光伏电站电力监控系统安全防护方案.docx
《光伏电站电力监控系统安全防护方案.docx》由会员分享,可在线阅读,更多相关《光伏电站电力监控系统安全防护方案.docx(22页珍藏版)》请在冰点文库上搜索。
光伏电站电力监控系统安全防护方案
6XX光伏电站监控系统安全防护方案
6.1安全防护目标
电站监控系统安全防护主要针对网络信息安全,目标是:
1)抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起的恶意破坏和攻击,尤其是集团式攻击;
2)防止内部未授权用户访问系统或非法获取信息以及重大违规操作行为。
防护重点是通过各种技术和管理措施,对实时闭环监控系统及调度数据网的安全实施保护,防止电力监控系统瘫痪和失控,并由此导致电力系统故障。
6.2总体安全需求
根据对电站监控系统现状的分析,现提出以下总体安全需求说明:
1)通信安全需求
●厂内各系统设备之间采用以太网方式连接则必须采取符合相关规定的横向隔离措施。
●生产业务系统设备与调度端专线通信方式不考虑安全防护。
●生产业务系统设备与调度端采用语音拨号通信不考虑安全防护。
●生产业务系统设备与调度端经调度数据网和保护专用网络通信须采取隔离措施,防止网络攻击、病毒和非法操作。
2)各系统安全需求
电站各业务系统应逐步采用电力调度数字证书,对用户登录本地操作系统、访问系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。
3)全局安全需求
重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理,提供系统整体安全防护能力,保证电力监控系统及重要数据的安全。
6.3安全分区
根据《电力监控系统安全防护规定》的要求,在调度数据网内划分两个VPN,分别是:
实时控制VPN和非控制生产VPN,分别供安全区I(实时控制区)、安全区II(非控制生产区)。
站内调度数据网作为数据采集汇聚中心,由调度数据网接入省调、地调骨干节点,实现集控中心的调度自动化信息经过调度数据网向省调、地调传送。
安全分区如图所示
图10光伏电站监控系统安全部署示意图
6.4安全措施部署情况
发电站电力监控系统安全防护部署拓扑图:
图11XX光伏发电站电力监控系统安全防护部署拓扑图
6.4.1电站横向通信防护
XX光伏电站设置管理信息大区,生产控制大区与管理信息大区业务交互、部署横向隔离装置,安全一区与安全二区之间部署硬件防火墙实现逻辑隔离。
6.4.2纵向通信防护
发电站一平面、二平面安全区Ⅰ区已部署两套纵向加密认证装置采用电力专用分组密码算法和公钥密码算法,支持身份鉴别、信息加密、数字签名和密钥生成与保护,提供基于RSA、SM2公私密钥对的数字签名和采用专用加密算法进行数字加密的功能,实现业务系统数据的远方安全传输以及纵向边界的安全防护,与调度端实现双向身份认证、数据加密和访问控制。
发电站一平面、二平面安全区ⅠⅠ区已部署两套纵向加密认证装置采用电力专用分组密码算法和公钥密码算法,支持身份鉴别、信息加密、数字签名和密钥生成与保护,提供基于RSA、SM2公私密钥对的数字签名和采用专用加密算法进行数字加密的功能,实现业务系统数据的远方安全传输以及纵向边界的安全防护,与调度端实现双向身份认证、数据加密和访问控制。
纵向加密认证装置需采用双向加密认证、禁止明文通信,VPN安全策略源地址只允许站端通信主机、目的地址必须限制为调度主站端主机地址、且需指定业务系统协议和端口号。
6.4.3防病毒
发电站统一配置一套网络版防病毒系统,配置一台管理中心服务器,服务器部署安装于安全二区,安全一区客户端通过一、二区之间防火墙实现交互;生产控制大区局域网笔记本、工作站、服务器部署安装客户端,服务端管理各个客户端,对客户端进行升级和监控管理,提高对病毒及木马的防护能力,包括进行病毒定义码的更新、防病毒政策的设定、病毒情况的监控,手动的、定时的病毒扫描及清除、病毒日志及汇总报表以及集中隔离未知病毒,并能隔离有病毒的客户端,手工定期升级恶意代码防护系统病毒库。
病毒库采用离线升级方式更新。
6.4.4实时入侵检测
发电站安全区I与安全区II部署一套网络入侵检测系统,并开通四个监听口。
保证安全防护能实时、动态应对安全事件,增强对网络行为的监察、控制和审计能力,检测探头部署在电力调度数据网接入交换机侧。
检测规则合理设置,以及时捕获网络异常行为、分析潜在威胁、进行安全审计。
6.4.5漏洞扫描
发电站安全I区与安全II区统一配置一套工控漏洞扫描系统,授权两路扫描口、定期手动扫描主机服务器系统、数据库及脆弱配置并进行加固;定期对网络的不同断面进行漏洞扫描,及时发现安全隐患。
6.4.6安全审计
安全审计部署在安全区Ⅱ,通过网络(TCP、UDP)、串口等多种通讯方式,采用SNMP、SNMPTrap、SysLog、ODBC/JDBC、网络SOCKET和可定制化接口等方式采集安全设备(如防火墙、IDS、专用隔离设备、防病毒系统等)、服务器、数据库及调度数据网设备的不同格式的日志信息和告警信息,对网络安全事件信息进行集中分析过滤、处理、保存。
发生设备异常及异常的安全事件时,能自动检测并告警,能自动执行预定义处理动作。
日志保存时间不小于6个月。
6.4.7网络安全管理
电力监控系统安全防护是电力安全生产管理体系的有机组成部分。
电力企业应当按照“谁主管谁负责,谁运营谁负责”的原则,建立健全电力监控系统安全防护管理制度,将电力监控系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制。
电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电站涉网部分的电力监控系统安全防护的技术监督,发电站内其它监控系统的安全防护可以由其上级主管单位实施技术监督。
电力调度机构、发电站、变电站等运行单位的电力监控系统安全防护实施方案必须经本企业的上级专业管理部门和信息安全管理部门以及相应电力调度机构的审核,方案实施完成后应当由上述机构验收。
接入电力调度数据网络的设备和应用系统,其接入技术方案和安全防护措施必须经直接负责的电力调度机构同意。
建立健全电力监控系统安全防护评估制度,采取以自评估为主、检查评估为辅的方式,将电力监控系统安全防护评估纳入电力系统安全评价体系。
建立健全电力监控系统安全的联合防护和应急机制,制定应急预案。
电力调度机构负责统一指挥调度范围内的电力监控系统安全应急处理。
当遭受网络攻击,生产控制大区的电力监控系统出现异常或者故障时,应当立即向其上级电力调度机构以及当地国家能源局派出机构报告,并联合采取紧急防护措施,防止事态扩大,同时应当注意保护现场,以便进行调查取证。
6.4.8电力监控系统安全监测装置
安全监测装置采集生产控制大区相关服务器、工作站、网络设备、安防设备等信息,同时将涉网部分信息通过II区上传到省调或地调相应网络安全管理平台。
6.4.9机房物理安全部署防雷、防火、防水防潮和温湿度控制设备和装置
7安全产品相关技术指标
7.1正向物理隔离装置
网络安全隔离装置(正向型)是位于两个不同安全防护等级网络之间的安全防护装置,用于高安全区到低安全区的单向数据传递。
装置采用电力专用隔离卡,以非网络传输方式实现这两个网络间信息和资源安全传递,可以识别非法请求并阻止超越权限的数据访问和操作,保障电力系统的安全稳定运行。
●产品特点
安全裁剪内核,系统的安全性和抗攻击能力强
为了保证系统安全的最大化,装置已经将嵌入式内核进行了裁剪和优化。
目前,内核中只包括用户管理﹑进程管理,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,以防黑客对操作系统的攻击,并有效抵御Dos/DDos攻击。
数据单向传输控制
物理上控制反向传输芯片的深度,在硬件上保证从低安全区到高安全区的TCP应答禁止携带应用数据,大大增强了高安全区业务系统的安全性。
在物理上实现了数据流的纯单向传输,数据只能从高安全区流向低安全区。
割断穿透性的TCP连接
网络安全隔离装置(正向型)采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将内网的纯数据通过正向数据通道发送到外网,同时只允许应用层不带任何数据的TCP包的控制信息传输到内网,保护内网监控系统的安全性。
基本安全功能丰富,可实现在网络中的快速部署
采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟IP技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。
独特的自适应技术
采用独特的自适应技术,装置没有IP地址,隐藏MAC地址,非法用户无法对装置进行网络攻击,有效的提高了系统安全性。
网络数据处理流畅,不会成为网络通讯瓶颈
采用国产高性能RISC体系结构CPU,内核使用高效的过滤算法,充分发挥良好的硬件性能,采用高速传输芯片实现数据的高速安全传输,不会造成网络通讯的瓶颈。
丰富的通信工具软件和API函数接口
网络安全隔离装置(正向型)提供了丰富的通信工具软件和API函数接口,方便用户进行电力监控系统安全隔离改造。
丰富的电力监控系统安全改造经验
网络安全隔离装置(正向型)与南瑞所有的监控系统(包括网、省调、地调、县调和变电站SCADA系统以及水电、火电监控系统)进行了安全改造和现场的实际运行;同时与国内外主流的监控系统厂商进行了广泛、深入的合作(国内:
包括东方电子、鲁能积成、上海申贝等;国外:
阿尔斯通监控系统、原CAE公司监控系统、PI实时数据库、ValmetSCADA系统等),保证电力监控系统安全防护工程的顺利实施。
操作简单的图形化用户界面
网络安全隔离装置(正向型)提供了友好的图形化用户界面,可以进行全新的可视化管理与配置。
整个界面使用全中文化的设计,通过友好的图形化界面,网络管理员可以很容易地定制安全策略,并对系统进行维护管理。
用户只需进行简单的培训就可以完成对隔离设备的管理与配置。
完善的日志审计功能
日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。
隔离设备内、外网各板载安全存储区用于系统日志的记载,循环更新保持最新的系统日志,同时支持专用网络方式将日志发送到后台日志处理程序,供用户分析使用。
●产品性能
✧100MLAN环境下,数据包吞吐量98Mbps(100条安全策略,1024字节报文长度)
✧数据包转发延迟:
<10ms(100%负荷)
✧满负荷数据包丢弃率:
0
7.2防火墙
产品特性
传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制。
在控制的维度和精细程度上都有很大的提高:
•一体化防护:
从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。
内容层的防御与应用识别深度结合,一体化处理。
例如:
识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
•基于应用:
运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的。
不同功能,继而进行访问控制和业务加速。
例如:
区分微信的语音和文字后采取不同的控制策略。
•基于用户:
通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。
基于用户进行访问控制、QoS管理和深度防护。
•基于位置:
与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。
根据位置信息可以实现对不同区域访问流量的差异化控制。
支持根据IP自定义位置。
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。
USG6000具备全面的防护功能:
•一机多能:
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,简化部署,提高管理效率。
•入侵防护(IPS):
超过5000种漏洞特征的攻击检测和防御。
支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
•防病毒(AV):
高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新。
•数据防泄漏:
对传输的文件和内容进行识别过滤。
可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。
能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
•SSL解密:
作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。
•Anti-DDoS:
可以识别和防范SYNflood、UDPflood等10+种DDoS攻击,识别500多万种病毒。
•上网行为管理:
采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。
并可对员工的发帖、FTP等上网行为进行控制。
可对上网记录进行审计。
•安全互联:
丰富的VPN特性,确保企业总部和分支间高可靠安全互联。
支持IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等。
•QoS管理:
基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。
支持对URL分类的QoS标签着色,例如:
优先转发对财经类网站的访问。
•负载均衡:
支持服务器间的负载均衡。
对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
•虚拟化:
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。
不同用户可在同一台物理设备上进行隔离的个性化管理。
产品参数:
尺寸(W×D×H)mm:
442*421*43.6;
固定端口:
4个GE,2个Combo;
防火墙吞吐量:
≥600Mbit/s;
FW最大并发:
≥800000个;
FW每秒新建数:
≥25000个;
IPSec吞吐量:
≥350Mbit/s;
IPSec最大连接数:
≥2000个;
SSLVPN并发用户数:
≥300个;
最大安全策略:
≥15000个。
7.3病毒防护系统
1)具备中国公安部的销售许可证。
2)软件产品通过华三EAD计划,计划端点准入防御(EAD),对不符合安全要求的终端可以实现网络接入许可管理。
3)厂家必须通过ISO质量认证。
4)达到中国计算机病毒防治产品检验中心检测认证一级品标准,提供一级品认证证明及检测报告。
5)厂商是微软VIA联盟成员,与微软以及国际安全厂商共享病毒信息,包括每一个病毒事件的传播频率和范围、攻击手法和目标群等,使用户可以第一时间免遭病毒攻击。
6)产品的厂家应具有国内自主知识产权或在国内登记为国产软件产品。
7)每日提供病毒库更新不少于1次。
8)产品应能从各个可能的入口点做检测,因此产品体系具备特大型系统管理软件、桌面机防病毒软件和服务器防病毒软件组件。
9)管理软件按1个管理端配多个客户接点配置,通信协议必须TCP/IP,并说明端口号与应用层协议类型,支持局域网和广域网的管理并能实现节点的统一管理。
10)产品须采用稳定的C/S软件通讯架构,有良好的可扩展性和易用性,以支持大型网络跨地域跨网段等场景的部署。
11)具有自动安装功能,安装时自动适应操作系统版本及网络环境,安装后不需要重启计算机,安装对象支持windowsXP、windows95/98/ME、windowsNT、windows2000/3000、windows7/10。
12)支持管理服务器的分组、分级管理,运行参数的集中控制,各组件的升级,定义码的更新及分发至各个节点能及时进行并以自动方式实现软件升级。
13)方便查看病毒报告,包括主机名、IP地址、病毒名称、感染路径、清除情况等;中文版报告方便阅读并能实时汇总到第三方系统。
14)提供客户端边界管理功能,对通过优盘、网络共享、互联网、下载工具邮件以及QQ类通讯软件进入的文件给于安全性鉴定,能够向用户报告这些文件是否为安全文件,有助于帮助终端用户在确认为安全文件时再执行,并且具备溯源功能,对于鉴定为未知的文件则谨慎处理。
15)软件界面、帮助内容必须使用中文并支持手动或定时检测。
16)支持对未知病毒的检测并说明启用该功能是否误报,支持漏洞功能监控。
17)支持管理员通过控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作,包括Windows、Linux、虚拟化、移动端等系统上的防病毒软件。
18)要求占用系统资源低,网络版杀毒软件的客户端程序在监控状态占用系统资源CPU不高于10%,内存占用不超过30MB。
19)能够对终端外设(U盘、光驱、网卡)进行管理(如禁用等),能够对终端设备的端口进行启用和禁用。
7.4入侵检测系统
(1)产品技术要求
标准机架式1U专业IDS入侵检测设备,配置:
4个1000M电口;最大吞吐量:
500Mbps;每秒新建连接数:
1.5万;最大并发连接数:
80万,MTBF:
6万小时;内置攻击规则特征库,规则库不低于8000种。
系统具备特征修复功能,可对自带的特征库规则进行深度特征码级调整,并通过事件日志页面进行原始包下载,事件特征查看以及特征值修改系统能对SYNflood、TCPflood、UDPflood、ICMPflood等攻击进行检测,且能发现躲避或欺骗检测的行为,如IP碎片重组,TCP流重组、协议端口重定位等等。
系统支持对无序的低级别事件进行时序关联,挖掘出入侵事件的前兆并产生告警。
系统可按周期设置自动生成连接、端口、流量轮廓阀限产生告警。
系统具有病毒检测引擎,支持文件病毒检测包括主流、SMTP、POP3等协议文件重组,病毒检测,文件留存。
系统具备定制响应功能,跟踪IP地址在设定时间段内对事件数量、事件种类、事件级别进行统计分析并触发告警动作。
系统可与交换机进行联动防御,更好的检测出网络中的攻击状态。
(2)产品资质要求:
1)产品具备中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》EAL3+级。
2)产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》。
3)产品具备中国信息安全认证中心颁发的《国家信息安全产品认证证书》(ISCCC)。
7.5漏洞扫描系统
(1)产品技术要求
1)标准机架式1U设备,配置:
4个1000M电口;任务存储数:
300;IP授权数:
3000,并发IP数:
40个。
2)网络设施评估(主机)漏洞资源库不低于5万条,主流虚拟化平台漏洞包括Vmware/VirtualBox/KVM/OpenStack等资源库不低于440条;应用软件安全漏洞检测库不低于21000条;WEB应用漏洞扫描资源库不低于7000条。
3)资源库覆盖从1988年至今主流操作系统、应用软件、服务器等漏洞。
4)系统具备多种快速精准的漏洞扫描策略,可针对包括操作系统、网络设备、数据库、服务和虚拟化平台等制定扫描策略,同时支持用户自定义扫描的端口范围。
5)资源库兼容CVE/CNVD/CNNVD/BUGTRAQ等多种国际、国家标准。
6)具备WEB网站精透扫描技术,能够实现包括代理登陆、预设cookie、账号密码认证等多种网站深度检测。
7)弱口令分析检测:
能够对弱密码口令协议的猜测与分析,包括、TELNET、MSSQL、MYSQL、ORACLE、SMB、VNC、3389(RDP远程桌面)。
8)系统具备量化扫描任务执行方式选择,包括:
立即执行、定时执行、周期执行,周期精确至月、周、日、时。
9)系统具备资产拓扑展示管理功能,能对逻辑拓扑图进行矢量指向调节,包括放大、缩小,组织结构形变,并可调整节点叶子数、网段总数,清晰展示主机的跃点数,在离状态,安全等级、路由、交换机的连通状态。
10)风险评估:
具备网络资产风险管理及漏洞跟踪评估,具备网络资产的快速定位,能对系统风险等级及资产制定相关的安全解决方案等。
(2)产品资质要求:
1)产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(增强级)。
2)产品具备中国信息安全认证中心颁发的《国家信息安全产品认证证书》(ISCCC)(增强级)。
7.6安全审计系统
(1)产品技术要求
1)标准机架式1U设备,配置:
4个1000M电口;管理资产数量:
50,并发用户数:
200个;日志保存时间:
3个月;最大日志记录条数:
1亿条;日志分析结果保存天数:
365天;日志查询能力:
1GB日志量查询平均响应时间不超过10秒钟;事件处理能力:
3000条/秒,MTBF:
6万小时。
2)支持syslog、snmptrap、文件、wmi、opsec协议的日志采集,支持网络设备、安全设备、服务器、数据库、中间件、应用系统等多种软硬件设备的日志采集。
3)设备管控:
能对网络设备、安全设备、主机、服务器等设备的CPU使用率、内存使用率、磁盘使用率、进程信息、软件信息、网口流量信息等状态进行监控,并可图形化展示。
4)能够对资产进行管理,包括:
新增,删除,修改,导出,导入等操作,并且支持资产设备的自动发现。
5)支持对资产属性的定义,资产属性包括:
资产名称、资产类别、IP地址、资产价值、厂商信息、资产版本、所属部门、所属区域、地理位置、责任人等信息。
6)具备资产风险值计算模型,可用风险值量化单设备风险和整个网络的情况,资产健康度计算模型、可信度计算模型,可用健康值和可信值量化表示。
7)支持设备面板展示,通过统一面板的方式展示设备详情、相关单事件、相关联合事件、告警信息、漏洞信息等。
8)具备通过ssh,snmp,bdsec等接口进行设备管理,管理内容包括:
重启、关机、时间同步、关闭服务、启动服务、策略备份、策略下发等。
9)系统确保最小报警监控时间间隔为10秒,保障事件的及时处理。
10)具备事件多属性组合检索查询,并且能对事件溯源查询,所有事件需要做到范式化,范式化包含:
源IP、源端口、目的IP、目的端口、协议、上报IP、事件结果、CVE、事件级别、事件类型、事件名称等。
11)告警管理:
系统支持最小设备状态轮询时间为10秒,可及时发现预警事件;可对异常事件设置策略,设备状态进行阈值告警设置,配置核查不合规项,业务系统巡检结果等产生告警,告警可实时通知用户,通知方式包括邮件、短信、页面提醒、snmptrap、工单。
12)支持基于威胁情报、漏洞的预警,可对涉及恶意IP,恶意域名,恶意URL、中高级别漏洞等情报信息的事件产生预警,且可通过手工录入通告信息产生预警
13)系统提供安全知识、安全事件、漏洞、补丁等8大类知识信息类型,提供模糊查询方式为用户提供辅助决策手段
(2)产品资质要求
1)产品具备中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》EAL3级。
2)产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》。
3)产品具备中国信息安全认证中心颁发的《国家信息安全产品认证证书》(ISCCC)。
7.7纵向加密认证装置
Ø硬件规格:
a设备外观:
1U设备;
b网络接口:
100M网卡接口≥4个;
c外设接口:
终端接口(RS232)≥1个;
d智能IC卡接口≥1个;
Ø性能规格:
a最大并发加密隧道数:
≥300条;
b明文数据包吞吐量:
≥95Mbps;(50条安全策略,1024报文长度)
c密文数据包吞吐量:
≥25Mbps;(50条安全策略,1024报文长度)
d数据包转发延迟:
<1ms;
e100MLAN环境下,加密隧道建立延迟:
<1ms;
f满负荷数据包丢弃率:
0
Ø架构:
采用专用嵌入式安全操作系统,系统无TCP/IP协议栈。
Ø功能:
纵向加密认证网关能为电力调度数据网通信提供具有认证与加密功能的VPN,实现数据传输的机密性、完整性保护。
满足电力专用通信协议转换和应用过滤功能。
采用电力专用分组密码算法和公钥密码算法,支持身份鉴别,信息加密
升级会员 