[交通运输]SIS安全.ppt

火力发电厂厂级监控信息系统安全指南（初稿）,华北电力大学电站设备状态检测与控制教育部重点实验室,牛玉广,1 前言 2 发电厂信息系统安全分级 3 SIS边界安全 4 SIS内网安全技术 5 机房安全 6 安全管理 7 安全评估,内容提要,1 前言,发电厂网络互联、信息共享、管控一体化，网络与信 息安全问题日益突出,SIS的健康发展首先必须解决安全问题,对SIS及发电厂信息系统安全的认识还不统一,国家及电力行业关于发电厂信息安全的有关法规与标准,SIS的规划、设计、开发、实施及维护提供安全方面的指导,供大家讨论、修正,2 发电厂信息系统安全分级,中华人民共和国计算机信息系统安全保护条例第九条：计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。,公安部组织制订的计算机信息系统安全保护等级划分准则国家标准（GB 17859-1999）,将信息系统的安全等级划分为五个级别的安全保护能力：,用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级,安全保护能力从第一级到第五级逐级加强,2 发电厂信息系统安全分级,各部门、各单位均应当使用法律和有关标准，确定其系统安全等级，制定本系统安全等级保护解决方案,建议SIS为第四级 结构化保护级。计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。,安全级别的确定与安全需求、安全成本、技术水平相关,2 发电厂信息系统安全分级,国家电力监管委员会：电力二次系统安全防护规定,电力二次系统，包括电力监控系统、电力通信及数据网络等。其中电力监控系统，是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。,电力二次系统安全防护原则：安全分区、网络专用、横向隔离、纵向认证。,安全管理：谁主管谁负责，谁运营谁负责，落实分级负责责任制。,2 发电厂信息系统安全分级,安全分区：生产控制大区和管理信息大区。生产控制大区可以分为控制区（安全区I）和非控制区（安全区）；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。,生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。,2 发电厂信息系统安全分级,2 发电厂信息系统安全分级,发电厂信息系统面临的主要安全风险,2 发电厂信息系统安全分级,发电厂信息系统安全防护目标及重点,发电厂信息系统安全防护的重点是生产过程控制系统（PCS）。安全防护目标为：,防止通过外部边界发起的攻击和侵入，尤其是防止由攻击导致的生产过程控制系统故障，引起机组安全事故；,防止由外部及内部引入的病毒，导致网络瘫痪或数据丢失；,防止未授权用户访问系统或非法获取信息和侵入；,防止授权用户超出授权范围，越权操作；,防止重大的操作失误。,2 发电厂信息系统安全分级,发电厂信息系统安全防护的基本原则,系统性原则（木桶原理）；简单性原则；实时、连续、安全相统一的原则；需求、风险、代价相平衡的原则；实用与先进相结合的原则；方便与安全相统一的原则；全面防护、突出重点（实时闭环控制部分）的原则；分层分区、强化边界的原则；整体规划、分步实施的原则；责任到人，分级管理，联合防护的原则。,2 发电厂信息系统安全分级,发电厂信息系统的安全区规划,过程控制系统PCS 处于生产控制大区中的安全区。,SIS归属于生产控制大区，建议为安全区。但与安全相关的配置及管理仍建议按安全区要求进行。当SIS以网络通信方式向PCS发送控制指令，实现优化控制时，二者已经相互融合，应该处于同一安全水平，即安全区。,当SIS不具备任何形式的闭环控制，此时可以将SIS规划为安全区。不排除SIS与MIS共用同一网络的可能性，但应在PCS与SIS间加装单向物理隔离装置。,MIS与Internet相连，归属于管理信息大区中的安全区,与火力发电厂厂级监控信息系统技术条件（DL/T 924-2005）相吻合,2 发电厂信息系统安全分级,发电厂信息系统安全可靠性模型,2 发电厂信息系统安全分级,发电厂信息系统安全防护措施,安全性等级较低的MIS与安全性等级较高的SIS之间采用硬件的物理隔离装置实现数据的单向传输，从技术上避免了网络黑客和计算机病毒对SIS甚至PCS的破坏。,接口计算机只从PCS中读取数据，而没有数据从SIS返回PCS。必要时可以在PCS与SIS间安装防火墙或物理隔离装置（仅当SIS规划为安全区时）。,SIS的网络维护站除具有网络配置与管理功能之外，还具有病毒检测功能；,加强信息系统的安全管理。,3 SIS边界安全,SIS边界,3 SIS边界安全,3 SIS边界安全,SIS与下层控制系统的连接,3 SIS边界安全,SIS与上层信息系统的连接,发电厂管理信息系统（MIS）,上级（发电集团）生产管理系统,发电厂在线仿真系统,发电厂报价系统,3 SIS边界安全,SIS内网设备安全,3 SIS边界安全,SIS内网设备安全,限制SIS内网设备数量，使每个内网设备可控在控是行之有效的安全措施之一,在内网中，最大的安全隐患是SIS客户端。典型的SIS客户端如值长站、运行人员监视站、数据录入站（主要是煤质化验数据）等。SIS客户端由于安装位置分散、使用人员构成复杂，会给SIS的安全管理造成极大的压力。因此，建议尽可能少的安装SIS客户端。从目前的SIS应用水平来看，建议只配置值长、操作员（根据功能需要）及SIS机房等少量客户端。对日常化验数据，建议首先将数据统一发送给SIS录入员，然后使用单独的客户端进行录入。,4 SIS内网安全技术,访问控制,入网访问控制策略,操作权限控制策略,目录安全控制策略,网络监测和锁定控制策略,客户端计算机应取消软驱、光驱，并屏蔽USB端口,SIS系统专用设备，不可与MIS系统混用,4 SIS内网安全技术,远程拨号访问,不易使用远程拨号访问PCS及SIS内网。,安全审计,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理,对于确实需要远程维护的下层控制系统，如远程诊断、远程升级等，应采取身份验证等措施，规定访问时间，并确保远程访问时及访问后不留安全隐患。其访问控制策略及安全防护由下层控制系统维护管理人员负责。,4 SIS内网安全技术,防病毒措施,病毒的防护应覆盖SIS内网所有的主机、功能站及客户端,入侵检测 IDS,若SIS与MIS间采用单向物理隔离装置，此时SIS网络的入侵检测就不是十分必要；当采用DCS与SIS间进行单向物理隔离，SIS与MIS间安装防火墙的网络配置时，这时应在信息系统中设置入侵检测系统，保护MIS与SIS免受黑客的攻击,病毒定义代码采用手动升级方式,定期对系统中的计算机设备进行全面的病毒扫描和杀毒,4 SIS内网安全技术,主机防护,安全配置,数据保护,安全可靠的数据存储方案,安全补丁,主机加固,数据备份,异地保存,数据恢复,数据访问控制,4 SIS内网安全技术,防火墙,布置在安全区I与安全区II之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。在SIS与下层控制系统之间，视情况可安装防火墙,优点是技术成熟、适用性强、效率高、可选择性好、使用维护方便；不足之处是不能彻底避免安全漏洞，不能防止由于应用程序安全隐患带来的问题，无法抵御通过电子邮件等途径传播病毒，对未知的攻击和病毒不能提供有效防护，不能彻底保证内部网络信息的安全，不能满足电力监控系统等核心系统或敏感信息的安全和保密需求。,4 SIS内网安全技术,物理隔离装置,内部信息网络不和外部信息网络相连、从物理上断开,优点是安全强度高（绝对隔离），没有穿透性传输控制协议（TCP）链接，能真正做到防攻击、防病毒，针对性很强。缺点是通信效率受限、使用维护较复杂、必须针对具体设备专门开发和改造通信程序，在SIS与DCS间加装单向物理隔离装置后，类似OPC（OLE for Process Control）等标准接口将无法采用。,5 机房安全,应建有专门的SIS机房，存放SIS交换机、数据库服务器、工作站、防火墙、物理隔离装置、接口计算机等SIS设备。SIS机房也可与DCS工程师间共用，或设置在电子间内，但必须统一考虑散热、空调、电源、防火等,当SIS与MIS共用同一房间时，要在房间内设置封闭的SIS机房，将SIS设备集中放置，SIS机房具有严格的管理制度,机房门禁系统,满足国家标准电子计算机房设计规范（GB50174-93）及其它相关标准的要求,机房监控摄像系统,6 安全管理,中华人民共和国计算机信息系统安全保护条例、电监会电力二次系统安全防护规定、国家电网公司在关于加强网络与信息安全保障工作的意见 等关于网络安全管理都有明确规定,安全管理要求,谁主管谁负责，谁运营谁负责,建立电力二次系统建立健全信息安全管理责任制估制度,联合防护和应急机制，制定应急预案,建立健全信息安全管理责任制,6 安全管理,建立完善的安全分级负责制 本着“谁主管，谁负责”和“谁经营，谁负责”的原则，落实发电厂信息系统的安全责任。设置发电厂信息系统安全防护小组或专职人员。,组织建设,明确各级人员的安全职责 发电厂的主要负责人为该单位所管辖的信息系统安全防护第一责任人 指定专人负责管理本单位SIS系统,6 安全管理,保密制度,制度建设,环境安全制度,出入管理制度,操作与维护制度,日志管理及交接班制度,器材管理制度,计算机病毒防治制度,6 安全管理,建立并细化信息安全应急预案，对潜在的突发事件和重大操作失误，事先要有预防措施、应急处置程序和恢复控制办法，保证关键业务和重大经营活动的连续性；定期进行应急预案演练，检验其可操作性和效果,信息系统安全预案,7 安全评估,安全评估必须聘请经过有关机构认证具有资质的单位进行；,安全评估的管理,安全评估的内容包括：风险评估、攻击演习、漏洞扫描、安全体系的评估、安全设备的部署及性能评估、安全管理措施的评估；,安全评估过程的任何记录、数据、结果均不容许携带出被评估单位。,7 安全评估,对新建的发电厂信息系统必须在建设过程中进行风险评估，并根据评估结果制定安全策略；,安全评估过程,对已投运且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞；,对安全体系的各种日志（如：入侵检测日志等）审计结果进行认真的研究以发现系统的安全漏洞；,定期分析本系统的安全风险及漏洞、分析当前黑客非法入侵的特点，根据分析及时调整安全策略。,谢谢！请提出宝贵意见！,