全國電力二次系統平安防護電力調度數據網與縱向加密認證網關內部資料注意保密中國電力科學研究院劉剛1/29/20251北京科東電力控制系統有限責任公司提綱1/29/20252北京科東電力控制系統有限責任公司近年世界上大停電事故反映出電力二次系統的脆弱性和重要性。電力二次系統平安事件

1/29/20253北京科東電力控制系統有限責任公司二次系統平安防護的由來1/29/20254北京科東電力控制系統有限責任公司二次系統平安防護的由來2003年8月14日美國加拿大的停電事故震驚世界，事故擴大的直接原因是兩個控制中心的自動化系統故障。假設黑客攻擊將會引起同樣的災難性后果。這次“814〞美國、加拿大大停電造成300億美圓的損失及社會的不安定。由此可說明電力系統的重要性。2003年12月龍泉、政平、鵝城、荊州等換流站受到計算機病毒的攻擊。幾年來我國不少基于WINDOWS-NT的電力二次系統的計算機系統,程度不同的受到計算機病毒的攻擊。造成了業務損失和經濟損失。值得我們嚴重的關注。有攻擊就必須有防護1/29/20255北京科東電力控制系統有限責任公司主要風險調度數據網上：明文數據；104規約等的識別，著重保護“控制報文〞；物理等原因造成的數據中斷不是最危險的；最危險的是旁路控制。竊聽篡改偽造1/29/20256北京科東電力控制系統有限責任公司優先級風險說明/舉例0旁路控制（BypassingControls）入侵者對發電廠、變電站發送非法控制命令，導致電力系統事故，甚至系統瓦解。1完整性破壞（IntegrityViolation）非授權修改電力控制系統配置或程序；非授權修改電力交易中的敏感數據。2違反授權（AuthorizationViolation）電力控制系統工作人員利用授權身份或設備，執行非授權的操作。3工作人員的隨意行為（Indiscretion）電力控制系統工作人員無意識地泄漏口令等敏感信息，或不謹慎地配置訪問控制規則等。4攔截/篡改（Intercept/Alter）攔截或篡改調度數據廣域網傳輸中的控制命令、參數設置、交易報價等敏感數據。5非法使用（IllegitimateUse）非授權使用計算機或網絡資源。6信息泄漏（InformationLeakage）口令、證書等敏感信息泄密。7欺騙（Spoof）Web服務欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進入電力監控系統。9拒絕服務（Availability,e.g.DoS）向電力調度數據網絡或通信網關發送大量雪崩數據，造成拒絕服務。10竊聽（Eavesdropping,e.g.DataConfidentiality）黑客在調度數據網或專線通道上搭線竊聽明文傳輸的敏感信息，為后續攻擊準備數據。電力二次系統主要平安風險1/29/20257北京科東電力控制系統有限責任公司提綱1/29/20258北京科東電力控制系統有限責任公司系列文件?電力二次系統平安防護規定?配套文件：?電力二次系統平安防護總體方案??省級及以上調度中心二次系統平安防護方案??地、縣級調度中心二次系統平安防護方案??變電站二次系統平安防護方案??發電廠二次系統平安防護方案??配電二次系統平安防護方案?1/29/20259北京科東電力控制系統有限責任公司提綱1/29/202510北京科東電力控制系統有限責任公司總體平安防護策略在對電力二次系統進行了全面系統的平安分析根底上，提出了十六字總體平安防護策略。平安分區、網絡專用、橫向隔離、縱向認證1/29/202511北京科東電力控制系統有限責任公司平安分區1/29/202512北京科東電力控制系統有限責任公司網絡專用1/29/202513北京科東電力控制系統有限責任公司網絡專用

SDH（N×2M）SDH（155M）SPDnetSPTnet實時控制在線生產調度生產管理電力綜合信息實時VPN非實時VPN調度VPN信息VPN語音視頻VPNIP語音視頻SDH/PDH傳輸網電力調度數據網電力企業數據網1/29/202514北京科東電力控制系統有限責任公司橫向隔離物理隔離裝置〔正向型/反向型〕1/29/202515北京科東電力控制系統有限責任公司縱向認證1/29/202516北京科東電力控制系統有限責任公司提綱1/29/202517北京科東電力控制系統有限責任公司平安區與遠方通信的平安防護要求(一)1/29/202518北京科東電力控制系統有限責任公司平安區與遠方通信的平安防護要求(二)處于外部網絡邊界的通信網關〔如通信效勞器等〕操作系統應進行平安加固，并配置數字證書。傳統的遠動通道的通信目前暫不考慮網絡平安問題。個別關鍵廠站的遠動通道的通信可采用線路加密器，但需由上級部門認可。經SPDnet的RTU網絡通道原那么上不考慮傳輸中的認證加密。個別關鍵廠站的RTU網絡通信可采用認證加密，但需由上級部門認可。禁止平安區Ⅰ的縱向WEB，允許平安區II的縱向WEB效勞。平安區I和平安區II的撥號訪問效勞原那么上需要認證、加密和訪問控制。1/29/202519北京科東電力控制系統有限責任公司縱向加密認證裝置/網關1/29/202520北京科東電力控制系統有限責任公司縱向加密認證網關部署位置1/29/202521北京科東電力控制系統有限責任公司縱向加密認證網關和管理中心的部署路由器國家電力調度數據網絡國家電力調度數據網絡I/III/II級級調度中心調度中心管理終端縱向加密認證裝置國家電力調度數據網絡調度中心調度中心管理中心1/29/202522北京科東電力控制系統有限責任公司與傳統IPsecVPN區別1/29/202523北京科東電力控制系統有限責任公司與傳統IPsecVPN區別1/29/202524北京科東電力控制系統有限責任公司密鑰協商簡化的依據電力專用加密網關之間平安通信所采用的加密算法、工作方式和通信協議等已經確定，無須協商。全網加密網關使用的數字證書由調度證書效勞系統統一簽發，不考慮交叉認證。加密網關是部署在調度系統機房內的固定設備，不需要考慮在線的身份驗證問題。---相對于傳統的通用的VPN1/29/202525北京科東電力控制系統有限責任公司提綱1/29/202526北京科東電力控制系統有限責任公司在密碼學中，有一個五元組：{明文、密文、密鑰、加密算法、解密算法}，對應的加密方案稱為密碼體制〔或密碼〕。明文：是作為加密輸入的原始信息，即消息的原始形式。密文：是明文經加密變換后的結果，即消息被加密處理后的形式。密鑰：是參與密碼變換的參數，。加密算法：是將明文變換為密文的變換函數。解密算法：是將密文恢復為明文的變換函數，相應的變換過程稱為解密，即譯碼的過程。1/29/202527北京科東電力控制系統有限責任公司對稱密鑰體制：是指加密密鑰和解密密鑰為同一密鑰的密碼體制。因此，信息發送者和信息接收者在進行信息的傳輸與處理時，必須共同持有該密碼〔稱為對稱密碼〕。通常,密鑰簡短，使用的加密算法比較簡便高效。對稱密碼體制也稱為秘密密鑰密碼體制、單密鑰密碼體制或常規密碼體制。主要用于大量通信數據加密解密。1/29/202528北京科東電力控制系統有限責任公司非對稱密碼體制不對稱密鑰體制〔公鑰體制〕：用戶產生一對公/私密鑰，向外界公開的密鑰為公鑰；自己保存的密鑰為私鑰。經公鑰加密的數據，只有通過私鑰才能解密，經私鑰加密的數據，只有通過公鑰才能解密。利用這個特點，用戶間可以進行平安的數據交換。比較費時，效率不高。主要用于身份認證。1/29/202529北京科東電力控制系統有限責任公司PKI--公鑰根底設施1/29/202530北京科東電力控制系統有限責任公司1/29/202531北京科東電力控制系統有限責任公司1/29/202532北京科東電力控制系統有限責任公司電力專用密碼算法與芯片國家密碼局批復電力系統專用的SSX06密碼算法芯片:可以用于PCI加密卡或者單板機.其中提供的對稱算法是電力系統專用對稱算法.非對稱算法是國際標準的通用RSA算法.1/29/202533北京科東電力控制系統有限責任公司提綱1/29/202534北京科東電力控制系統有限責任公司硬件架構〔1〕采用非Intel指令集的處理器，保證了硬件平臺的高速穩定運轉；接口10/100M自適應網口的網卡；采用代碼可控的平安操作系統；串口作為系統信息的輸出口；內置智能卡讀卡器的接口；采用國家電力調度通信中心指定的智能卡生產廠家的智能卡，作為該裝置的管理人員的“人機卡三方認證〞的登陸平安介質；1/29/202535北京科東電力控制系統有限責任公司硬件架構(2)采用雙電源220V/50HZ供電，保證系統供電模塊的可靠性；采用蜂鳴器裝置作為聲音報警裝置；裝置外部提供硬件旁路接口，通過該旁路接口可以在設備故障情況下，短接網絡，使網絡旁路運行。內置硬件Watchdog，用以監視系統的運行狀態，保證整個硬件電路的平安穩定、可靠。內置RTC時鐘模塊，保證系統時間的精準。1/29/202536北京科東電力控制系統有限責任公司電力專用密碼卡，同時結合RSA公鑰算法來完成數據加密、解密、簽名、驗證等任務，其主要功能為：數據加密/解密；單向散列；數字簽名與數字驗證；用戶訪問權限控制。支持的密碼算法主要包括：對稱密碼算法：電力專用SSX06密碼算法；公開密鑰算法：RSA公鑰算法；散列算法：基于SSX06算法封裝的散列算法；保護算法：電力專用SSX06密碼算法；1/29/202537北京科東電力控制系統有限責任公司網絡報文綜合過濾功能具有雙向報文過濾功能，與加密機制別離，獨立工作，在實施加密之前進行。過濾規那么支持：源IP地址〔范圍〕控制目的IP地址〔范圍〕控制源IP〔范圍〕＋目的IP地址〔范圍〕控制協議控制TCP、UDP協議＋端口〔范圍〕控制源IP地址〔范圍〕＋TCP、UDP協議＋端口〔范圍〕控制目標IP地址〔范圍〕＋TCP、UDP協議＋端口〔范圍〕控制1/29/202538北京科東電力控制系統有限責任公司提綱1/29/202539北京科東電力控制系統有限責任公司電力縱向加密認證網關應用流程初始化配置運行管理監視1/29/202540北京科東電力控制系統有限責任公司系統應用流程——初始化作為密碼設備，應用第一步都是進行初始化操作。生成操作員和本裝置的設備公私鑰，并填寫必要信息，生成證書請求文件〔csr文件〕，提交本級調度證書效勞系統簽發；設備公私鑰由電力專用加密卡芯片完成；操作員公私鑰由IC卡介質內的芯片完成。。1/29/202541北京科東電力控制系統有限責任公司初始化—生成證書請求文件初始化工作由專責人員〔操作員〕通過圖形或者命令行的管理工具在本地操作完成。證書請求文件包含以下信息：國家省/市/自治區部門縱向設備名稱縱向設備公鑰；證書請求文件會保存在本地硬盤上。然后通過U盤拷貝或者其他方式交給本級的調度證書系統。1/29/202542北京科東電力控制系統有限責任公司初始化--調度證書系統簽發證書錄入操作員導入證書請求文件〔csr文件〕；審核操作員對證書請求文件內容信息進行審核；簽發操作員簽發證書〔cer文件〕。證書文件通過U盤拷貝或者其他方式交給縱向設備的操作員。1/29/202543北京科東電力控制系統有限責任公司初始化--證書的安裝和導入必備的五種證書的導入：調度證書效勞系統根證書〔國調根證書、網省根證書，建立證書信任鏈〕；本裝置設備證書〔本級簽發，根證書驗證〕；本裝置的操作員證書〔使用IC卡介質，本級簽發，根證書驗證〕；裝置管理系統證書〔本級簽發，根證書驗證〕；與本裝置通信的對端設備證書〔協調交換〕；1/29/202544北京科東電力控制系統有限責任公司配置--本地根本信息的配置本地協商IP地址的分配〔本地局域網內的IP地址，不占用調度數據網上的地址〕；與通信遠端靜態路由地址表的配置；〔內部實現放行OSPF協議〕操作員IC卡登陸用戶名、密碼的修改；1/29/202545北京科東電力控制系統有限責任公司配置--平安隧道平安隧道——調度數據網上縱向加密認證網關之間通過協商建立；隧道協商參數的配置：多個對端縱向設備的協商IP地址，多個證書的隧道匹配；隧道的主備關系；每條隧道協商時間，協商超時的時間，隧道重新協商滿足的條件〔數據包個數/時間范圍〕等；1/29/202546北京科東電力控制系統有限責任公司配置—平安策