电力二次系统安全防护课件

电力二次系统安全防护知识介绍主要内容电力二次系统安全防护知识背景电力二次系统安全防护的基本原则安全防护技术和装置发电厂二次系统安全防护方案电力二次系统安全防护知识背景

主要法规和文件2002年5月，国家经贸委发布30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》。2004年12月，电监会下发第5号令《电力二次系统安全防护规定》。2006年，电监会下发第34号文关于印发《电力二次系统安全防护方案》等安全防护方案的通知。电力二次系统安全防护知识背景

目标和重点电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全。目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪。电力二次系统安全防护知识背景

电力二次系统安全防护总体策略安全分区：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用：建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。横向隔离：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。纵向认证：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。电力二次系统安全防护知识背景

安全分级负责制国家电力监管委员会负责电力二次系统安全防护的监管，组织制定电力二次系统安全防护技术规范并监督实施。电力企业应当按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”和属地化管理的原则，认真履行网络信息安全职责。将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系，各电力企业负责所辖范围内计算机及数据网络的安全管理。各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员。电力二次系统安全防护知识背景

安全分级负责制电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的二次系统安全防护的技术监督。发电厂内涉及到电力调度的生产控制系统和装置，如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动装置等，由电力调度机构和发电厂的上级主管单位共同实施技术监督，发电厂内其它二次系统安全防护可由其上级主管单位实施技术监督。电力二次系统安全防护的基本原则

电力二次系统的安全区划分生产控制大区控制区（安全区Ⅰ）非控制区（安全区Ⅱ）管理信息大区生产管理区（安全区Ⅲ）管理信息区（安全区Ⅳ）电力二次系统安全防护的基本原则

控制安全区的典型业务系统能量管理系统（SCADA、AGC、AVC）广域相量测量系统配电网自动化系统变电站自动化系统发电厂自动监控系统继电保护系统安全自动控制系统低频（低压）自动减负荷系统电力二次系统安全防护的基本原则

管理信息大区的安全区划分可根据具体情况划分安全区，但不应影响生产控制大区的安全。安全区Ⅲ：通过电力企业数据网络进行远方通信的生产管理系统（包括电力监管信息系统、雷电监测系统、气象信息、DMIS等）。安全区Ⅳ：与因特网互联并允许对其进行访问的管理信息系统和企业办公区域（包括营销系统、OA、MIS等）电力二次系统安全防护的基本原则

生产控制大区内部的安全防护禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务，可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。生产控制大区重要业务（如SCADA/AGC）、电力市场交易等）的远程通信必须采用加密认证机制，对已有系统逐步改造。电力二次系统安全防护的基本原则

生产控制大区内部的安全防护生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通。生产控制大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的。安全加固的操作系统，并采取加密、认证和访问控制等安全措施。生产控制大区边界上可以部署入侵检测系统。电力二次系统安全防护的基本原则

生产控制大区内部的安全防护生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。生产控制大区应该统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。电力二次系统安全防护的基本原则

管理信息大区的安全要求应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。安全防护技术和装置

横向隔离技术横向隔离技术是电力二次系统安全防护体系的横向防线，是二次系统安全防护体系的重要技术措施。生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度接近或达到物理隔离。安全区Ⅰ与安全区Ⅱ之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。安全区Ⅲ与安全区Ⅳ之间应采用具有访问控制功能的网络设备（如防火墙）实现逻辑隔离。安全防护技术和装置

正向隔离装置基本功能非网络数据交换，内外两个处理系统不同时连通。数据完全单向传输。透明工作模式，虚拟主机IP地址、隐藏MAC地址。基于MAC/IP/Port/协议的综合报文过滤与访问控制，支持NAT。割断穿透性TCP连接。应用层解析功能，支持标记识别。安全方便的维护管理，支持数字证书的管理员认证。安全防护技术和装置

正、反向隔离装置的部署安全防护技术和装置

加密认证技术加密认证技术是电力调度数据网安全防护体系的重要技术支撑手段。在各级调度中心（网省、地县与厂站）的控制区与调度数据网的边界应部署电力专用纵向加密认证装置或加密认证网关。采用电力专用密码与认证技术，保证上下级调度中心与厂站纵向数据通信机密性和完整性。安全防护技术和装置

电力调度数字证书电力调度数字证书系统是电力二次系统安全防护的基础安全设施。基于公钥技术的分布式数字证书系统，为生产控制大区的关键应用、关键用户和关键设备提供数字证书服务。电力专用密码与认证技术，保证上下级调度中心与厂站纵向数据通信机密性和完整性。安全防护技术和装置

安全拔号认证技术安全拔号认证技术是电力二次系统安全远程接入访问的重要防护手段。在各级调度中心（网省、地县与厂站）的拔号应用场合应部署安全拔号认证装置对来自用电话网的接入用户进行安全认证和数据加密传输。安全防护技术和装置

安全拔号认证装置功能客户端安全检查。采用安全操作系统，并结合数字证书进行登录认证。线路加密。对拨号线路的数据采用高强度加密算法进行保护。访问控制。对远程拨号用户进行基于地址、端口、时间、协议等综合过滤。支持对关键访问资源的读、写、执行权限进行细粒度的控制。日志审计。记录远程拨号用户所有的登录行为，支持Syslog日志输出。发电厂二次系统安全防护方案

总体方案发电厂二次系统安全防护方案

总调直调电厂业务接入方案纵向互联的主要设备包括各业务系统通信子站或终端、纵向业务汇聚交换机、纵向互联硬件防火墙、纵向加密认证装置以及调度数据网路由器和交换机设备，各设备均采用冗余备用结构；纵向业务汇聚交换机直接使用调度数据网的接入交换机。通过采用逻辑隔离技术，将纵向业务汇聚交换机划分成逻辑上相互独立的控制区和非控制区，分别用于控制区和非控制区内有纵向数据通信的业务系统汇集接入、接入系统之间的访问控制和纵向互联；发电厂二次系统安全防护方案

总调直调电厂业务接入方案为实现控制区有关业务系统可同时使用实时VPN和非实时VPN进行信息传输，配置另外2台纵向互联硬件防火墙2，布置在业务系统通信服务器与纵向业务汇聚交换机之间；配置2台纵向加密认证装置，布置在纵向业务汇聚交换机的控制区和调度数据网路由器之间，用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密，保证系统链接的合法性和数据传输的机密性及完整性；发电厂二次系统安全防护方案

总调直调电厂业务接入方案配置2台纵向互联硬件防火墙1，布置在纵向业务汇聚交换机的非控制区和调度数据网路由器之间，用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制；要求有关业务系统通信子站如保信子站或PMU子站均新增一块网卡，通过纵向互联防火墙2接入到纵向业务汇聚交换机的非控制区中；对于兼有实时子网和非实时子网传输的保信子站和PMU子站的非实时数据信息传输路径为：变电站保信子站和PMU子站纵向互联硬件防火墙2纵向业务汇聚交换机纵向互联硬件防火墙1调度数据网设备调度中心对应主站系统。发电厂二次系统安全防护方案

总调直调电厂业务接入方案发电厂二次系统安全防护方案

中调直调电厂业务接入方案纵向互联的主要设备包括各业务系统通信子站或终端、控制区和非控制区纵向互联交换机、横向和纵向互联硬件防火墙、纵向加密认证装置以及调度数据网路由器和交换机设备，各设备均采用冗余备用结构；配置2台控制区纵向互联交换机，用于控制区有纵向数据通信的业务系统汇集接入、接入系统之间的访问控制和安全区的横向及纵向互联；配置2台非控制区纵向互联交换机，用于非控制区有纵向数据通信的业务系统汇集接入、接入系统之间的访问控制和安全区的横向及纵向互联；

发电厂二次系统安全防护方案

中调直调电厂业务接入方案配置2台纵向加密认证装置，布置在控制区纵向互联交换机与调度数据网实时VPN之间，用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密，保证系统链接的合法性和数据传输的机密性及完整性；配置2台纵向互联硬件防火墙，布置在非控制区纵向互联交换机与调度数据网非实时VPN之间，用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制；

发电厂二次系统安全防护方案

中调直调电厂业务接入方案配置2台横向互联硬件防火墙，布置在控制区与非控制区的网络边界上即布置在控制区纵向互联交换机