剖析电力调度安全监管1整体防护方案。电力调度信息系统的应用业务的整体防护,充分考虑各种应用业务的特点,充分发挥安全隔离装置的作用,从各个层面对应用系统实施全方位的保护。1.1调度信息系统各应用业务系统安全区的划分电力调度信息系统所有应用业务必须分置于四个安全区。安全区i:目前已有或将来要上的有控制功能的系统,以及实时性要求很高的系统。目前主要包括实时闭环控制的scada/ems系统、自动发电控铝ij(agc)系统和安全自动控制系统,保护设置工作站(具有改定值、远方投退等功能);安全区Ⅱ:没有实时控制业务但需要通过调度专用通信网(spdnet)进行远方通信的准实时业务系统。目前包括水调自动化系统、调度员培训系统(dts)、电力交易系统、电能量计量系统(tmr)、考核系统、继保及故录管理系统(不具备改定值、远方投退功能)等;安全区Ⅲ:通过电力调度数据网(sptnet)进行远方通信的调度生产管理系统。目前包括雷电监测系统、气象信息、日报/早报、调度mis(dmis)等;安全区Ⅳ:包括办公自动化(oa)、电子邮件系统和管理信息系统(mis)等。1.2调度信息系统安全防护的具体要求根据电力调度通信局调度信息系统安全防护要求,除了要满足电力系统二次系统安全防护策略以外,还需满足以下具体要求:①安全区i、安全区Ⅱ必须建立一套统一的入侵检测系统(ids),在安全区i和安全区ii的横向及纵向边界各安装1个探头(共4个),两个安全区内原则上不再安装ids探头;②安全区Ⅲ要求单独建立一套ids系统,ids探头安装在网络的关键边界。系统的对内对外通信应该通过网关,建议对内通信网关与对外通信网关分离(对内通信:指本级调度中心内相关系统的通信;对外通信:指同安全区内的系统上下级间的远程通信),网络边界必须明晰;③对安全区i的特定要求:安全区i的ems上下级外部边界的通信中,网络方式通信均经由电力调度数据网(spdnet)中的qos(服务质量)等级最高的实第1页共4页时vpn(虚拟专用网络),传统远动专用通道的通信,重要厂站可以进行线路加密,一般厂站目前暂不考虑安全问题,加紧研究低成本线路安全设施,逐步进行改造;④对安全区Ⅱ的特定要求:安全区Ⅱ允许在本区内开通同一业务系统上下级(即纵向)问的安全web服务。但只允许本安全区内的系统向安全web服务器单向传送数据,数据传递由专用隔离装置完成。禁止安全web服务器向业务系统请求数据的操作;安全web浏览工作站与Ⅱ区业务系统工作站不得共用。2调度信息系统各应用系统的安全改造。遵循前面制定的相关原则,结合各应用系统的实际,我们进行了电力调度通信局和省电力公司的网络改造和系统升级,使用专用的网络隔离设备,对涉及到的应用系统进行了安全隔离,满足了原国家电力公司提出的安全防护要求,这里以ems系统和电力交易系统为例进行相关技术介绍。2.1ems系统的安全防护技术方案①scada/ems系统的物理边界最多只能有4个。pi1一拨号网络边界。要求通过拨号服务器(ras)接入ems系统的lan,在ras和lan之间必须安装拨号认证加密装置,拨入端配相应的数字证书(证书由国家电力调度ca统一签发);若无条件实现安全防护时,则不得开通拨号服务。pi2一传统专用远动通道。目前暂不考虑其安全问题,必要时采取线路加密措施。pi3一scad/ems纵向网络边界。纵向网络边界的安全防护措施主要有:对外通信网关必须通过具备逻辑隔离功能的接入交换机接入;安装ip认证加密装置(位于spdnet的实时vpn与接人交换机之间)。pi4一scad/ems横向网络边界。横向网络边界的安全防护措施有:对内网关必须通过具备逻辑隔离功能的区内交换机接入(若交换机不具备逻辑隔离功能时,建议部署硬件防火墙);安全区i与安全区Ⅱ之间必须安装防火墙。②要求在ems的主网及安全区i的边界安装入侵检测系统(ids)的探头。③ems系统必须禁止开通email、web以及其它与业务无关的网络服务。安全区Ⅱ内可以设立安全的scadaweb服务,即:定时从sca-da/ems导出数据,且仅允许安全区Ⅱ内的web子网上具有证书的用户浏览;安全区Ⅲ设立的scadaweb服务供安全区Ⅲ的用户方便浏览。只能接第2页共4页受scada/ems的数据,禁止数据的...
