,有效抵御黑客、建立电力二次系统安全防护体系,有效抵御黑客、恶意代码等各种形式的攻击,尤其是集团式攻击,重点是恶意代码等各种形式的攻击,尤其是集团式攻击,重点是保障电力二次系统安全稳定,防止由此引起电力系统事故保障电力二次系统安全稳定,防止由此引起电力系统事故。
1)系统性原则(木桶原理);系统性原则(木桶原理);2)简单性原则;简单性原则;3)实时、连续、安全相统一的原则;实时、连续、安全相统一的原则;4)需求、风险、代价相平衡的原则;需求、风险、代价相平衡的原则;5)实用与先进相结合的原则;实用与先进相结合的原则;6)方便与安全相统一的原则;方便与安全相统一的原则;7)全面防护、突出重点(实时闭环控制部分)的原则全面防护、突出重点(实时闭环控制部分)的原则8)分层分区、强化边界的原则;分层分区、强化边界的原则;9)整体规划、分步实施的原则;整体规划、分步实施的原则;10)责任到人,分级管理,联合防护的原则。
责任到人,分级管理,联合防护的原则。
总体方案:
总体原则总体方案:
总体原则PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护防护防护检测检测检测检测反应反应反应反应策略策略策略策略PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护防护防护检测检测检测检测反应反应反应反应策略策略策略策略防火墙、防病毒、横防火墙、防病毒、横行隔离装置、纵向加行隔离装置、纵向加密认证装置等密认证装置等入侵检测、安全审入侵检测、安全审计、安全综合告警计、安全综合告警等等快速响应、调度系统快速响应、调度系统联合防护、网络快速联合防护、网络快速处理等处理等总体方案:
防护模型和技术路线总体方案:
防护模型和技术路线综合采用通用安全技术,开发关键专用安全技术。
综合采用通用安全技术,开发关键专用安全技术。
电力二次系统安全防护体系4、纵向认、纵向认证证3、横向隔离、横向隔离电力企业数据网电力企业数据网控制区控制区非控制区非控制区管理区管理区信息区信息区电力调度数据网电力调度数据网生产控制大区管理信息大区防火墙2、网络专用、网络专用1、安全分区、安全分区11223344在对电力二次系统进行了全面系统的安全在对电力二次系统进行了全面系统的安全分析基础上,提出了分析基础上,提出了十六字十六字总体安全总体安全防护策略防护策略。
总体方案:
安全分区总体方案:
安全分区实时子网非实时子网纵向加密认证装置控制区控制区(安全区安全区I)非控制区非控制区(安全区安全区II)电力企业数据网防火墙防火墙纵向加密认证装置纵向加密认证装置纵向加密认证装置纵向加密认证装置纵向加密认证装置控制区控制区(安全区安全区I)非控制区非控制区(安全区安全区II)防火墙防火墙专线专用专用安全安全隔离隔离装置装置专用专用安全安全隔离隔离装置装置(正向型)(反向型)生产控制大区生产控制大区生产控制大区生产控制大区管理信息大区管理信息大区管理信息大区管理信息大区专用专用安全安全隔离隔离装置装置专用专用安全安全隔离隔离装置装置(正向型)(反向型)逻辑隔离设施逻辑隔离设施调度数据网根据需要设立若干业务安全区根据需要设立若干业务安全区SDHSDH(N2MN2M)SDHSDH(155M155M)SPTnetSPTnetSPTnetSPTnet实时实时实时实时控制控制控制控制在线在线在线在线生产生产生产生产调度生产调度生产调度生产调度生产管理管理管理管理电力综电力综电力综电力综合信息合信息合信息合信息实时实时实时实时VPNVPN非实时非实时非实时非实时VPNVPN调度调度调度调度VPNVPN信息信息信息信息VPNVPN语音视频语音视频语音视频语音视频VPNVPNIPIP语音语音语音语音视频视频视频视频SDH/PDHSDH/PDH传输网传输网传输网传输网电力调度数据网电力调度数据网电力调度数据网电力调度数据网电力企业数据网电力企业数据网电力企业数据网电力企业数据网总体方案:
网络专用总体方案:
网络专用总体方案:
横向隔离物理隔离装置(正向型物理隔离装置(正向型/反向反向型)型)2412817电力专用网络安全隔离设备正向型设备反向型设备24128隔离设备作用正向型网络安全隔离设备正向型网络安全隔离设备采用软、硬结合的安全措施,在硬件上使用双嵌入式计算机结构,通过安全岛装置通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。
在保证网络透明性的同时,实现了对非法信息的隔离。
将外网到内网传递的应用数据大小限定为1个bit,保证从低安全区到高安全区的TCP应答禁止携带应用数据。
反向型网络安全隔离设备反向型网络安全隔离设备文件发送软件,实现E语言文件计划自动或手动地从外网到内网的传输,传输过程中,发送端程序对外网数据进行双字节转换及数字签名,设备比对签名进行验证,对验证通过的报文再进行双字节检查,这样检查通过的报文才可以进入内网,以保证内网系统的安全。
24128物理隔离装置接口/型号性能分:
普通型性能分:
普通型增强型增强型功能分:
正向、反向功能分:
正向、反向两个CONSOLE口(管理设备用)两个COM口(输出告警信息)四个10/100M网卡(2内+2外)两个电源插座、两个电源开关24128安全岛原理示意图1.数据到达接口机A,这时接口机A与安全半岛间,安全半岛与接口机B间均处于断开状态。
2.接口机A确认数据可以通过后,与安全半岛连通,将数据送上安全半岛。
然后断开与安全半岛的连接。
3.接口机A通知接口机B,安全半岛上有待收数据。
4.接口机B与安全半岛连通,取走数据,然后断开与安全半岛的连接5.接口机B根据收到的数据,组织报文,将数据发出。
6.反方向只有单个比特位。
接口机A安全半岛接口机B断开断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开接口机A安全半岛接口机B断开断开24128物理隔离装置正向型(高安全区到低安全区)正向型(高安全区到低安全区)通过配置,可以建立非穿透的TCP连接反向仅能传输1bit的确认数据反向型(低安全区到高安全区)反向型(低安全区到高安全区)仅能传输E文本,不能建立数据连接客户端程序需加装数字证书,对数据进行加密认证纵向加密认证装置纵向加密认证装置调度数据网调度数据网调度数据网调度数据网VPNVPNSCADASCADA服务器服务器服务器服务器网关机网关机网关机网关机网关机网关机网关机网关机当地监控服务器当地监控服务器当地监控服务器当地监控服务器自动化系统自动化系统自动化系统自动化系统自动化系统自动化系统自动化系统自动化系统纵向加密认证装置纵向加密认证装置总体方案:
纵向认证总体方案:
纵向认证在访问控制(防火墙功能)基础在访问控制(防火墙功能)基础上,同时具备加密和认证的功能上,同时具备加密和认证的功能数据网安全纵向加密装置拓扑防护交换机1省调路由器纵向加密认证装置数据网接入交换机Com2com1Com1省调系统交换机2交换机com2纵向设备管理中心纵向设备管理中心加密卡加密卡Com2Com1备调交换机1交换机2地调系统厂站RTUIP1IP2电力调度数据网纵向加密装置的算法对称加密算法:
对称加密算法:
用于数据加密,采用国密办指定的专用分组加密算法,分组长度128位,密钥长度128位。
非对称加密算法:
非对称加密算法:
用于数字签名和数字信封,采用RSA1024散列算法:
散列算法:
用于数据完整性验证,采用国密办指定的算法或MD5随机数生成算法:
随机数生成算法:
采用WNG-4噪音发生器芯片协商原理公开密钥密码体制(公开密钥密码体制(RSA)公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
(大素数分解)在公开密钥密码体制中,加密密钥(即公钥)是公开信息,而解密密钥(即私钥)是需要保密的。
加密算法和解密算法也都是公开的。
虽然私钥是由公钥决定的,但却不能根据公钥计算出私钥。
协商原理协商原理协商原理协商请求:
SN,B证书加密(随机数A),A私钥签名A侧B侧协商应答:
SN+1,A证书加密(随机数B),B私钥签名协商成功:
SN+2,摘要(随机数A与随机数B)协商原理协商原理协商状态四种:
Init:
初始状态,未发送协商请求。
Request:
协商请求状态。
Respone:
协商应答状态。
Opened:
隧道建立成功状态。
MaryRick明文密文明文加密操作解密操作公钥私钥数据传输过程协商完成后,建立隧道,主机A访问主机B全过程主机A向主机B发送报文192.168.1.1-192.168.2.1(TCP协议)纵向装置A在0口接收到该报文,查找策略为加密策略且隧道OPEN,将整个IP报文加密并重新构造IP头,源IP为192.168.1.250,目的IP192.168.2.250,协议为ESP。
192.168.1.250-192.168.2.250(ESP协议)纵向装置B在1口接收到该报文,查找对应隧道进行解密还原,策略判断。
发送至eth0口。
192.168.1.1-192.168.2.1(TCP协议)主机B接收到报文,产生应答。
主机A纵向A纵向B主机B192.168.2.1192.168.1.1TCP报文目的源协议192.168.2.250192.168.1.250ESP报文(加密)目的源协议192.168.2.1192.168.1.1TCP报文目的源协议192.168.2.1192.168.1.1TCP报文结论纵向加密认证装置更适用于实时通信纵向加密认证装置更适用于实时通信第三部分第三部分安全防护技术和装置安全防护技术和装置问题:
接收方如何知道发送方就是合法的?
问题:
接收方如何知道发送方就是合法的?
关键技术关键技术电力调度电力调度数字证书数字证书电力调度数字证书是专用于电力调度业务需要电力调度数字证书是专用于电力调度业务需要的数字证书,主要用于生产控制大区,可使用于交的数字证书,主要用于生产控制大区,可使用于交互式登录的身份认证、网络身份认证、通信数据加互式登录的身份认证、网络身份认证、通信数据加密及认证(包括数据完整性和数据源认证)等。
密及认证(包括数据完整性和数据源认证)等。
地市以上调度控制中心应该建立电力调度证书地市以上调度控制中心应该建立电力调度证书系统。
系统。
关键技术关键技术电力调度数字证书电力调度数字证书用户首先产生自己的密钥对用户首先产生自己的密钥对将自己的公钥及部分个人身份信息传送给认证将自己的公钥及部分个人身份信息传送给认证中心中心认证中心验证个人身份。
认证中心验证个人身份。
认证中心对用户的公钥和个人信息进行签名认证中心对用户的公钥和个人信息进行签名认证中心发给用户一个数字证书。
认证中心发给用户一个数字证书。
数字证书颁发过程数字证书颁发过程至此,用户就可以使用自己的数字证书进行至此,用户就可以使用自己的数字证书进行相关的各种活动。
数字证书由独立的证书发相关的各种活动。
数字证书由独立的证书发行机构发布。
行机构发布。
调度证书系统结构证书链短,认证效率高风险分散国调根国调根国调国调省调省调网调网调其他其他网调网调网调网调省调省调省调省调省调省调省调省调地调地调地调地调2412836电力专用拨号加密认证装置2412837部署位置站自化系的安全防方案变电动统拨号护度自化系的安全防方案调动统拨号护2412838应用场景按照国家电力调度中心电力二次系统安全防护要求,电力信息系统分为生产控制大区及生产管理大区,电力系统专用拨号加密认证装置主要用于生产控制大区的远程拨号安全接入,参考下图:
电力系统专用拨号加密认证装置将TCP/IP网络通讯技术、IPSEC安全隧道技术以及USBKEY加密认证技术完美地融合在一起,为生产控制大区的技术维护人员提供安全的远程接入,实现随时随地以拨号方式接入使用,并且无需网络或应用软件做任何改动,提高维护工作效率,同时保证信息安全。
生产控制大区生产控制大区生产管理大区生产管理大区安全隔离装置电话网远程移动用户电力专用拨号安全网关总体方案其他安全防护技术措施备份与恢复备份与恢复数据与系统备份数据与系统备份对关键应用的数据与应用系统进行备份,确保数据损坏对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。
、系统崩溃情况下快速恢复数据与系统的可用性。
设备备用设备备用对关键主机设备、网络的设备与部件进行相应的热备份对关键主机设备、网络的设备与部件进行相应的热备份与冷备份,避免单点故障影响系统可靠性。
与冷备份,避免单点故障影响系统可靠性。
异地容灾异地容灾对实时控制系统、电力市场交易系统,在具备条件的前对实时控制系统、电力市场交易系统,在具备条件的前提下进行异地的数据与系统备份,提供系统级容灾功能提下进行异地的数据与系统备份,提供系统级容灾功能,保证在规模灾难情况下,保持系统业务的连续性。
,保证在规模灾难情况下,保持系统业务的连续性。
备份系统在一定的备份策略的引导下,通过磁带库等设备在一定的备份策略的引导下,通过磁带库等设备对系统进行备份也十分必要。
对系统进行备份也十分必要。
备份系统由备份管理系统和备份设备构成。
备份系统由备份管理系统和备份设备构成。
备份策略:
全备份备份策略:
全备份(FullBackup),增量备份,增量备份(IncrementalBackup)(又分:
差量备份及累(又分:
差量备份及累计备份)计备份)防病毒措施防病毒措施病毒防护是调度系统与网络必须的安全措施。
病毒防护是调度系统与网络必须的安全措施。
建议病毒的防护应该覆盖所有安全区建议病毒的防护应该覆盖所有安全区I、II、III的的主机与工作站。
病毒特征码要求必须以离线的方式主机与工作站。
病毒特征码要求必须以离线的方式及时更新。
及时更新。
防火墙防火墙防火墙产品仅用于防火墙产品仅用于横向横向逻辑隔离防护,部署在安全逻辑隔离防护,部署在安全区区I与安全区与安全区II之间、安全区之间、安全区III与安全区与安全区IV之间,实现两之间,实现两个区域的逻辑隔离、报文过滤、访问控制等功能。
个区域的逻辑隔离、报文过滤、访问控制等功能。
防火墙安全策略主要是基于业务流量的防火墙安全策略主要是基于业务流量的IP地址、协地址、协议、应用端口号、以及方向的报文过滤。
议、应用端口号、以及方向的报文过滤。
具体选用的防火墙必须经过有关部门认可的具体选用的防火墙必须经过有关部门认可的国产国产硬硬件防火墙。
件防火墙。
入侵检测入侵检测IDS对于安全区对于安全区I与与II,建议统一部署一套,建议统一部署一套IDS管理系管理系统。
考虑到调度业务的可靠性,采用基于网络的入侵检测统。
考虑到调度业务的可靠性,采用基于网络的入侵检测系统(系统(NIDS),其),其IDS探头主要部署在:
探头主要部署在:
安全区安全区I与与II的边界点、的边界点、SPDnet的接入点、以及安的接入点、以及安全区全区I与与II内的关键应用网段。
其主要的功能用于捕获网内的关键应用网段。
其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。
络异常行为,分析潜在风险,以及安全审计。
对于安全区对于安全区III,禁止使用安全区,禁止使用安全区I与与II的的IDS,建,建议与安全区议与安全区IV的的IDS系统统一规划部署。
系统统一规划部署。
主机防护主机防护安全配置安全配置通过合理地设置系统配置、服务、权限,减少安全弱点。
禁止不必要的通过合理地设置系统配置、服务、权限,减少安全弱点。
禁止不必要的应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应用软件的安装与使用。
用软件的安装与使用。
安全补丁安全补丁通过及时更新系统安全补丁,消除系统内核漏洞与后门。
通过及时更新系统安全补丁,消除系统内核漏洞与后门。
主机加固主机加固安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
计算机系统本地访问控制计算机系统本地访问控制技术措施技术措施结合用户数字证书,对用户登录本地操作系统,访问操作系统资结合用户数字证书,对用户登录本地操作系统,访问操作系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。
计算机系统本地访问控制需要的技术产操作行为进行安全审计。
计算机系统本地访问控制需要的技术产品包括:
品包括:
用户证书介质,如用户证书介质,如IC卡、卡、USBKey;本地加密设备,如:
加密卡、加密本地加密设备,如:
加密卡、加密USBKey;访问控制安全插件,实现认证与访问控制功能;访问控制安全插件,实现认证与访问控制功能;应用目标应用目标对于调度端安全区对于调度端安全区I中的中的SCADA/EMS系统,安全区系统,安全区II中的电力市中的电力市场交易系统,厂站端的控制系统要求采用本地访问控制手段进行场交易系统,厂站端的控制系统要求采用本地访问控制手段进行保护。
保护。
关键应用系统服务器访问控制关键应用系统服务器访问控制技术措施技术措施调度系统内部关键应用,要求在调度系统调度系统内部关键应用,要求在调度系统CA建成后,建成后,充分利用这一充分利用这一PKI基础设施,在身份认证、授权、访问控基础设施,在身份认证、授权、访问控制、安全通信、行为审计方面进行安全增强。
制、安全通信、行为审计方面进行安全增强。
对于新开发的关键应用系统,要求本身实现了基于调度对于新开发的关键应用系统,要求本身实现了基于调度CA证书的身份认证、授权管理、访问控制、数据通信的证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。
加密与签名、以及行为审计功能。
应用目标应用目标安全区安全区I中的中的SCADA系统应用服务器系统应用服务器安全区安全区II中的电力市场交易系统应用服务器中的电力市场交易系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电力 二次 系统安全 防护 培训