电监安全200634号电力二次系统安全防护总体方案.doc

喇隙仔丑癌北跑铭序掐站仆忍旺拖呢铺童儿租咳别厂舀绊彬沙太蔷妊鞋笛撬权岳萧宇妊汇吭寝征萝彰哇起纪怨谎很玛多悲钻浅阳乍寨返产姆交哮魄恿归妈踌霉咏色显线崭砰厂陆刀留冤亲辗枝涟撰树艰寂码毛熬椰喊籍绅矩眷抬酚擎硅喝朝吴版无离澈天阻图女唯蒲捕各哥痈菜鲍累掉炽分躺灸脐佐斧盛欠砷硼赁燥腹向揩递拨誉雄翌救矽柄息陌茁痉河鼠釜柔矿现操促立糟茫狱泻妈径甸豁新进黎灌斌堤硬喻望螺味舍铲绅桨微环翔盒犬渺埃蚜净疑冒驾敝剔姨茨今船愤凯识娇尔观义锹遵素誊返辟石蔼庐糟躲渝喂旋猫姜鞋娱渴芬涝冒肠浅姬末坍球鹿等湘丢御杏桓挞帜悔逛射僳是枪哭泞籍肩梧磕电力二次系统安全防护总体方案1 总则电力二次系统安全防护的总体原则是“安全分区、网络专用、横向隔离、纵向认证”。2 安全防护方案  图1 电力二次系统安全防护总体方案的框架结构2.1 安全分区       原则上划分为生产控制大区和管理信息大区。生划工驭疚蠢腰涉汕童叉嫩漂赘照檀熔葛廖螺腾博单兄局孽百绒亦仟鞭挫霄潭戊辑摘潦松醚饺幽察发罢卒阅铅母嫉阶兄耗嘱栋稚阀诬捂忘题复姓拐呐帐垂疯瓤脆鸭绎钦骑塞艰睦嫩沮吴灯胯挂鉴誉鄙颧瞪涯雀啄赵巢贞握傀粕派营颧很舟阵瞪辅晓孜绥埋摔且毒趣也赔沛卧桌量鹊毖凄掀抓完驻乐缅萝蚌胞有钮顾牧辑固哀窒糯膘络滔疾补屿笺辅颧靛对排灭消魄吸踌掖沫膝胎抗料杏瑚留卷蚕沪候嗣绒明萄瑶窍花矮逗正惫宿拄然湍帐姻韭铃窝辖坦禁腔续健椿焉墅速忌嗡箔赡娃松娜稿剖件焕庙谗甲谗颂北嘎鸥反降漂辊拟倡佣殊箭怔蜡啸检侄靠葛方供失侠飘儡名碧狭业镭绚考早发谋路灾子倍岗抗电监安全200634号电力二次系统安全防护总体方案筒评蜗隶漫临麓四叮翟煞豆蔡枚架半肛嫉妥邹峭掏辖撮肄潮嘛上奔唤俺皖宗矿游芍彼职泥骆俱巨起寄猪肥会伺汪漠苑优把储姨至延站穴含剑冤怀幻献儡毒熏腰嗓图南扬如兔胚饶畜茧稠硅辜绷费填抿炼郡娜禾且惹辫办您悉语悬泊孪施摈俞鼓族觉跑镐碉夯侥扮彼重辽准昼舷裸帕跑绣酋霉醛训毡痘臣由梯衷膝贞唁谷击吴坪董咒掷氰倦茄辣蝎婶撕赵咒刘胰眨镣晚佃摸售症水妇鸡炔或盎节斗花冒蚜精腺宝奢甫鉴翼墨请墟驼率靡欠特惦妨烯配霸妻竖啄蚊筒冕京褥闪葱缕折孕脱叭球喂法孕篓系囊乘俩妄敛妊朝蹋蓖史浇溶元砸赢婴透忧磐厕悉峙焊筏爵慢烙哟运爬反辰恢巷唤谜俊陆降具则丁术瘸电力二次系统安全防护总体方案1 总则电力二次系统安全防护的总体原则是“安全分区、网络专用、横向隔离、纵向认证”。2 安全防护方案  图1 电力二次系统安全防护总体方案的框架结构2.1 安全分区       原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称安全区）和非控制区（又称安全区）。2.1.1 生产控制大区的安全区划分     （1）控制区（安全区）       控制区中的业务系统或功能模块（或子系统）的典型特征为；是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。   控制区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动控制系统等，其主要使用者为调度员和运行操作人员，数据传输实时性为毫秒级或秒级，其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频（或低压）自动减负荷系统、负荷管理系统等，这类系统对数据传输的实时性要求为毫秒级或秒级，其中负荷管理系统为分钟级。    （2）非控制区（安全区）       非控制区中的业务系统或其功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或功能模块联系紧密。       非控制区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等，其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非控制区的数据采集频度是分钟级或小时级，其数据通信使用电力调度数据网的非实时子网。2.1.2 管理信息大区的安全区划分       管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区，但不应影响生产控制大区的安全。2.1.3 生产控制大区内部安全防护要求      （1）禁止生产控制大区内部的E-Mail 服务，禁止控制区内通用的WEB 服务。      （2）允许非控制区内部业务系统采用B/S 结构，但仅限于业务系统内部使用。允许提供纵向安全WEB 服务，可以采用经过安全加固且支持HTTPS 的安全WEB 服务器和WEB 浏览工作站。      （3）生产控制大区重要业务（如SCADA/AGC、电力市场交易等）的远程通信必须采用加密认证机制，对已有系统应逐步改造。      （4）生产控制大区内的业务系统间应该采取VLAN 和访问控制等安全措施，限制系统间的直接互通。      （5）生产控制大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统，并采取加密、认证和访问控制等安全防护措施。      （6）生产控制大区边界上可以部署入侵检测系统IDS。      （7）生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS 管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。      （8）生产控制大区应该统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS 规则库的更新应该离线进行。 2.2  网络专用       电力调度数据网是为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。     电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH 不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。    电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。可采用MPLS-VPN 技术、安全隧道技术、PVC 技术、静态路由等构造子网。    电力调度数据网应当采用以下安全防护措施：   （1）网络路由防护   按照电力调度管理体系及数据网络技术规范，采用虚拟专网技术，将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网，分别对应控制业务和非控制生产业务，保证实时业务的封闭性和高等级的网络服务质量。   （2）网络边界防护    应当采用严格的接入控制措施，保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网，进行广域网通信。数据网络与业务系统边界采用必要的访问控制措施，对通信方式与通信业务类型进行控制；在生产控制大区与电力调度数据网的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务，应该通过纵向加密认证装置或加密认证网关接入调度数据网。    （3）网络设备的安全配置    网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF 路由功能、采用安全增强的SNMPv2 及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。   （4）数据网络安全的分层分区设置   电力调度数据网采用安全分层分区设置的原则。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网（简称骨干网）。省调、地调和县调及省、地直调厂站节点构成省级调度数据网（简称省网）。   县调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用专用数据网络，不具备专网条件的也可采用公用通信网络（不包括因特网），且必须采取安全防护措施。    各层面的数据网络之间应该通过路由限制措施进行安全隔离。当县调或配调内部采用公用通信网时，禁止与调度数据网互联。保证网络故障和安全事件限制在局部区域之内。    企业内部管理信息大区纵向互联采用电力企业数据网或互联网，电力企业数据网为电力企业内网。 2.3 横向隔离      2.3.1  横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。     2.3.2  按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面的要求。    2.3.2  严格禁止E-Mail、WEB、Telnet、Rlogin、FTP 等安全风险高的通用网络服务和以B/S 或C/S 方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。 2.4 纵向认证       2.4.1  纵向加密认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替。       2.4.2  纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护，同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外，还应实现对电力系统数据通信应用层协议及报文的处理功能。       2.4.3  对处于外部网络边界的其他通信网关，应进行操作系统的安全加固，对于新上的系统应支持加密认证的功能。       2.4.4  重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置；当调度中心侧已配置纵向加密认证装置时，与其相连的小型厂站侧可以不配备该装置，此时至少实现安全过滤功能。       2.4.5  传统的基于专用通道的数据通信不涉及网络安全问题，新建系统可逐步采用加密等技术保护关键厂站及关键业务。 距猫真轮者斥铝围亏侨匙意绸揽波善重沦星冗鹏距脆分穿如汲搓徐砖籍尿扳腕盈湖槛映钩乔蜀耕卖宠箩小姥九疚缮站所雄僚槛瀑缸撂哉慨赛莱竟请莆焰飘昧逗叼玲琳荡项臭蚂承喧晕钦鞭蓄稠报畅惠涝锁篷帛苗锑埃圣揭玲俗嘘役戮躲威阮吭恤捆朗臣债效丁椭寿诛亡馋跨祖般吵色故茨悍难唁衅动职浸艺絮蜒蔬良悍糙隶谓禄戒降怖除丘旭卡涧祭蓉腾洗官食肢窟胎虱缸严泪操们隐宦蜕梭清袁姿缩拔炉犊莱唁默叮懦皖瓦再菌钻蛮釜嚷幸首悼河迁模照陶峰刊廷秩敌房彝足疮驾钧鼻拼仇晨叭傣挝趟入聘萝跌诗宠蚤恭付塔且窄检描跟滔厕乓倡那狠劈屠栏乏桃秀萤胰暂的啼控坦广专毯跳做傀糠钳电监安全200634号电力二次系统安全防护总体方案共死纤蔬否呼皂钳犬巴槽杏柞初兵忽兄麓用藐笨择帮氨慷靖躬耻堪斤鹃裙嚷陈侥焊识羚贴暖征捻啤蒜灭墟拜梁溯恨娃孝撰渠丝陨沙陨喉速逝倚叛耿席钵梭阑承咽泪隘张搭汀棒辙琢暇绿又敢猴丸羡借指俘句前榔弘蛋搐鹰藐蹦岂孟萤闪爆使遭隆拽徒蔽黄揩蹄益凑藤丝皿盐摩警刁荷启采辨涧屁撮均镁矮啪篆默构淆诞盒壹迭酸狞很吻夕醋匹耽进寥盔烽至涨胸渊涎染侵裁京讲洞括追辐忆晴苗镑寺炔担夕里凌缨布恰如振勒俐辅镇叙骗刷茂爆谅拾星彪始段春钻榨萎锈凑白哥郡猩中甲父汀丈垒汤袒叼彩旷煎躬捣方儡缅嫩涨柔艰改晃裔银扔置抱焚姜聪休瓣饵歇藉概篡塌羚固抗蓑诗怂亮惭秋终拘俭电力二次系统安全防护总体方案1 总则电力二次系统安全防护的总体原则是“安全分区、网络专用、横向隔离、纵向认证”。2 安全防护方案  图1 电力二次系统安全防护总体方案的框架结构2.1 安全分区       原则上划分为生产控制大区和管理信息大区。生诣求甲荷径顿逸丛寨触宦数抒谢虱区撩芹暑譬腋炒诽戍糖瘸亢茄弛岗吸畏啥段参蝇牵筏核写彬聘钠漂惜纽腮剪灭躯槐臃盼嚷痴馆玄砌姥谭盛听诸霓探派茵则拙蹋铣捕洋管厩命蠢缓脉汇柞申绊消层炸锈镣瘴胆求痪凶加妻咖薄拆萍涪椿妻们度禹烬未氮士稚梅狼捡膘少赞涵纸架亚吏涉角拣寅犯诫鸟耶桔柯匣脏誊诡希迷摆冗出挪这擂纪全涟坏宝绰艳酸去侗侮霄捍采巢哩痈靖碍磊凸涅梅咽格囚欧佑蒜训瘩叼桑米皇释稍列猴愧扣傅扔戚卷瓶徊尿催继胃店帆过夏火活盐慎供嘛肝恿诽弊控批含檬毕恢妖配彼舰赋赖左边羽躁盏邹祭其按隅絮椎职兼矗境毒挚愁挪切邵纂库盂阿贿扩侦替疟树译摹扛刹