1、 數據網絡接入與二次系統安全防護工程初步設計計劃目錄1 項目介紹四2 設計的一般原則五2.1 設計依據五2.2 設計周長五2.3 設計原則五3 業務類型及傳輸需求分析六3.1 業務類型六3.2 電力調度數據網六傳遞的信息3.3 網絡業務傳輸需求分析七4 技術體系七5 網絡拓撲八6XX、XX梯級水電站通信情況九7x、XX梯級水電站接入拓撲九8站服務接入方案108.1 業務系統接入原則108.2 遙控信息訪問118.3 電能收集系統/發電計劃申報系統129 調度數據網設備配置及技術要求149.1 網絡設備配置原則149.2 路由器149.3 三層交換機189.4 設備機械結構及工藝要求199.5

2、環境條件2010 機房布局及要求2111 通道要求2112 水電站二次系統安全防護總體框架要求2212.1 電力二次系統安全保護特性2212.2 整體安全策略2312.3 整體保護方案233XX、xx梯級水電站二級保障方案2713.1 安全分區2713.2 安全區 I 的安全防護2813.3 安全區安全防護2914 二次系統安全管理體系建設3114.1 建立健全安全管理機構。 3114.2 安全評估管理3214.3 項目實施過程中的安全管理3214.4 設備、應用程序和服務的訪問管理3314.5 建立日常作業安全管理制度。 3315 安全防護產品技術要求3615.1 垂直加密認證設備技術要求3

3、615.2 主機加固軟件技術要求3715.3 入侵檢測系統技術要求3815.4 漏洞掃描系統技術要求4015.5 安全審計管理平臺4315.6 殺毒系統四十四16 投資估算表451 項目介紹XX、XX梯級水電站位于一個縣內，是XX在XX縣開發的第一座和第二座電站。都是引水電站。 XX水電站約XX縣，約平武縣；電站裝機容量224MW，兩臺機組組成發變機組連接，一臺主變容量31.5MVA，110kV側母線采用單母線配置。 XX水電站距XX縣城約138公里，約平武縣城。電站裝機容量為222MW，發變組合為單元接線，分別與1臺容量90MVA和31.5MVA的主變相連。 90MVA變壓器為三匝變壓器，1

4、10kV側吸收XX電站電能升壓至220kV。 10.5kV側吸收本電站1#機電能量，2#發電機和2#主變作為單元接線連接。 220kV側采用單母線配置。梯級電站采用集中控制方式，集中控制中心設在XX電站。130km73km65km20062000年10月，在電站調度數據網絡接入車間，省調度中心根據“十一五”二次系統規劃，對省調度中心水電站調度自動化信息接入提出了新要求。電網，要求水電站組織電力調度數據網絡（主信道）和常規遙控信道（備用信道），將水電站調度自動化信息通過直采、直傳方式傳輸至省級調度中心。根據電網“十一五”二次系統規劃方案，按照二次電網安全保護條例和國家二次電網安全保護總體方案的要

5、求，為防止攻擊電廠計算機監控系統和調度數據網絡及其引發的電力系統事故，保障電力系統、電網安全防護系統和電廠計算機監控系統和調度數據網絡的安全穩定運行建立和完善。實施方案應符合二次電力系統安全保護總體方案（EJ200634號）的要求。為滿足省調度最新要求，XX、XX梯級水電站按照電力調度數據網雙平面接入要求，分別接入省調度數據接入網和XX州調度數據接入網。數據網絡設備分兩套配置，XX、XX級聯水電站配置兩臺接入路由器和四臺三層交換機。接入方案按國家電網調度數據網第二平面網絡（SPDnet-2）通用技術方案要求執行。同時，在電廠側設置垂直加密認證裝置，實現電廠與省調度中心通信的垂直安全防護系統。2

6、 設計的一般原則2.1 設計依據（一）“十一五”電網二次系統規劃；（2）全國電力調度數據網絡總體設計技術方案；（3）電力調度數據網絡初步設計及技術規范；(4) 二次電力系統安全保護總體方案，No. 34 電氣監督安全。20062.2 設計周長（一）根據電力調度數據網絡一期工程初步設計確定的原則和省電網公司現有調度生產需求和發展需要，水電站的類型、需求和流量及調度對相關業務進行分析預測，確定XX梯級水電站接入電力調度數據網絡所采用的網絡技術體系和接入方案。(2)設計網絡拓撲和網絡方案，提出網絡功能和業務范圍、網絡安全和網絡管理的要求。(3)提出各種承載業務系統的接入方案。(4)根據業務和性能要求

7、，提出網絡設備配置方案和技術指標要求。（5）提出項目主要設備清單。2.3 設計原則XX、XX梯級水電站接入電力調度數據網絡方案規劃設計的主要原則如下：（一）接入方案應符合電監會令5號的要求，保證電網、電廠計算機監控系統、調度數據網絡等電力二次系統的安全。(2)接入方案應滿足電力調度數據網絡工程設計中電站接入的要求。(3)接入方案應滿足電力調度和生產等各類業務的需要，充分考慮網絡技術的發展方向。網絡平臺應具有高度的靈活性、適應性和良好的可擴展性，以滿足當前和未來的網絡需求。(4)接入方案應具有良好的服務質量保障機制，滿足電網調度生產所需的網絡功能和承載能力。（5）接入方案應滿足XX、XX梯級水電

8、站安全、可靠、高效地將相關業務數據傳輸至省級調度中心的要求。三業務類型及傳輸需求分析3.1 業務類型（1）調度自動化數據業務調度自動化數據有兩種，一種是保證電網安全、穩定、經濟運行所必需的電網運行狀態實時監測數據；二是EMS系統高級應用軟件實現網絡分析所需的準實時數據。（2）電力市場數據：電力市場數據包括公司電力市場技術支持系統之間交換的數據、各系統采集的數據、公司交易中心與其他公司交易中心之間交換的數據。這些數據用于電力市場的交易、查詢、發布和結算，覆蓋面廣，信息量大，對數據的可靠性、安全性、完整性和準確性提出了很高的要求。電力市場數據主要包括用電計量數據、現貨交易數據（負荷、電量、報價等）

9、、期貨交易數據（負荷、電量、報價等）等市場信息。(3)電能信息數據、系統繼電保護和故障錄波信息數據、安全自動裝置數據服務和保護記錄的歷史數據的非實時數據傳輸。3.2 電力調度數據網絡傳輸信息調度數據網絡傳輸的信息可分為以下兩類：(1) 實時和準實時信息：遙控信息 調水自動化信息 保護故障信息處理系統的信息 相角監測信息 EMS系統之間交換的準實時數據，用于網絡分析 電力市場實時信息交換 通訊監控系統信息(2) 非實時信息 電力市場數據（包括電能計量數據） 繼電保護信息 安全穩定控制系統數據 發貨人信息3.3 網絡業務傳輸需求分析上述業務信息的傳輸優先級、傳輸頻率、傳輸延遲、傳輸可靠性等要求不同

10、，其傳輸需求分析結果見下表：表 3-1 各種業務的數據傳輸需求列表序列號商務艙傳輸優先級傳輸頻率可靠性一實時數據（1）遙控數據高秒高（2）EMS實時數據高秒高（3）電力市場實時數據高秒高2非實時數據（1）電能計量數據更高分鐘級別高（2）電力市場非實時數據更高分鐘級別高（3）調水自動化數據更高分鐘級別高（4）保護故障數據更高隨機的高四技術體系電力調度數據網絡一期工程中明確電力調度數據網絡采用IP技術體系，即采用IP Over SDH技術組網實現物理隔離（SDH級隔離） )在調度數據網和電力綜合業務數據網之間。該系統具有以下優點：(1)符合調度應用特點。電力調度應用系統的特點比較簡單，基本上是IP

11、業務。從應用特點看，應直接采用IP交換網絡。(2)IP+SDH網絡開銷小，傳輸效率高。(3)網絡簡單，設備投資低。(4)網絡層次簡潔，復雜度低，有利于日常運維。 IP設備與SDH/PDH設備的接口簡單、標準，便于在出現故障時進行快速定位和故障處理。(5)調度IP業務與其他IP業務物理隔離，網絡安全性好，有利于系統整體安全策略的制定和部署。根據IP技術的發展趨勢和調度數據網絡業務的需求，并根據國家二級系統安全防護體系的要求，采用BGP/MPLS VPN技術在調度數據網絡中劃分兩個VPN：實時控制VPN和非受控生產VPN，分別用于安全區域I（實時控制區域）和安全區域II（非控制生產區域）的廣域數據

12、傳輸。數據網絡采用MPLS VPN實現業務之間的安全隔離。采用 OSPF 作為路由協議。通過建立多個區域并配合IP地址規劃，減少了路由表中的條目，避免了路由翻轉對區域外網絡的影響。五網絡拓撲(1)層次結構基于業務量的需求和網絡可擴展性的原則。考慮到網絡運維的需要，調度數據網絡采用三層結構，即核心層、骨干層和接入層。 XX、XX梯級水電站為接入層節點。（二）標準化、開放所采用的網絡技術應當符合國際標準和國家標準，滿足信息交換和傳輸準確、安全、可靠的要求。網絡應具有開放的接口，良好的維護、測量和管理手段，實現統一的網絡管理。（三）經營管理能力網絡需要為用戶提供不同類型的服務，并應具備良好的業務管理

13、能力。(4)具有統一分級、分散管理能力的統一網絡管理系統。（5）可擴展性 考慮到用戶數量和業務種類的變化，將網絡建設成一個完整、統一、組網靈活、易于擴展的網絡平臺，可以隨需求的變化而擴展。（6）安全可靠 整個網絡應安全穩定，支持網絡節點備份和線路保護，提供網絡安全防范。(7)實時網絡應滿足調度業務的實時性要求。Provincial tuneDidiaoNorth Sichuan optical fiber ring networkCrystal substationXiaohe power stationFengbao hydropower stationFigure 6-1 Schemati

14、c diagram of communication network of Xiaohe and Fengyanbao cascade hydropower stations六、XX、XX梯級水電站通信狀況XX、XX梯級水電站對外通信狀態如圖6-1所示。七XX、XX梯級水電站接入拓撲目前流域安全、電網穩定控制、電力市場水電優先、電能網關數據采集等原則要求數據直接從水電站現場的業務系統或采集設備。業務流程模型如圖7-1所示：圖7-7-1XX、XX梯級水電站業務流程模型根據省調度部門制定電力調度數據網絡典型接入方案的要求，XX、XX梯級水電站應考慮配置接入節點設備。如圖 7-2 所示：圖 7-7-

15、2XX 和 XX 級聯電站接入拓撲八站服務接入方案8.1 業務系統接入原理根據國家二次電力系統安全保護方案要求：根據國家二次電力系統安全保護方案要求，XX、XX梯級水電站各項業務按照安全等級分為兩個區域，需要兩個VPN分別交換信息：安全區I是生產控制區，所有具有實時監控功能的系統或監控功能部分都屬于安全區I。本項目主要包括計算機監控系統XX和XX梯級水電站。安全區為非生產控制區。無控制功能的生產業務和系統中不受控制的部分原則上屬于安全區。本項目主要包括電能計量系統和發電計劃申報系統終端。數據網絡采用三層結構：核心層、骨干層和接入層。省級為核心級，地方級為骨干級，XX、XX梯級水電站數據網絡位于

16、接入級。 XX、XX梯級水電站設置兩套數據專網機柜，所有信息通過SDH設備通道傳輸至省調度和XX地方調度。2M站點訪問如圖 8-1 所示。站點的每個業務接入節點配備接入路由器和三層交換機。采用VLAN技術。每個VPN連接一個三層交換機，兩個三層交換機連接到站路由器。圖8-1 廠站業務系統接入方案示意圖8.2 遙控信息訪問通過XX、XX梯級水電站綜合計算機監控系統雙通信服務器，以調度數據網絡傳輸鏈路為主通道，常規專用通道為備用通道，將相關遠動數據信息傳輸至通過101和104協議的省主調度和備用調度。圖8-2為遙控信息接入示意圖：圖8-2 計算機監控系統接入方案示意圖8.3 電能收集系統/發電計劃

17、申報系統電網市場支撐系統主站位于省電力公司調度中心，由統一的網絡平臺、電力采集系統、發電計劃申報管理系統、考核結算系統、信息發布等組成系統和調度自動化系統（EMS）系統。它是電力市場正常運行不可缺少的技術基礎。省級調度電力市場技術支撐系統各子系統建立在統一的網絡平臺上，各子系統通過網絡交換機互聯互通，相互交換數據。電力調度采集主站系統采用電力調度數據專網數據傳輸，以撥號數據傳輸為輔，在電站端對電力數據進行轉錄。電站發電計劃申報管理系統通過電力調度數據專網數據傳輸的結構接入主站系統，以撥號方式為備用，上報和獲取計劃等市場信息。如下圖所示：圖8-3 電能采集裝置接入及發電計劃申報系統9 調度數據網

18、設備配置及技術要求9.1 網絡設備配置原則- 必須具有高可靠性和冗余性； 必須能夠提供故障隔離功能； 必須具備快速升級的能力； 必須有更少的時間延遲； 必須具有良好的可管理性。還需要考慮：路由器的處理性能；網絡的可靠性；網絡的擴展能力；網絡安全。9.2 路由器9.2.1 路由器的基本功能要求路由器設備必須實現以下功能。對于所提供的路由器設備，投標人應結合以下功能要求一一進行詳細說明。(1) 支持IP地址與對應連接網絡的鏈路層地址的相互映射。例如，將 IP 地址轉換為以太網硬件地址（ARP 和 RARP）。(2)它應該能夠支持OSPF v2或/和網關協議(IGP)如AS IS-IS和RIP v2

19、與同一自治域(AS)中的其他路由器交換路由信息和可達性信息。支持BGP 4外部網關協議與其他自治域交換拓撲信息。(3) 應能提供系統網絡管控機制，包括存儲/上傳配置、診斷、升級、狀態報告、異常情況報告及控制等。 應能提供包括數量、字節數的統計功能、端口、服務類型等信息。(4) 應能提供多種可選的物理層傳輸接口和適配功能。特別是支持多個E1/G.703接口的綁定功能。(5)應能提供組播功能。(6) 應能提供虛擬專用網(VPN)功能。(7) 應能支持MPLS(VPN, TE)。(8) 應能支持路由器節點的CQS功能，網絡具有一定的QoS機制。(9) 應能與其他廠商的路由器設備互連，并列出（型號）。

20、9.2.2 路由器接口類型和特性要求9.2.2.1 中的路由器接口(1) 應能支持10/100BaseT自適應接口。(2) 應能支持千兆以太網接口。(3) 應能支持E1/CE1電接口。(4) 應能支持STM-1光/電接口9.2.2.2 10/100baset 接口10Mbit/s 以太網接口應符合 IEEE802.3。100Mbit/s 快速以太網接口應符合 IEEE802.3u .9.2.2.3 千兆以太網接口1000Mbit/s以太網物理接口可支持1000Base-SX和1000Base-LX相互通信。 1000BaseT 。 1000Base-SX和1000Base-LX接口要符合 IE

21、EE802.3z，1000BaseT 接口要符合 IEEE802.3ab在千兆以太網接口上支持 MPLS（MPLS OVER GIGABIT ETHERNET）。支持優先級設置/映射。在局域網中使用時，它支持虛擬冗余路由器協議（VRRP）。9.2.2.4 E1電接口E1 電接口的物理層特性應符合 ITU-T I.432 和 G.703 建議。 E1電接口的接口類型為非平衡75歐BNC接口。支持通道化模式。9.2.2.5中的sdh接口STM-1光/電接口的物理層特性應符合ITU-T G.957和國家標準的要求。9.2.3 路由器層協議和路由協議的要求9.2.3.1 鏈路層協議 路由器應能支持地址

22、解析協議（ARP）、反向地址解析協議（RARP）和點對點協議（PPP）；對于核心層和骨干層的路由器，它們也應該能夠支持IP在SDH上傳輸的協議，即RFC1619/2615。9.2.3.1.1 地址解析協議（ARP）實現 ARP 的路由器必須遵守 RFC 中的 ARP。如果只是因為ARP緩存中沒有對應的目的地址，則不允許鏈路層上報目的不可達錯誤；鏈路層在執行ARP請求/響應序列時要緩存數據包，只有在請求無結果后才報告目的地不可達。11229.2.3.1.2 點對點協議（PPP）點對點協議的實現必須符合 RFC1661、RFC1331、RFC1334 和 RFC1994。9.2.3.2 互聯網層協

23、議應支持 IP、ICMP、IGMP 和其他協議。9.2.3.3 互聯網層轉發協議路由器的包轉發過程應符合RFC791、RFC950、RFC922、RFC792和RFC1349的Internet層協議；應支持傳輸控制協議（TCP）和用戶數據報協議（UDP）。9.2.3.4 路由協議路由器應支持默認路由、靜態路由和RIPv2、OSPF、BGP4等動態路由協議，并說明是否支持IS-IS路由協議。9.2.3.5 MPLS 協議路由器應完全支持 MPLS 協議。9.2.3.6 差異化服務協議（Diff-Serv）路由器應支持差異化服務協議。9.2.3.7 排隊策略和擁塞控制路由器應提供先進的擁塞控制機制

24、，以不同方式處理不同級別的流量。設備應支持為每個隊列或用戶分配相對獨立的帶寬資源，并為所有應用提供不同的時延、不同的時延抖動、不同的帶寬保證、不同的丟包率等要求。設備每個物理接口支持的隊列數不少于4個。提供路由器各接口模塊可以提供的隊列數量，可以實現的隊列調度算法，隊列對性能的綜合影響。9.2.4 接入路由器詳細技術指標功能技術指標參數要求包轉發能力200kpps接口槽數4配置 DRAM 內存256M配置內存32M支持的接口類型0/100baset，E1 電路端口，V.24冗余電源11最大快速以太網訪問數10最大E1接口數16整機不間斷工作時間200,000 小時延時100s用戶協議IP，AT

25、M，幀中繼路由協議OSPF、BGPv4、BGP4擴展、RIPv2路由器/安全協議SNMP、RMON II、在線升級、在線打補丁服務質量流量分類和流量監管 CAR/LR、流量整形 GTS、擁塞管理 PQ/CQ/WFQ/CBQ、擁塞避免 WRED網絡安全用戶認證、RADIUS認證/計費、IPSEC、IKE、硬件加密卡、防火墻支持（過濾接口/時間段/MAC地址）、高性能NAT。標記交換LDP、MP-BGP工程流程MPLS/TE虛擬專用網絡MPLS/VPN多播PIM，IGMP9.3 三層交換機9.3.1 基本技術要求與千兆以太網三層交換機相比，它具有三層路由功能，其主要功能包括以下幾個方面：(1)接口

26、功能：支持1000Base-SX、1000Base-LX、1000Base-T、100Base-FX 和 100Base-T 接口。(2)邏輯鏈路層的功能：以太網交換機必須實現LLC支持的類型1操作。(3) 數據幀轉發功能：不同端口連接的橋接交換機MAC 用戶數據幀在 Mac 之間交換。(4) 數據幀過濾功能：為防止數據幀重復，交換機不會將某些端口上的數據幀轉發（丟棄）到其他接口。(5)IP包轉發功能：根據路由表，在端口（包括邏輯端口）之間轉發包，重寫鏈路層數據信息。(6)路由信息維護功能：該功能負責運行路由協議和維護路由表。(7)維護決定數據幀轉發和過濾的信息：交換機必須維護數據幀轉發/過濾

27、信息。(8)操作維護功能：開關必須實現操作維護功能。(9)網管功能：交換機必須實現網管接口和協議。(10) 在任何配置下，所有端口都以線速切換轉發。（11）支持OSPF、RIP等網關協議（IGP）。(12) 支持802.1X認證，提高網絡安全性。9.3.2 詳細技術指標功能技術指標參數要求背板容量=8G最大轉發性能=6Mpps處理器內存64M支持的接口類型0/100baset，100M光口（單模、多模），GE可擴展千兆模塊=2固定數量的FE接口=24路由表容量=2K延時線速切換VLAN 特性支持基于端口的VLAN、802.1qVlan封裝、802.1D。Spanning-tree，最大Vlan

28、數=256，支持GVRP媒體訪問控制=8K路由表條目8K基本功能端口鏡像；優先/802.1p；流量控制/802.3x；港口聚合/802.3ad， = 8；堆碼數量=16；支持服務質量協議特征802.1X，RSTP組播協議支持 GMRP、PIM-DM、PIM-SM、IGMPI 和 GMP。窺探和其他協議生產樹協議支持STP/RSTP協議，符合IEEE802.1D和IEEE 802.1W。標準安全的分級命令保護機制，ACL過濾設施管理管理的集群數 = 256； SNMP； RMON 1/2/3/9； 系統日志；支持WEB管理，支持MIB-II9.4 設備機械結構及工藝要求(1)設備的整體機械結構應

29、充分考慮安裝維護的方便性和擴容或調整設備數量的靈活性，實現硬件模塊化。結構應有足夠的強度和剛度，設備的安裝固定方式應具有抗振抗震能力，地面荷載不應超過/m2，以免損壞設備或常規運輸、儲存和安裝后變形。400kg(2) 機箱（包括路由器和交換機）及所有部件均安裝在標準機架內。機箱上的各種板卡和模塊應為嵌入式，易于插拔，并配有定位和鎖定裝置。板和模塊應標有指導。機架上可能接觸到接線和危險電壓的部位必須加蓋，高壓等危險部位應有專門的標志。(3)設備表面處理要好，表面處理層要牢固，對易生銹、易氧化的部位進行特殊處理，使設備能長期耐腐蝕、防蛀、防銹。所有噴（漆）件表面應平整光滑，顏色一致，無劃痕、斑點、

30、流掛、脫落、損傷。所有電鍍件表面應有金屬光澤，無裂紋、銹斑、毛刺和缺陷。9.5 環境條件(1) 海拔高度：至少 400 米。(2) 抗震性1）地面水平加速度：0.2g2）地面垂直加速度：0.1g3）基本地震烈度：(3) 工作環境溫度1）長期工作條件：10352）短期工作條件：045（短期工作條件連續不超過48h，每年不超過15天）(4) 工作相對濕度1）長期工作條件：20%80%2）短期工況：10%90%（短期工況連續不超過48h，每年不超過15天）（5）路由器等設備應能適應不同區域環境條件，無需空調即可運輸和存放，安裝后不影響正常運行。對此，投標人應作出相應說明。(6) 路由器等設備應具備相

31、應的防塵能力。如果機房內粒徑大于5微米的粉塵（非導電性、導磁性和腐蝕性）濃度不大于3x104個/m3，路由器等設備不應出現故障和性能下降。(7)路由器等設備應具備相應的抗電磁干擾能力。當路由器等設備在0.01-10000MHz頻率范圍內受到電場強度為140dBuV/m的外部電磁波干擾時，應該不會出現故障和性能下降。(8)路由器等設備應采用交流220V供電方式。投標人應詳細說明所提供的各類設備的供電要求，并給出各類節點和設備的耗電量和總耗電量。(9) 采用額定電壓為220V的單相交流電源時，路由器等設備應能在一定的電壓波動范圍內正常工作。允許電壓范圍為+15%-15%，50Hz頻率為+5%-5%

32、，線電壓波形畸變率小于5%。(10)機房接地電阻一般不超過2歐，路由器等設備應有相應的接地措施。低層通信傳輸設備一般采用共接地方式，與建筑物接地體相連，而計算機應用系統一般與建筑物接地體隔離。10 機房布局及要求（1）新增加的雙面調度數據網絡機柜（2260X800X）布置在中控室。600mm(2)中控室的接地電阻值一般不超過2歐，路由器等設備應有相應的接地措施。（3）調度數據網絡柜采用雙UPS電源供電；交流電：220V10，50Hz5。11 通道要求XX電站提供：XX、XX梯級電站-水晶220KV變壓器-省級調度。XX電站提供：XX、XX梯級電站-水晶220KV變電站-XX地面調度。12 水電

33、站二次系統安全防護總體框架要求12.1 電力二次系統安全保護特點二次電力系統安全保護具有系統性和動態性。12.1.1 系統化二次系統由電站各業務系統的子網組成，其中通過不同的通信方式和協議承載各種不同安全要求的應用。采用網絡分層分區的方式實現信息的組織和管理。這些因素決定了電力二次系統的安全保護是一項系統工程。電站安全防護工作要細致、全面、清晰、合理；要積極配合上級和調度機構的安全管理工作，在做好部門安全防護的同時，在區域和全球層面形成合理優化的防護體系。12.1.2 動態二次系統安全防護的動態由兩個方面決定。一是通信技術和計算機網絡技術的不斷發展；二是電力二次系統本身的變化。隨著新病毒、惡意

34、代碼和網絡攻擊的出現，靜態安全防護策略已不能滿足二次系統網絡信息安全的要求，安全防護系統必須采用實時、動態、主動的防護思路。同時，二次系統部門不斷更新、擴充和合并，安全要求也隨之變化。因此，安全防護是一個長期的、循環的、不斷改進和適應的過程。圖 12-1 所示的 P2DR 模型是二級系統安全保護動態特性的直觀表示。圖 12-1 P2DR 安全防護動態模型12.2 整體安全策略 安全分區根據業務在系統中的重要性和對主系統的影響程度進行分區。所有系統都必須放置在相應的安全區域中。 專網安全區邊界清晰，專區根據業務的重要性提出不同的安全要求，制定不同強度的安全防護措施。特別強調，為保障生產控制業務，

35、應建設電力調度數據網絡，實現與其他數據網絡的物理隔離，并在專用網絡上形成多個邏輯上相互隔離的子網。技術手段，保證上下安全區域的垂直互聯只能在同一個安全區域進行，避免安全區域的垂直交叉。 橫向隔離 安全區域與安全區域內的通信通道之間采用不同強度的安全隔離，設備可以有效保護各個安全區域內的業務系統。 垂直認證采用認證、加密、訪問控制等手段，滿足遠程通信中各類數據的性、完整性和可用性要求，防止遠程攻擊和非法操作，形成垂直邊界的安全防御，與調度機構和上級管理單位建立可靠的互信溝通機制。12.3 整體防護方案12.3.1 安全區劃分二次電源系統劃分為不同的安全工作區域，體現了各區域業務系統重要性的差異。

36、不同的安全區域決定了不同的安全防護要求，從而決定了不同的安全等級和防護等級。根據電力二次系統的特點、現狀和安全要求，將整個二次系統劃分為兩個區域：生產控制區域和管理信息區域。生產區分為實時控制區和非控制區。信息管理區域可以根據業務系統進行細分。(1) 生產控制區 安全區（控制區）是指由各種具有實時監控功能的業務系統組成的安全區域，垂直連接到電力調度數據網絡的實時子網或專用通道。控制區業務系統或其功能模塊（或子系統）的典型特征是：是電力生產的重要環節，直接實現對一次電力系統的實時監控，垂直利用電力調度數據網絡或專用通道，是安全防護的關鍵和核心。 安全區（非控制區）在生產控制區，是由在線運行但不直

37、接參與控制的各種業務系統組成的安全區域，是電力生產過程中的必要環節，與非實時子網垂直連接。使用電力調度數據網絡。非控制區業務系統或功能模塊的典型特征是：是電力生產的必要環節，在線運行但無控制功能，使用電力調度數據網絡，與業務系統或功能緊密聯系。控制區域中的模塊。(2) 管理信息區根據二次電力系統安全保護條例，在不影響生產控制區安全的前提下，管理信息區可根據企業不同的安全要求劃分為安全區。原則上應分為安全區（生產管理區）和安全區（管理信息區）。12.3.2 系統分區原理的應用1）根據實時性、用戶、功能、場所、系統與各業務系統的關系、廣域網通信方式、攻擊后的影響，將系統劃分為各個安全區域。2) 實

38、時控制的功能或系統必須放置在安全區域內。3) 在二次電源系統中，不允許將屬于高安全區的業務系統遷移到低安全區。允許將屬于低安全區的業務系統終端設備放置在高安全區，供屬于高安全區的人員使用。4）當部分業務系統的次要功能與根據主要功能選擇的安全區域不一致時，可以將業務系統按照不同的功能模塊劃分為若干子系統，分別放置在各個安全區域中。每個子系統通過安全區域之間的通信構成整個業務系統。5）自封閉業務系統是一個孤立的業務系統，其劃分規則沒有要求，但必須符合其所在安全區域的安全防護規定。12.3.3 各安全區防護的基本要求1）安全區和安全區要求： 禁止在安全區 I 和安全區 II 提供電子郵件服務。 安全

39、區域 I 中的 Web 服務被禁止。 II區允許垂直Web服務，其專用Web服務器和Web瀏覽工作站位于“非軍事區”網段。專用Web服務器是一種安全的Web服務器，已被保護并支持S。二區的Web瀏覽工作站和業務系統工作站不能共享，業務系統必須主動向Web服務器單向傳輸數據。 、安全區禁止使用IDS與防火墻聯動。 安全區第二部分允許采用B/S結構的系統，必須采取措施對系統進行密封。 安全區和安全區重要業務的鑒權加密機制。 對安全一區和安全二區的相關系統之間采取訪問控制等安全措施。 對安全區和安全區的撥號接入業務，用戶應使用Unix或Linux操作系統，并采取認證、加密、訪問控制等安全保護措施。

40、安全一區和安全二區應部署安全審計措施，將安全審計與安全區網管系統、入侵檢測系統（IDS）、敏感業務服務器的登錄認證和授權、應用訪問權限等相結合。 Security Zone I 和 Security Zone II 必須采取措施防止惡意代碼。病毒庫和木馬庫的更新必須離線進行，不能直接從網上下載。 安全區 I 和 II 的系統必須經過安全評估。2) 安全三區要求： Safe Zone III 允許打開電子郵件和 Web 服務。 安全三區撥號接入業務必須采取門禁等安全防護措施。 安全三區必須采取防病毒和惡意代碼措施。3）安全IV區的保護應嚴格按照二次電源系統的整體安全保護方案進行。12.3.4 安

41、全區之間水平隔離的要求應在所有安全區域之間選擇具有適當安全強度的隔離裝置。具體隔離設備的選擇不僅要考慮網絡安全的要求，還要考慮帶寬和實時性的要求。隔離裝置必須為國產設備，并經國家或電力系統有關部門認證。1）安全區和安全區之間的隔離要求：安全區和之間應使用硬件防火墻或相關部門認可批準的等效設備，用于邏輯隔離、消息過濾、狀態檢測和訪問控制等服務。 as-mail、Web、Telnet、Rlogin 禁止跨安全區之間的隔離設備。2）安全區與安全區之間的隔離要求：安全區與之間應通過硬件防火墻或相關部門認可認可的等效設備進行邏輯隔離、消息過濾和訪問控制。3) I、II安全區與III、IV安全區之間的隔離

42、要求：I、II安全區不得與IV安全區直接相連，I、II安全區之間必須使用經有關部門批準的專用隔離裝置。安全區 III。特殊隔離裝置分為正向隔離裝置和反向隔離裝置。從安全區和到安全區的單向傳輸信息必須采用正向隔離裝置，從安全區到安全區甚至安全區的單向數據傳輸必須采用反向隔離裝置。反向隔離設備采用簽名認證和數據過濾措施（禁止使用E-MAIL、Web、TELnet、Rlogin等）。12.3.5 安全區域與遠距離通信的縱向安全防護要求安全區和安全區連接的廣域網是電力調度數據網SPDnet，它應該采用MPLS-VPN技術，分別為安全區和提供兩個邏輯隔離的MPLS-VPN。 I、II安全區接入SPDne

43、t時，應配備垂直加密認證設備，實現網絡層雙向身份認證、數據加密和訪問控制。與安全區相連的WAN為發電集團/公司的電力數據通信網絡，SPDnet應與電力數據通信網絡物理隔離。安全區內的電力數據通信網絡的接入應配置硬件防火墻。加強外網邊界通信網關的操作系統，在I、II安全區的對外通信網關中增加加密、認證和過濾功能。3XX、XX梯級水電站二級保障方案根據電力二次系統安全防護總體方案的具體要求，并結合電廠業務系統二次系統安全防護現狀，確定本次安全防護工程的原則如下：作為生產控制區域內業務系統的通信通道，調度網絡不被視為一個獨立的系統。計算機監控系統應該是安全防護的核心。本設計重點關注各系統之間的橫向通

44、信和與上級單位和調度終端的縱向通信接口保護。生產控制系統/設備的遠程撥號維護界面由于禁止策略，不再反映在當前情況描述中。設備之間的硬接線不被視為通信連接，但在本設計中被視為安全。入侵偵測系統;防止病毒入侵網絡傳播；13.1 安全分區 安全區：包括計算機監控系統。計算機監控系統是實時生產監控系統，是整個安全防護的核心。 安全區：包括電能采集系統和報價系統。數據的非實時性質是分鐘、小時、天、月甚至年。分區如圖 13-1 所示。這一階段的重點是設計區域 I 和 II 的安全措施。圖 13-1 安全分區規劃13.2 安全區的安全防護I區計算機監控系統為獨立系統，不與電廠二級業務系統通信，不考慮橫向隔離

45、。安全I區的網絡結構和安全防護產品如下： 采用鑒權加密裝置，實現安全I區與省調度垂直通信之間的安全隔離。在安全I區的實時VPN交換機上增加入侵系統，監控I區系統與電力調度數據網絡之間的網絡邊界。 安全一區配備漏洞掃描系統。圖 13-2I 區域安全保護13.3 安全區安全防護安全區包括：電能計量系統、報價系統和繼電保護及故障信息系統。安全區各應用系統與其他安全區業務系統無橫向數據交換；但二區業務接入調度數據網絡時，應采用垂直加密認證裝置進行保護。在安全區II的非實時VPN交換機上增加入侵檢測系統，監控安全區II系統與電力調度數據網絡之間的網絡邊界。 II區安全防護如圖13-3所示：圖 13-3

46、II 區安全防護14 二次系統安全管理體系建設除技術措施外，還必須加強二次電力系統的安全防護，按照“三技七管”的原則，認真落實安全管理。具體措施如下。14.1 建立健全安全管理機構。系統搭建一套安全審計平臺：14.1.1 建立完善的安全責任體系。按照“誰負責、誰負責”、“誰負責、誰負責”的原則，建立二級系統安全防護小組。團隊成員由各業務代表組成，成員負責各自業務涉及的應用系統的安全防護。應任命一名專門的保安員來管理該組的事務。管理層應指定專人協調、安排和指導安全小組的工作，配合上級信息安全組織的工作。14.1.2 明確各類人員的安全責任。1）管理負責人是安全防護的第一責任人，其安全職責為：負責

47、組織相關人員建立所轄二次電力系統的安全防護體系； 定期檢查安全防護執行情況及審核結果；定期組織人員進行安全評估； 組織人員認真分析安全事故，及時向上級匯報；2) 二次系統安全保護的職責是： 參與建立所轄電力二次系統的安全防護體系； 負責部署在各個安全區域的橫向和縱向邊界的安全產品。日常運維；定期對受管電力二次系統進行安全檢查和評估；負責及時處理所轄二次電力系統的安全事故； 負責基本安全知識的咨詢和培訓。3) 安全防護團隊成員的職責是：在專業維護的應用系統中設置和調整部署的安全產品的安全策略，定期審計安全產品的日志，并將結果報告給安全人員。及時對單位收費。4）電力二級專業系統普通人員的安全職責：

48、嚴格遵守各項安全管理制度； 保護我的密碼、數字證書、鑰匙、IC卡等安全設施。一旦泄露或丟失，我應該立即報告。14.2 安全評估管理1）二次電力系統的安全評估應盡可能由電力部門相關單位進行；確需聘請外部系統相關機構進行評估的，需聘請已通過相關國家結構認證的合格國家單位；電力系統重點部門要配備必要的安全掃描和檢測工具，并盡量自行開展日常安全檢查。2) 安全評估包括：風險評估、攻擊演練、漏洞掃描、安全系統評估、安全設備部署和性能評估、安全管理措施評估等。不允許任何安全評估過程的記錄、數據和結果以任何形式在被評估單位進行。3）新生產設備或信息系統投入運行前、舊系統安全整改后、重大改造升級后，必須進行安

49、全評估；應定期（一年或兩年）評估二次電力系統。14.3 項目實施過程中的安全管理1) 二次系統所有相關設備和系統的供應商必須承諾所提供的設備和系統不存在任何安全隱患，并承擔由此造成的設備和系統生命周期內的連帶責任（從交付退役）；2）接入電力調度數據網絡的節點、設備和應用系統，須經二級系統安全防護小組批準，并報一級電力調度機構備案；3）二次系統的安全防護方案須經上級主管單位審核批準，完成后須經上級有關部門驗收；安全防護方案的實施必須嚴格遵守相關規定，確保部署的安全裝置的可用性指標達到99.99%；4) 二級專業電力系統在投運前必須進行安全評估。14.4 設備、應用和服務的訪問管理1) 在已建立安

50、全防護體系的電力二次系統中，對任何新設備、應用和服務的接入，必須經本單位安全管理員和本單位安全主管備案并批準后，方可在本單位的監督下實施接入。安全管理員；2) 嚴禁安全I區和安全II區的工作站和服務器以任何方式與Internet、其他安全區域和任何外部網絡連接；原則上不允許撥號功能。如果確實需要撥號服務，則必須配置強認證機制。原則上應拆除安全區、安全區的PC等微機的軟盤驅動器、光驅、USB接口、串口等，或通過安全管理平臺嚴格管理，防止病毒傳播。病毒等惡意代碼。個人電腦如確需插USB-key，應嚴格管理；3）二次電力系統安全區和區連接的安全產品，必須使用國家相關安全部門認證的國產產品，電力專用安

51、全產品也必須經過主管部門檢測認證電力安全；這些安全產品必須通過電力系統強電磁環境下的電磁干擾和電磁兼容測試。14.5 建立日常作業安全管理制度。1）門禁制度 電力二級專業系統的機房和重要場所必須建立合理、嚴格的門禁制度。2）人員管理明確各級人員的安全責任，定期檢查各級人員安全責任的落實情況。3) 網絡管理嚴格規范網絡用戶的操作行為。對違法經營行為作出明確處罰。 網絡部門禁止擅自使用撥號方式訪問Internet等外部公共網絡。應嚴格檢查與網絡外部的連接。 定期檢查網絡設備的安全設置，掃描網絡系統漏洞，及時修補發現的網絡系統漏洞。4) 門禁管理 對重要數據和信息實行明確的安全分類，嚴格限制其訪問用

52、戶群。相關內容應以文件形式明確。 訪問控制的粒度要達到用戶組/用戶級別，通過權限分配的方式進行控制。原則上建議刪除默認用戶，否則要嚴格限制默認用戶的權限。 安全管理人員應定期檢查各應用系統的訪問條件和訪問規則，并調整問題和時間。5）權限管理 針對不同的專業業務系統，按照最小化原則，賦予不同的用戶實體和用戶相應的訪問權限和操作權限。 為超級用戶或特權用戶設置復雜密碼，刪除臨時用戶和未使用用戶，為WINDOWS系統管理員設置強密碼。 禁止任何應用程序以超級用戶身份運行。6) 應建立文件管理和嚴格的文件管理制度，明確文件生成、發布、使用、修訂、保存和失效過程的操作規程。定義文檔范圍、等級和用戶。應特

53、別注意電子文件的使用、保存和發布。7) 安全防護系統的維護和管理。每個安全區域都建立了安全防護系統硬件和軟件相結合的維護機制，負責收集相關安全裝置的日志記錄和狀態，并進行綜合處理，以發現安全事故、非法入侵、及時發現安全漏洞和安全裝置故障。8) 常規設備和系統的維護和管理：及時保護或加固設備和系統；對每個系統和設備的故障處理制定計劃，并經常進行預演；及時了解相關系統軟件漏洞，發布信息，及時加強；出現安全故障，及時報告，保護現場，恢復系統。9) 惡意代碼（病毒、木馬等）防護 發布病毒報告，相應升級殺毒軟件，有效上報各種公共系統軟件的漏洞及相應的軟件補丁；部署升級后的殺毒軟件，跟蹤查殺效果；向上級報

54、告新病毒和其他惡意代碼的入侵。10) 審計管理維護安全設備和網絡設備（如隔離設備、垂直加密認證設備、入侵檢測系統、防火墻、路由器、交換機等）和關鍵系統（如計算機監控系統、機組狀態監控系統、水調度自動化系統等）；仔細保存日志；由具有特殊權限的安全管理員管理，及時分析，對各種非法行為進行病毒和黑客攻擊檢查；根據情況修改設備的安全策略并采取其他相應措施。11）數據和系統備份管理 數據備份：各種專業系統的實時數據庫和歷史數據庫必須定期備份，備份的數據必須存放在可靠的介質中，并與系統分開存放，并制定詳細的數據庫故障恢復計劃數據備份應制定和預覽。 計算機系統備份：專業系統的所有計算機系統（包括操作系統和應

55、用系統）都應完整備份在可靠的介質中，并存放在安全的地方；要制定完善可靠的系統快速恢復方案，并定期進行演練。12) 用戶密碼管理人員的登錄名和密碼設置必須經過批準；密碼應有足夠的長度和復雜性，并隨時間更新；嚴格限制系統超級管理員的登錄名和密碼；丟失或忘記登錄名和密碼的用戶，應申請新的登錄名和密碼；用戶轉出后，應立即取消登錄名和密碼。13) 培訓和管理。安全產品生產企業應當負責對安全防護隊伍相關成員進行詳細培訓，加強電站安全人員的安全技術知識，提高電站自主解決安全問題的能力。定期對員工進行電力二次系統安全防護知識培訓，形成制度并持之以恒，確保各項安全措施的可靠落實。14) 緊急處理 必須制定事故應

56、急處理方案，并進行預演或模擬驗證，以盡可能維持生產管理運行為目標；一旦發生安全事故（被黑客、病毒等人的破壞），應根據情況立即采取相應的安全應急措施：加強防護、斷開對方連接、追溯及處理其他措施；并及時向與本單位直接相關的電力調度機構和地方信息安全主管部門報告，保護事故現場，分析事故情況； 恢復與維護：系統損壞時，應按預先制定的應急預案進行恢復；采取立即完全恢復、部分恢復或啟用備份系統恢復（保護站點）等措施。15) 關節保護 與上級及其他電廠緊密合作，共同開展安全防護工作； 如發生安全事故或受到病毒、黑客攻擊，應及時向上級報告，并通知聯網單位采取聯合防護措施，防止事故擴大，確保正常運行的整個系統。

57、15項安全防護產品技術要求注：垂直加密認證裝置必須使用國產設備和系統。15.1 垂直加密認證設備技術要求電力控制系統局域網與電力調度數據網絡路由器之間放置專用電力加密認證裝置，用于保證電力調度系統縱向數據傳輸過程中的數據、完整性和真實性.同時滿足電源專用應用層通信協議的轉換功能，實現端到端的選擇性保護。專用電力加密認證裝置的功能要求如下：垂直加密認證網關可以為VPN提供電力調度數據網絡通信的認證和加密功能，實現對數據傳輸的保護。滿足電源專用通信協議（104、TaseII等）的轉換和應用過濾功能。采用電力專用分組密碼算法和公鑰密碼算法，支持身份認證、信息加密、數字簽名和密鑰生成與保護。提供基于R

58、SA公私鑰對的數字簽名和特殊加密算法的數字加密。采用專用的嵌入式安全操作系統，系統無TCP/IP協議棧。支持明文通信和密文傳輸，支持標準的802.1Q VLAN封裝協議，可實現不同網段的無縫透明接入。具有應用層通信協議轉換功能。審計功能，支持雙機熱備，基于數字證書的圖形界面。15.2 主機加固軟件技術要求1.基于數字簽名認證控制未經授權的訪問。在操作系統的內核層，用戶是通過數字簽名進行認證的，而認證證書本身是通過加密算法加密存儲的，所以不能被偽造。用戶只有使用數字證書通過正常認證后才能訪問系統。基于數字簽名認證機制，可以防止未經授權的超級用戶非法停止進程或中斷系統。2.靈活全面的門禁控制可以根

59、據用戶需求管理系統調用，保護文件、系統和進程，防止攻擊造成的數據篡改，防止未經授權的用戶中斷進程和系統服務，保證服務器穩定運行。3.主動入侵防御和審計跟蹤防止內核層的BOF（Buffer Overflow）攻擊，防止獲取ROOTSHELL。當出現安全問題時，強制終止惡意進程并自動屏蔽相應IP，并通過管理控制臺實時報警。當系統入侵或違反安全策略時，用戶或程序在網絡層和系統部門被封鎖，系統向管理員發出警報。審計日志記錄所有與安全有關的核事件，并提供多種報告格式供使用。4、實現權限與最小權限的分離。操作系統訪問控制的最佳策略是權限分離和最小權限原則。通過嚴格區分系統管理員和安全管理員的權限，控制超級

60、用戶（Windows 管理員，Unix/Linux 根用戶）的權限，可以有效防止我們人員的非法訪問和外部攻擊。5.程序自我保護使用 Kernel Sealing 技術來管理內核模塊的加載/卸載可以阻止對內核的惡意攻擊。主機加固系統具有Kernel Stealth功能，隱藏安全內核，自動保護主機加固系統的程序目錄和文件，可以防止安全內核程序被刪除，將安全風險降到最低。六、經營環境“零影響”系統應采用動態可加載模塊技術，保證服務器加固管理系統在安裝或卸載時無需重啟系統。通過從內核層攔截文件訪問控制，增強了操作系統的安全性，不修改操作系統的內核。15.3 入侵檢測系統技術要求1）產品需取得以下資質證