1、电力二次系统安全防护培训引 言电力二次系统为什么要重视安全防护电力二次系统为什么要重视安全防护？银行系统的安全防护银行系统的安全防护优先级优先级风险风险说明说明/举例举例0旁路控制旁路控制（Bypassing Controls）入侵者对发电厂、变电站发送非法控制命令，导致电力系统事故，甚至系统瓦解。1完整性破坏完整性破坏（Integrity Violation）非授权修改电力控制系统配置或程序；非授权修改电力交易中的敏感数据。2违反授权违反授权（Authorization Violation）电力控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行为工作人员的随意行为（In2、discretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截拦截/篡改篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用非法使用（Illegitimate Use）非授权使用计算机或网络资源。6信息泄漏信息泄漏（Information Leakage）口令、证书等敏感信息泄密。7欺骗欺骗（Spoof）Web服务欺骗攻击；IP 欺骗攻击。8伪装伪装(Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务拒绝服务（Availability,e.g.DoS）向电力调度数3、据网络或通信网关发送大量雪崩数据，造成拒绝服务。10窃听窃听（Eavesdropping,e.g.Data Confidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。二二次次系系统统主主要要安安全全风风险险二次安防实施背景电网控制设备故障可能引发或扩大电网事故重大重大停电停电故障故障2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 20112000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011年年 信息信息安全安全事件事件4、2000年10月13日二滩电站收外网信号突甩出力89万千瓦2001年10月1日全国146套故障录波器出现时间逻辑炸弹2003年12月30日三峡送出工程三个换流站感染病毒2008年8月奥运期间涉奥电网受到外网攻击8939次2010年9月，“震网”病毒攻击伊朗核电站设施2003年8月14日美国和加拿大停电2006年11月4日欧洲电网解列停电2007年末08年初我国南方冰雪灾害电网受损2008年5月12日我国汶川地震电网受损2009年11月1日和2011年2月4日巴西电网停电2011年3月，日本9.0级大地震引发海啸导致福岛核电危机二滩水电厂异常停机事件；二滩水电厂异常停机事件；故障录波装置故障录波5、装置“时间逻辑炸弹时间逻辑炸弹”事件；事件；换流站控制系统感染病毒事件；换流站控制系统感染病毒事件；电力二次系统安全事件电力二次系统安全事件近年世界上大停电事故反近年世界上大停电事故反映出电力二次系统的脆弱映出电力二次系统的脆弱性和重要性。性和重要性。内容大纲l l电力调度数据网简介电力调度数据网简介l l电力二次系统安全防护基本原则电力二次系统安全防护基本原则l l安全防护技术和装置安全防护技术和装置l l二次安防相关文件学习二次安防相关文件学习l l电厂二次系统安全防护方案及业务接入方案电厂二次系统安全防护方案及业务接入方案第一部分电力调度数据网简介相关文件精神n发改委发改委20142016、4年年 第第1414号令号令n电力行业信息系统安全定级工作指导意见电力行业信息系统安全定级工作指导意见20072007n关于印发关于印发电力二次系统安全防护总体方案电力二次系统安全防护总体方案等安等安全防护方案的通知（电监安全全防护方案的通知（电监安全 20062006 3434号）号）总体方案：主要目标总体方案：主要目标电电电电力力力力信信信信息息息息系系系系统统统统电电电电力力力力调调调调度度度度系系系系统统统统出出口口出出口口调度中心调度中心调度中心调度中心电厂电厂电厂电厂变电站变电站变电站变电站控制系统控制系统控制系统控制系统外外部部因因特特网网 建立电力二次系统安全防护体系，有效抵御7、黑客、恶建立电力二次系统安全防护体系，有效抵御黑客、恶意代码等各种形式的攻击，尤其是集团式攻击，重点是保意代码等各种形式的攻击，尤其是集团式攻击，重点是保障电力二次系统安全稳定，防止由此引起电力系统事故。障电力二次系统安全稳定，防止由此引起电力系统事故。1)系统性原则（木桶原理）；系统性原则（木桶原理）；2)简单性原则；简单性原则；3)实时、连续、安全相统一的原则；实时、连续、安全相统一的原则；4)需求、风险、代价相平衡的原则；需求、风险、代价相平衡的原则；5)实用与先进相结合的原则；实用与先进相结合的原则；6)方便与安全相统一的原则；方便与安全相统一的原则；7)全面防护、突出重点（实时闭环控8、制部分）的原则全面防护、突出重点（实时闭环控制部分）的原则8)分层分区、强化边界的原则；分层分区、强化边界的原则；9)整体规划、分步实施的原则；整体规划、分步实施的原则；10)责任到人，分级管理，联合防护的原则。责任到人，分级管理，联合防护的原则。总体方案：总体原则总体方案：总体原则P PolicyolicyP ProtectionrotectionD DetectionetectionR Responseesponse防护防护防护防护检测检测检测检测反应反应反应反应策略策略策略策略P PolicyolicyP ProtectionrotectionD DetectionetectionR R9、esponseesponse防护防护防护防护检测检测检测检测反应反应反应反应策略策略策略策略防火墙、防病毒、横防火墙、防病毒、横行隔离装置、纵向加行隔离装置、纵向加密认证装置等密认证装置等入侵检测、安全审入侵检测、安全审计、安全综合告警计、安全综合告警等等快速响应、调度系统快速响应、调度系统联合防护、网络快速联合防护、网络快速处理等处理等总体方案：防护模型和技术路线总体方案：防护模型和技术路线综合采用通用安全技术，开发关键专用安全技术。综合采用通用安全技术，开发关键专用安全技术。电力二次系统安全防护体系4、纵向认证、纵向认证3、横向隔离、横向隔离电力企业数据网电力企业数据网控制区控制区非控制区10、非控制区管理区管理区信息区信息区电力调度数据网电力调度数据网生产控制大区管理信息大区防火墙2、网络专用、网络专用1、安全分区、安全分区1 12 23 34 4在对电力二次系统进行了全面系统的安全分在对电力二次系统进行了全面系统的安全分析基础上，提出了析基础上，提出了十六字十六字总体安全总体安全防护策略防护策略。总体方案：安全分区总体方案：安全分区SDHSDH（N2MN2M）SDHSDH（155M155M）SPTnetSPTnet实时实时实时实时控制控制控制控制在线在线在线在线生产生产生产生产调度生产调度生产调度生产调度生产管理管理管理管理电力综电力综电力综电力综合信息合信息合信息合信息实时实时11、实时实时VPNVPN非实时非实时非实时非实时VPNVPN调度调度调度调度VPNVPN信息信息信息信息VPNVPN语音视频语音视频语音视频语音视频VPNVPNIPIP语音语音语音语音视频视频视频视频SDH/PDHSDH/PDH传输网传输网传输网传输网电力调度数据网电力调度数据网电力调度数据网电力调度数据网电力企业数据网电力企业数据网电力企业数据网电力企业数据网总体方案：网络专用总体方案：网络专用总体方案：横向隔离物理隔离装置（正向型物理隔离装置（正向型/反向型）反向型）2023/8/3117电力专用网络安全隔离设备n正向型设备n反向型设备2023/8/31隔离设备作用正向型网络安全隔离设备正向型12、网络安全隔离设备采用软、硬结合的安全措施，在硬件上使用双嵌入式计算机结构，通过安全岛装置通信来实现物理上的隔离；在软件上，采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时，实现了对非法信息的隔离。将外网到内网传递的应用数据大小限定为1个bit，保证从低安全区到高安全区的TCP应答禁止携带应用数据。反向型网络安全隔离设备反向型网络安全隔离设备文件发送软件，实现E语言文件计划自动或手动地从外网到内网的传输，传输过程中，发送端程序对外网数据进行双字节转换及数字签名，设备比对签名进行验证，对验证通过的报文再进行双字节检查，这样检查通过的报文才可以进入内网，以13、保证内网系统的安全。2023/8/31物理隔离装置接口/型号型号型号性能分：性能分：普通型普通型 增强型增强型功能分：功能分：正向、反向正向、反向接口配置接口配置两个CONSOLE口（管理设备用）两个COM口（输出告警信息）四个10/100M 网卡（2内+2外）两个电源插座、两个电源开关2023/8/31安全岛原理示意图1.数据到达接口机A,这时接口机A与安全半岛间，安全半岛与接口机B间均处于断开状态。2.接口机A确认数据可以通过后，与安全半岛连通，将数据送上安全半岛。然后断开与安全半岛的连接。3.接口机A通知接口机B，安全半岛上有待收数据。4.接口机B与安全半岛连通，取走数据，然后断开与安全14、半岛的连接5.接口机B根据收到的数据，组织报文，将数据发出。6.反方向只有单个比特位。接口机接口机A A安全半岛安全半岛接口机接口机B B断开断开断开断开接口机接口机A A安全半岛安全半岛接口机接口机B B断开断开接口机接口机A A安全半岛安全半岛接口机接口机B B断开断开接口机接口机A A安全半岛安全半岛接口机接口机B B断开断开断开断开2023/8/31物理隔离装置正向型（高安全区到低安全区）正向型（高安全区到低安全区）通过配置，可以建立非穿透的TCP连接反向仅能传输1bit的确认数据反向型（低安全区到高安全区）反向型（低安全区到高安全区）仅能传输E文本，不能建立数据连接客户端程序需加装数15、字证书，对数据进行加密认证纵向加密认证装置纵向加密认证装置调度数据网调度数据网调度数据网调度数据网VPNVPNSCADASCADA服务器服务器服务器服务器网关机网关机网关机网关机网关机网关机网关机网关机当地监控服务器当地监控服务器当地监控服务器当地监控服务器自动化系统自动化系统自动化系统自动化系统自动化系统自动化系统自动化系统自动化系统纵向加密认证装置纵向加密认证装置总体方案：纵向认证总体方案：纵向认证在访问控制（防火墙功能）基础在访问控制（防火墙功能）基础上，同时具备加密和认证的功能上，同时具备加密和认证的功能数据网安全纵向加密装置拓扑防护纵向加密装置的算法对称加密算法：对称加密算法：用于数16、据加密，采用国密办指定的专用分组加密算法，分组长度128位，密钥长度128位。非对称加密算法：非对称加密算法：用于数字签名和数字信封，采用RSA1024散列算法：散列算法：用于数据完整性验证，采用国密办指定的算法或MD5随机数生成算法：随机数生成算法：采用WNG-4噪音发生器芯片协商原理公开密钥密码体制（公开密钥密码体制（RSA）公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(大素数分解)在公开密钥密码体制中，加密密钥（即公钥）是公开信息，而解密密钥（即私钥）是需要保密的。加密算法和解密算法也都是公开的。虽然私钥是由公钥决定17、的，但却不能根据公钥计算出私钥。协商原理协商原理协商原理协商状态四种：Init：初始状态，未发送协商请求。Request：协商请求状态。Respone：协商应答状态。Opened：隧道建立成功状态。MaryRick明文密文明文加密操作解密操作公钥私钥数据传输过程协商完成后，建立隧道，主机A访问主机B全过程主机A向主机B发送报文 192.168.1.1-192.168.2.1(TCP协议)纵向装置A在0口接收到该报文，查找策略为加密策略且隧道OPEN，将整个IP报文加密并重新构造IP头，源IP为192.168.1.250，目的IP192.168.2.250，协议为ESP。192.168.1.2518、0-192.168.2.250(ESP协议)纵向装置B在1口接收到该报文，查找对应隧道进行解密还原，策略判断。发送至eth0口。192.168.1.1-192.168.2.1(TCP协议)主机B接收到报文，产生应答。结论纵向加密认证装置更适用于实时通信纵向加密认证装置更适用于实时通信第三部分安全防护技术和装置问题：接收方如何知道发送方就是合法的？问题：接收方如何知道发送方就是合法的？关键技术关键技术电力调度电力调度数字证书数字证书 电电力力调调度度数数字字证证书书是是专专用用于于电电力力调调度度业业务务需需要要的的数数字字证证书书，主主要要用用于于生生产产控控制制大大区区，可可使使用用于于交交19、互互式式登登录录的的身身份份认认证证、网网络络身身份份认认证证、通通信信数数据据加加密密及认证（包括数据完整性和数据源认证）等。及认证（包括数据完整性和数据源认证）等。地地市市以以上上调调度度控控制制中中心心应应该该建建立立电电力力调调度度证证书书系系统。统。关键技术关键技术电力调度数字证书电力调度数字证书用户首先产生自己的用户首先产生自己的密钥对密钥对将自己的将自己的公钥公钥及部分及部分个人身份信息个人身份信息传送给认证传送给认证中心中心认证中心认证中心验证个人身份。验证个人身份。认证中心对用户的公钥和个人信息进行认证中心对用户的公钥和个人信息进行签名签名认证中心发给用户一个数字证书。认证中20、心发给用户一个数字证书。数字证书颁发过程数字证书颁发过程至此，用户就可以使用自己的数字证书进行至此，用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发相关的各种活动。数字证书由独立的证书发行机构发布。行机构发布。调度证书系统结构证书链短，认证效率高风险分散国调国调 根根国调国调省调省调网调网调其他其他网调网调网调网调省调省调省调省调省调省调省调省调地调地调地调地调2023/8/3136电力专用拨号加密认证装置2023/8/3137部署位置变电站自动化系统的拨号安全防护方案调度自动化系统的拨号安全防护方案2023/8/3138应用场景按照国家电力调度中心电力二次系统安全防护要21、求，电力信息系统分为生产控制大区及生产管理大区，电力系统专用拨号加密认证装置主要用于生产控制大区的远程拨号安全接入,参考下图：电力系统专用拨号加密认证装置将TCP/IP网络通讯技术、IPSEC安全隧道技术以及USB KEY加密认证技术完美地融合在一起，为生产控制大区的技术维护人员提供安全的远程接入，实现随时随地以拨号方式接入使用，并且无需网络或应用软件做任何改动，提高维护工作效率，同时保证信息安全。总体方案其他安全防护技术措施备份与恢复备份与恢复数据与系统备份数据与系统备份对关键应用的数据与应用系统进行备份，确保数据损坏、对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复22、数据与系统的可用性。系统崩溃情况下快速恢复数据与系统的可用性。设备备用设备备用对关键主机设备、网络的设备与部件进行相应的热备份对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。与冷备份，避免单点故障影响系统可靠性。异地容灾异地容灾对实时控制系统、电力市场交易系统，在具备条件的前对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。保证在规模灾难情况下，保持系统业务的连续性。备份系统在一定的备份策略的引导下，通过磁带库等设备23、在一定的备份策略的引导下，通过磁带库等设备对系统进行备份也十分必要。对系统进行备份也十分必要。备份系统由备份管理系统和备份设备构成。备份系统由备份管理系统和备份设备构成。备份策略备份策略 ：全备份：全备份 (Full Backup)(Full Backup)，增量备份，增量备份 (Incremental Backup)(Incremental Backup)（又分：差量备份及累计备（又分：差量备份及累计备份）份）防病毒措施防病毒措施病病毒毒防防护护是是调调度度系系统统与与网网络络必必须须的的安安全全措措施施。建建议议病病毒毒的的防防护护应应该该覆覆盖盖所所有有安安全全区区I、II、III的的主24、主机机与与工工作作站站。病病毒毒特特征征码码要要求求必必须须以以离离线线的的方方式式及及时更新。时更新。防火墙防火墙防火墙产品仅用于防火墙产品仅用于横向横向逻辑隔离防护，部署在安全区逻辑隔离防护，部署在安全区I与安全区与安全区II之间、安全区之间、安全区III与安全区与安全区IV之间，实现两个区域之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。的逻辑隔离、报文过滤、访问控制等功能。防火墙安全策略主要是基于业务流量的防火墙安全策略主要是基于业务流量的IP地址、协议、地址、协议、应用端口号、以及方向的报文过滤。应用端口号、以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的具体选用的25、防火墙必须经过有关部门认可的国产国产硬件硬件防火墙。防火墙。入侵检测入侵检测IDS对于安全区对于安全区I与与II，建议统一部署一套，建议统一部署一套IDS管理系统。管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系统考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其），其IDS探头主要部署在：探头主要部署在：安全区安全区I与与II的边界点、的边界点、SPDnet的接入点、以及安全区的接入点、以及安全区I与与II内的关键应用网段。其主要的功能用于捕获网络异常行为，内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。分析潜在风险，以及安全审计。对26、于安全区对于安全区III，禁止使用安全区，禁止使用安全区I与与II的的IDS，建议与，建议与安全区安全区IV的的IDS系统统一规划部署。系统统一规划部署。主机防护主机防护安全配置安全配置通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用严格管理系统及应用软件的安装与使用。软件的安装与使用。安全补丁安全补丁通过及时更新系统安全补丁，消除系统内核漏洞与后门。通过及时更新系统安全补丁，消除系统内核漏洞与后门。主机加固主机加27、固安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。计算机系统本地访问控制计算机系统本地访问控制技术措施技术措施结合用户数字证书，对用户登录本地操作系统，访问操作系统资结合用户数字证书，对用户登录本地操作系统，访问操作系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计。计算机系统本地访问控制需要的技术产操作行为进行安全审28、计。计算机系统本地访问控制需要的技术产品包括：品包括：用户证书介质，如用户证书介质，如IC卡、卡、USBKey；本地加密设备，如：加密卡、加密本地加密设备，如：加密卡、加密USBKey；访问控制安全插件，实现认证与访问控制功能；访问控制安全插件，实现认证与访问控制功能；应用目标应用目标对于调度端安全区对于调度端安全区I中的中的SCADA/EMS系统，安全区系统，安全区II中的电力市场交中的电力市场交易系统，厂站端的控制系统要求采用本地访问控制手段进行保护。易系统，厂站端的控制系统要求采用本地访问控制手段进行保护。关键应用系统服务器访问控制关键应用系统服务器访问控制技术措施技术措施调调度度系系统29、统内内部部关关键键应应用用，要要求求在在调调度度系系统统CA建建成成后后，充充分分利利用用这这一一PKI基基础础设设施施，在在身身份份认认证证、授授权权、访访问问控控制制、安全通信、行为审计方面进行安全增强。安全通信、行为审计方面进行安全增强。对对于于新新开开发发的的关关键键应应用用系系统统，要要求求本本身身实实现现了了基基于于调调度度CA证证书书的的身身份份认认证证、授授权权管管理理、访访问问控控制制、数数据据通通信信的的加加密与签名、以及行为审计功能。密与签名、以及行为审计功能。应用目标应用目标 安全区安全区I中的中的SCADA系统应用服务器系统应用服务器安全区安全区II中的电力市场交易系30、统应用服务器中的电力市场交易系统应用服务器应用系统改造应用系统改造改改造造原原有有应应用用（包包括括服服务务器器端端与与客客户户端端），调调用用调调度度CA提供的认证、签名、加密等提供的认证、签名、加密等API，添加必要的加密设备。，添加必要的加密设备。应用程序安全应用程序安全禁禁止止应应用用程程序序以以操操作作系系统统root权权限限运运行行，应应用用系系统统合合理理设设置置用用户户权权限限，重重要要资资源源的的访访问问与与操操作作要要求求进进行行身身份份认认证证与与审审计计，用用户户口口令令不不得得以以明明文方式出现在程序及配置文件中。文方式出现在程序及配置文件中。安全审计安全审计安安全全31、审审计计是是安安全全管管理理的的重重要要环环节节。目目前前的的安安全全审审计计工工作作大大多多是是手手工工方方式式。随随着着系系统统规规模模扩扩展展与与安安全全设设施施的的完完善善，应应该该引引入入集集中中智智能能的的安安全全审审计计系系统统，通通过过技技术术手手段段，对对网网络络运运行行日日志志、操操作作系系统统运运行行日日志志、数数据据库库访访问问日日志志、业业务务应应用用系系统统运运行行日日志志、安安全全设设施施运运行行日日志志等等进进行行统统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。其它措施其它措施三分技术、32、七分管理三分技术、七分管理电监会电监会电力企业电力企业电力调度机构电力调度机构发电厂发电厂二次安全防护技术与管理二次安全防护技术与管理总体方案：人员安全职责建立完善的安全分级负责制建立完善的安全分级负责制明确各级的人员的安全职责明确各级的人员的安全职责各调度机构、发电厂、变电站的主要负责人为该单各调度机构、发电厂、变电站的主要负责人为该单位所管辖的电力二次系统的安全防护第一责任人位所管辖的电力二次系统的安全防护第一责任人各各调调度度机机构构、发发电电厂厂、变变电电站站应应该该指指定定专专人人负负责责管管理本单位所属电力二次系统的公共安全设施理本单位所属电力二次系统的公共安全设施各各个个电电力力33、二二次次专专业业应应用用系系统统应应该该指指定定专专人人负负责责该该系系统的安全管理统的安全管理指指定定专专人人负负责责管管理理本本单单位位或或本本部部门门的的电电力力二二次次系系统统的数字证书管理系统的数字证书管理系统各各单单位位业业务务系系统统的的工工作作人人员员应应该该严严格格遵遵守守各各项项安安全全管理制度，保护好本人的调度数字证书等安全设施。管理制度，保护好本人的调度数字证书等安全设施。电电力力二二次次系系统统安安全全评评估估采采用用以以自自评评估估为为主主、检检查查评评估估为为辅辅的的方方式式，并并纳纳入入电电力力系系统统安安全全评评价价体体系系。电电力力企企业业的的关关键键部部门34、门应应该该建建立立自自主主的的评评估估队队伍伍，掌掌握握评评估估技技术术和和方方法法，配配备备必必要要的的工工具具，定定期期进进行行评评估估，可可聘聘请请电电力力部部门门的的有有关关单单位位联联合合进进行行评评估估。上上级级主主管管单单位位可可对对下下级级单单位位进进行行定定期期或或不不定定期的检查性安全评估。期的检查性安全评估。电电力力二二次次系系统统的的新新系系统统在在投投运运之之前前、老老系系统统进进行行安安全全整整改改之之后后或或进进行行重重大大改改造造或或升升级级之之后后必必须须进进行行安安全全评评估估；电电力二次系统应该定期（每年或每两年）进行安全评估。力二次系统应该定期（每年或每35、两年）进行安全评估。对对生生产产控控制制大大区区安安全全评评估估的的任任何何记记录录、数数据据、结结果果等等禁止以任何形式携带出被评估单位。禁止以任何形式携带出被评估单位。总体方案：安全评估管理总体方案：安全评估管理信息安全等级保护二次系统安全防护二次安防与等级保护关系二次安防与等级保护关系二次系统等级保护定级 根据电监会印发的电力行业信息系统等级保护定级工作指导意见（电监信息200744号），审批了生产控制系统的定级结果。定级对象系统级别总部区域（省）地市能量管理系统（具有能量管理系统（具有SCADA、AGC、AVC等控制功能）等控制功能）43变电站自动化系统变电站自动化系统(含开关站、换流36、含开关站、换流站、集控站站、集控站)220kV及以上变电站为及以上变电站为3级，以下为级，以下为2级；级；集控站为集控站为3级；级；火电机组控制系统火电机组控制系统DCS（含辅机控制（含辅机控制系统）系统）单机容量单机容量300MW以上为以上为3级，以下为级，以下为2级级水电厂监控系统水电厂监控系统总装机总装机1000MW以上为以上为3级，以下为级，以下为2级级电能量计量系统电能量计量系统32广域相量测量系统（广域相量测量系统（WAMS）3无无电网动态预警系统电网动态预警系统3无无调度交易计划系统调度交易计划系统3无无水调自动化系统水调自动化系统2调度管理系统（调度管理系统（OMS）22雷电监37、测系统雷电监测系统2电力调度数据网络（电力调度数据网络（SGDnet）32通信设备网管系统通信设备网管系统32通信资源管理系统通信资源管理系统32综合数据通信网络综合数据通信网络(SGTnet)2电力二次系统安全防护评估工作l型式评估型式评估l上线安全评估上线安全评估l自评估自评估l检查评估检查评估电力二次系统安全防护评估工作l3 3、4 4级系统，应委托评估机构定期开展级系统，应委托评估机构定期开展检查评估检查评估工作，周工作，周期最长不超过三年，每年都要进行期最长不超过三年，每年都要进行自评估自评估工作。工作。l2 2级系统应由运行单位定期组织开展级系统应由运行单位定期组织开展自评估自评估38、工作，周期最长工作，周期最长不超过两年，也可根据情况委托评估机构开展不超过两年，也可根据情况委托评估机构开展检查评估检查评估工作。工作。国家电网公司电电力力二二次次系系统统相相关关设设备备及及系系统统的的开开发发单单位位、供供应应商商应应以以合合同同条条款款或或保保密密协协议议的的方方式式保保证证所所提提供供的的设设备备及及系系统统符符合合电电力力二二次次系系统统安安全全防防护护规规定定和和本本方方案案的的要要求求，并并在在设设备备及系统的生命期内对此负责。及系统的生命期内对此负责。电电力力二二次次系系统统专专用用安安全全产产品品的的开开发发单单位位、使使用用单单位位及及供供应应商商，应应当当39、按按国国家家有有关关要要求求做做好好保保密密工工作作，禁禁止止关关键键技技术术和设备的扩散（用于其它行业以及出口到国外）。和设备的扩散（用于其它行业以及出口到国外）。电电力力企企业业各各运运行行单单位位的的电电力力二二次次系系统统的的安安全全防防护护实实施施方方案案必必须须经经过过上上级级信信息息安安全全主主管管部部门门和和相相应应电电力力调调度度机机构构的的审核、批准，完工后必须经过上述机构验收。审核、批准，完工后必须经过上述机构验收。总体方案：工程实施安全管理总体方案：工程实施安全管理总体方案：工程实施安全管理新新建建的的电电力力二二次次系系统统工工程程的的设设计计必必须须符符合合国国家家40、行行业业的的有关安全防护的标准、法规、法令、规定等有关安全防护的标准、法规、法令、规定等 ；电电力力二二次次系系统统各各相相关关设设备备及及系系统统的的供供应应商商必必须须承承诺诺：所所提提供供的的设设备备及及系系统统中中不不包包含含任任何何安安全全隐隐患患，并并承承担担由由此此引引起的连带责任，终生有效起的连带责任，终生有效 ；新新接接入入电电力力调调度度数数据据网网络络的的节节点点、设设备备和和应应用用系系统统，其其接接入入技技术术方方案案和和安安全全防防护护措措施施须须经经负负责责本本级级电电力力调调度度数数据据网网络络的的调调度度机机构构核核准准，并并送送上上一一级级电电力力调调度度41、机机构构备备案案。在在已已经经建建立立安安全全防防护护体体系系的的电电力力二二次次系系统统中中，接接入入任任何何新新的的设设备备和和应应用用及及服服务务，必必须须立立案案申申请请、审审查查批批准准后后，方方可可在在安安全全管管理人员的监管下实施接入。理人员的监管下实施接入。接接入入电电力力二二次次系系统统的的生生产产控控制制区区中中的的安安全全产产品品，必必须须具具有有公公安安部部安安全全产产品品销销售售许许可可，获获得得国国家家指指定定机机构构安安全全检检测测证证明明，用用于于厂厂站站的的设设备备还还需需有有电电力力系系统统电电磁磁兼兼容容检检测测证证明明。接接入入电电力力二二次次系系统统的42、的安安全全区区及及安安全全区区中中的的安安全全产产品品必必须须使使用用国国产产产产品品并并经经过过国国家家有有关关安安全全部部门门或或电电力力有有关关部部门的认证；门的认证；总体方案：设备接入管理总体方案：设备接入管理总体方案：应用及服务的接入管理电电力力二二次次专专业业系系统统的的安安全全区区及及安安全全区区中中的的PCPC机机及及其其它它微微机机原原则则上上应应该该将将软软盘盘驱驱动动、光光盘盘驱驱动动、USBUSB接口拆除，以防止病毒的传播；接口拆除，以防止病毒的传播；电电力力二二次次专专业业系系统统的的安安全全区区及及安安全全区区中中的的工工作作站站、服服务务器器原原则则上上不不得得开43、开通通拨拨号号功功能能 ；若若确确需需开开通通拨拨号号服服务务，必必须须配配置置强强认认证证机机制制，否否则则该该应应用用必须与安全区必须与安全区及安全区及安全区彻底隔离彻底隔离 ；在在所所有有电电力力二二次次专专业业系系统统的的安安全全区区及及安安全全区区中中的的任任何何工工作作站站、服服务务器器均均严严格格禁禁止止以以各各种种方方式式开开通通与与互互联联网网、其其它它安安全全区区及及任任何何外外部部网网络络的的连连接接 ；日日常常运运行行的的安安全全管管理理制制度度包包括括：门门禁禁管管理理、人人员员管管理理、权权限限管管理理、访访问问控控制制管管理理、安安全全防防护护系系统统的的维维护护44、管管理理、常常规规设设备备及及各各系系统统的的维维护护管管理理、恶恶意意代代码码（病病毒毒及及木木马马等等）的的防防护护管管理理、审审计计管管理理、数数据据及及系系统统的的备备份份管管理理、用用户户口口令令密密钥钥及数字证书的管理、培训管理等管理制度。及数字证书的管理、培训管理等管理制度。审审计计管管理理制制度度应应该该规规定定对对安安全全设设备备和和网网络络装装置置及及关关键键系系统统的的日日志志妥妥善善保保存存，由由具具有有特特许许授授权权的的安安全全管管理理人人员员对对日日志志进进行行分分析析检检查查，及及时时发发现现各各种种违违规规行行动动以以及及病病毒毒和和黑黑客客的的攻攻击击行行为45、为，并并依依据据分分析析结结果果及及时时修修改改设设备备的的安安全全策策略略或或采采取取其其它相应的措施。它相应的措施。应应该该定定期期对对各各级级人人员员进进行行电电力力二二次次系系统统安安全全防防护护知知识识的的培训，以保证各项安全措施的认真执行。培训，以保证各项安全措施的认真执行。总体方案：安全管理制度总体方案：安全管理制度建立完善的安全管理制度 以加强运行管理人员管理人员管理 权限管理权限管理 访问控制管理访问控制管理 设备及子系统的维护管理设备及子系统的维护管理 恶意代码（病毒及木马等）的防护恶意代码（病毒及木马等）的防护 审计管理审计管理 数据及系统的备份管理数据及系统的备份管理 46、用户口令及数字证书的管理用户口令及数字证书的管理 应急处理应急处理 联合防护联合防护建建立立健健全全电电力力二二次次系系统统安安全全的的联联合合防防护护和和应应急急机机制制，电电力力调调度度机机构构负负责责统统一一指指挥挥调调度度范范围围内内的的电电力力二二次次系系统统安安全全应应急急处处理理。各各电电力力企企业业的的电电力力二二次次系系统统必必须须制制定定应应急急处处理理预预案并经过预演或模拟验证。案并经过预演或模拟验证。当当电电力力生生产产控控制制大大区区出出现现安安全全事事故故，尤尤其其是是遭遭到到黑黑客客、恶恶意意代代码码攻攻击击和和其其他他人人为为破破坏坏时时，应应当当立立即即向向其47、其上上级级电电力力调调度度机机构构和和信信息息安安全全主主管管部部门门报报告告，必必须须按按应应急急处处理理预预案案立立即即采采取取相相应应的的安安全全应应急急措措施施。并并通通报报有有网网络络连连接接的的相相邻邻单单位位（有有关关的的调调度度中中心心及及发发电电厂厂和和变变电电站站），联联合合采采取取紧紧急急防防护护措措施施，以以防防止止事事件件扩扩大大。同同时时注注意意保保护护事事故故现现场场，以以便便进进行行调调查查取取证证和和事事故故分分析析。当当系系统统遭遭到到破破坏坏时时，应应当当按按照照预预先先制制定的应急方案尽快实施恢复。定的应急方案尽快实施恢复。总体方案：联合防护和应急处理总48、体方案：联合防护和应急处理电厂二次安全防护发电厂具有实时控制功能的监控系统，在没有进行有效安发电厂具有实时控制功能的监控系统，在没有进行有效安全防护的情况下与当地的全防护的情况下与当地的MISMIS系统互连，甚至与互联网直系统互连，甚至与互联网直接互连。接互连。监控系统和数据网络缺乏必要的安全防护措施。监控系统和数据网络缺乏必要的安全防护措施。对设备制造商缺乏有效的安全管理对设备制造商缺乏有效的安全管理方法（方法（PLCPLC事件）。事件）。电力二次系统的管理及运行人员缺乏必要的安全防范意识。电力二次系统的管理及运行人员缺乏必要的安全防范意识。发电厂安全隐患发电厂安全隐患防止发电厂监控系统服务49、的核心业务（即电力生产）中断。防止发电厂监控系统本身崩溃。防止发电厂二次系统核心崩溃或人为破坏引起的一次系统误动作，确保一次系统的正常、连续运行；防止发电厂二次系统的崩溃，并由此导致发电厂事故或大面积停电事故，确保系统本身的正常运行；抵御外部对发电厂监控系统发起的恶意破坏和攻击（包括传播病毒/木马等恶意代码），导致对电力生产及相连的调度自动化系统的恶意破坏。保护发电厂监控系统实时和历史数据，主要防止数据被非授权修改。发电厂防护目标发电厂防护目标 1.内部安全风险 发电厂监控系统的操作系统易受各种潜在病毒爆发而瘫痪。发电厂监控系统的计算机输入、输出读写设备的使用导致感染病毒。不适当的应用TCP/50、IP或UDP/IP等网络协议而引发的安全风险。应用软件设计的不成熟性，存在漏洞和缺陷，在某种条件下诱发致使计算机系统崩溃。发电厂监控系统缺乏有效的访问控制、监视和记录手段。风险分析风险分析2.边界安全风险网络边界的风险：在通信网关和SPDnet的网络边界，存在来自远程非法入侵的威胁；在发电厂监控系统网络和其他系统的连接的边界，存在非授权入侵和病毒传播的威胁；非法访问和破坏：在访问连接建立期间，存在非授权者非法登录，对发电厂监控系统进行攻击的威胁。风险分析风险分析重点防护抵御外部人员通过网络对发电厂二次系统发起的电子攻击和破坏；防止非授权人员对监控系统的非法操作和破坏，确保操作的安全合法性；防止计算机病毒感染和侵袭发电厂二次系统；防止非授权人员对监控系统的系统参数配置、数据库结构、数据库文件和数据的修改和破坏。水电厂二次系统参考逻辑结构水电厂二次系统参考逻辑结构A水电厂安全防护示意图水电厂安全防护示意图A结结 束束