【正文】 ...................................................51 水電廠二次系統(tǒng)整體安全部署圖 B ................................................................................51 火電廠二次系統(tǒng)安全部署圖 ............................................................................................52 iii 1. 前言 電力二次系統(tǒng)安全防護(hù)總體方案是依據(jù)國家經(jīng)貿(mào)委 [2020]第 30 號(hào)令《電網(wǎng)和電廠計(jì)算 機(jī)監(jiān)控 系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》（以下簡(jiǎn)稱《規(guī)定》）的要求，并根據(jù)我國電網(wǎng) 調(diào)度系統(tǒng)的具體情況制定的，目的是規(guī)范和統(tǒng)一我國電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù) 網(wǎng)絡(luò)安全防護(hù)的規(guī)劃、實(shí)施和監(jiān)管，以防范對(duì)電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的 攻擊侵害及由此引起的電力系統(tǒng)事故，保障我國電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，保護(hù)國 家重要基礎(chǔ)設(shè)施的安全。 內(nèi)部資料 注意保密 全國電力二次系統(tǒng) 安全防護(hù)總體方案 （第 7 稿） 全國電力二次系統(tǒng)安全防護(hù)專家組、工作組 2020 年 2 月 26 日 引 言 根據(jù)全國電力二次系統(tǒng)安全工作組的安排，二次系統(tǒng)安全專家組會(huì)同電力 系統(tǒng)有關(guān)單位編寫了全國電力二次系統(tǒng)安全防護(hù)體系系列文件共 12 篇，其中： 《水調(diào)自動(dòng)化系統(tǒng)安全防護(hù)方案》由西北網(wǎng)調(diào)完成； 《 水電廠監(jiān)控系統(tǒng)安全防護(hù)方案》由華中網(wǎng)調(diào)完成； 《火電廠監(jiān)控系統(tǒng)安全防護(hù)方案》由華能信息中心完成； 《電能量計(jì)量系統(tǒng)安全防護(hù)方案》由東北網(wǎng)調(diào)完成； 《電力市場(chǎng)運(yùn)營系統(tǒng)安全防護(hù)方案》由浙江省調(diào)完成； 《調(diào)度生產(chǎn)管理系統(tǒng)安全防護(hù)方案》由安徽省調(diào)完成； 《變電站自動(dòng)化系統(tǒng)安全防護(hù)方案》由華東網(wǎng)調(diào)完成； 《配電自動(dòng)化系統(tǒng)安全防護(hù)方案》由東方電子完成； 《繼電保護(hù)和故障錄波信息系統(tǒng)安全防護(hù)方案》由山東省調(diào)完成； 《調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)方案》由安全防護(hù)專家組完成； 《電力二次系統(tǒng)安全防護(hù)公共技術(shù)專題》由安全防護(hù)專家組完 成； 《電力二次系統(tǒng)安全防護(hù)總體框架》由安全防護(hù)專家組完成。 在上述文件的基礎(chǔ)上，安全專家組部分成員經(jīng)過改編和整理，形成了《全 國電力二次系統(tǒng)安全防護(hù)總體方案》。 全國電力二次系統(tǒng)是指各級(jí)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（ SPD）以及各級(jí)管理信息 系統(tǒng) (MIS)和電力數(shù)據(jù)通信網(wǎng)絡(luò)（ SPT）構(gòu)成的大系統(tǒng)。對(duì)各級(jí)管理信息系統(tǒng)和電力數(shù)據(jù)通信網(wǎng)絡(luò)本身的安全防護(hù)在另外的文件中規(guī) 定。 安全防護(hù)總體方案由以下幾個(gè)部分組成： 電力二次系統(tǒng)總體安全防護(hù)總則 電力二次系統(tǒng)安全防護(hù)技術(shù) 調(diào)度中心（地調(diào)及以上）二次系統(tǒng)安全防護(hù)方案 配 電（含縣調(diào)）二次系統(tǒng)安全防護(hù)方案 變電站二次系統(tǒng)安全防護(hù)方案 發(fā)電廠二次系統(tǒng)安全防護(hù)方案 電力二次系統(tǒng)安全管理 2. 電力二次系統(tǒng)安全防護(hù)方案總則 適用范圍 本安全防護(hù)總體方案的基本防護(hù)原則適用于電力二次系統(tǒng)中各類應(yīng)用和網(wǎng)絡(luò)系統(tǒng)，總體 方案直接適用于與電力生產(chǎn)和輸配過程直接相關(guān)的計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)。 其中 “計(jì)算機(jī)監(jiān)控系統(tǒng) ”,包括各級(jí)電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、換流站計(jì)算 機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、配電網(wǎng)自動(dòng)化系統(tǒng)、微機(jī)保護(hù)和安全自動(dòng)裝置、水調(diào) 自動(dòng)化系統(tǒng)和水電梯級(jí)調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、電力市場(chǎng)交易系統(tǒng)等； “調(diào) 度數(shù)據(jù)網(wǎng)絡(luò) ”包括各級(jí)電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、用于遠(yuǎn)程維護(hù)及電能量計(jì)費(fèi)等的撥號(hào)網(wǎng) 絡(luò)、各計(jì)算機(jī)監(jiān)控系統(tǒng)內(nèi)部的本地局域網(wǎng)絡(luò)等。 1 國調(diào)、網(wǎng)省調(diào) 火電廠 梯調(diào) 水電廠 地調(diào) 區(qū)調(diào)、縣調(diào)、 配調(diào) 水電廠 超高壓輸 電變電站 高壓配電 變電站 需求側(cè) 控制 集控站 中壓配電 變電站 低壓配電線 路及變電站 圖 1 電力二次系統(tǒng)邏輯結(jié)構(gòu)示意圖 安全防護(hù)目標(biāo)及重點(diǎn) 風(fēng)險(xiǎn)分析 電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力生產(chǎn)、經(jīng)營和服 務(wù)相關(guān)，而且與電網(wǎng)調(diào)度和控制系統(tǒng)的安全運(yùn)行緊密關(guān)聯(lián)，是電力系統(tǒng)安全的重要組成部分。 隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入國家電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來越多。電力一次設(shè)備的改善使得其可控性能滿足閉環(huán)的要求。而另一方面， Inter 技術(shù)和因特網(wǎng)已得到廣泛使用， Email、 Web 和 PC 的應(yīng)用也日益普及，但同時(shí)病毒和黑客也日益猖獗。除此之外，還存在黑客在調(diào)度數(shù)據(jù)網(wǎng)中采用 “搭接 ”的手段對(duì) 傳輸?shù)碾娏刂菩畔⑦M(jìn)行 “竊 聽 ”和 “篡改 ”，進(jìn)而對(duì)電力一次設(shè)備進(jìn)行非法破壞性操作的 威脅。因此電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全 性和可靠性已成為一個(gè)非常緊迫的問題。 1 完整性破壞（ Integrity Violation） 非授權(quán)修改電力控制系統(tǒng)配置或程序；非授 權(quán)修改電力交易中的敏感數(shù)據(jù)。 3 工作人員的隨意行為 （ Indiscretion） 電力控制系統(tǒng)工作人員無意識(shí)地泄漏口令等 敏感信息，或不謹(jǐn)慎地配置訪問控制規(guī)則等。 5 非法使用（ Illegitimate Use） 非授權(quán)使用計(jì)算機(jī)或網(wǎng)絡(luò)資源。 7 欺騙（ Spoof） Web 服務(wù)欺騙攻擊； IP 欺騙攻擊。 9 拒絕服務(wù)（ Availability, . Denial of Service） 向電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪 崩數(shù)據(jù)，造成拒絕服務(wù)。 安全防護(hù)目標(biāo)及重點(diǎn) 電力二次系統(tǒng)安全防護(hù)的重點(diǎn)是抵御黑客、病毒等通過各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞 和攻擊，能夠抵御集團(tuán)式攻擊，重點(diǎn)保護(hù)電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，防 止由此引起電力系統(tǒng)故障。 安全防護(hù)的特點(diǎn) 電力二次系統(tǒng)安全防護(hù)的特點(diǎn)是具有系統(tǒng)性和動(dòng)態(tài)性。必須指 出的是，本方案僅代表當(dāng)前的認(rèn)識(shí)水平及目前的具體實(shí)施環(huán)境，今后將隨著實(shí)踐逐步完善和 提高。圖 2所示為以安全策略為核心的動(dòng)態(tài)安全防護(hù)模 型。動(dòng)態(tài)自適應(yīng)安全模型由下列過程的不斷循環(huán)構(gòu)成：安全分析與配置、實(shí)時(shí)監(jiān)測(cè)、 報(bào)警響應(yīng)、審計(jì)評(píng)估。 3 防護(hù) Protection Response 策略 Policy Detection 反應(yīng) 圖 2 檢測(cè) 安全防護(hù)的 P2DR 模型 系統(tǒng)性原則不但要求在實(shí)施電力二次系統(tǒng)的各子系統(tǒng) 的安全防護(hù)時(shí)不能違反電力二次 系統(tǒng)的整體安全防護(hù)方案，同時(shí)也要求從技術(shù)和管理等多個(gè)方面共同注重安全防護(hù)工作的落 實(shí)。當(dāng)前具體實(shí)施的安全防護(hù)措施單獨(dú)從安全性的角度并不一 定是最優(yōu)的，但是要確保實(shí)施安全防護(hù)措施后系統(tǒng)的安全性必須得到加強(qiáng)。 電力二次系統(tǒng)安全防護(hù)總體策略 電力二次系統(tǒng)的安全防護(hù)策略為： 1) 2) 3) 4) 5) 分區(qū)防護(hù)、突出重點(diǎn)。 所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護(hù)方案；不符合總 體安全防護(hù)方案要求的系統(tǒng)必須整改； 安全區(qū)隔離。 網(wǎng)絡(luò)隔離。并通過采用 MPLSVPN 或 IPSECVPN 在專網(wǎng)上形成多個(gè)相互邏輯 隔離的 VPN，實(shí)現(xiàn)多層次的保護(hù)。采用認(rèn)證、加密等手段實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸。不同 的安全區(qū)確定了不同的安全防護(hù)要求，從而決定了不同的安全等級(jí)和防護(hù)水平。 安全區(qū) Ⅰ 是實(shí)時(shí)控制區(qū)，安全保護(hù)的重點(diǎn)與核心。例如 調(diào)度中心中 EMS 系統(tǒng)和廣域相量測(cè)量系統(tǒng)（ WAMS）、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、 發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)或火電廠的管理信息系統(tǒng)（ SIS）中 AGC 功能等。區(qū) 中還包括采用專用通道的控制系統(tǒng)，如：繼電保護(hù)、安全自 動(dòng)控制系統(tǒng)、低頻 /低壓自動(dòng)減載系統(tǒng)、負(fù)荷控制系統(tǒng)等，這類系統(tǒng)對(duì)數(shù)據(jù)通信的實(shí)時(shí)性要 求為毫秒級(jí)或秒級(jí)，是電力二次系統(tǒng)中最為重要系統(tǒng)，安全等級(jí)最高。 不具備控制功能的生產(chǎn)業(yè)務(wù)和批發(fā)交易業(yè)務(wù)系統(tǒng)，或者系統(tǒng)中不進(jìn)行控制的部分均屬于 5 安全區(qū) Ⅱ 。其面向的使用者為運(yùn)行方式 、運(yùn)行計(jì)劃工作人員及發(fā)電側(cè)電力市場(chǎng)交易員等。該區(qū)的外部通信邊界為 SPD 的非實(shí)時(shí) VPN。 該區(qū)包括進(jìn)行生產(chǎn)管理的系統(tǒng)，典型的系統(tǒng)為雷電監(jiān)測(cè)系統(tǒng)、氣象信息接入等。該區(qū)的外部通信邊界為電力數(shù)據(jù) 通信網(wǎng)（ SPT）。 該區(qū)包括辦公管理信息系統(tǒng)、客戶服務(wù)等。 該區(qū)在本文件中不作詳細(xì)規(guī)定，但必須具備必要的安全防護(hù) 措施。 進(jìn)行實(shí)時(shí)控制或未來可能有實(shí)時(shí)控制的功能或系統(tǒng)均需置于安全區(qū) Ⅰ 。允許把 屬于低安全區(qū)的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全區(qū)，由屬 于高安全區(qū)的人員 使用。各子系統(tǒng)經(jīng)過安 全區(qū)之間的通信來構(gòu)成整個(gè)業(yè)務(wù)系統(tǒng)。 各電力二次系統(tǒng)原則上均應(yīng)劃分為四安全區(qū)的電力二次系統(tǒng)安全防護(hù)方案，但 并非四安全區(qū)都必須存在。 安全區(qū)之間的隔離要求 在各安全區(qū)之間均需選擇適當(dāng)安全強(qiáng)度的隔離裝置。隔離裝置必須是國產(chǎn)并經(jīng)過國家或電力 系統(tǒng)有關(guān)部門認(rèn)證。 安全區(qū) III 與安全區(qū) IV 之間的隔離要求： Ⅲ 、 Ⅳ 區(qū)之間應(yīng)采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻隔離； 安全區(qū) Ⅰ 、 Ⅱ 與安全區(qū) Ⅲ 、 Ⅳ 之間的隔離要求： 安全區(qū) Ⅰ 、 Ⅱ 不得與安全區(qū) Ⅳ 直接聯(lián)系，安全區(qū) Ⅰ 、 Ⅱ 與安全區(qū) Ⅲ 之間必須采用經(jīng) 有關(guān)部門認(rèn)定核準(zhǔn)的專用隔離裝置。 從安全區(qū) Ⅰ 、 Ⅱ 往安全區(qū) Ⅲ 單向傳輸信息須采用正向隔離裝置，由安全區(qū) Ⅲ 往安全區(qū) Ⅱ 甚至安全區(qū) Ⅰ 的單向數(shù)據(jù)傳輸必須采用反向隔離裝置。 安全區(qū)與遠(yuǎn)方通信的安全防護(hù)要求 安全區(qū) Ⅰ 、 Ⅱ 所連接的廣域網(wǎng)為國家電力調(diào)度數(shù)據(jù)網(wǎng) SPD。 對(duì)不具備 MPLSVPN 的某 些省、地區(qū)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，可通過 IPSec 構(gòu)造 VPN 子網(wǎng)。安全區(qū) Ⅲ 所連接的廣域網(wǎng)為國家電力數(shù)據(jù) 通信網(wǎng)（ SPT）， SPD 與 SPT 物理隔離。如暫時(shí)不具備條件或業(yè)務(wù)無此項(xiàng)要求，可以用硬件防火墻代替。 處 于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)（如通信服務(wù)器等）操作系統(tǒng)應(yīng)進(jìn)行安全加固，對(duì) I、 II 區(qū)的外部通信網(wǎng)關(guān) 建議配置數(shù)字證書。個(gè)別關(guān)鍵廠站的遠(yuǎn)動(dòng)通道的通 信可采用線路加密器，但需由上級(jí)部門認(rèn)可。個(gè)別關(guān)鍵廠站的 RTU 網(wǎng)絡(luò)通信可采用認(rèn)證加密，但需由上級(jí)部門認(rèn)可。 各安全區(qū)內(nèi)部安全防護(hù)的基本要求 禁止安全區(qū) Ⅰ 和安全區(qū) Ⅱ 內(nèi)部的 EMAIL 服務(wù)。禁止跨安全區(qū)的 EMAIL 、 WEB 服務(wù)。 允許安全區(qū) Ⅱ 縱向（即上下級(jí)間） W EB 服務(wù)，但必須安全區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)向 WEB 服務(wù)器單向主動(dòng)傳送數(shù)據(jù)。 安全區(qū) Ⅰ /安全區(qū) Ⅱ 的撥號(hào)訪問服務(wù)必須采取認(rèn)證、加密、訪問控制等安 全防護(hù)措 施； 安全區(qū) Ⅰ /安全區(qū) Ⅱ 的系統(tǒng)應(yīng)該部署安全審計(jì)措施，如 IDS 等； 安全區(qū) Ⅰ /安全區(qū) Ⅱ 的系統(tǒng)必須采取防惡意代碼措施。 安全區(qū) Ⅲ 的撥號(hào)訪問服務(wù)必須采取訪問控制等安全防護(hù)措施； 安全區(qū) Ⅲ 的系統(tǒng)應(yīng)該部署安全審計(jì)措施，如 IDS 等； 安全區(qū) Ⅲ 的系統(tǒng)必須采取防惡意代碼措施。在電力二次系統(tǒng)內(nèi) 部具有廣域網(wǎng)通信，其安全防護(hù)需要參照?qǐng)?zhí)行。 （正向型） 隔 專 離 用 安全區(qū) I (實(shí)時(shí)控制區(qū) ) 裝 置 IP 認(rèn)證加密裝置 IP 認(rèn)證加密裝置 （反向型） 防火墻 防火墻 外 專線 實(shí)時(shí) VPN SPD 非實(shí)時(shí) VPN 生產(chǎn) VPN SPT 信息 VPN 網(wǎng) IP 認(rèn)證加密裝置 IP 認(rèn)證加密裝置 （正向型） 隔 專 離 用 防火 墻 防火墻 安全區(qū) I (實(shí)時(shí)控制區(qū) ) 防 火 墻 安全區(qū) II (非