电力系统二次安全防护

电力系统二次安全防护2023年7月1日北京科东电力控制系统有限责任公司2二滩水电厂异常停机事件；故障录波装置“时间逻辑炸弹”事件；换流站控制系统感染病毒事件；近年世界上大停电事故反映出电力二次系统的脆弱性和重要性。电力二次系统安全事件

2023年7月1日北京科东电力控制系统有限责任公司3二次系统安全防护的由来2000年四川某水电站无故全厂停机造成川西电网瞬间缺电80万仟瓦引起电网大面积停电。其根源估计是厂内MIS系统与电站的控制系统无任何防护措施的互连，引起有意或无意的控制操作导致停机。2001年9、10月间，安装在全国147座变电站的银山公司生产的录波器的频频“出事”，出现不录波或死机现象，严重影响高压电网安全运行。事后分析结论是该录波器中人为设置了“时间限制”或“时间逻辑炸弹”。2023年7月1日北京科东电力控制系统有限责任公司4二次系统安全防护的由来2003年8月14日美国加拿大的停电事故震惊世界，事故扩大的直接原因是两个控制中心的自动化系统故障。若黑客攻击将会引起同样的灾难性后果。这次“814”美国、加拿大大停电造成300亿美圆的损失及社会的不安定。由此可说明电力系统的重要性。2003年12月龙泉、政平、鹅城、荆州等换流站受到计算机病毒的攻击。几年来我国不少基于WINDOWS-NT的电力二次系统的计算机系统,程度不同的受到计算机病毒的攻击。造成了业务损失和经济损失。值得我们严重的关注。有攻击就必须有防护2023年7月1日北京科东电力控制系统有限责任公司5主要风险调度数据网上：明文数据；104规约等的识别，着重保护“控制报文”；物理等原因造成的数据中断不是最危险的；最危险的是旁路控制。窃听篡改伪造2023年7月1日北京科东电力控制系统有限责任公司6优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（IntegrityViolation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（AuthorizationViolation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability,e.g.DoS）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping,e.g.DataConfidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。电力二次系统主要安全风险2023年7月1日北京科东电力控制系统有限责任公司7系列文件国家经贸委[2002]第30号令：

《电网和电厂计算机监控系统及调度数据网络安全防护规定》。于2002年5月8日公布，自2002年6月8日起施行。国家电力监管委员会第5号令：

《电力二次系统安全防护规定》于2004年12月20日公布，自2005年2月1日起施行。

2023年7月1日北京科东电力控制系统有限责任公司8系列文件《电力二次系统安全防护规定》配套文件：《电力二次系统安全防护总体方案》《省级及以上调度中心二次系统安全防护方案》《地、县级调度中心二次系统安全防护方案》《变电站二次系统安全防护方案》《发电厂二次系统安全防护方案》《配电二次系统安全防护方案》2023年7月1日北京科东电力控制系统有限责任公司9总体安全防护策略在对电力二次系统进行了全面系统的安全分析基础上，提出了十六字总体安全防护策略。安全分区、网络专用、横向隔离、纵向认证20膝23汁年6凭月2驼7日北京耕科东呀电力鹅控制漆系统画有限骂责任为公司10电力偶二次补系统戚安全摸防护治的目搂标抵御郑黑客拔、病坏毒、趁恶意屠代码哑等通顷过各安种形啊式对壮系统漫发起屿的恶瘦意破志坏和促攻击陆，特楼别是涌能够堡抵御侨集团嗽式攻俯击，毯防止喉由此约导致析一次絮系统阻事故担或大阶面积佛停电展事故藏及二升次系拖统的邀崩溃缸或瘫叨痪。20借23火年6即月2菠7日北京香科东剥电力塘控制缺系统畜有限兰责任套公司11安全幼分区20你23感年6午月2帜7日北京你科东麻电力蜡控制灶系统奖有限知责任刮公司12安全嫂区I的典慈型系青统调度其自动炕化系臣统（SC捐AD江A/甚EM拆S）、携广域甲相量家测量沫系统繁、配电琴网自绪动化灾系统密、变鉴电站必自动殖化系腾统、都发电贡厂自遥动监垫控系胶统、滑继电脖保护殖、安肝全自素动控薄制系捧统、垂低频/低压聪自动点减载婚系统端、负爷荷控咬制系岸统等丸。典型冲特点精：是公电力滩生产约的重洋要环挪节、汗安全踩防护舟的重考点与程核心感；直盼接实号现对德一次惹系统洽运行渣的实而时监锋控；姜纵外向使牲用电煎力调议度数喘据网溉络或礼专用哥通道饭。20谊23赠年6小月2好7日北京贪科东码电力悬控制弹系统立有限厘责任匆公司13安全掌区II的典趋型系丢统调度旺员培踢训模渠拟系劲统（DT辜S）、见水库桃调度烘自动氏化系喜统、顺继电滑保护丢及故美障录裂波信外息管勾理系示统、搏电能贵量计端量系腔统、进电力咏市场点运营药系统旷等。典型亦特点汗：所雅实现散的功阿能为败电力银生产巷的必洋要环殖节；支在线昨运行有，但巨不具浑备控铁制功距能；爱使用过电力恳调度鸡数数据网咬络，瞧与控座制区浆（安奴全区I）中稳的系咸统或峰功能恰模块汗联系异紧密舌。20匆23逆年6珠月2疲7日北京股科东罪电力吧控制及系统赚有限帜责任询公司14安全扰区II后I的典仍型系蒙统调度镜生产圈管理为系统易（DM枕IS）、规调度殿报表硬系统夕（日盒报、撇旬报邻、月藏报、哑年报眉）、代雷电律监测握系统茫、气异象信荡息接丛入等罩。典型吉特点该：主泉要侧早重于店生产命管理挂的系版统20炸23凤年6吩月2依7日北京愁科东篮电力套控制暗系统欺有限骑责任中公司15安全谁区IV的典迈型系风统管理在信息倚系统此（MI柴S）、缴办公浇自动技化系抵统（OA）、秤客户异服务石系统猴等。典型宽特点骗：纯短管理泻的系覆统电力滥二次伏系统律安全迟防护料总体往示意衣图上级毫调度/控制竖中心下级线调度/控制印中心上级掌信息鹅中心下级赠信息脂中心实时VP挥N湖SP鸭Dn起et非实纺时VP厉NIP认证恋加密法装置安全亏区I(实时彻控制树区)安全名区II(非控愉制生梯产区)安全盾区II扬I(生产榴管理蹲区)安全矿区IV(管理委信息肾区)外部尖公共仙因特娘网生产VP饶N浪S洁PT并ne晕t管理VP大N防火知墙防火佛墙IP认证归加密券装置IP认证枪加密纪装置IP认证俩加密绞装置防火唱墙防火状墙安全遮区I(实时更控制扮区)防火拖墙安全屑区II(非控袭制生茄产区)安全忽区II蜜I(生产鸡管理夏区)防火罚墙防火雨墙安全漂区IV(管理踢信息岭区)专线正向钞专用压安全蔑隔离门装置反向幅专用很安全向隔离负装置正向串专用恢安全红隔离触装置反向子专用季安全译隔离吨装置防火型墙防火咱墙防火滋墙20厦23红年6圆月2原7日北京浴科东肺电力伪控制杏系统构有限线责任侮公司17网络智专用电力哨调度期数据习网应数当在购专用议通道晕上使吓用独肺立的蒙网络来设备问组网交，采恰用基笼于SD巾H/屑PD液H上的岛不同两通道狗、不涂同光区波长葵、不悬同纤孕芯等卫方式张，在宝物理兴层面换上实饲现与牌电力暂企业尖其它陈数据钥网及椅外部欧公共漆信息吹网的唱安全槽隔离怪。电遇力调砍度数腰据网竖划分凡为逻妖辑隔疮离的行实时票子网计和非详实时软子网订，分套别连渗接控得制区把和非穗控制破区。贱子网危之间交可采哪用MP您LS乏-V侮PN技术供、安图全隧身道技惜术、PV锄C技术递或路咱由独灰立技伯术等姓来构球造子灶网。幻玉电力贷调度舟数据淹网是垄电力冲二次泥安全可防护呆体系呆的重惭要网驱络基参础。20介23汽年6侧月2猛7日北京污科东吹电力禽控制妄系统义有限旱责任姓公司18网络殖专用SDH（N×2M）SDH（155M）SPDnetSPTnet实时控制在线生产调度生产管理电力综合信息实时VPN非实时VPN调度VPN信息VPN语音视频VPNIP语音视频SDH/PDH传输网电力调度数据网电力企业数据网20廊23垒年6稻月2怜7日北京览科东寺电力兵控制鹅系统伍有限附责任厅公司19横向怎隔离物理纽奉隔离王装置姿（正井向型/反向畜型）20叼23位年6抛月2盏7日北京披科东踏电力园控制祝系统彩有限淡责任牢公司20横向盐隔离略装置必须桂通过纹公安怖部安器全产滑品销殖售许队可，影获得锣国家默指定体机构五安全乱检测舟证明任，用牌于厂钓站的毫设备齐还需检通过键电力喂系统余电磁帮兼容棋检测幻玉。专用驳横向促单向圣安全趣隔离絮装置必按照单数据物通信粱方向局分为宝正向去型和息反向烂型。励正边向安测全隔篇离装谦置用堵于生盖产控眉制大绪区到巡寿管理线信息稳大区紧的非晓网络习方式扰的单觉向数蛋据传腹输。助反向塘安全回隔离都装置棚用于息从管阔理信辨息大佳区到社生产郊控制吗大区洞单向鹊数据殖传输女，是袍管理急信息尸大区转到生令产控埋制大蛋区的章唯一缠数据迹传输弊途径狭。严格涂禁止E-报Ma疑il、We铁b、Te摄ln隙et、Rl赞og浆in、FT刻P等通梁用网底络服迷务和盏以B/捞S或C/垮S方式经的颂数据芦库访步问穿浑越专皂用横戒向单尝向安旬全隔归离装侵置，忍仅允豆许纯误数据际的单耻向安葡全传棋输。隔离门设备实时控制系统调度生产系统接口训机A接口产机B安全干岛关键债技术-正向防型专业用安摔全隔迅离装访置内网外网内部管应用苹网关外部寇应用律网关1、采用枯非IN蛇TE架L指令睁系统怨的（歇及兼雹容）统双微沈处理德器。2、特截别配谱置LI伶NU仁X内核置，取偷消所爹有网蚕络功宴能，梯安全逼、固且化的悄的操明作系痰统。蝇抵御逝除Do敢S以外忘的已返知的伶网络侄攻击急。3、非谦网络催方式挎的内轨部通畏信，蝴支持拨安全芬岛,保证振装置暴内外庸两个蚊处理皂系统壁不同终时连腹通。4、透巷明监驳听方稍式，郊虚拟鱼主机IP地址千、隐袋藏MA坛C地址肆，支荷持NA疤T5、内鸟设MA轰C/腥IP碎/P映OR透T/沙PR凤OT课OC垄OL悔/D叛IR以EC脚TI抵ON等综魔合过坏滤与圣访问是控制6、防溜止穿乌透性TC脏P联接教。内病外应巷用网警关间涌的TC是P联接伞分解传成两临个应清用网亩关分表别到驼装置波内外年两个办网卡城的两行个TC醋P虚拟叛联接摔。两辜个网获卡在城装置轿内部桶是非圣网络赔连接朵。7、单猛向联涛接控示制。都应用查层数加据完卧全单海向传公输，TC妖P应答牛禁止梢携带喝应用吊数据畏。8、应氧用层释解析受，支随持应贪用层共特殊介标记割识别9、支效持身朽份认叨证10、灵糕活方额便的水维护谢管理丧界面正向专用税隔离辱装置反向盯型专框用安饥全隔舟离装码置安全墨区II枣I到安剧全区I/痕II的唯一数据新传递酿途径芹。反向眠型专窜用隔劫离装得置集轮中接现收安认全区II藏I发向阿安全嘱区I/线II的数婶据，雷进行偷签名经验证矛、内透容过素滤、羞有效艰性检洋查等艇处理号。处吴理后伤，转半发给隶安全绸区I/掘II内部活的接惜收程抬序。具体例过程预如下挣：1.安全摊区II屋I内的夫数据垒发送爸端首准先对肉需发稳送的让数据邻签名处，然脚后发糖给反柿向型米专用仁隔离奶装置舟；2.专用绕隔离败装置持接收僵数据圾后，蔑进行葬签名痰验证洁，并哀对数棵据进辆行内厉容过拥滤、享有效芳性检慕查等币处理诞；3.将处随理过躬的数眼据转马发给乞安全裳区I/劫II内部始的接安收程眯序。20庭23栗年6搞月2最7日北京追科东谱电力破控制堡系统孝有限漆责任毅公司24安全服区与必远方揭通信勿的安悔全防奇护要改求(一)安全吐区Ⅰ、Ⅱ所连其接的后广域甲网为省国家廊电力毅调度叠数据笼网SP痛Dn苦et。SP幅Dn扶et为安坏全区Ⅰ、Ⅱ分别贺提供描二个液逻辑译隔离圈的MP枯LS认-V驰PN。安映全区Ⅲ所连粮接的愈广域定网为躲国家颂电力械数据拿通信闲网（SP该Tn畜et），SP背Dn豪et与SP茂Tn烟et物理巧隔离贞。安全唐区Ⅰ、Ⅱ接入SP返Dn宣et时，庆应配骗置纵向竞加密作认证抄装置，实堂现远芹方通众信的击双向音身份雅认证臂和数凯据加阻密。室如暂悦时不狼具备觉条件鲜或业毯务无酬此项军要求挡，可切以用题硬件皇防火弓墙代毒替。葡安全拆区Ⅲ接入SP精Tn具et应配得置硬膝件防些火墙纸。20乏23迎年6溪月2鲁7日北京群科东妖电力腰控制商系统寸有限尺责任混公司25安全攻区与照远方饭通信洞的安信全防锅护要反求(二)处于臭外部确网络糕边界它的通繁信网颂关（劲如通拆信服唤务器牧等）熟操作搬系统膜应进胜行安板全加框固，浇并配产置数委字证循书。传统掠的远巧动通辛道的哥通信锯目前丈暂不靠考虑版网络搭安全印问题卡。个秩别关衰键厂鉴站的除远动革通道抚的通做信可盾采用居线路桥加密督器，衰但需疏由上绕级部殿门认泉可。经SP永Dn珠et的RT织U网络撤通道柔原则纪上不劣考虑亩传输酸中的端认证要加密枣。个念别关易键厂挥站的RT判U网络钱通信塑可采兴用认任证加呢密，混但需根由上草级部求门认蔑可。禁止庙安全渣区Ⅰ的纵婆向WE衣B，允你许安去全区II的纵惠向WE昆B服务赚。安全假区I和安杰全区II的拨斯号访察问服全务原应则上朽需要旷认证塘、加清密和父访问糟控制乐。20罪23岁年6胞月2窑7日北京仪科东歼电力挡控制闪系统婶有限景责任脉公司26纵向朵加密笼认证蹲装置/网关加密理认证装置纱位于术电力份控制猛系统葬的内泻部局听域网五与电甩力调咱度数垒据网速络的阀路由挤器之或间，怪用于刃安全前区I/感II的广雨域网壶边界蔑保护懒，可摸为本钞地安血全区I/槐II提供荣一个也网络候屏障遵同时套为上沙下级辉控制伏系统浸之间槐的广肚域网勤通信寄提供奖认证段与加级密服荡务，界实现火数据丧传输傻的机灾密性闷、完慕整性绕保护绑。加密担认证统网关迟除具后有加启密认诞证装角置的哈全部软功能镇外，疫还应及实现武应用贴层协越议及救报文耕内容亩识别葬的功咏能。20砌23朵年6始月2胶7日北京挨科东木电力鞋控制运系统炕有限亿责任膀公司27纵向敞加密叉认证等网关昼和管提理中胜心的允部署路由器国家电力调度数据网络国家电力调度数据网络I/III/II级级调度中心调度中心管理终端纵向加密认证装置国家电力调度数据网络调度中心调度中心管理中心20集23居年6舰月2悲7日北京些科东电电力透控制绣系统疮有限瓜责任欢公司28纵向遭认证采用顾认证事、加停密、幼访问怕控制钻等技箩术措歇施实冬现数湾据的恩远方允安全歇传输步以及嫌纵向救边界引的安期全防甲护。暴在生序产控鹊制大船区与较广域挖网的膏纵向棋交接裂处应科当设梦置经践过国偏家指炊定部介门检串测认牧证的作电力欧专用滨纵向将加密桌认证嚷装置博或者愈加密抹认证休网关融及相例应设惠施，欲实现呆双向姥身份奔认证昂、数网据加康密和债访问朽控制剥。管虽理信脾息大轨区应爸采用炎硬件毛防火错墙等烫安全粪设备鞭接入室电力项企业圈数据睡网。艳纵向咐加密间认证代是电港力二应次安完全防黎护体泼系的丈纵向趁防线荒。传统艇的基天于专混用通窃道的致通信捆不涉案及网驱络安歌全问摧题，溜可采笑用线臣路加际密技俭术保始护关茄键厂菠站及播关键惩业务察。PK坏I技术枪的介辆绍对称部密钥念体制隶：是忘指加幸密密辛钥和军解密义密钥扫为同离一密跳钥的束密码葡体制熔。因牌此，啦信息阵发送倡者和赞信息坑接收匙者在尚进行铁信息慎的传渐输与菊处理跌时，进必须尼共同敢持有宝该密泄码（匆称为蜡对称针密码然）。孙通常,密钥拿简短异，使甜用的散加密趣算法箭比较勾简便验高效言。不对苏称密固钥体肾制（叨公钥痛体制遍）：袜用户着产生比一对弹公/私密臭钥，权向外部界公程开的艇密钥者为公蜻钥；爹自己去保留斜的密研钥为必私钥铸。加密求过程余：信璃息发丝式送者怨以信污息接端收者座的公彼钥加叫密信污息,信息五接收金者以馋其私台钥解就密这马加密子信息荡。又挤称为惕公钥企加密陶技术陵。认证赢过程暗：信续息发躬送者嫁以自茎己的殖私钥屈加密哪信息怜，信拒息接弃收者基以信淹息发某送者缓的公助钥解丛密这材加密胶信息加。因蚂为任壮何人廊都可输以用纪信息虎发送晕者的驳公钥客解密痒这加你密信庸息，麻但只圣有知丸道信守息发艳送者嫩私钥记的人馋才能矩发出话此加连密信伞息。安全防徒护要沉求在生白产控帜制大泛区与雹管理纠信息燥大区厅之间芒必须鬼设置赖经国缠家指瓣定部行门检邮测认桂证的欣电力顷专用刊横向缠单向毕安全杜隔离闸装置完。羽生开产控锹制大傍区内乔部的误安全聋区之乱间应透当采换用具兼有访沃问控纠制功卵能的非设备子、防产火墙余或者富相当圾功能刷的设间施，击实现枕逻辑漠隔离碑。在生藏产控恨制大使区与怜广域弄网的杀纵向腿交接恩处应帐当设株置经肃过国抢家指肆定部底门检兵测认脑证的图电力屈专用模纵向促加密抖认证偏装置蚂或者朽加密瞎认证心网关鲜及相玩应设越施。安全防校护要粮求安全烟区边统界应免当采盒取必据要的棵安全犬防护服措施罚，禁边止任君何穿味越生宜产控永制大谋区和平管理备信息饲大区省之间够边界杜的通层用网饲络服靠务。峰生产方控制韵大区流中的兵业务碍系统确应当内具有滨高安砖全性焰和高可可靠谦性，栏禁止煎采用加安全榆风险牺高的骂通用娇网络蹈服务促功能域。依照骨电力床调度号管理井体制捷建立钉基于材公钥洗技术茎的分述布式亡电力役调度却数字简证书所系统斑，生勾产控邻制大扇区中奋的重掌要业棍务系菊统应殊当采更用认灰证加版密机师制。各安橡全区倍内部饼安全舅防护谨的基翻本要景求（题一）对安像全区Ⅰ及安袋全区Ⅱ的要泼求：禁止蛇安全茎区Ⅰ/蓄Ⅱ内部组的E-味MA浓IL服务协。安次全区Ⅰ不允约许存颜在WE拳B服务逝器及悲客户属端。允许劳安全较区Ⅱ内部畏及纵惩向（纸即上女下级条间）WE屈B服务趴。但WE刺B浏览棕工作彼站与II区业柳务系层统工遍作站愧不得挣共用豆，而妻且必摧须业路务系廊统向WE喝B服务研器单冻向主锦动传住送数蒸据。安全份区Ⅰ/朴Ⅱ的重佩要业恰务（孝如SC药AD暮A、电林力交盘易）盘应该惰采用命认证桐加密创机制资。安全氏区Ⅰ/植Ⅱ内的淋相关蛙系统轿间必堆须采漫取访染问控滚制等塔安全荡措施纱。对安勇全区Ⅰ/助Ⅱ进行窝拨号绵访问俗服务欠，必敢须采吼取认容证、煮加密慢、访辫问控坝制等萝安全裳防护辜措施栽。安全猴区Ⅰ/盖Ⅱ应该采部署宝安全母审计随措施绘，如ID啊S等。安全绒区Ⅰ/贴Ⅱ必须直采取佣防恶弊意代若码措怨施。各安璃全区渔内部孤安全凭防护额的基责本要客求（蜓二）对安糕全区Ⅲ要求简：安全泛区Ⅲ允许闻开通EM沙AI蛋L、WE颜B服务担。对安井全区Ⅲ拨号固访问雅服务炼必须威采取娇访问搅控制锁等安回全防坊护措羽施。安全冻区Ⅲ应该辆部署喂安全焦审计愤措施好，如ID贞S等。安全湾区Ⅲ必须捷采取昌防恶胆意代纱码措勤施。对安铅全区Ⅳ不做稻详细遇要求完。其它粮安全考措施防病软毒措新施：病毒毙防护隶是调亏度系除统与朱网络顿必须纵的安闪全措案施。由建议各病毒明的防称护应虽该覆模盖所悲有安嚼全区I、II、II皆I的主沈机与佣工作霉站。播病毒熄特征铅码要悬求必涂须以庸离线赤的方宜式及悦时更草新。应当芹及时涨更新贯特征斯码，映查看研查杀刺记录挠。禁蓝止生架产控忽制大纠区与共管理旨信息砌大区若共用对一套哀防恶罚意代沸码管气理服洋务器吊。入侵萌检测ID耻S：对于骡生产衰控制班大区榆统一因部署慰一套岸内网告审计符系统纠或入昼侵检羊测系仔统（ID岔S），盖其安痕全策赖略的许设阁置重厘在捕厨获网控络异创常行赤为、器分析炭潜在潜威胁灯以及嚼事后逼安全乒审计偿，不毯宜使敲用实荒时阻乞断功碧能。看禁止盼使用辉入侵掉检测冶与防第火墙岂的联姿动。铁考虑侧到调谦度业昏务的颠可靠胀性，惯采用堂基于岭网络谢的入欲侵检懂测系谢统（NI醒DS），守其ID壮S探头腹主要态部署顺在：貌横向润、纵颈向边爸界以貌及重哑要系毕统的跨关键饰应用佳网段反。其它然安全评措施使用俘安全贿加固窗的操您作系给统：能量钢管理行系统SC聚AD领A/兼EM扇S、变逃电站稳自动孙化系歇统、记电厂宴监控倦系统警、配恐电网法自动扔化系夹统、锦电力袋市场过运营耗系统控等关挤键应易用系剩统的规主服铺务器湿，以来及网戚络边或界处汪的通辅信网怒关、We须b服务喇器等熄，应阅该使暗用安症全加棒固的战操作急系统烫。主机湖加固勿方式耳包括抄：安栽全配汁置、恳安全思补丁盟、采狼用专荐用软群件强带化操极作系莫统访迟问控口制能察力、告以及幻玉配置件安全围的应视用程肌序。关键霉应用刘系统茅采用寸电力凯调度怎数字独证书叉：能量林管理朗系统篮、厂侄站端云生产虽控制遇系统姜、电酷能量访计量惕系统今及电湖力市耽场运葡营系锻统等习业务禽系统纹，应歇当逐驰步采延用电缓力调便度数协字证创书，断对用庭户登河录本倘地操拔作系挨统、猎访问型系统倦资源蚀等操明作进胳行身事份认夕证，圈根据重身份隐与权若限进么行访院问控冶制，字并且肠对操敢作行贡为进凤行安月全审避计。其它省安全意措施远程板拨号漏访问甘的防拳护策画略：通过泊远程跳拨号您访问帝生产代控制卷大区谨时，统要求裤远方尽用户谅使用遮安全偏加固封的操秒作系脾统平载台，售结合白调度谱数字湿证书芽技术肾，进择行登稻录认想证和惑访问川认证担。碧对蓄于远剖程用辜户登惰录到件本地集系统冶中的贵操作熄行为苦，应组该进往行严把格的茫安全谅审计丙。安全符审计总：生产充控制舱大区庸应当剥具备稿安全皱审计鹊功能掩，可丢对网洽络运壳行日桌志、罩操作际系统舍运行流日志齐、数厉据库公访问辩日志垃、业崭务应棒用系子统运颠行日说志、故安全断设施旺运行淋日志帝等进馆行集遍中收倍集、喷自动调分析朱，及围时发惧现各田种违陷规行茶为以轨及病株毒和录黑客顶的攻湾击行花为。20仓23雀年6醋月2穷7日北京惧科东属电力爱控制请系统叫有限达责任胆公司37其它蠢安全桑措施数据早与系靠统备规份对关利键应僻用的际数据绵与应录用系送统进竞行备山份，趣确保肺数据似损坏谣、系浓统崩去溃情侵况下轿快速黑恢复离数据晃与系下统的僵可用珠性。设备饺备用对关衡键主粱机设源备、康网络密的设王备与芹部件棒进行贷相应鼓的热俊备份凡与冷阳备份城，避灭免单即点故尾障影角响系肠统可阿靠性遭。异地聋容灾对实努时控扩制系电统、绩电力雹市场皇交易孔系统型，在冷具备堆条件淹的前通提下疲进行转异地滔的数铸据与该系统定备份协，提唇供系功统级劳容灾滚功能东，保帐证在脆规模察灾难智情况愉下，屋保持峡系统剂业务遥的连扛续性。其它此安全疏措施安全建评估获技术连：所有倒系统楼均需论进行辱投运傅前的它及运舅行期右间的贱定期云评估记。已惜投运材的系织统要醉求进乞行安罩全评遥估，固新建版设的始系统无必须辆经过俊安全纳评估夫合格总后方贸可投注运,运行忘期间承的定录期评粪估.有的盟变电杆站具晌有电疲力数榜据通香信网SP斤Tn颗et和生街产管句理系惕统MI诉S系统券，属躺于安敞全区Ⅲ、Ⅳ的子怎系统隔。对于井分层费分布毕式的象变电构站自预动化齿系统枯，由晚于其偶核心蜂部分少（测养控单施元）此是利现用串溪行非台网络胶通信班传递客数据呈，与亲站控制层局文域网而是通踪蝶过中黑间层造前置踏单元虹在逻猴辑上亚进行杜隔离蜘的，救可以仆认为揭无安怨全风钞险。纵向团网络课边界妥的安用全防纳护措越施：对外抵通信病网关笛必须鹅通过具备荒逻辑搅隔离千功能升的接社入交欣换机饱接入部署IP认证钢加密宝装置擦（位熟于SP洒Dn轿et的实翁时VP沸N与接幕入交屈换机晃之间历）横向盛网络朽边界河的安惠全防坚护措独施：对内睛网关必须饮通过具备翠逻辑缺隔离驾功能倍的区摧内交努换机稿接入（若交换饰机不著具备眠逻辑雅隔离这功能考时，建议智部署厦硬件公防火青墙）；安全副区Ⅰ与安全站区Ⅱ之间岔必须议部署逗硬件蚂防火港墙（白经有彩关部检门认状定核查准）。安关全蜂管苍理国家甲电力湿监管讲委员摸会负文责电灭力二闭次系墙统安程全防爷护的过监管贪，制症定电培力二章次系郑统安啄全防飘护技福术规桐范并智监督际实施具。电力惹企业咱应当腾按照绢“谁拳主管筑谁负盗责，漠谁运宣营谁允负责案”，滤的原他则，谜建立止健全派电力感二次求系统摄安全恶管理窜制度毁，将拉电力所二次愤系统五安全能防护恼工作芬及其畏信息蓬报送有纳入窜日常等安全先生产把管理嘴体系血，落灭实分步级负余责的世责任暖制。电力世调度庙机构锐负责揭直接得调度往范围亡内的报下一打级电菌力调严度机携构、碑变电淋站、幼发电路厂输幅变电肥部分垮的二简次系宋统安浊全防救护的音技术果监督罩，发亩电厂国内其卖他二清次系冬统可径由其啄上级饶主管串单位彼实施约技术株监督炕。安尖全堂管崖理建立宪电力甘二次患系统反安全们评估览制度卷，采吓取以圆自评灿估为叼主、方联合淹评估楚为辅议的方赚式，富将电起力二果次系山统安涝全评棍估纳尺入电随力系方统安承全评重价体饥系。蜘对生涛产控得制大鹿区安阀全评课估的梯所有哈记录困、数型据、膏结果厅等，粘应按绒国家让有关净要求道做好圣保密筝工作办。建立中健全峡电力棚二次振系统掏安全归的联肾合防不护和火应急办机制举，制价定应奶急预剪案。靠电力彩调度遍机构汤负责花统一伟指挥念调度嘱范围和内的库电力蛮二次宿系统炼安全释应急括处理果。碑当穿电力毯生产额控制交大区丝式出现滑安全动事件纪，尤楚其是寺遭受肝黑客饲或恶扶意代狱码的疗攻击芦时，泻应当暗立即随向其粗上级姥电力祥调度庆机构密报告卡，并台联合胖采取粒紧急馒防护既措施炸，防桐止事戚件扩讽大，嚼同时肯注意尘