电监会5号令《电力二次系统安全防护规定》和电监安全34号文件《电力二次系统安全防护总体方案》,对电力二次系统的安全建设提出了具体建设内容和目标,指出需要对电力二次系统整体安全保障进行全面的建设,确保电力监控系统及电力调度数据网络的安全,抵御黑客、病毒、恶意代码等各种形式的攻击,防止电力二次系统的崩溃或瘫痪,并由此导致的发电厂一次系统事故。
为满足电监会5号令合规性要求,太多数发电企业在信息安全建设过程中,二次系统的安全防护作为其重中之重,但是我们考察的很多企业,在二次系统的安全防护改造工程中,只是片面理解电监会5号令和电监安全34号文件,没有深入本质了解电监会文件要求,所以很多技术改造只是表面上符合要求,一但深入分析,就存在很多问题,二次安防的改造也就失去了意义。
通过大量实践,我们在发电厂电力二次系统安全防护建设中积累许多经验,在此把这些经验向广大电力企业一同分享。
一、二次安防建设过程中要以风险评估为开展方法
风险评估是通过脆弱点发现、威胁分析等手段对电力二次系统的安全风险状况进行掌握和了解的过程。风险评估的主要目的是发现系统现有的安全风险,并在对风险数据进行合理分析和判断的基础上提出解决方法,为提高系统的安全水平提供基础数据依据和实施指导。通过评估掌握并一定程度量化信息系统安全现状和存在的各种安全风险;在风险分析的基础上,对改进与完善二次系统现有安全水平提供建议。
风险评估应该全程有机贯穿在二次安防建设过程中:
1.1 在二次安防建设前,首先要对整个二次网络进行风险评估,评估工作主要有在现场对电力二次系统安全设备、网络及业务系统进行数据收集,通过漏洞扫描系统、人工审计脚本、网管工具、渗透测试对系统进行分析。对二次系统网络及设备威胁和脆弱性,策略及管理等多方面综合分析,了解现有二次系统整体安全现状,依据安全现状,制定出二次系统安全风险分析报告。
1.2 其次是依靠安全风险分析数据和二次系统安全风险分析报告,遵循国内及行业的信息安全标准及电力二次系统规定设计出符合电厂实际情况并且具有可操作性的二次系统安全规划及安全体系,即电力二次系统总体规划报告。
1.3 电力企业通过总体规划报告可以进行网络整改和设备选型安装调试。
1.4 网络和设备改造完后,开始针对生产控制大区的服务器、数据库、关键业务系统进行加固,针对非生产控制大区里面的所有服务器、操作系统、数据库、业务系统进行安全加固。同时针对电力二次系统完善一些管理制度要求比如运行维护办法、应急预案、操作审计办法等 。
1.5 评估与加固完成后,在整个项目验收前,再对二次系统进行第二次安全评估,确定是否满足加固前期望要求,是否达到电力二次系统总体规划报告预期要求 ,是否系统的建设符合国家电监会[2006]34号文件的技术要求。最后准备好项目验收。
二、电力二次系统安全防护一定要按照电监会文件执行
实施电力二次系统安防改造项目,一定要深入理解电监会5号令《电力二次系统安全防护规定》里的十六字方针,即“安全分区、网络专用、横向隔离、纵向认证”,电力二次系统安全防护工作也应当严格按照“安全分区、网络专用、横向隔离、纵向认证”的原则进行设计工作,这样才能有效满足电力二次系统整体的安全。在实施项目过程中,对于许多电力企业二次安防建设,我们对方针有如下体会:
对安全分区的要求
通知规定,发电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区,目前许多电力企业都按照控制区、非控制区和信息管理大区对资产进行区分,但也有一部企业生产控制区和管理区划分不明确。
通知规定,不同的安全等级生产设备划分在不同的区域实行不同的等级保护。虽存在安全等级的概念,但对业务服务器并没有安全等级高低设置。
通知规定,生产控制大区可以分为控制区(安全区I)和非控制区(安全区II);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同的要求划分安全区。许多电厂业务系统按照方案要求进行分区管理,但很多未进行安全域划分。
对网络专用的要求
同时,由于电厂大部分都在郊外,生产、办公、公寓和招待所网络共用现象严重,很多企业都未完全实现专网专用。
对横向隔离的要求
生产控制大区与信息管理大区之间;信息管理大区和互联网之间的网络节点上,部署硬件防火墙系统,并执行严格的访问控制,并且防火墙系统采取集中管理的方式,确保访问控制策略的有效性,杜绝非授权或非法的访问;
在生产控制大区和管理信息大区边界部署专用安全隔离装置,实现更为安全的隔离,保障生产控制大区和管理信息大区只有数据被传递,任何直接的访问均被禁止。达到《电力二次系统安全防护总体方案》的要求。
在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。
生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。
对纵向认证的要求
按照电监会5号令的要求,生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。此外,针对信息管理大区,在纵向上也需要考虑采取必要的安全隔离措施,避免来自地调、县调的威胁影响省调信息管理大区。#p#分页标题#e#
对边界防护的要求
在生产控制大区边界上合理部署入侵检测系统、部署安全审计措施、敏感服务器登录认证和授权,在生产控制区与非控制区及管理信息大区重要出口假设防火墙,进行逻辑隔离。在生产控制区和管理信息大区重要出口假设防火墙,进行逻辑隔离。在生产控制区和管理信息大区边界,如有通讯,必须采用国家认证的隔离装置。对各区域网络必须做到专网专用。
对安全管理的要求
电力企业按照“谁主管谁负责,谁运营谁负责”的原则,建立健全电力二次系统安全管理制度,将电力二次系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制。
建立电力二次系统安全评估制度,将电力二次系统安全评估纳入电力系统安全评价体系。
建立健全电力二次系统安全的联合防护和应急机制,制定应急预案。电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。
三、当前二次系统面临的主要风险
发电厂监控系统及与电网直接相关部分作为发电厂电力系统的重要设施,不仅与电力生产、经营和服务息息相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。
近年来,随着互联网技术的发展,接入电力调度数据网的电力控制系统越来越多,同时,由于电力改革的推进和电力市场的建立,需要在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。同时,电厂、变电站等减人增效,大量采用远程控制技术、E-MAIL、WEB等服务应用日益普及,电力二次系统面临着新的风险。
3.1 管理安全风险
目前大部分电厂在电力二次系统安全策略、安全审计、安全应急方面制度建立不够全面,现有管理制度主要围绕各系统编写,没有与电力二次管理有机结合,还有待持续改进。
3.2 技术安全风险
通过实际考察,发现发电厂各系统没有及时更新系统补丁,因此存在很多由于未更新系统补丁而造成的漏洞。而此类漏洞极容易受到蠕虫、病毒、黑客手段的威胁,对系统的连续稳定运行构成不可预测的安全威胁。
通过分析,发现默认配置、运营支持人员对系统维护不足或失当构成了最大的安全隐患,这些“默认”设置,给攻击者好病毒提供了一个最佳的入侵通道。
四 防护措施
防火墙系统
防火墙通过网络地址转换(NAT)功能来隐藏内部网络的IP地址;通过动态访问过滤功能动态检查流经的IP数据包。可以在安全区I与安全区II之间及安全区III(横向)内部,实现两个区域的逻辑隔离、报文过滤、访问控制等功能。
防病毒措施
从某种意义上说。防止病毒对网络的危害关系到整个系统的安全,防病毒软件要求覆盖所有的服务器及客户端,对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护式调度系统与网络必须得安全措施。病毒特征码要求必须以离线的方式及时更新,并事前进行安全测试,防止更新后对系统造成不可预知的破坏。
入侵检测系统
入侵检测系统式专门针对黑客行为而研制的网络安全产品,尽管防火墙能够通过强化网络安全策略抵御来自外部网络的非法访问,但对网络内部发起的攻击无能为力,所以,入侵检测系统能进一步提高系统的抗攻击能力,提高了防御体系级别,使网络中信息流通更加畅通。
对于安全区I与II,建议统一部署一套IDS系统,考虑到调度业务的可靠性要求,采用基于网络的入侵检测系统(NIDS),其IDS探头主要部署在:
安全区I与II区的边界点,以及安全区I与II内的关键应用网段,其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。
四、总结
电力二次系统是电力系统中的重中之重,其安全问题相当重要,电力企业应结合自身特点,制定一套适合自身的规范和标准,同时,行业也应该寻求适合一套自身的风险评估和安全加固体系。风险评估工作也应向规范化、特殊化,针对电力行业的特点开展。
风险评估在电力二次系统的建设过程中有着很重要的作用,可以帮助电力客户提高客户核心竞争力,降低响应的运营成本,并有效控制IT风险;建立和完善电力二次系统安全防护策略管理体系。
