非控制区是电力二次系统各安全区中安全等级仅次于控制区的分区。该区的业务系统功能与电力生产直接相关,但不直接参与控制;系统在线运行,与安全区Ⅰ的有关业务系统联系密切。非控制区的数据采集频度是分钟或小时级,该区使用调度数据网络的非实时VPN子网或专用通道与异地有关的非控制区互联。
非控制区的典型系统包括调度员培训模拟系统、不带控制功能的继电保护和故障录波信息管理系统、水调自动化系统、电能量计量系统、电力市场运营系统、厂站端电能量采集装置、故障录波器和发电厂的报价终端等。
非控制区业务系统的主要使用者分别为调度员、水电调度员、继电保护人员及电力市场交易员等。 8.2.2 管理信息大区的划分
根据业务系统或其功能模块的使用者、主要功能、设备使用场所、各业务系统之间的相互关系以及对电力系统的影响程度等属性,管理信息大区原则上划分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。 8.2.2.1生产管理区(安全区Ⅲ)
生产管理区是电力二次系统各安全区中安全等级次于非控制区的分区。该区中的业务系统与电力调度生产管理工作直接相关。该安全区使用企业综合业务数据网与异地有关的生产管理区互联。
生产管理区的典型系统包括电力调度运行管理系统(OMS)、调度信息披露系统、雷电监测系统、生产控制大区系统(如SCADA/EMS、WAMS、电能量计量等)在管理信息大区的发布系统、调度生产管理用户终端等。
生产管理区业务系统的主要使用者为调度员和各专业运行管理人员。 8.2.2.2 管理信息区(安全区Ⅳ)
管理信息区的业务系统主要用于生产管理和办公自动化。该安全区网络是本地办公环境下的局域网,与个人桌面计算机直接相关。该安全区使用企业综合业务数据网与异地的管理信息区互联,并与Internet有互联关系。
管理信息区的典型业务系统包括管理信息系统(MIS)、办公自动化系统(OA)、电网生产信息查询系统、统计报表系统、气象信息、客户服务系统、对外信息发布、Internet业务等。
管理信息区业务系统的使用者为上下级管理部门和本单位内部工作人员。
-7-
8.3 安全区互联结构
电力二次系统安全区域之间互联总体结构包括链式结构、三角结构和星形三种结构,其结构如图2所示:
图2 电力二次系统安全区互联总体结构
本规范采用链式结构及三角结构,其中链式结构的控制区具有较高的累积安全防护强度,但总体层次较多,三角结构具有较高的通信效率,但需要较多的安全隔离设施。各单位可根据实际的系统现状和安全防护需求选择合适的互联结构。
9 安全防护技术措施
9.1 安全区间横向网络边界安全防护
安全区间横向网络边界隔离是电力二次系统安全防护的关键技术措施之一。通过采用不同强度的安全防护设备对安全区之间实施横向隔离保护,特别是对生产控制大区和管理信息大区之间的网络边界应实施物理隔离,其数据通讯采用严格的数据单向传输控制,以有效抵御病毒、黑客等对生产控制大区业务系统及其网络的各种攻击和滲透。
控制区与非控制区之间应采用硬件防火墙、具有ACL访问控制功能的交换机或路由器等设施进行逻辑隔离。逻辑隔离设施应具备状态检测、数据过滤和地
-8-
址转换等基本功能,可以对传输的地址、协议、端口和数据流的方向进行控制。控制区与非控制区之间的访问控制策略原则上只允许控制区系统主动与非控制区系统建立连接,不允许从非控制区反向访问控制区系统。确有必要进行反向访问时,仅允许系统间的业务数据传输,且必须对访问的地址、协议和端口实施严格的访问控制,禁止任何远程登录类的反向访问。
生产控制大区与管理信息大区的网络边界处应设置电力专用安全隔离装置进行单向物理隔离。电力专用安全隔离装置通过“安全岛”数据摆渡和割断穿透性TCP连接等技术,实现数据的单向传输和网络边界的物理隔离。该装置分为正向型和反向型,其中正向型安全隔离装置用于生产控制大区到管理信息大区的单向数据传输。反向型安全隔离装置用于从管理信息大区到生产控制大区单向纯文本数据传输。反向安全隔离装置接收管理信息大区发向生产控制大区的数据,进行签名验证、编码转换、数据报文检查等处理后,转发给生产控制大区内的相关业务系统。
生产管理区与管理信息区之间应采用硬件防火墙、具有ACL访问控制功能的交换机或路由器等设施进行逻辑隔离。逻辑隔离设施应具备状态检测、数据过滤和地址转换等基本功能,可以对传输的地址、协议、端口和数据流的方向进行控制。生产管理区与管理信息区之间的访问控制策略原则上只允许生产管理区系统主动与管理信息区系统建立连接,不允许从管理信息区反向访问生产管理区系统。确有必要进行反向访问时,必须对访问的地址、协议和端口实施严格的访问控制。
9.2 安全区纵向网络边界安全防护
在生产控制大区与调度数据网的网络边界部署电力专用纵向加密认证网关(对于非控制区,目前可用国产硬件防火墙替代),是电力二次系统安全防护的一项关键技术措施。
纵向加密认证网关采用电力专用密码与认证技术,为各级运行维护单位控制区的纵向数据通信提供认证与加密服务,实现数据传输的机密性、完整性保护。纵向加密认证网关还提供协议报文的过滤和处理功能,可实现端到端的选择性保护。
在生产控制大区与公用数据网络的网络边界部署公网专用安全通信网关或
-9-
公网专用安全通信装置,是电力二次系统安全防护的另一关键技术措施。
公网专用安全通信网关和公网专用安全通信装置采用专用密码与认证技术,为运行维护单位控制区和业务终端的纵向数据通信提供网络隔离、认证与加密服务,实现数据传输的机密性、完整性保护。
在生产控制大区纵向网络边界上,应避免使用默认路由,仅开放特定通信端口,禁止开通ftp、telnet、rlogin、rsh、rcp、http、pop3等高风险网络服务。 9.3 调度数据网安全防护
电力调度数据网是生产控制大区专用的广域数据网络,承载电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。电力调度数据网应在专用通道上,采用独立网络设备组网,在物理层面上实现与综合业务网和公共信息网的安全隔离。各级运行维护单位应当避免通过调度数据网形成不同安全区的纵向交叉连接。网、省、地三级电力调度数据网严格禁止与企业综合业务数据网、公用数据网络和公用通信网络直接互联。各级调度数据网之间的互联应遵循《中国南方电网调度数据网互联管理办法》,调度数据网不允许远程拨号维护。
调度数据网的安全防护应采取下列技术和安全措施: (1)虚拟专网技术
电力调度数据网应采用MPLS VPN技术或类似技术将电力调度数据网分割为逻辑上相对独立的实时VPN和非实时VPN,分别对应控制业务和非控制生产业务,并部署Qos策略或其他技术手段,保证实时VPN中关键业务的带宽和服务质量
(2)路由和交换设备的安全配置
核心路由和交换设备的安全配置包括对核心路由器的访问采用基于高强度口令密码的分级登陆验证功能、对路由器和交换设备的网络服务和端口进行严格限定、避免使用默认路由、关闭调度数据网网络边界的OSPF路由功能、关闭路由器的源路由功能、采用增强的SNMPv2及以上版本的网管协议、设置受信的网络地址范围、开启访问控制列表、记录设备日志、封闭空闲的网络端口等。
(3)核心和关键节点网络节点的可靠性配置
对调度数据网络中的核心和关键节点网络设备,必须采用双机冗余备份机
-10-
制,保证调度网络系统的高可靠性。
(4)调度数据网的安全监控
在调度数据网互联边界和关键节点可通过流量监控、入侵检测等技术手段实现“监控流量、预防攻击、隔离危险”, 实时发现网络安全威胁,及时处理修复,杜绝调度数据网因外界攻击而大面积瘫痪。 9.4 公用数据网络安全防护
生产控制大区的某些业务系统采用公用数据网络进行数据通信方式的情况下,要求在主站端生产控制大区的通信出口采用物理隔离措施,实现生产控制大区业务系统与公用数据网络之间的物理隔离;主站端和业务终端之间的通信采用加密认证措施,实现数据通信的身份认证和数据加密。隔离措施的原则为业务系统设备以及认证加密设备(或功能模块)应位于物理隔离设备(或功能模块)的内网侧。
在主站端部署公网专用安全通信网关,在业务终端部署公网专用安全通信装置。公网专用安全通信网关实现网络隔离、加密认证等功能;公网专用安全通信装置实现加密认证等功能。公网专用安全通信网关应能与相应业务终端的公网专用安全通信装置进行身份认证并建立加密数据通信通道,实现业务系统的数据通信。
生产控制大区涉公用数据网络的业务系统(如:配电网自动化系统、电力负荷管理系统等),其使用公用数据网络的系统设备、业务终端按该业务系统所属安全分区的要求进行管理。
公用数据网络传输通道应当启用基础电信运营商可提供的安全措施,包括: (l)优先选用 TD-SCDMA 等具有自主知识产权的技术和产品; (2)利用APN+VPN或VPDN技术实现无线虚拟专有通道; (3)通过认证服务器对接入终端进行身份认证和地址分配; (4)在主站系统和公共网络采用有线专线+GRE等手段。 9.5 安全区内部安全防护
安全区内部的安全防护包括生产控制大区和管理信息大区的内部防护。 9.5.1 生产控制大区内部防护措施
(1)禁止生产控制大区内部的E-MAIL服务。
-11-