【正文】 orization Violation） 電力控制系統(tǒng)工作人員利用授權身份或設備，執(zhí)行非授權的操作。 4 攔截 /篡改（ Intercept/Alter） 攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設置、交易報價等敏感數(shù)據(jù)。 6 信息泄漏（ Information Leakage） 口令、證書等敏感信息泄密。 8 偽裝 (Masquerade) 入侵者偽裝合法身份，進入電力監(jiān)控系統(tǒng)。 10 竊聽（ Eavesdropping, . Data Confidentiality） 黑客在調(diào)度數(shù)據(jù)網(wǎng)或專線通道上搭線竊聽明文傳輸?shù)拿舾行畔ⅲ瑸楹罄m(xù)攻擊準備數(shù)據(jù)。 ? 網(wǎng)絡專用： 南方電網(wǎng)各級電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)，在物理層面上實現(xiàn)與綜合業(yè)務數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。 二次安全防護系統(tǒng) ? 安全防護手段 我們通過各種方法對電力二次系統(tǒng)業(yè)務進行安全防護 ，具體如下 ： ? 橫向隔離： 南方電網(wǎng)電力二次系統(tǒng)應采用安全防護設備實現(xiàn)各安全區(qū)的隔離，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向安全隔離裝置實現(xiàn)高強度隔離。 ? 縱向加密： 南方電網(wǎng)各級調(diào)度中心和廠站在控制區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應部署經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或加密認證網(wǎng)關以及其它安全設施，為上下級控制系統(tǒng)之間的調(diào)度數(shù)據(jù)網(wǎng)通信提供雙向身份認證、數(shù)據(jù)加密和訪問控制服務 二次安全防護系統(tǒng) ? 網(wǎng)絡安全區(qū)域劃分示意圖 二次安全防護系統(tǒng) ? 網(wǎng)絡安全區(qū)域劃分示意圖 二次安全防護系統(tǒng) ? 安全區(qū)域劃分 ? 控制區(qū)（安全區(qū) I）： 控制區(qū)是電力二次系統(tǒng)各安全區(qū)中安全等級最高的分區(qū)，是必不可少的分區(qū)。該區(qū)通過調(diào)度數(shù)據(jù)網(wǎng)絡的實時 VPN子網(wǎng)或專線通道與異地相關的安全區(qū) Ⅰ 互聯(lián)。 安全區(qū) Ⅰ 主要使用者為調(diào)度員、繼電保護運行管理人員和運行操作人員。該區(qū)的業(yè)務系統(tǒng)功能與電力生產(chǎn)直接相關，但不直接參與控制；系統(tǒng)在線運行，與安全區(qū) Ⅰ 的有關業(yè)務系統(tǒng)聯(lián)系密切。 非控制區(qū)的典型系統(tǒng)包括調(diào)度員培訓模擬系統(tǒng)、不帶控制功能的繼電保護和故障錄波信息管理系統(tǒng)、水調(diào)自動化系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)、廠站端電能量采集裝置、故障錄波器和發(fā)電廠的報價終端等。 二次安全防護系統(tǒng) ? 安全區(qū)域劃分 ? 管理信息區(qū)： 管理信息大區(qū)的業(yè)務系統(tǒng)主要用于生產(chǎn)管理和辦公自動化。 二次安全防護系統(tǒng) ? 云南電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)業(yè)務種類 ? 調(diào)度自動化業(yè)務（ EMS）； ? 廣域相角測量系統(tǒng)（ WAMS）； ? 安全穩(wěn)定控制系統(tǒng)； ? 水調(diào)自動化業(yè)務； ? 電能量計量數(shù)據(jù)； ? 繼電保護信息系統(tǒng)； ? 行波測距系統(tǒng)。 ? 采用動態(tài)路由，防火墻和加密裝置無需配置主備部署方式，只需通過 OSPF的 Cost值設置主備平面。 ? 若采用靜態(tài)路由，那么縱向防火墻、縱向防火墻將需要浪費一個端口用作熱備口。 網(wǎng)絡拓撲 ? 設備用途 ? 控制區(qū)（安全 I區(qū)）交換機 :用于電力二次系統(tǒng)實時業(yè)務系統(tǒng)接入： ? 調(diào)度自動化系統(tǒng)（ EMS） ? 廣域相角測量系統(tǒng)（ WAMS） ? 安全穩(wěn)定控制系統(tǒng) ? 非控制區(qū)（安全 II區(qū)）交換機 :用于電力二次系統(tǒng)實時業(yè)務系統(tǒng)接入 : ? 繼電保護信息系統(tǒng) ? 電能量計量系統(tǒng) ? 水調(diào)自動化系統(tǒng) ? 行波測距系統(tǒng) 網(wǎng)絡拓撲 ? 設備用途 ? 調(diào)度數(shù)據(jù)網(wǎng)路由器 :電力二次系統(tǒng)數(shù)據(jù)接入到省級調(diào)度數(shù)據(jù)網(wǎng)，實現(xiàn)數(shù)據(jù)網(wǎng)絡通信 。 ? 縱向防火墻 :用于對非實時業(yè)務系統(tǒng)的安全控制、過濾傳輸 。 網(wǎng)絡拓撲 ? 設備安裝 省調(diào) /地調(diào) /500KV變電站設備連接情況表 序號 縱向互聯(lián)防火墻 1 縱向互聯(lián)防火墻 2 橫向互聯(lián)防火墻 1 橫向互聯(lián)防火墻 2 縱向加密裝置 1 縱向加密裝置 2 1 接口 1連 非控制區(qū)交換機 1 接口 1連 非控制區(qū)交換機 2 接口 1連 控制區(qū)交換機 1； 接口 3HA心跳線 接口。 接口 1連 控制區(qū)交換機 1 接口 1連 控制區(qū)交換機 2 2 接口 2連 調(diào)度路由器 1 接口 2連 調(diào)度路由器 2 接口 2連 非控制區(qū)交換機 1 接口 2連 非控制區(qū)交換機 2 接口 2連 調(diào)度路由器 1 接口 2連 調(diào)度路由器 2 網(wǎng)絡拓撲 ? 設備配置 省調(diào) /地調(diào) /500KV變電站設備配置 序號 縱向互聯(lián)防火墻 1 縱向互聯(lián)防火墻 2 橫向互聯(lián)防火墻 1 橫向互聯(lián)防火墻 2 縱向加密裝置 1 縱向加密裝置 2 1 基礎配置 基礎配置 基礎配置 基礎配置 基礎配置 入 基礎配置 入 2 策略配置 策略配置 策略配置 策略配置 策略配置 策略配置 網(wǎng)絡拓撲 ? 安防改造后（省調(diào) /地調(diào) /500KV變電站） 網(wǎng)絡拓撲 ? 設備安裝 220KV變電站設備連接情況表 序號 縱向互聯(lián)防火墻 橫向互聯(lián)防火墻 縱向加密裝置 1 接口 1連非控制區(qū)交換機 接口 1連控制區(qū)交換機 接口 1連控制區(qū)交換機 2 接口 2連調(diào)度路由器 接口 2連非控制區(qū)交換機 接口 2連調(diào)度路由器 網(wǎng)絡拓撲 ? 安防改造后（ 220KV變電站） 網(wǎng)絡拓撲 ? 設備安裝 220KV變電站設備配置 序號 縱向互聯(lián)防火墻 橫向互聯(lián)防火墻 縱向加密裝置 1 基礎配置 基礎配置 基礎配置 2 策略配置 策略配置 策略配置 網(wǎng)絡拓撲 ? 業(yè)務訪問原則 網(wǎng)絡拓撲 ? 防火墻策略要求 ? 根據(jù)業(yè)務系統(tǒng)源目地址、協(xié)議號、端口號制定策略。 ? 縱向加密裝置 :用于對實時業(yè)務系統(tǒng)的安全控制、加密傳輸 。 ? 橫向防火墻 :用于廠站本地實時業(yè)務系統(tǒng)被本地非實時業(yè)務系統(tǒng)直接調(diào)用的安全控制、過濾傳輸。 電源類型 1+1交流冗余電源 硬件尺寸 1U標準機架式 系統(tǒng)吞吐量 大于 10G 最大并發(fā)連接數(shù) 200萬（可擴展至 300萬） 每秒新建連接數(shù) 大于 80000 VPN吞吐量 大于 350M VPN隧道數(shù) 1500(可擴展至 20230) 項目概況 ? 設備介紹（包三）－硬件防火墻 用途 產(chǎn)品 分類 詳細描述 地調(diào)千兆硬件防火墻 NetEye FW5200GD 接口配置 配備 6個 10/100/1000 BaseT接口，具備 1個擴展槽位 電源類型 1+1交流冗余電源 硬件尺寸 2U機架式結構 系統(tǒng)吞吐量 大于 8G 最大并發(fā)連接數(shù) 200萬