国内南方电网电力二次系统安全防护技术规范标准设计(修订彼).doc

''1中中国国南南方方电电网网电电力力二二次次系系统统安安全全防防护护技技术术规规范范2010-XX-XX 发布 2010-XX-XX 实施中中国国南南方方电电网网电电力力 调调度度控控制制中中心心 发 布''2目目 录录前前 言言.51范围范围.12规范性引用文件规范性引用文件.13术语和定义术语和定义.13.1 电力二次系统.1 3.2 电力监控系统.1 3.3 电力调度运行管理系统.2 3.4 电力调度数据网络.2 3.5 公用数据网络.2 3.6 电力二次系统网络信息安全防护设备.2 3.7 控制区.2 3.8 非控制区.24总则总则.25安全防护目标安全防护目标.36安全防护设计原则安全防护设计原则.37安全防护总体策略安全防护总体策略.47.1 安全分区.4 7.2 网络专用.4 7.3 横向隔离.4 7.4 纵向认证.58安全防护总体结构安全防护总体结构.58.1 总体结构模型.5 8.2 安全分区规则.6 8.2.1 生产控制大区的划分 .6 8.2.2 管理信息大区的划分 .7 8.3 安全区互联结构.89安全防护技术措施安全防护技术措施.89.1 安全区间横向网络边界安全防护.8 9.2 安全区纵向网络边界安全防护.9 9.3 调度数据网安全防护.10 9.4 公用数据网络安全防护.11 9.5 安全区内部安全防护.11 9.5.1 生产控制大区内部防护措施 .11 9.5.2 生产管理区内部防护措施.12 9.6 电力数字证书技术及应用.12 9.7 入侵检测措施.13 9.8 安全 WEB 服务.13''39.9 防病毒措施.14 9.10 综合审计平台.14 9.11 远程拨号安全防护.14 9.12 应用系统安全.15 9.13 操作系统安全.15 9.14 支撑系统系统安全.16 9.15 设备备用.16 9.16 数据备份与恢复.16 9.17 容灾.1710省级及以上调度控制中心二次系统安全防护结构规范省级及以上调度控制中心二次系统安全防护结构规范.1710.1 省级及以上调度控制中心二次系统安全防护总体逻辑结构.17 10.2 省级及以上调度控制中心二次系统安全区横向互联实施细节.19 10.3 省级及以上调度控制中心生产控制大区纵向互联实施细节.2011地、县级调度控制中心二次系统安全防护结构规范地、县级调度控制中心二次系统安全防护结构规范.2311.1 地、县级调度控制中心二次系统安全防护总体逻辑结构.23 11.2 地、县级调度控制中心二次系统安全区横向及纵向互联实施细节.2412变电站二次系统安全防护结构规范变电站二次系统安全防护结构规范.2712.1 500KV 及以上变电站二次系统安全防护结构规范.27 12.1.1 500kV 及以上变电站二次系统安全防护总体逻辑结构.27 12.1.2 500kV 及以上变电站二次系统互联方案 1 实施细节.29 12.1.3 500kV 及以上变电站二次系统互联方案 2 实施细节.31 12.2 220KV 变电站二次系统安全防护结构规范.34 12.2.1 220kV 变电站二次系统安全防护总体逻辑结构.34 12.2.2 220kV 变电站二次系统互联方案 1 实施细节.36 12.2.3 220kV 变电站二次系统互联方案 2 实施细节.38 12.3 110KV 变电站二次系统安全防护结构规范.41 12.3.1 110kV 变电站二次系统安全防护总体逻辑结构.41 12.3.2 110kV 变电站二次系统安全区横向及纵向互联实施细节.4313发电厂二次系统安全防护结构规范发电厂二次系统安全防护结构规范.4513.1 火电厂二次系统安全防护结构规范.45 13.1.1 火电厂二次系统安全防护总体逻辑结构 .45 13.1.2 火电厂二次系统安全区横向及纵向互联方案 1 实施细节 .46 13.1.3 火电厂二次系统安全区横向及纵向互联方案 2 实施细节 .49 13.2 水电厂二次系统安全防护结构规范.52 13.2.1 水电厂二次系统安全防护总体逻辑结构 .52 13.2.2 水电厂二次系统安全区横向及纵向互联方案 1 实施细节 .54 13.2.3 水电厂二次系统安全区横向及纵向互联方案 2 实施细节 .5714公网业务终端二次系统安全防护结构规范公网业务终端二次系统安全防护结构规范.5915附则附则.61''4前 言为提高南方电网电力二次系统安全防护水平，保障电力系统安全稳定运行，根据国家电力监管委员会20045 号令发布的电力二次系统安全防护规定和200634 号文印发的电力二次系统安全防护总体方案 （以下称方案 ） ，结合南方电网的实际情况，制定本规范。本规范从实施之日起，代替南方电网电力二次系统安全防护技术实施规范 （调自200819 号） 。本规范由中国南方电网电力调度控制中心提出、归口并负责解释。本规范主要起草单位：中国南方电网电力调度控制中心。本规范参与起草单位：广东电网电力调度控制中心、广西电网电力调度控制中心、云南电力调度控制中心、贵州电网公司电力调度控制中心、海南电网电力调度控制中心、广东电网公司电力科学研究院。本规范主要起草人： 本规范首次发布时间：2010 年 9 月 1 日''1中国南方电网电力二次系统安全防护技术规范1 1范围本规范规定了南方电网电力二次系统安全防护基本技术要求和基本原则。本规范适用于南方电网，与南方电网电力二次系统有关的电网调度机构和厂站运行维护单位（包括发电、输电、变电、供电、用电等单位以及在南方电网区域外接入并接受南方电网相应调度机构调度的发电厂、变电站） ，以及在南方电网从事电力二次系统安全防护科研、设计、施工、制造的相关单位，均应遵守本规定。2 2规范性引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规定。凡未注明日期的引用文件，其最新版本适用于本规定。国家电力监管委员会 5 号令 电力二次系统安全防护规定电监安全200634 号 电力二次系统安全防护总体方案办安全20119 号 电力负荷管理系统安全防护补充技术规定办安全201111 号 中长期电力交易系统安全防护暂行技术规定Q/CSG 2 1003-2008 中国南方电网电力调度管理规程Q/CSG MS0809-2005 中国南方电网调度自动化管理规定3 3术语和定义3.1 电力二次系统包含电力监控系统、电力调度运行管理系统（OMS） 、电力通信及调度数据网络等。3.2 电力监控系统指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的''2业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷管理系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统、继电保护管理信息系统、在线稳控决策系统、综合防御系统、电力设备在线监测系统、雷电定位监测系统、变电站视频及环境监控系统、线路覆冰在线监测系统、变压器中性点直流在线监测系统等。3.3 电力调度运行管理系统指电力调度业务使用的管理信息系统。3.4 电力调度数据网络指各级电力调度专用广域数据网络、电力生产专用拨号网络等。3.5 公用数据网络指网络运营商提供的公共数据网络，如 GPRS、CDMA、TD-SCDMA、WCDMA、CDMA2000、230MHz、卫星通信等。3.6 电力二次系统网络信息安全防护设备指实现电力二次系统网络及信息安全防护功能的系统或设备。如电力专业横向单向安全隔离装置、电力专用纵向加密认证装置、电力专用拨号服务器、软硬件防火墙、IDS/IPS、恶意代码防护系统、部署在安全分区边界并设置了访问控制策略的交换机和路由器、电力调度数字证书系统、安全审计、网管、综合告警系统、公网专用安全通信网关、公网专用安全通信装置等。3.7 控制区指由具有实时监控功能、纵向联接使用电力调度数据网的实时 VPN 或专用通道的各业务系统构成的安全区域。3.8 非控制区指在生产控制区范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时 VPN 的各业务系统构成的安全区域。3,9 运行维护单位指发电、输电、变电、供电、用电等单位以及在南方电网区域外接入并接''3受南方电网相应调度机构调度的发电厂、变电站。4 4总则电力二次系统安全防护主要针对网络系统和基于网络的生产控制系统。安全防护的总体目标是保护电力监控系统及调度数据网络的安全，抵御黑客、病毒、恶意代码等的破坏和攻击，防止电力二次系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证” 。安全防护的核心能力是“保护、检测、响应、恢复” 。电力二次系统安全防护是一项系统工程，其总体安全防护水平取决于系统中最薄弱点的安全水平。各有关单位安全防护工作应当执行电力二次系统安全防护规定，遵守安全防护基本原则，维护全网统一的安全防护结构和一致的安全策略。本规范依据国家电力监管委员会第 5 号令电力二次系统安全防护规定和电监安全【2006】34 号文电力二次系统安全防护总体方案 ，结合南方电网的实际情况，按系统化、规范化、工程化要求、细化了电力二次系统安全防护的技术要求。5 5安全防护目标南方电网电力二次系统安全防护的总体目标是：建立健全南方电网电力二次系统安全防护体系，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复主要功能，防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故，保障南方电网安全稳定运行。南方电网电力二次系统安全防护工作的具体目标是：（1）防范病毒、木马等恶意代码的侵害；（2）保护电力二次系统的可用性和连续性；（3）保护重要信息在存储和传输过程中的机密性、完整性；（4）实现关键业务接入电力二次系统网络的身份认证，防止非法接入和非''4授权访问；（5）实现电力监控系统和调度数据网安全事件可发现、可跟踪、可审计；（6）实现电力监控系统和调度数据网络的安全管理。6 6安全防护设计原则南方电网各级调度控制中心、配电中心（含负荷控制中心） 、变电站、各级调度控制中心直调电厂、电力通信机构在进行本单位电力二次系统安全防护方案设计时应遵守以下原则：（1）系统性原则（木桶原理） ；（2）简单性和可靠性原则；（3）实时性、连续性与安全性相统一的原则；（4）需求、风险、代价相平衡的原则；（5）实用性与先进性相结合的原则；（6）全面防护、突出重点的原则；（7）分层分区、强化边界的原则；（8）整体规划、分步实施的原则；（9）不断完善的原则；（10）下级服从上级，局部服从整体的原则；（11）技术与管理相结合的原则。7 7安全防护总体策略南方电网电力二次系统安全防护总体策略是南方电网各级调度控制中心、配电中心（含负荷控制中心） 、变电站、各级调度控制中心直调电厂、电力通信机构开展电力二次系统安全防护工作必须遵守的原则。南方电网二次系统安全防护总体策略如下：7.1 安全分区根据电力二次系统业务的重要性及其对电力一次系统的影响程度进行分区，南方电网电力二次系统分为生产控制大区和管理信息大区，其中生产控制大区分为控制区（又称安全区 I）和非控制区（又称安全区） ，生产控制大区是电力二次系统重点防护对象。''57.2 网络专用南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用 MPLS-VPN 技术或类似技术划分两个相互逻辑隔离的业务子网，即实时VPN 和非实时 VPN。实时 VPN 用于控制区业务系统的远程数据通信，非实时VPN 用于非控制区业务系统的远程数据通信。7.3 横向隔离南方电网各级运行维护单位的生产控制大区与管理信息大区之间应设置电力专用横向安全隔离装置实现物理隔离。生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔离。7.4 纵向认证南方电网各级运行维护单位在控制区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或加密认证装置，非控制区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或防火墙，为上下级调度机构或主站与子站端的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。8 8安全防护总体结构8.1 总体结构模型电力二次系统安全防护总体结构模型如图 1 所示：''6图图 1 电力二次系统安全防护总体结构模型电力二次系统安全防护总体结构模型该模型在技术上系统性地考虑了上下级各种数据业务的需求、网络的纵向互联、横向互联和数据通信的安全性问题，通过划分安全区、专用网络、专用隔离和加密认证等技术从多个层次构筑多道抵御网络黑客和恶意代码攻击的防线，对电力实时监控系统等关键业务实施重点保护，是构筑南方电网电力二次系统安全防护体系的基础。生产控制大区的某些业务系统采用公用数据网络进行数据通信方式情况下，要求在主站端生产控制大区的通信出口采用物理隔离措施，主站端和业务终端之间的数据通信采用加密认证措施。8.2 安全分区规则南方电网各有关单位包括各级调度控制中心、配电中心（含负荷控制中心） 、变电站、各级调度控制中心直调电厂内部基于网络的二次系统，原则上划分为生产控制大区和管理信息大区。8.2.1 生产控制大区的划分根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、''7各业务系统之间的相互关系、调度数据网通信方式以及对电力系统的影响程度等属性，生产控制大区原则上划分为控制区（安全区 I）和非控制区（安全区） 。8.2.1.1 控制区（安全区 I）控制区是电力二次系统各安全区中安全等级最高的分区，是必不可少的分区。该区中的业务系统与电力调度生产直接相关，有对一次系统的在线监视和闭环控制功能，且具有连续性、实时性（毫秒级或秒级）的特点以及高安全性、高可靠性和高可用性的要求。该区使用调度数据网络的实时 VPN 子网或专用通道与异地有关的控制区互联。控制区的典型系统包括调度自动化系统（SCADA/EMS） 、广域相量测量系统（WAMS） 、自动电压控制系统（AVC） 、安稳控制系统、在线预决策系统、具有保护定值下发、远方投退功能的保信系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，还包括使用专用通道的控制系统，如：安全自动控制系统、低频/低压自动减负荷系统、负荷管理系统等。控制区业务系统的主要使用者为调度员、继电保护运行管理人员和运行操作人员。8.2.1.2 非控制区（安全区）非控制区是电力二次系统各安全区中安全等级仅次于控制区的分区。该区的业务系统功能与电力生产直接相关，但不直接参与控制；系统在线运行，与安全区的有关业务系统联系密切。非控制区的数据采集频度是分钟或小时级，该区使用调度数据网络的非实时 VPN 子网或专用通道与异地有关的非控制区互联。非控制区的典型系统包括调度员培训模拟系统、不带控制功能的继电保护和故障录波信息管理系统、水调自动化系统、电能量计量系统、电力市场运营系统、厂站端电能量采集装置、故障录波器和发电厂的报价终端等。非控制区业务系统的主要使用者分别为调度员、水电调度员、继电保护人员及电力市场交易员等。8.2.2 管理信息大区的划分根据业务系统或其功能模块的使用者、主要功能、设备使用场所、各业务''8系统之间的相互关系以及对电力系统的影响程度等属性，管理信息大区原则上划分为生产管理区（安全区）和管理信息区（安全区） 。8.2.2.1 生产管理区（安全区）生产管理区是电力二次系统各安全区中安全等级次于非控制区的分区。该区中的业务系统与电力调度生产管理工作直接相关。该安全区使用企业综合业务数据网与异地有关的生产管理区互联。生产管理区的典型系统包括电力调度运行管理系统（OMS） 、调度信息披露系统、雷电监测系统、生产控制大区系统（如 SCADA/EMS、WAMS、电能量计量等）在管理信息大区的发布系统、调度生产管理用户终端等。生产管理区业务系统的主要使用者为调度员和各专业运行管理人员。8.2.2.2 管理信息区（安全区）管理信息区的业务系统主要用于生产管理和办公自动化。该安全区网络是本地办公环境下的局域网，与个人桌面计算机直接相关。该安全区使用企业综合业务数据网与异地的管理信息区互联，并与 Internet 有互联关系。管理信息区的典型业务系统包括管理信息系统（MIS） 、办公自动化系统（OA） 、电网生产信息查询系统、统计报表系统、气象信息、客户服务系统、对外信息发布、Internet 业务等。管理信息区业务系统的使用者为上下级管理部门和本单位内部工作人员。8.3 安全区互联结构电力二次系统安全区域之间互联总体结构包括链式结构、三角结构和星形三种结构，其结构如图 2 所示：''9图图 2 电力二次系统安全区互联总体结构电力二次系统安全区互联总体结构本规范采用链式结构及三角结构，其中链式结构的控制区具有较高的累积安全防护强度，但总体层次较多，三角结构具有较高的通信效率，但需要较多的安全隔离设施。各单位可根据实际的系统现状和安全防护需求选择合适的互联结构。9 9安全防护技术措施9.1 安全区间横向网络边界安全防护安全区间横向网络边界隔离是电力二次系统安全防护的关键技术措施之一。通过采用不同强度的安全防护设备对安全区之间实施横向隔离保护，特别是对生产控制大区和管理信息大区之间的网络边界应实施物理隔离，其数据通讯采用严格的数据单向传输控制，以有效抵御病毒、黑客等对生产控制大区业务系统及其网络的各种攻击和滲透。控制区与非控制区之间应采用硬件防火墙、具有 ACL 访问控制功能的交换机或路由器等设施进行逻辑隔离。逻辑隔离设施应具备状态检测、数据过滤和地址转换等基本功能，可以对传输的地址、协议、端口和数据流的方向进行控制。控制区与非控制区之间的访问控制策略原则上只允许控制区系统主动与非控制区系统建立连接，不允许从非控制区反向访问控制区系统。确有必要进行''10反向访问时，仅允许系统间的业务数据传输，且必须对访问的地址、协议和端口实施严格的访问控制，禁止任何远程登录类的反向访问。生产控制大区与管理信息大区的网络边界处应设置电力专用安全隔离装置进行单向物理隔离。电力专用安全隔离装置通过“安全岛”数据摆渡和割断穿透性 TCP 连接等技术，实现数据的单向传输和网络边界的物理隔离。该装置分为正向型和反向型，其中正向型安全隔离装置用于生产控制大区到管理信息大区的单向数据传输。反向型安全隔离装置用于从管理信息大区到生产控制大区单向纯文本数据传输。反向安全隔离装置接收管理信息大区发向生产控制大区的数据，进行签名验证、编码转换、数据报文检查等处理后，转发给生产控制大区内的相关业务系统。生产管理区与管理信息区之间应采用硬件防火墙、具有 ACL 访问控制功能的交换机或路由器等设施进行逻辑隔离。逻辑隔离设施应具备状态检测、数据过滤和地址转换等基本功能，可以对传输的地址、协议、端口和数据流的方向进行控制。生产管理区与管理信息区之间的访问控制策略原则上只允许生产管理区系统主动与管理信息区系统建立连接，不允许从管理信息区反向访问生产管理区系统。确有必要进行反向访问时，必须对访问的地址、协议和端口实施严格的访问控制。9.2 安全区纵向网络边界安全防护在生产控制大区与调度数据网的网络边界部署电力专用纵向加密认证网关（对于非控制区，目前可用国产硬件防火墙替代） ，是电力二次系统安全防护的一项关键技术措施。纵向加密认证网关采用电力专用密码与认证技术，为各级运行维护单位控制区的纵向数据通信提供认证与加密服务，实现数据传输的机密性、完整性保护。纵向加密认证网关还提供协议报文的过滤和处理功能，可实现端到端的选择性保护。在生产控制大区与公用数据网络的网络边界部署公网专用安全通信网关或公网专用安全通信装置，是电力二次系统安全防护的另一关键技术措施。公网专用安全通信网关和公网专用安全通信装置采用专用密码与认证技术，为运行维护单位控制区和业务终端的纵向数据通信提供网络隔离、认证与加密''11服务，实现数据传输的机密性、完整性保护。在生产控制大区纵向网络边界上，应避免使用默认路由，仅开放特定通信端口，禁止开通 ftp、telnet、rlogin、rsh、rcp、http、pop3 等高风险网络服务。9.3 调度数据网安全防护电力调度数据网是生产控制大区专用的广域数据网络，承载电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。电力调度数据网应在专用通道上，采用独立网络设备组网，在物理层面上实现与综合业务网和公共信息网的安全隔离。各级运行维护单位应当避免通过调度数据网形成不同安全区的纵向交叉连接。网、省、地三级电力调度数据网严格禁止与企业综合业务数据网、公用数据网络和公用通信网络直接互联。各级调度数据网之间的互联应遵循中国南方电网调度数据网互联管理办法 ，调度数据网不允许远程拨号维护。调度数据网的安全防护应采取下列技术和安全措施：（1）虚拟专网技术电力调度数据网应采用 MPLS VPN 技术或类似技术将电力调度数据网分割为逻辑上相对独立的实时 VPN 和非实时 VPN，分别对应控制业务和非控制生产业务，并部署 Qos 策略或其他技术手段，保证实时 VPN 中关键业务的带宽和服务质量（2）路由和交换设备的安全配置核心路由和交换设备的安全配置包括对核心路由器的访问采用基于高强度口令密码的分级登陆验证功能、对路由器和交换设备的网络服务和端口进行严格限定、避免使用默认路由、关闭调度数据网网络边界的 OSPF 路由功能、关闭路由器的源路由功能、采用增强的 SNMPv2 及以上版本的网管协议、设置受信的网络地址范围、开启访问控制列表、记录设备日志、封闭空闲的网络端口等。（3）核心和关键节点网络节点的可靠性配置对调度数据网络中的核心和关键节点网络设备，必须采用双机冗余备份机制，保证调度网络系统的高可靠性。（4）调度数据网的安全监控''12在调度数据网互联边界和关键节点可通过流量监控、入侵检测等技术手段实现“监控流量、预防攻击、隔离危险” ， 实时发现网络安全威胁，及时处理修复，杜绝调度数据网因外界攻击而大面积瘫痪。9.4 公用数据网络安全防护生产控制大区的某些业务系统采用公用数据网络进行数据通信方式的情况下，要求在主站端生产控制大区的通信出口采用物理隔离措施，实现生产控制大区业务系统与公用数据网络之间的物理隔离；主站端和业务终端之间的通信采用加密认证措施，实现数据通信的身份认证和数据加密。隔离措施的原则为业务系统设备以及认证加密设备（或功能模块）应位于物理隔离设备（或功能模块）的内网侧。在主站端部署公网专用安全通信网关，在业务终端部署公网专用安全通信装置。公网专用安全通信网关实现网络隔离、加密认证等功能；公网专用安全通信装置实现加密认证等功能。公网专用安全通信网关应能与相应业务终端的公网专用安全通信装置进行身份认证并建立加密数据通信通道，实现业务系统的数据通信。生产控制大区涉公用数据网络的业务系统（如：配电网自动化系统、电力负荷管理系统等） ，其使用公用数据网络的系统设备、业务终端按该业务系统所属安全分区的要求进行管理。公用数据网络传输通道应当启用基础电信运营商可提供的安全措施，包括：（l）优先选用 TD-SCDMA 等具有自主知识产权的技术和产品；（2）利用 APN+VPN 或 VPDN