电力监控系统安全防护总体方案..docx

最新整理，下载后即可编辑】目次1 总则 22 安全防护方案 33 通用安全防护措施 184 安全管理 215 安全防护评估 256 附则 26附录1 相关安全防护法规和标准 27附录2 主要术语中英文对照 291 总则1.1 本方案确定了电力监控系统安全防护体系的总体框架, 细化了电力监控系统安全防护总体原则,定义了通用和专用的安 全防护技术与设备,提出了梯级调度中心、发电厂、变电站、配电 等的电力监控系统安全防护方案及电力监控系统安全防护评估 规范 1.2 电力监控系统安全防护的总体原则为“安全分区、网 络专用、横向隔离、纵向认证”安全防护主要针对电力监控系 统,即用于监视和控制电力生产及供应过程的、基于计算机及网络 技术的业务系统及智能设备, 以及作为基础支撑的通信及数据网 络等重点强化边界防护,同时加强内部的物理、网络、主机、应 用和数据安全,加强安全管理制度、机构、人员、系统建设、系统 运维的管理,提高系统整体安全防护能力, 保证电力监控系统及 重要数据的安全1.3 电力监控系统安全防护是复杂的系统工程,其总体安全 防护水平取决于系统中最薄弱点的安全水平。

电力监控系统安 全防护过程是长期的动态过程, 各单位应当严格落实安全防护的 总体原则, 建立和完善以安全防护总体原则为中心的安全监测、 响应处理、安全措施、审计评估等环节组成的闭环机制 1.4 本方案适用于电力监控系统的规划设计、项日审查、 工程实施、系统改造、运行管理等2 安全防护方案根据«电力监控系统安全防护规定»的要求,电力.监控系统安 全防护总体方案的框架结构如图1所示生产控制大区生产控制大区管理信息大区图例：工弭正向安全隔离装置蒐：反向安全隔离装置|至i纵向加密认 证装置. 加密认证措施凑防火墙图1电力监控系统安全防护总体框架结构示意图2.1安全分区安全分区是电力监控系统安全防护体系的结构基础发电企 业、电网企业内部基于计算机和网络技术的业务系统，原则上划分 为产控制大区和管理信息大区生产控制大区可以分为控制区（又称 安全区I）和非控制区（又称安全区II）在满足安全防护总体原则的前提下，可以根据业务系统实际情 况，简化安全区的设置，但是应当避免形成不同安全区的纵向交叉联 接2. 1. 1 生产控制大区的安全区划分 ⑴控制区（安全区I）:控制区中的业务系统或其功能模块（或子系统）的典型特征为:是 电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用 电力调度数据网络或专用通道,是安全防护的重点与核心 。

控制区的传统典型业务系统包括电力数据采集和监控系统、能量 管理系统、广域相量测量系统、配网自动化系统、变电站自动化系统 发电厂自动监控系统等,其主要使用者为调度员和运行操作人员, 数 据传输实时性为毫秒级或秒级, 其数据通信使用电力调度数据网的 实时子网或专用通道进行传输该区内还包括有采用专用通道的控制 系统, 如: 继电保护、安全自动控制系统、低频（或低压）自动减负荷系 统、负荷控制管理系统等,这类系统对数据传输的实时性要求为毫移 级或秒级, 其中负荷控制管理系统为分钟级⑵非控制区（安全区II）:非控制区中的业务系统或其功能模块的典型特征为: 是电力生产 的必要环节,运行但不具备控制功能,使用电力调度数据网络, 与 控制区中的业务系统或其功能模块联系紧密非控制区的传统典型业务系统包括调度员培训模拟系统、水库调 度自动化系统、 故障录波信息管理系统、电能量计量系统等,其主要 使用者分别为调度员、继电保护人员及等 在厂站端还包括电能量远方终端、故障录波装置等非控制区的数据来采集度是分钟级或 小时级，其数据通信使用电力调度数据网的非实时子网此外，如果 生产控制大区内个别业务系统或其功能模決（或子系统）需使用公用 通信网络、无线通信网络以及处于非可控状态下的网络设备与终端 等进行通信，其安全防护水平低于生产控制大区内其他系统时，应设 立安全接入区，典型的业务系统或功能模块包括配电网自动化系统的 前置采集模块（终端）、负荷控制管理系统、某些分布式电源控制系统 等,安全接入区的典型安全防护框架结构如图2所示。

调度口动业系统遐业其他业營悄生声控制共区负荷控制 險理1营销英他业營情管理悟恳大I誥专网轴蜀肌嘰［专网前賈机公用通 信网配钢配ior配电网调度 白动化系统j 噸疗丽颐］舖; i啻箱空全接入反］Mi 輕制缪端调度数厂站监控盏 统權湖安全隔离裟賈 嚼加康认证措施图2安全接入区的典型安全防护框架结构示意图2.1.2管理信息大区的安全区划分管理信息大区是指生产控制大区以外的电力企业管理业务系统的 集合管理信息大区的传统典型业务系统包括调度生产管理系统、行 政网管系统、电力企业数据网等 电力企业可以根据具体情况划 分安全区, 但不应影响生产控制大区的安全2.1.3 业务系统分置于安全区的原则根据业务系统或其功能模块的实时性、使用者、主要功能、设备 使用场所、各业务系统间的相互关系、广域网通信方式以及对电力系 统的影响程度等, 按以下规则将业务系统或其功能模块置于相应的安 全区:(1)实时控制系统、有实时控制功能的业务模块以及未来有实时控 制功能的业务系统应当置于控制区 2)应当尽可能将业务系统完整置于一个安全区内当业务系统的 某些功能模块与此业务系统不属于同一个安全分区内时, 可以将其功 能模块分置于相应的安全区中, 经过安全区之间的安全隔离设施进行 通信 。

3)不允许把应当属于高安全等级区域的业务系统或其功能模块迁 移到低安全等级区域；但允许把属于低安全等级区域务系统或其功能 模块放置于高安全等级区域 4 )对不存在外部网络联系的孤立业务系统, 其安全分区无特殊要 求,但需遵守所在安全区的防护要求5) 对小型县调、配调、小型电厂和变电站的电力监控系统可以根据具体情况不设非控制区, 重点防护控制区6) 对于新一代电网调度控制系统,其实时监控与预警功能模块应当 置于控制区, 调度计划和安全校核功能模块应当置于非控制区, 调度管 理功能模決应当置于管理信息大区2.1.4 信息安全等级保护划分根据不同安全区域的安全防护要求,确定其安全等级和防护水平 生产控制大区的安全等级高于管理信息大区,系统定级按 «电力行业信 息系统安全等级保护定级工作指导意见»进行定级,具体等级标准见表1表1 电力监控系统安全保护等级标准定级对象 集电管控动能有C开关、换流、 集控站监控（含燃气电厂）系统DCS（含辅系统 省级以上— r—地级及以下. 丄 3—f及以上变电站为3级，以涯300MIW及以上为3级，以1000MIW及以上为3级，以核电站监控控系统光伏电站监控系统系统DCS（含辅机拒制系■y装/*为瘗00MW及以机容 堂200MIW及电能量计量系统—— 广域相量测量系统（WAMIS） 水度交动预系系统 调度监测系统 电力调备网管网一 通信资源管理系统—— 配电录控控系信网理系统. Itttti 系统3333厶 2 23 r3 3 n22n2新一代电网 新一代电能;^警系统—系统制的厶口3222. T%八生产控制大区内部安全防护要求⑴禁止生产控制大区内部的 E-Mail服务,禁止控制区内通用的 WEB服务。

⑵允许非控制区内部业务系统采用B/S结构，但仅限于业务系统 内部使用允许提供纵向安全WEB服务，但应当优先采用专用协议和专 用浏览器的图形浏览技术，也可以采用经过安全加固且支持H TTPS的安全web服务⑶生产控制大区重要业务(如SCADA/AGC/AVC、实时电力市场 交易等)的远程通信应当采用加密认证机制 ⑷生产控制大区内的业务系统间应该采取VLAN和访问控制等安 全措施,限制系统间的直接互通5) 生产控制大区的拨号访问服务,服务器和用户端均应当使用经 国家指定部门认证的安全加固的操作系统,并采取加密、认证和访问控 制等安全防护措施6) 生产控制大区边界上可以采用入侵检测措施 7) 生产控制大区应当采取安全审计措施,把安全审计与安全区网 络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证 和授权、关键业务应用访问权限相结合8) 生产控制大区内主站端和重要的厂站端应该统一部署恶意代码 防护系统，采取防范恶意代码措施病毒库、木马库以及IDS规则库应 经过安全检测并应离线进行更新2. 1.6 管理信息大区安全要求应当统一部署防火墙、IDS、恶意代码防护系统及桌面终端控制系统等通用安全防护设施。

2. 1. 7 安全区拓扑结构电力监控系统安全区连接的拓扑结构有4连式、 三角和星形结构 三种键式结构中的控制区具有较高的累积安全强度，但总体层次较多; 三角结构各区可以直接相连，效率较高，但所用隔离设各较多；星形结构 所用设备较少、易于实施，但中心点故障影响范围大三种模式均能满 足电力监控系统安全防护体系的要求，可以根据具体情况选用，见图3链式第枸三角鰭构m* 趣辭正殉竇蛍林页裝實癒反向安全為喝牖亶亠 J="i N 亠—■ 4=4 亠 4 亠亠4 — — — —— LL H B hE ST P = ■= = P M y K B fll V & a. B — ■2.1.8监管信息接入要求按照国家有关规定，在满足电力监控系统安全防护要求的前提下, 将相关信息接入电力监管信息系统2.2网络专用电力调度数据网是为生产控制大区服务的专用数据网络，承载电 力实时控制、生产交易等业务安全区的外部边界网络之问的安 全防护隔离强度应该和所连接的安全区之问的安全防护隔离强度相匹 配电力调度数据网应当在专用通道上使用独立的网络设备组网,采 用基于SDH/PD H不同通道、不同光波长、不同纤芯等方式在物理层 面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

当采 用EPON、GPON或光以太网络等技术时应当使用独立纤芯或波长电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别 连接控制区和非控制区可以采用M PLS-VP N技术、安全隧道技术、 PVC技术、静态路由等构造子网电力调度数据网应当采用以下安全防护措施:(1) 网络路由防护 按照电力调度管理体系及数据网络技术规范, 采用虚拟专网技术,将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网, 分别对应控制业务和非控制生产业务, 保证实时业务的封闭性和高等 级的网络服务质量2) 网络边界防护 应当采用严格的接入控制措施, 保证业务系统接入的可信性经过授权的节点允许接入电力调度数据网,进行广域网通信 数据网络与业务系统边界采用必要的访问控制措施,对通信方式 与通信业务类型进行控制；在生产控制大区与电力调度数据网的纵向 交接处应当釆取相应的安全隔离、加密、认证等防护措施对于实时 控制等重要业务,应该通过纵向加密认证装置或加密认证网关接入调 度数据网 3）网络设备的安全配置网络设备的安全配置包括关闭或限定网络服务、避免使用默认路 由、关闭网络边界OSPF路由功能、采用安全增强的SNMPv2及以上版 本的网管协议、设置受信任的网络地址范国、记录设备日志、设置高 强度的密码、开启访问控制列表、封闭空闲的网络端口等。