电力系统自动化系统核心防护.doc
提纲
自动化监控核心系统防护的必要性
国家相关文件要求
行业安全事故与分析
核心系统防护产品S-NUMEN的功能
产品资质与成功案例
北京信达公司部分用户名单
技术白皮书
http:///
一、自动化监控系统核心系统防护的必要性
(1) 国家文件明文规定电厂主服务器应使用安全加固的操作系统。
电监安全[2006]34号
电监安全[2012]12号
国家电网调[2006]1167号
南方电网 [2008年8月]
工信部协[2011]451号
(2)美国出口中国的操作系统达不到第三、第四等级要求。
美国不出口中国C2级别以上的操作系统,我们国家所有的操作系统不管是UNIX、Linux还是Windows都是C2级别的,相当于我国公安部要求的第二等级。C2级别的操作系统本身就有很多的漏洞,其数据和进程服务容易被篡改和终止,并且日志系统易遭到破坏,导致事后无法查证的被动防护。经过主机加固以后操作系统的级别能达到B1、B2级别,也就是第三、第四等级。
(3)只在边界布署防护产品不能解决核心系统的安全隐患。
用户只在网络边界做了防护,布署了防火墙、入侵检测系统、VPN等产品,这些产品只解决网络安全中的边界防护问题,但是它们是独立于用户当前的网络与系统之外的,既不能完全阻止外部人员的入侵行为,也没法杜绝内部人员的误操作或非法操作,只有布署核心系统防护才能确保核心系统的安全,因此只有实现从核心到边界的多层次、纵深的防护体系才是一个完整的安全防护方案,才能确保系统的稳定运行。
(4)多年来,大量电厂监控系统已布署核心系统防护,实现了长期、稳定、可靠的运行。
A、理论上,产品是内核级产品,不会影响应用层软件的正常运行。
B、实验室数据表明,在公安部和国家电网信息安全实验室的极限测试中,系统的资源占用率2.4%。
C、多年以来,许多关乎国家安全、国计民生的重要监控系统等关键的控制系统都已成功应用了核心系统防护,数据和业务得到可靠的安全保障。
二、国家相关文件要求
电监安全[2006]34号
第三章 通用安全防护措施
第五节 主机加固
能量管理系统,变电站自动化系统,电厂监控系统,配电自动化系统,电力市场运营系统等关键应用系统的主服务器,以及网络边界处的通信网关,WEB服务器等,应该使用安全加固的操作系统。加固方式包括:安全配置,安全补丁,采用专用软件强化操作系统访问控制能力,以及配置安全的应用程序。
电监会12号文,其中主机加固的必要性有以下几条:
http:///
一、电力系统已经成为境内外敌对势力进行渗透攻击的重要目标(第1页);
二、2003年12月30日承担三峡电力外送的三个(相距上千公里的)换流站的控制系统事故,说明“操作系统的脆弱性和局部安全事件扩散可能造成整个监控系统的瘫痪”(第2页);
三、推进主机加固等通用防护设备及防护措施的应用和部署工作。(第10页)
百度搜索:99建筑网,查看数百万资料
四、风电二次系统安全防护的风险和薄弱环节。一是存在风电设备制造商通过互联网与生产控制大区中的风电监控系统直连,使二次系统面临被恶意攻击和控制的风险;
二是由于地理原因,其控制系统与风电机组之间采取无线公网方式传输,使监控系统所在的生产大区面临来自公网攻击的风险。
五、重点加强风电等新能源发电企业二次系统中远程接入和维护的安全防护措施。(第27页)
国家电网调[2006]1167号
百度搜索:99建筑网,查看数百万资料
四、按照 34 号文要求,确保 2007 年底之前,公司系统地级以上调度机构、220 千伏以上变电站(含开关站、换流站)、总装机1000 兆瓦或含有单机容量 300 兆瓦以上机组的发电厂及其它重要厂站要具备二次系统安全防护的主要功能;2008~2009 年 , 年 110 千伏以上变电站、含有单机容量 100 兆瓦以上机组的发电厂、县级调度中心和配电调度中心等要具备二次系统安全防护的主要功能,有条件的地方应尽量提前;2010 年之前建成比较完善的电力二次系统安全防护体系.
五、各研究、开发单位要按《方案》 要求,尽快改进或完善所提供的电力二次系统或设备的安全特性;国家电网公司委托中国电力科学研究院信息安全实验室和国网南京自动化研究院网络信息安全实验室对进入公司系统的电力二次系统和设备进行安全性测试认证;凡 2008 年 1 月 1 日以后投入运行的调度自动化系统和变电站自动化系统应符合《方案》 要求并通过安全测试认证.2009 年 1 月 1 日以后投入运行的电力二次系统或设备都应符合《方案》 要求并通过安全测试认证。
南方电网公司电力二次系统安全防护技术实施规范 [2008年8月]
7.13 生产控制大区内部防护措施,对重要的服务器和通信网关必须进行安全加固,安全II区若有WEB服务,应采用支持HTTPS的安全WEB服务,其WEB服务器必须经过安全加固并采用电力调度数字证书对浏览器客户端访问进行身份认证及加密传输。
水利网络与信息安全体系建设基技术要求
4.4.1 安全计算环境建设
4.4.1.1 用户身份鉴别
通过使用符合第四等级安全保护要求的安全操作系统或相应的系统加固软件实现用户身份鉴别。
4.4.1.3 标记和强制访问控制
通过采用符合第四安全保护要求的安全操作系统或采用相应的系统加固软件对服务器以及终端进行系统加固,通过其提供的标记和强制访问控制系统,实现标记和强制访问控制功能。
中电投水力发电厂(站)安全评价标准
2.6.2.3安全系统
(6)主机加固
【依据】《电力二次系统安全防护总体方案》(电监安全[2006]34号)
3.6.3 主机加固 安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
中国国电集团公司科技技术路线(信息化部分)
第九十条
安全管理包括安全方针、安全组织、资产分类及控制、人员安全、物理和环境安全、通信和运行管理、系统访问控制、系统开发与维护、业务持续性管理和符合性。
第九十七条
系统访问控制包括八个控制目标:访问控制策略、用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用访问控制、监控系统的访问和使用、移动计算和远程办公。 第一0七条
用户访问安全:对数据库超级用户进行严格管理;用户名和口令以加密形式保存;建立公司级统一认证系统,应用系统开发要充分考虑与认证系统的整合。
华电集团关于主机防护的规定
第十七条 主机防护
(一)合理分配操作系统的用户权限,遵循相互制约原则与最小授权原则,定义良好的访问控制策略,避免权限过分集中与滥用。
(二)及时升级操作系统版本,及时安装补丁程序,清除已知的主机内核漏洞与后门。
(六) 对系统日志定期进行安全审计。
(七) 用户口令应具有一定的强度。
公安部2007年7月《信息系统安全等级保护基本要求》
4.1.3主机安全
主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。
公信安[2007]861号 中华人民共和国公安部、国家保密局、国家密码管理局、国务院信息化工作办公室、印发的《关于开展全国重要信息系统安全等级保护定级工作的通知》
http:///
一、定级范围
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
工信部协[2011]451号 http:///
一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性
数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。
二、明确重点领域工业控制系统信息安全管理要求 加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。
(一)连接管理要求。
(二)组网管理要求。
1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
(三)配置管理要求。
1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。
2. 严格账户管理,根据工作需要合理分类设置账户权限。
3. 严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。
4. 定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
三、行业安全事故与分析
1:2000年,四川某水电厂因异常的接收外来信号,7秒钟甩出电力89万千瓦,导致川渝电网几乎瓦解。事件暴露出生产控制系统与管理信息系统接入公网时,极易受到来自外部的攻击。
辽公网安备 21020302000024号工信部备案号: 辽ICP备15011726号-5
