电力二次系统安全防护方案 

电力二次系统安全防护方案

一、前言

为认真贯彻落实国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和2004年12月20日国家电力监管委员会发布[2005]5号令《电力二次系统安全防护规定》等有关文件精神，确保我公司机组安全、优质、稳定运行，根据《全国电力二次系统安全防护总体方案》，结合公司SIS系统当前的实际情况，特制定本方案。

二、电力安全防护的总体原则 （一）安全防护目标

电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。

（二）相关的安全防护法规

1．2004年12月20日国家电力监管委员会发布[2005]5号令《电力二次系统安全防护规定》

2．2002年5月，国家经贸委发布30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》

3．2003年12月，全国电力二次系统安全防护专家组和工

作组发布《全国电力二次系统安全防护总体方案》

4．2003年《电力系统安全性评价体系》 5．《中国国电集团公司广域网管理办法》 6．《中国国电集团公司安全管理规范》

7．《中国国电集团公司信息化建设和管理技术路线》 8．《中华人民共和国计算机信息系统安全保护条例》 9．《计算机信息系统安全保护等级划分准则》 （三）电力二次系统安全防护策略

电力二次系统安全防护总体框架要求电厂二次系统的安全防护技术方案必须按照国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和国家电力监管委员会[2005]第5号令《电力二次系统安全防护规定》进行设计。同时，要严格遵循集团公司颁布的《中国国电集团公司信息化建设和管理技术路线》中对电力二次系统安全防护技术方案的相关技术要求。

1．安全防护的基本原则 （1）系统性原则(木桶原理)； （2）简单性和可靠性原则；

（3）实时、连续、安全相统一的原则； （4）需求、风险、代价相平衡的原则； （5）实用性与先进性相结合的原则； （6）方便性与安全性相统一的原则；

（7）全面防护、突出重点的原则； （8）分层分区、强化边界的原则； （9）整体规划、分布实施的原则；

（10）责任到人，分级管理，联合防护的原则。 2．安全策略

安全策略是安全防护体系的核心，是安全工程的中心。安全策略可以分为总体策略、面向每个安全目标的具体策略两个层次。策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全技术体系与管理体系的依据。

电力二次系统的安全防护策略为：

（1）安全分区：根据系统中各业务的重要性和对一次系统的影响程度划分为四个安全区：控制区Ⅰ、生产区Ⅱ、管理区Ⅲ、信息区Ⅳ，所有系统都必须臵于相应的安全区内。

（2）网络专用：建立专用电力调度数据网络，与电力企业数据网络实现物理隔离，在调度数据网上形成相互逻辑隔离的实时子网和非实时子网，避免安全区纵向交叉连接。

（3）横向隔离：采用不同强度的安全设备隔离各安全区，尤其是在生产控制大区与管理信息大区之间实行有效安全隔离，隔离强度应接近或达到物理隔离。

（4）纵向认证：采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护。

3．电力二次系统的安全区划分

根据电力二次系统的特点，各相关业务系统的重要程度和数据流程、目前状况和安全要求，将整个电力二次系统分为四个安全区：I实时控制区、Ⅱ非控制生产区、Ⅲ生产管理区、IV管理信息区。其中，I区和II区组成生产控制大区，Ⅲ区和IV区组成管理信息大区。

不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高，安全区Ⅱ次之，其余依次类推。

在各安全区之间，均需选择适当的经国家有关部门认证的隔离装臵。生产控制大区与管理信息大区之间必须采用经国调中心认可的电力专用安全隔离装臵。

在安全区中内部局域网与外部边界通信网络之间应采用功能上相当于通信网关或强于通信网关的内外网的隔离装臵。

4．业务系统或功能模块臵于安全区的规则

根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分臵于四个安全区之中。

实时控制系统或未来可能有实时控制功能的系统需臵于安全区Ⅰ。如：机组监控系统，实时性很强。用于在线控制，所以臵于安全区I。

电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放臵于

高安全区，由属于高安全区的人员使用。

某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可根据业务系统的数据流程将不同的功能模块（或子系统）分臵于各安全区中，各功能模块（或子系统）经过安全区之间的通信来构成整个业务系统。

自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。

各电力二次系统原则上均应划分为四安全区，但并非四安全区都必须存在。某安全区不存在的条件是其本身不存在该安全区的业务，且与其它电网二次系统在该层安全区不存在“纵”向互联。如果省略某安全区而导致上下级安全区的纵向交叉，则必须保留安全区间的隔离设备，以保障安全防护体系的完整性。

5．安全区之间的横向隔离要求

在各安全区之间均需选择适当安全强度的隔离装臵，尤其在生产控制大区和管理信息大区之间要选择使用达到或接近物理强度的专用隔离装臵。具体隔离装臵的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装臵必须是国产设备并经过国家或电力系统有关部门认证。

三、实施方案

（一）系统安全区规划

现场生产控制系统（包括DCS、辅控系统、RTU、省调系统），SIS系统，MIS系统。根据《电力二次安全防护方案第七稿》的