電力系統(tǒng)二次安防系統(tǒng)實(shí)施方案

1、電力系統(tǒng)二次安防系統(tǒng)實(shí)施方案 本方案依據(jù)國家電力監(jiān)管委員會(huì)第5 號令電力二次系統(tǒng)安全防護(hù)規(guī)定和原國家經(jīng)貿(mào)委第30 號令電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定。電力二次系統(tǒng)安全防護(hù)的總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。安全防護(hù)主要針對網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng)，重點(diǎn)強(qiáng)化邊界防護(hù)，提高內(nèi)部安全防護(hù)能力，保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全。 安全防護(hù)方案概述 根據(jù)電力二次系統(tǒng)安全防護(hù)規(guī)定的要求，電力二次系統(tǒng)安全防護(hù)總體方案的框架結(jié)構(gòu)如圖所示。 電力二次系統(tǒng)安全防護(hù)總體框架結(jié)構(gòu)示意圖 安全分區(qū) 安全分區(qū)是電力二次系統(tǒng)安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ)。發(fā)電企業(yè)、電網(wǎng)企業(yè)

2、和供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（又稱安全區(qū)I）和非控制區(qū)（又稱安全區(qū)）。 生產(chǎn)控制大區(qū)的安全區(qū)劃分： （1）控制區(qū)（安全區(qū)）： 控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊（或子系統(tǒng)）的典型特征為：是電力生產(chǎn)的重要環(huán)節(jié)，直接實(shí)現(xiàn)對電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?，是安全防護(hù)的重點(diǎn)與核心。 控制區(qū)的典型業(yè)務(wù)系統(tǒng)包括電力數(shù)據(jù)采集和監(jiān)控系統(tǒng)、能量管理系統(tǒng)、廣域相量測量系統(tǒng)、配電網(wǎng)自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)等，其主要使用者為調(diào)度員和運(yùn)行操作人員，數(shù)據(jù)傳輸實(shí)時(shí)性為毫秒級或秒級，其數(shù)據(jù)通信使

3、用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ肋M(jìn)行傳輸。該區(qū)內(nèi)還包括采用專用通道的控制系統(tǒng)，如：繼電保護(hù)、安全自動(dòng)控制系統(tǒng)、低頻（或低壓）自動(dòng)減負(fù)荷系統(tǒng)、負(fù)荷管理系統(tǒng)等，這類系統(tǒng)對數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性要求為毫秒級或秒級，其中負(fù)荷管理系統(tǒng)為分鐘級。 （2）非控制區(qū)（安全區(qū)）： 非控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為：是電力生產(chǎn)的必要環(huán)節(jié)，在線運(yùn)行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊聯(lián)系緊密。 非控制區(qū)的典型業(yè)務(wù)系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)、水庫調(diào)度自動(dòng)化系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)、電力市場運(yùn)營系統(tǒng)等，其主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼

4、電保護(hù)人員及電力市場交易員等。在廠站端還包括電能量遠(yuǎn)方終端、故障錄波裝置及發(fā)電廠的報(bào)價(jià)系統(tǒng)等。非控制區(qū)的數(shù)據(jù)采集頻度是分鐘級或小時(shí)級，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)。 管理信息大區(qū)的安全區(qū)劃分： 管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合。電力企業(yè)可根據(jù)具體情況劃分安全區(qū)，但不應(yīng)影響生產(chǎn)控制大區(qū)的安全。 業(yè)務(wù)系統(tǒng)分置于安全區(qū)的原則： 根據(jù)業(yè)務(wù)系統(tǒng)或其功能模塊的實(shí)時(shí)性、使用者、主要功能、設(shè)備使用場所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式以及對電力系統(tǒng)的影響程度等，通常是按以下規(guī)則將業(yè)務(wù)系統(tǒng)或其功能模塊置于相應(yīng)的安全區(qū)： （1）實(shí)時(shí)控制系統(tǒng)、有實(shí)時(shí)控制功能的業(yè)務(wù)模塊以

5、及未來有實(shí)時(shí)控制功能的業(yè)務(wù)系統(tǒng)應(yīng)置于控制區(qū)。 （2）應(yīng)當(dāng)盡可能將業(yè)務(wù)系統(tǒng)完整置于一個(gè)安全區(qū)內(nèi)。當(dāng)業(yè)務(wù)系統(tǒng)的某些功能模塊與此業(yè)務(wù)系統(tǒng)不屬于同一個(gè)安全分區(qū)內(nèi)時(shí)，可將其功能模塊分置于相應(yīng)的安全區(qū)中，經(jīng)過安全區(qū)之間的安全隔離設(shè)施進(jìn)行通信。 （3）不允許把應(yīng)當(dāng)屬于高安全等級區(qū)域的業(yè)務(wù)系統(tǒng)或其功能模塊遷移到低安全等級區(qū)域；但允許把屬于低安全等級區(qū)域的業(yè)務(wù)系統(tǒng)或其功能模塊放置于高安全等級區(qū)域。 （4）對不存在外部網(wǎng)絡(luò)聯(lián)系的孤立業(yè)務(wù)系統(tǒng)，其安全分區(qū)無特殊要求，但需遵守所在安全區(qū)的防護(hù)要求。 （5）對小型縣調(diào)、配調(diào)、小型電廠和變電站的二次系統(tǒng)可以根據(jù)具體情況不設(shè)非控制區(qū)，重點(diǎn)防護(hù)控制區(qū)。 生產(chǎn)控制大區(qū)內(nèi)部安全防

6、護(hù)要求： （1）禁止生產(chǎn)控制大區(qū)內(nèi)部的E-Mail 服務(wù)，禁止控制區(qū)內(nèi)通用的WEB 服務(wù)。 （2）允許非控制區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)采用B/S 結(jié)構(gòu)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許提供縱向安全WEB 服務(wù)，可以采用經(jīng)過安全加固且支持HTTPS 的安全WEB 服務(wù)器和WEB 瀏覽工作站。 （3）生產(chǎn)控制大區(qū)重要業(yè)務(wù)（如SCADA/AGC、電力市場交易等）的遠(yuǎn)程通信必須采用加密認(rèn)證機(jī)制，對已有系統(tǒng)應(yīng)逐步改造。 （4）生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)該采取VLAN 和訪問控制等安全措施，限制系統(tǒng)間的直接互通。 （5）生產(chǎn)控制大區(qū)的撥號訪問服務(wù)，服務(wù)器和用戶端均應(yīng)使用經(jīng)國家指定部門認(rèn)證的安全加固的操作系統(tǒng)，并采取加

7、密、認(rèn)證和訪問控制等安全防護(hù)措施。 （6）生產(chǎn)控制大區(qū)邊界上可以部署入侵檢測系統(tǒng)IDS。 （7）生產(chǎn)控制大區(qū)應(yīng)部署安全審計(jì)措施，把安全審計(jì)與安全區(qū)網(wǎng)絡(luò)管理系統(tǒng)、綜合告警系統(tǒng)、IDS 管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪問權(quán)限相結(jié)合。 （8）生產(chǎn)控制大區(qū)應(yīng)該統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，采取防范惡意代碼措施。病毒庫、木馬庫以及IDS 規(guī)則庫的更新應(yīng)該離線進(jìn)行。 管理信息大區(qū)安全要求： 應(yīng)當(dāng)統(tǒng)一部署防火墻、IDS、惡意代碼防護(hù)系統(tǒng)等通用安全防護(hù)設(shè)施。 安全區(qū)拓?fù)浣Y(jié)構(gòu) 電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)有鏈?zhǔn)健⑷呛托切谓Y(jié)構(gòu)三種。 鏈?zhǔn)浇Y(jié)構(gòu)中的控制區(qū)具有較高的累積安全強(qiáng)度，但總體層次較多； 三角

8、結(jié)構(gòu)各區(qū)可直接相連，效率較高，但所用隔離設(shè)備較多； 星形結(jié)構(gòu)所用設(shè)備較少、易于實(shí)施，但中心點(diǎn)故障影響范圍大。 三種模式均能滿足電力二次系統(tǒng)安全防護(hù)體系的要求，可根據(jù)具體情況選用，見圖 電力二次系統(tǒng)安全區(qū)連接拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)專用 電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，承載電力實(shí)時(shí)控制、在線生產(chǎn)交易等業(yè)務(wù)。安全區(qū)的外部邊界網(wǎng)絡(luò)之間的安全防護(hù)隔離強(qiáng)度應(yīng)該和所連接的安全區(qū)之間的安全防護(hù)隔離強(qiáng)度相匹配。 電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于SDH/PDH 不同通道、不同光波長、不同纖芯等方式，在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。 電力調(diào)度數(shù)

9、據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接控制區(qū)和非控制區(qū)?？刹捎肕PLS-VPN 技術(shù)、安全隧道技術(shù)、PVC 技術(shù)、靜態(tài)路由等構(gòu)造子網(wǎng)。 電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)采用以下安全防護(hù)措施： （1）網(wǎng)絡(luò)路由防護(hù) 按照電力調(diào)度管理體系及數(shù)據(jù)網(wǎng)絡(luò)技術(shù)規(guī)范，采用虛擬專網(wǎng)技術(shù)，將電力調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對獨(dú)立的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別對應(yīng)控制業(yè)務(wù)和非控制生產(chǎn)業(yè)務(wù)，保證實(shí)時(shí)業(yè)務(wù)的封閉性和高等級的網(wǎng)絡(luò)服務(wù)質(zhì)量。 （2）網(wǎng)絡(luò)邊界防護(hù) 應(yīng)當(dāng)采用嚴(yán)格的接入控制措施，保證業(yè)務(wù)系統(tǒng)接入的可信性。經(jīng)過授權(quán)的節(jié)點(diǎn)允許接入電力調(diào)度數(shù)據(jù)網(wǎng)，進(jìn)行廣域網(wǎng)通信。數(shù)據(jù)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)邊界采用必要的訪問控制措施，對通信方式與通信業(yè)

10、務(wù)類型進(jìn)行控制；在生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應(yīng)當(dāng)采取相應(yīng)的安全隔離、加密、認(rèn)證等防護(hù)措施。對于實(shí)時(shí)控制等重要業(yè)務(wù)，應(yīng)該通過縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)接入調(diào)度數(shù)據(jù)網(wǎng)。 （3）網(wǎng)絡(luò)設(shè)備的安全配置 網(wǎng)絡(luò)設(shè)備的安全配置包括關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由、關(guān)閉網(wǎng)絡(luò)邊界OSPF 路由功能、采用安全增強(qiáng)的SNMPv2 及以上版本的網(wǎng)管協(xié)議、設(shè)置受信任的網(wǎng)絡(luò)地址范圍、記錄設(shè)備日志、設(shè)置高強(qiáng)度的密碼、開啟訪問控制列表、封閉空閑的網(wǎng)絡(luò)端口等。 （4）數(shù)據(jù)網(wǎng)絡(luò)安全的分層分區(qū)設(shè)置 電力調(diào)度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設(shè)置的原則。省級以上調(diào)度中心和網(wǎng)調(diào)以上直調(diào)廠站節(jié)點(diǎn)構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)（簡稱骨干網(wǎng)）

11、。省調(diào)、地調(diào)和縣調(diào)及省、地直調(diào)廠站節(jié)點(diǎn)構(gòu)成省級調(diào)度數(shù)據(jù)網(wǎng)（簡稱省網(wǎng)）。 縣調(diào)和配網(wǎng)內(nèi)部生產(chǎn)控制大區(qū)專用節(jié)點(diǎn)構(gòu)成縣級專用數(shù)據(jù)網(wǎng)?？h調(diào)自動(dòng)化、配網(wǎng)自動(dòng)化、負(fù)荷管理系統(tǒng)與被控對象之間的數(shù)據(jù)通信可采用專用數(shù)據(jù)網(wǎng)絡(luò)，不具備專網(wǎng)條件的也可采用公用通信網(wǎng)絡(luò)（不包括因特網(wǎng)），且必須采取安全防護(hù)措施。 各層面的數(shù)據(jù)網(wǎng)絡(luò)之間應(yīng)該通過路由限制措施進(jìn)行安全隔離。當(dāng)縣調(diào)或配調(diào)內(nèi)部采用公用通信網(wǎng)時(shí)，禁止與調(diào)度數(shù)據(jù)網(wǎng)互聯(lián)。保證網(wǎng)絡(luò)故障和安全事件限制在局部區(qū)域之內(nèi)。 企業(yè)內(nèi)部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng)，電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)聯(lián)網(wǎng)。 橫向隔離 橫向隔離是電力二次安全防護(hù)體系的橫向防線。采用不同強(qiáng)度的安全

12、設(shè)備隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護(hù)措施，是橫向防護(hù)的關(guān)鍵設(shè)備。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。 按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。

13、反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。專用橫向單向隔離裝置應(yīng)該滿足實(shí)時(shí)性、可靠性和傳輸流量等方面的要求。 通常嚴(yán)格禁止E-Mail、WEB、Telnet、Rlogin、FTP 等安全風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)服務(wù)和以B/S 或C/S 方式的數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。 控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯隔離。 縱向認(rèn)證 縱向加密認(rèn)證是電力二次系統(tǒng)安全防護(hù)體系的縱向防線。采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的

14、遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。對于重點(diǎn)防護(hù)的調(diào)度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。 縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護(hù)?？v向加密認(rèn)證裝置為廣域網(wǎng)通信提供認(rèn)證與加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)，同時(shí)具有類似防火墻的安全過濾功能。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實(shí)現(xiàn)對電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報(bào)文的處理功能。 原則上，對于重點(diǎn)防護(hù)的調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認(rèn)證裝置。 電力調(diào)度數(shù)字證書系統(tǒng) 電力調(diào)度數(shù)字證書系統(tǒng)是基于公鑰技術(shù)的分布式的數(shù)字證書系統(tǒng)，主要用于生產(chǎn)控制大區(qū)，為電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用戶和關(guān)鍵設(shè)備提供數(shù)字證書服務(wù)，實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠的行為審計(jì)。 電力調(diào)度數(shù)字證書分為人員證書、程序證書、設(shè)備證書三類。人員證書指用戶在訪問系統(tǒng)、進(jìn)行操作時(shí)對其身份進(jìn)行認(rèn)證所需要持有的證書；程序證書指關(guān)鍵應(yīng)用的模塊、進(jìn)程、服務(wù)器程序運(yùn)行時(shí)需要持有的證書；設(shè)備證書指網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)等，在接入本