電力系統(tǒng)二次安防系統(tǒng)實(shí)行方案

本方案依據(jù)國(guó)家電力監(jiān)管委員會(huì)第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》和原

國(guó)家經(jīng)貿(mào)委第30號(hào)令《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的

規(guī)定》。電力二次系統(tǒng)安全防護(hù)的總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、

縱向認(rèn)證”。安全防護(hù)重要針對(duì)網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng)，重點(diǎn)

強(qiáng)化邊界防護(hù)，提高內(nèi)部安全防護(hù)能力，保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的

安全。

安全防護(hù)方案概述

根據(jù)《電力二次系統(tǒng)安全防護(hù)規(guī)定》的規(guī)定，電力二次系統(tǒng)安全防護(hù)總體方

案的框架結(jié)構(gòu)如圖所示。

電力二次系統(tǒng)安全防護(hù)總體框架結(jié)構(gòu)示意圖

安全分區(qū)

安全分區(qū)是電力二次系統(tǒng)安全防護(hù)體系的結(jié)構(gòu)基油。發(fā)電公司、電網(wǎng)公司和供電

公司內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管

理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（又笄安全區(qū)I）和非控制區(qū)（又稱

安全區(qū)H）。

生產(chǎn)控制大區(qū)的安全區(qū)劃分：

（1）控制區(qū)（安全區(qū)I）：

控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊（或子系統(tǒng)）的典型特性為：是電力生產(chǎn)的重

要環(huán)節(jié)，直接實(shí)現(xiàn)對(duì)電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或

專用通道，是安全防護(hù)的重點(diǎn)與核心。

控制區(qū)的典型業(yè)務(wù)系統(tǒng)涉及電力數(shù)據(jù)采集和監(jiān)控系統(tǒng)、能量管理系統(tǒng)、廣域相量

測(cè)量系統(tǒng)、配電網(wǎng)自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)等，其

重要使用者為調(diào)度員和運(yùn)營(yíng)操作人員，數(shù)據(jù)傳輸實(shí)時(shí)性為毫秒級(jí)或秒級(jí)，其數(shù)

據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ肋M(jìn)行傳輸。該區(qū)內(nèi)還涉及采用

專用通道的控制系統(tǒng)，如：繼電保護(hù)、安全自動(dòng)控制系統(tǒng)、低頻（或低壓）自動(dòng)

減負(fù)荷系統(tǒng)、負(fù)荷管理系統(tǒng)等，這類系統(tǒng)對(duì)數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性規(guī)定為毫秒級(jí)或秒

級(jí)，其中負(fù)荷管理系統(tǒng)為分鐘級(jí)。

（2）非控制區(qū)（安全區(qū)II）：

非控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特性為：是電力生產(chǎn)的必要環(huán)節(jié)，

在線運(yùn)營(yíng)但不具有控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中的業(yè)務(wù)系統(tǒng)

或其功能模塊聯(lián)系緊密。

非控制區(qū)的典型業(yè)務(wù)系統(tǒng)涉及調(diào)度員培訓(xùn)模擬系統(tǒng)、水庫(kù)調(diào)度自動(dòng)化系統(tǒng)、繼電

保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)、電力市場(chǎng)運(yùn)營(yíng)系統(tǒng)等，其重要

使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護(hù)人員及電力市場(chǎng)交易員等。在

廠站端還涉及電能量遠(yuǎn)方終端、故障錄波裝置及發(fā)電廠的報(bào)價(jià)系統(tǒng)等。非控制區(qū)

的數(shù)據(jù)采集頻度是分鐘級(jí)或小時(shí)級(jí)，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)

子網(wǎng)。

管理信息大區(qū)的安全區(qū)劃分：

管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力公司管理業(yè)務(wù)系統(tǒng)的集合。電力公司

可根據(jù)具體情況劃分安全區(qū)，但不應(yīng)影響生產(chǎn)控制大區(qū)的安全。

業(yè)務(wù)系統(tǒng)分置于安全區(qū)的原則：

根據(jù)業(yè)務(wù)系統(tǒng)或其功能模塊的實(shí)時(shí)性、使用者、重要功能、設(shè)備使用場(chǎng)合、

各業(yè)務(wù)系統(tǒng)間的互相關(guān)系、廣域網(wǎng)通信方式以及對(duì)電力系統(tǒng)的影響限度等，通常

是按以下規(guī)則將業(yè)務(wù)系統(tǒng)或其功能模塊置于相應(yīng)的安全區(qū)：

(1)實(shí)時(shí)控制系統(tǒng)、有實(shí)時(shí)控制功能的業(yè)務(wù)模塊以及未來(lái)有實(shí)時(shí)控制功能

的業(yè)務(wù)系統(tǒng)應(yīng)置于控制區(qū)。

(2)應(yīng)當(dāng)盡也許將業(yè)務(wù)系統(tǒng)完整置于一個(gè)安全區(qū)內(nèi)。當(dāng)業(yè)務(wù)系統(tǒng)的某些功

能模塊與此業(yè)務(wù)系統(tǒng)不屬于同一個(gè)安全分區(qū)內(nèi)時(shí)，可將其功能模塊分置于相應(yīng)

的安全區(qū)中，通過(guò)安全區(qū)之間的安全隔離設(shè)施進(jìn)行通信。

（3）不允許把應(yīng)當(dāng)屬于高安全等級(jí)區(qū)域的業(yè)務(wù)系統(tǒng)或其功能模塊遷移到低

安全等級(jí)區(qū)域；但允許把屬于低安全等級(jí)區(qū)域的業(yè)務(wù)系統(tǒng)或其功能模塊放置于高

安全等級(jí)區(qū)域。

（4）對(duì)不存在外部網(wǎng)絡(luò)聯(lián)系的孤立業(yè)務(wù)系統(tǒng)，其安全分區(qū)無(wú)特殊規(guī)定，但

需遵守所在安全區(qū)的防護(hù)規(guī)定。

（5）對(duì)小型縣調(diào)、配調(diào)、小型電廠和變電站的二次系統(tǒng)可以根據(jù)具體情況不設(shè)

非控制區(qū)，重點(diǎn)防護(hù)控制區(qū)。

生產(chǎn)控制大區(qū)內(nèi)部安全防護(hù)規(guī)定：

（1）嚴(yán)禁生產(chǎn)控制大區(qū)內(nèi)部的E-Mail服務(wù)，嚴(yán)禁控制區(qū)內(nèi)通用的WEB服

務(wù)。

（2）允許非控制區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)采用B/S結(jié)構(gòu)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使

用。允許提供縱向安全WEB服務(wù)，可以采用通過(guò)安全加固且支持HTTPS的安全

WEB服務(wù)器和WEB瀏覽工作站。

（3）生產(chǎn)控制大區(qū)重要業(yè)務(wù)（如SCADA/AGC,電力市場(chǎng)交易等）的遠(yuǎn)程通信

必須采用加密認(rèn)證機(jī)制，對(duì)已有系統(tǒng)應(yīng)逐步改造.

（4）生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)當(dāng)采用VLAN和訪問(wèn)控制等安全措施,

限制系統(tǒng)間的直接互通。

（5）生產(chǎn)控制大區(qū)的撥號(hào)訪問(wèn)服務(wù)，服務(wù)器和用戶端均應(yīng)使用經(jīng)國(guó)家指定

部門(mén)認(rèn)證的安全加固的操作系統(tǒng)，并采用加密、認(rèn)證和訪問(wèn)控制等安全防護(hù)措

施。

（6）生產(chǎn)控制大區(qū)邊界上可以部署入侵檢測(cè)系統(tǒng)IDS。

（7）生產(chǎn)控制大區(qū)應(yīng)部署安全審計(jì)措施，把安全審計(jì)與安全區(qū)網(wǎng)絡(luò)管理系

統(tǒng)、綜合告警系統(tǒng)、IDS管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪問(wèn)

權(quán)限相結(jié)合。

（8）生產(chǎn)控制大區(qū)應(yīng)當(dāng)統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，采用防范惡意代碼措施。

病毒庫(kù)、木馬庫(kù)以及IDS規(guī)則庫(kù)的更新應(yīng)當(dāng)離線進(jìn)行。

管理信息大區(qū)安全規(guī)定：

應(yīng)當(dāng)統(tǒng)一部署防火墻、IDS、惡意代碼防護(hù)系統(tǒng)等通用安全防護(hù)設(shè)施。

安全區(qū)拓?fù)浣Y(jié)構(gòu)

電力二次系統(tǒng)安全區(qū)連接的拓?fù)浣Y(jié)構(gòu)有鏈?zhǔn)健⑷呛托切谓Y(jié)構(gòu)三種。

鏈?zhǔn)浇Y(jié)構(gòu)中的控制區(qū)具有較高的累積安全強(qiáng)度，但總體層次較多；

三角結(jié)構(gòu)各區(qū)可直接相連，效率較高，但所用隔離設(shè)備較多；

星形結(jié)構(gòu)所用設(shè)備較少、易于實(shí)行，但中心點(diǎn)故障影響范圍大。

三種模式均能滿足電力二次系統(tǒng)安全防護(hù)體系的規(guī)定，可根據(jù)具體情況選

用，見(jiàn)圖

電力二次系統(tǒng)安全區(qū)連接拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)專用

電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，承載電力實(shí)時(shí)控

制、在線生產(chǎn)交易等業(yè)務(wù)。安全區(qū)的外部邊界網(wǎng)絡(luò)之間的安全防護(hù)隔離強(qiáng)度應(yīng)當(dāng)

和所連接的安全區(qū)之間的安全防護(hù)隔離強(qiáng)度相匹配。

電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于

SDH/PDH不同通道、不同光波長(zhǎng)、不同纖芯等方式，在物理層面上實(shí)現(xiàn)與電力公

司其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接控制

區(qū)和非控制區(qū)。可采用MPLS-VPN技術(shù)、安全隧道技術(shù)、PVC技術(shù)、靜態(tài)路由等

構(gòu)造子網(wǎng)。

電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)采用以下安全防護(hù)措施：

(1)網(wǎng)絡(luò)路由防護(hù)

按照電力調(diào)度管理體系及數(shù)據(jù)網(wǎng)絡(luò)技術(shù)規(guī)范，采用虛擬專網(wǎng)技術(shù)，將電力

調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對(duì)獨(dú)立的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別相應(yīng)控制業(yè)

務(wù)和非控制生產(chǎn)業(yè)務(wù)，保證實(shí)時(shí)業(yè)務(wù)的封閉性和高等級(jí)的網(wǎng)絡(luò)服務(wù)質(zhì)量。

(2)網(wǎng)絡(luò)邊界防護(hù)

應(yīng)當(dāng)采用嚴(yán)格的接入控制措施，保證業(yè)務(wù)系統(tǒng)接入的可信性。通過(guò)授權(quán)的節(jié)

點(diǎn)允許接入電力調(diào)度數(shù)據(jù)網(wǎng)，進(jìn)行廣域網(wǎng)通信。數(shù)據(jù)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)邊界采用必

要的訪問(wèn)控制措施，對(duì)通信方式與通信業(yè)務(wù)類型進(jìn)行控制；在生產(chǎn)控制大區(qū)與電

力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應(yīng)當(dāng)采用相應(yīng)的安全隔離、加密、認(rèn)證等防護(hù)措施。

對(duì)于實(shí)時(shí)控制等重要業(yè)務(wù)，應(yīng)當(dāng)通過(guò)縱向加密認(rèn)任裝置或加密認(rèn)證網(wǎng)關(guān)接入調(diào)

度數(shù)據(jù)網(wǎng)。

（3）網(wǎng)絡(luò)設(shè)備的安全配置

網(wǎng)絡(luò)設(shè)備的安全配置涉及關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由、關(guān)閉網(wǎng)

絡(luò)邊界OSPF路由功能、采用安全增強(qiáng)的SNMPv2及以上版本的網(wǎng)管協(xié)議、沒(méi)立

受信任的網(wǎng)絡(luò)地址范圍、記錄設(shè)備日記、設(shè)立高強(qiáng)度的密碼、啟動(dòng)訪問(wèn)控制列表、

封閉空閑的網(wǎng)絡(luò)端口等。

（4）數(shù)據(jù)網(wǎng)絡(luò)安全的分層分區(qū)設(shè)立

電力調(diào)度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設(shè)立的原則c省級(jí)以上調(diào)度中心和網(wǎng)調(diào)以

上直調(diào)廠站節(jié)點(diǎn)構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)（簡(jiǎn)稱骨二網(wǎng)）。省調(diào)、地調(diào)和縣調(diào)及省、

地直調(diào)廠站節(jié)點(diǎn)構(gòu)成省級(jí)調(diào)度數(shù)據(jù)網(wǎng)（簡(jiǎn)稱省網(wǎng)）。

縣調(diào)和配網(wǎng)內(nèi)部生產(chǎn)控制大區(qū)專用節(jié)點(diǎn)構(gòu)成縣級(jí)專用數(shù)據(jù)網(wǎng)?？h調(diào)自動(dòng)化、

配網(wǎng)自動(dòng)化、負(fù)荷管理系統(tǒng)與被控對(duì)象之間的數(shù)據(jù)通信可采用專用數(shù)據(jù)網(wǎng)絡(luò)，不

具有專網(wǎng)條件的也可采用公用通信網(wǎng)絡(luò)（不涉及因特網(wǎng)），且必須采用安全防護(hù)

措施。

各層面的數(shù)據(jù)網(wǎng)絡(luò)之間應(yīng)當(dāng)通過(guò)路由限制措施進(jìn)行安全隔離。當(dāng)縣調(diào)或配調(diào)

內(nèi)部采用公用通信網(wǎng)時(shí)，嚴(yán)禁與調(diào)度數(shù)據(jù)網(wǎng)互聯(lián)。保證網(wǎng)絡(luò)故障和安全事件限制

在局部區(qū)域之內(nèi)。

公司內(nèi)部管理信息大區(qū)縱向互聯(lián)采用電力公司數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng)，電力公司數(shù)據(jù)

網(wǎng)為電力公司內(nèi)聯(lián)網(wǎng)。

橫向隔離

橫向隔離是電力二次安全防護(hù)體系的橫向防淺。采用不同強(qiáng)度的安全設(shè)備隔

離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)立經(jīng)國(guó)家指定部門(mén)檢

測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)成物理隔離。電

力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊

界防護(hù)措施，是橫向防護(hù)的關(guān)鍵設(shè)備。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用

品有訪問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相稱功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。

按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正

向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳

輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管

理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。反向安全隔離裝置集中接受管

理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進(jìn)行署名瞼證、內(nèi)容過(guò)濾、有效性檢查等

解決后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接受程序。專用橫向單向隔離裝置應(yīng)當(dāng)滿足

實(shí)時(shí)性、可靠性和傳輸流量等方面的規(guī)定。

通常嚴(yán)格嚴(yán)禁E-Mail、WEB、Telnet.Rlogin.FTP等安全風(fēng)險(xiǎn)高的通用網(wǎng)

絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫(kù)訪問(wèn)穿越專用橫向單向安全隔離裝置，僅

允許純數(shù)據(jù)的單向安全傳輸。

控制區(qū)與非控制區(qū)之間應(yīng)采用國(guó)產(chǎn)硬件防火二嗇、具有訪問(wèn)控制功能的設(shè)備或

相稱功能的設(shè)施進(jìn)行邏輯隔離。

縱向認(rèn)證

縱向加密認(rèn)證是電力二次系統(tǒng)安全防護(hù)體系的縱向防線。采用認(rèn)證、加密、

訪問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。對(duì)于重

點(diǎn)防護(hù)的調(diào)度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)

設(shè)立通過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)

關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和方問(wèn)控制。

縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護(hù)?？v

向加密認(rèn)證裝置為廣域網(wǎng)通信提供認(rèn)證與加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完

整性保護(hù)，同時(shí)具有類似防火墻的安全過(guò)濾功能。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證

裝置的所有功能外，還應(yīng)實(shí)現(xiàn)對(duì)電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報(bào)文的解決功

能。

原則上，對(duì)于重點(diǎn)防護(hù)的調(diào)度中心和重要廠站兩測(cè)均應(yīng)配置縱向加密認(rèn)證裝置。

電力調(diào)度數(shù)字證書(shū)系統(tǒng)

電力調(diào)度數(shù)字證書(shū)系統(tǒng)是基于公鑰技術(shù)的分布式的數(shù)字證書(shū)系統(tǒng)，重要用

于生產(chǎn)控制大區(qū)，為電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用戶和

關(guān)鍵設(shè)備提供數(shù)字證書(shū)服務(wù)，實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠

的行為審計(jì)。

電力調(diào)度數(shù)字證書(shū)分為人員證書(shū)、程序證書(shū)、設(shè)備證書(shū)三類。人員證書(shū)指用

戶在訪問(wèn)系統(tǒng)、進(jìn)行操作時(shí)對(duì)其身份進(jìn)行認(rèn)證所需要持有的證書(shū)；程序證書(shū)指關(guān)

鍵應(yīng)用的模塊、進(jìn)程、服務(wù)器程序運(yùn)營(yíng)時(shí)需要持有的證書(shū)；