动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统、继电保护管理信息系统、在线稳控决策系统、综合防御系统、电力设备在线监测系统、雷电定位监测系统、变电站视频及环境监控系统、线路覆冰在线监测系统、变压器中性点直流在线监测系统等。 3.3 电力调度运行管理系统
指电力调度业务使用的管理信息系统。 3.4 电力调度数据网络
指各级电力调度专用广域数据网络、电力生产专用拨号网络等。 3.5 公用数据网络
指网络运营商提供的公共数据网络,如GPRS、CDMA、TD-SCDMA、WCDMA、CDMA2000、230MHz、卫星通信等。 3.6 电力二次系统网络信息安全防护设备
指实现电力二次系统网络及信息安全防护功能的系统或设备。如电力专业横向单向安全隔离装置、电力专用纵向加密认证装置、电力专用拨号服务器、软硬件防火墙、IDS/IPS、恶意代码防护系统、部署在安全分区边界并设置了访问控制策略的交换机和路由器、电力调度数字证书系统、安全审计、网管、综合告警系统、公网专用安全通信网关、公网专用安全通信装置等。 3.7 控制区
指由具有实时监控功能、纵向联接使用电力调度数据网的实时VPN或专用通道的各业务系统构成的安全区域。 3.8 非控制区
指在生产控制区范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时VPN的各业务系统构成的安全区域。
3,9 运行维护单位
指发电、输电、变电、供电、用电等单位以及在南方电网区域外接入并接受南方电网相应调度机构调度的发电厂、变电站。 4 总则
电力二次系统安全防护主要针对网络系统和基于网络的生产控制系统。安全
-2-
防护的总体目标是保护电力监控系统及调度数据网络的安全,抵御黑客、病毒、恶意代码等的破坏和攻击,防止电力二次系统的崩溃或瘫痪,以及由此造成的电力系统事故或大面积停电事故。安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护的核心能力是“保护、检测、响应、恢复”。
电力二次系统安全防护是一项系统工程,其总体安全防护水平取决于系统中最薄弱点的安全水平。各有关单位安全防护工作应当执行电力二次系统安全防护规定,遵守安全防护基本原则,维护全网统一的安全防护结构和一致的安全策略。
本规范依据国家电力监管委员会第5号令《电力二次系统安全防护规定》和电监安全【2006】34号文《电力二次系统安全防护总体方案》,结合南方电网的实际情况,按系统化、规范化、工程化要求、细化了电力二次系统安全防护的技术要求。 5 安全防护目标
南方电网电力二次系统安全防护的总体目标是:建立健全南方电网电力二次系统安全防护体系,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复主要功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障南方电网安全稳定运行。
南方电网电力二次系统安全防护工作的具体目标是: (1)防范病毒、木马等恶意代码的侵害; (2)保护电力二次系统的可用性和连续性;
(3)保护重要信息在存储和传输过程中的机密性、完整性;
(4)实现关键业务接入电力二次系统网络的身份认证,防止非法接入和非授权访问;
(5)实现电力监控系统和调度数据网安全事件可发现、可跟踪、可审计; (6)实现电力监控系统和调度数据网络的安全管理。 6 安全防护设计原则
南方电网各级调度控制中心、配电中心(含负荷控制中心)、变电站、各级
-3-
调度控制中心直调电厂、电力通信机构在进行本单位电力二次系统安全防护方案设计时应遵守以下原则:
(1)系统性原则(木桶原理); (2)简单性和可靠性原则;
(3)实时性、连续性与安全性相统一的原则; (4)需求、风险、代价相平衡的原则; (5)实用性与先进性相结合的原则; (6)全面防护、突出重点的原则; (7)分层分区、强化边界的原则; (8)整体规划、分步实施的原则; (9)不断完善的原则;
(10)下级服从上级,局部服从整体的原则; (11)技术与管理相结合的原则。 7 安全防护总体策略
南方电网电力二次系统安全防护总体策略是南方电网各级调度控制中心、配电中心(含负荷控制中心)、变电站、各级调度控制中心直调电厂、电力通信机构开展电力二次系统安全防护工作必须遵守的原则。南方电网二次系统安全防护总体策略如下: 7.1 安全分区
根据电力二次系统业务的重要性及其对电力一次系统的影响程度进行分区,南方电网电力二次系统分为生产控制大区和管理信息大区,其中生产控制大区分为控制区(又称安全区I)和非控制区(又称安全区Ⅱ),生产控制大区是电力二次系统重点防护对象。 7.2 网络专用
南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网,即实时VPN和非实时VPN。实时VPN用于控制区业务系统的远程数据通信,非实时VPN用于非控制区业务系统的远程数据通信。
-4-
7.3 横向隔离
南方电网各级运行维护单位的生产控制大区与管理信息大区之间应设置电力专用横向安全隔离装置实现物理隔离。生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔离。 7.4 纵向认证
南方电网各级运行维护单位在控制区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或加密认证装置,非控制区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或防火墙,为上下级调度机构或主站与子站端的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。
8 安全防护总体结构 8.1 总体结构模型
电力二次系统安全防护总体结构模型如图1所示:
图1 电力二次系统安全防护总体结构模型
该模型在技术上系统性地考虑了上下级各种数据业务的需求、网络的纵向互
-5-
联、横向互联和数据通信的安全性问题,通过划分安全区、专用网络、专用隔离和加密认证等技术从多个层次构筑多道抵御网络黑客和恶意代码攻击的防线,对电力实时监控系统等关键业务实施重点保护,是构筑南方电网电力二次系统安全防护体系的基础。
生产控制大区的某些业务系统采用公用数据网络进行数据通信方式情况下,要求在主站端生产控制大区的通信出口采用物理隔离措施,主站端和业务终端之间的数据通信采用加密认证措施。 8.2 安全分区规则
南方电网各有关单位包括各级调度控制中心、配电中心(含负荷控制中心)、变电站、各级调度控制中心直调电厂内部基于网络的二次系统,原则上划分为生产控制大区和管理信息大区。 8.2.1 生产控制大区的划分
根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统之间的相互关系、调度数据网通信方式以及对电力系统的影响程度等属性,生产控制大区原则上划分为控制区(安全区I)和非控制区(安全区Ⅱ)。 8.2.1.1 控制区(安全区I)
控制区是电力二次系统各安全区中安全等级最高的分区,是必不可少的分区。该区中的业务系统与电力调度生产直接相关,有对一次系统的在线监视和闭环控制功能,且具有连续性、实时性(毫秒级或秒级)的特点以及高安全性、高可靠性和高可用性的要求。该区使用调度数据网络的实时VPN子网或专用通道与异地有关的控制区互联。
控制区的典型系统包括调度自动化系统(SCADA/EMS)、广域相量测量系统(WAMS)、自动电压控制系统(AVC)、安稳控制系统、在线预决策系统、具有保护定值下发、远方投退功能的保信系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,还包括使用专用通道的控制系统,如:安全自动控制系统、低频/低压自动减负荷系统、负荷管理系统等。
控制区业务系统的主要使用者为调度员、继电保护运行管理人员和运行操作人员。
8.2.1.2 非控制区(安全区Ⅱ)
-6-