构造有效的调度信息二次防护系统
2011-02-09孙正凯
孙正凯
(1.湖北工业大学,湖北武汉 430000;2.重庆电力公司长寿供电局,重庆长寿 401220)
0 引言
随着信息技术在电力系统的广泛使用,电力二次系统已经成为电力系统生产、运行、经营和管理的重要基础设施,在调度自动化中发挥了更加先进的作用。随着电力市场的发展,接入电力调度数据网的变电站数量增加,在调度中心、电厂、变电站、用户等之间进行的数据交换也越来越频繁。
伴随着计算机和网络技术的高速发展,黑客技术也日新月异。黑客、病毒、恶意代码,特别是集团式攻击等通过各种形式对电力调度系统的攻击和破坏,对电力调度系统的安全性、可靠性、实时性提出了更加严格的要求。电力调度系统的二次防护的重要性不言而喻,建立调度二次防护系统刻不容缓。因此,电监会发布了《全国电力二次系统安全防护总体方案》,各个单位以此为大框架建立适合自己的调度二次防护系统。在建立各单位的调度二次防护系统中,往往会忽略细节的东西,给侵入者留下了进攻漏洞,故须在各个环节把安全做到极致。
1 现有体系分析
地调自动化现有三大系统:一是SCADA系统。实现地调自动化的全部功能,采集供电局管辖范围内所有变电站的电网信息,为地调的调度管理提供准确的电网实时信息,并向市、省调度中心转发地区所有220 kV及变电站的重要信息。二是ELS电能量采集系统。ELS电量采集系统主要实现所有变电站的电能量数据采集功能,进行数据分析与处理并上传给市、省调。三是电力调度生产管理信息系统(DMIS)。DMIS涵盖了调度、方式、继保、自动化、通信各个专业,是供电局生产管理的重要组成部分。完成地调DMIS数据库服务器与市调进行数据交换。
2 安全防护策略
依据全国电力二次系统安全防护专家组、工作组编写的《全国电力二次系统安全防护总体方案》,按照“安全分区,网络专用,横向隔离,纵向认证”的十六字方针,对电力二次系统进行安全防护。
安全分区是二次防护的基础结构。地调将自动化分为四个大区:一是安全区I,即实时控制区。供电局管辖范围内的所有变电站的实时数据采集信息(SCADA)、负荷预测系统(PAS),调度工作站均属于此区。二是安全区II,即非实时控制业务区。主要包括了电能量采集系统(ELS)。三是安全区III,即生产管理区。包括了调度管理系统(DMIS),SCADA WEB服务器和ELS WEB服务器也设计于此区。四是安全区Ⅳ,即办公管理系统。它包括办公自动化系统和办公管理信息系统。如图1。
网络专用是二次防护的重要一环。为防止电力调度数据在公网上传输被窃取和篡改,生产控制大区的重要信息分别通过市调专用的多协议标签转换虚拟专用网络(MPLS-VPN)通道进行数据传输,安全III区则通过独立的ATM网络与市调连接,与安全 I、II区无交叉。
横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区。根据《全国电力二次系统安全防护总体方案》的要求,在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度达到物理隔离,剥离IP协议,实现单bit的传输,从根本上杜绝病毒通过IP协议传播。安全I区至II区,III至IV区,III区至市调通过防火墙实行隔离,采用严格的访问控制策略,限制了接入的用户IP范围,用户对象精确到IP,只允许必要业务需要的端口开通,其他的端口一律关闭。
图1 调度二次防护网络拓扑图
纵向认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护,是电力二次系统安全防护体系的重要组成部分。通过对纵向数据进行认证、加密和访问控制等技术手段,可以保障电力调度数据网纵向数据传输安全,为电力调度数据提供足够带宽,保证数据传输的可靠性和实时性。供电局辖区内的220kV变电站与边缘路由器之间,安全区I、II大区里,市调联系的通讯工作站与骨干路由器之间都安装有纵向加密装置,采用国网设计的加密算法,实现对各个变电站和主站发送的信息进行加密认证。
3 安全细节强化措施
通过以上措施的改造,基本达到二次防护的大体框架的要求,但现代黑客技术千变万化,总能从最薄弱的地方侵入。为杜绝在二次安全防护中的“短板效应”,只有在各个方面的防护都做到极致,才能成功抵御外来的进攻。因此,需要在更多细节上进行完善,这是相当重要的一个步骤。
3.1 在规章制度上,建立二次防护机制
二次防护工作要按照国家电监会要求,创新设计和制定完善相关制度,通过制度建设,形成二次防护机制。特别是要制定电力二次系统安全管理办法,要形成人员、设备、文档和应急等方方面面的管理制度,才能建立二次防护机制。要建立二次安全防护培训制度,培养各级人员的安全意识和应急处理能力,从而创立二次系统防护体制机制。
3.2 在人员上,树立安全保密意识
二次防护工作要引起单位各级人员高度重视,成立二次系统安全防护组织机构,将电力二次系统安全管理纳入调度安全生产日常管理。包括机房、人员、设备、文档、应急等管理制度,并通过正式、有效的方式发布。在人员上应对系统管理员、网络安全专责、班组安全专责岗位制定明确的职责,并设专人负责电力二次系统安全防护工作。以多种形式定期开展安全保密意识教育,覆盖范围包括地调调度员、操作队、电厂调度员等接触核心数据的人员,主要是聘请二次系统安全防护专家进行二次安全防护培训,对上级所发安全防护相关文件进行学习领会。受培人员要发挥传帮带的作用,将所学知识与资料与全班人员交流共享,并将二次系统安全防护培训作为班组技能培训中的一项重要内容。
3.3 在网络安全上,形成二次防护结构
在网络安全上,三大安全区应拥有独立的网段。I、II区采用私有地址,III区采用各省、市调要求的调度地址。在与上级的数据交换上,I、II区分别设立独立的数据通讯服务器,专门负责与上级的数据传输。在三个大区交换机的设置上,每个端口应绑定相应的服务器网卡MAC地址,关闭未用的物理端口等技术措施进行控制,并有相应记录。对外来设备的接入,必须在专人监护下进行工作。生产控制大区系统的网络传输只允许连接调度数据网络上传数据。实时区和非实时区分别部署IDS(入侵检测系统)设备,设备特征库应及时更新,便于对黑客入侵进行有效的解析与控制。针对厂家远程维护系统的情况,分别在安全I、II、III区内装设安全拨号认证网关,厂家通过单位发给他们的证书进行身份认证,实现远方登陆,并且在专人监护下进行工作。地调系统所有服务器和工作站都应安装国产防病毒软件客户端,在I、II区和III区架设2台防病毒服务器,定时从上级防病毒服务器下载最新的病毒特征库并分发下去,保证各个主机防病毒的时效性。
3.4 在设备和操作系统上,保障二次防护安全
对设备所在机房部署门禁系统,规定只有相关维护人员拥有磁卡,严格执行出入登记管理制度。在重要部位部署摄像头,保证设备安全。对设备机柜采取上锁保护,工作前履行工作许可手续。Windows操作系统在不影响系统运行的前提下应升级最新补丁,补丁升级前应有测试措施,补丁升级有相应记录。在操作系统中没有无关用户,用户的权限分配合理。各用户的登陆口令长度应大于8位,满足复杂性要求,且不具备可猜测性,一般应使用数字、英文、符号合在一起的组合。数据库在不影响系统运行的前提下升级到最新版本,没有无关账户。取消共享文件,删除主机默认共享,完善主机安全设置。对于移动介质的管理,要求专盘专用,按安全分区分别配备移动存储介质,在内网使用的移动存储设备只能在内网使用,禁止在其它任何终端上使用。使用前对移动介质进行严格的病毒扫描、木马检查。对关键应用数据与应用系统进行备份,确保数据损坏及系统崩溃情况下快速恢复数据与系统的可用性。
3.5 在应急机制上,制定二次防护紧急预案
制定二次防护应急预案是非常需要的。当电力生产控制大区出现安全事件,尤其是遭受黑客或恶意代码的攻击时,能采取紧急防护措施,防止事件扩大。应急预案要包括联系人资料、厂家、各专业联系人电话、各系统密码等,并定期更新。要将应急预案放于机房内,提高应急预案的可操作性。
3.6 在硬件软件上,全面实施国产化
二次防护系统使用的横向隔离设备、纵向加密认证设备、安全拨号认证网关、交换机、路由器、防火墙和IDS等硬件设施要全面国产化。防病毒软件也采用国产的杀毒软件。这样才能杜绝国外软硬件故意留下恶意后门等可能的潜在威胁,使设备的使用处于能控和在控的范围。
4 结束语
在完成二次防护大体框架的前提下,必须在制度、人员、网络、主机、病毒防护和应急预案等细节方面采取相关措施,才能全面应付各种外部攻击。鉴于安全防护工程是永无休止的动态工程,因而要根据生产需要不断地加以修正,才能满足电力二次系统安全防护所要求的系统性原则和螺旋上升的周期性原则。
[1] 高新华,王文,马骁.电力信息网络安全隔离设备的研究[J].电网技术,2003,(9).
[2] 邹国辉,李毅松,辛耀中.电力二次系统的安全防护策略分析[A].北京:第二十八届中国电网调度运行会议论文选集[C],2003.
[3] 韩杰.计算机网路与通信[M].北京:人民邮电出版社,2002.
[4] 周小燕,杨宏宇,崔恒志,等.地区电力调度中心二次系统安全防护[J].江苏电机工程,2005,(2).1