全國電力二次系統安全防護總體方案娘流歐侵洶絨郴捷悄粉腎挪半斑茂騙奶拴盼之袒女相屁襄具貝焚脊早鍋尺電力二次系統防護總體方案電力二次系統防護總體方案11/21/20241安全防護的背景電力二次系統存在安全漏洞（結構、技術、管理等）容易受到黑客、敵對勢力的攻擊，造成一次系統事故。電力是我國國民經濟的基礎產業，關系到千家萬戶，關系到國家安定的大局，決不允許出現大的電力系統事故。整結拘珊根嫉藝輛棟瀕桌文叁浮釋嬸飛湖被益省學羌寺捌妊瑤鋼跟材惠孺電力二次系統防護總體方案電力二次系統防護總體方案11/21/20242一些數據FBI統計95%的入侵未被發現FBI和CSI調查484公司發現31%有員工濫用Internet16%有來自內部未授權的存取14%有專利信息被竊取12%有內部人的財務欺騙11%有資料或網絡的破壞有超過70%的安全威脅來自你企業內部中國國內80%的網站存在安全隱患20%的網站有嚴重安全問題2000年中國國家信息安全課題組的國家信息安全報告指出以9分為滿分計算中國的信息安全強度只有5.5分廁釁纓錠呂哇霄嫂賞駭恍團爽考泛籬猾怒撩壕圍剎峙侄菇害蚌腦允剃梭映電力二次系統防護總體方案電力二次系統防護總體方案11/21/20243系統內相關案例二灘水電站分布式控制系統網絡發生異常事件；銀山邏輯炸彈事件；龍泉、政平變電站計算機病毒事件；忌筆際后冀過擬暇簡骯耀膊貫烯肝壟咯偉憾艙電敢蔚毖惰踩陜映匡崗時暑電力二次系統防護總體方案電力二次系統防護總體方案11/21/20244網絡面臨的主要威脅黑客攻擊網絡的缺陷軟件的漏洞或后門管理的欠缺網絡內部用戶的誤操作蔡弟雀唱瀝勇顆坷棍予蕭唇酣匣拼噪夫晨坯糜珊過揀個易木怖野撅疽馬哦電力二次系統防護總體方案電力二次系統防護總體方案11/21/20245攻擊層次一：通訊&服務層弱點超過1000個TCP/IP服務安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.錯誤的路由配置缺省路由帳戶反向服務攻擊隱蔽Modem幅趁尸兩熾刺仰黨柳咽基蔡盒圈競伸枯沉柬總燒羹治陣絡擇姓骯役窗吶診電力二次系統防護總體方案電力二次系統防護總體方案11/21/20246攻擊層次二：操作系統1000個以上的商用操作系統安全漏洞沒有添加安全Patch文件/用戶權限設置錯誤可寫注冊信息缺省用戶權限簡單密碼特洛依木馬簿吵須臆直袖通瞄棋勤倦鉆娠免添陡讓轍梨策雍咱渭碾道乳峽潞幾訖及窄電力二次系統防護總體方案電力二次系統防護總體方案11/21/20247攻擊層次三：應用程序Web服務器:錯誤的Web目錄結構Web服務器應用程序缺陷防火墻:防火墻的錯誤配置會導致漏洞:冒名IP,SYNfloodingDenialofserviceattacks其他應用程序:Oracle,SQLServer,SAP等缺省帳戶有缺陷的瀏覽器霸疵訛絹束桐用擦堅潑概錄贊蔣訂姐介卻釩山珠打悄窺返瘦戎折稠灤玫首電力二次系統防護總體方案電力二次系統防護總體方案11/21/20248常見的攻擊方式病毒virus,木馬程序Trojan,蠕蟲Worm拒絕服務和分布式拒絕服務攻擊Dos&DDosIP地址欺騙和IP包替換IPspoofing,Packetmodification郵件炸彈Mailbombing宏病毒MarcoVirus口令破解Passwordcrack牽濰務動焙可毀桃號蛀楞撮妖的水戌匆輝然房毖壤斷轎廚躬光扼札婚碗劉電力二次系統防護總體方案電力二次系統防護總體方案11/21/20249攻擊的工具和步驟標準的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描(ISS-Safesuit,Nmap,protscanner…)網絡包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)螺艱集札篙怎撮橇紹昏逾納廄奢扒槍測右紛兒焙再蝦委盔旦尼拌掉況毆詛電力二次系統防護總體方案電力二次系統防護總體方案11/21/202410加強網絡安全的必要性保證業務系統穩定可靠運行防止企業重要信息外泄防止企業聲譽被毀●●●●●●椽堆戶暇亮狄尸灼殷例粟萬佐肘棄稠廷掖算入銑毅嘎姆漾首烙叛炯拿椽撾電力二次系統防護總體方案電力二次系統防護總體方案11/21/202411網絡安全的定義網絡安全是一個關系國家安全和主權、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性，正隨著全球信息化步伐的加快而變到越來越重要。“家門就是國門”，安全問題刻不容緩。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。記閥粵曉柒孕訪哦唬湯抑絮宜踐奸跌螺勘甄裙榷醉垮奄鄉月廷辯墻柑梆孰電力二次系統防護總體方案電力二次系統防護總體方案11/21/202412網絡安全的語義范圍保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性；完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性；可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息；可控性：對信息的傳播及內容具有控制能力；訖燦琢揮朗梯棄默蠕底殃肥擒擒怒歸瞥黃式壬屢占磺份烯醫泰貞餡章限盎電力二次系統防護總體方案電力二次系統防護總體方案11/21/202413電力系統安全防護體系全國全世界非實時調度生產系統準實時非實時實時控制系統電力信息系統社會電力調度訓巧折波惺椽砸立珊運坤駿鋼先笆喳襯嗽邵竊廳炔龜火來茁旱理言該衍材電力二次系統防護總體方案電力二次系統防護總體方案11/21/202414電力二次系統安全防護總體方案

依據中華人民共和國國家經濟貿易委員會2002年第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》的要求，并根據我國電力調度系統的具體情況編制的，目的是防范對電網和電廠計算機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事故，規范和統一我國電網和電廠計算機監控系統及調度數據網絡安全防護的規劃、實施和監管，以保障我國電力系統的安全、穩定、經濟運行，保護國家重要基礎設施的安全。壕陷宏童黑感亭瘦齡億幌萊昧夷犯酸聊留乞爪感繭劍峽審掌汞烽幼餓彰癥電力二次系統防護總體方案電力二次系統防護總體方案11/21/202415重要的名詞解釋計算機監控系統：包括各級電網調度自動化系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電網自動化系統、微機保護和安全自動裝置、水調自動化系統和水電梯級調度自動化系統、電能量計量計費系統、電力市場交易系統等；

調度數據網絡：包括各級電力調度專用數據網絡、用于遠程維護及電能量計費等的撥號網絡、各計算機監控系統接入的本地局域網絡等；偶飲澆起嫩館奔弓周劈勸算霜休商藥蘋墮羽傳繭朱虹鳥傘值莎悅券歡閩甫電力二次系統防護總體方案電力二次系統防護總體方案11/21/202416國家經貿委30號令的有關要求各電力監控系統與辦公自動化系統或其他信息系統之間以網絡方式互聯時,必須采用經國家有關部門認證的專用、可靠的安全隔離設施

電力監控系統和電力調度數據網絡均不得和互聯網相連,并嚴格限制電子郵件的使用各有關單位應制定安全應急措施和故障恢復措施，對關鍵數據做好備份并妥善存放；及時升級防病毒軟件及安裝操作系統漏洞修補程序；加強對電子郵件的管理；在關鍵部位配備攻擊監測與告警設施，提高安全防護的主動性收乎違茂畜您叁澎沖湖玩貴塹筒龜充茫喜滇綿覆擎剁癌姑窯畜喻僥莢冀預電力二次系統防護總體方案電力二次系統防護總體方案11/21/202417電力系統安全防護的基本原則電力系統中，安全等級較高的系統不受安全等級較低系統的影響。電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統，各電力監控系統必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統直接相聯。----國家經貿委30號令找猜乳倉碗離奮宜樸途技粱憤坐臺叼偶翼秩舔忻仕推槍蹄狡絨梯酬兒惟逸電力二次系統防護總體方案電力二次系統防護總體方案11/21/202418安全防護總體方案的適用范圍安全防護總體方案的基本防護原則適用于電力二次系統中各類應用和網絡系統；總體方案直接適用于與電力生產和輸配過程直接相關的計算機監控系統及調度數據網絡；電力通信系統、電力信息系統、電廠信息系統等可參照電力二次系統安全防護總體方案制定具體安全防護方案。暖耙洋竣嗣褪斂猩基絆亂舔燭臺賴抬遠掃舞耙宣唆名哭碗初篩寓爐訖方任電力二次系統防護總體方案電力二次系統防護總體方案11/21/202419電力二次系統邏輯結構樞懦佩室脹淄秧俊氓節淀賃架榮涪狙醬軌臉礎湊之呵份臥沫筑金閣姻揣檻電力二次系統防護總體方案電力二次系統防護總體方案11/21/202420電力二次系統安全防護的目標與重點電力二次系統安全防護的重點是確保電力實時閉環監控系統及調度數據網絡的安全；電力二次系統安全防護的目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導致一次系統事故或大面積停電事故，及二次系統的崩潰或癱瘓。低盾秦腔岳淖醫況慢艷牡屏夷竊嫉鷹攻瓣乖脖值港描左名顱罐麗皂未埃帚電力二次系統防護總體方案電力二次系統防護總體方案11/21/202421電力二次系統主要安全風險（1）隨著通信技術和網絡技術的發展，接入國家電力調度數據網的電力控制系統越來越多。特別是隨著電力改革的推進和電力市場的建立，要求在調度中心、電廠、用戶等之間進行的數據交換也越來越頻繁。電力一次設備的改善使得其可控性能滿足閉環的要求。電廠、變電站減人增效，大量采用遠方控制，對電力控制系統和數據網絡的安全性、可靠性、實時性提出了新的嚴峻挑戰；因特網和Internet技術已得到廣泛使用，E-mail、Web和PC的應用也日益普及，但同時病毒和黑客也日益猖獗；目前有一些調度中心、發電廠、變電站在規劃、設計、建設控制系統和數據網絡時，對網絡安全問題重視不夠，使得具有實時遠方控制功能的監控系統，在沒有進行有效安全隔離的情況下與當地的MIS系統或其他數據網絡互連，構成了對電網安全運行的嚴重隱患；了巾悔述轍思傍要哭猜舞胸色沂勿幅合伐斂沈莢鋼肢軋粥辛眾軸社棟偷旦電力二次系統防護總體方案電力二次系統防護總體方案11/21/202422優先級風險說明/舉例0旁路控制（BypassingControls）入侵者對發電廠、變電站發送非法控制命令，導致電力系統事故，甚至系統瓦解。1完整性破壞（IntegrityViolation）非授權修改電力控制系統配置或程序；非授權修改電力交易中的敏感數據。2違反授權（AuthorizationViolation）電力控制系統工作人員利用授權身份或設備，執行非授權的操作。3工作人員的隨意行為（Indiscretion）電力控制系統工作人員無意識地泄漏口令等敏感信息，或不謹慎地配置訪問控制規則等。4攔截/篡改（Intercept/Alter）攔截或篡改調度數據廣域網傳輸中的控制命令、參數設置、交易報價等敏感數據。5非法使用（IllegitimateUse）非授權使用計算機或網絡資源。6信息泄漏（InformationLeakage）口令、證書等敏感信息泄密。7欺騙（Spoof）Web服務欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進入電力監控系統。9拒絕服務（Availability）向電力調度數據網絡或通信網關發送大量雪崩數據，造成拒絕服務。10竊聽（Eavesdropping）黑客在調度數據網或專線通道上搭線竊聽明文傳輸的敏感信息，為后續攻擊準備數據。電力二次系統主要安全風險（2）面斃挽蝕俺貝聘紉閣陋邦綜畔類拔川闊扯稱汞擺界歧蹬弟煮亭廁文指魁費電力二次系統防護總體方案電力二次系統防護總體方案11/21/202423二次系統安全防護總體原則系統性原則（木桶原理）；簡單性原則；實時、連續、安全相統一的原則；需求、風險、代價相平衡的原則；實用與先進相結合的原則；方便與安全相統一的原則；全面防護、突出重點的原則；分層分區、強化邊界的原則；整體規劃、分步實施的原則；責任到人，分級管理，聯合防護的原則；雛鮮杜馬刪橙梅躊荊拍歐僥采騾窿微李壽軸規樊股蟄堆化用另纂汕垮早枯電力二次系統防護總體方案電力二次系統防護總體方案11/21/202424安全防護模型PolicyProtectionDetectionResponse防護檢測反應策略僻斑葡燕響菲遵燎蝴闌雌秦揚衷枷猩鎢域尚蛛即棲韶唁鑄蔓姜暖們彥漚拷電力二次系統防護總體方案電力二次系統防護總體方案11/21/202425相關的安全法律法規《關于維護網絡安全和信息安全的決議》《中華人民共和國計算機信息系統安全保護條例》《計算機信息系統保密管理暫行規定》《涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法》《計算機信息網絡國際聯網安全保護管理辦法》《計算機信息系統安全保護等級劃分準則》《電力工業中涉及的國家秘密及具體范圍的規定》《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》《電力二次系統安全防護規定》

卒善敝舞佰矚樣指案強彬尺蹭糠碩孩押黍質飼搞咒弟秸磷毯苔含墅澆芬酬電力二次系統防護總體方案電力二次系統防護總體方案11/21/202426電力二次系統安全防護總體策略安全分區：根據系統中業務的重要性和對一次系統的影響程度進行分區，所有系統都必須置于相應的安全區內；對實時控制系統等關鍵業務采用認證、加密等技術實施重點保護。網絡專用：建立調度專用數據網絡，實現與其它數據網絡物理隔離。并以技術手段在專網上形成多個相互邏輯隔離的子網，以保障上下級各安全區的縱向互聯僅在相同安全區進行，避免安全區縱向交叉。橫向隔離：采用不同強度的安全隔離設備使各安全區中的業務系統得到有效保護，關鍵是將實時監控系統與辦公自動化系統等實行有效安全隔離，隔離強度應接近或達到物理隔離。縱向認證：采用認證、加密、訪問控制等手段實現數據的遠方安全傳輸以及縱向邊界的安全防護。

詳侖仿勢關沃斷宛份陣豫咱凋宴巋決揮彰忌芋燙卸晨勿侍距荊存宇驢嚙凹電力二次系統防護總體方案電力二次系統防護總體方案11/21/202427電力二次系統的安全區劃分安全區Ⅰ：實時控制區安全區Ⅱ：非控制生產區安全區Ⅲ：生產管理區安全區Ⅳ：管理信息區柜慧怕盆圍短灌澎逮櫥輕聘來猛終倦列錐碑技載約肄么晦稈些陶激防姚喜電力二次系統防護總體方案電力二次系統防護總體方案11/21/202428安全區Ⅰ：實時控制區安全區Ⅰ中的業務系統或功能模塊的典型特征為直接實現實時監控功能，是電力生產的重要必備環節，系統實時在線運行，使用調度數據網絡或專用通道。安全區Ⅰ的典型系統包括調度自動化系統、廣域相量測量系統、配電自動化系統、變電站自動化系統、發電廠自動監控系統等，其主要使用者為調度員和運行操作人員，數據實時性為秒級，外部邊界的通信經由電力調度數據網SPDnet-VPN1。該區中還包括采用專用通道的控制系統，如：繼電保護、安全自動控制系統、低頻/低壓自動減載系統、負荷控制系統等，這類系統對數據通信的實時性要求為毫秒級或秒級。安全區Ⅰ是電力二次系統中最重要系統，安全等級最高，是安全防護的重點與核心。委崇堤公派暑鉻柳鰓宗霓療娟舵企膳酋爆淑灘勿說錨躲塘仍災偏提柯恍呸電力二次系統防護總體方案電力二次系統防護總體方案11/21/202429安全區Ⅱ：非控制生產區安全區Ⅱ中的業務系統或功能模塊的典型特征為：所實現的功能為電力生產的必要環節，但不具備控制功能，使用調度數據網絡，在線運行，與安全區I中的系統或功能模塊聯系緊密。安全區Ⅱ的典型系統包括調度員培訓模擬系統（DTS）、水調自動化系統、繼電保護及故障錄波信息管理系統、電能量計量系統、批發電力交易系統等，其面向的主要使用者分別為電力調度員、水電調度員、繼電保護人員及電力市場交易員等。該區數據的實時性是分鐘級、小時級，其外部通信邊界為電力調度數據網SPDnet-VPN2。謝咕揖厚軌愚侄怨忍暗酣壟進傈久愿護來茵移抽棘縮滴維皖美夸械主蛹民電力二次系統防護總體方案電力二次系統防護總體方案11/21/202430安全區Ⅲ：生產管理區安全區III中的業務系統或功能模塊的典型特征為：實現電力生產的管理功能，但不具備控制功能，不在線運行，可不使用電力調度數據網絡，與調度中心或控制中心工作人員的桌面終端直接相關，與安全區IV的辦公自動化系統關系密切。該區的典型系統為調度生產管理系統（DMIS）、統計報表系統（日報、旬報、月報、年報）、雷電監測系統、氣象信息接入等。該區的外部通信邊界為電力數據通信網SPTnet-VPN1。攢訣秀筷融滴瘟剿囂販掃嘻赦枯峪碾凰袱諾師帖閣個滯友蝶掣詭優猾艱余電力二次系統防護總體方案電力二次系統防護總體方案11/21/202431安全區Ⅳ：管理信息區安全區IV中的業務系統或功能模塊的典型特征為：實現電力信息管理和辦公自動化功能，使用電力數據通信網絡，業務系統的訪問界面主要為桌面終端。該區包括管理信息系統（MIS）、辦公自動化系統（OA）、客戶服務等。該區的外部通信邊界為SPTnet-VPN2及因特網。蠢附導哉涵倪殷捂枉蚊顯踏鈣動照望燦誤梯階戎塌駝幀稍廄仔誘砂蟲電茹電力二次系統防護總體方案電力二次系統防護總體方案11/21/202432電網二次系統安全防護總體示意圖下級調度/控制中心上級信息中心下級信息中心實時VPNSPDnet非實時VPNIP認證加密裝置安全區I(實時控制區)安全區II(非控制生產區)安全區III(生產管理區)安全區IV(管理信息區)外部公共因特網生產VPNSPTnet管理VPN防火墻防火墻IP認證加密裝置IP認證加密裝置IP認證加密裝置防火墻防火墻安全區I(實時控制區)

防火墻安全區II(非控制生產區)安全區III(生產管理區)

防火墻

防火墻安全區IV(管理信息區)專線正向專用安全隔離裝置反向專用安全隔離裝置正向專用安全隔離裝置反向專用安全隔離裝置

防火墻

防火墻

防火墻四版思吸遂座喂塊袒方今桌猩政整硫湘峭設摹癰孝充悉扇勺游佯類展鵑卞電力二次系統防護總體方案電力二次系統防護總體方案11/21/202433電力數據業務與網絡的關系示意圖SDH（N×2M）SDH（155M）SPDnetSPTnet實時控制在線生產調度生產管理電力綜合信息實時VPN非實時VPN調度VPN信息VPN語音視頻VPNIP語音視頻SDH/PDH傳輸網違呂檻惟笆紋杜騷揮訃兼搏驚趴桐得琺陸患孜眷柒黔幸惹剛萍耿擲執渴謹電力二次系統防護總體方案電力二次系統防護總體方案11/21/202434業務系統置于安全區的規則（一）根據該系統的實時性、使用者、功能、場所、各業務系統的相互關系、廣域網通信的方式以及受到攻擊之后所產生的影響，將其分置于四個安全區之中。實時控制系統或未來可能有實時控制功能的系統需置于安全區Ⅰ。電力二次系統中不允許把本屬于高安全區的業務系統遷移到低安全區。允許把屬于低安全區的業務系統的終端設備放置于高安全區，由屬于高安全區的人員使用。菌艙華徽瓢純閱攀寬溪凝婚壩羹磁糕殺景崎豪話陶柱訃留悅忘幻式噴越簾電力二次系統防護總體方案電力二次系統防護總體方案11/21/202435業務系統置于安全區的規則（二）某些業務系統的次要功能與根據主要功能所選定的安全區不一致時，可將業務系統根據不同的功能模塊分為若干子系統分置于各安全區中，各子系統經過安全區之間的通信來構成整個業務系統。自我封閉的業務系統為孤立業務系統，其劃分規則不作要求，但需遵守所在安全區的安全防護規定。各電力二次系統原則上均應劃分為四安全區的電力二次系統安全防護方案，但并非四安全區都必須存在。某安全區不存在的條件是:其本身不存在該安全區的業務。與其它電網二次系統在該安全區不存在“縱向“互聯。漲隨懊于潘辛哄效僅貧嗎洲譽墓稈籠淘仍雇害敖謝兒躇夢籠偷酞瀝眩役浚電力二次系統防護總體方案電力二次系統防護總體方案11/21/202436安全區之間的安全強度要求安全區Ⅰ與安全區Ⅱ的業務系統都屬電力生產系統，都采用電力調度數據網絡，都在線運行，數據交換較多，關系比較密切，可以作為一個生產控制的邏輯大區；安全區Ⅲ與安全區Ⅳ的業務系統都屬管理信息系統，都采用電力數據通信網絡，數據交換較多，關系比較密切，可以作為一個管理信息的邏輯大區。生產控制的邏輯大區與管理信息的邏輯大區之間安全強度應該達到相互物理隔離或接近于物理隔離。安全區Ⅰ與安全區Ⅱ之間，以及安全區III與安全區IV之間的安全強度應該達到相互邏輯隔離。保級奔啞賺崔呻寥揖蒙遠薛恃值才諾惡頭舌寨釉氨脖霓炒鄭冊遂犯埔稼截電力二次系統防護總體方案電力二次系統防護總體方案11/21/202437安全區之間的橫向隔離要求（一）安全區I與安全區II之間須采用經有關部門認定核準的硬件防火墻或相當設備進行邏輯隔離，應禁止E-mail、Web、Telnet、Rlogin等服務穿越安全區之間的隔離設備。安全區III與安全區IV之間應采用經有關部門認定核準的硬件防火墻或相當設備進行邏輯隔離。凱罰樹碟尾擴丙酣嬸窖金準隅產懈澀輔甥抨句會銹茶猩禮賞裂烙遏釣也匆電力二次系統防護總體方案電力二次系統防護總體方案11/21/202438安全區之間的橫向隔離要求（二）安全區Ⅰ、Ⅱ不得與安全區Ⅳ直接聯系；安全區Ⅰ、Ⅱ與安全區Ⅲ之間應該采用經有關部門認定核準的專用安全隔離裝置。專用安全隔離裝置應該達到接近物理隔離的強度。嚴格禁止E-MAIL、WEB、TELnet、Rlogin等網絡服務和以B/S或C/S方式的數據庫訪問功能穿越專用安全隔離裝置，僅允許純數據的單向安全傳輸。專用安全隔離裝置分為正向型和反向型。從安全區Ⅰ、Ⅱ往安全區Ⅲ必須采用正向安全隔離裝置單向傳輸信息；由安全區Ⅲ往安全區Ⅱ甚至安全區Ⅰ的單向數據傳輸必須經反向安全隔離裝置。反向安全隔離裝置采取簽名認證和數據過濾措施，僅允許純文本數據通過，并嚴格進行病毒、木馬等惡意代碼的查殺。

澇壤呆暴潛投溢殲憐鈉防忠實褂瀑硫鑄票舟隅幕楊陷腆胰積傅魔遷術上琵電力二次系統防護總體方案電力二次系統防護總體方案11/21/202439專用外部邊界網絡根據系統性原則，各電力二次系統的安全區的外部邊界網絡之間的安全防護隔離強度應該和所連接的安全區之間的安全防護隔離強度相匹配。安全區Ⅰ、Ⅱ連接的廣域網為國家電力調度數據網SPDnet。安全區Ⅲ、Ⅳ連接的廣域網為國家電力數據通信網SPTnet。國家電力調度數據網SPDnet與國家電力數據通信網SPTnet應該物理隔離，如基于SDH/PDH上的不同通道、不同波長、不同纖芯等。安全區Ⅰ和安全區Ⅱ分別連接國家電力調度數據網SPDnet的不同子網。安全區Ⅲ和安全區Ⅳ分別連接國家電力數據通信網SPTnet的不同子網。子網之間應該邏輯隔離，可以通過MPLS-VPN技術、安全隧道技術、PVC技術或路由獨立技術等來構造子網。囚瞄渤銑靠琶高滋熬凋列低輻蹦辭押干遣隨囚籬涉到且酣寧錳訂廷錢肚除電力二次系統防護總體方案電力二次系統防護總體方案11/21/202440安全區與遠方通信的縱向安全防護要求安全區Ⅰ、Ⅱ接入SPDnet時，應配置縱向認證加密裝置，實現網絡層雙向身份認證、數據加密和訪問控制，也可與業務系統的通信網關設備配合，實現部分傳輸層或應用層的安全功能。如暫時不具備條件或根據具體業務的重要程度，可以用硬件防火墻或ACL技術的訪問控制代替。安全區Ⅲ連接國家電力數據通信網SPTnet的生產子網應通過硬件防火墻接入。處于外部網絡邊界的通信網關的操作系統應進行安全加固。根據具體業務的重要程度及信息的敏感程度，對I、II區的外部通信網關可以應該增加加密、認證和過濾的功能。傳統的基于專用信道的通信不涉及網絡安全問題，可逐步采用線路加密技術保護關鍵廠站及關鍵業務。煤蛾躊蝦投羅移襟窖矗羽翔合吝鄧汀宿后鵝巒環焊靶噶雖憲雞齒縷淖經禱電力二次系統防護總體方案電力二次系統防護總體方案11/21/202441安全區Ⅰ及安全區Ⅱ的防護要求（一）禁止安全區Ⅰ/Ⅱ內部的E-MAIL服務。禁止安全區Ⅰ的WEB服務。允許安全區Ⅱ內部采用B/S結構的系統，但必須采取有效措施進行封閉。允許安全區Ⅱ縱向WEB服務，其專用WEB服務器和WEB瀏覽工作站應在“非軍事區”的網段，專用WEB服務器應該是經過安全加固且支持HTTPS的安全WEB服務器，WEB瀏覽工作站與安全區II業務系統工作站不得共用，而且必須由業務系統向WEB服務器單向主動傳送數據。安全區Ⅰ/Ⅱ的重要業務（如SCADA/AGC、電力交易）應該逐步采用認證加密機制。安全區Ⅰ/Ⅱ內的相關系統間應該采取訪問控制等安全措施。盟執鄧逃草洼圃烷憨濁濕塑期黎或瘡待握濘販追沁妓纏涉己點膳衛捎丙翰電力二次系統防護總體方案電力二次系統防護總體方案11/21/202442安全區Ⅰ及安全區Ⅱ的防護要求（二）對安全區Ⅰ/Ⅱ進行撥號訪問服務，用戶端應該使用UNIX或LINUX操作系統且采取認證、加密、訪問控制等安全防護措施。安全區Ⅰ/Ⅱ邊界上可考慮部署入侵檢測系統IDS。安全區Ⅰ、Ⅱ可以合用一套IDS管理系統。安全區Ⅰ/Ⅱ應該考慮部署安全審計措施，應把安全審計與安全區網絡管理系統、IDS管理系統、敏感業務服務器登錄認證和授權、應用訪問權限相結合。安全區Ⅰ/Ⅱ應該采取防惡意代碼措施。病毒庫和木馬庫的更新應該離線進行，不得直接從因特網下載。安全區Ⅰ/Ⅱ內的系統必須經過安全評估。拋咆銑構棗療扭極磐叢起扒久洗巨筏芭靛暈鄧摩廄憾憶壩爸意舍片谷浚癰電力二次系統防護總體方案電力二次系統防護總體方案11/21/202443安全區Ⅲ的防護要求安全區Ⅲ允許開通EMAIL、WEB服務。對安全區Ⅲ撥號訪問服務必須采取訪問控制等安全防護措施。安全區Ⅲ應該部署安全審計措施，邊界上應部署入侵檢測系統，如IDS等。安全區Ⅲ必須采取防惡意代碼措施。汪或翻填宏遇漠汀拿誰繼懾攣求政儲宛初撅隋掏淌節剖竭炕釁使乖夸蓬庸電力二次系統防護總體方案電力二次系統防護總體方案11/21/202444電力二次系統四安全區拓撲結構電力二次系統四安全區的拓撲結構有三種模式，這三種模式均能滿足電力二次系統安全防護體系的要求。蓑掇別舌他里統狂轅嘔阮嘎鳳暑嚨孵撬甕瘤牢便瑞纂膜隊嚇毀神伸么諷廣電力二次系統防護總體方案電力二次系統防護總體方案11/21/202445電力二次系統安全防護方案的實施步驟（一）第一階段是理清流程，修補漏洞。需要對本地系統的物理配置、連接關系，以及信息流程有明晰的認識，必須有業務系統的詳細的物理連線圖及數據流圖。第二階段是調整結構，清理邊界。按照安全防護方案，做好相應的安全區規劃，將各類系統置于對應的安全區內，并增加必要的設備，對各類應用系統和網絡設備的配置進行相應的修改。第三階段及第四階段部署橫向隔離裝置和縱向防護措施。可分階段逐步實現。第五階段部署認證機制。在各類專用裝置和與認證機制有關的CA、RA已建立的條件下部署認證機制。第六階段為現系統改造和新系統開發。要求二次系統各研究、生產單位按照方案的要求研制新系統，并對現有系統進行改造。幫懾春旭尚赴貶您又湘乘瓜研創雀放噪嚎濟寫手蕉籽茶捧到艷罩黔于囤蠱電力二次系統防護總體方案電力二次系統防護總體方案11/21/202446電力二次系統安全防護方案的實施步驟（二）

我杭流愧挺忽該苛價術縫叁緒休臉即賣菜嵌榷店啥芥苫鐮又盜劈怨醚撮竊電力二次系統防護總體方案電力二次系統防護總體方案11/21/202447網絡安全的技術措施專用安全隔離裝置防火墻入侵檢測設備防病毒系統系統備份與災難恢復加密與認證網絡安全評估系統鹼悍辣梢巫騁儲眉亮隋呆乒意筒貿飽晉園伙鉸嘿乒魄掄韶額昭皇弧夸了痹電力二次系統防護總體方案電力二次系統防護總體方案11/21/202448專用安全隔離裝置電力專用安全隔離裝置作為安全區I/II與安全區III的必備邊界，要求具有最高的安全防護強度，是安全區I/II橫向防護的要點。安全隔離裝置（正向）用于安全區I/II到安全區III的單向數據傳遞；安全隔離裝置（反向）用于安全區III到安全區I/II的單向數據傳遞。安全隔離裝置的部署：牛礬純擺捉卵郊慫貢契按錯侍踴蘿偵啤陀婦兩浦掩辮逮鑒酶援趴閱冪伶睹電力二次系統防護總體方案電力二次系統防護總體方案11/21/202449隔離裝置的安全保障要求采用非INTEL指令系統（及兼容）的微處理器；精簡的、安全的、固化的操作系統；不存在設計與實現上的安全漏洞；能夠抵御對Ⅰ/Ⅱ區的部分DoS攻擊及其他已知的網絡攻擊。輩搪駿怪勢襪樁貢減憋悔士炔玫俘拷柵覆兒旭府千豎笨慚清碗等排偷脾苦電力二次系統防護總體方案電力二次系統防護總體方案11/21/202450正向隔離裝置的硬件結構及網絡連接專用隔離設備實時系統管理系統處理器A處理器BTCP/IPTCP/IP雙聯網段切換開關非網1、取消TCP外所有網絡功能；2、內設地址過濾，對外沒有IP地址；3、采用非網（USB等）專用進程通信，內外網不同時接通；窟湛飄棍透妓啃霄覺盅掂勻縷娠鴦繹勞改噓簾酥霓效智戎輝憲稿我野鈉廚電力二次系統防護總體方案電力二次系統防護總體方案11/21/202451§正向隔離裝置的功能要求（一）實現兩個安全區之間的非網絡方式的安全的數據交換，并且保證安全隔離裝置內外兩個處理系統不同時連通；要求用物理方式實現數據完全單向傳輸，即從安全區Ⅲ到安全區Ⅰ/Ⅱ的TCP應答報文禁止攜帶應用數據；透明工作方式，虛擬主機IP地址、隱藏MAC地址；基于MAC、IP、傳輸協議、傳輸端口以及通信方向的綜合報文過濾與訪問控制；支持NAT；課賓黃匙碼兇蹈繞戀購木碴瓜冉怨式秘豪飽闖勉昌休茄蘊碳俄括涼孰想蝕電力二次系統防護總體方案電力二次系統防護總體方案11/21/202452§正向隔離裝置的功能要求（二）防止穿透性TCP連接：禁止內網、外網的兩個應用網關之間直接建立TCP連接，應將內外兩個應用網關之間的TCP連接分解成內外兩個應用網關分別到隔離裝置內外兩個網卡的兩個TCP虛擬連接。隔離裝置內外兩個網卡在裝置內部是非網絡連接，且只允許以物理方式實現數據數據單向傳輸；具有可定制的應用層解析功能，支持應用層特殊標記識別；安全、方便的維護管理方式：基于證書的管理人員認證，圖形化的管理界面。買早面條框妓融扮劣里故口糙帶糊循透耕尿印持練爵淮由譚們桑陸唆申汕電力二次系統防護總體方案電力二次系統防護總體方案11/21/202453反向隔離裝置的工作過程安全區III到安全區I/II的唯一數據傳遞途徑；安全區III內的數據發送端首先對需發送的數據簽名，然后發給反向型專用隔離裝置；專用隔離裝置接收數據后，進行簽名驗證，并對數據進行內容過濾、有效性檢查等處理；將處理過的數據轉發給安全區I/II內部的接收程序。笛癡墜酒搐響恭仲元刻怕掂凡娛靠淚彬鴨疲妮塵翻擺衙滬逾萊贖殼寬矩瓣電力二次系統防護總體方案電力二次系統防護總體方案11/21/202454§反向隔離裝置的功能要求應滿足正向隔離裝置的所有基本功能；具有應用網關功能，實現應用數據的接收與轉發；具有應用數據內容有效性檢查功能；具有基于數字證書的數據簽名和驗證功能；實現兩個安全區之間的非網絡方式的安全的數據傳遞，要求用物理方式實現數據完全單向傳輸，即從安全區Ⅰ/Ⅱ到安全區Ⅲ的TCP應答報文禁止攜帶應用數據。泉文膏濱擎徑丁手接美齡火閥轅攝盒記鑷閹第褒脆咽饒晚嘛瘁錦婿礬昔跪電力二次系統防護總體方案電力二次系統防護總體方案11/21/202455IP認證加密裝置對于縱向通信過程，主要考慮是兩個系統之間的認證，具體實現可以由兩個通信網關之間的認證實現，或者兩處IP認證加密裝置之間的認證來實現。建議采用對IP認證加密裝置之間的認證。IP認證加密裝置用于安全區I/II的廣域網邊界保護。為本地安全區I/II提供類似包過濾防火墻的功能。為通信網關間的廣域網通信提供具有認證與加密功能的VPN，實現數據傳輸的機密性、完整性保護。筆旺乍懊巢森弊樞當掇壘騙噪砷肛徊王倍輔傀拇芍二窺挺材益耗淤碑藍斷電力二次系統防護總體方案電力二次系統防護總體方案11/21/202456IP認證加密裝置功能IP認證加密裝置之間支持基于數字證書的認證，支持定向認證加密；對傳輸的數據通過數據簽名與加密進行數據機密性、完整性保護；支持透明工作方式與網關工作方式；具有基于IP、傳輸協議、應用端口號的綜合報文過濾與訪問控制功能。具有選擇加密方向以及對被加密報文進行報文長度或其它被設置特征的選擇加密和解密功能；具有NAT功能；性能要求：10M/100M線速轉發，支持100個并發會話；具有查詢、設置、統計等管理功能，以及相應的友好的用戶界面；多家開發的設備可以互聯互通。郵凱派摟習黨剝主棱悲坯浸蛇舉狽腔伯隋歉瀾渠氫千倔森彎貳蛀雌抿豺痹電力二次系統防護總體方案電力二次系統防護總體方案11/21/202457縱向通信認證示意圖邱凋幾蔣繪埔架空煌矚民償朵瘸臥逛證存孕婆胸了潦晌傍瀑援蹭為速森挎電力二次系統防護總體方案電力二次系統防護總體方案11/21/202458遠程撥號訪問防護方案撥號的防護措施可以在鏈路層或網絡層實施，采用認證、加密技術保證通信雙方身份的真實性和數據的完整性、保密性。鏈路方式：對于以遠方終端的方式通過被訪問的本地主機的RS232接口直接訪問本地主機的情況，采用鏈路層保護措施，即在兩端安裝鏈路加密設備。該方式主要用于安全區I的遠程撥號訪問。網絡方式：通過RAS（遠程訪問服務器）訪問本地網絡與系統的遠程訪問，建議采用網絡層保護措施，即采用用戶端證書與撥號認證加密裝置配合的撥號VPN。該方式主要用于安全區II/III的遠程撥號訪問。鳥腔霓呻宰出壘儒鉑奉周許啄鉆宣蕪楓腫衣卓魂絲悲猾名男兆悟遍猾隧柞電力二次系統防護總體方案電力二次系統防護總體方案11/21/202459遠程撥號訪問防護示意圖鏈路保護措施：使用專用鏈路加密設備，實現以下安全功能：兩端鏈路加密設備相互進行認證對鏈路幀進行加密網絡保護措施：采用遠程訪問VPN方式。在RAS與本地網絡之間設置撥號認證加密裝置，結合用戶數字證書，對遠程撥入的用戶身份進行認證，通過認證后，在遠程撥入用戶與撥號認證加密裝置之間建立IPSecVPN，對網絡層數據進行機密性與完整性保護。相關的安全產品包括：用戶端的IPSecVPN客戶端插件及相應的加密卡、RAS端的撥號認證加密裝置（包括相應的加密設備）。撥號認證加密裝置可以是單獨的設備，置于RAS與本地網絡之間，也可以與RAS集成在一個物理設備中。猩啼摔憶叼牟治物打金糧挖炸農豺飾墟內林浪稠驚滄哉疤辦廬淖酞餡年駛電力二次系統防護總體方案電力二次系統防護總體方案11/21/202460傳統專用通道的防護—線路加密設備線路加密設備可用于傳統專線RTU、保護裝置、安控裝置通道上數據的加密保護，防止搭線篡改數據。要求該設備具有一定強度的對稱加密功能。建議新開發的專線RTU、保護裝置、安控裝置，內置安全加密功能。

筏康樁懇賣蛙榆潑餌池因斑鍋岳響湛訂浴封邱餐階礦帥湃烈帥讕卞抓功娃電力二次系統防護總體方案電力二次系統防護總體方案11/21/202461防火墻防火墻產品可以部署在安全區I與安全區II之間（橫向），實現兩個區域的邏輯隔離、報文過濾、訪問控制等功能。對于調度數據專網條件不完善的地方，需要部署在調度數據接入處（縱向）。防火墻安全策略主要是基于業務流量的IP地址、協議、應用端口號、以及方向的報文過濾。具體選用的防火墻必須經過有關部門認可的國產硬件防火墻。杖秒陶鍛糠吶娜毫桂心救嫂壽痔逃取外牲栗君裹鄧牛洶螺信好謊嚇椽傾悟電力二次系統防護總體方案電力二次系統防護總體方案11/21/202462Web服務的使用與防護在安全區I中取消Web服務。禁止安全區I中的計算機使用瀏覽器訪問安全區II的Web服務。安全區II中的Web服務將是安全區I與II的統一的數據發布與查詢窗口。考慮到目前Web服務的不安全性，以及安全區II的Web服務需要向整個SPDnet開放，因此在安全區II中將用于Web服務的服務器與瀏覽器客戶機統一布置在安全區II中的一個邏輯子區――Web服務子區，置于安全區II的接入交換機上的獨立VLAN中。Web服務器采用安全Web服務器，即經過主機安全加固的，支持SSL、HTTPS的Web服務器，能夠對瀏覽器客戶端進行身份認證、以及應用數據加密。妊薯霞綻妙蹬徊呸新哀潭蚊垃貳喂烙腹眩君馴送允滾綱淹嫉酸燈位擂躇頻電力二次系統防護總體方案電力二次系統防護總體方案11/21/202463電力二次系統的數字證書數字證書提供以下安全功能：支持身份認證功能、支持基于證書的密鑰分發與加密；支持基于證書的簽名以及基于證書擴展屬性的權限管理。電力調度業務系統及數據網絡中需要發放數字證書的對象：關鍵應用：主要包括SCADA系統、電力市場交易系統；關鍵人員：主要包括關鍵應用系統的用戶與管理維護人員；關鍵設備：主要包括通信網關、IP認證加密裝置、專用安全隔離裝置、以及部分網絡設備。鐳叮狙活棚扛季迪載督植延瓷憨撇茶葬拜筒估肺蓑剪乘調托蝦悍誣憎鉤毫電力二次系統防護總體方案電力二次系統防護總體方案11/21/202464備份與恢復數據與系統備份：對關鍵應用的數據與應用系統進行備份，確保數據損壞、系統崩潰情況下快速恢復數據與系統的可用性。設備備用：對關鍵主機設備、網絡的設備與部件進行相應的熱備份與冷備份，避免單點故障影響系統可靠性。異地容災：對實時控制系統、電力市場交易系統，在具備條件的前提下進行異地的數據與系統備份，提供系統級容災功能，保證在規模災難情況下，保持系統業務的連續性。污桔幌武筋賜命付卷轍琳蹤貍營瘓場沽斥撲掇叮耳峨烷類迫嘿猿攝稈寢粒電力二次系統防護總體方案電力二次系統防護總體方案11/21/202465防病毒措施病毒防護是調度系統與網絡必須的安全措施。建議病毒的防護應該覆蓋所有安