電力二次系統(tǒng)安全防護設(shè)備清單(南網(wǎng)/廣東某些地區(qū)):

國網(wǎng)江浙某些地區(qū)

電力安全防護的總體原則

（一）安全防護目標(biāo)

電力二次系統(tǒng)安全防護的重點是確保電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。

（二）相關(guān)的安全防護法規(guī)

1.2004年12月20日國家電力監(jiān)管委員會發(fā)布【2005】5號令《電力二次系統(tǒng)安全防護規(guī)定》

2.2002年5月，國家經(jīng)貿(mào)委發(fā)布30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的規(guī)定》

3.2003年12月，全國電力二次系統(tǒng)安全防護專家組和工作組發(fā)布《全國電力二次系統(tǒng)安全防護總體方案》

4. 2003年《電力系統(tǒng)安全性評價體系》

5. 《中國國電集團公司廣域網(wǎng)管理辦法》

6. 《中國國電集團公司安全管理規(guī)范》

7. 《中國國電集團公司信息化建設(shè)和管理技術(shù)路線》

8. 《中華人民共和國計算機信息系統(tǒng)安全保護條例》

9. 《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》

（三）電力二次系統(tǒng)安全防護策略

電力二次系統(tǒng)安全防護總體框架要求電廠二次系統(tǒng)的安全防護技術(shù)方案必須按照

國家經(jīng)貿(mào)委【2002】第30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的規(guī)定》和國家電力監(jiān)管委員會 【2005】第5號令《電力二次系統(tǒng)安全防護規(guī)定》進行設(shè)計。同時，要嚴(yán)格遵循集團公司頒布的《中國國電集團公司信息化建設(shè)和管理技術(shù)路線》中對電力二次系統(tǒng)安全防護技術(shù)方案的相關(guān)技術(shù)要求。

在滿足“安全分區(qū)，網(wǎng)絡(luò)專用，橫向隔離，縱向認(rèn)證”安全防護策略的基礎(chǔ)上，按照國家信息安全等級保護要求，防護策略從重點以邊界防護為基礎(chǔ)過渡到全過程安全防護，形成具有縱深防御的安全防護體系，實現(xiàn)對電力生產(chǎn)控制系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全保護，尤其是智能電網(wǎng)中控制過程的安全保護。

安全分區(qū)

原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（又稱安全區(qū)Ⅰ）和非控制區(qū)（又稱安全區(qū)Ⅱ）。

生產(chǎn)控制大區(qū)的安全區(qū)劃分（1）控制區(qū)（安全區(qū)Ⅰ）

控制區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊（或子系統(tǒng)）的典型特征為；是電力生產(chǎn)的重要環(huán)節(jié)，直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?，是安全防護的重點與核心。

控制區(qū)的典型業(yè)務(wù)系統(tǒng)包括電力數(shù)據(jù)采集和監(jiān)控系統(tǒng)、能量管理系統(tǒng)、廣域相量測量系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動控制系統(tǒng)等，其主要使用者為調(diào)度員和運行操作人員，數(shù)據(jù)傳輸實時性為毫秒級或秒級，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)Ｓ猛ǖ肋M行傳輸。該區(qū)內(nèi)還包括采用專用通道的控制系統(tǒng)，如：繼電保護、安全自動控制系統(tǒng)、低頻（或低壓）自動減負(fù)荷系統(tǒng)、負(fù)荷管理系統(tǒng)等，這類系統(tǒng)對數(shù)據(jù)傳輸?shù)膶崟r性要求為毫秒級或秒級，其中負(fù)荷管理系統(tǒng)為分鐘級。 （2）非控制區(qū)（安全區(qū)Ⅱ）

非控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為：是電力生產(chǎn)的必要環(huán)節(jié)，在線運行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊聯(lián)系緊密。非控制區(qū)的典型業(yè)務(wù)系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)、水庫調(diào)度自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)等，其主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護人員及電力市場交易員等。在廠站端還包括電能量遠(yuǎn)方終端、故障錄波裝置及發(fā)電廠的報價系統(tǒng)等。非控制區(qū)的數(shù)據(jù)采集頻度是分鐘級或小時級，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)。

管理信息大區(qū)的安全區(qū)劃分

管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合。電力企業(yè)可根據(jù)具體情況劃分安全區(qū)，但不應(yīng)影響生產(chǎn)控制大區(qū)的安全。

生產(chǎn)控制大區(qū)內(nèi)部安全防護要求

（1）禁止生產(chǎn)控制大區(qū)內(nèi)部的E-Mail服務(wù)，禁止控制區(qū)內(nèi)通用的WEB 服務(wù)。

（2）允許非控制區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)采用B/S 結(jié)構(gòu)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許提供縱向安全WEB 服務(wù)，可以采用經(jīng)過安全加固且支持HTTPS 的安全WEB 服務(wù)器和WEB 瀏覽工作站。

（3）生產(chǎn)控制大區(qū)重要業(yè)務(wù)（如SCADA/AGC、電力市場交易等）的遠(yuǎn)程通信必須采用加密認(rèn)證機制，對已有系統(tǒng)應(yīng)逐步改造。

（4）生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)該采取VLAN和訪問控制等安全措施，限制系統(tǒng)間的直接互通。

（5）生產(chǎn)控制大區(qū)的撥號訪問服務(wù)，服務(wù)器和用戶端均應(yīng)使用經(jīng)國家指定部門認(rèn)證的安全加固的操作系統(tǒng)，并采取加密、認(rèn)證和訪問控制等安全防護措施。

（6）生產(chǎn)控制大區(qū)邊界上可以部署入侵檢測系統(tǒng)IDS。

（7）生產(chǎn)控制大區(qū)應(yīng)部署安全審計措施，把安全審計與安全區(qū)網(wǎng)絡(luò)管理系統(tǒng)、綜合告警系統(tǒng)、IDS管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪問權(quán)限相結(jié)合。

（8）生產(chǎn)控制大區(qū)應(yīng)該統(tǒng)一部署惡意代碼防護系統(tǒng)，采取防范惡意代碼措施。病毒庫、木馬庫以及IDS規(guī)則庫的更新應(yīng)該離線進行。

六、網(wǎng)絡(luò)專用

電力力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，承載電力實時控制、在線生產(chǎn)交易等業(yè)務(wù)。安全區(qū)的外部邊界網(wǎng)絡(luò)之間的安全防護隔離強度應(yīng)該和所連接的安全區(qū)之間的安全防護隔離強度相匹配。

電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于SDH/PDH不同通道、不同光波長、不同纖芯等方式，在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。可采用MPLS-VPN 技術(shù)、安全隧道技術(shù)、PVC技術(shù)、靜態(tài)路由等構(gòu)造子網(wǎng)。

電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)采用以下安全防護措施：

（1）網(wǎng)絡(luò)路由防護

按照電力調(diào)度管理體系及數(shù)據(jù)網(wǎng)絡(luò)技術(shù)規(guī)范，采用虛擬專網(wǎng)技術(shù)，將電力調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對獨立的實時子網(wǎng)和非實時子網(wǎng)，分別對應(yīng)控制業(yè)務(wù)和非控制生產(chǎn)業(yè)務(wù)，保證實時業(yè)務(wù)的封閉性和高等級的網(wǎng)絡(luò)服務(wù)質(zhì)量。

（2）網(wǎng)絡(luò)邊界防護

應(yīng)當(dāng)采用嚴(yán)格的接入控制措施，保證業(yè)務(wù)系統(tǒng)接入的可信性。經(jīng)過授權(quán)的節(jié)點允許接入電力調(diào)度數(shù)據(jù)網(wǎng)，進行廣域網(wǎng)通信。數(shù)據(jù)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)邊界采用必要的訪問控制措施，對通信方式與通信業(yè)務(wù)類型進行控制；在生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應(yīng)當(dāng)采取相應(yīng)的安全隔離、加密、認(rèn)證等防護措施。對于實時控制等重要業(yè)務(wù)，應(yīng)該通過縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)接入調(diào)度數(shù)據(jù)網(wǎng)。

（3）網(wǎng)絡(luò)設(shè)備的安全配置

網(wǎng)絡(luò)設(shè)備的安全配置包括關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由、關(guān)閉網(wǎng)絡(luò)邊界OSPF 路由功能、采用安全增強的SNMPv2 及以上版本的網(wǎng)管協(xié)議、設(shè)置受信任的網(wǎng)絡(luò)地址范圍、記錄設(shè)備日志、設(shè)置高強度的密碼、開啟訪問控制列表、封閉空閑的網(wǎng)絡(luò)端口等。

（4）數(shù)據(jù)網(wǎng)絡(luò)安全的分層分區(qū)設(shè)置

電力調(diào)度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設(shè)置的原則。省級以上調(diào)度中心和網(wǎng)調(diào)以上直調(diào)廠站節(jié)點構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)（簡稱骨干網(wǎng)）。省調(diào)、地調(diào)和縣調(diào)及省、地直調(diào)廠站節(jié)點構(gòu)成省級調(diào)度數(shù)據(jù)網(wǎng)（簡稱省網(wǎng)）。 縣調(diào)和配網(wǎng)內(nèi)部生產(chǎn)控制大區(qū)專用節(jié)點構(gòu)成縣級專用數(shù)據(jù)網(wǎng)?？h調(diào)自動化、配網(wǎng)自動化、負(fù)荷管理系統(tǒng)與被控對象之間的數(shù)據(jù)通信可采用專用數(shù)據(jù)網(wǎng)絡(luò)，不具備專網(wǎng)條件的也可采用公用通信網(wǎng)絡(luò)（不包括因特網(wǎng)），且必須采取安全防護措施。七、橫向隔離

橫向隔離是電力二次安全防護體系的橫向防線。采用不同強度的安全設(shè)備隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強度應(yīng)接近或達到物理隔離。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施，是橫向防護的關(guān)鍵設(shè)備。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實現(xiàn)邏輯隔離。

按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。專用橫向單向隔離裝置應(yīng)該滿足實時性、可靠性和傳輸流量等方面的要求。

嚴(yán)格禁止E-Mail、WEB、Telnet、Rlogin、FTP 等安全風(fēng)險高的通用網(wǎng)絡(luò)服務(wù)和以B/S 或C/S 方式的數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸?？刂茀^(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進行邏輯隔離。

八、縱向認(rèn)證

縱向加密認(rèn)證是電力二次系統(tǒng)安全防護體系的縱向防線。采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護。對于重點防護的調(diào)度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。暫時不具備條件的可以采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時代替。

縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護。縱向加密認(rèn)證裝置為廣域網(wǎng)通信提供認(rèn)證與加密功能，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護，同時具有類似防火墻的安全過濾功能。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實現(xiàn)對電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報文的處理功能。

對處于外部網(wǎng)絡(luò)邊界的其他通信網(wǎng)關(guān)，應(yīng)進行操作系統(tǒng)的安全加固，對于新上的系統(tǒng)應(yīng)支持加密認(rèn)證的功能。

重點防護的調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認(rèn)證裝置;當(dāng)調(diào)度中心側(cè)已配置縱向加密認(rèn)證裝置時，與其相連的小型廠站側(cè)可以不配備該裝置，此時至少實現(xiàn)安全過濾功能。 傳統(tǒng)的基于專用通道的數(shù)據(jù)通信不涉及網(wǎng)絡(luò)安全問題，新建系統(tǒng)可逐步采用加密等技術(shù)保護關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。