【文章內(nèi)容簡(jiǎn)介】 計(jì)算機(jī)監(jiān)控系統(tǒng)、配電網(wǎng)自動(dòng)化系統(tǒng)、微機(jī)保護(hù)和安全自動(dòng)裝置、水調(diào) 自動(dòng)化系統(tǒng)和水電梯級(jí)調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、電力市場(chǎng)交易系統(tǒng)等； “調(diào) 度數(shù)據(jù)網(wǎng)絡(luò) ”包括各級(jí)電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、用于遠(yuǎn)程維護(hù)及電能量計(jì)費(fèi)等的撥號(hào)網(wǎng) 絡(luò)、各計(jì)算機(jī)監(jiān)控系統(tǒng)內(nèi)部的本地局域網(wǎng)絡(luò)等。 電力二次系統(tǒng)邏輯結(jié)構(gòu)描述 電力二次系統(tǒng)邏輯結(jié)構(gòu)如圖 1所示。 1 國(guó)調(diào)、網(wǎng)省調(diào) 火電廠 梯調(diào) 水電廠 地調(diào) 區(qū)調(diào)、縣調(diào)、 配調(diào) 水電廠 超高壓輸 電變電站 高壓配電 變電站 需求側(cè) 控制 集控站 中壓配電 變電站 低壓配電線 路及變電站 圖 1 電力二次系統(tǒng)邏輯結(jié)構(gòu)示意圖 安全防護(hù)目標(biāo)及重點(diǎn) 風(fēng)險(xiǎn)分析 電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力生產(chǎn)、經(jīng)營(yíng)和服 務(wù)相關(guān)，而且與電網(wǎng)調(diào)度和控制系統(tǒng)的安全運(yùn)行緊密關(guān)聯(lián)，是電力系統(tǒng)安全的重要組成部分。 電力生產(chǎn)直接關(guān)系到國(guó)計(jì)民生，其安全問題一直是國(guó)家有關(guān)部門關(guān)注的重點(diǎn)之一。 隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來越多。 特別是隨著電力改革的推進(jìn)和電力市場(chǎng)的建立，要求在調(diào)度中心、電廠、用戶等之間進(jìn)行的 數(shù)據(jù)交換也越來越頻繁。電力一次設(shè)備的改善使得其可控性能滿足閉環(huán)的要求。電廠、變電 站減人增效，大量采用遠(yuǎn)方控制，對(duì) 電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提 出了新的嚴(yán)峻挑戰(zhàn)。而另一方面， Inter 技術(shù)和因特網(wǎng)已得到廣泛使用， Email、 Web 和 PC 的應(yīng)用也日益普及，但同時(shí)病毒和黑客也日益猖獗。目前有一些調(diào)度中心、發(fā)電廠、變 電站在規(guī)劃、設(shè)計(jì)、建設(shè)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)安全問題重視不夠，使得具有實(shí)時(shí) 遠(yuǎn)方控制功能的監(jiān)控系統(tǒng)，在沒有進(jìn)行有效安全防護(hù)的情況下與當(dāng)?shù)氐? MIS 系統(tǒng)等其他數(shù) 據(jù)網(wǎng)絡(luò)互連，有嚴(yán)重的隱患。除此之外，還存在黑客在調(diào)度數(shù)據(jù)網(wǎng)中采用 “搭接 ”的手段對(duì) 傳輸?shù)碾娏刂菩畔⑦M(jìn)行 “竊 聽 ”和 “篡改 ”，進(jìn)而對(duì)電力一次設(shè)備進(jìn)行非法破壞性操作的 威脅。電力二次系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)見表 1。因此電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全 性和可靠性已成為一個(gè)非常緊迫的問題。 表 1 電力二次系統(tǒng)面臨的主要風(fēng)險(xiǎn) 優(yōu)先級(jí) 風(fēng)險(xiǎn) 2 說明 /舉例優(yōu)先級(jí) 風(fēng)險(xiǎn) 說明 /舉例 0 旁路控制（ By p assi ng Controls） 入侵者對(duì)發(fā)電廠、變電站發(fā)送非法控制命令， 導(dǎo)致電力系統(tǒng)事故，甚至系統(tǒng)瓦解。 1 完整性破壞（ Integrity Violation） 非授權(quán)修改電力控制系統(tǒng)配置或程序；非授 權(quán)修改電力交易中的敏感數(shù)據(jù)。 2 違反授權(quán)（ Authorization Violation） 電力控制系統(tǒng)工作人員利用授權(quán)身份或設(shè) 備，執(zhí)行非授權(quán)的操作。 3 工作人員的隨意行為 （ Indiscretion） 電力控制系統(tǒng)工作人員無意識(shí)地泄漏口令等 敏感信息，或不謹(jǐn)慎地配置訪問控制規(guī)則等。 4 攔截 /篡改（ Intercept/Alter） 攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命 令、參數(shù)設(shè)置、交易報(bào)價(jià)等敏感數(shù)據(jù)。 5 非法使用（ Illegitimate Use） 非授權(quán)使用計(jì)算機(jī)或網(wǎng)絡(luò)資源。 6 信息泄漏（ Information Leakage） 口令、證書等敏感信息泄 密。 7 欺騙（ Spoof） Web 服務(wù)欺騙攻擊； IP 欺騙攻擊。 8 偽裝 (Masquerade) 入侵者偽裝合法身份，進(jìn)入電力監(jiān)控系統(tǒng)。 9 拒絕服務(wù)（ Availability, . Denial of Service） 向電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪 崩數(shù)據(jù)，造成拒絕服務(wù)。 10 竊聽（ E av es drop pi ng, . Data Confidentiality） 黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽明 文傳輸?shù)拿舾行畔ⅲ瑸楹罄m(xù)攻擊準(zhǔn)備數(shù)據(jù)。 安全防護(hù)目標(biāo)及重點(diǎn) 電力二次系統(tǒng)安全防護(hù)的重點(diǎn)是抵御黑客、病毒等通過各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞 和攻擊，能夠抵御集團(tuán)式攻擊，重點(diǎn)保護(hù)電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，防 止由此引起電力系統(tǒng)故障。安全防護(hù)目標(biāo)： 防止通過外部邊界發(fā)起的攻擊和侵入，尤其是防止由攻擊導(dǎo)致的一次系統(tǒng)的事 故以及二次系統(tǒng)的崩潰； 防 止未授權(quán)用戶訪問系統(tǒng)或非法獲取信息和侵入以及重大的非法操作。 安全防護(hù)的特點(diǎn) 電力二次系統(tǒng)安全防護(hù)的特點(diǎn)是具有系統(tǒng)性和動(dòng)態(tài)性。電力二次系統(tǒng)是一個(gè)大系統(tǒng)，并 且處在不斷的變化和發(fā)展中，但其安全防護(hù)不能違反二次系統(tǒng)安全防護(hù)的基本原則。必須指 出的是，本方案僅代表當(dāng)前的認(rèn)識(shí)水平及目前的具體實(shí)施環(huán)境，今后將隨著實(shí)踐逐步完善和 提高。 安全防護(hù)工程是永無休止的動(dòng)態(tài)過程。圖 2所示為以安全策略為核心的動(dòng)態(tài)安全防護(hù)模 型。動(dòng)態(tài)自適應(yīng)安全模型的設(shè)計(jì)思想是將安全管理看作一個(gè)動(dòng)態(tài)的過程，安全策略應(yīng)適應(yīng)網(wǎng) 絡(luò)的動(dòng)態(tài) 性。動(dòng)態(tài)自適應(yīng)安全模型由下列過程的不斷循環(huán)構(gòu)成：安全分析與配置、實(shí)時(shí)監(jiān)測(cè)、 報(bào)警響應(yīng)、審計(jì)評(píng)估。 由此可見，安全工程的實(shí)施過程要注重系統(tǒng)性原則和螺旋上升的周期性原則。 3 防護(hù) Protection Response 策略 Policy Detection 反應(yīng) 圖 2 檢測(cè) 安全防護(hù)的 P2DR 模型 系統(tǒng)性原則不但要求在實(shí)施電力二次系統(tǒng)的各子系統(tǒng) 的安全防護(hù)時(shí)不能違反電力二次 系統(tǒng)的整體安全防護(hù)方案，同時(shí)也要求從技術(shù)和管理等多個(gè)方面共同注重安全防護(hù)工作的落 實(shí)。 螺旋上升的周期性原則表明安全工程的實(shí)施過程不是一蹴而就的，而是一個(gè)持續(xù)的、長(zhǎng) 期的 “攻與防 ”的矛盾斗爭(zhēng)過程。當(dāng)前具體實(shí)施的安全防護(hù)措施單獨(dú)從安全性的角度并不一 定是最優(yōu)的，但是要確保實(shí)施安全防護(hù)措施后系統(tǒng)的安全性必須得到加強(qiáng)。 相關(guān)的安全防護(hù)法規(guī) 《關(guān)于維護(hù)網(wǎng)絡(luò)安全和信息安全的決議》，全國(guó)人大常委會(huì) 2020 年 10 月審議 通過 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，國(guó)務(wù)院 1994 年發(fā)布 《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》，國(guó)家保密局 1998 年發(fā)布 《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》，國(guó)家 保密局 1998 年發(fā)布 《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，公安部 1998 年發(fā)布 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（ GB 17859 1999），公安部 1999 年發(fā)布 《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》，國(guó)家經(jīng)貿(mào)委 [2020]第 30 號(hào)令 《電力工業(yè)中涉及的國(guó)家秘密及具體范圍的規(guī)定》，電力工業(yè)部和國(guó)家保密局 1996 年發(fā)布 4 電力二次系統(tǒng)安全防護(hù)策略 電力二次系統(tǒng)安全防護(hù)的基本原則 電力二次系統(tǒng)安全防護(hù)的基本原則為： 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 系統(tǒng)性原則（木桶原理）； 簡(jiǎn)單性原則； 實(shí)時(shí)、連續(xù)、安全相統(tǒng)一的原則； 需求、風(fēng)險(xiǎn)、代價(jià)相平衡的原則； 實(shí)用與先進(jìn)相結(jié)合的原則； 方便與安全相統(tǒng)一的原則； 全面防護(hù)、突出重點(diǎn)（實(shí)時(shí)閉環(huán)控制部分）的原則； 分層分區(qū)、強(qiáng)化邊界的原則； 整體規(guī)劃、分步實(shí)施的原則； 責(zé)任到人，分級(jí)管理，聯(lián)合防護(hù)的原則。 電力二次系統(tǒng)安全防護(hù)總體策略 電力二次系統(tǒng)的安全防護(hù)策略為： 1) 2) 3) 4) 5) 分區(qū)防護(hù)、突出重點(diǎn)。根據(jù)系統(tǒng)中的業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影響程度 進(jìn)行分區(qū)，重點(diǎn)保護(hù)實(shí)時(shí)控制系統(tǒng)以及生產(chǎn)業(yè)務(wù)系統(tǒng)。 所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護(hù)方案；不符合總 體安全防護(hù)方案要求的系統(tǒng)必須整改； 安全區(qū)隔離。采用各類強(qiáng)度的隔離裝置使核心系統(tǒng)得到有效保護(hù)。 網(wǎng)絡(luò)隔離。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò) 物理隔離。并通過采用 MPLSVPN 或 IPSECVPN 在專網(wǎng)上形成多個(gè)相互邏輯 隔離的 VPN，實(shí)現(xiàn)多層次的保護(hù)。 縱向防護(hù)。采用認(rèn)證、加密等手段實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸。 電力二次系統(tǒng)的安全區(qū)劃分 電力二次系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務(wù)系統(tǒng)的重要性的差別。不同 的安全區(qū)確定了不同的安全防護(hù)要求，從而決定了不同的安全等級(jí)和防護(hù)水平。 根據(jù)電力二次系統(tǒng)的特點(diǎn)、目前狀況和安全要求， 整個(gè)二次系統(tǒng)分為四個(gè)安全工作區(qū)： 實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)。 安全區(qū) Ⅰ 是實(shí)時(shí)控制區(qū)，安全保護(hù)的重點(diǎn)與核心。 凡是實(shí)時(shí)監(jiān)控系統(tǒng)或具有實(shí)時(shí)監(jiān)控功能的系統(tǒng)其監(jiān)控功能部分均應(yīng)屬于安全區(qū) Ⅰ 。例如 調(diào)度中心中 EMS 系統(tǒng)和廣域相量測(cè)量系統(tǒng)（ WAMS）、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、 發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)或火電廠的管理信息系統(tǒng)（ SIS）中 AGC 功能等。其面向的使用者為調(diào) 度員和運(yùn)行操作人員，數(shù)據(jù)實(shí)時(shí)性為秒級(jí)，外部邊界的通信均經(jīng)由電力調(diào)度數(shù)據(jù)網(wǎng)（ SPD） 的實(shí)時(shí)虛擬專用網(wǎng)（ VPN）。區(qū) 中還包括采用專用通道的控制系統(tǒng)，如：繼電保護(hù)、安全自 動(dòng)控制系統(tǒng)、低頻 /低壓自動(dòng)減載系統(tǒng)、負(fù)荷控制系統(tǒng)等，這類系統(tǒng)對(duì)數(shù)據(jù)通信的實(shí)時(shí)性要 求為毫秒級(jí)或秒級(jí)，是電力二次系統(tǒng)中最為重要系統(tǒng)，安全等級(jí)最高。 安全區(qū) Ⅱ 是非控制生產(chǎn)區(qū)。 不具備控制功能的生產(chǎn)業(yè)務(wù)和批發(fā)交易業(yè)務(wù)系統(tǒng)，或者系統(tǒng)中不進(jìn)行控制的部分均屬于 5 安全區(qū) Ⅱ 。 屬于安全區(qū) Ⅱ 的典型系統(tǒng)包括水調(diào)自動(dòng)化系統(tǒng)、電能量計(jì)量系統(tǒng)、發(fā)電側(cè)電力市場(chǎng)交易 系統(tǒng)等。其面向的使用者為運(yùn)行方式 、運(yùn)行計(jì)劃工作人員及發(fā)電側(cè)電力市場(chǎng)交易員等。數(shù)據(jù) 的實(shí)時(shí)性是分級(jí)、小時(shí)級(jí)。該區(qū)的外部通信邊界為 SPD 的非實(shí)時(shí) VPN。 安全區(qū) Ⅲ 是生產(chǎn)管理區(qū)。 該區(qū)包括進(jìn)行生產(chǎn)管理的系統(tǒng)，典型的系統(tǒng)為雷電監(jiān)測(cè)系統(tǒng)、氣象信息接入等。本安全 區(qū)內(nèi)的生產(chǎn)系統(tǒng)采取安全防護(hù)措施后可以提供 WEB 服務(wù)。該區(qū)的外部通信邊界為電力數(shù)據(jù) 通信網(wǎng)（ SPT）。 安全區(qū) IV 是管理信息區(qū)。 該區(qū)包括辦公管理信息系統(tǒng)、客戶服務(wù)等。該區(qū)的外部通信邊界為 SPT 及因特網(wǎng)。 該區(qū)在本文件中不作詳細(xì)規(guī)定，但必須具備必要的安全防護(hù) 措施。 業(yè)務(wù)系統(tǒng)置于安全區(qū)的規(guī)則 1) 2) 根據(jù)該系統(tǒng)的實(shí)時(shí)性、使用者、功能、場(chǎng)所、在各業(yè)務(wù)系統(tǒng)的相互關(guān)系、廣域 網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響，將其分置于四個(gè)安全區(qū)之中。 進(jìn)行實(shí)時(shí)控制或未來可能有實(shí)時(shí)控制的功能或系統(tǒng)均需置于安全區(qū) Ⅰ 。 3) 電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移到低安全區(qū)。允許把 屬于低安全區(qū)的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全區(qū)，由屬 于高安全區(qū)的人員 使用。 4) 5) 6) 某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時(shí)，可把業(yè)務(wù) 系統(tǒng)根據(jù)不同的功能模塊分為若干子系統(tǒng)分置于各安全區(qū)中。各子系統(tǒng)經(jīng)過安 全區(qū)之間的通信來構(gòu)成整個(gè)業(yè)務(wù)系統(tǒng)。 自我封閉的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則不作要求，但需遵守所在安 全區(qū)的安全防護(hù)規(guī)定。 各電力二次系統(tǒng)原則上均應(yīng)劃分為四安全區(qū)的電力二次系統(tǒng)安全防護(hù)方案，但 并非四安全區(qū)都必須存在。一個(gè)電力二次系統(tǒng)某安全區(qū)不存在的條件不僅其本 身不存在該安全區(qū)的業(yè)務(wù)而且與其他電網(wǎng)二次系統(tǒng)在該安全區(qū)不存在 “縱 ”向 互聯(lián)。 安全區(qū)之間的隔離要求 在各安全區(qū)之間均需選擇適當(dāng)安全強(qiáng)度的隔離裝置。具體隔離裝置的選擇不僅需要考慮 網(wǎng)絡(luò)安全的要求，還需要考慮帶寬及實(shí)時(shí)性的要求。隔離裝置必須是國(guó)產(chǎn)并經(jīng)過國(guó)家或電力 系統(tǒng)有關(guān)部門認(rèn)證。 安全區(qū) Ⅰ 與安全區(qū) Ⅱ 之間的隔離要求： 允許采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻（禁 止 Email、 Web、 Tel、 Rlogin 等訪問）。 安全區(qū) III 與安全區(qū) IV 之間的隔離要求： Ⅲ 、 Ⅳ 區(qū)之間應(yīng)采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻隔離； 安全區(qū) Ⅰ 、 Ⅱ 與安全區(qū) Ⅲ 、 Ⅳ 之間的隔離要求：