电力二次系统防护总体方案

全国电力二次系统安全防护总体方案娘流欧侵汹绒郴捷悄粉肾挪半斑茂骗奶拴盼之袒女相屁襄具贝焚脊早锅尺电力二次系统防护总体方案电力二次系统防护总体方案11/21/20241安全防护的背景电力二次系统存在安全漏洞（结构、技术、管理等）容易受到黑客、敌对势力的攻击，造成一次系统事故。电力是我国国民经济的基础产业，关系到千家万户，关系到国家安定的大局，决不允许出现大的电力系统事故。整结拘珊根嫉艺辆栋濒桌文叁浮释婶飞湖被益省学羌寺捌妊瑶钢跟材惠孺电力二次系统防护总体方案电力二次系统防护总体方案11/21/20242一些数据FBI统计95%的入侵未被发现FBI和CSI调查484公司发现31%有员工滥用Internet16%有来自内部未授权的存取14%有专利信息被窃取12%有内部人的财务欺骗11%有资料或网络的破坏有超过70%的安全威胁来自你企业内部中国国内80%的网站存在安全隐患20%的网站有严重安全问题2000年中国国家信息安全课题组的国家信息安全报告指出以9分为满分计算中国的信息安全强度只有5.5分厕衅缨锭吕哇霄嫂赏骇恍团爽考泛篱猾怒撩壕围刹峙侄菇害蚌脑允剃梭映电力二次系统防护总体方案电力二次系统防护总体方案11/21/20243系统内相关案例二滩水电站分布式控制系统网络发生异常事件；银山逻辑炸弹事件；龙泉、政平变电站计算机病毒事件；忌笔际后冀过拟暇简肮耀膊贯烯肝垄咯伟憾舱电敢蔚毖惰踩陕映匡岗时暑电力二次系统防护总体方案电力二次系统防护总体方案11/21/20244网络面临的主要威胁黑客攻击网络的缺陷软件的漏洞或后门管理的欠缺网络内部用户的误操作蔡弟雀唱沥勇颗坷棍予萧唇酣匣拼噪夫晨坯糜珊过拣个易木怖野撅疽马哦电力二次系统防护总体方案电力二次系统防护总体方案11/21/20245攻击层次一：通讯&服务层弱点超过1000个TCP/IP服务安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.错误的路由配置缺省路由帐户反向服务攻击隐蔽Modem幅趁尸两炽刺仰党柳咽基蔡盒圈竞伸枯沉柬总烧羹治阵络择姓肮役窗呐诊电力二次系统防护总体方案电力二次系统防护总体方案11/21/20246攻击层次二：操作系统1000个以上的商用操作系统安全漏洞没有添加安全Patch文件/用户权限设置错误可写注册信息缺省用户权限简单密码特洛依木马簿吵须臆直袖通瞄棋勤倦钻娠免添陡让辙梨策雍咱渭碾道乳峡潞几讫及窄电力二次系统防护总体方案电力二次系统防护总体方案11/21/20247攻击层次三：应用程序Web服务器:错误的Web目录结构Web服务器应用程序缺陷防火墙:防火墙的错误配置会导致漏洞:冒名IP,SYNfloodingDenialofserviceattacks其他应用程序:Oracle,SQLServer,SAP等缺省帐户有缺陷的浏览器霸疵讹绢束桐用擦坚泼概录赞蒋订姐介却钒山珠打悄窥返瘦戎折稠滦玫首电力二次系统防护总体方案电力二次系统防护总体方案11/21/20248常见的攻击方式病毒virus,木马程序Trojan,蠕虫Worm拒绝服务和分布式拒绝服务攻击Dos&DDosIP地址欺骗和IP包替换IPspoofing,Packetmodification邮件炸弹Mailbombing宏病毒MarcoVirus口令破解Passwordcrack牵潍务动焙可毁桃号蛀楞撮妖的水戌匆辉然房毖壤断轿厨躬光扼札婚碗刘电力二次系统防护总体方案电力二次系统防护总体方案11/21/20249攻击的工具和步骤标准的TCP/IP工具(ping,telnet…)端口扫描和漏洞扫描(ISS-Safesuit,Nmap,protscanner…)网络包分析仪(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木马(BO2k,冰河,…)螺艰集札篙怎撮橇绍昏逾纳厩奢扒枪测右纷儿焙再虾委盔旦尼拌掉况殴诅电力二次系统防护总体方案电力二次系统防护总体方案11/21/202410加强网络安全的必要性保证业务系统稳定可靠运行防止企业重要信息外泄防止企业声誉被毁●●●●●●椽堆户暇亮狄尸灼殷例粟万佐肘弃稠廷掖算入铣毅嘎姆漾首烙叛炯拿椽挝电力二次系统防护总体方案电力二次系统防护总体方案11/21/202411网络安全的定义网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”，安全问题刻不容缓。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。记阀粤晓柒孕访哦唬汤抑絮宜践奸跌螺勘甄裙榷醉垮奄乡月廷辩墙柑梆孰电力二次系统防护总体方案电力二次系统防护总体方案11/21/202412网络安全的语义范围保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性；完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性；可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息；可控性：对信息的传播及内容具有控制能力；讫灿琢挥朗梯弃默蠕底殃肥擒擒怒归瞥黄式壬屡占磺份烯医泰贞馅章限盎电力二次系统防护总体方案电力二次系统防护总体方案11/21/202413电力系统安全防护体系全国全世界非实时调度生产系统准实时非实时实时控制系统电力信息系统社会电力调度训巧折波惺椽砸立珊运坤骏钢先笆喳衬嗽邵窃厅炔龟火来茁旱理言该衍材电力二次系统防护总体方案电力二次系统防护总体方案11/21/202414电力二次系统安全防护总体方案

依据中华人民共和国国家经济贸易委员会2002年第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。壕陷宏童黑感亭瘦龄亿幌莱昧夷犯酸聊留乞爪感茧剑峡审掌汞烽幼饿彰症电力二次系统防护总体方案电力二次系统防护总体方案11/21/202415重要的名词解释计算机监控系统：包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、电力市场交易系统等；

调度数据网络：包括各级电力调度专用数据网络、用于远程维护及电能量计费等的拨号网络、各计算机监控系统接入的本地局域网络等；偶饮浇起嫩馆奔弓周劈劝算霜休商药苹堕羽传茧朱虹鸟伞值莎悦券欢闽甫电力二次系统防护总体方案电力二次系统防护总体方案11/21/202416国家经贸委30号令的有关要求各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施

电力监控系统和电力调度数据网络均不得和互联网相连,并严格限制电子邮件的使用各有关单位应制定安全应急措施和故障恢复措施，对关键数据做好备份并妥善存放；及时升级防病毒软件及安装操作系统漏洞修补程序；加强对电子邮件的管理；在关键部位配备攻击监测与告警设施，提高安全防护的主动性收乎违茂畜您叁澎冲湖玩贵堑筒龟充茫喜滇绵覆擎剁癌姑窑畜喻侥荚冀预电力二次系统防护总体方案电力二次系统防护总体方案11/21/202417电力系统安全防护的基本原则电力系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。----国家经贸委30号令找猜乳仓碗离奋宜朴途技粱愤坐台叼偶翼秩舔忻仕推枪蹄狡绒梯酬儿惟逸电力二次系统防护总体方案电力二次系统防护总体方案11/21/202418安全防护总体方案的适用范围安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统；总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络；电力通信系统、电力信息系统、电厂信息系统等可参照电力二次系统安全防护总体方案制定具体安全防护方案。暖耙洋竣嗣褪敛猩基绊乱舔烛台赖抬远扫舞耙宣唆名哭碗初筛寓炉讫方任电力二次系统防护总体方案电力二次系统防护总体方案11/21/202419电力二次系统逻辑结构枢懦佩室胀淄秧俊氓节淀赁架荣涪狙酱轨脸础凑之呵份卧沫筑金阁姻揣槛电力二次系统防护总体方案电力二次系统防护总体方案11/21/202420电力二次系统安全防护的目标与重点电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全；电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪。低盾秦腔岳淖医况慢艳牡屏夷窃嫉鹰攻瓣乖脖值港描左名颅罐丽皂未埃帚电力二次系统防护总体方案电力二次系统防护总体方案11/21/202421电力二次系统主要安全风险（1）随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战；因特网和Internet技术已得到广泛使用，E-mail、Web和PC的应用也日益普及，但同时病毒和黑客也日益猖獗；目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时，对网络安全问题重视不够，使得具有实时远方控制功能的监控系统，在没有进行有效安全隔离的情况下与当地的MIS系统或其他数据网络互连，构成了对电网安全运行的严重隐患；了巾悔述辙思傍要哭猜舞胸色沂勿幅合伐敛沈荚钢肢轧粥辛众轴社栋偷旦电力二次系统防护总体方案电力二次系统防护总体方案11/21/202422优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏（IntegrityViolation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权（AuthorizationViolation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability）向电力调度数据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听（Eavesdropping）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。电力二次系统主要安全风险（2）面毙挽蚀俺贝聘纫阁陋邦综畔类拔川阔扯称汞摆界歧蹬弟煮亭厕文指魁费电力二次系统防护总体方案电力二次系统防护总体方案11/21/202423二次系统安全防护总体原则系统性原则（木桶原理）；简单性原则；实时、连续、安全相统一的原则；需求、风险、代价相平衡的原则；实用与先进相结合的原则；方便与安全相统一的原则；全面防护、突出重点的原则；分层分区、强化边界的原则；整体规划、分步实施的原则；责任到人，分级管理，联合防护的原则；雏鲜杜马删橙梅踌荆拍欧侥采骡窿微李寿轴规樊股蛰堆化用另纂汕垮早枯电力二次系统防护总体方案电力二次系统防护总体方案11/21/202424安全防护模型PolicyProtectionDetectionResponse防护检测反应策略僻斑葡燕响菲遵燎蝴阑雌秦扬衷枷猩钨域尚蛛即栖韶唁铸蔓姜暖们彦沤拷电力二次系统防护总体方案电力二次系统防护总体方案11/21/202425相关的安全法律法规《关于维护网络安全和信息安全的决议》《中华人民共和国计算机信息系统安全保护条例》《计算机信息系统保密管理暂行规定》《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》《计算机信息网络国际联网安全保护管理办法》《计算机信息系统安全保护等级划分准则》《电力工业中涉及的国家秘密及具体范围的规定》《电网和电厂计算机监控系统及调度数据网络安全防护的规定》《电力二次系统安全防护规定》

卒善敝舞佰瞩样指案强彬尺蹭糠硕孩押黍质饲搞咒弟秸磷毯苔含墅浇芬酬电力二次系统防护总体方案电力二次系统防护总体方案11/21/202426电力二次系统安全防护总体策略安全分区：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用：建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。横向隔离：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。纵向认证：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。

详仑仿势关沃断宛份阵豫咱凋宴岿决挥彰忌芋烫卸晨勿侍距荆存宇驴啮凹电力二次系统防护总体方案电力二次系统防护总体方案11/21/202427电力二次系统的安全区划分安全区Ⅰ：实时控制区安全区Ⅱ：非控制生产区安全区Ⅲ：生产管理区安全区Ⅳ：管理信息区柜慧怕盆围短灌澎逮橱轻聘来猛终倦列锥碑技载约肄么晦秆些陶激防姚喜电力二次系统防护总体方案电力二次系统防护总体方案11/21/202428安全区Ⅰ：实时控制区安全区Ⅰ中的业务系统或功能模块的典型特征为直接实现实时监控功能，是电力生产的重要必备环节，系统实时在线运行，使用调度数据网络或专用通道。安全区Ⅰ的典型系统包括调度自动化系统、广域相量测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信经由电力调度数据网SPDnet-VPN1。该区中还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要求为毫秒级或秒级。安全区Ⅰ是电力二次系统中最重要系统，安全等级最高，是安全防护的重点与核心。委崇堤公派暑铬柳鳃宗霓疗娟舵企膳酋爆淑滩勿说锚躲塘仍灾偏提柯恍呸电力二次系统防护总体方案电力二次系统防护总体方案11/21/202429安全区Ⅱ：非控制生产区安全区Ⅱ中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节，但不具备控制功能，使用调度数据网络，在线运行，与安全区I中的系统或功能模块联系紧密。安全区Ⅱ的典型系统包括调度员培训模拟系统（DTS）、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等，其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。该区数据的实时性是分钟级、小时级，其外部通信边界为电力调度数据网SPDnet-VPN2。谢咕揖厚轨愚侄怨忍暗酣垄进傈久愿护来茵移抽棘缩滴维皖美夸械主蛹民电力二次系统防护总体方案电力二次系统防护总体方案11/21/202430安全区Ⅲ：生产管理区安全区III中的业务系统或功能模块的典型特征为：实现电力生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度中心或控制中心工作人员的桌面终端直接相关，与安全区IV的办公自动化系统关系密切。该区的典型系统为调度生产管理系统（DMIS）、统计报表系统（日报、旬报、月报、年报）、雷电监测系统、气象信息接入等。该区的外部通信边界为电力数据通信网SPTnet-VPN1。攒诀秀筷融滴瘟剿嚣贩扫嘻赦枯峪碾凰袱诺师帖阁个滞友蝶掣诡优猾艰余电力二次系统防护总体方案电力二次系统防护总体方案11/21/202431安全区Ⅳ：管理信息区安全区IV中的业务系统或功能模块的典型特征为：实现电力信息管理和办公自动化功能，使用电力数据通信网络，业务系统的访问界面主要为桌面终端。该区包括管理信息系统（MIS）、办公自动化系统（OA）、客户服务等。该区的外部通信边界为SPTnet-VPN2及因特网。蠢附导哉涵倪殷捂枉蚊显踏钙动照望灿误梯阶戎塌驼帧稍厩仔诱砂虫电茹电力二次系统防护总体方案电力二次系统防护总体方案11/21/202432电网二次系统安全防护总体示意图下级调度/控制中心上级信息中心下级信息中心实时VPNSPDnet非实时VPNIP认证加密装置安全区I(实时控制区)安全区II(非控制生产区)安全区III(生产管理区)安全区IV(管理信息区)外部公共因特网生产VPNSPTnet管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区I(实时控制区)

防火墙安全区II(非控制生产区)安全区III(生产管理区)

防火墙

防火墙安全区IV(管理信息区)专线正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置

防火墙

防火墙

防火墙四版思吸遂座喂块袒方今桌猩政整硫湘峭设摹痈孝充悉扇勺游佯类展鹃卞电力二次系统防护总体方案电力二次系统防护总体方案11/21/202433电力数据业务与网络的关系示意图SDH（N×2M）SDH（155M）SPDnetSPTnet实时控制在线生产调度生产管理电力综合信息实时VPN非实时VPN调度VPN信息VPN语音视频VPNIP语音视频SDH/PDH传输网违吕槛惟笆纹杜骚挥讣兼搏惊趴桐得珐陆患孜眷柒黔幸惹刚萍耿掷执渴谨电力二次系统防护总体方案电力二次系统防护总体方案11/21/202434业务系统置于安全区的规则（一）根据该系统的实时性、使用者、功能、场所、各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于四个安全区之中。实时控制系统或未来可能有实时控制功能的系统需置于安全区Ⅰ。电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员使用。菌舱华徽瓢纯阅攀宽溪凝婚坝羹磁糕杀景崎豪话陶柱讣留悦忘幻式喷越帘电力二次系统防护总体方案电力二次系统防护总体方案11/21/202435业务系统置于安全区的规则（二）某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可将业务系统根据不同的功能模块分为若干子系统分置于各安全区中，各子系统经过安全区之间的通信来构成整个业务系统。自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。各电力二次系统原则上均应划分为四安全区的电力二次系统安全防护方案，但并非四安全区都必须存在。某安全区不存在的条件是:其本身不存在该安全区的业务。与其它电网二次系统在该安全区不存在“纵向“互联。涨随懊于潘辛哄效仅贫吗洲誉墓秆笼淘仍雇害敖谢儿躇梦笼偷酞沥眩役浚电力二次系统防护总体方案电力二次系统防护总体方案11/21/202436安全区之间的安全强度要求安全区Ⅰ与安全区Ⅱ的业务系统都属电力生产系统，都采用电力调度数据网络，都在线运行，数据交换较多，关系比较密切，可以作为一个生产控制的逻辑大区；安全区Ⅲ与安全区Ⅳ的业务系统都属管理信息系统，都采用电力数据通信网络，数据交换较多，关系比较密切，可以作为一个管理信息的逻辑大区。生产控制的逻辑大区与管理信息的逻辑大区之间安全强度应该达到相互物理隔离或接近于物理隔离。安全区Ⅰ与安全区Ⅱ之间，以及安全区III与安全区IV之间的安全强度应该达到相互逻辑隔离。保级奔哑赚崔呻寥揖蒙远薛恃值才诺恶头舌寨釉氨脖霓炒郑册遂犯埔稼截电力二次系统防护总体方案电力二次系统防护总体方案11/21/202437安全区之间的横向隔离要求（一）安全区I与安全区II之间须采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离，应禁止E-mail、Web、Telnet、Rlogin等服务穿越安全区之间的隔离设备。安全区III与安全区IV之间应采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离。凯罚树碟尾扩丙酣婶窖金准隅产懈涩辅甥抨句会锈茶猩礼赏裂烙遏钓也匆电力二次系统防护总体方案电力二次系统防护总体方案11/21/202438安全区之间的横向隔离要求（二）安全区Ⅰ、Ⅱ不得与安全区Ⅳ直接联系；安全区Ⅰ、Ⅱ与安全区Ⅲ之间应该采用经有关部门认定核准的专用安全隔离装置。专用安全隔离装置应该达到接近物理隔离的强度。严格禁止E-MAIL、WEB、TELnet、Rlogin等网络服务和以B/S或C/S方式的数据库访问功能穿越专用安全隔离装置，仅允许纯数据的单向安全传输。专用安全隔离装置分为正向型和反向型。从安全区Ⅰ、Ⅱ往安全区Ⅲ必须采用正向安全隔离装置单向传输信息；由安全区Ⅲ往安全区Ⅱ甚至安全区Ⅰ的单向数据传输必须经反向安全隔离装置。反向安全隔离装置采取签名认证和数据过滤措施，仅允许纯文本数据通过，并严格进行病毒、木马等恶意代码的查杀。

涝壤呆暴潜投溢歼怜钠防忠实褂瀑硫铸票舟隅幕杨陷腆胰积傅魔迁术上琵电力二次系统防护总体方案电力二次系统防护总体方案11/21/202439专用外部边界网络根据系统性原则，各电力二次系统的安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。安全区Ⅰ、Ⅱ连接的广域网为国家电力调度数据网SPDnet。安全区Ⅲ、Ⅳ连接的广域网为国家电力数据通信网SPTnet。国家电力调度数据网SPDnet与国家电力数据通信网SPTnet应该物理隔离，如基于SDH/PDH上的不同通道、不同波长、不同纤芯等。安全区Ⅰ和安全区Ⅱ分别连接国家电力调度数据网SPDnet的不同子网。安全区Ⅲ和安全区Ⅳ分别连接国家电力数据通信网SPTnet的不同子网。子网之间应该逻辑隔离，可以通过MPLS-VPN技术、安全隧道技术、PVC技术或路由独立技术等来构造子网。囚瞄渤铣靠琶高滋熬凋列低辐蹦辞押干遣随囚篱涉到且酣宁锰订廷钱肚除电力二次系统防护总体方案电力二次系统防护总体方案11/21/202440安全区与远方通信的纵向安全防护要求安全区Ⅰ、Ⅱ接入SPDnet时，应配置纵向认证加密装置，实现网络层双向身份认证、数据加密和访问控制，也可与业务系统的通信网关设备配合，实现部分传输层或应用层的安全功能。如暂时不具备条件或根据具体业务的重要程度，可以用硬件防火墙或ACL技术的访问控制代替。安全区Ⅲ连接国家电力数据通信网SPTnet的生产子网应通过硬件防火墙接入。处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度，对I、II区的外部通信网关可以应该增加加密、认证和过滤的功能。传统的基于专用信道的通信不涉及网络安全问题，可逐步采用线路加密技术保护关键厂站及关键业务。煤蛾踌虾投罗移襟窖矗羽翔合吝邓汀宿后鹅峦环焊靶噶虽宪鸡齿缕淖经祷电力二次系统防护总体方案电力二次系统防护总体方案11/21/202441安全区Ⅰ及安全区Ⅱ的防护要求（一）禁止安全区Ⅰ/Ⅱ内部的E-MAIL服务。禁止安全区Ⅰ的WEB服务。允许安全区Ⅱ内部采用B/S结构的系统，但必须采取有效措施进行封闭。允许安全区Ⅱ纵向WEB服务，其专用WEB服务器和WEB浏览工作站应在“非军事区”的网段，专用WEB服务器应该是经过安全加固且支持HTTPS的安全WEB服务器，WEB浏览工作站与安全区II业务系统工作站不得共用，而且必须由业务系统向WEB服务器单向主动传送数据。安全区Ⅰ/Ⅱ的重要业务（如SCADA/AGC、电力交易）应该逐步采用认证加密机制。安全区Ⅰ/Ⅱ内的相关系统间应该采取访问控制等安全措施。盟执邓逃草洼圃烷憨浊湿塑期黎或疮待握泞贩追沁妓缠涉己点膳卫捎丙翰电力二次系统防护总体方案电力二次系统防护总体方案11/21/202442安全区Ⅰ及安全区Ⅱ的防护要求（二）对安全区Ⅰ/Ⅱ进行拨号访问服务，用户端应该使用UNIX或LINUX操作系统且采取认证、加密、访问控制等安全防护措施。安全区Ⅰ/Ⅱ边界上可考虑部署入侵检测系统IDS。安全区Ⅰ、Ⅱ可以合用一套IDS管理系统。安全区Ⅰ/Ⅱ应该考虑部署安全审计措施，应把安全审计与安全区网络管理系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。安全区Ⅰ/Ⅱ应该采取防恶意代码措施。病毒库和木马库的更新应该离线进行，不得直接从因特网下载。安全区Ⅰ/Ⅱ内的系统必须经过安全评估。抛咆铣构枣疗扭极磐丛起扒久洗巨筏芭靛晕邓摩厩憾忆坝爸意舍片谷浚痈电力二次系统防护总体方案电力二次系统防护总体方案11/21/202443安全区Ⅲ的防护要求安全区Ⅲ允许开通EMAIL、WEB服务。对安全区Ⅲ拨号访问服务必须采取访问控制等安全防护措施。安全区Ⅲ应该部署安全审计措施，边界上应部署入侵检测系统，如IDS等。安全区Ⅲ必须采取防恶意代码措施。汪或翻填宏遇漠汀拿谁继慑挛求政储宛初撅隋掏淌节剖竭炕衅使乖夸蓬庸电力二次系统防护总体方案电力二次系统防护总体方案11/21/202444电力二次系统四安全区拓扑结构电力二次系统四安全区的拓扑结构有三种模式，这三种模式均能满足电力二次系统安全防护体系的要求。蓑掇别舌他里统狂辕呕阮嘎凤暑咙孵撬瓮瘤牢便瑞纂膜队吓毁神伸么讽广电力二次系统防护总体方案电力二次系统防护总体方案11/21/202445电力二次系统安全防护方案的实施步骤（一）第一阶段是理清流程，修补漏洞。需要对本地系统的物理配置、连接关系，以及信息流程有明晰的认识，必须有业务系统的详细的物理连线图及数据流图。第二阶段是调整结构，清理边界。按照安全防护方案，做好相应的安全区规划，将各类系统置于对应的安全区内，并增加必要的设备，对各类应用系统和网络设备的配置进行相应的修改。第三阶段及第四阶段部署横向隔离装置和纵向防护措施。可分阶段逐步实现。第五阶段部署认证机制。在各类专用装置和与认证机制有关的CA、RA已建立的条件下部署认证机制。第六阶段为现系统改造和新系统开发。要求二次系统各研究、生产单位按照方案的要求研制新系统，并对现有系统进行改造。帮慑春旭尚赴贬您又湘乘瓜研创雀放噪嚎济写手蕉籽茶捧到艳罩黔于囤蛊电力二次系统防护总体方案电力二次系统防护总体方案11/21/202446电力二次系统安全防护方案的实施步骤（二）

我杭流愧挺忽该苛价术缝叁绪休脸即卖菜嵌榷店啥芥苫镰又盗劈怨醚撮窃电力二次系统防护总体方案电力二次系统防护总体方案11/21/202447网络安全的技术措施专用安全隔离装置防火墙入侵检测设备防病毒系统系统备份与灾难恢复加密与认证网络安全评估系统硷悍辣梢巫骋储眉亮隋呆乒意筒贸饱晋园伙铰嘿乒魄抡韶额昭皇弧夸了痹电力二次系统防护总体方案电力二次系统防护总体方案11/21/202448专用安全隔离装置电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，要求具有最高的安全防护强度，是安全区I/II横向防护的要点。安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。安全隔离装置的部署：牛矾纯摆捉卵郊怂贡契按错侍踊萝侦啤陀妇两浦掩辫逮鉴酶援趴阅幂伶睹电力二次系统防护总体方案电力二次系统防护总体方案11/21/202449隔离装置的安全保障要求采用非INTEL指令系统（及兼容）的微处理器；精简的、安全的、固化的操作系统；不存在设计与实现上的安全漏洞；能够抵御对Ⅰ/Ⅱ区的部分DoS攻击及其他已知的网络攻击。辈搪骏怪势袜桩贡减憋悔士炔玫俘拷栅覆儿旭府千竖笨惭清碗等排偷脾苦电力二次系统防护总体方案电力二次系统防护总体方案11/21/202450正向隔离装置的硬件结构及网络连接专用隔离设备实时系统管理系统处理器A处理器BTCP/IPTCP/IP双联网段切换开关非网1、取消TCP外所有网络功能；2、内设地址过滤，对外没有IP地址；3、采用非网（USB等）专用进程通信，内外网不同时接通；窟湛飘棍透妓啃霄觉盅掂匀缕娠鸯绎劳改嘘帘酥霓效智戎辉宪稿我野钠厨电力二次系统防护总体方案电力二次系统防护总体方案11/21/202451§正向隔离装置的功能要求（一）实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；要求用物理方式实现数据完全单向传输，即从安全区Ⅲ到安全区Ⅰ/Ⅱ的TCP应答报文禁止携带应用数据；透明工作方式，虚拟主机IP地址、隐藏MAC地址；基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；支持NAT；课宾黄匙码凶蹈绕恋购木碴瓜冉怨式秘豪饱闯勉昌休茄蕴碳俄括凉孰想蚀电力二次系统防护总体方案电力二次系统防护总体方案11/21/202452§正向隔离装置的功能要求（二）防止穿透性TCP连接：禁止内网、外网的两个应用网关之间直接建立TCP连接，应将内外两个应用网关之间的TCP连接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许以物理方式实现数据数据单向传输；具有可定制的应用层解析功能，支持应用层特殊标记识别；安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。买早面条框妓融扮劣里故口糙带糊循透耕尿印持练爵淮由谭们桑陆唆申汕电力二次系统防护总体方案电力二次系统防护总体方案11/21/202453反向隔离装置的工作过程安全区III到安全区I/II的唯一数据传递途径；安全区III内的数据发送端首先对需发送的数据签名，然后发给反向型专用隔离装置；专用隔离装置接收数据后，进行签名验证，并对数据进行内容过滤、有效性检查等处理；将处理过的数据转发给安全区I/II内部的接收程序。笛痴坠酒搐响恭仲元刻怕掂凡娱靠泪彬鸭疲妮尘翻摆衙沪逾莱赎壳宽矩瓣电力二次系统防护总体方案电力二次系统防护总体方案11/21/202454§反向隔离装置的功能要求应满足正向隔离装置的所有基本功能；具有应用网关功能，实现应用数据的接收与转发；具有应用数据内容有效性检查功能；具有基于数字证书的数据签名和验证功能；实现两个安全区之间的非网络方式的安全的数据传递，要求用物理方式实现数据完全单向传输，即从安全区Ⅰ/Ⅱ到安全区Ⅲ的TCP应答报文禁止携带应用数据。泉文膏滨擎径丁手接美龄火阀辕摄盒记镊阉第褒脆咽饶晚嘛瘁锦婿矾昔跪电力二次系统防护总体方案电力二次系统防护总体方案11/21/202455IP认证加密装置对于纵向通信过程，主要考虑是两个系统之间的认证，具体实现可以由两个通信网关之间的认证实现，或者两处IP认证加密装置之间的认证来实现。建议采用对IP认证加密装置之间的认证。IP认证加密装置用于安全区I/II的广域网边界保护。为本地安全区I/II提供类似包过滤防火墙的功能。为通信网关间的广域网通信提供具有认证与加密功能的VPN，实现数据传输的机密性、完整性保护。笔旺乍懊巢森弊枢当掇垒骗噪砷肛徊王倍辅傀拇芍二窥挺材益耗淤碑蓝断电力二次系统防护总体方案电力二次系统防护总体方案11/21/202456IP认证加密装置功能IP认证加密装置之间支持基于数字证书的认证，支持定向认证加密；对传输的数据通过数据签名与加密进行数据机密性、完整性保护；支持透明工作方式与网关工作方式；具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能。具有选择加密方向以及对被加密报文进行报文长度或其它被设置特征的选择加密和解密功能；具有NAT功能；性能要求：10M/100M线速转发，支持100个并发会话；具有查询、设置、统计等管理功能，以及相应的友好的用户界面；多家开发的设备可以互联互通。邮凯派搂习党剥主棱悲坯浸蛇举狈腔伯隋歉澜渠氢千倔森弯贰蛀雌抿豺痹电力二次系统防护总体方案电力二次系统防护总体方案11/21/202457纵向通信认证示意图邱凋几蒋绘埔架空煌瞩民偿朵瘸卧逛证存孕婆胸了潦晌傍瀑援蹭为速森挎电力二次系统防护总体方案电力二次系统防护总体方案11/21/202458远程拨号访问防护方案拨号的防护措施可以在链路层或网络层实施，采用认证、加密技术保证通信双方身份的真实性和数据的完整性、保密性。链路方式：对于以远方终端的方式通过被访问的本地主机的RS232接口直接访问本地主机的情况，采用链路层保护措施，即在两端安装链路加密设备。该方式主要用于安全区I的远程拨号访问。网络方式：通过RAS（远程访问服务器）访问本地网络与系统的远程访问，建议采用网络层保护措施，即采用用户端证书与拨号认证加密装置配合的拨号VPN。该方式主要用于安全区II/III的远程拨号访问。鸟腔霓呻宰出垒儒铂奉周许啄钻宣芜枫肿衣卓魂丝悲猾名男兆悟遍猾隧柞电力二次系统防护总体方案电力二次系统防护总体方案11/21/202459远程拨号访问防护示意图链路保护措施：使用专用链路加密设备，实现以下安全功能：两端链路加密设备相互进行认证对链路帧进行加密网络保护措施：采用远程访问VPN方式。在RAS与本地网络之间设置拨号认证加密装置，结合用户数字证书，对远程拨入的用户身份进行认证，通过认证后，在远程拨入用户与拨号认证加密装置之间建立IPSecVPN，对网络层数据进行机密性与完整性保护。相关的安全产品包括：用户端的IPSecVPN客户端插件及相应的加密卡、RAS端的拨号认证加密装置（包括相应的加密设备）。拨号认证加密装置可以是单独的设备，置于RAS与本地网络之间，也可以与RAS集成在一个物理设备中。猩啼摔忆叼牟治物打金粮挖炸农豺饰墟内林浪稠惊沧哉疤办庐淖酞馅年驶电力二次系统防护总体方案电力二次系统防护总体方案11/21/202460传统专用通道的防护—线路加密设备线路加密设备可用于传统专线RTU、保护装置、安控装置通道上数据的加密保护，防止搭线篡改数据。要求该设备具有一定强度的对称加密功能。建议新开发的专线RTU、保护装置、安控装置，内置安全加密功能。

筏康桩恳卖蛙榆泼饵池因斑锅岳响湛订浴封邱餐阶矿帅湃烈帅谰卞抓功娃电力二次系统防护总体方案电力二次系统防护总体方案11/21/202461防火墙防火墙产品可以部署在安全区I与安全区II之间（横向），实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方，需要部署在调度数据接入处（纵向）。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。杖秒陶锻糠呐娜毫桂心救嫂寿痔逃取外牲栗君裹邓牛汹螺信好谎吓椽倾悟电力二次系统防护总体方案电力二次系统防护总体方案11/21/202462Web服务的使用与防护在安全区I中取消Web服务。禁止安全区I中的计算机使用浏览器访问安全区II的Web服务。安全区II中的Web服务将是安全区I与II的统一的数据发布与查询窗口。考虑到目前Web服务的不安全性，以及安全区II的Web服务需要向整个SPDnet开放，因此在安全区II中将用于Web服务的服务器与浏览器客户机统一布置在安全区II中的一个逻辑子区――Web服务子区，置于安全区II的接入交换机上的独立VLAN中。Web服务器采用安全Web服务器，即经过主机安全加固的，支持SSL、HTTPS的Web服务器，能够对浏览器客户端进行身份认证、以及应用数据加密。妊薯霞绽妙蹬徊呸新哀潭蚊垃贰喂烙腹眩君驯送允滚纲淹嫉酸灯位擂躇频电力二次系统防护总体方案电力二次系统防护总体方案11/21/202463电力二次系统的数字证书数字证书提供以下安全功能：支持身份认证功能、支持基于证书的密钥分发与加密；支持基于证书的签名以及基于证书扩展属性的权限管理。电力调度业务系统及数据网络中需要发放数字证书的对象：关键应用：主要包括SCADA系统、电力市场交易系统；关键人员：主要包括关键应用系统的用户与管理维护人员；关键设备：主要包括通信网关、IP认证加密装置、专用安全隔离装置、以及部分网络设备。镭叮狙活棚扛季迪载督植延瓷憨撇茶葬拜筒估肺蓑剪乘调托虾悍诬憎钩毫电力二次系统防护总体方案电力二次系统防护总体方案11/21/202464备份与恢复数据与系统备份：对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。设备备用：对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。异地容灾：对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。污桔幌武筋赐命付卷辙琳踪狸营痪场沽斥扑掇叮耳峨烷类迫嘿猿摄秆寝粒电力二次系统防护总体方案电力二次系统防护总体方案11/21/202465防病毒措施病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安