电力系统二次安防系统实施专项方案.doc

1、电力系统二次安防系统实施方案 本方案依据国家电力监管委员会第5 号令电力二次系统安全防护要求和原国家经贸委第30 号令电网和电厂计算机监控系统及调度数据网络安全防护要求。电力二次系统安全防护总体标准为“安全分区、网络专用、横向隔离、纵向认证”。安全防护关键针对网络系统和基于网络电力生产控制系统，关键强化边界防护，提升内部安全防护能力，确保电力生产控制系统及关键数据安全。 安全防护方案概述 依据电力二次系统安全防护要求要求，电力二次系统安全防护总体方案框架结构图所表示。 电力二次系统安全防护总体框架结构示意图 安全分区 安全分区是电力二次系统安全防护体系结构基础。发电企业、电网企业和供电企业内部

2、基于计算机和网络技术应用系统，标准上划分为生产控制大区和管理信息大区。生产控制大区能够分为控制区（又称安全区I）和非控制区（又称安全区）。 生产控制大区安全区划分： （1）控制区（安全区）： 控制区中业务系统或其功效模块（或子系统）经典特征为：是电力生产关键步骤，直接实现对电力一次系统实时监控，纵向使用电力调度数据网络或专用通道，是安全防护关键和关键。 控制区经典业务系统包含电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等，其关键使用者为调度员和运行操作人员，数据传输实时性为毫秒级或秒级，其数据通信使用电力调度数据网实时子网或专用

3、通道进行传输。该区内还包含采取专用通道控制系统，如：继电保护、安全自动控制系统、低频（或低压）自动减负荷系统、负荷管理系统等，这类系统对数据传输实时性要求为毫秒级或秒级，其中负荷管理系统为分钟级。 （2）非控制区（安全区）： 非控制区中业务系统或其功效模块经典特征为：是电力生产必需步骤，在线运行但不含有控制功效，使用电力调度数据网络，和控制区中业务系统或其功效模块联络紧密。 非控制区经典业务系统包含调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运行系统等，其关键使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包含电

4、能量远方终端、故障录波装置及发电厂报价系统等。非控制区数据采集频度是分钟级或小时级，其数据通信使用电力调度数据网非实时子网。 管理信息大区安全区划分： 管理信息大区是指生产控制大区以外电力企业管理业务系统集合。电力企业可依据具体情况划分安全区，但不应影响生产控制大区安全。 业务系统分置于安全区标准： 依据业务系统或其功效模块实时性、使用者、关键功效、设备使用场所、各业务系统间相互关系、广域网通信方法和对电力系统影响程度等，通常是按以下规则将业务系统或其功效模块置于对应安全区： （1）实时控制系统、有实时控制功效业务模块和未来有实时控制功效业务系统应置于控制区。 （2）应该尽可能将业务系统完整置

5、于一个安全区内。当业务系统一些功效模块和此业务系统不属于同一个安全分区内时，可将其功效模块分置于对应安全区中，经过安全区之间安全隔离设施进行通信。 （3）不许可把应该属于高安全等级区域业务系统或其功效模块迁移到低安全等级区域；但许可把属于低安全等级区域业务系统或其功效模块放置于高安全等级区域。 （4）对不存在外部网络联络孤立业务系统，其安全分区无特殊要求，但需遵守所在安全区防护要求。 （5）对小型县调、配调、小型电厂和变电站二次系统能够依据具体情况不设非控制区，关键防护控制区。 生产控制大区内部安全防护要求： （1）严禁生产控制大区内部E-Mail 服务，严禁控制区内通用WEB 服务。 （2）

6、许可非控制区内部业务系统采取B/S 结构，但仅限于业务系统内部使用。许可提供纵向安全WEB 服务，能够采取经过安全加固且支持HTTPS 安全WEB 服务器和WEB 浏览工作站。 （3）生产控制大区关键业务（如SCADA/AGC、电力市场交易等）远程通信必需采取加密认证机制，对已经有系统应逐步改造。 （4）生产控制大区内业务系统间应该采取VLAN 和访问控制等安全方法，限制系统间直接互通。 （5）生产控制大区拨号访问服务，服务器和用户端均应使用经国家指定部门认证安全加固操作系统，并采取加密、认证和访问控制等安全防护方法。 （6）生产控制大区边界上能够布署入侵检测系统IDS。 （7）生产控制大区应

7、布署安全审计方法，把安全审计和安全区网络管理系统、综合告警系统、IDS 管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。 （8）生产控制大区应该统一布署恶意代码防护系统，采取防范恶意代码方法。病毒库、木马库和IDS 规则库更新应该离线进行。 管理信息大区安全要求： 应该统一布署防火墙、IDS、恶意代码防护系统等通用安全防护设施。 安全区拓扑结构 电力二次系统安全区连接拓扑结构有链式、三角和星形结构三种。 链式结构中控制区含有较高累积安全强度，但总体层次较多； 三角结构各区可直接相连，效率较高，但所用隔离设备较多； 星形结构所用设备较少、易于实施，但中心点故障影响范围大。 三种模式均

8、能满足电力二次系统安全防护体系要求，可依据具体情况选择，见图 电力二次系统安全区连接拓扑结构 网络专用 电力调度数据网是为生产控制大区服务专用数据网络，承载电力实时控制、在线生产交易等业务。安全区外部边界网络之间安全防护隔离强度应该和所连接安全区之间安全防护隔离强度相匹配。 电力调度数据网应该在专用通道上使用独立网络设备组网，采取基于SDH/PDH 不一样通道、不一样光波长、不一样纤芯等方法，在物理层面上实现和电力企业其它数据网及外部公共信息网安全隔离。 电力调度数据网划分为逻辑隔离实时子网和非实时子网，分别连接控制区和非控制区。可采取MPLS-VPN 技术、安全隧道技术、PVC 技术、静态路

9、由等结构子网。 电力调度数据网应该采取以下安全防护方法： （1）网络路由防护 根据电力调度管理体系及数据网络技术规范，采取虚拟专网技术，将电力调度数据网分割为逻辑上相对独立实时子网和非实时子网，分别对应控制业务和非控制生产业务，确保实时业务封闭性和高等级网络服务质量。 （2）网络边界防护 应该采取严格接入控制方法，确保业务系统接入可信性。经过授权节点许可接入电力调度数据网，进行广域网通信。数据网络和业务系统边界采取必需访问控制方法，对通信方法和通信业务类型进行控制；在生产控制大区和电力调度数据网纵向交接处应该采取对应安全隔离、加密、认证等防护方法。对于实时控制等关键业务，应该经过纵向加密认证装

10、置或加密认证网关接入调度数据网。 （3）网络设备安全配置 网络设备安全配置包含关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF 路由功效、采取安全增强SNMPv2 及以上版本网管协议、设置受信任网络地址范围、统计设备日志、设置高强度密码、开启访问控制列表、封闭空闲网络端口等。 （4）数据网络安全分层分区设置 电力调度数据网采取安全分层分区设置标准。省级以上调度中心和网调以上直调厂站节点组成调度数据网骨干网（简称骨干网）。省调、地调和县调及省、地直调厂站节点组成省级调度数据网（简称省网）。 县调和配网内部生产控制大区专用节点组成县级专用数据网。县调自动化、配网自动化、负荷管理系统和被控

11、对象之间数据通信可采取专用数据网络，不含有专网条件也可采取公用通信网络（不包含因特网），且必需采取安全防护方法。 各层面数据网络之间应该经过路由限制方法进行安全隔离。当县调或配调内部采取公用通信网时，严禁和调度数据网互联。确保网络故障和安全事件限制在局部区域之内。 企业内部管理信息大区纵向互联采取电力企业数据网或互联网，电力企业数据网为电力企业内联网。 横向隔离 横向隔离是电力二次安全防护体系横向防线。采取不一样强度安全设备隔离各安全区，在生产控制大区和管理信息大区之间必需设置经国家指定部门检测认证电力专用横向单向安全隔离装置，隔离强度应靠近或达成物理隔离。电力专用横向单向安全隔离装置作为生产

12、控制大区和管理信息大区之间必备边界防护方法，是横向防护关键设备。生产控制大区内部安全区之间应该采取含有访问控制功效网络设备、防火墙或相当功效设施，实现逻辑隔离。 根据数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区非网络方法单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制大区唯一数据传输路径。反向安全隔离装置集中接收管理信息大区发向生产控制大区数据，进行署名验证、内容过滤、有效性检验等处理后，转发给生产控制大区内部接收程序。专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面要求

13、。 通常严格严禁E-Mail、WEB、Telnet、Rlogin、FTP 等安全风险高通用网络服务和以B/S 或C/S 方法数据库访问穿越专用横向单向安全隔离装置，仅许可纯数据单向安全传输。 控制区和非控制区之间应采取国产硬件防火墙、含有访问控制功效设备或相当功效设施进行逻辑隔离。 纵向认证 纵向加密认证是电力二次系统安全防护体系纵向防线。采取认证、加密、访问控制等技术方法实现数据远方安全传输和纵向边界安全防护。对于关键防护调度中心、发电厂、变电站在生产控制大区和广域网纵向连接处应该设置经过国家指定部门检测认证电力专用纵向加密认证装置或加密认证网关及对应设施，实现双向身份认证、数据加密和访问控

14、制。 纵向加密认证装置及加密认证网关用于生产控制大区广域网边界防护。纵向加密认证装置为广域网通信提供认证和加密功效，实现数据传输机密性、完整性保护，同时含有类似防火墙安全过滤功效。加密认证网关除含有加密认证装置全部功效外，还应实现对电力系统数据通信应用层协议及报文处理功效。 标准上，对于关键防护调度中心和关键厂站两侧均应配置纵向加密认证装置。 电力调度数字证书系统 电力调度数字证书系统是基于公钥技术分布式数字证书系统，关键用于生产控制大区，为电力监控系统及电力调度数据网上关键应用、关键用户和关键设备提供数字证书服务，实现高强度身份认证、安全数据传输和可靠行为审计。 电力调度数字证书分为人员证书

15、、程序证书、设备证书三类。人员证书指用户在访问系统、进行操作时对其身份进行认证所需要持有证书；程序证书指关键应用模块、进程、服务器程序运行时需要持有证书；设备证书指网络设备、服务器主机等，在接入当地网络系统和其它实体通信过程中需要持有证书。 电力调度数字证书系统建设运行应该符合以下要求： （1）统一计划数字证书信任体系，各级电力调度数字证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度数字证书系统经过信任链组成认证体系； （2）采取统一数字证书格式和加密算法； （3）提供规范应用接口，支持相关应用系统和安全专用设备嵌入电力调度数字证书服务； （4）电力调度数字证书生成、发放、管理和密钥生成、管理应该脱离网络，独立运行。