電監(jiān)會5號令《電力二次系統(tǒng)安全防護(hù)規(guī)定》和電監(jiān)安全34號文件《電力二次系統(tǒng)安全防護(hù)總體方案》，對電力二次系統(tǒng)的安全建設(shè)提出了具體建設(shè)內(nèi)容和目標(biāo)，指出需要對電力二次系統(tǒng)整體安全保障進(jìn)行全面的建設(shè)，確保電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，抵御黑客、病毒、惡意代碼等各種形式的攻擊，防止電力二次系統(tǒng)的崩潰或癱瘓，并由此導(dǎo)致的發(fā)電廠一次系統(tǒng)事故。

　　為滿足電監(jiān)會5號令合規(guī)性要求，太多數(shù)發(fā)電企業(yè)在信息安全建設(shè)過程中，二次系統(tǒng)的安全防護(hù)作為其重中之重，但是我們考察的很多企業(yè)，在二次系統(tǒng)的安全防護(hù)改造工程中，只是片面理解電監(jiān)會5號令和電監(jiān)安全34號文件，沒有深入本質(zhì)了解電監(jiān)會文件要求，所以很多技術(shù)改造只是表面上符合要求，一但深入分析，就存在很多問題，二次安防的改造也就失去了意義。

　　通過大量實(shí)踐，我們在發(fā)電廠電力二次系統(tǒng)安全防護(hù)建設(shè)中積累許多經(jīng)驗(yàn)，在此把這些經(jīng)驗(yàn)向廣大電力企業(yè)一同分享。

　　一、二次安防建設(shè)過程中要以風(fēng)險(xiǎn)評估為開展方法

　　風(fēng)險(xiǎn)評估是通過脆弱點(diǎn)發(fā)現(xiàn)、威脅分析等手段對電力二次系統(tǒng)的安全風(fēng)險(xiǎn)狀況進(jìn)行掌握和了解的過程。風(fēng)險(xiǎn)評估的主要目的是發(fā)現(xiàn)系統(tǒng)現(xiàn)有的安全風(fēng)險(xiǎn)，并在對風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行合理分析和判斷的基礎(chǔ)上提出解決方法，為提高系統(tǒng)的安全水平提供基礎(chǔ)數(shù)據(jù)依據(jù)和實(shí)施指導(dǎo)。通過評估掌握并一定程度量化信息系統(tǒng)安全現(xiàn)狀和存在的各種安全風(fēng)險(xiǎn);在風(fēng)險(xiǎn)分析的基礎(chǔ)上，對改進(jìn)與完善二次系統(tǒng)現(xiàn)有安全水平提供建議。

　　風(fēng)險(xiǎn)評估應(yīng)該全程有機(jī)貫穿在二次安防建設(shè)過程中：

　　1.1 在二次安防建設(shè)前，首先要對整個二次網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評估，評估工作主要有在現(xiàn)場對電力二次系統(tǒng)安全設(shè)備、網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)收集，通過漏洞掃描系統(tǒng)、人工審計(jì)腳本、網(wǎng)管工具、滲透測試對系統(tǒng)進(jìn)行分析。對二次系統(tǒng)網(wǎng)絡(luò)及設(shè)備威脅和脆弱性，策略及管理等多方面綜合分析，了解現(xiàn)有二次系統(tǒng)整體安全現(xiàn)狀，依據(jù)安全現(xiàn)狀，制定出二次系統(tǒng)安全風(fēng)險(xiǎn)分析報(bào)告。

　　1.2 其次是依靠安全風(fēng)險(xiǎn)分析數(shù)據(jù)和二次系統(tǒng)安全風(fēng)險(xiǎn)分析報(bào)告，遵循國內(nèi)及行業(yè)的信息安全標(biāo)準(zhǔn)及電力二次系統(tǒng)規(guī)定設(shè)計(jì)出符合電廠實(shí)際情況并且具有可操作性的二次系統(tǒng)安全規(guī)劃及安全體系，即電力二次系統(tǒng)總體規(guī)劃報(bào)告。

　　1.3 電力企業(yè)通過總體規(guī)劃報(bào)告可以進(jìn)行網(wǎng)絡(luò)整改和設(shè)備選型安裝調(diào)試。

　　1.4 網(wǎng)絡(luò)和設(shè)備改造完后，開始針對生產(chǎn)控制大區(qū)的服務(wù)器、數(shù)據(jù)庫、關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行加固，針對非生產(chǎn)控制大區(qū)里面的所有服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)進(jìn)行安全加固。同時針對電力二次系統(tǒng)完善一些管理制度要求比如運(yùn)行維護(hù)辦法、應(yīng)急預(yù)案、操作審計(jì)辦法等 。

　　1.5 評估與加固完成后，在整個項(xiàng)目驗(yàn)收前，再對二次系統(tǒng)進(jìn)行第二次安全評估，確定是否滿足加固前期望要求，是否達(dá)到電力二次系統(tǒng)總體規(guī)劃報(bào)告預(yù)期要求 ，是否系統(tǒng)的建設(shè)符合國家電監(jiān)會[2006]34號文件的技術(shù)要求。最后準(zhǔn)備好項(xiàng)目驗(yàn)收。

　　二、電力二次系統(tǒng)安全防護(hù)一定要按照電監(jiān)會文件執(zhí)行

　　實(shí)施電力二次系統(tǒng)安防改造項(xiàng)目，一定要深入理解電監(jiān)會5號令《電力二次系統(tǒng)安全防護(hù)規(guī)定》里的十六字方針，即“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”，電力二次系統(tǒng)安全防護(hù)工作也應(yīng)當(dāng)嚴(yán)格按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則進(jìn)行設(shè)計(jì)工作，這樣才能有效滿足電力二次系統(tǒng)整體的安全。在實(shí)施項(xiàng)目過程中，對于許多電力企業(yè)二次安防建設(shè)，我們對方針有如下體會：

　　對安全分區(qū)的要求

　　通知規(guī)定，發(fā)電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，目前許多電力企業(yè)都按照控制區(qū)、非控制區(qū)和信息管理大區(qū)對資產(chǎn)進(jìn)行區(qū)分，但也有一部企業(yè)生產(chǎn)控制區(qū)和管理區(qū)劃分不明確。

　　通知規(guī)定，不同的安全等級生產(chǎn)設(shè)備劃分在不同的區(qū)域?qū)嵭胁煌牡燃壉Ｗo(hù)。雖存在安全等級的概念，但對業(yè)務(wù)服務(wù)器并沒有安全等級高低設(shè)置。

　　通知規(guī)定，生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)II);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同的要求劃分安全區(qū)。許多電廠業(yè)務(wù)系統(tǒng)按照方案要求進(jìn)行分區(qū)管理，但很多未進(jìn)行安全域劃分。

　　對網(wǎng)絡(luò)專用的要求

　　同時，由于電廠大部分都在郊外，生產(chǎn)、辦公、公寓和招待所網(wǎng)絡(luò)共用現(xiàn)象嚴(yán)重，很多企業(yè)都未完全實(shí)現(xiàn)專網(wǎng)專用。

　　對橫向隔離的要求

　　生產(chǎn)控制大區(qū)與信息管理大區(qū)之間;信息管理大區(qū)和互聯(lián)網(wǎng)之間的網(wǎng)絡(luò)節(jié)點(diǎn)上，部署硬件防火墻系統(tǒng)，并執(zhí)行嚴(yán)格的訪問控制，并且防火墻系統(tǒng)采取集中管理的方式，確保訪問控制策略的有效性，杜絕非授權(quán)或非法的訪問;

　　在生產(chǎn)控制大區(qū)和管理信息大區(qū)邊界部署專用安全隔離裝置，實(shí)現(xiàn)更為安全的隔離，保障生產(chǎn)控制大區(qū)和管理信息大區(qū)只有數(shù)據(jù)被傳遞，任何直接的訪問均被禁止。達(dá)到《電力二次系統(tǒng)安全防護(hù)總體方案》的要求。

　　在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。

　　生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。

　　對縱向認(rèn)證的要求

　　按照電監(jiān)會5號令的要求，生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施。此外，針對信息管理大區(qū)，在縱向上也需要考慮采取必要的安全隔離措施，避免來自地調(diào)、縣調(diào)的威脅影響省調(diào)信息管理大區(qū)。#p#分頁標(biāo)題#e#

　　對邊界防護(hù)的要求

　　在生產(chǎn)控制大區(qū)邊界上合理部署入侵檢測系統(tǒng)、部署安全審計(jì)措施、敏感服務(wù)器登錄認(rèn)證和授權(quán)，在生產(chǎn)控制區(qū)與非控制區(qū)及管理信息大區(qū)重要出口假設(shè)防火墻，進(jìn)行邏輯隔離。在生產(chǎn)控制區(qū)和管理信息大區(qū)重要出口假設(shè)防火墻，進(jìn)行邏輯隔離。在生產(chǎn)控制區(qū)和管理信息大區(qū)邊界，如有通訊，必須采用國家認(rèn)證的隔離裝置。對各區(qū)域網(wǎng)絡(luò)必須做到專網(wǎng)專用。

　　對安全管理的要求

　　電力企業(yè)按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的原則，建立健全電力二次系統(tǒng)安全管理制度，將電力二次系統(tǒng)安全防護(hù)工作及其信息報(bào)送納入日常安全生產(chǎn)管理體系，落實(shí)分級負(fù)責(zé)的責(zé)任制。

　　建立電力二次系統(tǒng)安全評估制度，將電力二次系統(tǒng)安全評估納入電力系統(tǒng)安全評價(jià)體系。

　　建立健全電力二次系統(tǒng)安全的聯(lián)合防護(hù)和應(yīng)急機(jī)制，制定應(yīng)急預(yù)案。電力調(diào)度機(jī)構(gòu)負(fù)責(zé)統(tǒng)一指揮調(diào)度范圍內(nèi)的電力二次系統(tǒng)安全應(yīng)急處理。
　三、當(dāng)前二次系統(tǒng)面臨的主要風(fēng)險(xiǎn)

　　發(fā)電廠監(jiān)控系統(tǒng)及與電網(wǎng)直接相關(guān)部分作為發(fā)電廠電力系統(tǒng)的重要設(shè)施，不僅與電力生產(chǎn)、經(jīng)營和服務(wù)息息相關(guān)，而且與電網(wǎng)調(diào)度和控制系統(tǒng)的安全運(yùn)行緊密關(guān)聯(lián)，是電力系統(tǒng)安全的重要組成部分。

　　近年來，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，接入電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來越多，同時，由于電力改革的推進(jìn)和電力市場的建立，需要在調(diào)度中心、電廠、用戶等之間進(jìn)行的數(shù)據(jù)交換也越來越頻繁。同時，電廠、變電站等減人增效，大量采用遠(yuǎn)程控制技術(shù)、E-MAIL、WEB等服務(wù)應(yīng)用日益普及，電力二次系統(tǒng)面臨著新的風(fēng)險(xiǎn)。

　　3.1 管理安全風(fēng)險(xiǎn)

　　目前大部分電廠在電力二次系統(tǒng)安全策略、安全審計(jì)、安全應(yīng)急方面制度建立不夠全面，現(xiàn)有管理制度主要圍繞各系統(tǒng)編寫，沒有與電力二次管理有機(jī)結(jié)合，還有待持續(xù)改進(jìn)。

　　3.2 技術(shù)安全風(fēng)險(xiǎn)

　　通過實(shí)際考察，發(fā)現(xiàn)發(fā)電廠各系統(tǒng)沒有及時更新系統(tǒng)補(bǔ)丁，因此存在很多由于未更新系統(tǒng)補(bǔ)丁而造成的漏洞。而此類漏洞極容易受到蠕蟲、病毒、黑客手段的威脅，對系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行構(gòu)成不可預(yù)測的安全威脅。

　　通過分析，發(fā)現(xiàn)默認(rèn)配置、運(yùn)營支持人員對系統(tǒng)維護(hù)不足或失當(dāng)構(gòu)成了最大的安全隱患，這些“默認(rèn)”設(shè)置，給攻擊者好病毒提供了一個最佳的入侵通道。

　　四 防護(hù)措施

　　防火墻系統(tǒng)

　　防火墻通過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能來隱藏內(nèi)部網(wǎng)絡(luò)的IP地址;通過動態(tài)訪問過濾功能動態(tài)檢查流經(jīng)的IP數(shù)據(jù)包。可以在安全區(qū)I與安全區(qū)II之間及安全區(qū)III(橫向)內(nèi)部，實(shí)現(xiàn)兩個區(qū)域的邏輯隔離、報(bào)文過濾、訪問控制等功能。

　　防病毒措施

　　從某種意義上說。防止病毒對網(wǎng)絡(luò)的危害關(guān)系到整個系統(tǒng)的安全，防病毒軟件要求覆蓋所有的服務(wù)器及客戶端，對關(guān)鍵服務(wù)器實(shí)時查毒，對于客戶端定期進(jìn)行查毒，制定查毒策略，并備有查殺記錄。病毒防護(hù)式調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須得安全措施。病毒特征碼要求必須以離線的方式及時更新，并事前進(jìn)行安全測試，防止更新后對系統(tǒng)造成不可預(yù)知的破壞。

　　入侵檢測系統(tǒng)

　　入侵檢測系統(tǒng)式專門針對黑客行為而研制的網(wǎng)絡(luò)安全產(chǎn)品，盡管防火墻能夠通過強(qiáng)化網(wǎng)絡(luò)安全策略抵御來自外部網(wǎng)絡(luò)的非法訪問，但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力，所以，入侵檢測系統(tǒng)能進(jìn)一步提高系統(tǒng)的抗攻擊能力，提高了防御體系級別，使網(wǎng)絡(luò)中信息流通更加暢通。

　　對于安全區(qū)I與II，建議統(tǒng)一部署一套IDS系統(tǒng)，考慮到調(diào)度業(yè)務(wù)的可靠性要求，采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)，其IDS探頭主要部署在：

　　安全區(qū)I與II區(qū)的邊界點(diǎn)，以及安全區(qū)I與II內(nèi)的關(guān)鍵應(yīng)用網(wǎng)段，其主要的功能用于捕獲網(wǎng)絡(luò)異常行為，分析潛在風(fēng)險(xiǎn)，以及安全審計(jì)。

　　四、總結(jié)

　　電力二次系統(tǒng)是電力系統(tǒng)中的重中之重，其安全問題相當(dāng)重要，電力企業(yè)應(yīng)結(jié)合自身特點(diǎn)，制定一套適合自身的規(guī)范和標(biāo)準(zhǔn)，同時，行業(yè)也應(yīng)該尋求適合一套自身的風(fēng)險(xiǎn)評估和安全加固體系。風(fēng)險(xiǎn)評估工作也應(yīng)向規(guī)范化、特殊化，針對電力行業(yè)的特點(diǎn)開展。

　　風(fēng)險(xiǎn)評估在電力二次系統(tǒng)的建設(shè)過程中有著很重要的作用，可以幫助電力客戶提高客戶核心競爭力，降低響應(yīng)的運(yùn)營成本，并有效控制IT風(fēng)險(xiǎn);建立和完善電力二次系統(tǒng)安全防護(hù)策略管理體系。