【正文】 線纜敷設必須與機房目前綜合布線的標準和要求一致，線纜要求沿機房現有強弱電線槽進行敷設；縱向加密認證網關與調度數據網路由器及縱向互聯交換機之間均采用六類非屏蔽雙絞線互聯。縱向互聯交換機和認證裝置均按 1U 高度考慮，建議將本期配置的縱向互聯交換機和縱向加密認證網關至少新組一面機柜，即“調度數據網業(yè)務接入機柜” ，機柜內的設備總高度 10U。2) 縱向加密認證裝置采用透明工作方式。序號 裝置位置 本端裝置地址 對端裝置地址 對端隧道證書名1. 省中調 2. 省中調備調 3. 高州縣調 4. 化州縣調 5. 電白縣調 6. 信宜縣調 7. 220KV 河東變電站 8. 220KV 泥橋變電站 供電局電力二次系統安全防護項目實施方案 18 9. 220KV 謝平嶺變電站 10. 220KV 天泰變電站 11. 220KV 金山變電站 12. 220KV 六運變電站 . 靜態(tài)路由配置非控制區(qū)縱向互聯交換機上需要配置到達省中調、省中調備調的業(yè)務地址路由： 序號 地址名稱 目的地址網段 下一跳地址 備注1. 省中調 3. 本地調度數據網非實時路由 . 高可靠性（HA）非實時子網防火墻采用透明方式接入，組成雙機熱備冗余。序號 裝置位置 裝置標識 默認策略 裝置地址 備注MMDD1xxx1. 某地調MMDD2xxx 禁止 裝置標識的命名規(guī)則：如 GDZD1xxxGDZD：某中調，使用安裝地點名稱1：第一臺裝置，同節(jié)點但不同裝置之間的區(qū)分符xxx：設備證書序列號，一般為 3 位. 靜態(tài)路由配置路由配置包括兩部分：供電局電力二次系統安全防護項目實施方案 17 目的地址網段：需要訪問的地址段，一般為對端的業(yè)務地址段。由新增設備的總負荷約為1800W。3) 縱向硬件防火墻采用透明工作模式，對配置有防火墻的縣區(qū)調、500kV變電站和 220kV 變電站，在與地調或者省中調進行調度員培訓模擬系統（JSS） 、電能量計量遙測系統等系統業(yè)務信息傳輸時，嚴格控制源地址、源端口、目的地址、目的端口相應安全策略以確保訪問控制和傳輸數據的安全性。對未配置有縱向加密認證裝供電局電力二次系統安全防護項目實施方案 13 置的，在與地調進行相關業(yè)務信息傳輸時，縱向加密認證裝置采用明通模式進行工作，但應配置相應安全策略以確保身份認證、訪問控制和傳輸數據的機密性及完整性。 供電局電力二次系統安全防護項目實施方案5. 設計方案站點 縱向加密認證裝置 縱向硬件防火墻 橫向隔離防火墻 控制區(qū)縱向互聯交換機 非控制區(qū)縱向互聯交換機MMDD1XXX 地調縱向硬件防火墻A 地調橫向隔離防火墻A MMDDKZQA MMDDFKZQA地調MMDD2XXX 地調縱向硬件防火墻B 地調橫向隔離防火墻B MMDDKZQB MMDDFKZQB高州縣調 GZXD1XXX \ \ GZXDKZQ \化州縣調 HZXD1xxx \ \ HZXDKZQ \電白縣調 DBXD1xxx \ \ DBXDKZQ \信宜縣調 XYXD1xxx \ \ XYXDKZQ \220KV 河東變電站 220HDZ1xxx 河東站縱向硬件防火墻 河東站橫向隔離防火墻 220HDZKZQ 220HDZFKZQ220KV 泥橋變電站 220NQZ1xxx 泥橋站縱向硬件防火墻 泥橋站橫向隔離防火墻 220NQZKZQ 220NQZFKZQ220KV 謝平嶺變電站 220XPLZ1xxx 謝平嶺站縱向硬件防火墻 謝平嶺站橫向隔離防火墻 220XPLZKZQ 220XPLZFKZQ220KV 天泰變電站 220TTZ1xxx 天泰站縱向硬件防火墻 天泰站橫向隔離防火墻 220TTZKZQ 220TTZFKZQ220KV 金山變電站 220JSZ1xxx 金山站縱向硬件防火墻 金山站橫向隔離防火墻 220JSZKZQ 220JSZFKZQ220KV 六運變電站 220LYZ1xxx 六運站縱向硬件防火墻 六運站橫向隔離防火墻 220LYZKZQ 220LYZFKZQ供電局電力二次系統安全防護項目實施方案地調二次系統安全防護拓撲圖實時子網方案說明：1) 配置 2 臺控制區(qū)縱向互聯交換機，用于匯接控制區(qū)業(yè)務系統，配置HSRP 協議實施網關冗余；配置 2 臺縱向加密認證網關（采用透明模式） ，布置在控制區(qū)縱向互聯交換機與調度數據網實時 VPN 之間。供電局電力二次系統安全防護項目實施方案 10 4. 設計目標改造后的某供電局調度系統網絡需要根據業(yè)務特性的不同，分為控制區(qū)與非控制區(qū)，兩區(qū)合并起來稱為生產控制大區(qū)，與某供電局日常辦公業(yè)務說運行的管理信息大區(qū)從物理層上嚴格隔離。本期某供電局二次系統安全防護項目涉及的站點有：某局地調、高州縣調、化州縣調、電白縣調、信宜縣調、220kV 河東站、220kV 泥橋站、220kV 謝平嶺站、220kV 天泰站、220kV 金山站、220kV 六運站。本期項目內容主要包括：供電局、縣調、220kV 及以上變電站調度業(yè)務接入新建的調度數據網和調度數據業(yè)務與調度數據網邊界的安全防護設備設置。本實施方案主要內容包括：項目實施的詳細內容、技術方案、項目實施具體步驟及實施過程的安全風險控制等。總共是 1 個地調、4 個縣調、1 個 500KV 變電站、以及 6 個 220KV 變電站。嚴格遵守以及實現《某電網電力二次系統安全防護實施規(guī)范》所要求的“安全分區(qū)、網絡專用、橫向隔離、縱向認證”基本原則和電力二次系統安全防護要求。2) 要求業(yè)務系統的通信服務器每臺均提供兩塊獨立的網卡（虛擬出一個IP 地址）與控制區(qū)縱向互聯交換機相連，接入調度數據網實時子網。4) 縱向加密裝置與控制區(qū)縱向互聯交換機之間相連使用交叉線，以便加密裝置 Bypass 功能的實現。本端設備 本端端口 對端設備 對端端口 互聯 VLAN 用途以太網口 1 縱向加密認證網關1 以太網口 1 100 縱向實時互聯地調核心路由器1 以太網口 2 縱向硬件防火墻1 以太網口 1 200 縱向非實時互聯以太網口 1 縱向加密認證網關2 以太網口 1 100 縱向實時互聯地調核心路由器2 以太網口 2 縱向硬件防火墻2 以太網口 1 200 縱向非實時互聯以太網口 1 地調核心路由器1 以太網口 1 100 縱向實時互聯以太網口 2 控制區(qū)互聯交換機1 以太網口 24 100 縱向實時互聯縱向加密認 證網關1HA 接口 縱向加密認證網關2 HA 接口 HA 專用以太網口 1 地調核心路由器2 以太網口 1 100 縱向實時互聯以太網口 2 控制區(qū)互聯交換機2 以太網口 24 100 縱向實時互聯縱向加密認 證網關2HA 接口 縱向加密認證網關2 HA 接口 HA 專用以太網口 23 橫向硬件防火墻1 以太網口 1 199 橫向實時互聯控制區(qū)互聯交換機1 以太網口 24 縱向加密認證網關1 以太網口 2 100 縱向實時互聯供電局電力二次系統安全防護項目實施方案 14 以太網口 22 控制區(qū)互聯交換機2 以太網口 22 TRUNK以太網口 23 橫向硬件防火墻2 以太網口 1 199 橫向實時互聯以太網口 24 縱向加密認證網關2 以太網口 2 100 縱向實時互聯控制區(qū)互聯 交換機2以太網口 22 控制區(qū)互聯交換機1 以太網口 22 TRUNK以太網口 1 地調核心路由器1 以太網口 2 200 縱向非實時互聯以太網口 2 非控制區(qū)互聯交換機1 以太網口 24 200 縱向非實時互聯縱向硬件防 火墻1以太網口 3 縱向硬件防火墻2 以太網口 3 HA 專用以太網口 1 地調核心路由器2 以太網口 2 200 縱向非實時互聯以太網口 2 非控制區(qū)互聯交換機2 以太網口 24 200 縱向非實時互聯縱向硬件防 火墻2以太網口 3 縱向硬件防火墻1 以太網口 3 HA 專用以太網口 23 橫向硬件防火墻1 以太網口 2 299 橫向非實時互聯以太網口 24 縱向硬件防火墻1 以太網口 2 200 縱向非實時互聯非控制區(qū)互聯交換機1以太網口 22 非控制區(qū)互聯交換機2 以太網口 22 TRUNK以太網口 23 橫向硬件防火墻2 以太網口 2 299 橫向非實時互聯以太網口 24 橫向硬件防火墻2 以太網口 2 200 縱向非實時互聯非控制區(qū)互聯交換機2以太網口 22 非控制區(qū)互聯交換機1 以太網口 22 TRUNK以太網口 1 控制區(qū)互聯交換機2 以太網口 23 199 橫向實時互聯以太網口 2 非控制區(qū)互聯交換機1 以太網口 23 299 橫向非實時互聯橫向硬件防 火墻1以太網口 3 橫向硬件防火墻2 以太網口 3 HA 專用以太網口 1 控制區(qū)互聯交換機1 以太網口 23 199 橫向實時互聯以太網口 2 非控制區(qū)互聯交換機2 以太網口 23 299 橫向非實時互聯橫向硬件防 火墻2以太網口 3 橫向硬件防火墻1 以太網口 3 HA 專用設備安裝位置：新增設備包括縱向互聯交換機、縱向加密認證網關以及硬件防火墻等，所有設備均可布置在現有自動化機房。新增機柜規(guī)格要求與自動化機房目前的機柜保持一致，機柜屏位號以機房現有規(guī)定為準。下一跳地址：路由器內網地址，數據到達路由器內網后，查找路由表再路由到對端設備上。. 靜態(tài)路由配置序號 地址名稱 目的地址網段 下一跳地址 備注1. 省中調 3. 本地調度數據網非實時路由 供電局電力二次系統安全防護項目實施方案 19 區(qū)及 II 區(qū)橫向隔離方案. 設計方案對于同時具有實時數據和非實時數據縱向傳輸的業(yè)務系統：廣域相量測量系統和繼電保護及故障信息管理系統，采用下圖所示接入方案：圖 43 I 區(qū)及 II 區(qū)橫向隔離方案方案說明：廣域相量測量系統和繼電保護及故障信息管理系統的非實時數據信息傳輸路徑為：廣域相量測量系統和繼電保護及故障信息管理系統通信服務器?控制區(qū)縱向互聯交換機?控制區(qū)與非控制區(qū)網絡邊界的硬件防火墻?非控制區(qū)縱向互聯交換機?非控制區(qū)縱向互聯硬件防火墻?調度數據網 PE 路由器?對端調度數據網 PE 路由器?對端非控制區(qū)縱向互聯硬件防火墻?對端非控制區(qū)縱向互聯交換機? 對端控制區(qū)與非控制區(qū)網絡邊界的硬件防火墻?對端控制區(qū)縱向互聯交換機? 對端業(yè)務系統。供電局電力二次系統安全防護項目實施方案 22 3) 縱向加密裝置與控制區(qū)互聯交換機之間相連使用交叉線，以便加密裝置 Bypass 功能的實現。根據上述要求，則機柜配屏圖及 UHZ 供電示意圖如下：供電局電力二次系統安全防護項目實施方案 23 縱向加密認證裝置控制區(qū)互聯交換機51 01 52 02 53 03 54 02 2 0 V 交流電源0調度數據網業(yè)務接入機屏 U P S 配電柜電源要求：所有設備均由自動化機房現有 UHZ 電源系統統一提供 220kV UHZ 電源（獨立饋電回路送出） ，加密認證裝置額定負荷約 100W，縱向互聯交換機額定負荷約 100W。. 靜態(tài)路由配置控制區(qū)縱向互聯交換機上需要配置到達省中調、省中調備調的業(yè)務地址路由：高州縣調序號 地址名稱 目的地址網段 下一跳地址 備注1. 省中調 2. 3。供電局電力二次系統安全防護項目實施方案 24 新增機柜規(guī)格要求與自動化機房目前的機柜保持一致，機柜屏位號以機房現有規(guī)定為準。本端設備 本端端口 對端設備 對端端口 互聯 VLAN 用途CE 交換機 1 以太網口 24 縱向加密認證網關 以太網口 1 100 縱向實時互聯以太網口 1 CE 交換機1 以太網口 24 100 縱向實時互聯縱向加密認證網關 以太網口 2 控制區(qū)互聯交換機 以太網口 24 100 縱向實時互聯控制區(qū)互聯交換機 以太網口 24 縱向加密認證網關 以太網口 2 100 縱向實時互聯設備安裝位置：新增設備包括縱向互聯交換機、縱向加密認證網關以及硬件防火墻等，所有設備均布置在現有自動化。供電局電力二次系統安全防護項目實施方案 20 . 靜態(tài)路由配置地調橫向隔離防火墻需要配置需要訪問地調保信系統實時數據的地址段，以及省中調、省中調備調、以及本地調度數據網的非實時數據的地址段：序號 地址名稱 目的地址網段 下一跳地址 備注1. 省中調（非實時） （非實時）3. 地調保信系統實時 . 地址轉換（NAT）橫向隔離防火墻上配置控制區(qū)業(yè)務地址通過 NAT 轉換到非控制區(qū)業(yè)務系統