中国南方电网电力二次系统安全防护技术规范(修订)4.10-2010-.doc

1、 中国南方电网电力二次系统 安全防护技术规范 2010-XX-XX发布 2010-XX-XX实施 中国南方电网电力调度控制中心 发 布目 录 前 言 5 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 3.1 电力二次系统 1 3.2 电力监控系统 1 3.3 电力调度运行管理系统 2 3.4 电力调度数据网络 2 3.5 公用数据网络 2 3.6 电力二次系统网络信息安全防护设备 2 3.7 控制区 2 3.8 非

2、控制区 2 4 总则 2 5 安全防护目标 3 6 安全防护设计原则 3 7 安全防护总体策略 4 7.1 安全分区 4 7.2 网络专用 4 7.3 横向隔离 4 7.4 纵向认证 5 8 安全防护总体结构 5 8.1 总体结构模型 5 8.2 安全分区规则 6 8.2.1 生产控制大区的划分 6 8.2.2 管理信息大区的划分 7 8.3 安全区互联结构 8 9 安全防护技术措施 8 9.1 安全区间横向网络边界安全防护 8 9.2 安全区纵向网络边界安全防护 9 9.3 调度数据网安全防护 10 9.4 公用数据网络安全防护 11 9.5 安全区内

3、部安全防护 11 9.5.1 生产控制大区内部防护措施 11 9.5.2生产管理区内部防护措施 12 9.6 电力数字证书技术及应用 12 9.7 入侵检测措施 13 9.8 安全WEB服务 13 9.9 防病毒措施 14 9.10 综合审计平台 14 9.11 远程拨号安全防护 14 9.12 应用系统安全 15 9.13 操作系统安全 15 9.14 支撑系统系统安全 16 9.15 设备备用 16 9.16 数据备份与恢复 16 9.17 容灾 17 10 省级及以上调度控制中心二次系统安全防护结构规范 17 10.1 省级及以上调度控制中心二次系统安全防

4、护总体逻辑结构 17 10.2 省级及以上调度控制中心二次系统安全区横向互联实施细节 19 10.3 省级及以上调度控制中心生产控制大区纵向互联实施细节 20 11 地、县级调度控制中心二次系统安全防护结构规范 23 11.1 地、县级调度控制中心二次系统安全防护总体逻辑结构 23 11.2 地、县级调度控制中心二次系统安全区横向及纵向互联实施细节 24 12 变电站二次系统安全防护结构规范 27 12.1 500kV及以上变电站二次系统安全防护结构规范 27 12.1.1 500kV及以上变电站二次系统安全防护总体逻辑结构 27 12.1.2 500kV及以上变电站二次系统

5、互联方案1实施细节 29 12.1.3 500kV及以上变电站二次系统互联方案2实施细节 31 12.2 220kV变电站二次系统安全防护结构规范 34 12.2.1 220kV变电站二次系统安全防护总体逻辑结构 34 12.2.2 220kV变电站二次系统互联方案1实施细节 36 12.2.3 220kV变电站二次系统互联方案2实施细节 38 12.3 110kV变电站二次系统安全防护结构规范 41 12.3.1 110kV变电站二次系统安全防护总体逻辑结构 41 12.3.2 110kV变电站二次系统安全区横向及纵向互联实施细节 43 13 发电厂二次系统安全防护结构规范

6、 45 13.1 火电厂二次系统安全防护结构规范 45 13.1.1 火电厂二次系统安全防护总体逻辑结构 45 13.1.2 火电厂二次系统安全区横向及纵向互联方案1实施细节 46 13.1.3 火电厂二次系统安全区横向及纵向互联方案2实施细节 49 13.2 水电厂二次系统安全防护结构规范 52 13.2.1 水电厂二次系统安全防护总体逻辑结构 52 13.2.2 水电厂二次系统安全区横向及纵向互联方案1实施细节 54 13.2.3 水电厂二次系统安全区横向及纵向互联方案2实施细节 57 14 公网业务终端二次系统安全防护结构规范 59 15 附则 61 前 言 为

7、提高南方电网电力二次系统安全防护水平，保障电力系统安全稳定运行，根据国家电力监管委员会[2004]5号令发布的《电力二次系统安全防护规定》和[2006]34号文印发的《电力二次系统安全防护总体方案》（以下称《方案》），结合南方电网的实际情况，制定本规范。 本规范从实施之日起，代替《南方电网电力二次系统安全防护技术实施规范》（调自[2008]19号）。 本规范由中国南方电网电力调度控制中心提出、归口并负责解释。 本规范主要起草单位：中国南方电网电力调度控制中心。 本规范参与起草单位：广东电网电力调度控制中心、广西电网电力调度控制中心、云南电力调度控制中心、贵州电网公司电力调度控制中心、海

8、南电网电力调度控制中心、广东电网公司电力科学研究院。 本规范主要起草人： 本规范首次发布时间：2010年9月1日 －74－ 中国南方电网电力二次系统安全防护技术规范 1 范围 本规范规定了南方电网电力二次系统安全防护基本技术要求和基本原则。 本规范适用于南方电网，与南方电网电力二次系统有关的电网调度机构和厂站运行维护单位（包括发电、输电、变电、供电、用电等单位以及在南方电网区域外接入并接受南方电网相应调度机构调度的发电厂、变电站），以及在南方电网从事电力二次系统安全防护科研、设计、施工、制造的相关单位，均应遵守本规定。 2 规范性引用文件 下列文件中的条款通过本规定的引用而

9、成为本规定的条款。凡注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规定。凡未注明日期的引用文件，其最新版本适用于本规定。 国家电力监管委员会5号令 《电力二次系统安全防护规定》 电监安全〔2006〕34号 《电力二次系统安全防护总体方案》 办安全〔2011〕9号 《电力负荷管理系统安全防护补充技术规定》 办安全〔2011〕11号 《中长期电力交易系统安全防护暂行技术规定》 Q/CSG 2 1003-2008 《中国南方电网电力调度管理规程》 Q/CSG MS0809-2005

10、 《中国南方电网调度自动化管理规定》 3 术语和定义 3.1 电力二次系统 包含电力监控系统、电力调度运行管理系统（OMS）、电力通信及调度数据网络等。 3.2 电力监控系统 指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷管理系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统、继电保护管理信息系统、在线稳控决策系统、综合防御系统、电

11、力设备在线监测系统、雷电定位监测系统、变电站视频及环境监控系统、线路覆冰在线监测系统、变压器中性点直流在线监测系统等。 3.3 电力调度运行管理系统 指电力调度业务使用的管理信息系统。 3.4 电力调度数据网络 指各级电力调度专用广域数据网络、电力生产专用拨号网络等。 3.5 公用数据网络 指网络运营商提供的公共数据网络，如GPRS、CDMA、TD-SCDMA、WCDMA、CDMA2000、230MHz、卫星通信等。 3.6 电力二次系统网络信息安全防护设备 指实现电力二次系统网络及信息安全防护功能的系统或设备。如电力专业横向单向安全隔离装置、电力专用纵向加密认证装置、电力专用

12、拨号服务器、软硬件防火墙、IDS/IPS、恶意代码防护系统、部署在安全分区边界并设置了访问控制策略的交换机和路由器、电力调度数字证书系统、安全审计、网管、综合告警系统、公网专用安全通信网关、公网专用安全通信装置等。 3.7 控制区 指由具有实时监控功能、纵向联接使用电力调度数据网的实时VPN或专用通道的各业务系统构成的安全区域。 3.8 非控制区 指在生产控制区范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时VPN的各业务系统构成的安全区域。 3,9 运行维护单位 指发电、输电、变电、供电、用电等单位以及在南方电网区域外接入并接受南方电

13、网相应调度机构调度的发电厂、变电站。 4 总则 电力二次系统安全防护主要针对网络系统和基于网络的生产控制系统。安全防护的总体目标是保护电力监控系统及调度数据网络的安全，抵御黑客、病毒、恶意代码等的破坏和攻击，防止电力二次系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护的核心能力是“保护、检测、响应、恢复”。 电力二次系统安全防护是一项系统工程，其总体安全防护水平取决于系统中最薄弱点的安全水平。各有关单位安全防护工作应当执行电力二次系统安全防护规定，遵守安全防护基本原则，维护全网统一的安全防护结构和一致的

14、安全策略。 本规范依据国家电力监管委员会第5号令《电力二次系统安全防护规定》和电监安全【2006】34号文《电力二次系统安全防护总体方案》，结合南方电网的实际情况，按系统化、规范化、工程化要求、细化了电力二次系统安全防护的技术要求。 5 安全防护目标 南方电网电力二次系统安全防护的总体目标是：建立健全南方电网电力二次系统安全防护体系，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复主要功能，防止电力二次系统的安全事件引发或导致电力一次系统事

15、故或大面积停电事故，保障南方电网安全稳定运行。 南方电网电力二次系统安全防护工作的具体目标是： （1）防范病毒、木马等恶意代码的侵害； （2）保护电力二次系统的可用性和连续性； （3）保护重要信息在存储和传输过程中的机密性、完整性； （4）实现关键业务接入电力二次系统网络的身份认证，防止非法接入和非授权访问； （5）实现电力监控系统和调度数据网安全事件可发现、可跟踪、可审计； （6）实现电力监控系统和调度数据网络的安全管理。 6 安全防护设计原则 南方电网各级调度控制中心、配电中心（含负荷控制中心）、变电站、各级调度控制中心直调电厂、电力通信机构在进行本单位电力二次系统安全防

16、护方案设计时应遵守以下原则： （1）系统性原则（木桶原理）； （2）简单性和可靠性原则； （3）实时性、连续性与安全性相统一的原则； （4）需求、风险、代价相平衡的原则； （5）实用性与先进性相结合的原则； （6）全面防护、突出重点的原则； （7）分层分区、强化边界的原则； （8）整体规划、分步实施的原则； （9）不断完善的原则； （10）下级服从上级，局部服从整体的原则； （11）技术与管理相结合的原则。 7 安全防护总体策略 南方电网电力二次系统安全防护总体策略是南方电网各级调度控制中心、配电中心（含负荷控制中心）、变电站、各级调度控制中心直调电厂、电力通信机构开

17、展电力二次系统安全防护工作必须遵守的原则。南方电网二次系统安全防护总体策略如下： 7.1 安全分区 根据电力二次系统业务的重要性及其对电力一次系统的影响程度进行分区，南方电网电力二次系统分为生产控制大区和管理信息大区，其中生产控制大区分为控制区（又称安全区I）和非控制区（又称安全区Ⅱ），生产控制大区是电力二次系统重点防护对象。 7.2 网络专用 南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网，即实时VPN和非实时VPN。实时VPN用于控制

18、区业务系统的远程数据通信，非实时VPN用于非控制区业务系统的远程数据通信。 7.3 横向隔离 南方电网各级运行维护单位的生产控制大区与管理信息大区之间应设置电力专用横向安全隔离装置实现物理隔离。生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔离。 7.4 纵向认证 南方电网各级运行维护单位在控制区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或加密认证装置，非控制区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或防火墙，为上下级调度机构或主站与子站端的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。 8

19、 安全防护总体结构 8.1 总体结构模型 电力二次系统安全防护总体结构模型如图1所示： 图1 电力二次系统安全防护总体结构模型 该模型在技术上系统性地考虑了上下级各种数据业务的需求、网络的纵向互联、横向互联和数据通信的安全性问题，通过划分安全区、专用网络、专用隔离和加密认证等技术从多个层次构筑多道抵御网络黑客和恶意代码攻击的防线，对电力实时监控系统等关键业务实施重点保护，是构筑南方电网电力二次系统安全防护体系的基础。 生产控制大区的某些业务系统采用公用数据网络进行数据通信方式情况下，要求在主站端生产控制大区的通信出口采用物理隔离措施，主站端和业务终端之间的数据通信采用加密认证措

20、施。 8.2 安全分区规则 南方电网各有关单位包括各级调度控制中心、配电中心（含负荷控制中心）、变电站、各级调度控制中心直调电厂内部基于网络的二次系统，原则上划分为生产控制大区和管理信息大区。 8.2.1 生产控制大区的划分 根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统之间的相互关系、调度数据网通信方式以及对电力系统的影响程度等属性，生产控制大区原则上划分为控制区（安全区I）和非控制区（安全区Ⅱ）。 8.2.1.1 控制区（安全区I） 控制区是电力二次系统各安全区中安全等级最高的分区，是必不可少的分区。该区中的业务系统与电力调度生产直接相关，有对一次

21、系统的在线监视和闭环控制功能，且具有连续性、实时性（毫秒级或秒级）的特点以及高安全性、高可靠性和高可用性的要求。该区使用调度数据网络的实时VPN子网或专用通道与异地有关的控制区互联。 控制区的典型系统包括调度自动化系统（SCADA/EMS）、广域相量测量系统（WAMS）、自动电压控制系统（AVC）、安稳控制系统、在线预决策系统、具有保护定值下发、远方投退功能的保信系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，还包括使用专用通道的控制系统，如：安全自动控制系统、低频/低压自动减负荷系统、负荷管理系统等。 控制区业务系统的主要使用者为调度员、继电保护运行管理人员和运行操作人员。

22、 8.2.1.2 非控制区（安全区Ⅱ） 非控制区是电力二次系统各安全区中安全等级仅次于控制区的分区。该区的业务系统功能与电力生产直接相关，但不直接参与控制；系统在线运行，与安全区Ⅰ的有关业务系统联系密切。非控制区的数据采集频度是分钟或小时级，该区使用调度数据网络的非实时VPN子网或专用通道与异地有关的非控制区互联。 非控制区的典型系统包括调度员培训模拟系统、不带控制功能的继电保护和故障录波信息管理系统、水调自动化系统、电能量计量系统、电力市场运营系统、厂站端电能量采集装置、故障录波器和发电厂的报价终端等。 非控制区业务系统的主要使用者分别为调度员、水电调度员、继电保护人员及电力市场交易

23、员等。 8.2.2 管理信息大区的划分 根据业务系统或其功能模块的使用者、主要功能、设备使用场所、各业务系统之间的相互关系以及对电力系统的影响程度等属性，管理信息大区原则上划分为生产管理区（安全区Ⅲ）和管理信息区（安全区Ⅳ）。 8.2.2.1生产管理区（安全区Ⅲ） 生产管理区是电力二次系统各安全区中安全等级次于非控制区的分区。该区中的业务系统与电力调度生产管理工作直接相关。该安全区使用企业综合业务数据网与异地有关的生产管理区互联。 生产管理区的典型系统包括电力调度运行管理系统（OMS）、调度信息披露系统、雷电监测系统、生产控制大区系统（如SCADA/EMS、WAMS、电能量计量等）在

24、管理信息大区的发布系统、调度生产管理用户终端等。 生产管理区业务系统的主要使用者为调度员和各专业运行管理人员。 8.2.2.2 管理信息区（安全区Ⅳ） 管理信息区的业务系统主要用于生产管理和办公自动化。该安全区网络是本地办公环境下的局域网，与个人桌面计算机直接相关。该安全区使用企业综合业务数据网与异地的管理信息区互联，并与Internet有互联关系。 管理信息区的典型业务系统包括管理信息系统（MIS）、办公自动化系统（OA）、电网生产信息查询系统、统计报表系统、气象信息、客户服务系统、对外信息发布、Internet业务等。 管理信息区业务系统的使用者为上下级管理部门和本单位内部工作人

25、员。 8.3 安全区互联结构 电力二次系统安全区域之间互联总体结构包括链式结构、三角结构和星形三种结构，其结构如图2所示： 图2 电力二次系统安全区互联总体结构 本规范采用链式结构及三角结构，其中链式结构的控制区具有较高的累积安全防护强度，但总体层次较多，三角结构具有较高的通信效率，但需要较多的安全隔离设施。各单位可根据实际的系统现状和安全防护需求选择合适的互联结构。 9 安全防护技术措施 9.1 安全区间横向网络边界安全防护 安全区间横向网络边界隔离是电力二次系统安全防护的关键技术措施之一。通过采用不同强度的安全防护设备对安全区之间实施横向隔离保护，特别是对生产控制大区和

26、管理信息大区之间的网络边界应实施物理隔离，其数据通讯采用严格的数据单向传输控制，以有效抵御病毒、黑客等对生产控制大区业务系统及其网络的各种攻击和滲透。 控制区与非控制区之间应采用硬件防火墙、具有ACL访问控制功能的交换机或路由器等设施进行逻辑隔离。逻辑隔离设施应具备状态检测、数据过滤和地址转换等基本功能，可以对传输的地址、协议、端口和数据流的方向进行控制。控制区与非控制区之间的访问控制策略原则上只允许控制区系统主动与非控制区系统建立连接，不允许从非控制区反向访问控制区系统。确有必要进行反向访问时，仅允许系统间的业务数据传输，且必须对访问的地址、协议和端口实施严格的访问控制，禁止任何远程登录类

27、的反向访问。 生产控制大区与管理信息大区的网络边界处应设置电力专用安全隔离装置进行单向物理隔离。电力专用安全隔离装置通过“安全岛”数据摆渡和割断穿透性TCP连接等技术，实现数据的单向传输和网络边界的物理隔离。该装置分为正向型和反向型，其中正向型安全隔离装置用于生产控制大区到管理信息大区的单向数据传输。反向型安全隔离装置用于从管理信息大区到生产控制大区单向纯文本数据传输。反向安全隔离装置接收管理信息大区发向生产控制大区的数据，进行签名验证、编码转换、数据报文检查等处理后，转发给生产控制大区内的相关业务系统。 生产管理区与管理信息区之间应采用硬件防火墙、具有ACL访问控制功能的交换机或路由器等

28、设施进行逻辑隔离。逻辑隔离设施应具备状态检测、数据过滤和地址转换等基本功能，可以对传输的地址、协议、端口和数据流的方向进行控制。生产管理区与管理信息区之间的访问控制策略原则上只允许生产管理区系统主动与管理信息区系统建立连接，不允许从管理信息区反向访问生产管理区系统。确有必要进行反向访问时，必须对访问的地址、协议和端口实施严格的访问控制。 9.2 安全区纵向网络边界安全防护 在生产控制大区与调度数据网的网络边界部署电力专用纵向加密认证网关（对于非控制区，目前可用国产硬件防火墙替代），是电力二次系统安全防护的一项关键技术措施。 纵向加密认证网关采用电力专用密码与认证技术，为各级运行维护单位控

29、制区的纵向数据通信提供认证与加密服务，实现数据传输的机密性、完整性保护。纵向加密认证网关还提供协议报文的过滤和处理功能，可实现端到端的选择性保护。 在生产控制大区与公用数据网络的网络边界部署公网专用安全通信网关或公网专用安全通信装置，是电力二次系统安全防护的另一关键技术措施。 公网专用安全通信网关和公网专用安全通信装置采用专用密码与认证技术，为运行维护单位控制区和业务终端的纵向数据通信提供网络隔离、认证与加密服务，实现数据传输的机密性、完整性保护。 在生产控制大区纵向网络边界上，应避免使用默认路由，仅开放特定通信端口，禁止开通ftp、telnet、rlogin、rsh、rcp、http、

30、pop3等高风险网络服务。 9.3 调度数据网安全防护 电力调度数据网是生产控制大区专用的广域数据网络，承载电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。电力调度数据网应在专用通道上，采用独立网络设备组网，在物理层面上实现与综合业务网和公共信息网的安全隔离。各级运行维护单位应当避免通过调度数据网形成不同安全区的纵向交叉连接。网、省、地三级电力调度数据网严格禁止与企业综合业务数据网、公用数据网络和公用通信网络直接互联。各级调度数据网之间的互联应遵循《中国南方电网调度数据网互联管理办法》，调度数据网不允许远程拨号维护。 调度数据网的安全防护应采取下列技术和安

31、全措施： （1）虚拟专网技术 电力调度数据网应采用MPLS VPN技术或类似技术将电力调度数据网分割为逻辑上相对独立的实时VPN和非实时VPN，分别对应控制业务和非控制生产业务，并部署Qos策略或其他技术手段，保证实时VPN中关键业务的带宽和服务质量 （2）路由和交换设备的安全配置 核心路由和交换设备的安全配置包括对核心路由器的访问采用基于高强度口令密码的分级登陆验证功能、对路由器和交换设备的网络服务和端口进行严格限定、避免使用默认路由、关闭调度数据网网络边界的OSPF路由功能、关闭路由器的源路由功能、采用增强的SNMPv2及以上版本的网管协议、设置受信的网络地址范围、开启访问控制列表

32、记录设备日志、封闭空闲的网络端口等。 （3）核心和关键节点网络节点的可靠性配置 对调度数据网络中的核心和关键节点网络设备，必须采用双机冗余备份机制，保证调度网络系统的高可靠性。 （4）调度数据网的安全监控 在调度数据网互联边界和关键节点可通过流量监控、入侵检测等技术手段实现“监控流量、预防攻击、隔离危险”， 实时发现网络安全威胁，及时处理修复，杜绝调度数据网因外界攻击而大面积瘫痪。 9.4 公用数据网络安全防护 生产控制大区的某些业务系统采用公用数据网络进行数据通信方式的情况下，要求在主站端生产控制大区的通信出口采用物理隔离措施，实现生产控制大区业务系统与公用数据网络之间的物理隔

33、离；主站端和业务终端之间的通信采用加密认证措施，实现数据通信的身份认证和数据加密。隔离措施的原则为业务系统设备以及认证加密设备（或功能模块）应位于物理隔离设备（或功能模块）的内网侧。 在主站端部署公网专用安全通信网关，在业务终端部署公网专用安全通信装置。公网专用安全通信网关实现网络隔离、加密认证等功能；公网专用安全通信装置实现加密认证等功能。公网专用安全通信网关应能与相应业务终端的公网专用安全通信装置进行身份认证并建立加密数据通信通道，实现业务系统的数据通信。 生产控制大区涉公用数据网络的业务系统（如：配电网自动化系统、电力负荷管理系统等），其使用公用数据网络的系统设备、业务终端按该业务系

34、统所属安全分区的要求进行管理。 公用数据网络传输通道应当启用基础电信运营商可提供的安全措施，包括： （l）优先选用 TD-SCDMA 等具有自主知识产权的技术和产品； （2）利用APN+VPN或VPDN技术实现无线虚拟专有通道； （3）通过认证服务器对接入终端进行身份认证和地址分配； （4）在主站系统和公共网络采用有线专线+GRE等手段。 9.5 安全区内部安全防护 安全区内部的安全防护包括生产控制大区和管理信息大区的内部防护。 9.5.1 生产控制大区内部防护措施 （1）禁止生产控制大区内部的E-MAIL服务。 （2）禁止控制区内通用的WEB服务。 （3）禁止生产控制大

35、区以任何方式连接因特网。 （4）生产控制大区必须具有恶意代码措施。病毒特征库、木马库以及IDS规则库的更新应离线进行。 （5）控制区和非控制区内的业务系统之间应采用VLAN和访问控制安全措施，避免系统间的直接互通。 （6）生产控制大区重要业务系统的远程数据通信应采用加密认证措施。 （7）生产控制大区重要的服务器和通信网应使用国家指定部门认证的安全加固操作系统，并采用加密、认证和访问控制等安全防护措施。 （8）省级及以上调度控制中心应在在控制区边界、非控制区边界独立部署入侵检测系统（IDS），地市级调度控制中心、单机装机容量300MW或全厂装机容量1000MW及以上的发电厂应在控制区边

36、界部署入侵检测系统（IDS），可在非控制区边界独立部署入侵检测系统（IDS），实现对各个业务系统与横向、纵向网络边界的入侵检测。 （9）省级及以上调度控制中心和大型地市级调度控制中心可在生产控制大区部署综合安全监控及审计平台，对各种网络设备运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全防护设备运行日志和告警信息等进行集中收集、分析、审计和告警处理。 9.5.2生产管理区内部防护措施 （1）生产管理区应根据业务系统划分安全区或安全网段（例如：服务器群网段、用户群网段），并通过交换机的ACL功能或防火墙对关键业务系统实施安全防护； （2）生产管理区与管理信息区的横向

37、互联边界应部署防火墙； （3）生产管理区应部署防病毒系统，并配置病毒库定期升级和定期扫描病毒等策略； （4）省级及以上调度控制中心应在生产管理区边界部署入侵检测系统（IDS）。 9.6 电力数字证书技术及应用 电力调度数字证书系统是南方电网电力二次系统安全防护的基础安全设施。电力调度数字证书系统是基于公钥技术的分布式的数字证书系统，为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备提供数字证书服务，实现高强度的身份认证、安全的数据传输以及行为审计。电力调度数字证书系统应按照南方电网电力调度管理体系进行配置，省级及以上调度控制中心和有实际业务需要的地区调度控制中心应建立电力调

38、度数字证书系统。 电力调度数字证书分为人员证书、程序证书、设备证书三类。人员证书指用户在访问系统、进行操作时对其身份进行认证所需要持有的证书；程序证书指关键应用的模块、进程、服务器程序运行时需要持有的证书；设备证书指网络设备、服务器主机等在接入本地网络系统与其它实体通信过程中需要持有的证书。 电力调度建设数字证书系统建设时，必须遵循如下原则： （1）统一规划数字证书的信任体系。南网总调CA为一级CA系统；省级调度CA为二级CA系统；地、市级调度CA为三级CA系统。省调接受南网总调的证书管理，负责所辖地调和直调厂站的证书管理；地市级调度负责所辖县调及直调厂站的证书管理。上下级电力调度数字证

39、书系统通过证书信任链构成认证体系。 （2）采用统一的数字证书格式和加密算法。数字证书格式遵循符合X.509 V3标准，证书格式和加密算法应该严格按照电监会调度证书规范进行定义。 （3）电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络，独立运行。 9.7 入侵检测措施 入侵检测是电力二次系统安全防护的重要技术措施。通过在生产控制大区和管理信息大区横向、纵向网络边界部署入侵检测系统，可以实时监控关键业务系统和网络边界的关键路径信息，实现安全事件的可发现、可追踪、可审计。 入侵检测系统（IDS）采用协议分析、模式匹配、异常检测等技术，通过将交换机上关键接入端口（例如各个安

40、全区的纵向互联端口和横向互联端口）的数据报文镜像到IDS检测引擎（IDS探头）的接入端口，实现对网络流量、数据包的动态监视、记录和管理、对异常事件进行告警等。 9.8 安全WEB服务 安全II区若有WEB服务，应采用支持HTTPS的安全WEB服务，其WEB服务器必须经过安全加固并采用电力调度数字证书对浏览器客户端访问进行身份认证及加密传输。 9.9 防病毒措施 电力二次系统必须采用防病毒措施，以及时发现网络和主机系统的安全漏洞和病毒入侵，消除电力监控系统的安全隐患。防病毒措施应遵循如下原则： 禁止生产控制大区与管理信息大区共用一套病毒代码管理服务器，对于生产控制大区的服务器和工作站应

41、采用专用安全U盘等进行病毒代码的离线更新。 生产控制大区和管理信息大区防病毒策略的设定、病毒定义码的更新、病毒查杀记录的汇总以及事件报告等应纳入运行维护管理制度。 9.10 综合审计平台 综合审计平台是二次系统安全防护的重要环节，是保障二次系统安全运行的技术管理工具。省级及以上调度控制中心和大型地市级调度控制中心应在生产控制大区建立综合审计平台。综合审计平台应能全面收集、集中存储生产控制大区各种业务系统、网络设备、安全防护设备、机房设施等的运行日志、操作系统日志、数据库访问日志，并具备动态监视、故障分析、安全审计、事件预警及告警等功能。 综合审计平台由信息采集代理、事件管理和安全管理平

42、台构成。信息采集代理支持网络、串口等通讯方式，采用定制接口采集不同格式的日志信息和告警信息。事件管理主要用于存储各种日志信息、安全事件信息、操作系统信息、服务器信息等，并对各种信息进行统一格式转换与存储。安全管理平台实现各种信息的告警管理，包括统计查询、报表、短信报警和系统管理等功能。 9.11 远程拨号安全防护 电力二次系统应尽可能避免采用远程拨号方式维护系统，确有必要时，应采用电力专用安全拨号网关，实施网络层保护，并结合数字证书技术对远程用户进行客户端检查、登陆认证、访问控制和操作审计。 采用远程拨号方式维护系统时，必须采取下列管理控制措施： （1）禁止生产控制大区与管理信息大区共

43、用一套远程拨号设施。 （2）拨号设施平时应该关闭电源，开启拨号设施应履行审批手续。远程维护完毕后，应及时关闭拨号设施电源。 （3）对拨号登陆用户和密码应定期更换，对拨号人、拨号时间、事由、操作内容等必须详细记录。 （4）对远程拨号用户必须进行合理的权限限制，在经过认证的连接上应该仅能够行使受限的网络功能与应用。 （5）对远程拨号用户可使用定时限软证书和硬件证书进行身份认证。 9.12 应用系统安全 对于应用系统本身的安全防护应满足下列要求： （1）应用系统管理员账户、用户账户口令应定期进行变更； （2）严格管理应用权限，制定权限赋予和权限变更的审核、批准、执行流程，依据最小化原

44、则对用户赋予适当的权限，并定期进行权限复核； （3）对应用系统应进行数据输入的合法性和参数配置的正确性检验； （4）应用系统源代码应保存在专用开发系统中，不应与运行系统同机存放； （5）定期对应用程序软件进行漏洞扫描，并修复所发现的漏洞； （6）定期对应用系统以前发生的历史安全事件进行审计，分析总结安全事件的规律； （7）对新上线的业务系统，应提供由专业安全机构出具的安全评估报告。 9.13 操作系统安全 操作系统是承载业务应用、数据库应用的载体，是应用系统安全的基础。一旦操作系统的安全性出现问题，将对整体业务应用安全造成严重损害。操作系统应采取下列安全防护措施： （1）系统

45、应及时安装补丁，补丁安装前必须进行离线测试，确认对业务系统无影响后，方可进行安装； （2）系统应进行安全加固，关闭非必须的服务，设置关键配置文件的访问权限，开启系统的日志审计功能； （3）应制定用户管理策略、开户申请审批流程、定义用户口令管理策略，增强对关键账户文件的保护，删除空口令账号； （4）尽量限制管理员权限使用，一般操作中，尽量采用一般权限用户，仅在必要时切换至管理员账号进行操作； （5）应当使用漏洞扫描工具定期对系统漏洞进行扫描，漏洞库应当及时更新，对于扫描出的漏洞应及时进行处理。 9.14 支撑系统系统安全 数据库和各类中间件是各个业务系统的基础，数据完整性和合法存取会

46、受到很多方面的安全威胁，包括密码策略、系统后门、数据库操作以及本身的安全方案。保证支撑系统安全的主要措施如下： （1）及时更新经过测试的数据库最新安全补丁； （2）对新安装的数据库，应及时修改所有账号的默认口令； （3）及时删除无用和长久不用的账号； （4）使用安全的口令策略，采用8位以上数字字符混合密码； （5）使用安全账号策略，为不同的用户账号按需要授予相应的权限； （6）加强数据库审核记录，并定期检查数据库审核记录； （7）数据库中运行库和开发库应该进行分离。 9.15 设备备用 地区级以上调度控制中心、500kV变电站、集控站、各级调度控制中心直调电厂生产控制大区内部

47、关键主机设备、网络设备或关键部件应采用冗余热备用方式，对管理信息大区内的设备可根据需要选用热备用、温备用或冷备用方式，以保障系统的可用性。 9.16 数据备份与恢复 数据备份是保证数据安全的关键技术措施。数据备份的内容包括操作系统、应用软件、业务系统数据、网络设备配置文件、安全防护设备配置文件等。数据备份应符合以下要求： （1）规划设计新建系统时应考虑系统的备份需求，在系统投运前完成备份策略和恢复预案的制定并在系统投运后同时开始执行；已投运系统备份需求发生变化时，要及时更新数据备份策略和恢复预案。 （2）备份系统的建设应统一纳入二次系统信息安全规划，备份系统及介质的选型要满足各系统的备

48、份策略和数据备份及保存的要求，包括安全可靠性、性能和服务质量、冗余等，省级及以上调度控制中心应建立集中备份系统，确保通过数据备份能及时恢复各种故障情况下造成的数据丢失。 （3）应根据业务系统的需求制订备份策略，包括定期全备份与增量备份。电力二次系统关键数据应定期作一次完全备份，每当关键数据发生变化时，应作一次增量备份。各有关单位在制订本单位的二次系统安全防护实施方案时，必须制订备份系统具体的备份策略（包括全备份周期、增量备份周期、备份数据保留的时间等）。 （4）存储介质应存放在适于保存的安全环境（如防盗、防潮、防鼠害、磁性介质远离磁性、辐射性等），并有严格的存取控制,对备份了数据的存储介质

49、要进行定期检查，确认所备份数据的完整性、正确性和有效性。 9.17 容灾 省级及以上调度控制中心及大型地、市级调度控制中心的调度自动化EMS系统应建设容灾系统，以确保在灾难发生时不影响数据的安全性和系统业务的连续性。 容灾系统的建设的应该满足以下要求： （1）必须满足电力二次系统安全防护相关要求。 （2）容灾系统不应影响现有系统的正常运行。 （3）灾难事故发生时能够快速有效地恢复业务系统的正常运行。 （4）容灾系统应支持所备系统的数据异地备份。 （5）通过有效的备份策略和备份手段尽可能地减少数据的丢失/错误。 （6）充分考虑系统扩展的要求，提供系统平滑升级的能力。 （7）省

50、级及以上调度控制中心的容灾系统应在异地建设。 （8）大型地、市级调度控制中心的容灾系统可在同城建设。 10 省级及以上调度控制中心二次系统安全防护结构规范 10.1 省级及以上调度控制中心二次系统安全防护总体逻辑结构 省级及以上调度控制中心二次系统安全防护总体逻辑结构如图3。该图示意了二次系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区纵向互联的逻辑结构以及网络安全防护设备的总体部署。图中虚线框和虚线部分表示不一定存在。 图3 省级及以上调度控制中心二次系统安全防护总体逻辑结构示意图 省级及以上调度控制中心二次系统分为生产控制大区和管理信息大区，其中生产控制大区分为