1．通信電路分三級管理：

一級通信電路：國家電力調度中心到各跨省電網網調和直屬省網省調的電路，以及跨大區網間的電路；

二級通信電路：跨省電網網調到省調和直屬廠、站的電路，以及網內跨省電路；

三級通信電路：省調到地調的電路，以及其他電路。

2．電網調度自動化管理、通信網的通信調度管理與電網調度管理體制一致，一般分五級管理：

國家調度；

大區網調；

省級調度；

地區調度；

縣級調度。

?

調度數據網與綜合數據網最大的區別是承載業務的不同，前者是安全分區一、二區業務，調度自動化、電量采集、保護故障信息等，綜合數據網是安全分區三、四區業務，包括視頻監控、OA等；兩個網絡均采用IP技術體制，使用MPLS VPN進行業務安全隔離。調度數據網一般架構在傳輸網之上，不同站點路由器設備之間采用2M/155M傳輸通道，綜合數據網則不一定，可用傳輸通道，也可采用裸光纖直連，一般情況綜合數據網的容量和傳輸帶寬都要遠高于調度數據網，畢竟是視頻圖像業務帶寬大嘛。

調度數據網是用在生產方面的。如電力調度中心采集數據和命令所采用的遠動通道、計量部門采集電表數據所用的計量通道等業務；綜合數據網就是指非生產方面的，如變電站辦公網絡、變電站的遠程視頻系統、變電站門禁報警系統等。

?

1 總則
電力二次系統安全防護的總體原則是“安全分區、網絡專用、橫向隔離、縱向認證”。
?
2 安全防護方案


???????????????????????????????????????????????????????????? 圖1 電力二次系統安全防護總體方案的框架結構
2.1 安全分區
?????? 原則上劃分為生產控制大區和管理信息大區。生產控制大區可以分為控制區（又稱安全區Ⅰ）和非控制區（又稱安全區Ⅱ）。
2.1.1 生產控制大區的安全區劃分
???? （1）控制區（安全區Ⅰ）
?????? 控制區中的業務系統或功能模塊（或子系統）的典型特征為；是電力生產的重要環節，直接實現對電力一次系統的實時監控，縱向使

用電力調度數據網絡或專用通道，是安全防護的重點與核心。
?????? 控制區的典型業務系統包括電力數據采集和監控系統、能量管理系統、廣域相量測量系統、配電網自動化系統、變電站自動化系統、

發電廠自動控制系統等，其主要使用者為調度員和運行操作人員，數據傳輸實時性為毫秒級或秒級，其數據通信使用電力調度數據網的實時子

網或專用通道進行傳輸。該區內還包括采用專用通道的控制系統，如：繼電保護、安全自動控制系統、低頻（或低壓）自動減負荷系統、負荷

管理系統等，這類系統對數據傳輸的實時性要求為毫秒級或秒級，其中負荷管理系統為分鐘級。
??? （2）非控制區（安全區Ⅱ）
?????? 非控制區中的業務系統或其功能模塊的典型特征為：是電力生產的必要環節，在線運行但不具備控制功能，使用電力調度數據網絡，

與控制區中的業務系統或功能模塊聯系緊密。
?????? 非控制區的典型業務系統包括調度員培訓模擬系統、水庫調度自動化系統、繼電保護及故障錄波信息管理系統、電能量計量系統、電

力市場運營系統等，其主要使用者分別為電力調度員、水電調度員、繼電保護人員及電力市場交易員等。在廠站端還包括電能量遠方終端、故

障錄波裝置及發電廠的報價系統等。非控制區的數據采集頻度是分鐘級或小時級，其數據通信使用電力調度數據網的非實時子網。
2.1.2 管理信息大區的安全區劃分
?????? 管理信息大區是指生產控制大區以外的電力企業管理業務系統的集合。電力企業可根據具體情況劃分安全區，但不應影響生產控制大

區的安全。
2.1.3 生產控制大區內部安全防護要求
????? （1）禁止生產控制大區內部的E-Mail 服務，禁止控制區內通用的WEB 服務。
????? （2）允許非控制區內部業務系統采用B/S 結構，但僅限于業務系統內部使用。允許提供縱向安全WEB 服務，可以采用經過安全加固且

支持HTTPS 的安全WEB 服務器和WEB 瀏覽工作站。
????? （3）生產控制大區重要業務（如SCADA/AGC、電力市場交易等）的遠程通信必須采用加密認證機制，對已有系統應逐步改造。
????? （4）生產控制大區內的業務系統間應該采取VLAN 和訪問控制等安全措施，限制系統間的直接互通。
????? （5）生產控制大區的撥號訪問服務，服務器和用戶端均應使用經國家指定部門認證的安全加固的操作系統，并采取加密、認證和訪問

控制等安全防護措施。
????? （6）生產控制大區邊界上可以部署入侵檢測系統IDS。
????? （7）生產控制大區應部署安全審計措施，把安全審計與安全區網絡管理系統、綜合告警系統、IDS 管理系統、敏感業務服務器登錄認

證和授權、應用訪問權限相結合。
????? （8）生產控制大區應該統一部署惡意代碼防護系統，采取防范惡意代碼措施。病毒庫、木馬庫以及IDS 規則庫的更新應該離線進行。