购买

¥ 18.0

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 《电力信息安全》PPT课件

《电力信息安全》PPT课件.ppt

《电力信息安全》PPT课件

尼诺2018
2019-03-16 0人阅读 举报 0 0 暂无简介

简介:本文档为《《电力信息安全》PPT课件ppt》,可适用于高等教育领域

主要内容电力信息安全问题的起源电力安全防护总体策略电力信息安全技术应用实例电力信息安全等级保护工业控制系统安全电力信息安全问题的起源计算机技术、通信技术为代表的信息技术推动电力系统进入了数字电力时代数字电力时代电力系统的调度运行、生产经营、日常管理和办公越来越依赖于各种计算机网络信息系统。随着电力信息网络系统的广泛应用既要防止外部的也要防止内部的各种攻击电力信息系统信息安全的问题日益突出已成为影响电力系统生产和经营正常运行的重大问题。电力信息安全问题的起源电力系统信息安全问题是通信和信息技术在电力系统中广泛应用的产物。各类基于通信和信息技术的电力监控系统已成为保障电力系统运行不可或缺的环节。信息技术在提供便利的同时也将其不良影响带入到电力系统中正如国际电工委员会(IEC)有关电力系统信息基础架构安全标准的白皮书中指出ldquo未来电力系统的发展是传统电力基础架构与信息基础架构共同建设与管理的过程信息安全技术是保障电力系统稳定运行的重要方面rdquo。电力系统信息安全来源于通信和信息系统影响的作用点在电力一次系统。电力系统信息安全从事件发生的内在机理上可分为客观威胁和主观威胁两类电力信息安全的分区结构根据上述电力信息基础架构的分区管理信息大区为电力系统的生产管理服务主体结构和组成对象属于常规的计算机网络和信息系统可以通过信息安全领域较成熟的方法来保障其安全运行(老三样是基础)。而生产控制大区以电力监控系统为主主要包括用于监测和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。对于该区域的信息安全问题可以从两个方面来概况:生产控制大区信息安全问题一方面电力监控系统是信息基础架构和电力基础架构紧密耦合的交叉点该类系统如果出现信息安全问题将导致严重的后果极有可能影响电力系统的稳定运行(项目:电力信息物理系统(电力CPS,CyberPhysicalSystem)生存性研究)另一方面该类系统与常规的计算机网络和信息系统相比在系统结构和组成对象上都存在很多的不同之处。为此通过比较分析可总结电力监控系统的信息安全特征由如下方面组成。电力监控系统的信息安全特征()安全威胁的差异性。在信息安全分析过程中要求对威胁进行识别电力信息安全需要面对客观和主观两大类威胁每种威胁的属性及发生频率都存在差异。公网上常见的病毒和木马未必是影响电力监控系统的主要威胁而误操作、恶意破坏则可能是需要面对的特有威胁。电力监控系统的信息安全特征()安全需求的多样性。这种特性体现在电力系统运行、管理、控制和市场等方方面面各环节的信息安全体现出不同的需求。如广域测量系统中要求PMU子站能够将数据实时传递给主站系统对系统的可用性就提出了很高的要求而变电站自动化系统中为确保开关设备的远程操作指令来自合法的发起者要求通信报文具备可认证性和完整性电力市场环境下信息的保密性又是必须考虑的主要因素。电力监控系统的信息安全特征()事故后果的严重性。信息基础架构与电力基础架构是紧密耦合在一起的信息安全威胁的作用点在通信和信息系统破坏却有可能影响到电力系统的安全稳定运行甚至导致一次系统的振荡和大范围停电事故。针对同样的安全攻击却可能产生更严重的事故后果如同样是通过拒绝服务攻击对可用性的影响阻止调度人员控制变电站开关设备造成的影响可能远远大于阻止合法的用户访问银行账户。电力监控系统的信息安全特征()事故样本的缺失性。包括历史数据和实验采样在内的事故样本是进行评估量化的基础尽管电力系统已经发生了一些信息安全事故但数量和种类仍不能满足风险量化分析的需要而电力系统的重要性也决定了很难通过对生产控制区的模拟攻击来获取事故样本。(项目:发电厂自动化系统信息安全试验验证平台)电力监控系统的信息安全特征()信息架构的异构性信息架构的异构性含义:厂站端的IED设备在存储空间和计算能力上都可能存在限制导致很多常规安全措施无法直接配置如密码算法和密钥交换。同时为提高通信的可靠性大部分系统存在多种备用通信连接这也使得典型的安全措施难以起到作用。协议的多样性如何解析电力监控系统信息安全特征()控制流程的协同性。由于多个单位的协同参与不同单位可能采用的不同安全策略也会对安全措施的执行产生影响。根据上述分析以上六个方面既是电力监控系统独有的信息安全特征同时也是电力系统信息安全区别与常规信息安全问题的主要特点这些特点导致常规领域的成熟方法难以完全适用。讨论电力信息安全具有何特点SG成果(安全)宏观电力系统信息安全来源于通信和信息系统影响的作用点在电力一次系统。电力信息基础架构的分区可以分为管理信息大区和生产控制大区管理信息大区可以通过信息安全领域较成熟的方法来保障其安全运行。生产控制大区以电力监控系统为主分析了电力监控系统信息安全特征后,常规领域的成熟方法难以完全适用。电力监控系统是信息基础架构和电力基础架构紧密耦合的交叉点电力安全防护总体策略为实现电力二次系统的安全防护总体策略是安全分区、网络专用、横向隔离、纵向认证(字方针)。电力系统信息基础架构的分区结构原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区II)管理信息大区在不影响生产控制大区安全的前提下可以根据各企业不同的要求划分安全区通常划分为生产管理区(安全区III)和办公管理系统(安全区IV)。()安全区I是实时控制区安全保护的核心。内外网划分贯彻国网公司安全分区、横向隔离的策略通过技术改造将管理信息网划分为信息内网和信息外网网间部署自主研发的逻辑隔离设备实施有效的安全隔离。将信息内网定位为信息化业务应用承载网络和内部办公网络并通过相应边界防御措施实现同生产控制系统的隔离信息外网定位为对外业务网络和访问互联网用户终端网络内外网的信息传递通过安全策略或经过认证加密的移动存储介质实现。内外网划分将内部员工的办公终端与仅仅用于内部办公的应用系统全部划归在信息内网信息内网不会与因特网有任何连接极大提高信息内网的安全等级。将纯粹用于对外提供公众服务、不含涉密信息的应用系统全部放在信息外网信息外网通过防火墙与因特网相连。存在部分应用既要对外面向公众服务同时含有一些内部信息或是内部办公需要使用那么此类应用系统将要穿过信息内外网的边界。信息安全网络隔离国家电网公司针对应用的现状需要在信息内外网边界部署一套系统对信息内网进行强隔离仅仅允许指定的应用服务器访问其对应的数据库服务器并且对通过的数据包进行解析分析其SQL语句对一些非法语句进行相应处理从而达到保护数据库的目的。因此在内外网之间需要一套保护内部数据库的系统。信息安全网络隔离装置部属在信息内网数据库服务器和信息外网应用服务器之间。安全隔离与信息交换系统安全隔离与信息交换系统不是要替代防火墙入侵检测漏洞扫描和防病毒系统相反它是用户深度防御的安全策略的一块基石。安全隔离与信息交换的指导思想与防火墙有很大的不同:防火墙的思路是在保障互联互通的前提下尽可能安全而安全隔离与信息交换的思路是在保证必须安全的前提下尽可能互联互通。安全隔离与信息交换技术安全隔离与信息交换技术是网络之间隔离的前提下在网络之间通过可控通道交换检查应用层数据的技术网络隔离是指隔离设备两端的网络之间没有网络通路没有网络协议进行应用数据交换的通路和应用数据对用户都是可以检查、理解和控制的这样就具有对网络攻击的免疫和对数据内容的检查防泄密防病毒等特点。安全隔离与信息交换系统要防止安全隔离与信息交换装置本身被攻击安全隔离与信息交换装置一定是双系统内部系统和外部系统是隔离无网络通路的。外部系统可能被入侵但是从外部系统不能通过网络协议入侵到内部系统。内、外系统交换的数据是无协议的纯文本数据流。隔离的含义体现在中断网络连接同时自身的安全体系也不会被攻破就是说要保护的内网系统是不可能被传统的网络攻击手段攻击和入侵的。电力信息安全技术应用实例通过考察、分析目前我国电力系统采取了专用网络和公共网络相结合的网络结构。其中SPDnet(调度信息网)和SPnet(电力信息网)是电力专用网络。在能保证网络信息安全的前提下与Internet连接。为了保障电力系统的安全根据电力系统各部分对安全的不同要求程度将电力网络信息系统划分为三层四区。电力信息安全技术应用实例从图中可以看出电力网络信息安全的体系结构体现了以下安全策略:()分区安全防护。根据系统中业务的重要性和对一次系统的影响程度将电力信息网络系统划分为四个安全工作区重点保护在安全区Ⅰ中的实时监控系统和安全区Ⅱ中的电力交易系统。()网络专用。SPDnet与SPnet通过正向型和反向型专用安全隔离装置实现(接近于)物理隔离SPDnet提供二个相互逻辑隔离的MPLSVPN分别与安全区Ⅰ和安全区Ⅱ进行通信。电力信息安全技术应用实例()横向隔离。安全区Ⅰ和安全区Ⅱ之间采用逻辑隔离隔离设备为防火墙安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间实现(接近于)物理隔离隔离设备为正向型和反向型专用安全隔离装置。()纵向认证与防护。安全区Ⅰ、Ⅱ的纵向边界部署具有认证、加密功能的安全网关(即IP认证加密装置)安全区Ⅲ、Ⅳ的纵向边界部署硬件防火墙。电力信息安全技术应用实例()胖Ⅲ区瘦Ⅱ区分区方案和对应的数据中心统一支撑平台为适应电网二次系统应用现状和发展要求SCADAEMS等系统的数据需要在Ⅲ区重构以建立适应网络安全要求的电网调度运行系统数据中心统一支撑平台。()安全区Ⅳ通过防火墙与Internet相连接。电力信息安全等级保护信息安全等级保护从国家标准的高度强化各类组织信息安全管理。信息安全等级保护的实施实现对重要信息系统的重点安全保障推进了信息安全保护工作的规范化、法制化建设。体现ldquo适度安全、保护重点rdquo的思想出台了一系列信息安全管理标准和技术标准意义重大国内的信息安全工作有据可依明确了信息安全工作的目标和重点信息系统安全与否也有了一个衡量尺度。电力信息安全等级保护依据《计算机信息系统安全保护等级划分准则》中规定将不同的系统进行分级保护(共分五级)。第一级:用户自主保护级。由用户来决定如何对资源进行保护以及采用何种方式进行保护。第二级:系统审计保护级。它能创建、维护受保护对象的访问审计跟踪记录记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息所有和安全相关的操作都能够被记录下来以便当系统发生安全问题时可以根据审记记录分析追查事故责任人。等级保护第三级:安全标记保护级。具有第二级系统审计保护级的所有功能并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记限制访问者的权限。第四级:结构化保护级。将前三级的安全保护能力扩展到所有访问者和访问对象支持形式化的安全保护策略。其本身构造也是结构化的以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。等级保护第五级。访问验证保护级具备第四级的所有功能还具有仲裁访问者能否访问某些对象的能力。为此本级的安全保护机制不能被攻击、被篡改的具有极强的抗渗透能力。国网公司等级保护建设现状国网公司等级保护建设现状定级备案年初遵照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安号)和电监会《电力行业信息系统安全等级保护定级工作指导意见》(电监信息〔〕号)的文件要求国家电网公司组织对在运的信息系统进行定级并按照公安部和电监会对公司信息系统定级的审批公司完成了个网省公司、直属单位的信息系统定级与组织备案工作涉及公司所有万余个在运信息系统其中四级系统个三级系统占、二级系统占。国网公司等级保护建设现状信息系统定级主要由两个要素决定:系统受到破坏时所侵害的客体和对客体造成侵害的程度。国网公司等级保护建设现状体系设计国网公司等级保护建设现状整体规划制定了ldquo双网双机、分区分域、等级防护、多层防御rdquo的安全防护策略。按照ldquo统筹资源、重点保护、适度安全rdquo的原则依据信息系统等级定级结果信息内网采用ldquo二级系统统一成域三级系统独立分域rdquo的方法划分安全域信息外网划分为外网应用系统域和外网桌面终端域针对各安全域防护特点按照等级保护要求从边界、网络、主机、应用四个层面进行安全防护设计针对安全域制定安全实施指引、安全产品功能技术要求对各防护层面的控制措施进行了设计。国网公司等级保护建设现状深化标准国家电网公司结合电网信息安全防护的特殊性以国家信息系统等级保护基本要求和电力行业信息安全要求为基础对电网等级保护标准指标进行深化、扩充将国家等级保护二级系统技术指标项由个扩充至个三级系统技术指标项由个扩充至个并将指标作为整改要求制定了《国家电网公司ldquoSGrdquo工程等级保护验收标准》国网公司等级保护建设现状现状测评按照公安部对等级保护安全建设整改工作中进行信息系统安全保护现状分析的要求国家电网公司组织内部测评队伍在等级保护安全建设之前按照定级结果根据国家和公司等级保护标准对信息系统开展了技术和管理两方面的现状评估寻找信息系统在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标准的差距并进行差距汇总和分析根据不足问题重点进行建设整改工作。信息安全评估情况参看ppt信息安全评估情况mdashmdash第章补充(体检)国网公司等级保护建设现状国网公司等级保护示范工程为确保等级保护实施工作取得实效通过国家发改委立项审批开展了ldquo电网信息安全等级保护纵深防御示范工程rdquo建设以试点单位建设进行试验示范并在全公司范围进行推广。浙江省电力公司、陕西省电力公司、中国电力财务有限公司三个试点单位进行边界、网络、主机、应用数据的等级保护纵深防御体系建设全面应用自主信息化装备和自主知识产权信息技术产品并开展了大量细致的国产化测评、验证和自主可控模式的探索。示范工程得到了国家发改委、公安部的高度认可取得了良好的效果极大地提升了电网防御能力为等级保护在电网的推广应用奠定了基础。国网公司等级保护示范工程国网公司等级保护示范工程一体化监控平台参看ppt电力信息安全态势评估与监测研究mdashmdash第章补充典型网络信息安全案例参看ppt典型网络信息安全案例mdashmdash第章补充安全案例的警示网络隔离并不是万能的工业系统的安全不再仅仅是物理和实体安全。入侵者的专业化、协作水平和投入不可低估。大型渗透事件的攻击者针对目标系统准备充分而安全厂商难以独立地在第一时间跟进。安全防护需要行业专家、IT安全专家、操作人员的协同工作。安全防护不仅是技术问题也是管理问题,更是一个动态的过程管理问题。需要在技术、组织和行为上保证安全策略的建立与执行。工业控制系统安全参看ppt工业控制系统安全mdashmdash第章补充电力信息物理系统生存性分析参看ppt电力信息物理系统生存性分析mdashmdash第章补充系统生命周期安全任务安全威胁建模开发人员安全培训安全设计编码监控审计安全测试安全测试事故处理设计开发阶段集成安装阶段操作运行阶段厂商集成商生产企业规划实施验证响应监测保护安全策略安全配置*容灾中心建设实施灾难备份的目标是确保重要信息系统的数据安全和业务可以持续服务,提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造成的损失。因此,实施灾难备份应从实际需求出发,明确目标,统筹规划,准确定位,突出重点,首先确保关键业务的灾难恢复应在对信息系统的脆弱性和面临的安全威胁分析评估的基础上,根据所保护信息资产与服务的价值、面临风险的大小、业务中断的损失和影响、业务恢复的优先级与相关性等因素,综合平衡安全成本投入和效益,确定灾难备份建设等级,合理选择灾难备份方案安全工程电力信息系统安全问题由于其行业的特殊性质不同于其他领域其安全要求通常低于军事和金融系统但又高于一般企业和公共事业单位。电力信息系统安全保障问题的解决既不能只依靠纯粹的技术也不能靠简单的安全产品的堆砌而是涉及到技术、人员、组织、环境、法律及管理等多方面因素的系统性问题应该采用安全工程过程的原理、技术和方法以全局的、动态的眼光来研究、设计、实施与维护电力信息系统安全工作。也就是说应将电力信息系统的安全问题作为一个安全工程来考虑和对待。安全工程安全防护不仅是技术问题也是管理问题,更是一个动态的过程管理问题。需要在技术、组织和行为上保证安全策略的建立与执行安全防护需要行业专家、IT安全专家、操作人员的协同工作。*

VIP尊享8折文档

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/54

《电力信息安全》PPT课件

¥18.0

会员价¥14.4

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利