二次系統(tǒng)安全防護(hù)完善工程解決方案

摘 要：文章主要分析了本局二次系統(tǒng)運(yùn)行過程中存在的問題，根據(jù)安全防護(hù)規(guī)定的要求并結(jié)合實(shí)際，提出一套可行的解決方案，解決本局二次系統(tǒng)安全防護(hù)存在的問題，提升二次系統(tǒng)安全防護(hù)能力。

關(guān)鍵詞：二次系統(tǒng)；安全防護(hù)；隔離裝置

隨著電網(wǎng)數(shù)字化、信息化的飛速發(fā)展，電力生產(chǎn)、調(diào)度、經(jīng)營(yíng)和服務(wù)對(duì)電力二次系統(tǒng)的依賴越來越大，電力二次系統(tǒng)的安全防護(hù)問題顯得尤為重要，直接關(guān)系到電網(wǎng)的安全穩(wěn)定運(yùn)行以及持續(xù)健康發(fā)展。目前本局電網(wǎng)調(diào)度和生產(chǎn)一刻也離不開計(jì)算機(jī)監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，特別是隨著無人值班改造的完成，變電站采用遠(yuǎn)方控制。這些都對(duì)電網(wǎng)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性提出了新的挑戰(zhàn)，為此我們對(duì)本局二次系統(tǒng)安全防護(hù)做進(jìn)一步完善，我們把二次系統(tǒng)安全防護(hù)完善工程分為三個(gè)步驟：

1 按總體策略進(jìn)行分區(qū)、增加安全防護(hù)設(shè)備

電力二次系統(tǒng)安全防護(hù)的總體策略為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。電力系統(tǒng)二次安全防護(hù)必須遵循以下主要技術(shù)原則：（1）安全I(xiàn)區(qū)與安全I(xiàn)I區(qū)之間可采用硬件防火墻隔離，該防火墻必須是經(jīng)國(guó)家指定部門認(rèn)證的國(guó)產(chǎn)硬件防火墻；（2）生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置進(jìn)行隔離，并嚴(yán)格控制數(shù)據(jù)的流向：從生產(chǎn)控制大區(qū)往管理信息大區(qū)單向傳輸信息必須采用正向隔離裝置，由管理信息大區(qū)往生產(chǎn)控制大區(qū)單向傳輸數(shù)據(jù)必須采用反向隔離裝置。

雖然已有一臺(tái)網(wǎng)絡(luò)正向隔離裝置和一臺(tái)與地調(diào)上連防火墻，但作為一個(gè)全面整體的安全架構(gòu)，僅有這些安全措施是遠(yuǎn)遠(yuǎn)不夠的，我們根據(jù)目前業(yè)務(wù)的需要進(jìn)行安全防護(hù)產(chǎn)品配置，完善整個(gè)安全防護(hù)體系。

1.1 目前電能量采集系統(tǒng)服務(wù)器直接接入非實(shí)時(shí)交換機(jī)與地調(diào)連接。需要在非實(shí)時(shí)交換機(jī)與上連路由器之間增加防火墻，以保證本局電能量采集系統(tǒng)的安全。

1.2 安全I(xiàn)區(qū)與管理信息大區(qū)之間必須部署經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用單比特應(yīng)答的橫向隔離裝置。由于以前部署的正向隔離裝置不符合新的要求，所以更換了一臺(tái)單比特應(yīng)答的正向網(wǎng)絡(luò)隔離裝置。

1.3 四級(jí)網(wǎng)服務(wù)器起到轉(zhuǎn)發(fā)數(shù)據(jù)到地區(qū)局的作用。目前是采用雙網(wǎng)卡，分別連接實(shí)時(shí)交換機(jī)和SCADA 網(wǎng)交換機(jī)。需要在四級(jí)網(wǎng)服務(wù)器和SCADA交換機(jī)之間增加一臺(tái)防火墻，設(shè)置安全策略，防護(hù)SCADA系統(tǒng)網(wǎng)絡(luò)的安全。并把實(shí)時(shí)交換機(jī)和路由器之間的防火墻更換為縱向加密認(rèn)證裝置，以保證實(shí)時(shí)控制區(qū)的安全。

二次系統(tǒng)安全防護(hù)完善后拓?fù)鋱D如下：

2 全面部署防病毒軟件，并及時(shí)更新病毒庫(kù)。

由于目前地區(qū)局自動(dòng)化部門沒有部署統(tǒng)一的防病毒軟件，需要手工部署管理防病毒軟件。

防病毒軟件統(tǒng)一安裝諾頓10.1 簡(jiǎn)體中文版客戶端軟件，安裝時(shí)不選擇接受管理。病毒庫(kù)更新需要到賽門鐵克的網(wǎng)站下載最新病毒庫(kù)。下載地址：http：//www.symantec.com/business/security_response/definitions/download/detail.jsp？gid=savce，將病毒庫(kù)文件下載完畢后使用專用U盤拷貝，并對(duì)U盤進(jìn)行檢查后拷貝到生產(chǎn)控制大區(qū)，然后直接安裝運(yùn)行進(jìn)行病毒庫(kù)更新。為了防止運(yùn)行中的殺毒軟件對(duì)后臺(tái)機(jī)監(jiān)控軟件的影響，要求在更新工作前暫時(shí)退出監(jiān)控軟件運(yùn)行，在完成更新工作后，再開啟監(jiān)控軟件。病毒庫(kù)更新由專人負(fù)責(zé)，使用專機(jī)下載，專用U盤拷貝。病毒庫(kù)更新周期為主站及監(jiān)控機(jī)每周一次，廠站后臺(tái)監(jiān)控機(jī)每個(gè)月一次。平時(shí)維護(hù)工作中禁止未經(jīng)殺毒的計(jì)算機(jī)或數(shù)據(jù)存儲(chǔ)設(shè)備與后臺(tái)機(jī)進(jìn)行數(shù)據(jù)拷貝。

3 積極進(jìn)行網(wǎng)絡(luò)設(shè)備和主機(jī)安全加固改造

對(duì)I區(qū)和II區(qū)所用路由器和交換機(jī)及時(shí)更新IOS版本，并開啟路由器的日志功能。關(guān)閉路由器的CDP協(xié)議，嚴(yán)格對(duì)telnet進(jìn)行限制，只將管理人員的IP地址加入可訪問的ACL列表。并加固路由器、交換機(jī)的enable和telnet密碼，密碼中加入下劃線或大小寫字母等，且密碼的長(zhǎng)度不少于8位。所有防火墻必須嚴(yán)格限制訪問各個(gè)區(qū)域主機(jī)的源IP地址，并打開日志審計(jì)及報(bào)警功能，這樣不僅能夠記錄所有的連接行為，當(dāng)攻擊發(fā)生時(shí)也能夠及時(shí)通知管理員采取進(jìn)一步措施。

主機(jī)安全加固也是二次安防的一項(xiàng)重要手段。目前我局二次系統(tǒng)中重要主機(jī)存在的操作系統(tǒng)有：Windows 2003 Server，Windows 2000 Server，Linux；存在的數(shù)據(jù)庫(kù)有：Oracle，SQL Server等。我們需要對(duì)主機(jī)安全加固的內(nèi)容包括：基本安全配置檢測(cè)和優(yōu)化；主機(jī)網(wǎng)絡(luò)配置選項(xiàng)安全加固；密碼系統(tǒng)安全檢測(cè)和增強(qiáng)；主機(jī)安全策略調(diào)整；系統(tǒng)后門檢測(cè)；文件系統(tǒng)完整性審計(jì)；系統(tǒng)升級(jí)與補(bǔ)丁安裝；數(shù)據(jù)庫(kù)安全加固；應(yīng)用組件安全加固及其它選項(xiàng)加固。

由于電力調(diào)度二次系統(tǒng)的最大特點(diǎn)是在線運(yùn)行特性，因此，如果在實(shí)施主機(jī)安全加固后影響主機(jī)的運(yùn)行，將是不可接受的，因此參與主機(jī)安全加固的技術(shù)人員必須具有豐富的主機(jī)安全加固經(jīng)驗(yàn)，能保證本次主機(jī)安全加固的順利實(shí)施。在主機(jī)安全加固前，必須充分了解該主機(jī)上已安裝的應(yīng)用程序，以及該應(yīng)用程序的功能、與其它應(yīng)用程序的通信關(guān)系等內(nèi)容。在主機(jī)安全加固完成后，必須監(jiān)視其運(yùn)行狀況24小時(shí)以上，在完全確保安全加固不影響主機(jī)運(yùn)行后，技術(shù)人員方可離開。主機(jī)安全加固完成后，技術(shù)人員可采取技術(shù)手段將該主機(jī)回溯到安全加固前的狀態(tài)，以防主機(jī)安全加固后，由于不可逆的操作導(dǎo)致系統(tǒng)的癱瘓。由于安全風(fēng)險(xiǎn)的變化性，一次主機(jī)安全加固的有效期限為兩年。從本次主機(jī)安全加固驗(yàn)收后兩年內(nèi)，需要每半年對(duì)主機(jī)進(jìn)行一次系統(tǒng)的檢查，如出現(xiàn)重大漏洞，必須立即對(duì)主機(jī)進(jìn)行有針對(duì)性的安全加固。

我們認(rèn)真貫徹電力二次系統(tǒng)安全防護(hù)重點(diǎn)措施，根據(jù)實(shí)際落實(shí)以上三個(gè)步驟，大大提高我局二次系統(tǒng)的安全性。