电力系统自动化系统核心防护doc.docx
《电力系统自动化系统核心防护doc.docx》由会员分享,可在线阅读,更多相关《电力系统自动化系统核心防护doc.docx(36页珍藏版)》请在冰豆网上搜索。
电力系统自动化系统核心防护doc
提纲
自动化监控核心系统防护的必要性
国家相关文件要求
行业安全事故与分析
核心系统防护产品S-NUMEN的功能
产品资质与成功案例
北京信达公司部分用户名单
技术白皮书
一、自动化监控系统核心系统防护的必要性
(1)国家文件明文规定电厂主服务器应使用安全加固的操作系统。
电监安全[2006]34号
电监安全[2012]12号
国家电网调[2006]1167号
南方电网[2008年8月]
工信部协[2011]451号
(2)美国出口中国的操作系统达不到第三、第四等级要求。
美国不出口中国C2级别以上的操作系统,我们国家所有的操作系统不管是UNIX、Linux还是Windows都是C2级别的,相当于我国公安部要求的第二等级。
C2级别的操作系统本身就有很多的漏洞,其数据和进程服务容易被篡改和终止,并且日志系统易遭到破坏,导致事后无法查证的被动防护。
经过主机加固以后操作系统的级别能达到B1、B2级别,也就是第三、第四等级。
(3)只在边界布署防护产品不能解决核心系统的安全隐患。
用户只在网络边界做了防护,布署了防火墙、入侵检测系统、VPN等产品,这些产品只解决网络安全中的边界防护问题,但是它们是独立于用户当前的网络与系统之外的,既不能完全阻止外部人员的入侵行为,也没法杜绝内部人员的误操作或非法操作,只有布署核心系统防护才能确保核心系统的安全,因此只有实现从核心到边界的多层次、纵深的防护体系才是一个完整的安全防护方案,才能确保系统的稳定运行。
(4)多年来,大量电厂监控系统已布署核心系统防护,实现了长期、稳定、可靠的运行。
A、理论上,产品是内核级产品,不会影响应用层软件的正常运行。
B、实验室数据表明,在公安部和国家电网信息安全实验室的极限测试中,系统的资源占用率2.4%。
C、多年以来,许多关乎国家安全、国计民生的重要监控系统等关键的控制系统都已成功应用了核心系统防护,数据和业务得到可靠的安全保障。
二、国家相关文件要求
电监安全[2006]34号
第三章通用安全防护措施
第五节主机加固
能量管理系统,变电站自动化系统,电厂监控系统,配电自动化系统,电力市场运营系统等关键应用系统的主服务器,以及网络边界处的通信网关,WEB服务器等,应该使用安全加固的操作系统。
加固方式包括:
安全配置,安全补丁,采用专用软件强化操作系统访问控制能力,以及配置安全的应用程序。
电监会12号文,其中主机加固的必要性有以下几条:
一、电力系统已经成为境内外敌对势力进行渗透攻击的重要目标(第1页);
二、2003年12月30日承担三峡电力外送的三个(相距上千公里的)换流站的控制系统事故,说明“操作系统的脆弱性和局部安全事件扩散可能造成整个监控系统的瘫痪”(第2页);
三、推进主机加固等通用防护设备及防护措施的应用和部署工作。
(第10页)
四、风电二次系统安全防护的风险和薄弱环节。
一是存在风电设备制造商通过互联网与生产控制大区中的风电监控系统直连,使二次系统面临被恶意攻击和控制的风险;
二是由于地理原因,其控制系统与风电机组之间采取无线公网方式传输,使监控系统所在的生产大区面临来自公网攻击的风险。
五、重点加强风电等新能源发电企业二次系统中远程接入和维护的安全防护措施。
(第27页)
国家电网调[2006]1167号
四、按照34号文要求,确保2007年底之前,公司系统地级以上调度机构、220千伏以上变电站(含开关站、换流站)、总装机1000兆瓦或含有单机容量300兆瓦以上机组的发电厂及其它重要厂站要具备二次系统安全防护的主要功能;2008~2009年,年110千伏以上变电站、含有单机容量100兆瓦以上机组的发电厂、县级调度中心和配电调度中心等要具备二次系统安全防护的主要功能,有条件的地方应尽量提前;2010年之前建成比较完善的电力二次系统安全防护体系.
五、各研究、开发单位要按《方案》要求,尽快改进或完善所提供的电力二次系统或设备的安全特性;国家电网公司委托中国电力科学研究院信息安全实验室和国网南京自动化研究院网络信息安全实验室对进入公司系统的电力二次系统和设备进行安全性测试认证;凡2008年1月1日以后投入运行的调度自动化系统和变电站自动化系统应符合《方案》要求并通过安全测试认证.2009年1月1日以后投入运行的电力二次系统或设备都应符合《方案》要求并通过安全测试认证。
南方电网公司电力二次系统安全防护技术实施规范[2008年8月]
7.13生产控制大区内部防护措施,对重要的服务器和通信网关必须进行安全加固,安全II区若有WEB服务,应采用支持HTTPS的安全WEB服务,其WEB服务器必须经过安全加固并采用电力调度数字证书对浏览器客户端访问进行身份认证及加密传输。
水利网络与信息安全体系建设基技术要求
4.4.1安全计算环境建设
4.4.1.1用户身份鉴别
通过使用符合第四等级安全保护要求的安全操作系统或相应的系统加固软件实现用户身份鉴别。
4.4.1.3标记和强制访问控制
通过采用符合第四安全保护要求的安全操作系统或采用相应的系统加固软件对服务器以及终端进行系统加固,通过其提供的标记和强制访问控制系统,实现标记和强制访问控制功能。
中电投水力发电厂(站)安全评价标准
2.6.2.3安全系统
(6)主机加固
【依据】《电力二次系统安全防护总体方案》(电监安全[2006]34号)
3.6.3主机加固
安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
中国国电集团公司科技技术路线(信息化部分)
第九十条
安全管理包括安全方针、安全组织、资产分类及控制、人员安全、物理和环境安全、通信和运行管理、系统访问控制、系统开发与维护、业务持续性管理和符合性。
第九十七条
系统访问控制包括八个控制目标:
访问控制策略、用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用访问控制、监控系统的访问和使用、移动计算和远程办公。
第一0七条
用户访问安全:
对数据库超级用户进行严格管理;用户名和口令以加密形式保存;建立公司级统一认证系统,应用系统开发要充分考虑与认证系统的整合。
华电集团关于主机防护的规定
第十七条主机防护
(一)合理分配操作系统的用户权限,遵循相互制约原则与最小授权原则,定义良好的访问控制策略,避免权限过分集中与滥用。
(二)及时升级操作系统版本,及时安装补丁程序,清除已知的主机内核漏洞与后门。
(六)对系统日志定期进行安全审计。
(七)用户口令应具有一定的强度。
公安部2007年7月《信息系统安全等级保护基本要求》
4.1.3主机安全
主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。
终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。
主机系统是构成信息系统的主要部分,其上承载着各种应用。
因此,主机系统安全是保护信息系统安全的中坚力量。
公信安[2007]861号中华人民共和国公安部、国家保密局、国家密码管理局、国务院信息化工作办公室、印发的《关于开展全国重要信息系统安全等级保护定级工作的通知》
一、定级范围
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
工信部协[2011]451号
一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性
数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。
一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。
二、明确重点领域工业控制系统信息安全管理要求
加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。
(一)连接管理要求。
(二)组网管理要求。
1.工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
(三)配置管理要求。
1.建立控制服务器等工业控制系统关键设备安全配置和审计制度。
2.严格账户管理,根据工作需要合理分类设置账户权限。
3.严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。
4.定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
三、行业安全事故与分析
1:
2000年,四川某水电厂因异常的接收外来信号,7秒钟甩出电力89万千瓦,导致川渝电网几乎瓦解。
事件暴露出生产控制系统与管理信息系统接入公网时,极易受到来自外部的攻击。
2:
2003年,承担SX电力外送任务的三个换流站(LQ、EC、ZP)的控制系统相继发现病毒,经查明系外国技术人员在系统调试中使用便携式电脑上互联网后,将病毒带入基于WINDOWS操作系统的控制系统通过网络传播所致。
事件暴露出WINDOWS操作系统的脆弱性和局部安全事件扩散可能造成整个系统瘫痪。
3:
2010年9月,伊朗布什尔核电站的计算机遭到世界上第一个以工业控制系统为攻击目标的“震网”蠕虫病毒的侵袭,导致纳坦兹铀浓缩工厂数千台离心机因技术故障“停工”。
4:
1992年2月,立陶宛Inalina核电站的计算机中心员工因对当局不满,故意在电厂控制程序内植入恶意程序(逻辑炸弹),使控制系统功能异常。
5:
2008年,黑客入侵并劫持了南美洲某国的电网反控制系统,敲诈该国政府,在遭到拒绝后,攻击了电力传输系统,导致了长时间的电力中断。
6:
07年5月底,GZ电力调度,安全区I通信服务器由于厂家开发的软件系统出现缓冲区溢出漏洞,造成核心服务器宕机(重启等现象),并且无法与南网公司进行数据通讯,造成特大事故。
7:
XX电网,黑客入侵电力营销主机,更改计费系统,达30万元,为了掩盖自己的入侵行为退出时删除系统日志。
核心系统安全事故原因分析
原因是:
在核心的主机系统没有做安全防护
在一个部署过许多边界防护产品又是内外网隔离的情况下,为什么要在核心的主机系统部署防护产品?
因为:
(1)美国出口中国的操作系统的安全级别低,只是C2级别的,更高级别的操作系统不出口中国,这种C2级别系统本身就有很多的漏洞,入侵者很容易通过这些系统漏洞侵入主机。
(2)很多用户的核心业务服务器,由于本身业务原因,不能及时安装由操作系统厂商提供的补丁,造成利用漏洞攻击核心系统的风险增加。
(3)网络级(防火墙、入侵检测)或应用级(杀毒、网管)安全产品只能实现网络边界处或应用层的保护,不能保护核心系统。
(4)在信息化建设的过程中,接触主机的外部人员多(如设备的调试安装),对信息安全造成一定威胁。
(5)主机上运行的是用户的重要数据、文件和关键的业务、进程,对系统可靠性要求更高。
(6)一旦出现了事故,入侵者在离开前修改或删除日志,事后无法追查、判断责任,无法迅速找到解决方案。
(7)目前行业内部主机感染病毒、木马事件日渐频繁,通过个人主机攻击核心业务系统的风险也再不断增加。
(8)利用有限的外联设备进行渗透式攻击,包括植入木马等恶意程序或者利用缓冲区溢出等攻击方法获取系统资源及系统控制权。
综上所述,电力行业是非常重视信息安全保障,有非常严格的管理体系,并且部署了部分安全产品。
但是以上事故说明从现有的防火墙、防病毒等安全产品的情况下,无法非常有效的阻止和预防此类安全问题。
四、核心系统防护产品S-NUMEN的功能:
●实现内网核心安全
当防火墙、入侵检测、VPN等网络级安全产品不能满足日益受到威胁的内网核心安全时,S-NUMEN作为系统级主机保护产品可以保证内网核心服务器的安全。
由于来自于内部外部的网络入侵事件频频发生,企业的网络和其他重要的服务器前所未有地暴露在黑客及非授权内部人员的侵入和攻击的威胁下。
S-NUMEN能够防止非授权的访问,使内网核心服务器安全运行。
●提升现有操作系统的安全级别
WINDOWS、UNIX系统大多为C2级,采用自主存取控制机制。
安全性更高的B1级采用强制存取控制机制,强制存取控制(MAC)提供了基于信息机密性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其有关的、指定范围的信息,从根本上防止信息的丢失泄密和访问混乱现象。
尤其适用于军事、政府重要部门、金融、能源领域。
●核心数据及重要服务的保护
S-NUMEN通过在内核层上接管系统调用,可对数据库、文件、系统、进程进行保护。
S-NUMEN可防止入侵者或XX的用户非法篡改、删除数据,同时可以保护提供服务的重要进程不被强制终止。
●数字签名认证保证了用户身份的可靠性
S-NUMEN通过基于内核的数字签名认证机制,保证了用户身份的可靠性。
C2级的操作系统采用ID和Password的认证方式,这种方式不能满足政府、金融、能源、电信等重要部门的安全等级要求。
S-NUMEN只允许通过数字签名证书认证的授权用户才能访问系统受保护资源。
●入侵行为的主动防御(IPS)
当系统发生入侵行为或者违反安全策略的操作时,S-NUMEN利用自身功能对用户(程序)在网络层和系统内部对该用户(程序)进行阻断,并且由系统向管理员进行报警。
S-NUMEN真正做到了,在没有误报和漏报率的情况下,实现主动的入侵防御功能。
五、北京信达产品资质与部分案例
部分案例
案例一、奥运安保北京地铁供电SCADA系统
项目背景
地铁供配电系统担负着向地铁各系统提供动力能源的任务。
按照功能它可分为高压电源系统、牵引供电系统和动力照明供电系统。
高压电源系统负责将城市电网高压电变为地铁牵引供电系统和动力照明系统所需要的电压,由主变电站组成;牵引供电系统负责轨道电动车辆运行的电能,由牵引站和接触网组成;动力照明供电系统提供车站和区间各类照明、扶梯、风机、水泵等动力机械设备电源和通信、信号、自动控制等设备的电源,由降压站组成。
一般,我们习惯于按照变电站降压等级分类,即主变电站、牵引站、降压站。
目前,国内常规设计为设两个110/33kV主变电站,并根据实际情况设置多个33kV/1500VDC牵引站和33/0.4kV降压变电站。
供配电系统作为整个地铁的动力源泉,是其它系统正常运转的前提,同时,SCADA系统又肩负着监督供配电系统的运行状态,并根据需要进行相应的控制,使供配电系统能够更好地为其它的系统服务的重任,而这一切的稳定运行又依赖于安全可靠的核心系统数据和稳定运行的核心业务,因此,保护SCADA系统的核心数据和核心业务就成了势在必行的首要安全问题。
运行效果和用户体验
通过在数据库平台上安装内网核心防护系统S-NUMEN后,保护了采集的各种底层数据,包括监视电力设备运行状态、高低压主开关状态、等各种电力参数,同时,数据的安全和业务的稳定为车站控制室和控制中心及时了解现场状态和执行相应的操作提供了必要的安全保证。
用户认为:
目前系统运行状况良好,核心主机工作稳定,网络畅通,内网核心防护系统S-NUMEN很好的保证了平台数据、业务的安全。
对于安装了S-NUMEN后的效果,信息中心工作人员认为:
通过安装内网核心防护系统,边界部分有防火墙、入侵检测系统等网络安全产品的保护,核心部份有了S-NUMEN的保护。
北京地铁SCADA供电系统示意图
案例二、国家商务部
项目背景
国家商务部中国国际电子商务中心是商务部信息化建设的执行机构和技术支撑单位,同时又是电子商务解决方案的供应商和服务商,自1996年成立以来一直是商务部信息化建设的主力军,承担国家金关工程的建设、维护和运行任务并承担商务部电子政务建设技术支持和保障任务,包括商务部统一网络平台(专用网)建设,应用系统开发、维护、推广、数据分析与决策支持、安全认证技术运用及电子商务信息交换、服务与国际交流等,在各部委中起步早、基础好、成绩显著。
国家商务部数据库平台的建设与发展首先是为满足我国商贸领域电子政务事业的深化与拓展。
数据库平台支撑运行的商务部业务管理、统计分析、预警决策等电子政务项目已达60多个。
应用需求分析:
增强全国最大的B2B数据库平台的安全性,增强北京东单中心-亦庄中心-广州三地“异地灾备”安全性。
中国国际电子商务中心数据库经过多年建设与运营,积淀了庞大的商贸信息资源,涵盖了各类业务数据库、企业数据库,共享数据库、标准库、代码库、和格式库。
同时中心已启动“中国企业信用信息数据库”建设计划,拟用五年的时间视频建立国内规模最大的企业信用信息数据库,并使之成为“一体化”现代商务服务体系的重要组成部分。
国家商务部在北京东单中心、亦庄中心、广州三地做了异地灾备,其数据的安全重要性不言而喻。
将来,国家与国家之间的商业竞争就是电子商务的竞争,2009年将是B2B成熟顶峰期,当前网上交易正处于快速发展阶段,对数据的安全性提出了很高的挑战性。
运行效果和用户体验
国家商务部选择内网核心防护产品S-NUMEN作为保护中心数据库服务器平台及灾备服务的安全产品,对现有中国商贸领域最权威的海量动态数据库数据平台进行安全加固。
为上级政府的科学决策和国内外企业电子商务更好的支持和服务。
为商务工作提供更准确、高效的统计、数据分析服务、同时也为国内外企业提供更高速、稳定、安全、快捷的服务。
用户认为:
目前数据库平台安全性好,系统工作稳定,网络畅通,S-NUMEN和其它安全防护产品互为补充,很好好构成了一个由网络边缘到核心的多层次的纵深的立体的防护体系,保证了各项业务的迅速开展和运行。
中国国际电子商务中心网络拓扑图
案例三、华电望亭电厂SIS项目
项目背景
所谓SIS,即厂级监控系统(SupervisorInformationSystem),是介于底层系统和管理信息系统(MIS)之间的“中间件”。
火电厂自动化的发展可以分为4个阶段:
分散控制系统时代、网络化时代、数字化时代和信息化时代。
目前华电望亭电厂正处于数字化建设阶段,DCS分散控制系统已经得到大规模的普及,电力系统信息化水平明显提升,在这个基础上进行SIS系统的建设。
电厂一般有机、炉、电、控、BOP(Balanceofplant)几个生产环节,每个专业承担不同的生产分工,采用不同的生产过程,每个过程都有一些相关控制系统,一般称之为底层系统。
对底层数据进行统一管理,并通过分析工具和数学模型,对这些数据进行二次利用,可帮助电厂改进生产管理,提高生产效率;同时,二次分析数据又可以为管理信息系统(MIS)所用,从而帮助企业最高层进行未来决策。
正是上述需求使华电望亭电厂的SIS,对核心主机重要的数据、文件,关键的业务、进程的可靠性需求更高了。
I@chieve服务内容
◆进行网络安全理念的宣导
◆针对华电望亭电厂的整体网络架构安全现状做安全评估
◆在运行核心业务数据库服务器上部署内网核心防护产品S-NUMEN
◆针对华电望亭电厂安全的培训和技术咨询服务
项目成果
对华电望亭电厂SIS系统主机的安全级别进行提升,使服务器安全性提高了,同时使整个网络的安全性更加健壮,核心业务运行稳定性增加,重要数据文件LOG日志安全得到保障,让入侵者进不来、出不去、赖不掉,工作效率得到很大的提高。
下图是华电望亭电厂SIS系统主机示意图
案例四、国电大渡河集控中心
项目背景
国电大渡河集控中心是华中电网内第一家以流域集控形式接入并网调度的集控中心。
集控中心的运行不仅实现了从小范围的区域集控到流域集控的发展跨越,还对今后提高大渡河流域防洪标准、提高水能综合利用率、提高流域整体发电效益、改善流域生态环境,确保电网稳定运行,产生积极深远的影响。
该项目由成勘院设计,南瑞实施,在其数据库服务器、通信服务器、操作员工作站部署了核心防护产品,确保其核心数据和核心业务的安全。
大渡河流域规划图
案例五、宁夏电力调度中心
项目背景
电网调度自动化系统又称作能量管理系统(EMS-EnergyManagementSystem),是以计算机技术为基础的现代电力综合自动化系统,主要用于大区级电网和省、市级电网调度中心,主要为电网调度管理人员提供电网各种实时的信息(包括频率、发电机功率、线路功率、母线电压等),并对电网进行调度决策管理和控制,为保证电网安全运行,提高电网质量,对核心数据服务器的保护至关重要。
随着电力系统的结构日趋扩大和复杂,对电力系统的安全性也提出了更高的挑战,要求调度运行人员能够迅速、准确、全面地掌握电力系统的实际运行状态,预测和分析电力系统的运行趋势,对电力系统运行中发生的各种问题作出正确的处理。
而这一切都要有信息的高度安全性做保障,而提高操作系统的安全级别是保障的基础。
I@chieve服务内容
◆进行网络安全理念的宣导
◆针对宁夏电力调度中心网络安全现状做安全评估
◆在运行核心业务数据库服务器上部署内网核心防护产品S-NUMEN
◆针对宁夏电力调度中心安全的培训和技术咨询服务
项目成果
通过真正有效的实施内网核心防护给宁夏电力调度中心带来很大的价值,操作系统安全级别提升至B1级,小型机服务器安全性巩固,同时使整个网络的安全性更加健壮,核心业务运行稳定性增加,重要数据文件LOG日志安全得到保障,工作效率得到很大的提高,随着内网核心系统防护的实施必将进一步推进宁夏电力调度中心信息安全的发展,从而推动整个宁夏电力系统业务的快速发展。
下图为宁夏电力调度中心结构图
六、北京信达公司部分用户
电网
宁夏调度
吉林调度
吉林供电局
江西调度
甘肃电网公司
宁夏电网公司
银川供电局
西藏调度
湖南调度
长沙供电局
株洲供电局
湘潭供电局
永州供电局
郴州供电局
娄底供电局
衡阳供电局
邵阳供电局
岳阳供电局
常德供电局
益阳供电局
张家界供电局
怀化供电局
湘西供电局
水电水利
三峡公司成都梯调中心
三峡公司向家坝水电站
三峡公司溪洛渡水电站
三峡公司葛洲坝水电站
二滩公司锦屏一级水电站
二滩公司锦屏二级水电站
二滩公司官地水电站
四川二滩水电公司雅砻江流域集控中心
四川国电大渡河水电公司集控中心
四川国电瀑布沟水电站
云南华能澜沧江小湾水电站
云南华能澜沧江糯扎渡水电站
云南华能澜沧江龙开口水电站
云南华能澜沧江功果桥水电站
南水北调陶岔渠首泵站
云南金沙江金安桥水电站
国电新源安徽响水涧抽水蓄能水电站
大唐四川天龙湖水电站
大唐四川金龙潭水电站
华电四川杂谷脑水电站
华电四川西溪河水电站
华电四川紫兰坝水电站
黄河委员会数据中心
四川映秀湾水电站
四川大兴水电站
新疆波波娜水利工程
四川武都引水工程
贵州华电乌江东风水电站
湖南筱溪水电站
湖南清水塘水电站
国电四川深溪沟水电站
国电
升级会员 