电监安全〔2006〕34号-电力二次系统安全防护方案

电监安全〔2006〕34号附件1：内部资料内部资料内部资料内部资料注意保存注意保存注意保存注意保存电力二次系统安全防护总体方案二ＯＯ六年十一月十日i目录目录目录目录1111总则总则总则总则........................................................................................................................................................................11112222安安安安全防护方案全防护方案全防护方案全防护方案........................................................................................................................................22222.1安全分区....................................22.2网络专用....................................72.3横向隔离...................................102.4纵向认证...................................112.5电力调度数字证书系统.......................123333通用安全防护措施通用安全防护措施通用安全防护措施通用安全防护措施....................................................................................................................131313133.1备份与容灾..................................133.2恶意代码防范................................143.3防火墙......................................143.4入侵检测....................................143.5主机加固....................................143.6安全WEB服务................................153.7计算机系统本地访问控制......................153.8远程拨号访问................................153.9线路加密措施................................153.10安全文件网关...............................163.11安全审计...................................16ii4444安全管理安全管理安全管理安全管理....................................................................................................................................................161616164.1安全分级负责制.............................164.2相关人员的安全职责.........................174.3工程实施的安全管理.........................174.4设备和应用系统的接入管理...................184.5日常安全管理制度...........................184.6联合防护和应急处理.........................195555安全评估安全评估安全评估安全评估....................................................................................................................................................19191919附录附录附录附录1111相关安全防护法规和标准相关安全防护法规和标准相关安全防护法规和标准相关安全防护法规和标准........................................................................21212121附录附录附录附录2222主要术语中英文对照主要术语中英文对照主要术语中英文对照主要术语中英文对照....................................................................................2323232311总则总则总则总则1.11.11.11.1为了确保电力监控系统及电力调度数据网络的安全，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力二次系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故，依据国家电力监管委员会第5号令《电力二次系统安全防护规定》和原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》，制定本方案。1.21.21.21.2本方案确定了电力二次系统安全防护体系的总体框架，细化了电力二次系统安全防护总体原则，定义了通用和专用的安全防护技术与设备，提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案。1.31.31.31.3电力二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对网络系统和基于网络的电力生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。1.41.41.41.4电力二次系统安全防护是复杂的系统工程，其总体安全防护水平取决于系统中最薄弱点的安全水平。电力二次系统安全防护过程是长期的动态过程，各单位应当严格落实安全防护的总体原则，建立和完善以安全防护总体原则为中心2的安全监测、响应处理、安全措施、审计评估等环节组成的循环机制。1.51.51.51.5本方案适用于电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等。2安全防护方案安全防护方案安全防护方案安全防护方案根据《电力二次系统安全防护规定》的要求，电力二次系统安全防护总体方案的框架结构如图1所示。图1电力二次系统安全防护总体框架结构示意图2.2.2.2.1111安全分区安全分区安全分区安全分区安全分区是电力二次系统安全防护体系的结构基础。发电企业、电网企业和供电企业内部基于计算机和网络技术的3应用系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称安全区I）和非控制区（又称安全区Ⅱ）。在满足安全防护总体原则的前提下，可以根据应用系统实际情况，简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。2.1.12.1.12.1.12.1.1生产控制大区的安全区划分（1）控制区（安全区Ⅰ）：控制区中的业务系统或其功能模块（或子系统）的典型特征为：是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。控制区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据传输实时性为毫秒级或秒级，其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频（或低压）自动减负荷系统、负荷管理系统等，这类系统对数据传输的实时性要求为毫秒级或秒级，其中负荷管理系统为分钟级。（2）非控制区（安全区Ⅱ）：4非控制区中的业务系统或其功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或其功能模块联系紧密。非控制区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等，其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非控制区的数据采集频度是分钟级或小时级，其数据通信使用电力调度数据网的非实时子网。2.1.22.1.22.1.22.1.2管理信息大区的安全区划分管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区，但不应影响生产控制大区的安全。2.1.32.1.32.1.32.1.3业务系统分置于安全区的原则根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系、广域网通信方式以及对电力系统的影响程度等，按以下规则将业务系统或其功能模块置于相应的安全区：（1）实时控制系统、有实时控制功能的业务模块以及未来有实时控制功能的业务系统应置于控制区。5（2）应当尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时，可将其功能模块分置于相应的安全区中，经过安全区之间的安全隔离设施进行通信。（3）不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域；但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域。（4）对不存在外部网络联系的孤立业务系统，其安全分区无特殊要求，但需遵守所在安全区的防护要求。（5）对小型县调、配调、小型电厂和变电站的二次系统可以根据具体情况不设非控制区，重点防护控制区。2.1.42.1.42.1.42.1.4根据不同安全区域的安全防护要求，确定其安全等级和防护水平。生产控制大区的安全等级高于管理信息大区，其中控制区中关键业务系统的安全等级相当于《计算机信息系统安全保护等级划分准则》中安全保护等级的第3级或第4级，可根据具体情况确定。2.1.52.1.52.1.52.1.5生产控制大区内部安全防护要求（1）禁止生产控制大区内部的E-Mail服务，禁止控制区内通用的WEB服务。（2）允许非控制区内部业务系统采用B/S结构，但仅限于业务系统内部使用。允许提供纵向安全WEB服务，可以采用经过安全加固且支持HTTPS的安全WEB服务器和6WEB浏览工作站。（3）生产控制大区重要业务（如SCADA/AGC、电力市场交易等）的远程通信必须采用加密认证机制，对已有系统应逐步改造。（4）生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通。（5）生产控制大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统，并采取加密、认证和访问控制等安全防护措施。（6）生产控制大区边界上可以部署入侵检测系统IDS。（7）生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。（8）生产控制大区应该统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。2.1.62.1.62.1.62.1.6管理信息大区安全要求应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。2.1.72.1.72.1.72.1.7安全区拓扑结构电力二次系统安全区连接的拓扑结构有链式、三角和星形结构三种。链式结构中的控制区具有较高的累积安全强7度，但总体层次较多；