電力二次系統(tǒng)的安全保護計劃

電力二次系統(tǒng)安全防護方案

一、序言

為認真貫徹貫徹國家經(jīng)貿(mào)委［2023］第30號令《電網(wǎng)和電廠

計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護的規(guī)定》和2023年12

月20日國家電力監(jiān)管委員會公布［2023］5號令《電力二次系統(tǒng)

安全防護規(guī)定》等有關文獻精神，保證我企業(yè)機組安全、優(yōu)質、

穩(wěn)定運行，根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》，結合

企業(yè)SIS系統(tǒng)目前的實際狀況，特制定本方案。

二、電力安全防護日勺總體原則

（一）安全防護目日勺

電力二次系統(tǒng)安全防護的重點是保證電力實時閉環(huán)監(jiān)控系

統(tǒng)及調度數(shù)據(jù)網(wǎng)絡的安全，目日勺是抵御黑客、病毒、惡意代碼等

通過多種形式對系統(tǒng)發(fā)起日勺惡意破壞和襲擊，尤其是可以抵御集

團式襲擊，防止由此導致一次系統(tǒng)事故或大面積停電事故及二次

系統(tǒng)的瓦解或癱瘓。

（二）有關日勺安全防護法規(guī)

1.2004年12月20日國家電力監(jiān)管委員會公布［2023］5號

令《電力二次系統(tǒng)安全防護規(guī)定》

2.2023年5月，國家經(jīng)貿(mào)委公布30號令《電網(wǎng)和電廠計

算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護的規(guī)定》

3.2023年12月，全國電力二次系統(tǒng)安全防護專家組和工

作組公布《全國電力二次系統(tǒng)安全防護總體方案》

4.2023年《電力系統(tǒng)安全性評價體系》

5.《中國國電集團企業(yè)廣域網(wǎng)管理措施》

6.《中國國電集團企業(yè)安全管理規(guī)范》

7.《中國國電集團企業(yè)信息化建設和管理技術路線》

8.《中華人民共和國計算機信息系統(tǒng)安全保護條例》

9.《計算機信息系統(tǒng)安全保護等級劃分準則》

（三）電力二次系統(tǒng)安全防護方略

電力二次系統(tǒng)安全防護總體框架規(guī)定電廠二次系統(tǒng)的安全

防護技術方案必須按照國家經(jīng)貿(mào)委［2023］第30號令《電網(wǎng)和電

廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護日勺規(guī)定》和國家電力

監(jiān)管委員會［2023］第5號令《電力二次系統(tǒng)安全防護規(guī)定》進行

設計。同步，要嚴格遵照集團企業(yè)頒布的《中國國電集團企業(yè)信

息化建設和管理技術路線》中對電力二次系統(tǒng)安全防護技術方案

的有關技術規(guī)定。

1.安全防護日勺基本原則

(1)系統(tǒng)性原則(木桶原理)；

(2)簡樸性和可靠性原則；

(3)實時、持續(xù)、安全相統(tǒng)一的原則；

(4)需求、風險、代價相平衡的原則；

(5)實用性與先進性相結合的原則；

(6)以便性與安全性相統(tǒng)一的原則；

(7)全面防護、突出重點日勺原則；

(8)分層分區(qū)、強化邊界的原則；

(9)整體規(guī)劃、分布實行的原則；

(10)責任到人，分級管理，聯(lián)合防護的原則。

2.安全方略

安全方略是安全防護體系日勺關鍵，是安全工程日勺中心。安全

方略可以分為總體方略、面向每個安全目日勺的詳細方略兩個層

次。方略定義了安全風險日勺處理思緒、技術路線以及相配合的管

理措施。安全方略是系統(tǒng)安全技術體系與管理體系日勺根據(jù)。

電力二次系統(tǒng)的安全防護方略為：

(1)安全分區(qū)：根據(jù)系統(tǒng)中各業(yè)務的重要性和對一次系統(tǒng)

時影響程度劃分為四個安全區(qū)：控制區(qū)I、生產(chǎn)區(qū)n、管理區(qū)ni、

信息區(qū)w,所有系統(tǒng)都必須置于對應的安全區(qū)內。

(2)網(wǎng)絡專用：建立專用電力調度數(shù)據(jù)網(wǎng)絡，與電力企業(yè)

數(shù)據(jù)網(wǎng)絡實現(xiàn)物理隔離，在調度數(shù)據(jù)網(wǎng)上形成互相邏輯隔離日勺實

時子網(wǎng)和非實時子網(wǎng)，防止安全區(qū)縱向交叉連接。

(3)橫向隔離：采用不一樣強度日勺安全設備隔離各安全區(qū),

尤其是在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間實行有效安全隔離，

隔離強度應靠近或到達物理隔離。

(4)縱向認證：采用認證、加密、訪問控制等技術實現(xiàn)生

產(chǎn)控制數(shù)據(jù)的遠程安全傳播以及縱向邊界的安全防護。

3.電力二次系統(tǒng)日勺安全區(qū)劃分

根據(jù)電力二次系統(tǒng)日勺特點，各有關業(yè)務系統(tǒng)的重要程度和數(shù)

據(jù)流程、目前狀況知安全規(guī)定，將整個電力二次系統(tǒng)分為四個安

全區(qū)：1實時控制區(qū)、II非控制生產(chǎn)區(qū)、III生產(chǎn)管理區(qū)、IV管理

信息區(qū)。其中，I區(qū)和II區(qū)構成生產(chǎn)控制大區(qū)，in區(qū)和iv區(qū)構

成管理信息大區(qū)。

不一樣的安全區(qū)確定了不一樣的安全防護規(guī)定，從而決定了

不一樣的安全等級和防護水平。其中安全區(qū)I的安全等級最高，

安全區(qū)II次之，其他依次類推。

在各安全區(qū)之間，均需選擇合適日勺經(jīng)國家有關部門認證時隔

離裝置。生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須采用經(jīng)國調中心

承認的電力專用安全隔離裝置。

在安全區(qū)中內部局域網(wǎng)與外部邊界通信網(wǎng)絡之間應采用功

能上相稱于通信網(wǎng)關或強于通信網(wǎng)關的內外網(wǎng)日勺隔離裝置。

4.業(yè)務系統(tǒng)或功能模塊置于安全區(qū)的規(guī)則

根據(jù)該系統(tǒng)的實時性、使用者、功能、場所、在各業(yè)務系統(tǒng)

的互相關系、廣域網(wǎng)通信日勺方式以及受到襲擊之后所產(chǎn)生的影

響，將其分置于四個安全區(qū)之中。

實時控制系統(tǒng)或未來也許有實時控制功能的系統(tǒng)需置于安

全區(qū)I。如：機組監(jiān)控系統(tǒng)，實時性很強。用于在線控制，因此

置于安全區(qū)Io

電力二次系統(tǒng)中不容許把本屬于高安全區(qū)的業(yè)務系統(tǒng)遷移

到低安全區(qū)。容許把屬于低安全區(qū)日勺業(yè)務系統(tǒng)的終端設備放置于

高安全區(qū)，由屬于高安全區(qū)日勺人員使住。

某些業(yè)務系統(tǒng)的次要功能與根據(jù)重要功能所選定日勺安全區(qū)

不一致時，可根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)流程將不一樣日勺功能模塊（或

子系統(tǒng)）分置于各安全區(qū)中，各功能模塊（或子系統(tǒng)）通過安全

區(qū)之間的通信來構成整個業(yè)務系統(tǒng)。

自我封閉日勺業(yè)務系統(tǒng)為孤立業(yè)務系統(tǒng)，其劃分規(guī)則不作規(guī)

定，但需遵守所在安全區(qū)日勺安全防護規(guī)定。

各電力二次系統(tǒng)原則上均應劃分為四安全區(qū)，但并非四安全

區(qū)都必須存在。某安全區(qū)不存在日勺條件是其自身不存在該安全區(qū)

的業(yè)務，且與其他電網(wǎng)二次系統(tǒng)在該層安全區(qū)不存在“縱”向互

聯(lián)。假如省略某安全區(qū)而導致上下級安全區(qū)日勺縱向交叉，則必須

保留安全區(qū)間的隔離設備，以保障安全防護體系日勺完整性。

5.安全區(qū)之間日勺橫向隔離規(guī)定

在各安全區(qū)之間均需選擇合適安全強度的隔離裝置，尤其在

生產(chǎn)控制大區(qū)和管理信息大區(qū)之間要選擇使用到達或靠近物理

強度的專用隔離裝置。詳細隔離裝置日勺選擇不僅需要考慮網(wǎng)絡安

全的規(guī)定，還需要考慮帶寬及實時性的規(guī)定。隔離裝置必須是國

產(chǎn)設備并通過國家或電力系統(tǒng)有關部廠認證。

三、實行方案

（一）系統(tǒng)安全區(qū)規(guī)劃

現(xiàn)場生產(chǎn)控制系統(tǒng)（包括DCS、輔控系統(tǒng)、RTU、省調系統(tǒng)）,

SIS系統(tǒng)，MIS系統(tǒng)。根據(jù)《電力二次安全防護方案第七稿》日勺

規(guī)定，既有的業(yè)務系統(tǒng)中，機組DCS系統(tǒng)、其他輔控系統(tǒng)及RTU

應屬于安全區(qū)I和安全區(qū)H,SIS系統(tǒng)應屬于安全區(qū)HI（備注:

電廠在前期規(guī)劃中將SIS系統(tǒng)嚴格定位至安全區(qū)III,從網(wǎng)絡方

面按照國家對安全區(qū)HI日勺有關規(guī)定進行規(guī)劃實行，并且其系統(tǒng)

功能方面也完全符合安全in區(qū)的定位，即“sis系統(tǒng)實現(xiàn)電力

調度生產(chǎn)的管理功能，但不具有控制功能，不在線運行，可不使

用電力調度數(shù)據(jù)網(wǎng)絡，與調度中心或控制中心工作人員日勺桌面終

端直接有關，與安全區(qū)IV日勺辦公自動化系統(tǒng)關系親密J）,MIS

系統(tǒng)應屬于安全區(qū)IV。

根據(jù)國家二次防護規(guī)定，本廠級實時管理信息系統(tǒng)（SIS）

在實行過程中安全防護規(guī)定及措施如下：

該項目所連接現(xiàn)場控制系統(tǒng)，包括主機分散控制系統(tǒng)（DCS）、

化水程控系統(tǒng)、輸煤程控系統(tǒng)、除灰程控系統(tǒng)和除渣控制系統(tǒng)，

屬于安全區(qū)I,尚有RTU系統(tǒng)和省調系統(tǒng)，屬于安全區(qū)II,都屬

于生產(chǎn)控制大網(wǎng)的范圍。這些系統(tǒng)與SIS系統(tǒng)數(shù)據(jù)傳播按照國家

安全防護規(guī)定必須采用經(jīng)有關部門認定核準的專用安全隔離裝

置。本項目在現(xiàn)場之產(chǎn)控制系統(tǒng)與SIS服務器之間安頓了經(jīng)國家

有關部門認證的電力系統(tǒng)專用網(wǎng)絡隔離裝置正向型（珠海鴻瑞

Hrwall-85M-H）,保證現(xiàn)場數(shù)據(jù)采集完全單向傳播，保證了生產(chǎn)

控制大網(wǎng)的安全性。

本項目還連接了同屬于管理信息大網(wǎng)日勺MIS系統(tǒng)（安全區(qū)

IV）,按照國家安全防護日勺規(guī)定，本系統(tǒng)與MIS系統(tǒng)之間安頓了

防火墻以保證各自系統(tǒng)日勺安全性。

本項目安全防護規(guī)劃示意圖：（見附圖二）

（二）項目實行簡介

在項目的規(guī)劃和實行過程中，我企業(yè)一直遵照國家對電力二

次系統(tǒng)安全防護日勺規(guī)定并明確本項目系統(tǒng)在電廠信息自動化系

統(tǒng)中所處位置，配置五臺得到國家有關部門認證時正向隔離裝置

用于安全區(qū)I/H到安全區(qū)HI之間，保證數(shù)據(jù)單向傳遞，對數(shù)

據(jù)傳遞的穩(wěn)定性、完整性、實時性提供了保證，詳見附圖三。

四、隔離裝置安全性能闡明

（-）正向裝置對通信程序的限制

根據(jù)國調對隔離裝置日勺規(guī)定，其通信功能如下：

1.由內到外的完全單向模式，UDP協(xié)議，外網(wǎng)不能返回任

何數(shù)據(jù)。

2.由內到外日勺單向數(shù)據(jù)模式，TCP協(xié)議，外網(wǎng)可以返回（按

國調規(guī)定）不大于4字節(jié)時應用層應答數(shù)據(jù)（并被限制不可重新

構成大包）。

3.安全、以便的維護管理方式：基于證書的管理人員認證,

圖形化的管理界面。

（-）正向隔離裝置功能

安全隔離裝置（正向）具有如下功能：

1.實現(xiàn)兩個安全區(qū)之間日勺非網(wǎng)絡方式日勺安全的數(shù)據(jù)互換，

并且保證安全隔離裝置內外兩個處理系統(tǒng)不一樣步連通；

2.表達層與應用層數(shù)據(jù)完全單向傳播，即從安全區(qū)ni到

安全區(qū)I/II的TCP應答嚴禁攜帶應用數(shù)據(jù)；

3.透明工作方式：虛擬主機IP地址、隱藏MAC地址；

4.基于MAC、IP、傳播協(xié)議、傳播端口以及通信方向的綜

合報文過濾與訪問控制；

5.支持NAT；

6.防止穿透性TCP聯(lián)接：嚴禁兩個應用網(wǎng)關之間直接建立

TCP聯(lián)接，將內外兩個應用網(wǎng)關之間日勺TCP聯(lián)接分解成內外兩個

應用網(wǎng)關分別到隔離裝置內外兩個網(wǎng)卡的兩個TCP虛擬聯(lián)接。隔

離裝置內外兩個網(wǎng)卡在裝置內部是非網(wǎng)絡連接，且只容許數(shù)據(jù)單

向傳播。

7.具有可定制日勺應用層解析功能，支持應用層特殊標識識

別；

（三）裝置安全保障要點

專用安全隔離裝置自身應當具有較高的安全防護能力，其安

全性規(guī)定重要包括：

1.采用非INTEL指令系統(tǒng)日勺（及兼容）微處理器;

2.安全、固化日勺日勺操作系統(tǒng)；

3.不存在設片與實現(xiàn)上日勺安全漏洞；

4.抵御除DoS以外日勺已知的網(wǎng)絡襲擊。

（四）設計原則

裝置采用網(wǎng)絡隔離設備及防火墻等技術，屬于結合型專用安

全隔離產(chǎn)品，參照原則如下：

1.中華人民共和國國標GB/T18020-1999

2.《信息技術應用級防火墻安全技術規(guī)定》

3.中華人民共和國國標GB/T17900-1999

4.《網(wǎng)絡代理服務器日勺安全技術規(guī)定》

5.中華人民共和國國標GB/T18019-1999

6.《信息技術包過濾防火墻安全技術規(guī)定》

7.中華人民共和國公共安全行業(yè)原則

8.《網(wǎng)絡隔離設備日勺安全技術規(guī)定》

（五）安全方略定位

1.監(jiān)控系統(tǒng)的網(wǎng)絡安全屏障

一種網(wǎng)絡隔離裝置（作為阻塞點、控制點）能極大地提高一

種監(jiān)控系統(tǒng)的安全性，并通過過濾不安全日勺服務而減少風險。由

于只有通過精心選擇日勺應用協(xié)議才能通過網(wǎng)絡隔離裝置，因此網(wǎng)

絡環(huán)境變得更安全。如網(wǎng)絡隔離裝置可以嚴禁諸如眾所周知日勺不

安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的襲擊者就不也許運

用這些脆弱的協(xié)議來襲擊監(jiān)控系統(tǒng)。網(wǎng)絡隔離裝置同步可以保護

網(wǎng)絡免受基于路由的襲擊，如IP選項中的源路由襲擊和ICMP重

定向中的重定向途徑。網(wǎng)絡隔離裝置應當可以拒絕所有以上類型

襲擊的報文并告知網(wǎng)絡隔離裝置管理員。

2.簡化網(wǎng)絡安全方略，無需修改雙端程序

通過以網(wǎng)絡隔離裝置為中心的安全方案配置，能將所有安全

方略配置在網(wǎng)絡隔離裝置上。與將網(wǎng)絡安全問題分散到各個主機

上相比，網(wǎng)絡隔離裝置日勺集中安全管理更以便可靠。例如在網(wǎng)絡

訪問時，監(jiān)控系統(tǒng)通過加密口令/身份認證方式與其他信息系統(tǒng)

通信，在電力監(jiān)控系統(tǒng)基本上不可行，它意味監(jiān)控系統(tǒng)要重新測

試，因此用網(wǎng)絡隔離裝置集中控制，無需修改雙端應用程序是最

佳的選擇。

3.對網(wǎng)絡存取和訪問進行監(jiān)控

假如所有的訪問都通過網(wǎng)絡隔離裝置，那么，網(wǎng)絡隔離裝置

就能記錄下這些訪問并作出日志記錄，同步也能提供網(wǎng)絡使用狀

況的記錄數(shù)據(jù)。當發(fā)生可疑動作時，網(wǎng)絡隔離裝置能進行合適日勺

報警，并提供網(wǎng)絡與否受到監(jiān)測和襲擊的詳細信息。

4.防止監(jiān)控系統(tǒng)信息外泄，不為外部襲擊發(fā)明條件

通過網(wǎng)絡隔離裝置對監(jiān)控系統(tǒng)及其他信息系統(tǒng)日勺劃分，實現(xiàn)

監(jiān)控系統(tǒng)重點網(wǎng)段的隔離，一種監(jiān)控系統(tǒng)中不引人注意日勺細節(jié)也

許包括了有關安全的線索而引起外部襲擊者的愛好，甚至因此而

暴露了監(jiān)控系統(tǒng)的某些安全漏洞。使用網(wǎng)絡隔離裝置就可以隱蔽

那些透漏內部細節(jié)，例如網(wǎng)絡隔離裝置可以進行網(wǎng)絡地址轉換

(NAT),這樣一臺主機I