云南电网调度数据网电力二次安全防护项目广州中软信息技术有限公司项目技术培训电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理议程电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙配操作管理横向防火墙配操作管理议程电力二次系统简介电力一次系统一次设备(也称主设备)是构成电力系统的主体,它是直接生产、输送和分配电能的设备,包括发电机、电力变压器、断路器、隔离开关、电力母线、电力电缆和输电线路等。电力二次系统二次设备是对一次设备进行控制、调节、保护和监测的设备,它包括控制器具、继电保护和自动装置、测量仪表、信号器具等。二次设备通过电压互感器和电流互感器与一次设备取得电的联系。电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理公司介绍议程二次安全防护系统项目建设原因优先级风险说明/举例0旁路控制(BypassingControls)入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。1完整性破坏(IntegrityViolation)非授权修改电力控制系统配置或程序;非授权修改电力交易中的敏感数据。2违反授权(AuthorizationViolation)电力控制系统工作人员利用授权身份或设备,执行非授权的操作。3工作人员的随意行为(Indiscretion)电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。4拦截/篡改(Intercept/Alter)拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用(IllegitimateUse)非授权使用计算机或网络资源。6信息泄漏(InformationLeakage)口令、证书等敏感信息泄密。7欺骗(Spoof)Web服务欺骗攻击;IP欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份,进入电力监控系统。9拒绝服务(Availability,e.g.DenialofService)向电力调度数据网络或通信网关发送大量雪崩数据,造成拒绝服务。10窃听(Eavesdropping,e.g.DataConfidentiality)黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击准备数据。二次安全防护系统项目建设目标防范病毒、木马等恶意代码的侵害保护电力监控系统和电力调度数据网络的可用性和连续性保护重要信息在存储和传输过程中的机密性、完整性实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问实现电力监控系统和调度数据网安全事件可发现、可跟踪和可审计实现电力监控系统和调度数据网络的安全管理二次安全防护系统安全防护手段我们通过各种方法对电力二次系统业务进行安全防护,具体如下:安全分区:根据电力二次系统业务的重要性及其对电力一次系统的影响程度进行分区,南方电网电力二次系统分为生产控制大区和管理信息大区,其中生产控制大区分为控制区(又称安全区I)和非控制区(又称安全区Ⅱ),生产控制大区是重点保护对象。网络专用:南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网,即实时VPN和非实时VPN。二次安全防护系统安全防护手段我们通过各种方法对电力二次系统业务进行安全防护,具体如下:横向隔离:南方电网电力二次系统应采用安全防护设备实现各安全区的隔离,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向安全隔离装置实现高强度隔离。生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔离。纵向加密:南方电网各级调度中心和厂站在控制区与调度数据网的纵向连接处应部署经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关以及其它安全设施,为上下级控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务二次安全防护系统网络安全区域划分示意图二次安全防护系统网络安全区域划分示意图二次安全防护系统安全区域划分控制区(安全区I):控制区是电力二次系统各安全区中安全等级最高的分区,是必不可少的分区。该区中的业务系统与电力调度生产直接相关,有对一次系统的在线监视和闭环控制功能,且具有连续性、实时性(毫秒级或秒级)的特点以及高安全性、高可靠性和高可用性的要求。该区通过调度数据网络的实时VPN子网或专线通道与异地相关的安全区Ⅰ互联。控制区的典型系统包括调度自动化系统(SCADA/EMS)、广域相量测量系统(WAMS)、自动电压控制系统(AVC)、安稳控制系统、在线预决策系统、具有保护定值下发、远方投退功能的保信系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,还包括使用专用通道的控制系统,如:安全自动控制系统、低频/低压自动减负荷系统、负荷管理系统等。安全区Ⅰ主要使用者为调度员、继电保护运行管理人员和运行操作人员。二次安全防护系统安全区域划分非控制区(安全区II):本区是电力二次系统各安全区中安全等级仅次于安全区Ⅰ的分区。该区的业务系统功能与电力生产直接相关,但不直接参与控制;系统在线运行,与安全区Ⅰ的有关业务系统联系密切。非控制区的数据采集频度是分钟或小时级,该区使用调度数据网络的非实时VPN子网或专线通道与异地相关的安全区II互联。非控制区的典型系统包括调度员培训模拟系统、不带控制功能的继电保护和故障录波信息管理系统、水调自动化系统、电能量计量系统、电力市场运营系统、厂站端电能量采集装置、故障录波器和发电厂的报价终端等。安全区II主要使用者分别为调度员、水电调度员、继电保护人员及电力市场交易员等。二次安全防护系统安全区域划分管理信息区:管理信息大区的业务系统主要用于生产管理和办公自动化。管理信息大区的典型业务系统包括调度生产管理系统(DMIS)、管理信息系统(MIS)、办公自动化系统(OA)、电网生产信息查询系统、统计报表系统、雷电监测系统、气象信息、客户服务系统、对外信息发布、Internet访问等。二次安全防护系统云南电网调度数据网业务种类调度自动化业务(EMS);广域相角测量系统(WAMS);安全稳定控制系统;水调自动化业务;电能量计量数据;继电保护信息系统;行波测距系统。二次安全防护系统业务种类VPN划分序号业务系统实时子网非实时子网备注1调度自动化系统(EMS)√2广域相角测量系统(WAMS)√3安全稳定控制系统√4继电保护信息系统√5电能量计量系统√6水调自动化系统√7行波测距系统√电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置配置讲解纵向防火墙配置讲解横向防火墙配置讲解议程网络拓扑安防改造前(省调/地调/500KV变电站)网络拓扑安防改造后(省调/地调/500KV变电站)网络拓扑安防改造前(220KV变电站)网络拓扑安防改造后(220KV变电站)网络拓扑选用动态路由OSPF的优势采用动态路由,对调度路由器端,无需采用VRRP协议。采用动态路由,防火墙和加密装置无需配置主备部署方式,只需通过OSPF的Cost值设置主备平面。若采用静态路由,那么调度路由器端将需要试用VRRP,那么调度路由器需要使用二层桥接,方实现VRRP协议在交换机和调度路由器之间透传,传输VRRP协议。若采用静态路由,那么纵向防火墙、纵向防火墙将需要浪费一个端口用作热备口。根据贵州调度数据网二次安全防护项目经验,采用动态路由OSPF的方式,联络故障的时候收敛比“VRRP+静态路由”的方式更快。网络拓扑设备用途控制区(安全I区)交换机:用于电力二次系统实时业务系统接入:调度自动化系统(EMS)广域相角测量系统(WAMS)安全稳定控制系统非控制区(安全II区)交换机:用于电力二次系统实时业务系统接入:继电保护信息系统电能量计量系统水调自动化系统行波测距系统网络拓扑设备用途调度数据网路由器:电力二次系统数据接入到省级调度数据网,实现数据网络通信。纵向加密装置:用于对实时业务系统的安全控制、加密传输。纵向防火墙:用于对非实时业务系统的安全控制、过滤传输。横向防火墙:用于厂站本地实时业务系统被本地非实时业务系统直接调用的安全控制、过滤传输。网络拓扑设备安装省调/地调/500KV变电站设备连接情况表序号纵向互联防火墙1纵向互联防火墙2横向互联防火墙1横向互联防火墙2纵向加密装置1纵向加密装置21接口1连非控制区交换机1接口1连非控制区交换机2接口1连控制区交换机1;接口3HA心跳线接口。接口1连控制区交换机2;接口3HA心跳线接口。接口1连控制区交换机1接口1连控制区交换机22接口2连调度路由器1接口2连调度路由器2接口2连非控制区交换机1接口2连非控制区交换机2接口2连调度路由器1接口2连调度路由器2网络拓扑设备配置省调/地调/500KV变电站设备配置序号纵向互联防火墙1纵向互联防火墙2横向互联防火墙1横向互联防火墙2纵向加密装置1纵向加密装置21基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息6.热备冗余配置基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息6.热备冗余配置基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入2策略配置策略配置策略配置策略配置策略配置策略配置网络拓扑安防改造后(省调/地调/500KV变电站)网络拓扑设备安装220KV变电站设备连接情况表序号纵向互联防火墙横向互联防火墙纵向加密装置1接口1连非控制区交换机接口1连控制区交换机接口1连控制区交换机2接口2连调度路由器接口2连非控制区交换机接口2连调度路由器网络拓扑安防改造后(220KV变电站)网络拓扑设备安装220KV变电站设备配置序号纵向互联防火墙横向互联防火墙纵向加密装置1基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.设备管理信息基础配置1.接口配置2.IP配置3.路由配置4.设备命名5.证书申请与导入2策略配置策略配置策略配置网络拓扑业务访问原则网络拓扑防火墙策略要求根据业务系统源目地址、协议号、端口号制定策略。根据业务数据流方向,制定策略单双向(主动/被动)。纵向加密装置:用于对实时业务系统的安全控制、加密传输。纵向防火墙:用于对非实时业务系统的安全控制、过滤传输。横向防火墙:用于厂站本地实时业务系统被本地非实时业务系统直接调用的安全控制、过滤传输。电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理议程项目概况项目分包情况云南电网调度数据网二次安全防护设备项目1、包一(昆明、楚雄、保山、德宏共4地区)货物名称数量产品厂商集成商昆明地区楚雄地区保山地区德宏地区小计地调纵向防火墙22228天融信南京南瑞地调横向防火墙22228天融信地调纵向加密装置22228天融信变电站纵向防火墙2963644南瑞变电站横向防火墙2963644南瑞变电站纵向加密装置2963644南瑞项目概况项目分包情况云南电网调度数据网二次安全防护设备项目2、包二(曲靖、玉溪、昭通、怒江、临沧、普洱、版纳共7地区)货物名称数量产品厂商集成商曲靖地区玉溪地区昭通地区怒江地区临