要求,现有的业务系统中,机组DCS系统、其他辅控系统及RTU应属于安全区I和安全区II,SIS系统应属于安全区III(备注:电厂在前期规划中将SIS系统严格定位至安全区III,从网络方面按照国家对安全区III的相关规定进行规划实施,并且其系统功能方面也完全符合安全III区的定位,即“SIS系统实现电力调度生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度中心或控制中心工作人员的桌面终端直接相关,与安全区IV的办公自动化系统关系密切。”),MIS系统应属于安全区IV。
根据国家二次防护规定,本厂级实时管理信息系统(SIS)在实施过程中安全防护要求及措施如下:
该项目所连接现场控制系统,包括主机分散控制系统(DCS)、化水程控系统、输煤程控系统、除灰程控系统和除渣控制系统,属于安全区I,还有RTU系统和省调系统,属于安全区II,都属于生产控制大网的范畴。这些系统与SIS系统数据传输按照国家安全防护规定必须采用经有关部门认定核准的专用安全隔离装置。本项目在现场生产控制系统与SIS服务器之间安置了经国家相关部门认证的电力系统专用网络隔离装置正向型(珠海鸿瑞Hrwall-85M-II),确保现场数据采集完全单向传输,保证了生产控制大网的安全性。
本项目还连接了同属于管理信息大网的MIS系统(安全区IV),按照国家安全防护的规定,本系统与MIS系统之间安置了
防火墙以保证各自系统的安全性。
本项目安全防护规划示意图:(见附图二) (二)项目实施介绍
在项目的规划和实施过程中,我公司始终遵循国家对电力二次系统安全防护的规定并明确本项目系统在电厂信息自动化系统中所处位置,配置五台得到国家相关部门认证的正向隔离装置用于安全区I/II到安全区III之间,确保数据单向传递,对数据传递的稳定性、完整性、实时性提供了保证,详见附图三。
四、隔离装置安全性能说明 (一)正向装置对通信程序的限制
根据国调对隔离装置的要求,其通信功能如下:
1.由内到外的完全单向模式,UDP协议,外网不能返回任何数据。
2.由内到外的单向数据模式,TCP协议,外网可以返回(按国调要求)小于4字节的应用层应答数据(并被限制不可重新组成大包)。
3.安全、方便的维护管理方式:基于证书的管理人员认证,图形化的管理界面。
(二)正向隔离装置功能
安全隔离装置(正向)具有如下功能:
1.实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
2.表示层与应用层数据完全单向传输,即从安全区III到安全区I/II的TCP应答禁止携带应用数据;
3.透明工作方式:虚拟主机IP地址、隐藏MAC地址; 4.基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
5.支持NAT;
6.防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输。
7.具有可定制的应用层解析功能,支持应用层特殊标记识别;
(三)装置安全保障要点
专用安全隔离装置本身应该具有较高的安全防护能力,其安全性要求主要包括:
1.采用非INTEL指令系统的(及兼容)微处理器; 2.安全、固化的的操作系统; 3.不存在设计与实现上的安全漏洞; 4.抵御除DoS以外的已知的网络攻击。 (四)设计标准
装置采用网络隔离设备及防火墙等技术,属于结合型专用安
全隔离产品,参考标准如下:
1.中华人民共和国国家标准GB/T 18020-1999 2.《信息技术应用级防火墙安全技术要求》 3.中华人民共和国国家标准GB/T 17900-1999 4.《网络代理服务器的安全技术要求》 5.中华人民共和国国家标准GB/T 18019-1999 6.《信息技术包过滤防火墙安全技术要求》 7.中华人民共和国公共安全行业标准 8.《网络隔离设备的安全技术要求》 (五)安全策略定位 1.监控系统的网络安全屏障
一个网络隔离装置(作为阻塞点、控制点)能极大地提高一个监控系统的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网络隔离装置,所以网络环境变得更安全。如网络隔离装置可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。网络隔离装置应该可以拒绝所有以上类型攻击的报文并通知网络隔离装置管理员。
2.简化网络安全策略,无需修改双端程序
通过以网络隔离装置为中心的安全方案配置,能将所有安全
策略配置在网络隔离装置上。与将网络安全问题分散到各个主机上相比,网络隔离装置的集中安全管理更方便可靠。例如在网络访问时,监控系统通过加密口令/身份认证方式与其它信息系统通信,在电力监控系统基本上不可行,它意味监控系统要重新测试,因此用网络隔离装置集中控制,无需修改双端应用程序是最佳的选择。
3.对网络存取和访问进行监控
如果所有的访问都经过网络隔离装置,那么,网络隔离装置就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4.防止监控系统信息外泄,不为外部攻击创造条件 通过网络隔离装置对监控系统及其它信息系统的划分,实现监控系统重点网段的隔离,一个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部细节,例如网络隔离装置可以进行网络地址转换(NAT),这样一台主机IP地址就不会被外界所了解, 不会为外部攻击创造条件。
电力二次系统安全防护实施方案
