当前位置:首页 » 企业新闻 » 行业资讯 » 正文

    电力二次系统安全防护总体方案浅析

    发布日期:2016-02-29 文/昆自集团 张仕波浏览:3473


    核心提示:为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,电监会先后出台电监会5、34号令,现浅析如下。

    [电监会5号令]

    为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和国家有关规定,2005年2月1日电监会出台《电力二次系统安全防护规定》即电监会5号令。

    该文件分4个章节,总则、技术措施、安全规定、附件,该文件仅仅是一个电监会对各有关电力企业二次安防方面框架性的规定。首次明确了电力二次安防安全分区、网络专用、横向隔离、纵向认证的原则。

    [电监会34号令]

    2006年11月10日电监会为了提高电力二次系统的安全防护水平,保证电力系统的安全稳定运行,其依据《电力二次系统安全防护规定》(电监会5号令),制定了《电力二次系统安全防护总体方案》、《省级以上调度中心二次系统安全防护方案》、《地、县级调度中心二次系统安全防护方案》、《变电站二次系统安全防护方案》、《发电厂二次系统安全防护方案》和《配电二次系统安全防护方案》,系统地针对省级以上调度中心、地县级调度中心、变电站、发电厂、配电系统的电力二次安全防护做出了明确规定。

    《电力二次系统安全防护总体方案》浅析

    1.安全防护总则

    电力二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对网络系统和基于网络的电力生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。

    2.安全防护方案

    根据《电力二次系统安全防护规定》的要求,电力二次系统安全防护总体方案的框架结构如图1 所示。

    图 1 电力二次系统安全防护总体框架结构示意图

    2.1 安全分区

    安全分区是电力二次系统安全防护体系的结构基础。发电企业、电网企业和供电企业内部基于计算机和网络技术的应用系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区Ⅱ)。

    2.1.1 生产控制大区的安全区划分

    (1)控制区(安全区Ⅰ)

    控制区中的业务系统或其功能模块(或子系统)的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。控制区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据传输实时性为毫秒级或秒级,其数据通信使用电力调度数据网的实时子网或专用通道进行传输。

    (2)非控制区(安全区Ⅱ):

    非控制区中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或其功能模块联系紧密。非控制区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等,其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。

    2.1.2 管理信息大区的安全区划分

    管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区,但不应影响生产控制大区的安全。

    2.2 网络专用

    电力调度数据网是为生产控制大区服务的专用数据网络,承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。可采用MPLS-VPN 技术、安全隧道技术、PVC 技术、静态路由等构造子网。

    2.3 横向隔离

    2.3.1 横向隔离是电力二次安全防护体系的横向防线采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。

    2.3.2 按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。反向

    安全隔离装置集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。

    2.4 纵向认证

    2.4.1 纵向加密认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替。

    2.4.2 纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护,同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外,还应实现对电力系统数据通信应用层协议及报文的处理功能。

    昆自股份--南瑞信通二次安防产品云南区唯一代理

    昆自股份自2014年10月开始正式成为国家电网、南方电网公司二次安防设备供货商--南京南瑞信息通信科技有限公司云南区域唯一代理商,同时昆自股份还与天融信、东软等防火墙厂家建立了良好的战略合作关系。昆自股份以其强大的技术实力及与设备厂家良好的合作关系,使得其为云南电网公司、各供电局、各发电企业的电力二次系统安全防护的建设承担了更多的责任。责任亦是使命,我们将加强管理、提升技术能力,立志为云南的电力二次系统安全防护的建设作出更多的努力与贡献!


    工信部网站备案号:滇ICP备15006392号-3
    Phone:400-8888-209
    昆明自动化成套集团股份有限公司 版权所有 技术支持:蓝队云