電監會5號令《電力二次系統安全防護規定》和電監安全34號文件《電力二次系統安全防護總體方案》,對電力二次系統的安全建設提出了具體建設內容和目標,指出需要對電力二次系統整體安全保障進行全面的建設,確保電力監控系統及電力調度數據網絡的安全,抵御黑客、病毒、惡意代碼等各種形式的攻擊,防止電力二次系統的崩潰或癱瘓,并由此導致的發電廠一次系統事故。
為滿足電監會5號令合規性要求,太多數發電企業在信息安全建設過程中,二次系統的安全防護作為其重中之重,但是我們考察的很多企業,在二次系統的安全防護改造工程中,只是片面理解電監會5號令和電監安全34號文件,沒有深入本質了解電監會文件要求,所以很多技術改造只是表面上符合要求,一但深入分析,就存在很多問題,二次安防的改造也就失去了意義。
通過大量實踐,我們在發電廠電力二次系統安全防護建設中積累許多經驗,在此把這些經驗向廣大電力企業一同分享。
一、二次安防建設過程中要以風險評估為開展方法
風險評估是通過脆弱點發現、威脅分析等手段對電力二次系統的安全風險狀況進行掌握和了解的過程。風險評估的主要目的是發現系統現有的安全風險,并在對風險數據進行合理分析和判斷的基礎上提出解決方法,為提高系統的安全水平提供基礎數據依據和實施指導。通過評估掌握并一定程度量化信息系統安全現狀和存在的各種安全風險;在風險分析的基礎上,對改進與完善二次系統現有安全水平提供建議。
風險評估應該全程有機貫穿在二次安防建設過程中:
1.1 在二次安防建設前,首先要對整個二次網絡進行風險評估,評估工作主要有在現場對電力二次系統安全設備、網絡及業務系統進行數據收集,通過漏洞掃描系統、人工審計腳本、網管工具、滲透測試對系統進行分析。對二次系統網絡及設備威脅和脆弱性,策略及管理等多方面綜合分析,了解現有二次系統整體安全現狀,依據安全現狀,制定出二次系統安全風險分析報告。
1.2 其次是依靠安全風險分析數據和二次系統安全風險分析報告,遵循國內及行業的信息安全標準及電力二次系統規定設計出符合電廠實際情況并且具有可操作性的二次系統安全規劃及安全體系,即電力二次系統總體規劃報告。
1.3 電力企業通過總體規劃報告可以進行網絡整改和設備選型安裝調試。
1.4 網絡和設備改造完后,開始針對生產控制大區的服務器、數據庫、關鍵業務系統進行加固,針對非生產控制大區里面的所有服務器、操作系統、數據庫、業務系統進行安全加固。同時針對電力二次系統完善一些管理制度要求比如運行維護辦法、應急預案、操作審計辦法等 。
1.5 評估與加固完成后,在整個項目驗收前,再對二次系統進行第二次安全評估,確定是否滿足加固前期望要求,是否達到電力二次系統總體規劃報告預期要求 ,是否系統的建設符合國家電監會[2006]34號文件的技術要求。最后準備好項目驗收。
二、電力二次系統安全防護一定要按照電監會文件執行
實施電力二次系統安防改造項目,一定要深入理解電監會5號令《電力二次系統安全防護規定》里的十六字方針,即“安全分區、網絡專用、橫向隔離、縱向認證”,電力二次系統安全防護工作也應當嚴格按照“安全分區、網絡專用、橫向隔離、縱向認證”的原則進行設計工作,這樣才能有效滿足電力二次系統整體的安全。在實施項目過程中,對于許多電力企業二次安防建設,我們對方針有如下體會:
對安全分區的要求
通知規定,發電企業內部基于計算機和網絡技術的業務系統,原則上劃分為生產控制大區和管理信息大區,目前許多電力企業都按照控制區、非控制區和信息管理大區對資產進行區分,但也有一部企業生產控制區和管理區劃分不明確。
通知規定,不同的安全等級生產設備劃分在不同的區域實行不同的等級保護。雖存在安全等級的概念,但對業務服務器并沒有安全等級高低設置。
通知規定,生產控制大區可以分為控制區(安全區I)和非控制區(安全區II);管理信息大區內部在不影響生產控制大區安全的前提下,可以根據各企業不同的要求劃分安全區。許多電廠業務系統按照方案要求進行分區管理,但很多未進行安全域劃分。
對網絡專用的要求
同時,由于電廠大部分都在郊外,生產、辦公、公寓和招待所網絡共用現象嚴重,很多企業都未完全實現專網專用。
對橫向隔離的要求
生產控制大區與信息管理大區之間;信息管理大區和互聯網之間的網絡節點上,部署硬件防火墻系統,并執行嚴格的訪問控制,并且防火墻系統采取集中管理的方式,確保訪問控制策略的有效性,杜絕非授權或非法的訪問;
在生產控制大區和管理信息大區邊界部署專用安全隔離裝置,實現更為安全的隔離,保障生產控制大區和管理信息大區只有數據被傳遞,任何直接的訪問均被禁止。達到《電力二次系統安全防護總體方案》的要求。
在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。
生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施,實現邏輯隔離。
對縱向認證的要求
按照電監會5號令的要求,生產控制大區與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。此外,針對信息管理大區,在縱向上也需要考慮采取必要的安全隔離措施,避免來自地調、縣調的威脅影響省調信息管理大區。#p#分頁標題#e#
對邊界防護的要求
在生產控制大區邊界上合理部署入侵檢測系統、部署安全審計措施、敏感服務器登錄認證和授權,在生產控制區與非控制區及管理信息大區重要出口假設防火墻,進行邏輯隔離。在生產控制區和管理信息大區重要出口假設防火墻,進行邏輯隔離。在生產控制區和管理信息大區邊界,如有通訊,必須采用國家認證的隔離裝置。對各區域網絡必須做到專網專用。
對安全管理的要求
電力企業按照“誰主管誰負責,誰運營誰負責”的原則,建立健全電力二次系統安全管理制度,將電力二次系統安全防護工作及其信息報送納入日常安全生產管理體系,落實分級負責的責任制。
建立電力二次系統安全評估制度,將電力二次系統安全評估納入電力系統安全評價體系。
建立健全電力二次系統安全的聯合防護和應急機制,制定應急預案。電力調度機構負責統一指揮調度范圍內的電力二次系統安全應急處理。
三、當前二次系統面臨的主要風險
發電廠監控系統及與電網直接相關部分作為發電廠電力系統的重要設施,不僅與電力生產、經營和服務息息相關,而且與電網調度和控制系統的安全運行緊密關聯,是電力系統安全的重要組成部分。
近年來,隨著互聯網技術的發展,接入電力調度數據網的電力控制系統越來越多,同時,由于電力改革的推進和電力市場的建立,需要在調度中心、電廠、用戶等之間進行的數據交換也越來越頻繁。同時,電廠、變電站等減人增效,大量采用遠程控制技術、E-MAIL、WEB等服務應用日益普及,電力二次系統面臨著新的風險。
3.1 管理安全風險
目前大部分電廠在電力二次系統安全策略、安全審計、安全應急方面制度建立不夠全面,現有管理制度主要圍繞各系統編寫,沒有與電力二次管理有機結合,還有待持續改進。
3.2 技術安全風險
通過實際考察,發現發電廠各系統沒有及時更新系統補丁,因此存在很多由于未更新系統補丁而造成的漏洞。而此類漏洞極容易受到蠕蟲、病毒、黑客手段的威脅,對系統的連續穩定運行構成不可預測的安全威脅。
通過分析,發現默認配置、運營支持人員對系統維護不足或失當構成了最大的安全隱患,這些“默認”設置,給攻擊者好病毒提供了一個最佳的入侵通道。
四 防護措施
防火墻系統
防火墻通過網絡地址轉換(NAT)功能來隱藏內部網絡的IP地址;通過動態訪問過濾功能動態檢查流經的IP數據包。可以在安全區I與安全區II之間及安全區III(橫向)內部,實現兩個區域的邏輯隔離、報文過濾、訪問控制等功能。
防病毒措施
從某種意義上說。防止病毒對網絡的危害關系到整個系統的安全,防病毒軟件要求覆蓋所有的服務器及客戶端,對關鍵服務器實時查毒,對于客戶端定期進行查毒,制定查毒策略,并備有查殺記錄。病毒防護式調度系統與網絡必須得安全措施。病毒特征碼要求必須以離線的方式及時更新,并事前進行安全測試,防止更新后對系統造成不可預知的破壞。
入侵檢測系統
入侵檢測系統式專門針對黑客行為而研制的網絡安全產品,盡管防火墻能夠通過強化網絡安全策略抵御來自外部網絡的非法訪問,但對網絡內部發起的攻擊無能為力,所以,入侵檢測系統能進一步提高系統的抗攻擊能力,提高了防御體系級別,使網絡中信息流通更加暢通。
對于安全區I與II,建議統一部署一套IDS系統,考慮到調度業務的可靠性要求,采用基于網絡的入侵檢測系統(NIDS),其IDS探頭主要部署在:
安全區I與II區的邊界點,以及安全區I與II內的關鍵應用網段,其主要的功能用于捕獲網絡異常行為,分析潛在風險,以及安全審計。
四、總結
電力二次系統是電力系統中的重中之重,其安全問題相當重要,電力企業應結合自身特點,制定一套適合自身的規范和標準,同時,行業也應該尋求適合一套自身的風險評估和安全加固體系。風險評估工作也應向規范化、特殊化,針對電力行業的特點開展。
風險評估在電力二次系統的建設過程中有著很重要的作用,可以幫助電力客戶提高客戶核心競爭力,降低響應的運營成本,并有效控制IT風險;建立和完善電力二次系統安全防護策略管理體系。
