电力监控系统安全防护总体方案

1目次1总则..................................................22安全防护方案..........................................23通用安全防护措施.....................................114安全管理.............................................125安全防护评估.........................................146附则.................................................15附录1相关安全防护法规和标准..........................16附录2主要术语中英文对照..............................1721总则1.1本方案确定了电力监控系统安全防护体系的总体框架,细化了电力监控系统安全防护总体原则,定义了通用和专用的安全防护技术与设备,提出了梯级调度中心、发电厂、变电站、配电等的电力监控系统安全防护方案及电力监控系统安全防护评估规范。1.2电力监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对电力监控系统,即用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理,提高系统整体安全防护能力,保证电力监控系统及重要数据的安全。1.3电力监控系统安全防护是复杂的系统工程,其总体安全防护水平取决于系统中最薄弱点的安全水平。电力监控系统安全防护过程是长期的动态过程,各单位应当严格落实安全防护的总体原则,建立和完善以安全防护总体原则为中心的安全监测、响应处理、安全措施、审计评估等环节组成的闭环机制。1.4本方案适用于电力监控系统的规划设计、项日审查、工程实施、系统改造、运行管理等。2安全防护方案根据«电力监控系统安全防护规定»的要求,电力.监控系统安全防护总体方案的框架结构如图1所示。3生产控制大区管理信息大区生产控制大区管理信息大区图例：正向安全隔离装置反向安全隔离装置纵向加密认证装置加密认证措施防火墙图1电力监控系统安全防护总体框架结构示意图2.1安全分区安全分区是电力监控系统安全防护体系的结构基础。发电企业、电网企业内部基于计算机和网络技术的业务系统,原则上划分为产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区II)。在满足安全防护总体原则的前提下,可以根据业务系统实际情况,简化安全区的设置,但是应当避免形成不同安全区的纵向交叉联接。2.1.1生产控制大区的安全区划分(1)控制区(安全区I):控制区中的业务系统或其功能模块(或子系统)的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。控制区的传统典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配网自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据传输实时性为毫秒级或秒级,其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括有采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频(或低压)自动减负荷系统、负荷控制管理系统等,这类系统对数据传输的实时性要求为毫移级或秒级,其中负荷控制管理系统为分钟级。(2)非控制区(安全区II):4非控制区中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或其功能模块联系紧密。非控制区的传统典型业务系统包括调度员培训模拟系统、水库调度自动化系统、故障录波信息管理系统、电能量计量系统等,其主要使用者分别为调度员、继电保护人员及等。在厂站端还包括电能量远方终端、故障录波装置等。非控制区的数据来采集度是分钟级或小时级,其数据通信使用电力调度数据网的非实时子网。此外,如果生产控制大区内个别业务系统或其功能模決(或子系统)需使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信,其安全防护水平低于生产控制大区内其他系统时,应设立安全接入区,典型的业务系统或功能模块包括配电网自动化系统的前置采集模块(终端)、负荷控制管理系统、某些分布式电源控制系统等,安全接入区的典型安全防护框架结构如图2所示。图2安全接入区的典型安全防护框架结构示意图2.1.2管理信息大区的安全区划分管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。管理信息大区的传统典型业务系统包括调度生产管理系统、行政电话网管系统、电力企业数据网等。电力企业可以根据具体情况划分安全区,但不应影响生产控制大区的安全。2.1.3业务系统分置于安全区的原则根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相5互关系、广域网通信方式以及对电力系统的影响程度等,按以下规则将业务系统或其功能模块置于相应的安全区:(1)实时控制系统、有实时控制功能的业务模块以及未来有实时控制功能的业务系统应当置于控制区。(2)应当尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时,可以将其功能模块分置于相应的安全区中,经过安全区之间的安全隔离设施进行通信。(3)不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域；但允许把属于低安全等级区域务系统或其功能模块放置于高安全等级区域。(4)对不存在外部网络联系的孤立业务系统,其安全分区无特殊要求,但需遵守所在安全区的防护要求。(5)对小型县调、配调、小型电厂和变电站的电力监控系统可以根据具体情况不设非控制区,重点防护控制区。(6)对于新一代电网调度控制系统,其实时监控与预警功能模块应当置于控制区,调度计划和安全校核功能模块应当置于非控制区,调度管理功能模決应当置于管理信息大区。2.1.4信息安全等级保护划分根据不同安全区域的安全防护要求,确定其安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,系统定级按«电力行业信息系统安全等级保护定级工作指导意见»进行定级,具体等级标准见表1。表1电力监控系统安全保护等级标准62.1.5生产控制大区内部安全防护要求(1)禁止生产控制大区内部的E-Mai1服务,禁止控制区内通用的WEB服务。(2)允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务,但应当优先采用专用协议和专用浏览器的图形浏览技术,也可以采用经过安全加固且支持HTTPS的安全WEB服务。(3)生产控制大区重要业务(如SCADA/AGC/AVC、实时电力市场交易等)的远程通信应当采用加密认证机制。(4)生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施,限制系统间的直接互通。类别定级对象系统级别省级以上地级及以下电力能量管理系统(具有SCADA、AGC、AVC等控制功能)43变电站自动化系统(含开关站、换流站、集控站)220千伏及以上变电站为3级,以下为2级火电监控(含燃气电厂)系统DCS(含辅机控制系统)单机容量300MW及以上为3级,以下为2级水电厂监控系统总装机1000MW及以上为3级,以下为2级水电厂梯级调度监控系统3核电站监控系统DCS(含辅机拒制系统)3风电场监控系统风电场总装机容量200MW及以上为3级,以下为2级光伏电站监控系统光伏电站总装机容堂200MW及以上为3级,以下为2级电能量计量系统32广域相量测量系统(WAMS)3无电网动态预警系统3无监控调度交易计划系统3无系统水调自动化系统2调度管理系统2雷电监测系统2电力调度数据网络32通信设备网管系统32通信资源管理系统32综合数据通信网络2故障录波信息管理系统.3配电监控系统3负荷控制管理系统3新一代电网调度控制系统的实时监控与预警功能模块43新一代电网调度控制系统的调度计划功能模块32新一代电网调度控制系统的安全校核功能模块32新一代电网调度控制系统的调度管理功能模块27(5)生产控制大区的拨号访问服务,服务器和用户端均应当使用经国家指定部门认证的安全加固的操作系统,并采取加密、认证和访问控制等安全防护措施。(6)生产控制大区边界上可以采用入侵检测措施。(7)生产控制大区应当采取安全审计措施,把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、关键业务应用访问权限相结合。(8)生产控制大区内主站端和重要的厂站端应该统一部署恶意代码防护系统,采取防范恶意代码措施。病毒库、木马库以及IDS规则库应经过安全检测并应离线进行更新。2.1.6管理信息大区安全要求应当统一部署防火墙、IDS、恶意代码防护系统及桌面终端控制系统等通用安全防护设施。2.1.7安全区拓扑结构电力监控系统安全区连接的拓扑结构有4连式、三角和星形结构三种。键式结构中的控制区具有较高的累积安全强度,但总体层次较多；三角结构各区可以直接相连,效率较高,但所用隔离设各较多；星形结构所用设备较少、易于实施,但中心点故障影响范围大。三种模式均能满足电力监控系统安全防护体系的要求,可以根据具体情况选用,见图3。2.1.8监管信息接入要求按照国家有关规定,在满足电力监控系统安全防护要求的前提下,将相关信息接入电力监管信8息系统。2.2网络专用电力调度数据网是为生产控制大区服务的专用数据网络,承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之问的安全防护隔离强度应该和所连接的安全区之问的安全防护隔离强度相匹配。电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。当采用EPON、GPON或光以太网络等技术时应当使用独立纤芯或波长。电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。可以采用MPLS-VPN技术、安全隧道技术、PVC技术、静态路由等构造子网。电力调度数据网应当采用以下安全防护措施:(1)网络路由防护按照电力调度管理体系及数据网络技术规范,采用虚拟专网技术,将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网,分别对应控制业务和非控制生产业务,保证实时业务的封闭性和高等级的网络服务质量。（2）网络边界防护应当采用严格的接入控制措施,保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网,进行广域网通信。数据网络与业务系统边界采用必要的访问控制措施,对通信方式与通信业务类型进行控制；在生产控制大区与电力调度数据网的纵向交接处应当釆取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务,应该通过纵向加密认证装置或加密认证网关接入调度数据网。(3)网络设备的安全配置网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、设置受信任的网络地址范国、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。(4)数据网络安全的分层分区设置电力调度数据网采用安全分层分区设置的原则。调度数据网由骨干网和接入网组成。地级以上调度中心节点构成调度数据网骨干网(简称骨干网)。各级调度的业务节点及直调厂站节点构成分层接入网,各厂站按照调度关系接入两层接入网。调度数据网未覆盖到的电力监控系统(如配电网自动化、负荷控制管理、分布式能源接入等)的数据通信优先釆用电力专用通信网络,不具备条件的也以可采用公用通信网络(不包括因特网)、无9线网络(GPRS、CDMA、230MHz、WLAN等)等通信方式