電力二次系統安全防護需要哪些設備？系統架構設計和系統驗收標準及規范標準?

電力二次系統安全防護設備清單(南網/廣東某些地區):

國網江浙某些地區

電力安全防護的總體原則

（一）安全防護目標

電力二次系統安全防護的重點是確保電力實時閉環監控系統及調度數據網絡的安全，目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導致一次系統事故或大面積停電事故及二次系統的崩潰或癱瘓。

（二）相關的安全防護法規

1.2004年12月20日國家電力監管委員會發布【2005】5號令《電力二次系統安全防護規定》

2.2002年5月，國家經貿委發布30號令《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》

3.2003年12月，全國電力二次系統安全防護專家組和工作組發布《全國電力二次系統安全防護總體方案》

4. 2003年《電力系統安全性評價體系》

5. 《中國國電集團公司廣域網管理辦法》

6. 《中國國電集團公司安全管理規范》

7. 《中國國電集團公司信息化建設和管理技術路線》

8. 《中華人民共和國計算機信息系統安全保護條例》

9. 《計算機信息系統安全保護等級劃分準則》

（三）電力二次系統安全防護策略

電力二次系統安全防護總體框架要求電廠二次系統的安全防護技術方案必須按照

國家經貿委【2002】第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》和國家電力監管委員會 【2005】第5號令《電力二次系統安全防護規定》進行設計。同時，要嚴格遵循集團公司頒布的《中國國電集團公司信息化建設和管理技術路線》中對電力二次系統安全防護技術方案的相關技術要求。

在滿足“安全分區，網絡專用，橫向隔離，縱向認證”安全防護策略的基礎上，按照國家信息安全等級保護要求，防護策略從重點以邊界防護為基礎過渡到全過程安全防護，形成具有縱深防御的安全防護體系，實現對電力生產控制系統及調度數據網絡的安全保護，尤其是智能電網中控制過程的安全保護。

安全分區

原則上劃分為生產控制大區和管理信息大區。生產控制大區可以分為控制區（又稱安全區Ⅰ）和非控制區（又稱安全區Ⅱ）。

生產控制大區的安全區劃分（1）控制區（安全區Ⅰ）

控制區中的業務系統或功能模塊（或子系統）的典型特征為；是電力生產的重要環節，直接實現對電力一次系統的實時監控，縱向使用電力調度數據網絡或專用通道，是安全防護的重點與核心。

控制區的典型業務系統包括電力數據采集和監控系統、能量管理系統、廣域相量測量系統、配電網自動化系統、變電站自動化系統、發電廠自動控制系統等，其主要使用者為調度員和運行操作人員，數據傳輸實時性為毫秒級或秒級，其數據通信使用電力調度數據網的實時子網或專用通道進行傳輸。該區內還包括采用專用通道的控制系統，如：繼電保護、安全自動控制系統、低頻（或低壓）自動減負荷系統、負荷管理系統等，這類系統對數據傳輸的實時性要求為毫秒級或秒級，其中負荷管理系統為分鐘級。 （2）非控制區（安全區Ⅱ）

非控制區中的業務系統或其功能模塊的典型特征為：是電力生產的必要環節，在線運行但不具備控制功能，使用電力調度數據網絡，與控制區中的業務系統或功能模塊聯系緊密。非控制區的典型業務系統包括調度員培訓模擬系統、水庫調度自動化系統、繼電保護及故障錄波信息管理系統、電能量計量系統、電力市場運營系統等，其主要使用者分別為電力調度員、水電調度員、繼電保護人員及電力市場交易員等。在廠站端還包括電能量遠方終端、故障錄波裝置及發電廠的報價系統等。非控制區的數據采集頻度是分鐘級或小時級，其數據通信使用電力調度數據網的非實時子網。

管理信息大區的安全區劃分

管理信息大區是指生產控制大區以外的電力企業管理業務系統的集合。電力企業可根據具體情況劃分安全區，但不應影響生產控制大區的安全。

生產控制大區內部安全防護要求

（1）禁止生產控制大區內部的E-Mail服務，禁止控制區內通用的WEB 服務。

（2）允許非控制區內部業務系統采用B/S 結構，但僅限于業務系統內部使用。允許提供縱向安全WEB 服務，可以采用經過安全加固且支持HTTPS 的安全WEB 服務器和WEB 瀏覽工作站。

（3）生產控制大區重要業務（如SCADA/AGC、電力市場交易等）的遠程通信必須采用加密認證機制，對已有系統應逐步改造。

（4）生產控制大區內的業務系統間應該采取VLAN和訪問控制等安全措施，限制系統間的直接互通。

（5）生產控制大區的撥號訪問服務，服務器和用戶端均應使用經國家指定部門認證的安全加固的操作系統，并采取加密、認證和訪問控制等安全防護措施。

（6）生產控制大區邊界上可以部署入侵檢測系統IDS。

（7）生產控制大區應部署安全審計措施，把安全審計與安全區網絡管理系統、綜合告警系統、IDS管理系統、敏感業務服務器登錄認證和授權、應用訪問權限相結合。

（8）生產控制大區應該統一部署惡意代碼防護系統，采取防范惡意代碼措施。病毒庫、木馬庫以及IDS規則庫的更新應該離線進行。

六、網絡專用

電力力調度數據網是為生產控制大區服務的專用數據網絡，承載電力實時控制、在線生產交易等業務。安全區的外部邊界網絡之間的安全防護隔離強度應該和所連接的安全區之間的安全防護隔離強度相匹配。

電力調度數據網應當在專用通道上使用獨立的網絡設備組網，采用基于SDH/PDH不同通道、不同光波長、不同纖芯等方式，在物理層面上實現與電力企業其它數據網及外部公共信息網的安全隔離。

電力調度數據網劃分為邏輯隔離的實時子網和非實時子網，分別連接控制區和非控制區?？刹捎肕PLS-VPN 技術、安全隧道技術、PVC技術、靜態路由等構造子網。

電力調度數據網應當采用以下安全防護措施：

（1）網絡路由防護

按照電力調度管理體系及數據網絡技術規范，采用虛擬專網技術，將電力調度數據網分割為邏輯上相對獨立的實時子網和非實時子網，分別對應控制業務和非控制生產業務，保證實時業務的封閉性和高等級的網絡服務質量。

（2）網絡邊界防護

應當采用嚴格的接入控制措施，保證業務系統接入的可信性。經過授權的節點允許接入電力調度數據網，進行廣域網通信。數據網絡與業務系統邊界采用必要的訪問控制措施，對通信方式與通信業務類型進行控制；在生產控制大區與電力調度數據網的縱向交接處應當采取相應的安全隔離、加密、認證等防護措施。對于實時控制等重要業務，應該通過縱向加密認證裝置或加密認證網關接入調度數據網。

（3）網絡設備的安全配置

網絡設備的安全配置包括關閉或限定網絡服務、避免使用默認路由、關閉網絡邊界OSPF 路由功能、采用安全增強的SNMPv2 及以上版本的網管協議、設置受信任的網絡地址范圍、記錄設備日志、設置高強度的密碼、開啟訪問控制列表、封閉空閑的網絡端口等。

（4）數據網絡安全的分層分區設置

電力調度數據網采用安全分層分區設置的原則。省級以上調度中心和網調以上直調廠站節點構成調度數據網骨干網（簡稱骨干網）。省調、地調和縣調及省、地直調廠站節點構成省級調度數據網（簡稱省網）。 縣調和配網內部生產控制大區專用節點構成縣級專用數據網?？h調自動化、配網自動化、負荷管理系統與被控對象之間的數據通信可采用專用數據網絡，不具備專網條件的也可采用公用通信網絡（不包括因特網），且必須采取安全防護措施。七、橫向隔離

橫向隔離是電力二次安全防護體系的橫向防線。采用不同強度的安全設備隔離各安全區，在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應接近或達到物理隔離。電力專用橫向單向安全隔離裝置作為生產控制大區與管理信息大區之間的必備邊界防護措施，是橫向防護的關鍵設備。生產控制大區內部的安全區之間應當采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施，實現邏輯隔離。

按照數據通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產控制大區到管理信息大區的非網絡方式的單向數據傳輸。反向安全隔離裝置用于從管理信息大區到生產控制大區單向數據傳輸，是管理信息大區到生產控制大區的唯一數據傳輸途徑。反向安全隔離裝置集中接收管理信息大區發向生產控制大區的數據，進行簽名驗證、內容過濾、有效性檢查等處理后，轉發給生產控制大區內部的接收程序。專用橫向單向隔離裝置應該滿足實時性、可靠性和傳輸流量等方面的要求。

嚴格禁止E-Mail、WEB、Telnet、Rlogin、FTP 等安全風險高的通用網絡服務和以B/S 或C/S 方式的數據庫訪問穿越專用橫向單向安全隔離裝置，僅允許純數據的單向安全傳輸?？刂茀^與非控制區之間應采用國產硬件防火墻、具有訪問控制功能的設備或相當功能的設施進行邏輯隔離。

八、縱向認證

縱向加密認證是電力二次系統安全防護體系的縱向防線。采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。對于重點防護的調度中心、發電廠、變電站在生產控制大區與廣域網的縱向連接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現雙向身份認證、數據加密和訪問控制。暫時不具備條件的可以采用硬件防火墻或網絡設備的訪問控制技術臨時代替。

縱向加密認證裝置及加密認證網關用于生產控制大區的廣域網邊界防護?？v向加密認證裝置為廣域網通信提供認證與加密功能，實現數據傳輸的機密性、完整性保護，同時具有類似防火墻的安全過濾功能。加密認證網關除具有加密認證裝置的全部功能外，還應實現對電力系統數據通信應用層協議及報文的處理功能。

對處于外部網絡邊界的其他通信網關，應進行操作系統的安全加固，對于新上的系統應支持加密認證的功能。

重點防護的調度中心和重要廠站兩側均應配置縱向加密認證裝置;當調度中心側已配置縱向加密認證裝置時，與其相連的小型廠站側可以不配備該裝置，此時至少實現安全過濾功能。 傳統的基于專用通道的數據通信不涉及網絡安全問題，新建系統可逐步采用加密等技術保護關鍵廠站及關鍵業務。