国调、网省调
火电厂 梯调 水电厂
水电厂 超高压输 电变电站 地调 集控站 低压配电线 路及变电站 区调、县调、 配调 需求侧 控制 中压配电 变电站 高压配电 变电站
图 1 电力二次系统逻辑结构示意图
2.2 安全防护目标及重点 2.2.1 风险分析
电力监控系统及调度数据网作为电力系统的重要基础设施,不仅与电力生产、经营和服 务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。 电力生产直接关系到国计民生,其安全问题一直是国家有关部门关注的重点之一。 随着通信技术和网络技术的发展,接入国家电力调度数据网的电力控制系统越来越多。 特别是随着电力改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的 数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电 站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提 出了新的严峻挑战。而另一方面,Internet 技术和因特网已得到广泛使用,E-mail 、Web 和 PC 的应用也日益普及,但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变 电站在规划、设计、建设控制系统和数据网络时,对网络安全问题重视不够,使得具有实时 远方控制功能的监控系统,在没有进行有效安全防护的情况下与当地的MIS 系统等其他数 据网络互连,有严重的隐患。除此之外,还存在黑客在调度数据网中采用“搭接”的手段对 传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的 威胁。电力二次系统面临的主要安全风险见表 1。因此电力监控系统和数据网络系统的安全 性和可靠性已成为一个非常紧迫的问题。 表 1 电力二次系统面临的主要风险
优先级风险说明/举例 - 2 -
优先级风险说明/举例
0 旁路控制(Bypassing Controls) 入侵者对发电厂、变电站发送非法控制命令, 导致电力系统事故,甚至系统瓦解。
1 完整性破坏(Integrity Violation) 非授权修改电力控制系统配置或程序;非授 权修改电力交易中的敏感数据。 2 违反授权(Authorization Violation)
电力控制系统工作人员利用授权身份或设 备,执行非授权的操作。 3 工作人员的随意行为 (Indiscretion)
电力控制系统工作人员无意识地泄漏口令等 敏感信息, 或不谨慎地配置访问控制规则等。
4 拦截/篡改(Intercept/Alter) 拦截或篡改调度数据广域网传输中的控制命 令、参数设置、交易报价等敏感数据。
5 非法使用(Illegitimate Use) 非授权使用计算机或网络资源。 6 信息泄漏(Information Leakage) 口令、证书等敏感信息泄密。 7 欺骗(Spoof) Web 服务欺骗攻击;IP 欺骗攻击。
8 伪装(Masquerade) 入侵者伪装合法身份,进入电力监控系统。 9 拒绝服务(Availability, e.g. Denial of Service)
向电力调度数据网络或通信网关发送大量雪 崩数据,造成拒绝服务。
10 窃听(Eavesdropping, e.g. Data Confidentiality)
黑客在调度数据网或专线通道上搭线窃听明 文传输的敏感信息,为后续攻击准备数据。
2.2.2 安全防护目标及重点
电力二次系统安全防护的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏 和攻击,能够抵御集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防 止由此引起电力系统故障。安全防护目标:
z 防止通过外部边界发起的攻击和侵入,尤其是防止由攻击导致的一次系统的事 故以及二次系统的崩溃;
z 防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。
2.2.3 安全防护的特点
电力二次系统安全防护的特点是具有系统性和动态性。电力二次系统是一个大系统,并 且处在不断的变化和发展中,但其安全防护不能违反二次系统安全防护的基本原则。必须指 出的是,本方案仅代表当前的认识水平及目前的具体实施环境,今后将随着实践逐步完善和 提高。
安全防护工程是永无休止的动态过程。图 2所示为以安全策略为核心的动态安全防护模 型。动态自适应安全模型的设计思想是将安全管理看作一个动态的过程,安全策略应适应网
络的动态性。动态自适应安全模型由下列过程的不断循环构成:安全分析与配置、实时监测、 报警响应、审计评估。
由此可见,安全工程的实施过程要注重系统性原则和螺旋上升的周期性原则。
- 3 -
防护
esp nseete 策略
Respoons e Detectionon
Protec ion
Protection
Policy
反应检测
图 2 安全防护的P2DR模型
系统性原则不但要求在实施电力二次系统的各子系统的安全防护时不能违反电力二次
系统的整体安全防护方案,同时也要求从技术和管理等多个方面共同注重安全防护工作的落 实。
螺旋上升的周期性原则表明安全工程的实施过程不是一蹴而就的,而是一个持续的、长 期的“攻与防”的矛盾斗争过程。当前具体实施的安全防护措施单独从安全性的角度并不一 定是最优的,但是要确保实施安全防护措施后系统的安全性必须得到加强。
2.3 相关的安全防护法规
z 《关于维护网络安全和信息安全的决议》,全国人大常委会2000 年10 月审议 通过
z 《中华人民共和国计算机信息系统安全保护条例》,国务院1994 年发布
z 《计算机信息系统保密管理暂行规定》,国家保密局1998 年发布
z 《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》,国家
保密局1998 年发布
z 《计算机信息网络国际联网安全保护管理办法》,公安部1998 年发布
z 《计算机信息系统安全保护等级划分准则》(GB 17859 -1999),公安部1999
全国电力二次系统安全防护总体方案
