电力二次系统防护总体方案

全国电力二次系统安全防护总体方案(第七稿)

内部资料注意保密全国电力二次系统内部资料注意保密安全防护的背景电力二次系统存在安全漏洞（结构、技术、管理等）容易受到黑客、敌对势力的攻击，造成一次系统事故。电力是我国国民经济的基础产业，关系到千家万户，关系到国家安定的大局，决不允许出现大的电力系统事故。必须遵守“统一领导、分级管理、总体设计、分步实施、远近结合、突出重点”的总原则抓紧实施电力二次系统的安全防护。

安全防护的背景电力二次系统存在安全漏洞（结构、技术、管理等）安全的漏洞

操作系统的漏洞：缓冲区溢出访问控制的漏洞：口令过于简单通信协议的漏洞：IP地址欺骗、不完全链接应用系统的漏洞*WEB浏览器的漏洞：不良代码的植入（特洛以木马）*E-MAIL服务器的漏洞：不断接受垃圾邮件*FTP的漏洞：不良代码的植入*其它应用系统的漏洞安全的漏洞操作系统的漏洞：缓冲区溢出攻击的手段

信息收集：探测系统的弱点口令攻击：用各种办法窃取进入系统的口令缓冲区溢出：进入系统取得控制权以接管系统拒绝服务：耗尽系统资源，使系统无法提供服务不良代码进入：在磁盘上存入一段程序代码，在适当时候启动；窃听系统秘密，并发送出去网络窃听攻击的手段信息收集：探测系统的弱点电力系统安全防护体系全国全世界非实时调度生产系统准实时非实时实时控制系统电力信息系统社会电力调度电力系统安全防护体系全国全世界非实时调度生产系统准实时非实时

全国电力二次系统安全防护总体方案是依据中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（以下简称《规定》）的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。全国电力二次系统安全防护总体方案是依据中华人民电力二次系统逻辑结构电力二次系统逻辑结构本安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统，总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。电力通信系统、电力信息系统可参照电力二次系统安全防护总体方案制定具体安全防护方案。安全防护总体方案的适用范围本安全防护总体方案的基本防护原则适用于电力二电网调度系统安全防护的重点是抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击，尤其是集团式攻击，重点保护电力实时闭环监控系统及调度数据网络的安全，防止由此引起电力系统事故，从而保障电力系统的安全稳定运行，保证国家重要基础设施的安全，要从国家安全战略的高度充分认识电力安全防护的重大意义。电网调度系统安全防护的目标与重点电网调度系统安全防护的重点是抵御病毒、黑客等通过各种形式发起电力二次系统主要安全风险（1）随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。

因特网和Internet技术已得到广泛使用，E-mail、Web和PC的应用也日益普及，但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时，对网络安全问题重视不够，使得具有实时远方控制功能的监控系统，在没有进行有效安全隔离的情况下与当地的MIS系统或其他数据网络互连，构成了对电网安全运行的严重隐患。

电力二次系统主要安全风险（1）随着通信技术和网络技术的发展优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（IntegrityViolation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（AuthorizationViolation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability,e.g.DoS）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping,e.g.DataConfidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。电力二次系统主要安全风险（2）优先级风险说明/举例0旁路控制入侵者对发电厂、变电站发送非法1)

系统性原则（木桶原理）；2)

简单性原则；3)

实时、连续、安全相统一的原则；4)

需求、风险、代价相平衡的原则；5)

实用与先进相结合的原则；6)

方便与安全相统一的原则；7)

全面防护、突出重点（实时闭环控制部分）的原则8)

分层分区、强化边界的原则；9)

整体规划、分步实施的原则；10)

责任到人，分级管理，联合防护的原则。二次系统安全防护总体原则1)

系统性原则（木桶原理）；二次系统安全防护总体原则安全防护模型PolicyProtectionDetectionResponse防护检测反应策略安全防护模型ProtectionDetectionRespo相关的安全法律法规《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《计算机信息系统保密管理暂行规定》《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》《计算机信息系统国际联网保密管理规定》《计算机信息网络国际联网安全保护管理办法》《关于维护网络安全和信息安全的决议》《电网和电厂计算机监控系统及调度数据网络安全防护的规定》相关的安全法律法规《中华人民共和国计算机信息系统安全保护条例电力二次系统安全防护总体策略分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内，重点保护实时控制系统以及生产业务系统；安全区隔离。采用不同强度的网络安全设备使各安全区中的业务系统得到有效保护；网络隔离。在专用通道上建立调度专用数据网络，实现与其他数据网络物理隔离。并通过采用MPLS-VPN或IPsec-VPN在专网上形成多个相互逻辑隔离的VPN，实现多层次的保护；纵向防护。采用认证、加密等手段实现数据的远方安全传输。电力二次系统安全防护总体策略分区防护、突出重点。根据系统中业电力二次系统的安全区划分(一)根据电力二次系统的特点、目前状况和安全要求，整个二次系统分为四个安全工作区：实时控制区、非控制生产区、生产管理区、管理信息区。安全区Ⅰ为实时控制区，安全保护的重点与核心。凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区Ⅰ。如：调度自动化系统和广域测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统或火电厂的管理信息系统（SIS）中AGC功能等。其面向的使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信均经由电力调度数据网。区中还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要求为毫秒级或秒级，是电力二次系统中最重要系统，安全等级最高。

电力二次系统的安全区划分(一)根据电力二次系统的特点、目前状电力二次系统的安全区划分(二)安全区Ⅱ为非控制生产区，原则上不具备控制功能的生产业务和批发交易业务系统，或者系统中不进行控制的部分均属于安全区Ⅱ。如：水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级。该区的外部通信边界为电力调度数据网。安全区Ⅲ为生产管理区，该区的系统为进行生产管理的系统，如：雷电监测系统、气象信息接入以及各种调度生产管理应用等。该区的外部通信边界为电力数据通信网（SPTnet）。安全区IV为管理信息区，该区包括办公管理信息系统、客户服务等。该区的外部通信边界为SPTnet及因特网。电力二次系统的安全区划分(二)安全区Ⅱ为非控制生产区，原则上电力二次系统安全防护总体示意图

上级调度/控制中心下级调度/控制中心上级信息中心下级信息中心实时VPNSPDnet非实时VPNIP认证加密装置安全区I(实时控制区)安全区II(非控制生产区)安全区III(生产管理区)安全区IV(管理信息区)外部公共因特网生产VPNSPTnet管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区I(实时控制区)

防火墙安全区II(非控制生产区)安全区III(生产管理区)

防火墙

防火墙安全区IV(管理信息区)专线正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置

防火墙

防火墙

防火墙电力二次系统安全防护总体示意图上级调度/控制中心下级调度/业务系统置于安全区的规则(一)根据该系统的实时性、使用者、功能、场所、各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于四个安全区之中。实时控制系统或未来可能有实时控制功能的系统需置于安全区Ⅰ。电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员使用。业务系统置于安全区的规则(一)根据该系统的实时性、使业务系统置于安全区的规则(二)某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可将业务系统根据不同的功能模块分为若干子系统分置于各安全区中，各子系统经过安全区之间的通信来构成整个业务系统。自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。各电力二次系统原则上均应划分为四安全区的电力二次系统安全防护方案，但并非四安全区都必须存在。某安全区不存在的条件是（1）其本身不存在该安全区的业务。（2）与其它电网二次系统在该安全区不存在“纵向“互联。业务系统置于安全区的规则(二)某些业务系统的次要功能与根据主安全区之间的隔离要求（一）

在各安全区之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产并经过国家或电力系统有关部门认证。安全区Ⅰ与安全区Ⅱ之间的隔离要求：

允许采用经有关部门认定核准的硬件防火墙，应禁止E-mail、Web、Telnet、Rlogin等访问。安全区III与安全区IV之间的隔离要求：

Ⅲ、Ⅳ区之间应采用经有关部门认定核准的硬件防火墙；安全区之间的隔离要求（一）在各安全区之间均需选择适当安全强安全区之间的隔离要求（二）安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间的隔离要求：安全区Ⅰ、Ⅱ不得与安全区Ⅳ直接联系，安全区Ⅰ、Ⅱ与安全区Ⅲ之间必须采用经有关部门认定核准的专用隔离装置。专用隔离装置分为正向隔离装置和反向隔离装置，从安全区Ⅰ、Ⅱ往安全区Ⅲ单向传输信息须采用正向隔离装置，由安全区Ⅲ往安全区Ⅱ甚至安全区Ⅰ的单向数据传输必须采用反向隔离装置。反向隔离装置采取签名认证和数据过滤措施。专用隔离装置应禁止E-MAIL、WEB、TELnet、Rlogin等访问。安全区之间的隔离要求（二）安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间的隔安全区与远方通信的安全防护要求（一）

外部边界网络：安全区Ⅰ、Ⅱ所连接的广域网为国家电力调度数据网SPDnet。采用MPLS-VPN技术构造的SPDnet为安全区Ⅰ、Ⅱ分别提供二个逻辑隔离的MPLS-VPN。对不具备MPLS-VPN的某些省、地区调度数据网络，可通过IPSec构造VPN子网，VPN子网可提供二个逻辑隔离的子网。安全区Ⅲ所连接的广域网为国家电力数据通信网（SPTnet）。安全区与外部边界网络的隔离要求：安全区Ⅰ、Ⅱ接入SPDnet时，应配置IP认证加密装置，实现网络层双向身份认证、数据加密和访问控制。如暂时不具备条件或业务无此项要求，可以用硬件防火墙代替。安全区Ⅲ接入SPTnet应配置硬件防火墙。

安全区与远方通信的安全防护要求（一）外部边界网络：安全区与远方通信的安全防护要求（二）处于外部网络边界的通信网关的操作系统应进行安全加固，对I、II区的外部通信网关建议配置数字证书。

传统的远动通道的通信目前暂不考虑网络安全问题。个别关键厂站的远动通道的通信可采用线路加密器。

经SPDnet的RTU网络通道原则上不考虑传输中的认证加密。个别关键厂站的RTU网络通信可采用认证加密。安全区与远方通信的安全防护要求（二）处于外部网络边界的通信网各安全区内部安全防护的基本要求（一）对安全区Ⅰ及安全区Ⅱ的要求：禁止安全区Ⅰ/Ⅱ内部的E-MAIL服务。安全区Ⅰ不允许存在WEB服务器及客户端。允许安全区Ⅱ内部及纵向（即上下级间）WEB服务。但WEB浏览工作站与II区业务系统工作站不得共用，而且必须业务系统向WEB服务器单向主动传送数据。安全区Ⅰ/Ⅱ的重要业务（如SCADA、电力交易）应该采用认证加密机制。安全区Ⅰ/Ⅱ内的相关系统间必须采取访问控制等安全措施。对安全区Ⅰ/Ⅱ进行拨号访问服务，必须采取认证、加密、访问控制等安全防护措施。安全区Ⅰ/Ⅱ应该部署安全审计措施，如IDS等。安全区Ⅰ/Ⅱ必须采取防恶意代码措施。各安全区内部安全防护的基本要求（一）对安全区Ⅰ及安全区Ⅱ的要各安全区内部安全防护的基本要求（二）对安全区Ⅲ要求：安全区Ⅲ允许开通EMAIL、WEB服务。对安全区Ⅲ拨号访问服务必须采取访问控制等安全防护措施。安全区Ⅲ应该部署安全审计措施，如IDS等。安全区Ⅲ必须采取防恶意代码措施。说明：本方案假设某电力二次系统都是局域范围，如某系统内部具有广域网通信，其安全防护需要参照执行。个别业务系统，如因其业务的特殊性需要附加的安全防护，参照上述原则。本方案对安全区Ⅳ不做详细要求。各安全区内部安全防护的基本要求（二）对安全区Ⅲ要求：电力二次系统四安全区拓扑结构电力二次系统四安全区的拓扑结构有三种结构，这三种结构均能满足电力二次系统安全防护体系的要求。如图链式结构、三角结构和星形结构。电力二次系统四安全区拓扑结构电力二次系统四安全区的拓扑电力二次系统防护总体方案电力二次系统安全防护技术电力二次系统安全防护技术专用安全隔离装置电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，要求具有最高的安全防护强度，是安全区I/II横向防护的要点。其中，安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。专用安全隔离装置部署：专用安全隔离装置电力专用安全隔离装置作为安全区I/II与安全隔离设备实时控制系统调度生产系统接口机A接口机B安全岛关键技术-正向型专用安全隔离装置内网外网隔离设备接口机A接口机B安全岛关键技术-正向型专用安全隔离装内部应用网关外部应用网关1、采用非INTEL指令系统的（及兼容）双微处理器。2、特别配置LINUX内核，取消所有网络功能，安全、固化的的操作系统。抵御除DoS以外的已知的网络攻击。3、非网络方式的内部通信，支持安全岛,保证装置内外两个处理系统不同时连通。4、透明监听方式，虚拟主机IP地址、隐藏MAC地址，支持NAT5、内设MAC/IP/PORT/PROTOCOL/DIRECTION等综合过滤与访问控制6、防止穿透性TCP联接。内外应用网关间的TCP联接分解成两个应用网关分别到装置内外两个网卡的两个TCP虚拟联接。两个网卡在装置内部是非网络连接。7、单向联接控制。应用层数据完全单向传输，TCP应答禁止携带应用数据。8、应用层解析，支持应用层特殊标记识别9、支持身份认证10、灵活方便的维护管理界面正向专用隔离装置内部应用网关外部应用网关1、采用非INTEL指令系统的（及兼反向型专用安全隔离装置安全区III到安全区I/II的唯一数据传递途径。反向型专用隔离装置集中接收安全区III发向安全区I/II的数据，进行签名验证、内容过滤、有效性检查等处理。处理后，转发给安全区I/II内部的接收程序。具体过程如下：1. 安全区III内的数据发送端首先对需发送的数据签名，然后发给反向型专用隔离装置；2.专用隔离装置接收数据后，进行签名验证，并对数据进行内容过滤、有效性检查等处理；3.将处理过的数据转发给安全区I/II内部的接收程序。反向型专用安全隔离装置安全区III到安全区I/II的唯一数据反向型专用安全隔离装置功能要求：1、采用非INTEL指令系统的（及兼容）微处理器。2、特别配置LINUX内核，取消所有网络功能，安全、固化的的操作系统。抵御除DoS以外的已知的网络攻击。3、固化的专用应用网关程序，具有应用网关功能，实现应用数据的接收与转发。且不允许长期的传输连接（只是需要进行反向数据传输时才连通，用完就断开连接）；4、具有应用数据内容有效性（只容许文本文件以及加密的报文）检查功能；以实现计划类应用（纯文本）、水调系统外部数据（DL476-92协议加签名）、电力市场外网报价数据（带数字签名和加密）等导入I、II区。5、具有基于数字证书的数据签名/解签名功能。完成接入认证和对数据源端的认证；6、实现两个安全区之间的非网络方式的安全的数据传递；7、透明监听方式，虚拟主机IP地址、隐藏MAC地址，支持NAT8、内设MAC/IP/PORT/PROTOCOL/DIRECTION等综合过滤与访问控制9、防止穿透性TCP联接。10、单向联接控制。应用层数据完全单向传输。反向型专用安全隔离装置纵向通信认证示意纵向通信认证示意IP认证加密装置对于纵向通信过程，主要考虑是两个系统之间的认证，具体实现可以由两个通信网关之间的认证实现，或者两处IP认证加密装置之间的认证来实现。建议采用对IP认证加密装置之间的认证。IP认证加密装置用于安全区I/II的广域网边界保护。为本地安全区I/II提供类似包过滤防火墙的功能。为通信网关间的广域网通信提供具有认证与加密功能的VPN，实现数据传输的机密性、完整性保护。IP认证加密装置对于纵向通信过程，主要考虑是两个系统之间的认IP认证加密装置功能IP认证加密装置之间支持基于数字证书的认证，支持定向认证加密；对传输的数据通过数据签名与加密进行数据机密性、完整性保护；支持透明工作方式与网关工作方式；具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能。具有选择加密方向以及对被加密报文进行报文长度或其它被设置特征的选择加密和解密功能。具有NAT功能；性能要求：10M/100M线速转发，支持100个并发会话；具有查询、设置、统计等管理功能，以及相应的友好的用户界面。多家开发的设备可以互联互通。

IP认证加密装置功能IP认证加密装置之间支持基于数字证书的认传统专用通道的防护—线路加密设备线路加密设备可用于传统专线RTU、保护装置、安控装置通道上数据的加密保护，防止搭线篡改数据。要求该设备具有一定强度的对称加密功能。建议新开发的专线RTU、保护装置、安控装置，内置安全加密功能。

防火墙防火墙产品可以部署在安全区I与安全区II之间（横向），实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方，需要部署在调度数据接入处（纵向）。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。传统专用通道的防护—线路加密设备线路加密设备可用于传统专线Web服务的使用与防护

在安全区I中取消Web服务。禁止安全区I中的计算机使用浏览器访问安全区II的Web服务。

安全区II中的Web服务将是安全区I与II的统一的数据发布与查询窗口。考虑到目前Web服务的不安全性，以及安全区II的Web服务需要向整个SPDnet开放，因此在安全区II中将用于Web服务的服务器与浏览器客户机统一布置在安全区II中的一个逻辑子区――Web服务子区，置于安全区II的接入交换机上的独立VLAN中。并且，Web服务器采用安全Web服务器，即经过主机安全加固的，支持SSL、HTTPS的Web服务器，能够对浏览器客户端进行身份认证、以及应用数据加密。

需要在Web服务子区开展安全Web服务的应用限于：电力市场交易系统、DTS系统。Web服务的使用与防护在安全区I中取消Web服务。禁止安全其它安全措施其它安全措施备份与恢复

数据与系统备份对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。设备备用对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。异地容灾对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。备份与恢复数据与系统备份备份系统在一定的备份策略的引导下，通过磁带库等设备对系统进行备份也十分必要。备份系统由备份管理系统和备份设备构成。基于LAN的网络备份：需要进行备份的客户机将数据通过网络传输到备份主机上，由备份主机写入带库。LAN-free的备份：备份时备份的数据流都传输在SAN（StorageAreaNetwork存储区域网络，它允许服务器在共享存储装置的同时仍能通过光纤通道高速传送数据）上，不占用业务网段的带宽，不会影响客户的应用。备份策略：全备份(FullBackup)，增量备份(IncrementalBackup)（又分：差量备份及累计备份）备份系统在一定的备份策略的引导下，通过磁带库等设备对系统进行防病毒措施

病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。入侵检测IDS对于安全区I与II，建议统一部署一套IDS管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其IDS探头主要部署在：安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。对于安全区III，禁止使用安全区I与II的IDS，建议与安全区IV的IDS系统统一规划部署。防病毒措施病毒防护是调度系统与网络必须的安全措施。建议病毒主机防护

安全配置通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。安全补丁通过及时更新系统安全补丁，消除系统内核漏洞与后门。主机加固安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。应用目标关键应用，包括SCADA/EMS系统服务器、电力市场交易服务器等等。网络边界处的主机，包括通信网关、Web服务器。主机防护安全配置计算机系统本地访问控制

技术措施结合用户数字证书，对用户登录本地操作系统，访问操作系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计。使用方式当用户需要登录系统时，系统通过相应接口（如USB、读卡器）连接用户的证书介质，读取证书，进行身份认证。通过认证后，进入常规的系统登录程序。应用目标对于调度端安全区I中的SCADA/EMS系统，安全区II中的电力市场交易系统，厂站端的控制系统要求采用本地访问控制手段进行保护。计算机系统本地访问控制技术措施关键应用系统服务器访问控制

调度系统的关键应用系统服务器：

安全区I中的SCADA系统服务器安全区II中的电力市场交易系统服务器技术措施

对于新开发的关键应用系统服务器，要求本身实现基于数字证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。对于原有关键应用系统服务器，可以进行适当安全改造，或者采用安全服务代理的方式进行安全增强。关键应用系统服务器访问控制应用程序安全禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。

安全审计安全审计是安全管理的重要环节。应该引入集中智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

安全“蜜罐”应用“主动防御”思想，在安全区II中的Web子区中，设置“安全蜜罐”，迷惑攻击者，配合安全审计，收集攻击者相关信息。

安全评估技术：已投运的系统要求进行安全评估，新建设的系统必须经过安全评估合格后方可投运。其它措施应用程序安全其它措施调度中心（地调及以上）二次系统安全防护

调度中心（地调及以上）调度中心各系统安全区的划分安全区Ⅰ：目前已有或将来要上的有控制功能的系统，以及实时性要求很高的系统。目前包括实时闭环控制的SCADA/EMS系统、广域相量测量系统（WAMS）和安全自动控制系统，保护设置工作站（有改定值、远方投退功能）。安全区Ⅱ：没有实时控制业务但需要通过SPDnet进行远方通信的准实时业务系统。目前包括水调自动化系统、DTS（将来需要进行联合事故演习）、电力交易系统、电能量计量系统、考核系统、继保及故录管理系统（没有改定值、远方投退功能）等。安全区Ⅲ：通过SPTnet进行远方通信的调度生产管理系统。目前包括雷电监测系统、气象信息、日报/早报、DMIS等。安全区IV：包括办公自动化（OA）和管理信息系统（MIS）等。调度中心各系统安全区的划分安全区Ⅰ：目前已有或将来要上的有控电力二次系统防护总体方案纵向网络边界的安全防护措施：对外通信网关必须通过具备逻辑隔离功能的接入交换机接入部署IP认证加密装置（位于SPDnet的实时VPN与接入交换机之间）横向网络边界的安全防护措施：对内网关必须通过具备逻辑隔离功能的区内交换机接入（若交换机不具备逻辑隔离功能时，建议部署硬件防火墙）；安全区Ⅰ与安全区Ⅱ之间必须部署硬件防火墙（经有关部门认定核准）。纵向网络边界的安全防护措施：。。目前建议的拨号方式：只允许从主站端向厂站端单向拨号（同时注意核查不得有拨号转移）；要求厂站端的计量装置与当地的其它系统必须有相应的安全隔离（目前要求厂站端计量装置与当地系统分离）。一般拨号通信方式：要求通过拨号服务器（RAS）接入安全区Ⅱ的接入交换机，接入交换机具备逻辑隔离功能（若交换机不具备逻辑隔离功能时，建议部署硬件防火墙），在RAS和接入交换机之间必须部署拨号认证加密装置，拨入端配相应的证书（证书由国家电网公司统一签发）；对电能量原始数据不可修改的保护不在此方案的范围内。目前建议的拨号方式：水调自动化系统安全产品部署示意图水调自动化系统安全产品部署示意图继电保护和故障录波信息系统继电保护和故障录波信息系统放在安全区II，其中实现远方改定值和投退保护等功能的保护设置工作站必须放在安全区I。厂站端的故障录波器与其它业务系统通过非网络的直接串口方式通信，框架在此暂不考虑网络安全风险。拨号连接只允许从调度端向厂站端拨入，且该拨号连接存在时，厂站端的故障录波网关必须断开与厂站端其它业务系统的连接。继电保护和故障录波信息系统继电保护和故障录波信息系统放在配电二次系统安全防护方案配电二次系统的SCADA/DA系统和负控系统