電力系統二次安防系統實行方案

電力系統二次安防系統實行方案

本方案根據國家電力監管委員會第5號令《電力二次系統安全防護規定》和

原國家經貿委笫30號令《電網和電廠計算機監挖系統及調度數據網絡安全防護

日勺規定》。電力二次系統安全防護日勺總體原則為“安全分區、網絡專用、橫向隔

離、縱向認證“。安全防護重要針對網絡系統和基于網絡日勺電力生產控制系統，

重點強化邊界防護，提高內部安全防護能力，保任電力生產控制系統及重要數

據的安全。

安全防護方案概述

根據《電力二次系統安全防護規定》日勺規定，電力二次系統安全防護總體方

案的框架構造如圖所示3

口［快車下載］電力二次系統安全防護總體方案.jpg:

□

電力二次系統安全防護總體框架構造示意圖

安全分區

安全分區是電力二次系統安全防護體系的構造基礎。發電企業、電網企業和

供電企業內部基于計算機和網絡技術日勺應用系統，原則上劃分為生產控制大區

和管理信息大區。生產控制大區可以分為控制區（又稱安全區I）和非控制區（又

稱安全區H）。

生產控制大區的安全區劃分：

（1）控制區（安全區I）:

控制區中日勺業務系統或其功能模塊（或子系統）的經典特性為：是電力生產

的重要環節，直接實現對電力一次系統的實時監控，縱向使用電力調度數據網

絡或專用通道，是安全防護的重點與關鍵。

控制區的經典業務系統包括電力數據采集和監控系統、能量管理系統、廣域

相量測量系統、配電網自動化系統、變電站自動化系統、發電廠自動監控系統等，

其重要使用者為調度員和運行操作人員，數據傳播實時性為毫秒級或秒級，其

數據通信使用電力調度數據網的實時子網或專用通道進行傳播。該區內還包括采

用專用通道的控制系統，如：繼電保護、安全自動控制系統、低頻（或低壓）自

動減負荷系統、負荷管理系統等，此類系統對數據傳播的實時性規定為毫秒級或

秒級，其中負荷管理系統為分鐘級。

（2）非控制區（安全區II）：

非控制區中的業務系統或其功能模塊的經典特性為：是電力生產的必要環節,

在線運行但不具有控制功能，使用電力調度數據網絡，與控制區中日勺業務系統

或其功能模塊聯絡緊密。

非控制區的經典業務系統包括調度員培訓模擬系統、水庫調度自動化系統、

繼電保護及故障錄波信息管理系統、電能量計量系統、電力市場運行系統等，

其重要使用者分別為電力調度員、水電調度員、繼電保護人員及電力市場交易員

等。在廠站端還包括電能量遠方終端、故障錄波裝置及發電廠的報價系統等。非

控制區的數據采集頻度是分鐘級或小時級，其數據通信使用電力調度數據網的

非實時子網。

管理信息大區的安全區劃分：

管理信息大區是指生產控制大區以外的電力企業管理業務系統的集合。電力

企業可根據詳細狀況劃分安全區，但不應影響生產控制大區的安全。

業務系統分置于安全區的原則：

根據業務系統或其功能模塊的實時性、使用者、重要功能、設備使用場所、

各業務系統間日勺互相關系、廣域網通信方式以及對電力系統的影響程度等，一般

是按如下規則將業務系統或其功能模塊置于對應的安全區：

（1）實時控制系統、有實時控制功能的業務模塊以及未來有實時控制功能

的業務系統應置于控制區。

（2）應當盡量將業務系統完整置于一種安全區內。當業務系統的某些功能

模塊與此業務系統不屬于同一種安全分區內時，可將其功能模塊分置于對應的

安全區中，通過安全區之間的安全隔離設施進行通信。

（3）不容許把應當屬于高安全等級區域的業務系統或其功能模塊遷移到低

安全等級區域；但容許把屬于低安全等級區域日勺業務系統或其功能模塊放置于高

安全等級區域。

（4）對不存在外部網絡聯絡的孤立業務系統，其安全分區無特殊規定，但

需遵守所在安全區日勺防護規定。

（5）對小型縣調、配調、小型電廠和變電站啊二次系統可以根據詳細狀況不

設非控制區，重點防護控制區。

生產控制大區內部安全防護規定：

（1）嚴禁生產控制大區內部的E-Mail服務，嚴禁控制區內通用的WEB服

務。

（2）容許非控制區內部業務系統采用B/S構造，但僅限于業務系統內部使

用。容許提供縱向安全WEB服務，可以采用通過安全加固且支持HTTPS日勺安全

WEB服務器和WEB瀏覽工作站。

（3）生產控制大區重要業務（如SCADA/AGC,電力市場交易等）日勺遠程通信

必須采用加密認證機制，對已經有系統應逐漸改造。

（4）生產控制大區內的業務系統間應當采用VLAN和訪問控制等安全措施,

限制系統間的直接互通。

（5）生產控制大區日勺撥號訪問服務，服務器和顧客端均應使用經國家指定

部門認證的安全加固的操作系統，并采用加密、認證和訪問控制等安全防護措

施。

（6）生產控制大區邊界上可以布署入侵檢測系統IDS。

（7）生產控制大區應布署安全審計措施，把安全審計與安全區網絡管理系

統、綜合告警系統、IDS管理系統、敏感業務服務器登錄認證和授權、應用訪問

權限相結合。

（8）生產控制大區應當統一布署惡意代碼防護系統，采用防備惡意代碼措

施。病毒庫、木馬庫以及IDS規則庫的更新應當離線進行。

管理信息大區安全規定：

應當統一布署防火墻、IDS、惡意代碼防護系統等通用安全防護設施。

安全區拓撲構造

電力二次系統安全區連接的拓撲構造有鏈式、三角和星形構造三種。

鏈式構造中日勺控制區具有較高的累積安全強度，但總體層次較多；

三角構造各區可直接相連，效率較高，但所生隔離設備較多；

星形構造所用設備較少、易于實行，但中心點故障影響范圍大。

三種模式均能滿足電力二次系統安全防護體系日勺規定，可根據詳細狀況選

用，見圖

口［快車下載］電力二次系統安全區連接拓撲構造.jpg：

□

電力二次系統安全區連接拓撲構造

網絡專用

電力調度數據網是為生產控制大區服務的專用數據網絡，承載電力實時控

制、在線生產交易等業務。安全區的外部邊界網絡之間的安全防護隔離強度應當

和所連接日勺安全區之間的安全防護隔離強度相匹配。

電力調度數據網應當在專用通道上使用獨立的網絡設備組網，采用基于SD

H/PDH不一樣通道、不一樣光波長、不一樣纖芯等方式，在物理層面上實現與電

力企業其他數據網及外部公共信息網的安全隔離。

電力調度數據網劃分為邏輯隔離的實時子網和非實時子網，分別連接控制

區和非控制區。可采用MPLS-VPN技術、安全隧道技術、PVC技術、靜態路由等

構造子網。

電力調度數據網應當采用如下安全防護措施：

（1）網絡路由防護

按照電力調度管理體系及數據網絡技術規范，采用虛擬專網技術，將電力

調度數據網分割為邏輯上相對獨立的實時子網和非實時子網，分別對應控制業

務和非控制生產業務，保證明時業務的封閉性和高等級日勺網絡服務質量。

（2）網絡邊界防護

應當采用嚴格日勺接入控制措施，保證業務系統接入的可信性。通過授權的節

點容許接入電力調度數據網，進行廣域網通信。數據網絡與業務系統邊界采用必

要的訪問控制措施，溝通信方式與通信業務類型進行控制；在生產控制大區與電

力調度數據網的縱向交接處應當采用對應日勺安全隔離、加密、認證等防護措施。

對于實時控制等重要業務，應當通過縱向加密認證裝置或加密認證網關接入調

度數據網。

（3）網絡設備日勺安全配置

網絡設備日勺安全配置包括關閉或限定網絡服務、防止使用默認路由、關閉網

絡邊界OSPF路由功能、采用安全增強的SNMPv2及以上版本日勺網管協議、設置

受信任日勺網絡地址范圍、記錄設備日志、設置高強度日勺密碼、啟動訪問控制列表、

封閉空閑的網絡端口等。

（4）數據網絡安全日勺分層分區設置

電力調度數據網采用安全分層分區設置日勺原則。省級以上調度中心和網調以

上直調廠站節點構成調度數據網骨干網（簡稱骨二網）。省調、地調和縣調及省、

地直調廠站節點構成省級調度數據網（簡稱省網）。

縣調和配網內部生產控制大區專用節點構成縣級專用數據網。縣調自動化、

配網自動化、負荷管理系統與被控對象之間的數據通信可采用專用數據網絡，

不具有專網條件時也可采用公用通信網絡（不包括因特網），且必須采用安全防

護措施。

各層面的數據網絡之間應當通過路由限制措施進行安全隔離。當縣調或配調

內部采用公用通信網時，嚴禁與調度數據網互聯。保證網絡故障和安全事件限制

在局部區域之內。

企業內部管理信息大區縱向互聯采用電力企業數據網或互聯網，電力企業數

據網為電力企業內聯網。

橫向隔離

橫向隔離是電力二次安全防護體系日勺橫向防淺。采用不一樣強度的安全設備

隔離各安全區，在生產控制大區與管理信息大區之間必須設置經國家指定部門

檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應靠近或到達物理隔離。

電力專用橫向單向安全隔離裝置作為生產控制大區與管理信息大區之間的義備

邊界防護措施，是橫向防護的關鍵設備。生產控制大區內部的安全區之間應當采

用品有訪問控制功能的網絡設備、防火墻或者相稱功能日勺設施，實現邏輯隔離。

按照數據通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正

向安全隔離裝置用于生產控制大區到管理信息大區的非網絡方式的單向數據傳

播。反向安全隔離裝置用于從管理信息大區到生產控制大區單向數據傳播，是管

理信息大區到生產控制大區的唯一數據傳播途徑。反向安全隔離裝置集中接受管

理信息大區發向生產控制大區的數據，進行簽名驗證、內容過濾、有效性檢查等

處理后，轉發給生產控制大區內部日勺接受程序。專用橫向單向隔離裝置應當滿足

實時性、可靠性和傳播流量等方面日勺規定。

一般嚴格嚴禁E-Mail、WEB、Telnet.Rlogin.FTP等安全風險高的通用網

絡服務和以B/S或C/S方式日勺數據庫訪問穿越專用橫向單向安全隔離裝置，僅

容許純數據的單向安全傳播。

控制區與非控制區之間應采用國產硬件防火曙、具有訪問控制功能的設備或

相稱功能的設施進行邏輯隔離。

縱向認證

縱向加密認證是電力二次系統安全防護體系的縱向防線。采用認證、加密、

訪問控制等技術措施實現數據日勺遠方安全傳播以及縱向邊界的安全防護。對于重

點防護的調度中心、發電廠、變電站在生產控制大區與廣域網日勺縱向連接處應當

設置通過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網

關及對應設施，實現雙向身份認證、數據加密和方問控制。

縱向加密認證裝置及加密認證網關用于生產控制大區的廣域網