228、三峡梯级调度自动化系统安全防护完善改造
- 格式:doc
- 大小:83.50 KB
- 文档页数:6
三峡梯级调度自动化系统安全防护完善改造
谭华
摘要:根据电监会《全国电力二次系统安全防护总体框架》及《信息安全等级保护管理办法》的要求,对三峡梯级调度自动化系统的安全防护体系进行整改与完善。
1实现目的
根据电监会《全国电力二次系统安全防护总体框架》及公安部《信息安全等级保护管理办法》(公通字[2007]43号)的要求,在三峡梯调自动化系统已实施的“三峡梯调生产系统网络安全隔离工程”项目改造基础之上,按照国调通信中心要求各大电力调度系统必须实现“横向隔离、纵向加密”的安全防护措施,以及梯调自动化系统安全运行出现的问题,对现行的电力二次系统安全防护体系进行加强和完善。
2实施内容
2.1改造前的安全防护体系
(1)安全分区
按照全国电网二次系统安全防护总体框架的规定,系统安全防护体系分为三层:第一层为实时监控系统,第二层为调度生产管理系统,第三层为电力信息系统。
在各层中按安全等级的不同又区分为安全工作区。
在三峡梯调系统网络中,按照以上原则将整个网络划分成四个安全区,即安全区I、安全区II、安全区III和安全区IV。
其中监控系统属于实时监控系统,面向调度员,其数据实时性为秒级,具有最高的安全等级,因此定为安全区I。
水调系统和电量计费系统属于调度生产管理系统,其面向的使用者为运行方式、运行计划及电力市场交易员等,数据的实时性是分级、小时级、日、月甚至年,具有较一级的安全等级,因此定为安全区II。
梯调Web系统和泥沙管理属于电力信息系统,面向非调度人员,因此定位
1
在安全区III。
三峡梯调自动化系统还有大量的对外通信接口以及对公众发布的枢纽运行信息和防汛信息的网站,连接到电信的DDN、X.25或Internet上,定为安全区IV。
在三峡梯调的多个系统分别属于不同的安全区,如表1。
表1 三峡梯调各生产系统分属的安全区
按照规定,安全区I(监控系统)与安全区II(水调系统、电能计量系统)之间部署硬件防火墙,安全区I(监控系统)和安全区II(水调系统、计费系统)在对应的与SPDnet连接之间部署硬件防火墙。
安全区I(监控系统)和安全区II(水调系统、计费系统)与安全区III(管理信息MIS系统、泥沙系统)和安全区IV(外部网络)之间采用单向物理隔离设备,并放置代理网关机。
(2)入侵检测
依据《全国电网二次系统安全防护总体框架》的规定在各安全区中部署基于网络的入侵检测系统,以实施对网络攻击及违规行为的监测与响应策略。
入侵检测系统的探头布置在三处,分别标识为IDS-1、IDS-2和IDS-3,它们的作用分别为:
IDS-1:用于检测计算机监控系统网络;
IDS-2:用于检测水调系统网络和电能计量系统网络;
IDS-3:用于检测管理信息MIS系统网络和对外连接网络。
其中IDS-1和IDS-2支持对双网的探测。
在安全区III和安全区IV的入侵检测设备布置一台IDS管理计算机,用于运行Cisco 安全监测管理软件VMS 2.2,实现对入侵检测设备的统一管理与控
2
制。
安全区III和安全区IV的IDS设备与IDS管理计算机之间通过单独通道建立连接,使安全监测中心在网络中隐形,也可以使安全监测中心与探头之间的通信不占用被检测网络的带宽资源。
另外在运行关键业务的基于Windows平台的服务器或工作站上运行Cisco 主机入侵探测器HIDS,作为进一步保护的手段。
HIDS主要对主机的网络实时连接以及系统审计日志进行智能分析和判断,在宿主系统审计日志文件中寻找攻击特征,然后给出统计分析报告。
2.2 安全防护系统的完善
2.2.1纵向加密装置的加装
根据《电力二次系统安全防护总体方案》的要求,在调度中心与调度中心或调度中心与厂站间安全区Ⅰ数据通信需加装专用纵向加密装置。
根据三峡梯调通信中心网络结构和通信要求,需加装16台纵向加密装置,分别用于梯调与葛洲坝大、二江电站和三峡左、右岸电站共四个电站进行数据通信的加密传输。
连接采用一对一的方式,因为梯调监控系统系统为双网结构,所以每个电站有两台纵向加密装置。
在三峡坝区自动化主机房布置了一台纵向加密装置管理中心,以实现对所安装的16台纵向加密认证装置进行远程统一管理。
目前装置处于密通运行方式,三峡梯调监控系统与梯级各电站的通信正常,数据加密传输稳定可靠。
2.2.2内网安全审计系统的部署
在调度自动化系统范围内全面部署内网安全审计系统,全面监管和审计调度自动化系统计算机及网络的配置与行为。
在安全区Ⅰ和安全区Ⅱ分别部署安全审计管理中心,分别管理安全区Ⅰ和安全区Ⅱ的客户端,客户端总计80个。
内网安全审计系统具备主机管理,日志审计,事件管理,资产管理,接入控制,补丁管理,系统配置,行为策略管理,报表管理等功能。
2.2.3病毒防护系统的扩展与完善
在调度自动化系统安全区Ⅰ配置了一套网络版瑞星杀毒软件,该杀毒软件具
3
备病毒库自动升级功能,并可对杀毒客户端进行全面的监控。
安全区Ⅱ已经有瑞星杀毒软件的网络版,采购了产品两年的使用授权及病毒特征库升级服务。
2.2.4入侵检测系统及网络管理软件的部署与完善
目前,在三峡梯级调度自动化系统生产控制区已部署了一套入侵检测系统,入侵检测探头采用三台CISCO IDS 4235 Sensor,入侵检测管理系统采用CiscoWorks VPN/Security Management Solutionsoftware(CWVMS-2.2-WINR-K9)。
本项目更新了入侵检测Sensor的信号特征库,更新入侵检测管理系统补丁;优化了入侵检测系统安全配置,合理部署和配置了入侵检测探头,对调度自动化系统生产控制大区实施了全面的入侵检测;增加了一台入侵检测管理工作站,安装入侵检测管理系统对梯调信息管理大区实施入侵检测。
在安全区Ⅰ和安全区Ⅱ各布置了一套网络管理软件CWLSM-3.0-100-K9,分别管理各安全区内的网络设备。
对调度自动化系统中的网络管理系统进行了完善与优化,整合了调度自动化系统的网络管理功能,实现了对整个调度自动化系统网络设备的全面监视与管理。
2.2.5计算机及网络设备主机安全加固与安全配置
对梯级调度自动化系统范围内的计算机及网络设备进行了安全加固,部署了相应的安全策略,通过合理配置设备的安全属性以提高计算机及网络设备的安全性。
主要内容包括:计算机操作系统补丁安装;关闭了不必要的操作系统服务;关闭了计算机及网络设备操作系统的TELNET服务,配置了操作系统SSH服务及相应客户端程序,采用安全的SSH协议进行终端管理;合理有效地配置了操作系统安全属性及策略,主要包括操作系统帐户及密码配置策略、安全审计策略、访问控制策略、IP安全策略、权限控制与管理以及操作系统服务相应的安全策略等;修改了操作系统相关服务的Banner信息,以防止泄漏操作系统类型与版本信息以及相应服务的类型与版本信息;对梯级调度自动化系统范围内的所有网络设备安装了最新的网络操作系统及补丁程序;合理有效地配置了网络设备的安全属性,主要包括用户口令及权限管理,CON/ AUX以及VTY等端口的访问控制管理,HTTP、SNMP、ARP-Proxy以及TCP/UDP Small服务等网络服务的安全配置,禁用不使用的设备端口,路由协议及ICNMP协议的安全配
4
置;根据梯级调度自动化系统的业务需求,在各网络设备上合理配置了各逻辑网络间的访问控制策略;取消了各网络设备上配置的默认路由,采用指定静态路由或动态路由的方式代替默认路由功能。
2.2.6数据库管理系统安全加固与安全配置
对梯级调度自动化系统范围内的数据库管理系统进行了安全加固,部署相应的安全策略,通过合理配置安全属性以提高数据库管理系统的安全性。
主要内容如下:对梯级调度自动化系统范围内的所有商拥数据库管理系统安装了最新的安全补丁程序;根据业务系统的需求,合理设置了Oracle用户密码安全策略;修改和设置了Oracle TNS监听程序的缺省端口(1521)和客户端IP 连接限制;设置了Oracle PUBLIC角色的缺省权限;利用Oracle高级安全特性,通过合理配置,实现了数据传输的保密性和完整性,提高用户认证与用户权限管理的安全性。
2.2.7安全评估
根据《电力二次系统安全防护总体方案》的要求,对三峡梯级调度自动化系统进行安全评估。
并根据评估结果,研究针对调度自动化系统安全的下一步整改建议与方案。
3实施总结
在电监会《全国电力二次系统安全防护总体框架》及公安部《信息安全等级保护管理办法》(公通字[2007]43号)要求的基础上,我们也进行积极探索,引入了内网安全审计系统来加大安全管理的力度,在实际应用中取得了良好的效果。
通过不断的技术改造,三峡梯级调度自动化系统的边界防护与网内保护能力都得到了极大的加强,也为公司成都调度自动化系统的安全防护体系的建设提供了宝贵的经验。
中国长江电力股份公司三峡梯调通信中心成都分中心筹建处谭华,
高工,自动化专业技术负责人
联系地址:四川省成都市高新区天顺路116号,610041
邮箱:tan_hua@
5
6。