电力系统二次安防系统实施方案

电力系统二次安防系统实施方案本方案依据国家电力监管委员会第号令《电力二次系统安全防护规定》5和原国家经贸委第号令《电网和电厂计算机监控系统及调度数据网络安全防护得规定》30电力二次系统安全防护得总体原则为“安全分区、网络专用、横向隔离、纵向认证”安全防护主要针对网络系统和基于网络得电力生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据得安全安全防护方案概述根据《电力二次系统安全防护规定》得要求，电力二次系统安全防护总体方案得框架结构如图所示电力二次系统安全防护总体框架结构示意图安全分区安全分区就就是电力二次系统安全防护体系得结构基础发电企业、电网企业和供电企业内部基于计算机和网络技术得应用系统，原则上划分为生产控制大⑵采用统一得数字证书格式和加密算法;提供规范得应用接口，支持相关应用系统和安全专用设备嵌入电力调度数字证书3服务；电力调度数字证书得生成、发放、管理以及密钥得生成、管理应当脱离网络，独4立运行区和管理信息大区生产控制大区可以分为控制区（又称安全区）和非控制区（又称安全I区）n o生产控制大区得安全区划分（）控制区（安全区）1I:控制区中得业务系统或其功能模块（或子系统）得典型特征为:就就是电力生产得重要环节，直接实现对电力一次系统得实时监控，纵向使用电力调度数据网络或专用通道，就就是安全防护得重点与核心控制区得典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据传输实时性为毫秒级或秒级，其数据通信使用电力调度数据网得实时子网或专用通道进行传输该区内还包括采用专用通道得控制系统，如继电保护、安全自动控制系统、低频（或低压）自动减负荷系统、负荷管理系统等，这类系统对数据传输得实时性要求为毫秒级或秒级，其中负荷管理系统为分钟级（）非控制区（安全区）2n非控制区中得业务系统或其功能模块得典型特征为:就就是电力生产得必要环节,在线运行但不具备控制功能，使用电力调度数据网络,与控制区中得业务系统或其功能模块联系紧密非控制区得典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等，其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等在厂站端还包括电能量远方终端、故障录波装置及发电厂得报价系统等非控制区得数据采集频度就就是分钟级或小时级，其数据通信使用电力调度数据网得非实时子网管理信息大区得安全区划分管理信息大区就就是指生产控制大区以外得电力企业管理业务系统得集合电力企业可根据具体情况划分安全区,但不应影响生产控制大区得安全业务系统分置于安全区得原则根据业务系统或其功能模块得实时性、使用者、主要功能、设备使用场所、各业务系统间得相互关系、广域网通信方式以及对电力系统得影响程度等，通常就就是按以下规则将业务系统或其功能模块置于相应得安全区实时控制系统、有实时控制功能得业务模块以及未来有实时控制功能得业务系统应1置于控制区应当尽可能将业务系统完整置于一个安全区内当业务系统得某些功能模块与此业2务系统不属于同一个安全分区内叱可将其功能模块分置于相应得安全区中，经过安全区之间得安全隔离设施进行通信⑶不允许把应当属于高安全等级区域得业务系统或其功能模块迁移到低安全等级区域;但允许把属于低安全等级区域得业务系统或其功能模块放置于高安全等级区域对不存在外部网络联系得孤立业务系统，其安全分区无特殊要求,但需遵守所在安4全区得防护要求对小型县调、配调、小型电厂和变电站得二次系统可以根据具体情况不设非控制区，5重点防护控制区生产控制大区内部安全防护要求禁止生产控制大区内部得服务,禁止控制区内通用得服务1E—Mai1WE B允许非控制区内部业务系统采用结构，但仅限于业务系统内部使用允许提2B/S供纵向安全服务，可以采用经过安全加固且支持得安全服务器和浏览WEB SWEB WEB工作站生产控制大区重要业务如、电力市场交易等得远程通信必须采用3SCADA/AGC加密认证机制，对已有系统应逐步改造生产控制大区内得业务系统间应该采取和访问控制等安全措施,限制系统间4VLAN得直接互通生产控制大区得拨号访问服务，服务器和用户端均应使用经国家指定部门认证得5安全加固得操作系统,并采取加密、认证和访问控制等安全防护措施生产控制大区边界上可以部署入侵检测系统6IDS⑺生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合IDS生产控制大区应该统一部署恶意代码防护系统，采取防范恶意代码措施8病毒库、木马库以及规则库得更新应该离线进行IDS管理信息大区安全要求应当统一部署防火墙、、恶意代码防护系统等通用安全防护设施IDS安全区拓扑结构电力二次系统安全区连接得拓扑结构有链式、三角和星形结构三种链式结构中得控制区具有较高得累积安全强度，但总体层次较多；三角结构各区可直接相连，效率较高，但所用隔离设备较多；星形结构所用设备较少、易于实施,但中心点故障影响范围大三种模式均能满足电力二次系统安全防护体系得要求,可根据具体情况选用，见图电力二次系统安全区连接拓扑结构网络专用电力调度数据网就就是为生产控制大区服务得专用数据网络，承载电力实时控制、在线生产交易等业务安全区得外部边界网络之间得安全防护隔离强度应该和所连接得安全区之间得安全防护隔离强度相匹配O电力调度数据网应当在专用通道上使用独立得网络设备组网，采用基于不S DH/PDH同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其她数据网及外部公共信息网得安全隔离电力调度数据网划分为逻辑隔离得实时子网和非实时子网，分别连接控制区和非控制区可采用技术、安全隧道技术、技术、静态路由等构造子网MPLS-VPN PVC电力调度数据网应当采用以下安全防护措施网络路由防护1按照电力调度管理体系及数据网络技术规范,采用虚拟专网技术，将电力调度数据网分割为逻辑上相对独立得实时子网和非实时子网,分别对应控制业务和非控制生产业务，保证实时业务得封闭性和高等级得网络服务质量⑵网络边界防护应当采用严格得接入控制措施，保证业务系统接入得可信性经过授权得节点允许接入电力调度数据网，进行广域网通信数据网络与业务系统边界采用必要得访问控制措施，对通信方式与通信业务类型进行控制;在生产控制大区与电力调度数据网得纵向交接处应当采取相应得安全隔离、加密、认证等防护措施对于实时控制等重要业务，应该通过纵向加密认证装置或加密认证网关接入调度数据网网络设备得安全配置3网络设备得安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界路由功能、采用安全增强得及以上版本得网管协议、设置受信任得网络地OSPF SNMPv2址范围、记录设备日志、设置高强度得密码、开启访问控制列表、封闭空闲得网络端口等（）数据网络安全得分层分区设置4电力调度数据网采用安全分层分区设置得原则省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网（简称骨干网）省调、地调和县调及省、地直调厂站节点构成省级调度数据网（简称省网）县调和配网内部生产控制大区专用节点构成县级专用数据网县调自动化、配网自动化、负荷管理系统与被控对象之间得数据通信可采用专用数据网络，不具备专网条件得也可采用公用通信网络（不包括因特网），且必须采取安全防护措施各层面得数据网络之间应该通过路由限制措施进行安全隔离当县调或配调内部采用公用通信网时，禁止与调度数据网互联保证网络故障和安全事件限制在局部区域之内企业内部管理信息大区纵向互联采用电力企业数据网或互联网，电力企业数据网为电力企业内联网横向隔离横向隔离就就是电力二次安全防护体系得横向防线采用不同强度得安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证得电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间得必备边界防护措施，就就是横向防护得关键设备生产控制大区内部得安全区之间应当采用具有访问控制功能得网络设备、防火墙或者相当功能得设施，实现逻辑隔离按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型正向安全隔离装置用于生产控制大区到管理信息大区得非网络方式得单向数据传输反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，就就是管理信息大区到生产控制大区得唯一数据传输途径反向安全隔离装置集中接收管理信息大区发向生产控制大区得数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部得接收程序专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面得要求通常严格禁止、、、、等安全风险高得通用网络服务E-Mail WEBTelnet Rlogin FTP和以或方式得数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据得单向B/S C/S安全传输控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能得设备或相当功能得设施进行逻辑隔离纵向认证纵向加密认证就就是电力二次系统安全防护体系得纵向防线采用认证、加密、访问控制等技术措施实现数据得远方安全传输以及纵向边界得安全防护对于重点防护得调度中心、发电厂、变电站在生产控制大区与广域网得纵向连接处应当设置经过国家指定部门检测认证得电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制O纵向加密认证装置及加密认证网关用于生产控制大区得广域网边界防护纵向加密认证装置为广域网通信提供认证与加密功能，实现数据传输得机密性、完整性保护，同时具有类似防火墙得安全过滤功能加密认证网关除具有加密认证装置得全部功能外，还应实现对电力系统数据通信应用层协议及报文得处理功能原则上，对于重点防护得调度中心和重要厂站两侧均应配置纵向加密认证装置电力调度数字证书系统电力调度数字证书系统就就是基于公钥技术得分布式得数字证书系统，主要用于生产控制大区，为电力监控系统及电力调度数据网上得关键应用、关键用户和关键设备提供数字证书服务，实现高强度得身份认证、安全得数据传输以及可靠得行为审计电力调度数字证书分为人员证书、程序证书、设备证书三类人员证书指用户在访问系统、进行操作时对其身份进行认证所需要持有得证书;程序证书指关键应用得模块、进程、服务器程序运行时需要持有得证书；设备证书指网络设备、服务器主机等，在接入本地网络系统与其她实体通信过程中需要持有得证书电力调度数字证书系统得建设运行应当符合如下要求统一规划数字证书得信任体系，各级电力调度数字证书系统用于颁发本调度中心1及调度对象相关人员和设备证书上下级电力调度数字证书系统通过信任链构成认证体系;。