電力系統(tǒng)二次安全防護基礎課件

電力系統(tǒng)二次安全防護基礎2022年10月30日2二灘水電廠異常停機事件；故障錄波裝置“時間邏輯炸彈”事件；換流站控制系統(tǒng)感染病毒事件；近年世界上大停電事故反映出電力二次系統(tǒng)的脆弱性和重要性。電力二次系統(tǒng)安全事件

2022年10月30日3二次系統(tǒng)安全防護的由來2000年四川某水電站無故全廠停機造成川西電網(wǎng)瞬間缺電80萬仟瓦引起電網(wǎng)大面積停電。其根源估計是廠內MIS系統(tǒng)與電站的控制系統(tǒng)無任何防護措施的互連，引起有意或無意的控制操作導致停機。2001年9、10月間，安裝在全國147座變電站的銀山公司生產(chǎn)的錄波器的頻頻“出事”，出現(xiàn)不錄波或死機現(xiàn)象，嚴重影響高壓電網(wǎng)安全運行。事后分析結論是該錄波器中人為設置了“時間限制”或“時間邏輯炸彈”。2022年10月30日5主要風險調度數(shù)據(jù)網(wǎng)上：明文數(shù)據(jù)；104規(guī)約等的識別，著重保護“控制報文”；物理等原因造成的數(shù)據(jù)中斷不是最危險的；最危險的是旁路控制。竊聽篡改偽造2022年10月30日6優(yōu)先級風險說明/舉例0旁路控制（BypassingControls）入侵者對發(fā)電廠、變電站發(fā)送非法控制命令，導致電力系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞（IntegrityViolation）非授權修改電力控制系統(tǒng)配置或程序；非授權修改電力交易中的敏感數(shù)據(jù)。2違反授權（AuthorizationViolation）電力控制系統(tǒng)工作人員利用授權身份或設備，執(zhí)行非授權的操作。3工作人員的隨意行為（Indiscretion）電力控制系統(tǒng)工作人員無意識地泄漏口令等敏感信息，或不謹慎地配置訪問控制規(guī)則等。4攔截/篡改（Intercept/Alter）攔截或篡改調度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設置、交易報價等敏感數(shù)據(jù)。5非法使用（IllegitimateUse）非授權使用計算機或網(wǎng)絡資源。6信息泄漏（InformationLeakage）口令、證書等敏感信息泄密。7欺騙（Spoof）Web服務欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進入電力監(jiān)控系統(tǒng)。9拒絕服務（Availability,e.g.DoS）向電力調度數(shù)據(jù)網(wǎng)絡或通信網(wǎng)關發(fā)送大量雪崩數(shù)據(jù)，造成拒絕服務。10竊聽（Eavesdropping,e.g.DataConfidentiality）黑客在調度數(shù)據(jù)網(wǎng)或專線通道上搭線竊聽明文傳輸?shù)拿舾行畔?，為后續(xù)攻擊準備數(shù)據(jù)。電力二次系統(tǒng)主要安全風險2022年10月30日7系列文件國家經(jīng)貿(mào)委[2002]第30號令：

《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》。于2002年5月8日公布，自2002年6月8日起施行。國家電力監(jiān)管委員會第5號令：

《電力二次系統(tǒng)安全防護規(guī)定》于2004年12月20日公布，自2005年2月1日起施行。

2022年10月30日8系列文件《電力二次系統(tǒng)安全防護規(guī)定》配套文件：《電力二次系統(tǒng)安全防護總體方案》《省級及以上調度中心二次系統(tǒng)安全防護方案》《地、縣級調度中心二次系統(tǒng)安全防護方案》《變電站二次系統(tǒng)安全防護方案》《發(fā)電廠二次系統(tǒng)安全防護方案》《配電二次系統(tǒng)安全防護方案》2022年10月30日10電力二次系統(tǒng)安全防護的目標抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。2022年10月30日12安全區(qū)I的典型系統(tǒng)調度自動化系統(tǒng)（SCADA/EMS）、廣域相量測量系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)、繼電保護、安全自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負荷控制系統(tǒng)等。典型特點：是電力生產(chǎn)的重要環(huán)節(jié)、安全防護的重點與核心；直接實現(xiàn)對一次系統(tǒng)運行的實時監(jiān)控；

縱向使用電力調度數(shù)據(jù)網(wǎng)絡或專用通道。2022年10月30日14安全區(qū)III的典型系統(tǒng)調度生產(chǎn)管理系統(tǒng)（DMIS）、調度報表系統(tǒng)（日報、旬報、月報、年報）、雷電監(jiān)測系統(tǒng)、氣象信息接入等。典型特點：主要側重于生產(chǎn)管理的系統(tǒng)2022年10月30日15安全區(qū)IV的典型系統(tǒng)管理信息系統(tǒng)（MIS）、辦公自動化系統(tǒng)（OA）、客戶服務系統(tǒng)等。典型特點：純管理的系統(tǒng)電力二次系統(tǒng)安全防護總體示意圖上級調度/控制中心下級調度/控制中心上級信息中心下級信息中心實時VPNSPDnet非實時VPNIP認證加密裝置安全區(qū)I(實時控制區(qū))安全區(qū)II(非控制生產(chǎn)區(qū))安全區(qū)III(生產(chǎn)管理區(qū))安全區(qū)IV(管理信息區(qū))外部公共因特網(wǎng)生產(chǎn)VPNSPTnet管理VPN防火墻防火墻IP認證加密裝置IP認證加密裝置IP認證加密裝置防火墻防火墻安全區(qū)I(實時控制區(qū))

防火墻安全區(qū)II(非控制生產(chǎn)區(qū))安全區(qū)III(生產(chǎn)管理區(qū))

防火墻

防火墻安全區(qū)IV(管理信息區(qū))專線正向專用安全隔離裝置反向專用安全隔離裝置正向專用安全隔離裝置反向專用安全隔離裝置

防火墻

防火墻

防火墻2022年10月30日17網(wǎng)絡專用

電力調度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)，采用基于SDH/PDH上的不同通道、不同光波長、不同纖芯等方式，在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。子網(wǎng)之間可采用MPLS-VPN技術、安全隧道技術、PVC技術或路由獨立技術等來構造子網(wǎng)。電力調度數(shù)據(jù)網(wǎng)是電力二次安全防護體系的重要網(wǎng)絡基礎。2022年10月30日18網(wǎng)絡專用

SDH（N×2M）SDH（155M）SPDnetSPTnet實時控制在線生產(chǎn)調度生產(chǎn)管理電力綜合信息實時VPN非實時VPN調度VPN信息VPN語音視頻VPNIP語音視頻SDH/PDH傳輸網(wǎng)電力調度數(shù)據(jù)網(wǎng)電力企業(yè)數(shù)據(jù)網(wǎng)2022年10月30日20橫向隔離裝置必須通過公安部安全產(chǎn)品銷售許可，獲得國家指定機構安全檢測證明，用于廠站的設備還需通過電力系統(tǒng)電磁兼容檢測。專用橫向單向安全隔離裝置按照數(shù)據(jù)通信方向分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。嚴格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡服務和以B/S或C/S方式的

數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。隔離設備實時控制系統(tǒng)調度生產(chǎn)系統(tǒng)接口機A接口機B安全島關鍵技術-正向型專用安全隔離裝置內網(wǎng)外網(wǎng)反向型專用安全隔離裝置安全區(qū)III到安全區(qū)I/II的唯一數(shù)據(jù)傳遞途徑。反向型專用隔離裝置集中接收安全區(qū)III發(fā)向安全區(qū)I/II的數(shù)據(jù)，進行簽名驗證、內容過濾、有效性檢查等處理。處理后，轉發(fā)給安全區(qū)I/II內部的接收程序。具體過程如下：1. 安全區(qū)III內的數(shù)據(jù)發(fā)送端首先對需發(fā)送的數(shù)據(jù)簽名，然后發(fā)給反向型專用隔離裝置；2.專用隔離裝置接收數(shù)據(jù)后，進行簽名驗證，并對數(shù)據(jù)進行內容過濾、有效性檢查等處理；3.將處理過的數(shù)據(jù)轉發(fā)給安全區(qū)I/II內部的接收程序。24安全區(qū)與遠方通信的安全防護要求(一)安全區(qū)Ⅰ、Ⅱ所連接的廣域網(wǎng)為國家電力調度數(shù)據(jù)網(wǎng)SPDnet。SPDnet為安全區(qū)Ⅰ、Ⅱ分別提供二個邏輯隔離的MPLS-VPN。安全區(qū)Ⅲ所連接的廣域網(wǎng)為國家電力數(shù)據(jù)通信網(wǎng)（SPTnet），SPDnet與SPTnet物理隔離。安全區(qū)Ⅰ、Ⅱ接入SPDnet時，應配置縱向加密認證裝置，實現(xiàn)遠方通信的雙向身份認證和數(shù)據(jù)加密。如暫時不具備條件或業(yè)務無此項要求，可以用硬件防火墻代替。安全區(qū)Ⅲ接入SPTnet應配置硬件防火墻。

2022年10月30日26縱向加密認證裝置/網(wǎng)關加密認證裝置位于電力控制系統(tǒng)的內部局域網(wǎng)與電力調度數(shù)據(jù)網(wǎng)絡的路由器之間，用于安全區(qū)I/II的廣域網(wǎng)邊界保護，可為本地安全區(qū)I/II提供一個網(wǎng)絡屏障同時為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認證與加密服務，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護。加密認證網(wǎng)關除具有加密認證裝置的全部功能外，還應實現(xiàn)應用層協(xié)議及報文內容識別的功能。2022年10月30日27縱向加密認證網(wǎng)關和管理中心的部署路由器國家電力調度數(shù)據(jù)網(wǎng)絡國家電力調度數(shù)據(jù)網(wǎng)絡I/III/II級級調度中心調度中心管理終端縱向加密認證裝置國家電力調度數(shù)據(jù)網(wǎng)絡調度中心調度中心管理中心2022年10月30日28縱向認證采用認證、加密、訪問控制等技術措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關及相應設施，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。管理信息大區(qū)應采用硬件防火墻等安全設備接入電力企業(yè)數(shù)據(jù)網(wǎng)?？v向加密認證是電力二次安全防護體系的縱向防線。傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡安全問題，可采用線路加密技術保護關鍵廠站及關鍵業(yè)務。安全防護要求在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。生產(chǎn)控制大區(qū)內部的安全區(qū)之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關及相應設施。安全防護要求

安全區(qū)邊界應當采取必要的安全防護措施，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡服務。生產(chǎn)控制大區(qū)中的業(yè)務系統(tǒng)應當具有高安全性和高可靠性，禁止采用安全風險高的通用網(wǎng)絡服務功能。依照電力調度管理體制建立基于公鑰技術的分布式電力調度數(shù)字證書系統(tǒng)，生產(chǎn)控制大區(qū)中的重要業(yè)務系統(tǒng)應當采用認證加密機制。各安全區(qū)內部安全防護的基本要求（一）對安全區(qū)Ⅰ及安全區(qū)Ⅱ的要求：禁止安全區(qū)Ⅰ/Ⅱ內部的E-MAIL服務。安全區(qū)Ⅰ不允許存在WEB服務器及客戶端。允許安全區(qū)Ⅱ內部及縱向（即上下級間）WEB服務。但WEB瀏覽工作站與II區(qū)業(yè)務系統(tǒng)工作站不得共用，而且必須業(yè)務系統(tǒng)向WEB服務器單向主動傳送數(shù)據(jù)。安全區(qū)Ⅰ/Ⅱ的重要業(yè)務（如SCADA、電力交易）應該采用認證加密機制。安全區(qū)Ⅰ/Ⅱ內的相關系統(tǒng)間必須采取訪問控制等安全措施。對安全區(qū)Ⅰ/Ⅱ進行撥號訪問服務，必須采取認證、加密、訪問控制等安全防護措施。安全區(qū)Ⅰ/Ⅱ應該部署安全審計措施，如IDS等。安全區(qū)Ⅰ/Ⅱ必須采取防惡意代碼措施。各安全區(qū)內部安全防護的基本要求（二）對安全區(qū)Ⅲ要求：安全區(qū)Ⅲ允許開通EMAIL、WEB服務。對安全區(qū)Ⅲ撥號訪問服務必須采取訪問控制等安全防護措施。安全區(qū)Ⅲ應該部署安全審計措施，如IDS等。安全區(qū)Ⅲ必須采取防惡意代碼措施。對安全區(qū)Ⅳ不做詳細要求。其它安全措施防病毒措施：病毒防護是調度系統(tǒng)與網(wǎng)絡必須的安全措施。建議病毒的防護應該覆蓋所有安全區(qū)I、II、III的主機與工作站。病毒特征碼要求必須以離線的方式及時更新。應當及時更新特征碼，查看查殺記錄。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套防惡意代碼管理服務器。入侵檢測IDS：對于生產(chǎn)控制大區(qū)統(tǒng)一部署一套內網(wǎng)審計系統(tǒng)或入侵檢測系統(tǒng)（IDS），其安全策略的設

置重在捕獲網(wǎng)絡異常行為、分析潛在威脅以及事后安全審計，不宜使用實時阻斷功能。禁止使用入侵檢測與防火墻的聯(lián)動?？紤]到調度業(yè)務的可靠性，采用基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS），其IDS探頭主要部署在：橫向、縱向邊界以及重要系統(tǒng)的關鍵應用網(wǎng)段。其它安全措施使用安全加固的操作系統(tǒng)：

能量管理系統(tǒng)SCADA/EMS、變電站自動化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、電力市場運營系統(tǒng)等關鍵應用系統(tǒng)的主服務器，以及網(wǎng)絡邊界處的通信網(wǎng)關、Web服務器等，應該使用安全加固的操作系統(tǒng)。主機加固方式包括：安全配置、安全補丁、采用專用軟件強化操作系統(tǒng)訪問控制能力、以及配置安全的應用程序。關鍵應用系統(tǒng)采用電力調度數(shù)字證書：

能量管理系統(tǒng)、廠站端生產(chǎn)控制系統(tǒng)、電能量計量系統(tǒng)及電力市場運營系統(tǒng)等業(yè)務系統(tǒng)，應當逐步采用電力調度數(shù)字證書，對用戶登錄本地操作系統(tǒng)、訪問系統(tǒng)資源等操作進行身份認證，根據(jù)身份與權限進行訪問控制，并且對操作行為進行安全審計。其它安全措施遠程撥號訪問的防護策略：通過遠程撥號訪問生產(chǎn)控制大區(qū)時，要求遠方用戶使用安全加固的操作系統(tǒng)平臺，結合調度數(shù)字證書技術，進行登錄認證和訪問認證。

對于遠程用戶登錄到本地系統(tǒng)中的操作行為，應該進行嚴格的安全審計。安全審計：生產(chǎn)控制大區(qū)應當具備安全審計功能，可對網(wǎng)絡運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等進行集中收集、自動分析，及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。

2022年10月30日37其它安全措施數(shù)據(jù)與系統(tǒng)備份對關鍵應用的數(shù)據(jù)與應用系統(tǒng)進行備份，確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復數(shù)據(jù)與系統(tǒng)的可用性。設備備用對關鍵主機設備、網(wǎng)絡的設備與部件進行相應的熱備份與冷備份，避免單點故障影響系統(tǒng)可靠性。異地容災對實時控制系統(tǒng)、電力市場交易系統(tǒng)，在具備條件的前提下進行異地的數(shù)據(jù)與系統(tǒng)備份，提供系統(tǒng)級容災功能，保證在規(guī)模災難情況下，保持系統(tǒng)業(yè)務的連續(xù)性。其它安全措施安全評估技術：所有系統(tǒng)均需進行投運前的及運行期間的定期評估。已投運的系統(tǒng)要求進行安全評估，新建設的系統(tǒng)必須經(jīng)過安全評估合格后方可投運,運行期間的定期評估.

有的變電站具有電力數(shù)據(jù)通信網(wǎng)SPTnet和生產(chǎn)管理系統(tǒng)MIS系統(tǒng)，屬于安全區(qū)Ⅲ、Ⅳ的子系統(tǒng)。對于分層分布式的變電站自動化系統(tǒng)，由于其核心部分（測控單元）是利用串行非網(wǎng)絡通信傳遞數(shù)據(jù)，與站控層局域網(wǎng)是通過中間層前置單元在邏輯上進行隔離的，可以認為無安全風險?？v向網(wǎng)絡邊界的安全防護措施：對外通信網(wǎng)關必須通過具備邏輯隔離功能的接入交換機接入部署IP認證加密裝置（位于SPDnet的實時VPN與接入交換機之間）橫向網(wǎng)絡邊界的安全防護措施：對內網(wǎng)關必須通過具備邏輯隔離功能的區(qū)內交換機接入（若交換機不具備邏輯隔離功能時，建議部署硬件防火墻）；安全區(qū)Ⅰ與安全區(qū)Ⅱ之間必須部署硬件防火墻（經(jīng)有關部門認定核準）。安全管理國家電力監(jiān)管委員會負責電力二次系統(tǒng)安全防護的監(jiān)管，制定電力二次系統(tǒng)安全防護技術規(guī)范并監(jiān)督實施。電力企業(yè)應當按照“誰主管誰負責，誰運營誰負責”，的原則，建立健全電力二次系統(tǒng)安全管理制度，將電力二次系統(tǒng)安全防護工作及其信息報送納入日常安全生產(chǎn)管理體系，落實分級負責的責任制。電力調度機構負責直接調度范圍內的下一級電力調度機構、變電站、發(fā)電廠輸變電部分的二次系統(tǒng)安全防護的技術監(jiān)督，發(fā)電廠內其他二次系統(tǒng)可由其上級主管單位實施技術監(jiān)督。安全管理建立電力二次系統(tǒng)安全評估制度，采取以自評估為主、聯(lián)合評估為輔的方式，將電力二次系統(tǒng)安全評估納入電力系統(tǒng)安全評價體系。對生產(chǎn)控制大區(qū)安全評估的所有記錄、數(shù)據(jù)、結果等，應按國家有關要求做好保密工作。建立健全電力二次系統(tǒng)安全的聯(lián)合防護和應急機制，制定應急預案。電力調度機構負責統(tǒng)一指揮調度范圍內的電力二次系統(tǒng)安全應急處理。當電力生產(chǎn)控制大區(qū)出現(xiàn)安全事件，尤其是遭受黑客或惡意代碼的攻擊時，應當立即向其上級電力調度機構報告，并聯(lián)合采取緊急防護措施，防止事件擴大，同時注意保護現(xiàn)場，以便進行調查取證。安全管理電力二次系統(tǒng)相關設備及系統(tǒng)的開發(fā)單位、供應商應以合同條款或保密協(xié)議的方式保證其所提供的設備及系統(tǒng)符合本規(guī)定的要求，并在設備及系統(tǒng)的生命周期內對此負責。電力二次系統(tǒng)專