電力系統(tǒng)二次安全防護(hù)

電力系統(tǒng)二次平安防護(hù)精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司2二灘水電廠異常停機(jī)事件；故障錄波裝置“時(shí)間邏輯炸彈〞事件；換流站控制系統(tǒng)感染病毒事件；近年世界上大停電事故反映出電力二次系統(tǒng)的脆弱性和重要性。電力二次系統(tǒng)平安事件

精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司3二次系統(tǒng)平安防護(hù)的由來2000年四川某水電站無故全廠停機(jī)造成川西電網(wǎng)瞬間缺電80萬仟瓦引起電網(wǎng)大面積停電。其根源估計(jì)是廠內(nèi)MIS系統(tǒng)與電站的控制系統(tǒng)無任何防護(hù)措施的互連，引起有意或無意的控制操作導(dǎo)致停機(jī)。2001年9、10月間，安裝在全國147座變電站的銀山公司生產(chǎn)的錄波器的頻頻“出事〞，出現(xiàn)不錄波或死機(jī)現(xiàn)象，嚴(yán)重影響高壓電網(wǎng)平安運(yùn)行。事后分析結(jié)論是該錄波器中人為設(shè)置了“時(shí)間限制〞或“時(shí)間邏輯炸彈〞。精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司4二次系統(tǒng)平安防護(hù)的由來2003年8月14日美國加拿大的停電事故震驚世界，事故擴(kuò)大的直接原因是兩個控制中心的自動化系統(tǒng)故障。假設(shè)黑客攻擊將會引起同樣的災(zāi)難性后果。這次“814〞美國、加拿大大停電造成300億美圓的損失及社會的不安定。由此可說明電力系統(tǒng)的重要性。2003年12月龍泉、政平、鵝城、荊州等換流站受到計(jì)算機(jī)病毒的攻擊。幾年來我國不少基于WINDOWS-NT的電力二次系統(tǒng)的計(jì)算機(jī)系統(tǒng),程度不同的受到計(jì)算機(jī)病毒的攻擊。造成了業(yè)務(wù)損失和經(jīng)濟(jì)損失。值得我們嚴(yán)重的關(guān)注。有攻擊就必須有防護(hù)精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司5主要風(fēng)險(xiǎn)調(diào)度數(shù)據(jù)網(wǎng)上：明文數(shù)據(jù)；104規(guī)約等的識別，著重保護(hù)“控制報(bào)文〞；物理等原因造成的數(shù)據(jù)中斷不是最危險(xiǎn)的；最危險(xiǎn)的是旁路控制。竊聽篡改偽造精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司6優(yōu)先級風(fēng)險(xiǎn)說明/舉例0旁路控制（BypassingControls）入侵者對發(fā)電廠、變電站發(fā)送非法控制命令，導(dǎo)致電力系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞（IntegrityViolation）非授權(quán)修改電力控制系統(tǒng)配置或程序；非授權(quán)修改電力交易中的敏感數(shù)據(jù)。2違反授權(quán)（AuthorizationViolation）電力控制系統(tǒng)工作人員利用授權(quán)身份或設(shè)備，執(zhí)行非授權(quán)的操作。3工作人員的隨意行為（Indiscretion）電力控制系統(tǒng)工作人員無意識地泄漏口令等敏感信息，或不謹(jǐn)慎地配置訪問控制規(guī)則等。4攔截/篡改（Intercept/Alter）攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設(shè)置、交易報(bào)價(jià)等敏感數(shù)據(jù)。5非法使用（IllegitimateUse）非授權(quán)使用計(jì)算機(jī)或網(wǎng)絡(luò)資源。6信息泄漏（InformationLeakage）口令、證書等敏感信息泄密。7欺騙（Spoof）Web服務(wù)欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進(jìn)入電力監(jiān)控系統(tǒng)。9拒絕服務(wù)（Availability,e.g.DoS）向電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪崩數(shù)據(jù)，造成拒絕服務(wù)。10竊聽（Eavesdropping,e.g.DataConfidentiality）黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明文傳輸?shù)拿舾行畔?，為后續(xù)攻擊準(zhǔn)備數(shù)據(jù)。電力二次系統(tǒng)主要平安風(fēng)險(xiǎn)精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司7系列文件國家經(jīng)貿(mào)委[2002]第30號令：

?電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)平安防護(hù)規(guī)定?。于2002年5月8日公布，自2002年6月8日起施行。國家電力監(jiān)管委員會第5號令：

?電力二次系統(tǒng)平安防護(hù)規(guī)定?于2004年12月20日公布，自2005年2月1日起施行。

精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司8系列文件?電力二次系統(tǒng)平安防護(hù)規(guī)定?配套文件：?電力二次系統(tǒng)平安防護(hù)總體方案??省級及以上調(diào)度中心二次系統(tǒng)平安防護(hù)方案??地、縣級調(diào)度中心二次系統(tǒng)平安防護(hù)方案??變電站二次系統(tǒng)平安防護(hù)方案??發(fā)電廠二次系統(tǒng)平安防護(hù)方案??配電二次系統(tǒng)平安防護(hù)方案?精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司9總體平安防護(hù)策略在對電力二次系統(tǒng)進(jìn)行了全面系統(tǒng)的平安分析根底上，提出了十六字總體平安防護(hù)策略。平安分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司10電力二次系統(tǒng)平安防護(hù)的目標(biāo)抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司11平安分區(qū)精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司12平安區(qū)I的典型系統(tǒng)調(diào)度自動化系統(tǒng)〔SCADA/EMS〕、廣域相量測量系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)、繼電保護(hù)、平安自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負(fù)荷控制系統(tǒng)等。典型特點(diǎn)：是電力生產(chǎn)的重要環(huán)節(jié)、平安防護(hù)的重點(diǎn)與核心；直接實(shí)現(xiàn)對一次系統(tǒng)運(yùn)行的實(shí)時(shí)監(jiān)控；

縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?。精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司13平安區(qū)II的典型系統(tǒng)調(diào)度員培訓(xùn)模擬系統(tǒng)〔DTS〕、水庫調(diào)度自動化系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)、電力市場運(yùn)營系統(tǒng)等。典型特點(diǎn)：所實(shí)現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié)；在線運(yùn)行，但不具備控制功能；使用電力調(diào)度數(shù)

據(jù)網(wǎng)絡(luò)，與控制區(qū)〔平安區(qū)I〕中的系統(tǒng)或功能模塊聯(lián)系緊密。精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司14平安區(qū)III的典型系統(tǒng)調(diào)度生產(chǎn)管理系統(tǒng)〔DMIS〕、調(diào)度報(bào)表系統(tǒng)〔日報(bào)、旬報(bào)、月報(bào)、年報(bào)〕、雷電監(jiān)測系統(tǒng)、氣象信息接入等。典型特點(diǎn)：主要側(cè)重于生產(chǎn)管理的系統(tǒng)精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司15平安區(qū)IV的典型系統(tǒng)管理信息系統(tǒng)〔MIS〕、辦公自動化系統(tǒng)〔OA〕、客戶效勞系統(tǒng)等。典型特點(diǎn)：純管理的系統(tǒng)精選ppt電力二次系統(tǒng)平安防護(hù)總體示意圖上級調(diào)度/控制中心下級調(diào)度/控制中心上級信息中心下級信息中心實(shí)時(shí)VPNSPDnet非實(shí)時(shí)VPNIP認(rèn)證加密裝置平安區(qū)I(實(shí)時(shí)控制區(qū))平安區(qū)II(非控制生產(chǎn)區(qū))平安區(qū)III(生產(chǎn)管理區(qū))平安區(qū)IV(管理信息區(qū))外部公共因特網(wǎng)生產(chǎn)VPNSPTnet管理VPN防火墻防火墻IP認(rèn)證加密裝置IP認(rèn)證加密裝置IP認(rèn)證加密裝置防火墻防火墻平安區(qū)I(實(shí)時(shí)控制區(qū))

防火墻平安區(qū)II(非控制生產(chǎn)區(qū))平安區(qū)III(生產(chǎn)管理區(qū))

防火墻

防火墻平安區(qū)IV(管理信息區(qū))專線正向?qū)Ｓ闷桨哺綦x裝置反向?qū)Ｓ闷桨哺綦x裝置正向?qū)Ｓ闷桨哺綦x裝置反向?qū)Ｓ闷桨哺綦x裝置

防火墻

防火墻

防火墻精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司17網(wǎng)絡(luò)專用電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于SDH/PDH上的不同通道、不同光波長、不同纖芯等方式，在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的平安隔離。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。子網(wǎng)之間可采用MPLS-VPN技術(shù)、平安隧道技術(shù)、PVC技術(shù)或路由獨(dú)立技術(shù)等來構(gòu)造子網(wǎng)。電力調(diào)度數(shù)據(jù)網(wǎng)是電力二次平安防護(hù)體系的重要網(wǎng)絡(luò)根底。精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司18網(wǎng)絡(luò)專用

SDH（N×2M）SDH（155M）SPDnetSPTnet實(shí)時(shí)控制在線生產(chǎn)調(diào)度生產(chǎn)管理電力綜合信息實(shí)時(shí)VPN非實(shí)時(shí)VPN調(diào)度VPN信息VPN語音視頻VPNIP語音視頻SDH/PDH傳輸網(wǎng)電力調(diào)度數(shù)據(jù)網(wǎng)電力企業(yè)數(shù)據(jù)網(wǎng)精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司19橫向隔離物理隔離裝置〔正向型/反向型〕精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司20橫向隔離裝置必須通過公安部平安產(chǎn)品銷售許可，獲得國家指定機(jī)構(gòu)平安檢測證明，用于廠站的設(shè)備還需通過電力系統(tǒng)電磁兼容檢測。專用橫向單向平安隔離裝置按照數(shù)據(jù)通信方向分為正向型和反向型。正向平安隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向平安隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。嚴(yán)格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)效勞和以B/S或C/S方式的

數(shù)據(jù)庫訪問穿越專用橫向單向平安隔離裝置，僅允許純數(shù)據(jù)的單向平安傳輸。精選ppt隔離設(shè)備實(shí)時(shí)控制系統(tǒng)調(diào)度生產(chǎn)系統(tǒng)接口機(jī)A接口機(jī)B平安島關(guān)鍵技術(shù)-正向型專用平安隔離裝置內(nèi)網(wǎng)外網(wǎng)精選ppt內(nèi)部應(yīng)用網(wǎng)關(guān)外部應(yīng)用網(wǎng)關(guān)1、采用非INTEL指令系統(tǒng)的〔及兼容〕雙微處理器。2、特別配置LINUX內(nèi)核，取消所有網(wǎng)絡(luò)功能，平安、固化的的操作系統(tǒng)。抵御除DoS以外的的網(wǎng)絡(luò)攻擊。3、非網(wǎng)絡(luò)方式的內(nèi)部通信，支持平安島,保證裝置內(nèi)外兩個處理系統(tǒng)不同時(shí)連通。4、透明監(jiān)聽方式，虛擬主機(jī)IP地址、隱藏MAC地址，支持NAT5、內(nèi)設(shè)MAC/IP/PORT/PROTOCOL/DIRECTION等綜合過濾與訪問控制6、防止穿透性TCP聯(lián)接。內(nèi)外應(yīng)用網(wǎng)關(guān)間的TCP聯(lián)接分解成兩個應(yīng)用網(wǎng)關(guān)分別到裝置內(nèi)外兩個網(wǎng)卡的兩個TCP虛擬聯(lián)接。兩個網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接。7、單向聯(lián)接控制。應(yīng)用層數(shù)據(jù)完全單向傳輸，TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)。8、應(yīng)用層解析，支持應(yīng)用層特殊標(biāo)記識別9、支持身份認(rèn)證10、靈活方便的維護(hù)管理界面正向?qū)Ｓ酶綦x裝置精選ppt反向型專用平安隔離裝置平安區(qū)III到平安區(qū)I/II的唯一數(shù)據(jù)傳遞途徑。反向型專用隔離裝置集中接收平安區(qū)III發(fā)向平安區(qū)I/II的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理。處理后，轉(zhuǎn)發(fā)給平安區(qū)I/II內(nèi)部的接收程序。具體過程如下：1. 平安區(qū)III內(nèi)的數(shù)據(jù)發(fā)送端首先對需發(fā)送的數(shù)據(jù)簽名，然后發(fā)給反向型專用隔離裝置；2.專用隔離裝置接收數(shù)據(jù)后，進(jìn)行簽名驗(yàn)證，并對數(shù)據(jù)進(jìn)行內(nèi)容過濾、有效性檢查等處理；3.將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給平安區(qū)I/II內(nèi)部的接收程序。精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司24平安區(qū)與遠(yuǎn)方通信的平安防護(hù)要求(一)平安區(qū)Ⅰ、Ⅱ所連接的廣域網(wǎng)為國家電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet。SPDnet為平安區(qū)Ⅰ、Ⅱ分別提供二個邏輯隔離的MPLS-VPN。平安區(qū)Ⅲ所連接的廣域網(wǎng)為國家電力數(shù)據(jù)通信網(wǎng)〔SPTnet〕，SPDnet與SPTnet物理隔離。平安區(qū)Ⅰ、Ⅱ接入SPDnet時(shí)，應(yīng)配置縱向加密認(rèn)證裝置，實(shí)現(xiàn)遠(yuǎn)方通信的雙向身份認(rèn)證和數(shù)據(jù)加密。如暫時(shí)不具備條件或業(yè)務(wù)無此項(xiàng)要求，可以用硬件防火墻代替。平安區(qū)Ⅲ接入SPTnet應(yīng)配置硬件防火墻。

精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司25平安區(qū)與遠(yuǎn)方通信的平安防護(hù)要求(二)處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)〔如通信效勞器等〕操作系統(tǒng)應(yīng)進(jìn)行平安加固，并配置數(shù)字證書。傳統(tǒng)的遠(yuǎn)動通道的通信目前暫不考慮網(wǎng)絡(luò)平安問題。個別關(guān)鍵廠站的遠(yuǎn)動通道的通信可采用線路加密器，但需由上級部門認(rèn)可。經(jīng)SPDnet的RTU網(wǎng)絡(luò)通道原那么上不考慮傳輸中的認(rèn)證加密。個別關(guān)鍵廠站的RTU網(wǎng)絡(luò)通信可采用認(rèn)證加密，但需由上級部門認(rèn)可。禁止平安區(qū)Ⅰ的縱向WEB，允許平安區(qū)II的縱向WEB效勞。平安區(qū)I和平安區(qū)II的撥號訪問效勞原那么上需要認(rèn)證、加密和訪問控制。精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司26縱向加密認(rèn)證裝置/網(wǎng)關(guān)加密認(rèn)證裝置位于電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間，用于平安區(qū)I/II的廣域網(wǎng)邊界保護(hù)，可為本地平安區(qū)I/II提供一個網(wǎng)絡(luò)屏障同時(shí)為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證與加密效勞，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實(shí)現(xiàn)應(yīng)用層協(xié)議及報(bào)文內(nèi)容識別的功能。精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司27縱向加密認(rèn)證網(wǎng)關(guān)和管理中心的部署路由器國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)I/III/II級級調(diào)度中心調(diào)度中心管理終端縱向加密認(rèn)證裝置國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)調(diào)度中心調(diào)度中心管理中心精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司28縱向認(rèn)證采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方平安傳輸以及縱向邊界的平安防護(hù)。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。管理信息大區(qū)應(yīng)采用硬件防火墻等平安設(shè)備接入電力企業(yè)數(shù)據(jù)網(wǎng)?？v向加密認(rèn)證是電力二次平安防護(hù)體系的縱向防線。傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡(luò)平安問題，可采用線路加密技術(shù)保護(hù)關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。精選pptPKI技術(shù)的介紹對稱密鑰體制：是指加密密鑰和解密密鑰為同一密鑰的密碼體制。因此，信息發(fā)送者和信息接收者在進(jìn)行信息的傳輸與處理時(shí)，必須共同持有該密碼〔稱為對稱密碼〕。通常,密鑰簡短，使用的加密算法比較簡便高效。不對稱密鑰體制〔公鑰體制〕：用戶產(chǎn)生一對公/私密鑰，向外界公開的密鑰為公鑰；自己保存的密鑰為私鑰。加密過程：信息發(fā)送者以信息接收者的公鑰加密信息,信息接收者以其私鑰解密這加密信息。又稱為公鑰加密技術(shù)。認(rèn)證過程：信息發(fā)送者以自己的私鑰加密信息，信息接收者以信息發(fā)送者的公鑰解密這加密信息。因?yàn)槿魏稳硕伎梢杂眯畔l(fā)送者的公鑰解密這加密信息，但只有知道信息發(fā)送者私鑰的人才能發(fā)出此加密信息。精選ppt平安防護(hù)要求在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向平安隔離裝置。生產(chǎn)控制大區(qū)內(nèi)部的平安區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施。精選ppt平安防護(hù)要求平安區(qū)邊界應(yīng)當(dāng)采取必要的平安防護(hù)措施，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡(luò)效勞。生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具有高平安性和高可靠性，禁止采用平安風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)效勞功能。依照電力調(diào)度管理體制建立基于公鑰技術(shù)的分布式電力調(diào)度數(shù)字證書系統(tǒng)，生產(chǎn)控制大區(qū)中的重要業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)采用認(rèn)證加密機(jī)制。精選ppt各平安區(qū)內(nèi)部平安防護(hù)的根本要求〔一〕對平安區(qū)Ⅰ及平安區(qū)Ⅱ的要求：禁止平安區(qū)Ⅰ/Ⅱ內(nèi)部的E-MAIL效勞。平安區(qū)Ⅰ不允許存在WEB效勞器及客戶端。允許平安區(qū)Ⅱ內(nèi)部及縱向〔即上下級間〕WEB效勞。但WEB瀏覽工作站與II區(qū)業(yè)務(wù)系統(tǒng)工作站不得共用，而且必須業(yè)務(wù)系統(tǒng)向WEB效勞器單向主動傳送數(shù)據(jù)。平安區(qū)Ⅰ/Ⅱ的重要業(yè)務(wù)〔如SCADA、電力交易〕應(yīng)該采用認(rèn)證加密機(jī)制。平安區(qū)Ⅰ/Ⅱ內(nèi)的相關(guān)系統(tǒng)間必須采取訪問控制等平安措施。對平安區(qū)Ⅰ/Ⅱ進(jìn)行撥號訪問效勞，必須采取認(rèn)證、加密、訪問控制等平安防護(hù)措施。平安區(qū)Ⅰ/Ⅱ應(yīng)該部署平安審計(jì)措施，如IDS等。平安區(qū)Ⅰ/Ⅱ必須采取防惡意代碼措施。精選ppt各平安區(qū)內(nèi)部平安防護(hù)的根本要求〔二〕對平安區(qū)Ⅲ要求：平安區(qū)Ⅲ允許開通EMAIL、WEB效勞。對平安區(qū)Ⅲ撥號訪問效勞必須采取訪問控制等平安防護(hù)措施。平安區(qū)Ⅲ應(yīng)該部署平安審計(jì)措施，如IDS等。平安區(qū)Ⅲ必須采取防惡意代碼措施。對平安區(qū)Ⅳ不做詳細(xì)要求。精選ppt其它平安措施防病毒措施：病毒防護(hù)是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須的平安措施。建議病毒的防護(hù)應(yīng)該覆蓋所有平安區(qū)I、II、III的主機(jī)與工作站。病毒特征碼要求必須以離線的方式及時(shí)更新。應(yīng)當(dāng)及時(shí)更新特征碼，查看查殺記錄。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套防惡意代碼管理效勞器。入侵檢測IDS：對于生產(chǎn)控制大區(qū)統(tǒng)一部署一套內(nèi)網(wǎng)審計(jì)系統(tǒng)或入侵檢測系統(tǒng)〔IDS〕，其平安策略的設(shè)

置重在捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后平安審計(jì)，不宜使用實(shí)時(shí)阻斷功能。禁止使用入侵檢測與防火墻的聯(lián)動?？紤]到調(diào)度業(yè)務(wù)的可靠性，采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)〔NIDS〕，其IDS探頭主要部署在：橫向、縱向邊界以及重要系統(tǒng)的關(guān)鍵應(yīng)用網(wǎng)段。精選ppt其它平安措施使用平安加固的操作系統(tǒng)：

能量管理系統(tǒng)SCADA/EMS、變電站自動化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、電力市場運(yùn)營系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主效勞器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)、Web效勞器等，應(yīng)該使用平安加固的操作系統(tǒng)。主機(jī)加固方式包括：平安配置、平安補(bǔ)丁、采用專用軟件強(qiáng)化操作系統(tǒng)訪問控制能力、以及配置平安的應(yīng)用程序。關(guān)鍵應(yīng)用系統(tǒng)采用電力調(diào)度數(shù)字證書：

能量管理系統(tǒng)、廠站端生產(chǎn)控制系統(tǒng)、電能量計(jì)量系統(tǒng)及電力市場運(yùn)營系統(tǒng)等業(yè)務(wù)系統(tǒng)，應(yīng)當(dāng)逐步采用電力調(diào)度數(shù)字證書，對用戶登錄本地操作系統(tǒng)、訪問系統(tǒng)資源等操作進(jìn)行身份認(rèn)證，根據(jù)身份與權(quán)限進(jìn)行訪問控制，并且對操作行為進(jìn)行平安審計(jì)。精選ppt其它平安措施遠(yuǎn)程撥號訪問的防護(hù)策略：通過遠(yuǎn)程撥號訪問生產(chǎn)控制大區(qū)時(shí)，要求遠(yuǎn)方用戶使用平安加固的操作系統(tǒng)平臺，結(jié)合調(diào)度數(shù)字證書技術(shù)，進(jìn)行登錄認(rèn)證和訪問認(rèn)證。

對于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)該進(jìn)行嚴(yán)格的平安審計(jì)。平安審計(jì)：生產(chǎn)控制大區(qū)應(yīng)當(dāng)具備平安審計(jì)功能，可對網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、平安設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動分析，及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。

精選ppt2024年3月18日北京科東電力控制系統(tǒng)有限責(zé)任公司37其它平安措施數(shù)據(jù)與系統(tǒng)備份對關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。設(shè)備備用對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)的設(shè)備與部件進(jìn)行相應(yīng)的熱備份與冷備份，防止單點(diǎn)故障影響系統(tǒng)可靠性。異地容災(zāi)對實(shí)時(shí)控制系統(tǒng)、電力市場交易系統(tǒng)，在具備條件的前提下進(jìn)行異地的數(shù)據(jù)與系統(tǒng)備份，提供系統(tǒng)級容災(zāi)功能，保證在規(guī)模災(zāi)難情況下，保持系統(tǒng)業(yè)務(wù)的連續(xù)性。精選ppt其它平安措施平安評估技術(shù)：所有系統(tǒng)均需進(jìn)行投運(yùn)前的及運(yùn)行期間的定期評估。已投運(yùn)的系統(tǒng)要求進(jìn)行平安評估，新建設(shè)的系統(tǒng)必須經(jīng)過平安評估合格前方可投運(yùn),運(yùn)行期間的定期評估.

精選ppt有的變電站具有電力數(shù)據(jù)通信網(wǎng)SPTnet和生產(chǎn)管理系統(tǒng)MIS系統(tǒng)，屬于平安區(qū)Ⅲ、Ⅳ的子系統(tǒng)。對于分層分布式的變電站自動化系統(tǒng)，由于其核心局部〔測控單元〕是利用串行非網(wǎng)絡(luò)通信傳遞數(shù)據(jù)，與站控層局域網(wǎng)是通過中間層前置單元在邏輯上進(jìn)行隔離的，可以認(rèn)為無平安風(fēng)險(xiǎn)。精選ppt縱向網(wǎng)絡(luò)邊界的平安防護(hù)措施：對外通信網(wǎng)關(guān)必須通過具備邏輯隔離功能的接入交換機(jī)接入部署IP認(rèn)證加密裝置〔位于SPDnet的實(shí)時(shí)VPN與接入交換機(jī)之間〕橫向網(wǎng)絡(luò)邊界的平安防護(hù)措施：對內(nèi)網(wǎng)關(guān)必須通過具備邏輯隔離功能的區(qū)內(nèi)交換機(jī)接入〔假設(shè)交換機(jī)不具備邏輯隔離功能時(shí)，建議部署硬件防火墻〕；平安區(qū)Ⅰ與平安區(qū)Ⅱ之間必須部署硬件防火墻〔經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)〕。精選ppt精選ppt安全管理國家電力監(jiān)管委員會負(fù)責(zé)電力二次系統(tǒng)平安防護(hù)的監(jiān)管，制定電力二次系統(tǒng)平安防護(hù)技術(shù)標(biāo)準(zhǔn)并監(jiān)督實(shí)施。電力企業(yè)應(yīng)當(dāng)按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)〞，的原那么，建立健全電力二次系統(tǒng)平安管理制度，將電力二次系統(tǒng)平安防護(hù)工作及其信息報(bào)送納入日常平安生產(chǎn)管理體系，落實(shí)分級負(fù)責(zé)的責(zé)任制。電力調(diào)度機(jī)構(gòu)負(fù)責(zé)直接調(diào)度范圍內(nèi)的下一級電力調(diào)度機(jī)構(gòu)、變電站、發(fā)電廠輸變電局部的二次系統(tǒng)平安防護(hù)的技術(shù)監(jiān)督，發(fā)電廠內(nèi)其他二次系統(tǒng)可由其上級主管單位實(shí)施技術(shù)監(jiān)督。精選ppt安全管理建立電力二次系統(tǒng)平安評估制度，采取以自評估為主、聯(lián)合評估為輔的方式，將電力二次系統(tǒng)平安評估納入電力系統(tǒng)平安評價(jià)體系。對生產(chǎn)控制大區(qū)平安評估的所有記錄、數(shù)據(jù)、結(jié)果等，應(yīng)按國家有關(guān)要求做好保密工作。建立健全電力二次系統(tǒng)平安的聯(lián)合防護(hù)和應(yīng)急機(jī)制，制定應(yīng)急預(yù)案。電力調(diào)度機(jī)構(gòu)