电力二次系统的安全保护计划

电力二次系统安全防护方案

一、序言

为认真贯彻贯彻国家经贸委［2023］第30号令《电网和电厂

计算机监控系统及调度数据网络安全防护的规定》和2023年12

月20日国家电力监管委员会公布［2023］5号令《电力二次系统

安全防护规定》等有关文献精神，保证我企业机组安全、优质、

稳定运行，根据《全国电力二次系统安全防护总体方案》，结合

企业SIS系统目前的实际状况，特制定本方案。

二、电力安全防护日勺总体原则

（一）安全防护目日勺

电力二次系统安全防护的重点是保证电力实时闭环监控系

统及调度数据网络的安全，目日勺是抵御黑客、病毒、恶意代码等

通过多种形式对系统发起日勺恶意破坏和袭击，尤其是可以抵御集

团式袭击，防止由此导致一次系统事故或大面积停电事故及二次

系统的瓦解或瘫痪。

（二）有关日勺安全防护法规

1.2004年12月20日国家电力监管委员会公布［2023］5号

令《电力二次系统安全防护规定》

2.2023年5月，国家经贸委公布30号令《电网和电厂计

算机监控系统及调度数据网络安全防护的规定》

3.2023年12月，全国电力二次系统安全防护专家组和工

作组公布《全国电力二次系统安全防护总体方案》

4.2023年《电力系统安全性评价体系》

5.《中国国电集团企业广域网管理措施》

6.《中国国电集团企业安全管理规范》

7.《中国国电集团企业信息化建设和管理技术路线》

8.《中华人民共和国计算机信息系统安全保护条例》

9.《计算机信息系统安全保护等级划分准则》

（三）电力二次系统安全防护方略

电力二次系统安全防护总体框架规定电厂二次系统的安全

防护技术方案必须按照国家经贸委［2023］第30号令《电网和电

厂计算机监控系统及调度数据网络安全防护日勺规定》和国家电力

监管委员会［2023］第5号令《电力二次系统安全防护规定》进行

设计。同步，要严格遵照集团企业颁布的《中国国电集团企业信

息化建设和管理技术路线》中对电力二次系统安全防护技术方案

的有关技术规定。

1.安全防护日勺基本原则

(1)系统性原则(木桶原理)；

(2)简朴性和可靠性原则；

(3)实时、持续、安全相统一的原则；

(4)需求、风险、代价相平衡的原则；

(5)实用性与先进性相结合的原则；

(6)以便性与安全性相统一的原则；

(7)全面防护、突出重点日勺原则；

(8)分层分区、强化边界的原则；

(9)整体规划、分布实行的原则；

(10)责任到人，分级管理，联合防护的原则。

2.安全方略

安全方略是安全防护体系日勺关键，是安全工程日勺中心。安全

方略可以分为总体方略、面向每个安全目日勺的详细方略两个层

次。方略定义了安全风险日勺处理思绪、技术路线以及相配合的管

理措施。安全方略是系统安全技术体系与管理体系日勺根据。

电力二次系统的安全防护方略为：

(1)安全分区：根据系统中各业务的重要性和对一次系统

时影响程度划分为四个安全区：控制区I、生产区n、管理区ni、

信息区w,所有系统都必须置于对应的安全区内。

(2)网络专用：建立专用电力调度数据网络，与电力企业

数据网络实现物理隔离，在调度数据网上形成互相逻辑隔离日勺实

时子网和非实时子网，防止安全区纵向交叉连接。

(3)横向隔离：采用不一样强度日勺安全设备隔离各安全区,

尤其是在生产控制大区与管理信息大区之间实行有效安全隔离，

隔离强度应靠近或到达物理隔离。

(4)纵向认证：采用认证、加密、访问控制等技术实现生

产控制数据的远程安全传播以及纵向边界的安全防护。

3.电力二次系统日勺安全区划分

根据电力二次系统日勺特点，各有关业务系统的重要程度和数

据流程、目前状况知安全规定，将整个电力二次系统分为四个安

全区：1实时控制区、II非控制生产区、III生产管理区、IV管理

信息区。其中，I区和II区构成生产控制大区，in区和iv区构

成管理信息大区。

不一样的安全区确定了不一样的安全防护规定，从而决定了

不一样的安全等级和防护水平。其中安全区I的安全等级最高，

安全区II次之，其他依次类推。

在各安全区之间，均需选择合适日勺经国家有关部门认证时隔

离装置。生产控制大区与管理信息大区之间必须采用经国调中心

承认的电力专用安全隔离装置。

在安全区中内部局域网与外部边界通信网络之间应采用功

能上相称于通信网关或强于通信网关的内外网日勺隔离装置。

4.业务系统或功能模块置于安全区的规则

根据该系统的实时性、使用者、功能、场所、在各业务系统

的互相关系、广域网通信日勺方式以及受到袭击之后所产生的影

响，将其分置于四个安全区之中。

实时控制系统或未来也许有实时控制功能的系统需置于安

全区I。如：机组监控系统，实时性很强。用于在线控制，因此

置于安全区Io

电力二次系统中不容许把本属于高安全区的业务系统迁移

到低安全区。容许把属于低安全区日勺业务系统的终端设备放置于

高安全区，由属于高安全区日勺人员使住。

某些业务系统的次要功能与根据重要功能所选定日勺安全区

不一致时，可根据业务系统的数据流程将不一样日勺功能模块（或

子系统）分置于各安全区中，各功能模块（或子系统）通过安全

区之间的通信来构成整个业务系统。

自我封闭日勺业务系统为孤立业务系统，其划分规则不作规

定，但需遵守所在安全区日勺安全防护规定。

各电力二次系统原则上均应划分为四安全区，但并非四安全

区都必须存在。某安全区不存在日勺条件是其自身不存在该安全区

的业务，且与其他电网二次系统在该层安全区不存在“纵”向互

联。假如省略某安全区而导致上下级安全区日勺纵向交叉，则必须

保留安全区间的隔离设备，以保障安全防护体系日勺完整性。

5.安全区之间日勺横向隔离规定

在各安全区之间均需选择合适安全强度的隔离装置，尤其在

生产控制大区和管理信息大区之间要选择使用到达或靠近物理

强度的专用隔离装置。详细隔离装置日勺选择不仅需要考虑网络安

全的规定，还需要考虑带宽及实时性的规定。隔离装置必须是国

产设备并通过国家或电力系统有关部厂认证。

三、实行方案

（一）系统安全区规划

现场生产控制系统（包括DCS、辅控系统、RTU、省调系统）,

SIS系统，MIS系统。根据《电力二次安全防护方案第七稿》日勺

规定，既有的业务系统中，机组DCS系统、其他辅控系统及RTU

应属于安全区I和安全区H,SIS系统应属于安全区HI（备注:

电厂在前期规划中将SIS系统严格定位至安全区III,从网络方

面按照国家对安全区HI日勺有关规定进行规划实行，并且其系统

功能方面也完全符合安全in区的定位，即“sis系统实现电力

调度生产的管理功能，但不具有控制功能，不在线运行，可不使

用电力调度数据网络，与调度中心或控制中心工作人员日勺桌面终

端直接有关，与安全区IV日勺办公自动化系统关系亲密J）,MIS

系统应属于安全区IV。

根据国家二次防护规定，本厂级实时管理信息系统（SIS）

在实行过程中安全防护规定及措施如下：

该项目所连接现场控制系统，包括主机分散控制系统（DCS）、

化水程控系统、输煤程控系统、除灰程控系统和除渣控制系统，

属于安全区I,尚有RTU系统和省调系统，属于安全区II,都属

于生产控制大网的范围。这些系统与SIS系统数据传播按照国家

安全防护规定必须采用经有关部门认定核准的专用安全隔离装

置。本项目在现场之产控制系统与SIS服务器之间安顿了经国家

有关部门认证的电力系统专用网络隔离装置正向型（珠海鸿瑞

Hrwall-85M-H）,保证现场数据采集完全单向传播，保证了生产

控制大网的安全性。

本项目还连接了同属于管理信息大网日勺MIS系统（安全区

IV）,按照国家安全防护日勺规定，本系统与MIS系统之间安顿了

防火墙以保证各自系统日勺安全性。

本项目安全防护规划示意图：（见附图二）

（二）项目实行简介

在项目的规划和实行过程中，我企业一直遵照国家对电力二

次系统安全防护日勺规定并明确本项目系统在电厂信息自动化系

统中所处位置，配置五台得到国家有关部门认证时正向隔离装置

用于安全区I/H到安全区HI之间，保证数据单向传递，对数

据传递的稳定性、完整性、实时性提供了保证，详见附图三。

四、隔离装置安全性能阐明

（-）正向装置对通信程序的限制

根据国调对隔离装置日勺规定，其通信功能如下：

1.由内到外的完全单向模式，UDP协议，外网不能返回任

何数据。

2.由内到外日勺单向数据模式，TCP协议，外网可以返回（按

国调规定）不大于4字节时应用层应答数据（并被限制不可重新

构成大包）。

3.安全、以便的维护管理方式：基于证书的管理人员认证,

图形化的管理界面。

（-）正向隔离装置功能

安全隔离装置（正向）具有如下功能：

1.实现两个安全区之间日勺非网络方式日勺安全的数据互换，

并且保证安全隔离装置内外两个处理系统不一样步连通；

2.表达层与应用层数据完全单向传播，即从安全区ni到

安全区I/II的TCP应答严禁携带应用数据；

3.透明工作方式：虚拟主机IP地址、隐藏MAC地址；

4.基于MAC、IP、传播协议、传播端口以及通信方向的综

合报文过滤与访问控制；

5.支持NAT；

6.防止穿透性TCP联接：严禁两个应用网关之间直接建立

TCP联接，将内外两个应用网关之间日勺TCP联接分解成内外两个

应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔

离装置内外两个网卡在装置内部是非网络连接，且只容许数据单

向传播。

7.具有可定制日勺应用层解析功能，支持应用层特殊标识识

别；

（三）装置安全保障要点

专用安全隔离装置自身应当具有较高的安全防护能力，其安

全性规定重要包括：

1.采用非INTEL指令系统日勺（及兼容）微处理器;

2.安全、固化日勺日勺操作系统；

3.不存在设片与实现上日勺安全漏洞；

4.抵御除DoS以外日勺已知的网络袭击。

（四）设计原则

装置采用网络隔离设备及防火墙等技术，属于结合型专用安

全隔离产品，参照原则如下：

1.中华人民共和国国标GB/T18020-1999

2.《信息技术应用级防火墙安全技术规定》

3.中华人民共和国国标GB/T17900-1999

4.《网络代理服务器日勺安全技术规定》

5.中华人民共和国国标GB/T18019-1999

6.《信息技术包过滤防火墙安全技术规定》

7.中华人民共和国公共安全行业原则

8.《网络隔离设备日勺安全技术规定》

（五）安全方略定位

1.监控系统的网络安全屏障

一种网络隔离装置（作为阻塞点、控制点）能极大地提高一

种监控系统的安全性，并通过过滤不安全日勺服务而减少风险。由

于只有通过精心选择日勺应用协议才能通过网络隔离装置，因此网

络环境变得更安全。如网络隔离装置可以严禁诸如众所周知日勺不

安全的NFS协议进出受保护网络，这样外部的袭击者就不也许运

用这些脆弱的协议来袭击监控系统。网络隔离装置同步可以保护

网络免受基于路由的袭击，如IP选项中的源路由袭击和ICMP重

定向中的重定向途径。网络隔离装置应当可以拒绝所有以上类型

袭击的报文并告知网络隔离装置管理员。

2.简化网络安全方略，无需修改双端程序

通过以网络隔离装置为中心的安全方案配置，能将所有安全

方略配置在网络隔离装置上。与将网络安全问题分散到各个主机

上相比，网络隔离装置日勺集中安全管理更以便可靠。例如在网络

访问时，监控系统通过加密口令/身份认证方式与其他信息系统

通信，在电力监控系统基本上不可行，它意味监控系统要重新测

试，因此用网络隔离装置集中控制，无需修改双端应用程序是最

佳的选择。

3.对网络存取和访问进行监控

假如所有的访问都通过网络隔离装置，那么，网络隔离装置

就能记录下这些访问并作出日志记录，同步也能提供网络使用状

况的记录数据。当发生可疑动作时，网络隔离装置能进行合适日勺

报警，并提供网络与否受到监测和袭击的详细信息。

4.防止监控系统信息外泄，不为外部袭击发明条件

通过网络隔离装置对监控系统及其他信息系统日勺划分，实现

监控系统重点网段的隔离，一种监控系统中不引人注意日勺细节也

许包括了有关安全的线索而引起外部袭击者的爱好，甚至因此而

暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽

那些透漏内部细节，例如网络隔离装置可以进行网络地址转换

(NAT),这样一台主机I