电力二次系统安全防护风险与防护技术

电力二次系统对电力生产过程进行数据采集、监测和控制，保证电力生产过程的正常运转，它是电力生产、输送的核心系统。随着计算机技术和网络通信技术应用于电力二次系统，带来了电力二次系统的诸多安全问题，如病毒、信息泄漏和篡改、系统不能使用等。电力二次系统是电力控制系统的核心，是国家关键基础设施的重要组成部分。加强电力二次系统的安全防护，是我国信息安全保障建设的重大课题。本文就来讨论电力二次系统安全防护的主要风险及防护技术。

一、电力二次系统安全防护的主要风险

    电力二次系统主要由控制中心、通信网络和现场设备组成，其主要安全风险如下：

    1、大量的终端和现场设备如PLC（可编程逻辑控制器）、RTU（远程测控终端）和IED（智能电子设备）可能存在逻辑炸弹或其他漏洞，部分设备采用国外的操作系统、控制组件，未实现自主可控，可能有安全漏洞，设备存在被恶意控制、中断服务、数据被篡改等风险。

    2、通信网及规约上可能存在漏洞，攻击者可利用漏洞对电力二次系统发送非法控制命令。通信网及规约的安全性是整个系统支全的主要环节，通信网及规约的漏洞是非法入侵者主要攻击的目标。控制中心同站控系统之间主要采用IEC 60870-5-101/104规约进行通信，但104规约存在的主要安全问题为不具备加密、认证功能，且端口为固定的2404端口，存在被窃听、分析、替换的风险；一些不具备光纤通信条件的厂站采用GPRS\ CDMA等无线通信方式，有的将101规约直接用在GPRS环境，通过APN虚拟专网采集测量数据、下发控制命令，没有身份认证和加密措施，安全强度不够，存在安全风险。

    3、TCP/IP网络通讯技术广泛应用，电力二次系统面临病毒、蠕虫、木马威胁。电力二次系统中各类智能组件技术、TCP/IP网络通讯技术广泛应用，将面临传统信息网络面临的病毒、黑客、木马等信息安全问题。国外的电力控制系统不断暴露安全漏洞，对我国电力控制领域的安全稳定运行造成了很大的影响。

    4、其他主要风险如下：中心控制系统和站控系统之间业务通信时，缺乏相应的安全机制保证业务信息的完整性、保密性；中心控制系统、通讯系统和站控系统的网络设备、主机操作系统和数据库等的安全配置需要增强；缺乏对系统帐号和口令进行集中管理和审计的有效手段；缺乏记录和发现内部非授权访问的工具和手段，对重要业务系统维护人员缺少监控手段，无法有效记录维护人员的操作记录；对于软件补丁的安装缺乏有效的强制措施；人员的信息安全意识教育、基本技能教育还需要进一步普及和落实。

    二、安全防护技术

    电力二次系统安全解决方案在技术上系统性地考虑了控制中心和各站控系统之间的网络纵向互联、横向互联和数据通信等安全性问题，通过划分安全区、专用网络、专用隔离和加密认证等项技术从多个层次构筑纵深防线，抵御网络黑客和恶意代码攻击。

    1、物理环境安全防护。物理环境分为室内物理坏境和室外物理环境，包括控制中心以及站控系统机房物理环境、PLC等终端设备部署环境等。根据设备部署安装位置的不同，选择相应的防护措施。室内机房物理环境安全需满足对应信息系统等级的等级保护物理安全要求，室外设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。

    2、边界安全防护。电力二次系统边界包括横向边界、纵向边界，其中横向边界包括电力二次系统不同功能模块之间，与其他系统之间的边界，纵向边界包括控制中心与站控系统之间的边界。对于横向边界通过采用不同强度的安全设备实施横向隔离保护，如专用隔离装置、硬件防火墙或具有ACL访问控制功能的交换机或路由器等设备；控制中心与站控系统之间的纵向边界采用认证、加密、访问控制等技术措施实现安全防护，如部署纵向加密认证网关，提供认证与加密服务，实现数据传输的机密性、完整性保护。

    3、网络安全防护。电力二次系统的专用通道应采用独立网络设备组网，在物理层面上实现与对外服务区网络以及互联网的安全隔离；采用虚拟专网VPN技术将专用数据网分割为逻辑上相对独立的实时子网和非实时子网，采用QoS技术保证实时子网中关键业务的带宽和服务质量；同时核心路由和交换设备应采用基于高强度口令密码的分级登陆验证功能、避免使用默认路由、关闭网络边界关闭OSPF路由功能、关闭路由器的源路由功能、采用增强的SNMPv2及以上版本的网管协议、开启访问控制列表、记录设备日志、封闭空闲的网络端口等安全配置。

    4、主机系统安全防护。电力二次系统应对主机操作系统、数据库管理系统、通用应用服务等进行安全配置，以解决由于系统漏洞或不安全配置所引入的安全隐患。如按照国家信息安全等级保护的要求进行主机系统的安全防护，并采用及时更新经过测试的系统最新安全补丁、及时删除无用和长久不用的账号、采用12位以上数字字符混合口令、关闭非必须的服务、设置关键配置文件的访问权限、开启系统的日志审计功能、定期检查审核日志记录等措施。

    5、应用和数据安全防护。(1)应用系统安全防护，在电力二次系统开发阶段，要加强代码安全管控，系统开发要遵循相关安全要求，明确信息安全控制点，严格落实信息安全防护设计方案，根据国家信息安全等级保护要求，确定的相应的安全等级，部署身份鉴别及访问控制、数据加密等应用层安全防护措施。(2)用户接口安全防护，用户远程连接应用系统需进行身份认证，需根据电力二次系统等级制定相应的数据加密、访问控制、身份鉴别、数据完整性等安全措施，并采用密码技术保证通信过程中数据的完整性。(3)系统数据接口安全防护，电力二次系统间的数据共享交换采用两种模式，系统间直接数据接口交换或通过应用集成平台进行数据交换，处于这两种数据交换模式的系统均应制定数据接口的安全防护措施，对数据接口的安全防护分为域内数据接口安全防护和域间数据接口安全防护；域内数据接口是指数据交换发生在同一个安全域的内部，由于同一个安全域的不同应用系统之间需要通过网络共享数据，而设置的数据接口；域间数据接口是指发生在不同的安全域间，由于跨安全域的不同应用系统间需要交换数据而设置的数据接口；对于域内系统间数据接口和安全域间的系统数据接口，根据确定的等级，部署身份鉴别、数据加密、通信完整性等安全措施；在接口数据连接建立之前进行接口认证，对于跨安全域进行传输的业务数据应当采用加密措施；对于三级系统应具有在请求的情况下为数据原发者或接收者提供数据原发或接收证据的功能，可采用事件记录结合数字证书或其他技术实现。

    6、远程拨号安全防护。拨号访问能绕过安全防护措施而直接访问电力二次系统，存在很大的安全隐患，应进行专门防护。对于远程通过拨号访问电力二次系统这种方式，应采用安全拨号装置，实施网络层保护，并结合数字证书技术对远程拨号用户进行客户端检查、登陆认证、访问控制和操作审计。

    三、安全管理体系

    规范化管理是电力二次系统安全的保障。以“三分技术，七分管理”为原则，建立信息安全组织保证体系，落实责任制，明确各有关部门的工作职责，实行安全责任追究制度；建立健全各种安全管理制度，保证电力二次系统的安全运行；建立安全培训机制，对所有人员进行信息安全基本知识、相关法律法规、实际使用安全产品的工作原理、安装、使用、维护和故障处理等的培训，以强化安全意识，提高技术水平和管理水平。

    四、安全服务体系

建立完善的安全服务体系，进行电力二次系统上线前的安全测评、上线后的安全风险评估、安全整改加固以及监控应急响应，用于保护、分析对系统资源的非法访问和网络攻击，并配备必要的应急设施和资源，统一调度，形成对重大安全事件（遭到黑客、病毒攻击和其他人为破坏等）快速响应的能力。

总之，随着我国基础产业“两化融合”进程的不断加快，电力二次系统的安全防护已纳入国家战略，电力企业要建立电力二次系统信息安全防护体系，确保电力二次系统安全、稳定和优质的运行，更好地为国家发展和人民生活服务。

                          江苏阚山发电有限公司    王家龄