电力系统二次系统安全防护-总体方案

电力二次系统平安防护总体方案背景及总体原那么内部资料注意保密电力二次系统平安防护专家组2021-053/18/20241精选ppt一、背景及概述二、根本原那么三、实施进度要求提纲3/18/20242精选ppt通讯效劳器发电用电输电变电配电RTURTURTU数据采集和传输应用效劳器电网调度电力二次系统示意图3/18/20243精选ppt2000年10月13日，四川二滩水电厂控制系统收到异常信号停机，7秒甩出力89万，川渝电网几乎瓦解。2001年10月1日，银山公司生产的故障录波装置出现“时间逻辑炸弹〞，全国共146套。2003年12月30日，龙泉、政平、鹅城换流站控制系统发现病毒，外国技术人员在系统调试中用笔记本电脑上网所致。背景：电力二次系统平安事件3/18/20244精选ppt美加8.14事故暴露出电网控制系统的脆弱性TheexistenceofbothinternalandexternallinksfromSCADAsystemstoothersystemsintroducedvulnerabilities.Atthistime,however,preliminaryanalysisofinformationderivedfrominterviewswithoperatorsprovidesnoevidenceindicatingexploitationofthesevulnerabilitiesbeforeorduringtheoutage.3/18/20245精选ppt2006年2月6日至2月10日美国土平安部组织展开“网络风暴〞行动，115家单位参加演习。演习中，“攻击方〞不断向诸如电力、银行系统等要害部门发起攻击，次数超过800次网络专家扮演的“黑客〞一度导致10个州的电力供给系统无法正常运转，网络银行和零售系统出错，商业软件公司出售的光盘感染病毒美“网络风暴〞演练网络战争3/18/20246精选ppt2002年5月，国家经贸委发布30号令?电网和电厂计算机监控系统及调度数据网络平安防护的规定?。2002年?国家电网调度中心平安防护体系研究及示范?列入国家863方案和国家电网科技工程。2003年6月国家商密办为电力二次系统配备专用密码算法和芯片。2003年完成?全国电力二次系统平安防护总体方案?第7.2稿，并在全国省级以上调度中心实施。2004年12月电监会下发第5号令?电力二次系统平安防护规定?。2005年工程获中国电力科技进步一等奖和国家科技进步二等奖。2006年，电监会下发第34号文关于印发?电力二次系统平安防护方案?等平安防护方案的通知。平安防护工作开展情况3/18/20247精选ppt电力二次系统平安防护相关法规为了贯彻落实国家电力监管委员会第5号令?电力二次系统平安防护规定?〔简称?5号令?〕和原国家经贸委[2002]第30号令?电网和电厂计算机监控系统及调度数据网络平安防护的规定?〔简称?30号令?〕，构建电力二次系统平安防护体系，保障电力二次系统的平安，从而保障电力系统的平安稳定运行，制定本方案。3/18/20248精选ppt?电力二次系统平安防护规定?配套文件：1?电力二次系统平安防护总体方案?2?省级及以上调度中心二次系统平安防护方案?3?地、县级调度中心二次系统平安防护方案?4?变电站二次系统平安防护方案?5?发电厂二次系统平安防护方案?6?配电二次系统平安防护方案?电力二次系统平安防护系列文件电监平安[2006]34号3/18/20249精选ppt优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（IntegrityViolation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（AuthorizationViolation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability,e.g.DoS）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping,e.g.DataConfidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。电力二次系统主要平安风险3/18/202410精选ppt电力二次系统平安防护主要目标电力信息系统电力调度系统出口出口调度中心电厂变电站控制系统外部因特网建立电力二次系统平安防护体系，有效抵御黑客、恶意代码等各种形式的攻击，尤其是集团式攻击，保障电力二次系统平安稳定，防止由此引起电力系统事故。3/18/202411精选pptPPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护检测检测反应反应策略策略PPolicyolicyPProtectionrotectionDDetectionetectionRResponseesponse防护防护检测检测反应反应策略策略防火墙、防病毒、横行隔离装置、纵向加密认证装置等入侵检测、安全审计、安全综合告警等快速响应、调度系统联合防护、网络快速处理等防护模型和技术路线综合采用通用平安技术，开发关键专用平安技术。3/18/202412精选ppt本方案适用于电力二次系统中各类与电力生产和输配过程直接相关的电力监控系统及调度数据网络。电力二次系统的规划设计、工程审查、工程实施、系统改造、运行管理等应当符合本方案的要求。?方案?适用范围3/18/202413精选ppt1)

系统性原那么〔木桶原理〕；2〕动态性原那么2)

适度平安原那么；3)

全面防护、突出重点的原那么；重点是实时闭环控制局部；4)

分层分区、强化边界的原那么；提高内部平安防护能力；5)

三分技术，七分管理；责任到人，分级管理，联合防护的原那么。二次系统平安防护总体原那么3/18/202414精选ppt电力二次系统平安防护的根本原那么为“平安分区、网络专用、横向隔离、纵向认证〞。平安防护主要针对基于网络的生产控制系统，重点强化边界防护，提高内部平安防护能力，保证电力生产控制系统及重要数据的平安。电力二次系统平安防护根本原那么3/18/202415精选ppt4、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、平安分区1234电力二次系统平安防护四项原那么示意图3/18/202416精选ppt对IEC61850、IEC61970、IEC61968等国际标准的平安建议IECTC57StandardsEmphasis(NE)NetworkExtensionPlanning(CS)CustomerSupport(MR)MeterReading&Control(AM)Records&AssetManagement(MC)Maintenance&ConstructionIEC61968-4IEC61968-6IEC61968-7IEC61968-8IEC61968-9(ACT)CustomerAccountManagement(FIN)Financial(PRM)Premises(HR)HumanResources(EMS)EnergyManagement&EnergyTrading(RET)RetailIEC61968-10OAG(SC)SupplyChainandLogistics(NO)NetworkOperationIEC61968-3andIEC61970(OP)OperationalPlanning&OptimizationIEC61968-5andIEC61970IEC61968-10andIEC61970IEC61968-10andOAGIEC61968-10andOAGIEC61968-10andOAGIEC61968-10andOAGIEC61968-10andOAGUtilityElectricNetworkPlanning,Constructing,Maintaining,andOperatingEnterpriseResourcePlanning,SupplyChain,andGeneralCorporateServicesIECTC57andOAGStandardsEmphasis隔离3/18/202417精选ppt突出重点抓大放小电力二次系统平安防护总体方案省以上百万以上调度中心变电站发电厂220KV以上地市县配110KV35KV10KV50万10万1万I区II区管理信息大区生产控制大区3/18/202418精选ppt总体实施进度1、2007年地级以上调度机构、220千伏以上变电站(含开关站、换流站)、总装机1000兆瓦或含有单机容量300兆瓦以上机组的发电厂及其他重要厂站要具备二次系统平安防护的主要功能。2、2021一2021年110千伏以上变电站、含有单机容量100兆瓦以上机组的发电厂、县级调度中心和配电等要具备二次系统平安防护的主要功能。3、2021年以后新建的电力监控系统及专用数据网络系统应当满足电力二次系统平安防护的要求。4、2021年建成比较完善的电力二次系统平安防护体系。3/18/202419精选ppt总体实施进度5、2007年将开始在公司系统范围内分步部署电力专用纵向加密认证装置，该装置是完善电力二次系统平安防护体系的一项重要内容，是确保重要的生产数据平安可靠