【文章內(nèi)容簡介】 計算機監(jiān)控系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、微機保護和安全自動裝置、水調(diào) 自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量計費系統(tǒng)、電力市場交易系統(tǒng)等； “調(diào) 度數(shù)據(jù)網(wǎng)絡 ”包括各級電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡、用于遠程維護及電能量計費等的撥號網(wǎng) 絡、各計算機監(jiān)控系統(tǒng)內(nèi)部的本地局域網(wǎng)絡等。 電力二次系統(tǒng)邏輯結構描述 電力二次系統(tǒng)邏輯結構如圖 1所示。 1 國調(diào)、網(wǎng)省調(diào) 火電廠 梯調(diào) 水電廠 地調(diào) 區(qū)調(diào)、縣調(diào)、 配調(diào) 水電廠 超高壓輸 電變電站 高壓配電 變電站 需求側 控制 集控站 中壓配電 變電站 低壓配電線 路及變電站 圖 1 電力二次系統(tǒng)邏輯結構示意圖 安全防護目標及重點 風險分析 電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的重要基礎設施，不僅與電力生產(chǎn)、經(jīng)營和服 務相關，而且與電網(wǎng)調(diào)度和控制系統(tǒng)的安全運行緊密關聯(lián)，是電力系統(tǒng)安全的重要組成部分。 電力生產(chǎn)直接關系到國計民生，其安全問題一直是國家有關部門關注的重點之一。 隨著通信技術和網(wǎng)絡技術的發(fā)展，接入國家電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來越多。 特別是隨著電力改革的推進和電力市場的建立，要求在調(diào)度中心、電廠、用戶等之間進行的 數(shù)據(jù)交換也越來越頻繁。電力一次設備的改善使得其可控性能滿足閉環(huán)的要求。電廠、變電 站減人增效，大量采用遠方控制，對 電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡的安全性、可靠性、實時性提 出了新的嚴峻挑戰(zhàn)。而另一方面， Inter 技術和因特網(wǎng)已得到廣泛使用， Email、 Web 和 PC 的應用也日益普及，但同時病毒和黑客也日益猖獗。目前有一些調(diào)度中心、發(fā)電廠、變 電站在規(guī)劃、設計、建設控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡時，對網(wǎng)絡安全問題重視不夠，使得具有實時 遠方控制功能的監(jiān)控系統(tǒng)，在沒有進行有效安全防護的情況下與當?shù)氐? MIS 系統(tǒng)等其他數(shù) 據(jù)網(wǎng)絡互連，有嚴重的隱患。除此之外，還存在黑客在調(diào)度數(shù)據(jù)網(wǎng)中采用 “搭接 ”的手段對 傳輸?shù)碾娏刂菩畔⑦M行 “竊 聽 ”和 “篡改 ”，進而對電力一次設備進行非法破壞性操作的 威脅。電力二次系統(tǒng)面臨的主要安全風險見表 1。因此電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡系統(tǒng)的安全 性和可靠性已成為一個非常緊迫的問題。 表 1 電力二次系統(tǒng)面臨的主要風險 優(yōu)先級 風險 2 說明 /舉例優(yōu)先級 風險 說明 /舉例 0 旁路控制（ By p assi ng Controls） 入侵者對發(fā)電廠、變電站發(fā)送非法控制命令， 導致電力系統(tǒng)事故，甚至系統(tǒng)瓦解。 1 完整性破壞（ Integrity Violation） 非授權修改電力控制系統(tǒng)配置或程序；非授 權修改電力交易中的敏感數(shù)據(jù)。 2 違反授權（ Authorization Violation） 電力控制系統(tǒng)工作人員利用授權身份或設 備，執(zhí)行非授權的操作。 3 工作人員的隨意行為 （ Indiscretion） 電力控制系統(tǒng)工作人員無意識地泄漏口令等 敏感信息，或不謹慎地配置訪問控制規(guī)則等。 4 攔截 /篡改（ Intercept/Alter） 攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命 令、參數(shù)設置、交易報價等敏感數(shù)據(jù)。 5 非法使用（ Illegitimate Use） 非授權使用計算機或網(wǎng)絡資源。 6 信息泄漏（ Information Leakage） 口令、證書等敏感信息泄 密。 7 欺騙（ Spoof） Web 服務欺騙攻擊； IP 欺騙攻擊。 8 偽裝 (Masquerade) 入侵者偽裝合法身份，進入電力監(jiān)控系統(tǒng)。 9 拒絕服務（ Availability, . Denial of Service） 向電力調(diào)度數(shù)據(jù)網(wǎng)絡或通信網(wǎng)關發(fā)送大量雪 崩數(shù)據(jù)，造成拒絕服務。 10 竊聽（ E av es drop pi ng, . Data Confidentiality） 黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明 文傳輸?shù)拿舾行畔?，為后續(xù)攻擊準備數(shù)據(jù)。 安全防護目標及重點 電力二次系統(tǒng)安全防護的重點是抵御黑客、病毒等通過各種形式對系統(tǒng)發(fā)起的惡意破壞 和攻擊，能夠抵御集團式攻擊，重點保護電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的安全，防 止由此引起電力系統(tǒng)故障。安全防護目標： 防止通過外部邊界發(fā)起的攻擊和侵入，尤其是防止由攻擊導致的一次系統(tǒng)的事 故以及二次系統(tǒng)的崩潰； 防 止未授權用戶訪問系統(tǒng)或非法獲取信息和侵入以及重大的非法操作。 安全防護的特點 電力二次系統(tǒng)安全防護的特點是具有系統(tǒng)性和動態(tài)性。電力二次系統(tǒng)是一個大系統(tǒng)，并 且處在不斷的變化和發(fā)展中，但其安全防護不能違反二次系統(tǒng)安全防護的基本原則。必須指 出的是，本方案僅代表當前的認識水平及目前的具體實施環(huán)境，今后將隨著實踐逐步完善和 提高。 安全防護工程是永無休止的動態(tài)過程。圖 2所示為以安全策略為核心的動態(tài)安全防護模 型。動態(tài)自適應安全模型的設計思想是將安全管理看作一個動態(tài)的過程，安全策略應適應網(wǎng) 絡的動態(tài) 性。動態(tài)自適應安全模型由下列過程的不斷循環(huán)構成：安全分析與配置、實時監(jiān)測、 報警響應、審計評估。 由此可見，安全工程的實施過程要注重系統(tǒng)性原則和螺旋上升的周期性原則。 3 防護 Protection Response 策略 Policy Detection 反應 圖 2 檢測 安全防護的 P2DR 模型 系統(tǒng)性原則不但要求在實施電力二次系統(tǒng)的各子系統(tǒng) 的安全防護時不能違反電力二次 系統(tǒng)的整體安全防護方案，同時也要求從技術和管理等多個方面共同注重安全防護工作的落 實。 螺旋上升的周期性原則表明安全工程的實施過程不是一蹴而就的，而是一個持續(xù)的、長 期的 “攻與防 ”的矛盾斗爭過程。當前具體實施的安全防護措施單獨從安全性的角度并不一 定是最優(yōu)的，但是要確保實施安全防護措施后系統(tǒng)的安全性必須得到加強。 相關的安全防護法規(guī) 《關于維護網(wǎng)絡安全和信息安全的決議》，全國人大常委會 2020 年 10 月審議 通過 《中華人民共和國計算機信息系統(tǒng)安全保護條例》，國務院 1994 年發(fā)布 《計算機信息系統(tǒng)保密管理暫行規(guī)定》，國家保密局 1998 年發(fā)布 《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》，國家 保密局 1998 年發(fā)布 《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》，公安部 1998 年發(fā)布 《計算機信息系統(tǒng)安全保護等級劃分準則》（ GB 17859 1999），公安部 1999 年發(fā)布 《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護的規(guī)定》，國家經(jīng)貿(mào)委 [2020]第 30 號令 《電力工業(yè)中涉及的國家秘密及具體范圍的規(guī)定》，電力工業(yè)部和國家保密局 1996 年發(fā)布 4 電力二次系統(tǒng)安全防護策略 電力二次系統(tǒng)安全防護的基本原則 電力二次系統(tǒng)安全防護的基本原則為： 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 系統(tǒng)性原則（木桶原理）； 簡單性原則； 實時、連續(xù)、安全相統(tǒng)一的原則； 需求、風險、代價相平衡的原則； 實用與先進相結合的原則； 方便與安全相統(tǒng)一的原則； 全面防護、突出重點（實時閉環(huán)控制部分）的原則； 分層分區(qū)、強化邊界的原則； 整體規(guī)劃、分步實施的原則； 責任到人，分級管理，聯(lián)合防護的原則。 電力二次系統(tǒng)安全防護總體策略 電力二次系統(tǒng)的安全防護策略為： 1) 2) 3) 4) 5) 分區(qū)防護、突出重點。根據(jù)系統(tǒng)中的業(yè)務的重要性和對一次系統(tǒng)的影響程度 進行分區(qū)，重點保護實時控制系統(tǒng)以及生產(chǎn)業(yè)務系統(tǒng)。 所有系統(tǒng)都必須置于相應的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護方案；不符合總 體安全防護方案要求的系統(tǒng)必須整改； 安全區(qū)隔離。采用各類強度的隔離裝置使核心系統(tǒng)得到有效保護。 網(wǎng)絡隔離。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡，實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡 物理隔離。并通過采用 MPLSVPN 或 IPSECVPN 在專網(wǎng)上形成多個相互邏輯 隔離的 VPN，實現(xiàn)多層次的保護。 縱向防護。采用認證、加密等手段實現(xiàn)數(shù)據(jù)的遠方安全傳輸。 電力二次系統(tǒng)的安全區(qū)劃分 電力二次系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務系統(tǒng)的重要性的差別。不同 的安全區(qū)確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。 根據(jù)電力二次系統(tǒng)的特點、目前狀況和安全要求， 整個二次系統(tǒng)分為四個安全工作區(qū)： 實時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)。 安全區(qū) Ⅰ 是實時控制區(qū)，安全保護的重點與核心。 凡是實時監(jiān)控系統(tǒng)或具有實時監(jiān)控功能的系統(tǒng)其監(jiān)控功能部分均應屬于安全區(qū) Ⅰ 。例如 調(diào)度中心中 EMS 系統(tǒng)和廣域相量測量系統(tǒng)（ WAMS）、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、 發(fā)電廠自動監(jiān)控系統(tǒng)或火電廠的管理信息系統(tǒng)（ SIS）中 AGC 功能等。其面向的使用者為調(diào) 度員和運行操作人員，數(shù)據(jù)實時性為秒級，外部邊界的通信均經(jīng)由電力調(diào)度數(shù)據(jù)網(wǎng)（ SPD） 的實時虛擬專用網(wǎng)（ VPN）。區(qū) 中還包括采用專用通道的控制系統(tǒng)，如：繼電保護、安全自 動控制系統(tǒng)、低頻 /低壓自動減載系統(tǒng)、負荷控制系統(tǒng)等，這類系統(tǒng)對數(shù)據(jù)通信的實時性要 求為毫秒級或秒級，是電力二次系統(tǒng)中最為重要系統(tǒng)，安全等級最高。 安全區(qū) Ⅱ 是非控制生產(chǎn)區(qū)。 不具備控制功能的生產(chǎn)業(yè)務和批發(fā)交易業(yè)務系統(tǒng)，或者系統(tǒng)中不進行控制的部分均屬于 5 安全區(qū) Ⅱ 。 屬于安全區(qū) Ⅱ 的典型系統(tǒng)包括水調(diào)自動化系統(tǒng)、電能量計量系統(tǒng)、發(fā)電側電力市場交易 系統(tǒng)等。其面向的使用者為運行方式 、運行計劃工作人員及發(fā)電側電力市場交易員等。數(shù)據(jù) 的實時性是分級、小時級。該區(qū)的外部通信邊界為 SPD 的非實時 VPN。 安全區(qū) Ⅲ 是生產(chǎn)管理區(qū)。 該區(qū)包括進行生產(chǎn)管理的系統(tǒng)，典型的系統(tǒng)為雷電監(jiān)測系統(tǒng)、氣象信息接入等。本安全 區(qū)內(nèi)的生產(chǎn)系統(tǒng)采取安全防護措施后可以提供 WEB 服務。該區(qū)的外部通信邊界為電力數(shù)據(jù) 通信網(wǎng)（ SPT）。 安全區(qū) IV 是管理信息區(qū)。 該區(qū)包括辦公管理信息系統(tǒng)、客戶服務等。該區(qū)的外部通信邊界為 SPT 及因特網(wǎng)。 該區(qū)在本文件中不作詳細規(guī)定，但必須具備必要的安全防護 措施。 業(yè)務系統(tǒng)置于安全區(qū)的規(guī)則 1) 2) 根據(jù)該系統(tǒng)的實時性、使用者、功能、場所、在各業(yè)務系統(tǒng)的相互關系、廣域 網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響，將其分置于四個安全區(qū)之中。 進行實時控制或未來可能有實時控制的功能或系統(tǒng)均需置于安全區(qū) Ⅰ 。 3) 電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務系統(tǒng)遷移到低安全區(qū)。允許把 屬于低安全區(qū)的業(yè)務系統(tǒng)的終端設備放置于高安全區(qū)，由屬 于高安全區(qū)的人員 使用。 4) 5) 6) 某些業(yè)務系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時，可把業(yè)務 系統(tǒng)根據(jù)不同的功能模塊分為若干子系統(tǒng)分置于各安全區(qū)中。各子系統(tǒng)經(jīng)過安 全區(qū)之間的通信來構成整個業(yè)務系統(tǒng)。 自我封閉的業(yè)務系統(tǒng)為孤立業(yè)務系統(tǒng)，其劃分規(guī)則不作要求，但需遵守所在安 全區(qū)的安全防護規(guī)定。 各電力二次系統(tǒng)原則上均應劃分為四安全區(qū)的電力二次系統(tǒng)安全防護方案，但 并非四安全區(qū)都必須存在。一個電力二次系統(tǒng)某安全區(qū)不存在的條件不僅其本 身不存在該安全區(qū)的業(yè)務而且與其他電網(wǎng)二次系統(tǒng)在該安全區(qū)不存在 “縱 ”向 互聯(lián)。 安全區(qū)之間的隔離要求 在各安全區(qū)之間均需選擇適當安全強度的隔離裝置。具體隔離裝置的選擇不僅需要考慮 網(wǎng)絡安全的要求，還需要考慮帶寬及實時性的要求。隔離裝置必須是國產(chǎn)并經(jīng)過國家或電力 系統(tǒng)有關部門認證。 安全區(qū) Ⅰ 與安全區(qū) Ⅱ 之間的隔離要求： 允許采用經(jīng)有關部門認定核準的硬件防火墻（禁 止 Email、 Web、 Tel、 Rlogin 等訪問）。 安全區(qū) III 與安全區(qū) IV 之間的隔離要求： Ⅲ 、 Ⅳ 區(qū)之間應采用經(jīng)有關部門認定核準的硬件防火墻隔離； 安全區(qū) Ⅰ 、 Ⅱ 與安全區(qū) Ⅲ 、 Ⅳ 之間的隔離要求：