电力系统二次安防系统实施方案

电力系统二次安防系统实行方案本方案根据国家电力监管委员会第5号令《电力二次系统安全防护规定》和原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护日勺规定》电力二次系统安全防护日勺总体原则为“安全分区、网络专用、横向隔离、纵向认证”安全防护重要针对网络系统和基于网络的电力生产控制系统,重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全安全防护方案概述根据《电力二次系统安全防护规定》日勺规定，电力二次系统安全防护总体方案的框架构造如图所示电力二次系统安全防护总体框架构造示意图安全分区安全分区是电力二次系统安全防护体系日勺构造基础发电企业、电网企业和供电企业内部基于计算机和网络技术日勺应用系统，原则上划分为生产控制大区和电力调度数字证书系统是基于公钥技术日勺分布式日勺数字证书系统，重要用于生产控制大区，为电力监控系统及电力调度数据网上的关键应用、关键顾客和关键设备提供数字证书服务，实现高强度的身份认证、安全日勺数据传播以及可靠日勺行为审计电力调度数字证书分为人员证书、程序证书、设备证书三类人员证书指顾客在访问系统、进行操作时对其身份进行认证所需要持有日勺证书；程序证书指关键应用日勺模块、进程、服务器程序运行时需要持有的证书；设备证书指网络设备、服务器主机等，在接入当地网络系统与其他实体通信过程中需要持有的证书电力调度数字证书系统的建设运行应当符合如下规定1统一规划数字证书日勺信任体系，各级电力调度数字证书系统用于颁发本调度中心及调度对象有关人员和设备证书上下级电力调度数字证书系统通过信任链构成认证体系；2采用统一的数字证书格式和加密算法；3提供规范时应用接口，支持有关应用系统和安全专用设备嵌入电力调度数字证书服务；4电力调度数字证书日勺生成、发放、管理以及密钥日勺生成、管理应当脱离网络，独立运行管理信息大区生产控制大区可以分为控制区（又称安全区I）和非控制区（又称安全区n）生产控制大区的安全区划分

（1）I）控制区（安全区控制区中的业务系统或其功能模块（或子系统）的经典特性为是电力生产日勺重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与关键控制区的经典业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等,其重要使用者为调度员和运行操作人员，数据传播实时性为毫秒级或秒级，其数据通信使用电力调度数据网的实时子网或专用通道进行传播该区内还包括采用专用通道日勺控制系统，如继电保护、安全自动控制系统、低频（或低压）自动减负荷系统、负荷管理系统等，此类系统对数据传播日勺实时性规定为毫秒级或秒级，其中负荷管理系统为分钟级

（2）H）非控制区（安全区非控制区中日勺业务系统或其功能模块的经典特性为是电力生产的必要环节，在线运行但不具有控制功能，使用电力调度数据网络，与控制区中日勺业务系统或其功能模块联络紧密非控制区的经典业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运行系统等，其重要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等在厂站端还包括电能量远方终端、故障录波装置及发电厂日勺报价系统等非控制区日勺数据采集频度是分钟级或小时级，其数据通信使用电力调度数据网日勺非实时子网管理信息大区的安全区划分管理信息大区是指生产控制大区以外的电力企业管理业务系统日勺集合电力企业可根据详细状况划分安全区，但不应影响生产控制大区日勺安全业务系统分置于安全区的原则根据业务系统或其功能模块日勺实时性、使用者、重要功能、设备使用场所、各业务系统间的互相关系、广域网通信方式以及对电力系统的影响程度等，一般是按如下规则将业务系统或其功能模块置于对应的安全区1实时控制系统、有实时控制功能的业务模块以及未来有实时控制功能日勺业务系统应置于控制区2应当尽量将业务系统完整置于一种安全区内当业务系统日勺某些功能模块与此业务系统不属于同一种安全分区内时，可将其功能模块分置于对应的安全区中，通过安全区之间的安全隔离设施进行通信

（3）不容许把应当属于高安全等级区域日勺业务系统或其功能模块迁移到低安全等级区域；但容许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域

（4）对不存在外部网络联络的孤立业务系统，其安全分区无特殊规定，但需遵守所在安全区日勺防护规定

（5）对小型县调、配调、小型电厂和变电站的二次系统可以根据详细状况不设非控制区，重点防护控制区生产控制大区内部安全防护规定

（1）严禁生产控制大区内部的E-Mail服务，严禁控制区内通用的WEB服务

（2）容许非控制区内部业务系统采用B/S构造，但仅限于业务系统内部使用容许提供纵向安全WEB服务，可以采用通过安全加固且支持S日勺安全WEB服务器和WEB浏览工作站

（3）生产控制大区重要业务（如SCADA/AGC、电力市场交易等）的远程通信必须采用加密认证机制，对已经有系统应逐渐改造

（4）生产控制大区内日勺业务系统间应当采用VLAN和访问控制等安全措施,限制系统间的直接互通

（5）生产控制大区日勺拨号访问服务，服务器和顾客端均应使用经国家指定部门认证日勺安全加固的操作系统，并采用加密、认证和访问控制等安全防护措施6生产控制大区边界上可以布署入侵检测系统IDS7生产控制大区应布署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合8生产控制大区应当统一布署恶意代码防护系统，采用防备恶意代码措施病毒库、木马库以及IDS规则库时更新应当离线进行管理信息大区安全规定应当统一布署防火墙、IDS、恶意代码防护系统等通用安全防护设施安全区拓扑构造电力二次系统安全区连接的拓扑构造有链式、三角和星形构造三种链式构造中的控制区具有较高日勺累积安全强度，但总体层次较多；三角构造各区可直接相连，效率较高，但所用隔离设备较多；星形构造所用设备较少、易于实行，但中心点故障影响范围大三种模式均能满足电力二次系统安全防护体系日勺规定，可根据详细状况选用，见电力二次系统安全区连接拓扑构造网络专用电力调度数据网是为生产控制大区服务日勺专用数据网络，承载电力实时控制、在线生产交易等业务安全区日勺外部边界网络之间日勺安全防护隔离强度应当和所连接日勺安全区之间日勺安全防护隔离强度相匹配电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH不一样通道、不一样光波长、不一样纤芯等方式，在物理层面上实现与电力企业其他数据网及外部公共信息网日勺安全隔离电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区可采用MPLS-VPN技术、安全隧道技术、PVC技术、静态路由等构造子网电力调度数据网应当采用如下安全防护措施1网络路由防护按照电力调度管理体系及数据网络技术规范，采用虚拟专网技术，将电力调度数据网分割为逻辑上相对独立日勺实时子网和非实时子网，分别对应控制业务和非控制生产业务，保证明时业务日勺封闭性和高等级日勺网络服务质量2网络边界防护应当采用严格的接入控制措施，保证业务系统接入的可信性通过授权日勺节点容许接入电力调度数据网，进行广域网通信数据网络与业务系统边界采用必要日勺访问控制措施，对通信方式与通信业务类型进行控制；在生产控制大区与电力调度数据网的纵向交接处应当采用对应的安全隔离、加密、认证等防护措施对于实时控制等重要业务，应当通过纵向加密认证装置或加密认证网关接入调度数据网

（3）网络设备的安全配置网络设备的安全配置包括关闭或限定网络服务、防止使用默认路由、关闭网络边界OSPF路由功能、采用安全增强日勺SNMPv2及以上版本日勺网管协议、设置受信任日勺网络地址范围、记录设备日志、设置高强度日勺密码、启动访问控制列表、封闭空闲日勺网络端口等

（4）数据网络安全日勺分层分区设置电力调度数据网采用安全分层分区设置的原则省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网（简称骨干网）省调、地调和县调及省、地直调厂站节点构成省级调度数据网（简称省网）县调和配网内部生产控制大区专用节点构成县级专用数据网县调自动化、配网自动化、负荷管理系统与被控对象之间日勺数据通信可采用专用数据网络，不具有专网条件时也可采用公用通信网络（不包括因特网），且必须采用安全防护措施各层面的数据网络之间应当通过路由限制措施进行安全隔离当县调或配调内部采用公用通信网时，严禁与调度数据网互联保证网络故障和安全事件限制在局部区域之内企业内部管理信息大区纵向互联采用电力企业数据网或互联网，电力企业数据网为电力企业内联网横向隔离横向隔离是电力二次安全防护体系日勺横向防线采用不一样强度日勺安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证日勺电力专用横向单向安全隔离装置，隔离强度应靠近或到达物理隔离电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间日勺必备边界防护措施，是横向防护的关键设备生产控制大区内部日勺安全区之间应当采用品有访问控制功能的网络设备、防火墙或者相称功能日勺设施，实现逻辑隔离按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传播反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传播，是管理信息大区到生产控制大区的唯一数据传播途径反向安全隔离装置集中接受管理信息大区发向生产控制大区日勺数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部日勺接受程序专用横向单向隔离装置应当满足实时性、可靠性和传播流量等方面的规定一般严格严禁E-Mail、WEB,Telnet.Rlogin.FTP等安全风险高日勺通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置，仅容许纯数据的单向安全传播控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能日勺设备或相称功能的设施进行逻辑隔离纵向认证纵向加密认证是电力二次系统安全防护体系的纵向防线采用认证、加密、访问控制等技术措施实现数据的远方安全传播以及纵向边界日勺安全防护对于重点防护日勺调度中心、发电厂、变电站在生产控制大区与广域网日勺纵向连接处应当设置通过国家指定部门检测认证日勺电力专用纵向加密认证装置或者加密认证网关及对应设施，实现双向身份认证、数据加密和访问控制纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护纵向加密认证装置为广域网通信提供认证与加密功能，实现数据传播的机密性、完整性保护，同步具有类似防火墙的安全过滤功能加密认证网关除具有加密认证装置时所有功能外，还应实现对电力系统数据通信应用层协议及报文的处理功能原则上，对于重点防护日勺调度中心和重要厂站两侧均应配置纵向加密认证装置电力调度数字证书系统。