电力二次系统防护总体方案.ppt

全国电力二次系统 安全防护总体方案 安全防护的背景 电力二次系统存在安全漏洞（结构、技术、管理等）容易受到黑客、敌对势力的攻击，造成一次系统事故。 电力是我国国民经济的基础产业，关系到千家万户，关系到国家安定的大局，决不允许出现大的电力系统事故。 一些数据 FBI统计95%的入侵未被发现 FBI和CSI调查484公司发现 31% 有员工滥用Internet 16% 有来自内部未授权的存取 14% 有专利信息被窃取 12% 有内部人的财务欺骗 11% 有资料或网络的破坏 有超过70% 的安全威胁来自你企业内部 中国国内80%的网站存在安全隐患20%的网站有严重安全问题 2000年中国国家信息安全课题组的国家信息安全报告指出以9分为满分计算中国的信息安全强度只有5.5分 系统内相关案例 二滩水电站分布式控制系统网络发生异常事件； 银山逻辑炸弹事件； 龙泉、政平变电站计算机病毒事件； 网络面临的主要威胁 黑客攻击 网络的缺陷 软件的漏洞或后门 管理的欠缺 网络内部用户的误操作 攻击层次一：通讯&服务层弱点 超过1000个TCP/IP服务安全漏洞: Sendmail, FTP, NFS, File Sharing, Netbios, NIS, Telnet, Rlogin, 等. 错误的路由配置 缺省路由帐户 反向服务攻击 隐蔽 Modem 攻击层次二：操作系统 1000个以上的商用操作系统安全漏洞 没有添加安全Patch 文件/用户权限设置错误 可写注册信息 缺省用户权限 简单密码 特洛依木马 攻击层次三：应用程序 Web 服务器: 错误的Web目录结构 Web服务器应用程序缺陷 防火墙: 防火墙的错误配置会导致漏洞: 冒名IP, SYN flooding Denial of service attacks 其他应用程序: Oracle, SQL Server, SAP等缺省帐户 有缺陷的浏览器 常见的攻击方式 病毒virus, 木马程序Trojan, 蠕虫Worm 拒绝服务和分布式拒绝服务攻击 Dos&DDos IP地址欺骗和IP包替换 IP spoofing, Packet modification 邮件炸弹 Mail bombing 宏病毒 Marco Virus 口令破解 Password crack 攻击的工具和步骤 标准的TCP/IP工具 (ping, telnet…) 端口扫描和漏洞扫描 (ISS-Safesuit, Nmap, protscanner…) 网络包分析仪 (sniffer, network monitor) 口令破解工具 (lc3, fakegina) 木马 (BO2k, 冰河, …) 加强网络安全的必要性 保证业务系统稳定可靠运行 防止企业重要信息外泄 防止企业声誉被毁 ● ● ● ● ● ● 网络安全的定义 网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”，安全问题刻不容缓。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 网络安全的语义范围 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性； 完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性； 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息； 可控性：对信息的传播及内容具有控制能力； 电力系统安全防护体系 电力二次系统安全防护总体方案 重要的名词解释 计算机监控系统：包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、电力市场交易系统等； 调度数据网络：包括各级电力调度专用数据网络、用于远程维护及电能量计费等的拨号网络、各计算机监控系统接入的本地局域网络等； 国家经贸委30号令的有关要求 各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施 电力监控系统和电力调度数据网络均不得和互联网相连,并严格限制电子邮件的使用 各有关单位应制