H9000监控系统安全防护解决方案研究.pdfVIP

第40卷 第 7期 水 电 站 机 电 技 术 V01．4ON0．7 2017年 7月 Mechanical＆ElectricalTechniqueofHydropowerStation Ju1．2017 13 H9000监控系统安全防护解决方案研究 韩长霖 ’ (北京中水科水电科技开发有限公司，北京 100038) 摘 要：近期在工业控制领域及 电力行业相继出现信息安全事件，为消除监控系统信息安全隐患，根据 《电力监控系 统安全防护规定》以及 信《息安全等级保护管理办法》对电力系统安全要求，本文在等保3级标准安全防护解决方案 下进行系统脆弱性分析，从信息安全层次阐述脆弱性原因，并针对脆弱点给出响应解决方案。 关键词 ：SCADA信息安全；安全防护方案；等保测评方案；监控系统信息安全 中图分类号：rI 77 文献标识码：A 文章编号：1672—5387(2017)07—0013—04 DOI：10．13599~．cnki．11-5130．2017．07．004 定》)； O引言 (2)国家能源局2015年36号文 《国家能源局关 近期在工业控制领域及电力行业相继出现信 于印发电力监控系统安全防护总体方案和评估规范 息安全事件，密码泄露事件①、乌克兰圣诞节停电事 的通知》、附件 1 《电力监控系统安全防护总体方 件②、伊朗核设施震网病毒事件③、德国核电站停机 案》、附件4《发电厂监控系统安全防护方案》。 事件④，以上与电力控制系统相关极强的事件，显示 (3)公安部、国家保密局、国家密码管理局、国务 了即使在工业控制系统独立网络环境下，信息系统 院信息化工作办公室 《关于印发 信息安全等级保 依旧会遭到攻击。种种迹象表明即使在高安全等级 护管理办法的通知》(公通字(2007)43号)。(以下简 的信息安全环境，仍然无法完全保证工业控制系统 称 《等保测评》) 信息安全。因此，电力行业信息安全主管部门将信息 本文从分析当前水电站监控系统安全防护解决 系统安全的重视程度及响应能力要求进一步提高。 方案为出发点，分析在当前安全架构下安全防护方 根据 Ponemon研究所 2014年研究报告⑤，在 案脆弱点，从监控系统自身安全角度提出应对策略。 2014年，有67％的工业控制企业的ICS／SCADA系 1安全防护体系发展 统至少遭受过一次网络攻击。根据 2015DellSecu— rityAnnualThreatReport@，近 3年来针对 SCADA系 《电力监控系统安全防护规定》由 《电力二次系 统的恶意攻击在逐年增加。国内外工业控制系统设 统安全防护规定》发展而来，自2014年9月 1日起 备漏洞大量被曝光。 施行。2004年 l2月20日原国家电力监管委员会发 国外针对工业控制系统信息安全有着完整的管 布的 《电力二次系统安全防护规定》(国家电力监管 理要求及配套规范 ，国际 电工委员会制定 了 委员会令第 5号)同时废止。 IEC62443(ISA99)工控安全标准。北美电力可靠性组 《安防规定》的核心思想是 “安全分区、网络专 织(NERC)制定的 《关键设施保护》标准为强制标准， 用、横向隔离、纵向认证”，根据核心思想设计的经典 需要强制执行。 电力系统分区隔离防护结构图如图 1所示。其所涉 借鉴国际上信息安全保障机制，以及电力系统 及的安全防护设备包括 ：防火墙、正 (反)向隔离装 信息安全的