廊坊電網監控系統安全防護設計與應用

王瑋薛娜王旭

（廊坊供電公司，河北 廊坊 065000）

1 電力系統安全防護概述

1.1 監控系統安全防護原則

計算機監控系統的安全等級高于辦公自動化及生產管理信息系統如：生產MIS系統等，監控系統不得與安全等級低的系統直接相聯，互聯時必須采用經國家有關部門認證的專用、可靠的安全隔離設施。(1)安全分區，電力二次系統劃分為四個安全工作區，重點保護在安全區I中的調度自動化SCADA系統、集控站自動化系統、變電站監控系統。(2)網絡專用，建立電力調度數據網SPDnet與電力數據通信網SPTnet實現物理隔離，SPDnet及SPTnet均提供二個相互邏輯隔離的邏輯子網，以保證上下級各安全區縱向互連只在相同的安全區進行，不容許安全區縱向交叉。(3)橫向隔離，安全區I與安全區II之間允許采用邏輯隔離；安全區I、II與安全區III、IV之間實現物理隔離。(4)縱向認證，安全區I、II的縱向邊界部署縱向認證加密裝置；安全區III、IV的縱向邊界部署硬件防火墻。

1.2 具體區域劃分方案

廊坊地區電網監控安全防護系統共分為四個安全區：I區為實時控制區、II區為非生產控制區、III區為生產管理區、IV區為管理信息區。不同的安全區確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。

1.3 安全區之間的隔離要求

安全區I與安全區II之間的隔離要求：允許采用經過有關部門認定核準的硬件防火墻，應禁止E-mail、Web、Telnet、Rlogin等訪問。安全區III與安全IV之間的隔離要求：III、IV區之間應采用經過有關部門認定核準的硬件防火墻。安全區I、II與安全區III、IV之間的隔離要求：安全區I、II不得與IV直接聯系，安全區I、II與安全區III之間必須采用專用隔離裝置。

1.4 各安全區內部安全防護的基本要求

對安全區I及安全區II的要求：(1)禁止安全區I/II內部的E-MAIL服務。(2)禁止安全區II內部及縱向（即上下級間）WEB服務。(3)安全區I/II的重要業務（如SCADA、電力交易）應該采用認證加密機制。(4)安全區I/II內的相關系統間必須采取訪問控制等安全措施。(5)對安全區I/II進行撥號訪問服務，必須采取認證、加密、訪問控制等安全防護措施。安全區I/II應該部署安全審計措施，如IDS等。

對安全區III要求：(1)安全區III允許開通WEB服務。(2)對安全區III撥號訪問服務必須采取訪問(3)控制等安全防護措施。(4)安全區III應該部署安全審計措施，如IDS等。(5)安全區III必須采取防惡意代碼措施。IV區不做詳細要求。

2 安全防護技術

2.1 防火墻

防火墻是網絡安全政策的有機組成部分，是網絡安全域之間信息的唯一通道，它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理，且本身具有較強的抗攻擊能力：過濾進出網絡的數據，管理進出網絡的訪問行為，封堵某些禁止的業務，提供日志和審計，隱藏內部IP地址及網絡結構的細節。

2.2 入侵檢測技術IDS

入侵檢測技術IDS是一種主動保護自己免受攻擊的一種網絡安全技術。廊坊電網系統應用NetEye IDS作為防火墻的合理補充，入侵檢測技術能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息。入侵檢測是防火墻之后的第二道安全閘門，實時入侵檢測能力能夠對付來自內部網絡的攻擊，其次它能夠縮短黑客入侵的時間。

2.3 病毒防護

病毒的防護需要整體考慮，不能僅僅只對某一臺服務器或工作站進行防護，病毒特征庫必須及時升級更新。把操作系統、程序和數據分盤、卷、區分別存放，并對重要的程序和數據做好備份。

2.4 災難恢復技術

建立有效的存儲備份系統、制定有效的備份策略，由于現實中存在著各種不可預測的因素導致災難發生，當災難發生后，在最短的時間內恢復所有的數據（包括系統數據、各種應用數據等），以減少災難帶來的不可彌補的損失。

2.5 遠程撥號的防護

(1)撥號用戶的認證：采用專用的撥號服務器，配置盡量少的網絡服務僅用于完成撥號接入，采用制定電話號碼回撥方式對撥入位置進行認證；(2)撥號用戶授權：在遠程工作站安裝認證軟件，配合撥號服務器。(3)網絡功能與服務的限制：限制其它不必要的網絡服務訪問；(4)日志與審計：全面記錄系統（包括應用層）的事件，用于事后安全審計與責任追究。

3 工程應用

在I、II安全區之間和III、IV安全區之間安裝了網絡防火墻，在I、III安全區之間安裝了單比特的物理隔離裝置。為進一步加強網絡安全，捕獲網絡異常行為，分析潛在安全風險，在III安全區安裝了入侵監測系統。廊坊地區監控系統安全防護部署從物理架構上滿足了安全防護要求，至今未發生由于病毒、黑客入侵惡意破壞造成的系統事故，有效保證了計算機監控系統及調度數據網絡的安全穩定運行。

4 結語

本文堅持安全分區、網絡專用、橫向隔離、縱向認證的原則，設計了廊坊電網監控系統安全防護方案。應用防火墻、入侵檢測技術IDS、病毒防護和災難恢復等安全防護技術，保證了監控系統的可靠運行和網絡、數據的安全，為系統維護人員能夠及時發現、診斷、決策和快速處理系統故障提供了良好的環境，保證監控系統的安全性和可靠性起到了重要的作用。