电网监控系统安全防护体系发展演进历程

标签:安全监控电网

访客:21818  发表于:2014-11-27 12:18:32

简介:电网是关系国计民生的国家基础设施,其信息安全防护是国家网络安全工作的重要组成部分。全国电网监控系统安全防护体系的建立始于本世纪伊始,发展至今经历了三大阶段。

 

我国电网发展进入“电力流、信息流、业务流”高度融合的智能电网阶段,电网调度控制系统及通信网络是智能电网“大脑”及“神经中枢”,管理控制着电网的可靠运行。通过对电网调度控制系统及通信网络的破坏,将对智能电网实体形成致命威胁。当前,网络空间已成为陆地、海洋、天空和太空之后的第五作战空间,国际上已经围绕“制网权”展开了国家级别的博弈甚至局部网络战争,作为国家关键基础设施的电网无疑是网络攻击的重要目标。

我国是世界上最早重视电网监控系统信息安全问题,并且大规模开展系统性安全防护的国家之一。全国电网监控系统安全防护体系的建立始于本世纪伊始,其里程碑是2001年国家电力调度数据(骨干)网的组网技术体制的确立,发展至今经历了三大阶段。

1 电力调度数据专网专用的防护策略

上世纪90年代初,我国电力系统建设了X.25分组交换网,主要用于远程传输调度数据业务,及少量办公及管理信息业务。进入21世纪,该网络面临向基于IP的数据网升级换代,当时有多个组网技术体制可供选择,主要包括: 基于ATM虚电路的IP专网 、基于SDH电路的IP专网、以及综合IP数据网的虚拟专网VPN。通过重点分析比较了不同技术体制下调度数据网及其承载的调度控制业务的信息安全风险,确定了基于SDH电路构建电力调度数据IP专网的技术路线。

在此基础上,进一步形成了我国电力系统第一个强制执行的信息安全法规:中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网安全防护规定》(2002年5月8日发布)。该规定以“防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行”为目标,规定了电力调度数据网络只允许传输与电力调度生产直接相关的数据业务,并与公用信息网络实现物理层面上的安全隔离,奠定了我国电力监控系统“结构性安全”的重要技术基础,成为我国电力监控系统信息安全防护体系建设启动的标志。

2 基于边界安全的纵深防护体系

随着电力监控系统自动化水平的提高、功能的丰富及调度数据网覆盖范围的延伸、用户的增加,电力监控系统信息安全威胁来源愈发多元化。为了应对新的信息安全风险,2002年启动了国家 “863”项目“国家电网调度中心安全防护体系研究及示范”,经过3年的研究论证,首次提出了我国电力系统信息安全防护总体策略:“安全分区、网络专用、横向隔离、纵向认证”。其中“安全分区”:将各项电力各类信息系统按照其业务功能与调度控制的相关性,分为生产控制类业务及管理信息类业务,分别置于生产控制大区与管理信息大区中;“网络专用”:利用网络产品组建电力调度数据网,为调度控制业务提供专用网络支持;“横向隔离”:通过自主研发的电力专用单向隔离装置实现生产控制大区与管理信息大区的安全隔离;“纵向认证”:通过自主研发的电力专用纵向加密认证装置为上下级之间的调度业务数据提供加密和认证保护,保证数据传输和远方控制的安全。 由此形成了以边界防护为要点、多道防线构成的纵深防护体系。

 

2004年12月,该体系以国家电力监管委员会5号令《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关配套技术文件形式发布,成为我国电力监控系统第一阶段安全防护体系全面形成的标志。该体系的实施范围包括省级及以上调度中心、地县级调度中心、变电站、发电厂、配电及负荷管理环节相关电力监控系统。

3 基于等级保护的业务安全防护体系

根据国家相关部门的工作要求,2007年国家电力监管委员会印发了《关于开展电力行业信息系统安全等级保护定级工作的通知》等系列文件,启动电力行业信息安全等级保护定级工作。2012年印发了《电力行业信息系统安全等级保护基本要求》,全面推进电力行业等级保护建设工作。

目前,电力生产控制系统中,省级及以上调度中心的调度控制系统安全保护等级为四级,220千伏及以上的变电站自动化系统、单机容量300兆瓦及以上的火电机组控制系统DCS、总装机1000兆瓦及以上的水电厂监控系统等系统安全保护等级为三级,其余为二级。

依据《电力行业信息系统安全等级保护基本要求》,在上阶段纵深防护基础上完善形成了电网监控系统的等级保护体系,由以下五个层面组成:物理安全、网络安全、主机安全、应用安全、数据安全防护,共包括220个安全要求项,其中168项强于或高于对应级别的国家等级保护基本要求。

对于保护等级为四级的电网调度监控系统,综合运用调度数字证书和安全标签技术实现了操作系统与业务应用的强制执行控制(MEC)、强制访问控制(MAC)等安全防护策略,保障了主体与客体间的全过程安全保护,全面实现了等级保护四级的技术要求。

4 基于可信计算技术的新一代电网调度控制系统主动防御体系

近年,随着国际网络空间安全形势的发展、网络战争形态及能力的演进,大量新型攻击方式快速涌现。“震网”等一批新型网络攻击武器成功突破了传统的物理隔离的“封堵”。安全威胁特征代码库规模的迅速增长,使得以“查杀”为核心的被动安全措施对于实时控制系统安全防护失去效率。为应对网络战环境下复杂的信息安全威胁,同时减小防护机制对电网调度控制系统实时性能的影响,亟需建立更为高效的主动防御体系。

可信计算改变了传统的“封堵查杀”等“被动应对”的防护模式。其核心思想是计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰,是一种运算和防护并存、主动免疫的新计算模式。其基本原理是:硬件上建立计算资源节点和可信保护节点并行结构。首先构建一个硬件信任根,在平台加电开始,从信任根到硬件平台、操作系统、应用程序,构建完整的信任链,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而从源头上确保整个计算机系统可信,并且能够通过可信报告功能将这种信任关系通过网络连接延伸到整个信息系统。未获认证的程序不能执行,从而及时识别“自己”和“非己”成份,破坏与排斥进入机体的有害物质,从而实现系统自身免疫。

应用可信计算技术,建立调度控制系统主动免疫机制,提升未知恶意代码攻击的免疫能力,实现计算机环境和网络环境的全程可测可控和安全可信。

电力可信计算密码平台是实现智能电网调度控制系统安全免疫的核心,由电力可信密码硬件模块与电力可信软件基组成,其核心功能包括:可信引导、完整性度量、强制访问及执行控制、可信网络连接。

2014年8月国家发改委印发了〔2014〕第14号令《电力监控系统安全防护规定》,并且同步修订了《电力监控系统安全防护总体方案》等配套技术文件。新版本的总体方案要求生产控制大区具备控制功能的系统应用可信计算技术实现计算环境和网络环境安全可信,建立对恶意代码的免疫能力,应对高级别的复杂网络攻击。标志着我国智能电网调度控制系统信息安全主动防御体系的正式确立。

综合上述分析,我国电网调度控制系统安全防护体系的发展历程可以划分为三个阶段,如图所示。

(作者高昆仑国家电网公司 信息安全实验室 主任

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");