電力系統(tǒng)二次安防系統(tǒng)實施方案 (二)

電力系統(tǒng)二次安防系統(tǒng)實行方案

電力系統(tǒng)二次安防系統(tǒng)實行方案

本方案根據(jù)國家電力監(jiān)管委員會第5號令《電力二次系統(tǒng)安全防護規(guī)定》和

原國家經(jīng)貿(mào)委笫30號令《電網(wǎng)和電廠計算機監(jiān)挖系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護

日勺規(guī)定》。電力二次系統(tǒng)安全防護日勺總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔

離、縱向認證“。安全防護重要針對網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)日勺電力生產(chǎn)控制系統(tǒng)，

重點強化邊界防護，提高內(nèi)部安全防護能力，保任電力生產(chǎn)控制系統(tǒng)及重要數(shù)

據(jù)的安全。

安全防護方案概述

根據(jù)《電力二次系統(tǒng)安全防護規(guī)定》日勺規(guī)定，電力二次系統(tǒng)安全防護總體方

案的框架構(gòu)造如圖所示3

口［快車下載］電力二次系統(tǒng)安全防護總體方案.jpg:

□

電力二次系統(tǒng)安全防護總體框架構(gòu)造示意圖

安全分區(qū)

安全分區(qū)是電力二次系統(tǒng)安全防護體系的構(gòu)造基礎(chǔ)。發(fā)電企業(yè)、電網(wǎng)企業(yè)和

供電企業(yè)內(nèi)部基于計算機和網(wǎng)絡(luò)技術(shù)日勺應(yīng)用系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)

和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（又稱安全區(qū)I）和非控制區(qū)（又

稱安全區(qū)H）。

生產(chǎn)控制大區(qū)的安全區(qū)劃分：

（1）控制區(qū)（安全區(qū)I）:

控制區(qū)中日勺業(yè)務(wù)系統(tǒng)或其功能模塊（或子系統(tǒng)）的經(jīng)典特性為：是電力生產(chǎn)

的重要環(huán)節(jié)，直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)

絡(luò)或?qū)Ｓ猛ǖ?，是安全防護的重點與關(guān)鍵。

控制區(qū)的經(jīng)典業(yè)務(wù)系統(tǒng)包括電力數(shù)據(jù)采集和監(jiān)控系統(tǒng)、能量管理系統(tǒng)、廣域

相量測量系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)等，

其重要使用者為調(diào)度員和運行操作人員，數(shù)據(jù)傳播實時性為毫秒級或秒級，其

數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)Ｓ猛ǖ肋M行傳播。該區(qū)內(nèi)還包括采

用專用通道的控制系統(tǒng)，如：繼電保護、安全自動控制系統(tǒng)、低頻（或低壓）自

動減負荷系統(tǒng)、負荷管理系統(tǒng)等，此類系統(tǒng)對數(shù)據(jù)傳播的實時性規(guī)定為毫秒級或

秒級，其中負荷管理系統(tǒng)為分鐘級。

（2）非控制區(qū)（安全區(qū)II）：

非控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊的經(jīng)典特性為：是電力生產(chǎn)的必要環(huán)節(jié),

在線運行但不具有控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中日勺業(yè)務(wù)系統(tǒng)

或其功能模塊聯(lián)絡(luò)緊密。

非控制區(qū)的經(jīng)典業(yè)務(wù)系統(tǒng)包括調(diào)度員培訓模擬系統(tǒng)、水庫調(diào)度自動化系統(tǒng)、

繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、電力市場運行系統(tǒng)等，

其重要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護人員及電力市場交易員

等。在廠站端還包括電能量遠方終端、故障錄波裝置及發(fā)電廠的報價系統(tǒng)等。非

控制區(qū)的數(shù)據(jù)采集頻度是分鐘級或小時級，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的

非實時子網(wǎng)。

管理信息大區(qū)的安全區(qū)劃分：

管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合。電力

企業(yè)可根據(jù)詳細狀況劃分安全區(qū)，但不應(yīng)影響生產(chǎn)控制大區(qū)的安全。

業(yè)務(wù)系統(tǒng)分置于安全區(qū)的原則：

根據(jù)業(yè)務(wù)系統(tǒng)或其功能模塊的實時性、使用者、重要功能、設(shè)備使用場所、

各業(yè)務(wù)系統(tǒng)間日勺互相關(guān)系、廣域網(wǎng)通信方式以及對電力系統(tǒng)的影響程度等，一般

是按如下規(guī)則將業(yè)務(wù)系統(tǒng)或其功能模塊置于對應(yīng)的安全區(qū)：

（1）實時控制系統(tǒng)、有實時控制功能的業(yè)務(wù)模塊以及未來有實時控制功能

的業(yè)務(wù)系統(tǒng)應(yīng)置于控制區(qū)。

（2）應(yīng)當盡量將業(yè)務(wù)系統(tǒng)完整置于一種安全區(qū)內(nèi)。當業(yè)務(wù)系統(tǒng)的某些功能

模塊與此業(yè)務(wù)系統(tǒng)不屬于同一種安全分區(qū)內(nèi)時，可將其功能模塊分置于對應(yīng)的

安全區(qū)中，通過安全區(qū)之間的安全隔離設(shè)施進行通信。

（3）不容許把應(yīng)當屬于高安全等級區(qū)域的業(yè)務(wù)系統(tǒng)或其功能模塊遷移到低

安全等級區(qū)域；但容許把屬于低安全等級區(qū)域日勺業(yè)務(wù)系統(tǒng)或其功能模塊放置于高

安全等級區(qū)域。

（4）對不存在外部網(wǎng)絡(luò)聯(lián)絡(luò)的孤立業(yè)務(wù)系統(tǒng)，其安全分區(qū)無特殊規(guī)定，但

需遵守所在安全區(qū)日勺防護規(guī)定。

（5）對小型縣調(diào)、配調(diào)、小型電廠和變電站啊二次系統(tǒng)可以根據(jù)詳細狀況不

設(shè)非控制區(qū)，重點防護控制區(qū)。

生產(chǎn)控制大區(qū)內(nèi)部安全防護規(guī)定：

（1）嚴禁生產(chǎn)控制大區(qū)內(nèi)部的E-Mail服務(wù)，嚴禁控制區(qū)內(nèi)通用的WEB服

務(wù)。

（2）容許非控制區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)采用B/S構(gòu)造，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使

用。容許提供縱向安全WEB服務(wù)，可以采用通過安全加固且支持HTTPS日勺安全

WEB服務(wù)器和WEB瀏覽工作站。

（3）生產(chǎn)控制大區(qū)重要業(yè)務(wù)（如SCADA/AGC,電力市場交易等）日勺遠程通信

必須采用加密認證機制，對已經(jīng)有系統(tǒng)應(yīng)逐漸改造。

（4）生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)當采用VLAN和訪問控制等安全措施,

限制系統(tǒng)間的直接互通。

（5）生產(chǎn)控制大區(qū)日勺撥號訪問服務(wù)，服務(wù)器和顧客端均應(yīng)使用經(jīng)國家指定

部門認證的安全加固的操作系統(tǒng)，并采用加密、認證和訪問控制等安全防護措

施。

（6）生產(chǎn)控制大區(qū)邊界上可以布署入侵檢測系統(tǒng)IDS。

（7）生產(chǎn)控制大區(qū)應(yīng)布署安全審計措施，把安全審計與安全區(qū)網(wǎng)絡(luò)管理系

統(tǒng)、綜合告警系統(tǒng)、IDS管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認證和授權(quán)、應(yīng)用訪問

權(quán)限相結(jié)合。

（8）生產(chǎn)控制大區(qū)應(yīng)當統(tǒng)一布署惡意代碼防護系統(tǒng)，采用防備惡意代碼措

施。病毒庫、木馬庫以及IDS規(guī)則庫的更新應(yīng)當離線進行。

管理信息大區(qū)安全規(guī)定：

應(yīng)當統(tǒng)一布署防火墻、IDS、惡意代碼防護系統(tǒng)等通用安全防護設(shè)施。

安全區(qū)拓撲構(gòu)造

電力二次系統(tǒng)安全區(qū)連接的拓撲構(gòu)造有鏈式、三角和星形構(gòu)造三種。

鏈式構(gòu)造中日勺控制區(qū)具有較高的累積安全強度，但總體層次較多；

三角構(gòu)造各區(qū)可直接相連，效率較高，但所生隔離設(shè)備較多；

星形構(gòu)造所用設(shè)備較少、易于實行，但中心點故障影響范圍大。

三種模式均能滿足電力二次系統(tǒng)安全防護體系日勺規(guī)定，可根據(jù)詳細狀況選

用，見圖

口［快車下載］電力二次系統(tǒng)安全區(qū)連接拓撲構(gòu)造.jpg：

□

電力二次系統(tǒng)安全區(qū)連接拓撲構(gòu)造

網(wǎng)絡(luò)專用

電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，承載電力實時控

制、在線生產(chǎn)交易等業(yè)務(wù)。安全區(qū)的外部邊界網(wǎng)絡(luò)之間的安全防護隔離強度應(yīng)當

和所連接日勺安全區(qū)之間的安全防護隔離強度相匹配。

電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于SD

H/PDH不一樣通道、不一樣光波長、不一樣纖芯等方式，在物理層面上實現(xiàn)與電

力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制

區(qū)和非控制區(qū)。可采用MPLS-VPN技術(shù)、安全隧道技術(shù)、PVC技術(shù)、靜態(tài)路由等

構(gòu)造子網(wǎng)。

電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當采用如下安全防護措施：

（1）網(wǎng)絡(luò)路由防護

按照電力調(diào)度管理體系及數(shù)據(jù)網(wǎng)絡(luò)技術(shù)規(guī)范，采用虛擬專網(wǎng)技術(shù)，將電力

調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對獨立的實時子網(wǎng)和非實時子網(wǎng)，分別對應(yīng)控制業(yè)

務(wù)和非控制生產(chǎn)業(yè)務(wù)，保證明時業(yè)務(wù)的封閉性和高等級日勺網(wǎng)絡(luò)服務(wù)質(zhì)量。

（2）網(wǎng)絡(luò)邊界防護

應(yīng)當采用嚴格日勺接入控制措施，保證業(yè)務(wù)系統(tǒng)接入的可信性。通過授權(quán)的節(jié)

點容許接入電力調(diào)度數(shù)據(jù)網(wǎng)，進行廣域網(wǎng)通信。數(shù)據(jù)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)邊界采用必

要的訪問控制措施，溝通信方式與通信業(yè)務(wù)類型進行控制；在生產(chǎn)控制大區(qū)與電

力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應(yīng)當采用對應(yīng)日勺安全隔離、加密、認證等防護措施。

對于實時控制等重要業(yè)務(wù)，應(yīng)當通過縱向加密認證裝置或加密認證網(wǎng)關(guān)接入調(diào)

度數(shù)據(jù)網(wǎng)。

（3）網(wǎng)絡(luò)設(shè)備日勺安全配置

網(wǎng)絡(luò)設(shè)備日勺安全配置包括關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、防止使用默認路由、關(guān)閉網(wǎng)

絡(luò)邊界OSPF路由功能、采用安全增強的SNMPv2及以上版本日勺網(wǎng)管協(xié)議、設(shè)置

受信任日勺網(wǎng)絡(luò)地址范圍、記錄設(shè)備日志、設(shè)置高強度日勺密碼、啟動訪問控制列表、

封閉空閑的網(wǎng)絡(luò)端口等。

（4）數(shù)據(jù)網(wǎng)絡(luò)安全日勺分層分區(qū)設(shè)置

電力調(diào)度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設(shè)置日勺原則。省級以上調(diào)度中心和網(wǎng)調(diào)以

上直調(diào)廠站節(jié)點構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)（簡稱骨二網(wǎng)）。省調(diào)、地調(diào)和縣調(diào)及省、

地直調(diào)廠站節(jié)點構(gòu)成省級調(diào)度數(shù)據(jù)網(wǎng)（簡稱省網(wǎng)）。

縣調(diào)和配網(wǎng)內(nèi)部生產(chǎn)控制大區(qū)專用節(jié)點構(gòu)成縣級專用數(shù)據(jù)網(wǎng)?？h調(diào)自動化、

配網(wǎng)自動化、負荷管理系統(tǒng)與被控對象之間的數(shù)據(jù)通信可采用專用數(shù)據(jù)網(wǎng)絡(luò)，

不具有專網(wǎng)條件時也可采用公用通信網(wǎng)絡(luò)（不包括因特網(wǎng)），且必須采用安全防

護措施。

各層面的數(shù)據(jù)網(wǎng)絡(luò)之間應(yīng)當通過路由限制措施進行安全隔離。當縣調(diào)或配調(diào)

內(nèi)部采用公用通信網(wǎng)時，嚴禁與調(diào)度數(shù)據(jù)網(wǎng)互聯(lián)。保證網(wǎng)絡(luò)故障和安全事件限制

在局部區(qū)域之內(nèi)。

企業(yè)內(nèi)部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng)，電力企業(yè)數(shù)

據(jù)網(wǎng)為電力企業(yè)內(nèi)聯(lián)網(wǎng)。

橫向隔離

橫向隔離是電力二次安全防護體系日勺橫向防淺。采用不一樣強度的安全設(shè)備

隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門

檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應(yīng)靠近或到達物理隔離。

電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的義備

邊界防護措施，是橫向防護的關(guān)鍵設(shè)備。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當采

用品有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相稱功能日勺設(shè)施，實現(xiàn)邏輯隔離。

按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正

向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳

播。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳播，是管

理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳播途徑。反向安全隔離裝置集中接受管

理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢查等

處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部日勺接受程序。專用橫向單向隔離裝置應(yīng)當滿足

實時性、可靠性和傳播流量等方面日勺規(guī)定。

一般嚴格嚴禁E-Mail、WEB、Telnet.Rlogin.FTP等安全風險高的通用網(wǎng)

絡(luò)服務(wù)和以B/S或C/S方式日勺數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置，僅

容許純數(shù)據(jù)的單向安全傳播。

控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火曙、具有訪問控制功能的設(shè)備或

相稱功能的設(shè)施進行邏輯隔離。

縱向認證

縱向加密認證是電力二次系統(tǒng)安全防護體系的縱向防線。采用認證、加密、

訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)日勺遠方安全傳播以及縱向邊界的安全防護。對于重

點防護的調(diào)度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)日勺縱向連接處應(yīng)當

設(shè)置通過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)

關(guān)及對應(yīng)設(shè)施，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和方問控制。

縱向加密認證裝置及加密認證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)