電力二次系統安全防護的學習

　　評論：　 ? 收藏本頁

?
2.2? 網絡專用
?????? 電力調度數據網是為生產控制大區服務的專用數據網絡，承載電力實時控制、在線生產交易等業務。安全區的外部邊界網絡之間的安

全防護隔離強度應該和所連接的安全區之間的安全防護隔離強度相匹配。
?????? 電力調度數據網應當在專用通道上使用獨立的網絡設備組網，采用基于SDH/PDH 不同通道、不同光波長、不同纖芯等方式，在物理層

面上實現與電力企業其它數據網及外部公共信息網的安全隔離。
?????? 電力調度數據網劃分為邏輯隔離的實時子網和非實時子網，分別連接控制區和非控制區。可采用MPLS-VPN 技術、安全隧道技術、PVC

技術、靜態路由等構造子網。
?????? 電力調度數據網應當采用以下安全防護措施：
?????? （1）網絡路由防護
?????? 按照電力調度管理體系及數據網絡技術規范，采用虛擬專網技術，將電力調度數據網分割為邏輯上相對獨立的實時子網和非實時子網

，分別對應控制業務和非控制生產業務，保證實時業務的封閉性和高等級的網絡服務質量。
?????? （2）網絡邊界防護
?????? 應當采用嚴格的接入控制措施，保證業務系統接入的可信性。經過授權的節點允許接入電力調度數據網，進行廣域網通信。數據網絡

與業務系統邊界采用必要的訪問控制措施，對通信方式與通信業務類型進行控制；在生產控制大區與電力調度數據網的縱向交接處應當采取相

應的安全隔離、加密、認證等防護措施。對于實時控制等重要業務，應該通過縱向加密認證裝置或加密認證網關接入調度數據網。
?????? （3）網絡設備的安全配置
?????? 網絡設備的安全配置包括關閉或限定網絡服務、避免使用默認路由、關閉網絡邊界OSPF 路由功能、采用安全增強的SNMPv2 及以上版

本的網管協議、設置受信任的網絡地址范圍、記錄設備日志、設置高強度的密碼、開啟訪問控制列表、封閉空閑的網絡端口等。
?????? （4）數據網絡安全的分層分區設置
?????? 電力調度數據網采用安全分層分區設置的原則。省級以上調度中心和網調以上直調廠站節點構成調度數據網骨干網（簡稱骨干網）。

省調、地調和縣調及省、地直調廠站節點構成省級調度數據網（簡稱省網）。
?????? 縣調和配網內部生產控制大區專用節點構成縣級專用數據網。縣調自動化、配網自動化、負荷管理系統與被控對象之間的數據通信可

采用專用數據網絡，不具備專網條件的也可采用公用通信網絡（不包括因特網），且必須采取安全防護措施。
?????? 各層面的數據網絡之間應該通過路由限制措施進行安全隔離。當縣調或配調內部采用公用通信網時，禁止與調度數據網互聯。保證網

絡故障和安全事件限制在局部區域之內。
?????? 企業內部管理信息大區縱向互聯采用電力企業數據網或互聯網，電力企業數據網為電力企業內網。
?
2.3 橫向隔離
?????? 2.3.1? 橫向隔離是電力二次安全防護體系的橫向防線。采用不同強度的安全設備隔離各安全區，在生產控制大區與管理信息大區之間

必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應接近或達到物理隔離。電力專用橫向單向安全隔離裝置作為

生產控制大區與管理信息大區之間的必備邊界防護措施，是橫向防護的關鍵設備。生產控制大區內部的安全區之間應當采用具有訪問控制功能

的網絡設備、防火墻或者相當功能的設施，實現邏輯隔離。
?????? 2.3.2? 按照數據通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產控制大區到管理信息大區

的非網絡方式的單向數據傳輸。反向安全隔離裝置用于從管理信息大區到生產控制大區單向數據傳輸，是管理信息大區到生產控制大區的唯一

數據傳輸途徑。反向安全隔離裝置集中接收管理信息大區發向生產控制大區的數據，進行簽名驗證、內容過濾、有效性檢查等處理后，轉發給

生產控制大區內部的接收程序。專用橫向單向隔離裝置應該滿足實時性、可靠性和傳輸流量等方面的要求。
?????? 2.3.2? 嚴格禁止E-Mail、WEB、Telnet、Rlogin、FTP 等安全風險高的通用網絡服務和以B/S 或C/S 方式的數據庫訪問穿越專用橫向

單向安全隔離裝置，僅允許純數據的單向安全傳輸。
?????? 控制區與非控制區之間應采用國產硬件防火墻、具有訪問控制功能的設備或相當功能的設施進行邏輯隔離。
?
2.4 縱向認證
?????? 2.4.1? 縱向加密認證是電力二次系統安全防護體系的縱向防線。采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及

縱向邊界的安全防護。對于重點防護的調度中心、發電廠、變電站在生產控制大區與廣域網的縱向連接處應當設置經過國家指定部門檢測認證

的電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現雙向身份認證、數據加密和訪問控制。暫時不具備條件的可以采用硬件防火

墻或網絡設備的訪問控制技術臨時代替。
?????? 2.4.2? 縱向加密認證裝置及加密認證網關用于生產控制大區的廣域網邊界防護。縱向加密認證裝置為廣域網通信提供認證與加密功能

，實現數據傳輸的機密性、完整性保護，同時具有類似防火墻的安全過濾功能。加密認證網關除具有加密認證裝置的全部功能外，還應實現對

電力系統數據通信應用層協議及報文的處理功能。
?????? 2.4.3? 對處于外部網絡邊界的其他通信網關，應進行操作系統的安全加固，對于新上的系統應支持加密認證的功能。
?????? 2.4.4? 重點防護的調度中心和重要廠站兩側均應配置縱向加密認證裝置；當調度中心側已配置縱向加密認證裝置時，與其相連的小型

廠站側可以不配備該裝置，此時至少實現安全過濾功能。
?????? 2.4.5? 傳統的基于專用通道的數據通信不涉及網絡安全問題，新建系統可逐步采用加密等技術保護關鍵廠站及關鍵業務。