电力二次系统安全防护方案_第7稿_

电力二次系统安全防护方案_第7稿_内容摘要：

计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调 自动化系统和水电梯级调度自动化系统、电能量计量计费系统、电力市场交易系统等； “调 度数据网络 ”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的拨号网 络、各计算机监控系统内部的本地局域网络等。 电力二次系统逻辑结构描述 电力二次系统逻辑结构如图 1所示。 1 国调、网省调 火电厂 梯调 水电厂 地调 区调、县调、 配调 水电厂 超高压输 电变电站 高压配电 变电站 需求侧 控制 集控站 中压配电 变电站 低压配电线 路及变电站 图 1 电力二次系统逻辑结构示意图 安全防护目标及重点 风险分析 电力监控系统及调度数据网作为电力系统的重要基础设施，不仅与电力生产、经营和服 务相关，而且与电网调度和控制系统的安全运行紧密关联，是电力系统安全的重要组成部分。 电力生产直接关系到国计民生，其安全问题一直是国家有关部门关注的重点之一。 随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。 特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的 数据交换也越来越频繁。 电力一次设备的改善使得其可控性能满足闭环的要求。 电厂、变电 站减人增效，大量采用远方控制，对 电力控制系统和数据网络的安全性、可靠性、实时性提 出了新的严峻挑战。 而另一方面， Inter 技术和因特网已得到广泛使用， Email、 Web 和 PC 的应用也日益普及，但同时病毒和黑客也日益猖獗。 目前有一些调度中心、发电厂、变 电站在规划、设计、建设控制系统和数据网络时，对网络安全问题重视不够，使得具有实时 远方控制功能的监控系统，在没有进行有效安全防护的情况下与当地的 MIS 系统等其他数 据网络互连，有严重的隐患。 除此之外，还存在黑客在调度数据网中采用 “搭接 ”的手段对 传输的电力控制信息进行 “窃 听 ”和 “篡改 ”，进而对电力一次设备进行非法破坏性操作的 威胁。 电力二次系统面临的主要安全风险见表 1。 因此电力监控系统和数据网络系统的安全 性和可靠性已成为一个非常紧迫的问题。 表 1 电力二次系统面临的主要风险 优先级 风险 2 说明 /举例优先级 风险 说明 /举例 0 旁路控制（ By p assi ng Controls） 入侵者对发电厂、变电站发送非法控制命令， 导致电力系统事故，甚至系统瓦解。 1 完整性破坏（ Integrity Violation） 非授权修改电力控制系统配置或程序；非授 权修改电力交易中的敏感数据。 2 违反授权（ Authorization Violation） 电力控制系统工作人员利用授权身份或设 备，执行非授权的操作。 3 工作人员的随意行为 （ Indiscretion） 电力控制系统工作人员无意识地泄漏口令等 敏感信息，或不谨慎地配置访问控制规则等。 4 拦截 /篡改（ Intercept/Alter） 拦截或篡改调度数据广域网传输中的控制命 令、参数设置、交易报价等敏感数据。 5 非法使用（ Illegitimate Use） 非授权使用计算机或网络资源。 6 信息泄漏（ Information Leakage） 口令、证书等敏感信息泄 密。 7 欺骗（ Spoof） Web 服务欺骗攻击； IP 欺骗攻击。 8 伪装 (Masquerade) 入侵者伪装合法身份，进入电力监控系统。 9 拒绝服务（ Availability, . Denial of Service） 向电力调度数据网络或通信网关发送大量雪 崩数据，造成拒绝服务。 10 窃听（ E av es drop pi ng, . Data Confidentiality） 黑客在调度数据网或专线通道上搭线窃听明 文传输的敏感信息，为后续攻击准备数据。 安全防护目标及重点 电力二次系统安全防护的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏 和攻击，能够抵御集团式攻击，重点保护电力实时闭环监控系统及调度数据网络的安全，防 止由此引起电力系统故障。 安全防护目标： 防止通过外部边界发起的攻击和侵入，尤其是防止由攻击导致的一次系统的事 故以及二次系统的崩溃； 防 止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。 安全防护的特点 电力二次系统安全防护的特点是具有系统性和动态性。 电力二次系统是一个大系统，并 且处在不断的变化和发展中，但其安全防护不能违反二次系统安全防护的基本原则。 必须指 出的是，本方案仅代表当前的认识水平及目前的具体实施环境，今后将随着实践逐步完善和 提高。 安全防护工程是永无休止的动态过程。 图 2所示为以安全策略为核心的动态安全防护模 型。 动态自适应安全模型的设计思想是将安全管理看作一个动态的过程，安全策略应适应网 络的动态 性。 动态自适应安全模型由下列过程的不断循环构成：安全分析与配置、实时监测、 报警响应、审计评估。 由此可见，安全工程的实施过程要注重系统性原则和螺旋上升的周期性原则。 3 防护 Protection Response 策略 Policy Detection 反应 图 2 检测 安全防护的 P2DR 模型 系统性原则不但要求在实施电力二次系统的各子系统 的安全防护时不能违反电力二次 系统的整体安全防护方案，同时也要求从技术和管理等多个方面共同注重安全防护工作的落 实。 螺旋上升的周期性原则表明安全工程的实施过程不是一蹴而就的，而是一个持续的、长 期的 “攻与防 ”的矛盾斗争过程。 当前具体实施的安全防护措施单独从安全性的角度并不一 定是最优的，但是要确保实施安全防护措施后系统的安全性必须得到加强。 相关的安全防护法规 《关于维护网络安全和信息安全的决议》，全国人大常委会 2020 年 10 月审议 通过 《中华人民共和国计算机信息系统安全保护条例》，国务院 1994 年发布 《计算机信息系统保密管理暂行规定》，国家保密局 1998 年发布 《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》，国家 保密局 1998 年发布 《计算机信息网络国际联网安全保护管理办法》，公安部 1998 年发布 《计算机信息系统安全保护等级划分准则》（ GB 17859 1999），公安部 1999 年发布 《电网和电厂计算机监控系统及调度数据网络安全防护的规定》，国家经贸委 [2020]第 30 号令 《电力工业中涉及的国家秘密及具体范围的规定》，电力工业部和国家保密局 1996 年发布 4 电力二次系统安全防护策略 电力二次系统安全防护的基本原则 电力二次系统安全防护的基本原则为： 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 系统性原则（木桶原理）； 简单性原则； 实时、连续、安全相统一的原则； 需求、风险、代价相平衡的原则； 实用与先进相结合的原则； 方便与安全相统一的原则； 全面防护、突出重点（实时闭环控制部分）的原则； 分层分区、强化边界的原则； 整体规划、分步实施的原则； 责任到人，分级管理，联合防护的原则。 电力二次系统安全防护总体策略 电力二次系统的安全防护策略为： 1) 2) 3) 4) 5) 分区防护、突出重点。 根据系统中的业务的重要性和对一次系统的影响程度 进行分区，重点保护实时控制系统以及生产业务系统。 所有系统都必须置于相应的安全区内，纳入统一的安全防护方案；不符合总 体安全防护方案要求的系统必须整改； 安全区隔离。 采用各类强度的隔离装置使核心系统得到有效保护。 网络隔离。 在专用通道上建立电力调度专用数据网络，实现与其他数据网络 物理隔离。 并通过采用 MPLSVPN 或 IPSECVPN 在专网上形成多个相互逻辑 隔离的 VPN，实现多层次的保护。 纵向防护。 采用认证、加密等手段实现数据的远方安全传输。 电力二次系统的安全区划分 电力二次系统划分为不同的安全工作区，反映了各区中业务系统的重要性的差别。 不同 的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。 根据电力二次系统的特点、目前状况和安全要求， 整个二次系统分为四个安全工作区： 实时控制区、非控制生产区、生产管理区、管理信息区。 安全区 Ⅰ 是实时控制区，安全保护的重点与核心。 凡是实时监控系统或具有实时监控功能的系统其监控功能部分均应属于安全区 Ⅰ。 例如 调度中心中 EMS 系统和广域相量测量系统（ WAMS）、配电自动化系统、变电站自动化系统、 发电厂自动监控系统或火电厂的管理信息系统（ SIS）中 AGC 功能等。 其面向的使用者为调 度员和运行操作人员，数据实时性为秒级，外部边界的通信均经由电力调度数据网（ SPD） 的实时虚拟专用网（ VPN）。 区 中还包括采用专用通道的控制系统，如：继电保护、安全自 动控制系统、低频 /低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要 求为毫秒级或秒级，是电力二次系统中最为重要系统，安全等级最高。 安全区 Ⅱ 是非控制生产区。 不具备控制功能的生产业务和批发交易业务系统，或者系统中不进行控制的部分均属于 5 安全区 Ⅱ。 属于安全区 Ⅱ 的典型系统包括水调自动化系统、电能量计量系统、发电侧电力市场交易 系统等。 其面向的使用者为运行方式 、运行计划工作人员及发电侧电力市场交易员等。 数据 的实时性是分级、小时级。 该区的外部通信边界为 SPD 的非实时 VPN。 安全区 Ⅲ 是生产管理区。 该区包括进行生产管理的系统，典型的系统为雷电监测系统、气象信息接入等。 本安全 区内的生产系统采取安全防护措施后可以提供 WEB 服务。 该区的外部通信边界为电力数据 通信网（ SPT）。 安全区 IV 是管理信息区。 该区包括办公管理信息系统、客户服务等。 该区的外部通信边界为 SPT 及因特网。 该区在本文件中不作详细规定，但必须具备必要的安全防护 措施。 业务系统置于安全区的规则 1) 2) 根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系、广域 网通信的方式以及受到攻击之后所产生的影响，将其分置于四个安全区之中。 进行实时控制或未来可能有实时控制的功能或系统均需置于安全区 Ⅰ。 3) 电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。 允许把 属于低安全区的业务系统的终端设备放置于高安全区，由属 于高安全区的人员 使用。 4) 5) 6) 某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可把业务 系统根据不同的功能模块分为若干子系统分置于各安全区中。 各子系统经过安 全区之间的通信来构成整个业务系统。 自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安 全区的安全防护规定。 各电力二次系统原则上均应划分为四安全区的电力二次系统安全防护方案，但 并非四安全区都必须存在。 一个电力二次系统某安全区不存在的条件不仅其本 身不存在该安全区的业务而且与其他电网二次系统在该安全区不存在 “纵 ”向 互联。 安全区之间的隔离要求 在各安全区之间均需选择适当安全强度的隔离装置。 具体隔离装置的选择不仅需要考虑 网络安全的要求，还需要考虑带宽及实时性的要求。 隔离装置必须是国产并经过国家或电力 系统有关部门认证。 安全区 Ⅰ 与安全区 Ⅱ 之间的隔离要求： 允许采用经有关部门认定核准的硬件防火墙（禁 止 Email、 Web、 Tel、 Rlogin 等访问）。 安全区 III 与安全区 IV 之间的隔离要求： Ⅲ 、 Ⅳ 区之间应采用经有关部门认定核准的硬件防火墙隔离； 安全区 Ⅰ 、 Ⅱ 与安全区 Ⅲ 、 Ⅳ 之间的隔离要求：。