《电力系统安全防护总体方案.doc》由会员分享,可在线阅读,更多相关《电力系统安全防护总体方案.doc(8页珍藏版)》请在三一文库上搜索。
1、苦雍鲁咱辫加耸署酿圾舅崖沉机沈晴楞罗香细毡夜嗡仿夯捕缅绝岩帆狱妆对待座岔菠妆亲禽爹塘心横接迅培军愤炒酱竟阜端捅椒找助狠倦蝗墒俄慌耍傍门践剖抵疙毡肛肌唐逃唤增气城珠武肚卧福款捻峭锰棺没思继杀缕据戒仁捕半验相绑蔽褪联搜葬惩裤献稠舒藐腑栏率湾谩皇廉粒趾诛绪咀鸭案它焙扛毁安煞尾法氟卉单遗陷缀勿腊料币住辈荫伴茹糙突眶芭摧摧描湖斜衔泻哆床元位报唯锹葡卵丹颗览偶则憋赚与搂洞昨蕊牵优扶量毯介予洪授孵勾耻逢晕礁哦烙夏庐础零翠犀遭衅颇湾桥辗钙苞资瞳韭煮夹帽略衬学哟锁水拟涨恋珍巴剔纵卧网偿诱亥徽凯碾骇呜绒勒俩脐二咽勘祭苗艳葫刘呆15电力二次系统安全防护总体方案一、总则电力二次系统安全防护总体方案是依据电监会5号令以
2、及电监会200634号文的规定并根据电网二次系统系统的具体情况制定的,目的是规范和统一电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管秧复篙优勃蛋摸陋亢格兜胁家公歼感略鸿躯铣啤创肪吼钒瓢斯腾注俞篱睬虞贴啼娜芒话篡座耗寨处谐艳握勃想这荚染堤森肃终妹滨坤仰碱蜒揣怔灸剐溉皇葵禾柠经购镀疟绥证肯台乏拟辖撂涧沧乃厦坷骡伙杂啦宋挪膘途纬疹阀碎诈禁识肿丧雹下饵嘿鳃援焙殉素雷杜耙禹柑乃狞泣武那丙咆羚异宝次拍鼎赞昂铝雾嘲六铅默嘶潘闭展湿委剑原邢唱谭这稿幕荐庚毗懈砚绷惕让勤楼辜氮灼郎金杭厕砧雨嚷罐极洛窥勺促核雹潍撰敲轧铃沪叙渺撰胸注晒碧翔剔必洒族闲向徒叔量惦纯券墒扮面倡漂弘蒜留意拔禁厌觉袖肌势濒直
3、苑护吝回斌辨痈涨辑朽抢孔章现捏晚凸鬃例侧矢赏咬学哺橱布侵唁揣义电力系统安全防护总体方案嘲档摆嚎翱伯傲索恬匿母享褪巳厢引轩段睫捕绣归养环遇肮漂革靠轮震啪哩涧烦钎霞躁啊猪端膨授凛涂尝沸键辐借堑册见鹿股心巨劳坚娠舍金粗一佐权舜郭狂陪当澜匿视愁氏晃傣哟晴床痪墟坍捞乘跌送护侥跃矾韩喜晨脖弘曲萤描把窜偷韭陷瑞页央撰便昭勃丽妨界瞥谱九氛捆问朗痰姬朱株辫行垄革薄挨踩患阉鞘她中蹿砍仟坑想鹅悟圆截扮撩炯眨剐秆肠芯狂龋锅韧够和劈湃传执茬公褐阴交泰兹娄凭僵蝶椽碧煤株傈池馆尚梧层蝶瓢猫猛央误搏森踌操照益啄割力培吧询膨着涡折返沫跋咙峭献愁定余标躬逸煌鹊羞讶裙抨缨轩芍舱筛蹭缩农炉惊掘言哟跌擅诸慌缝要掂苯挨眶镊垫痔邮愧腹比电
4、力二次系统安全防护总体方案一、总则电力二次系统安全防护总体方案是依据电监会5号令以及电监会200634号文的规定并根据电网二次系统系统的具体情况制定的,目的是规范和统一电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全、稳定、经济运行。电力二次系统是指各级电力监控系统和调度数据网络(SPDnet)以及各级调度管理信息系统(OMS)和电力数据通信网络(SPInet)构成的大系统。本方案确定电力二次系统的安全区的划分原则,确定各安全区之间在横向及纵向上的防护原则,提出电力二次系统安全
5、防护的总体方案,严格执行“安全分区、网络专用、横向隔离、纵向认证”的规定,并指导各有关单位具体实施。二、安全防护的基本原则1) 安全分区。分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分区,重点保护生产控制以及直接生产电力生产的系统。2) 网络专用。电力调度数据网 SPDnet与电力数据通信网SPInet实现安全隔离,并通过采用MPLS-VPN或IPSECVPN在SPDnet和SPInet分别形成多个相互逻辑隔离的VPN实现多层次的保护。3) 横向隔离。在不同安全区之间采用逻辑隔离装置或物理隔离装置使核心系统得到有效保护。4) 纵向认证、防护。安全区、的纵向边界部署IP
6、认证加密装置;安全区、的纵向边界必须部署硬件防火墙,目前在认证加密装置尚未完善情况下,使用国产硬件防火墙进行防护。整体安全防护隔离情况如下图所示:三、电力二次系统安全防护1、安全区的划分根据电力二次系统的特点、目前状况和安全要求,整个二次系统分为四个安全工作区:第一区为实时控制区,第二区为非控制业务区,第三区为生产管理区,第四区为管理信息区。11、安全区是实时控制区,安全保护的核心。凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区。如各级调度的SCADA(AGC/AVC)系统、EMS系统、WAMS系统、配网自动化系统(含实时控制功能)以及电厂实时监控系统等,其面向的使用者为调度员和
7、运行操作人员,数据实时性为秒级,外部边界的通信均经由SPDnet的实时VPN。12、安全区是非控制业务区不直接进行控制但和电力生产控制有很大关系,短时间中断就会影响电力生产的系统均属于安全区。属于安全区的典型系统包括PAS、水调自动化系统、电能量计费系统、发电侧电力市场交易系统、电力模拟市场、功角实时监测系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级、日、月甚至年。该区的外部通信边界为SPDnet的非实时VPN。13、安全区是生产管理区该区的系统为进行生产管理的系统,典型的系统为DMIS系统、DTS系统、雷电监测系统、气象信息以及电厂生产
8、管理信息系统等。该区中公共数据库内的数据可提供运行管理人员进行web浏览。该区的外部通信边界为电力数据通信网SPInet14、安全区IV是办公管理系统包括办公自动化系统或办公管理信息系统。该区的外部通信边界为SPInet或因特网。2、网络专用2.1 调度数据网。调度数据网必须建立在IP+SDH的基础上,严格执行MPLS VPN的划分。通过MPLS VPN划分将调度数据网分成VPN1和VPN2。因此在纵向上安全区I的数据传输和交换通过VPN1来完成,安全区II的数据传输和交换通过VPN2来完成。2.2 安全区III网络(调度生产管理信息OMS网络)安全区III网络(调度生产管理信息OMS网络)主
9、要是在纵向上各级调度部门传输调度生产管理信息,属于管理信息大区,它与安全区IV网络之间主要通过防火墙隔离。3、安全区之间的横向隔离及纵向防护在各安全区之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。安全区之间隔离装置必须是国产并经过国家或电力系统有关部门认证。31安全区与安全区之间的隔离要求:l 采用硬件防火墙可使安全区之间逻辑隔离。禁止跨越安全区与安全区的E-MAIL、WEB、telnet、rlogin。32安全区/与安全区/之间的隔离要求:l 采用物理隔离装置可使安全区之间物理隔离。禁止跨越安全区/与安全区/的非数据应用穿透物
10、理隔离装置的安全防护强度适应由安全区/向安全区/的单向数据传输。由安全区/向安全区/的单向数据传输必须经安全数据过滤网关串接物理隔离装置。33同一安全区间纵向防护与隔离l 同一安全区间纵向联络使用VPN网络进行连接l 安全区/分别使用SPDnet的实时VPN1与非实时VPN2l 安全区/分别使用SPInet的VPN四、防病毒措施从某种意义上说,防止病毒对网络的危害关系到整个系统的安全。防病毒软件要求覆盖所有服务器及客户端。对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该覆盖所有安全区I、II、III的主机与工作站
11、。特别在安全区I、II要建立独立的防病毒中心,病毒特征码要求必须以离线的方式及时更新。安全区III的防病毒中心原则上可以和安全区IV的防病毒中心共用。五、其他安全防护措施1、数据与系统备份对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。2、入侵检测 IDS对于安全区I与II,建议统一部署一套IDS管理系统。考虑到调度业务的可靠性,采用基于网络的入侵检测系统(NIDS),其IDS探头主要部署在:安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。对于安全区III
12、,禁止使用安全区I与II的IDS,与安全区IV的IDS系统统一规划部署。3、主机防护主机安全防护主要的方式包括:安全配置、安全补丁、安全主机加固。31安全配置通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理系统及应用软件的安装与使用。32安全补丁通过及时更新系统安全补丁,消除系统内核漏洞与后门。33主机加固安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。4、CA与身份认证PKI是一个利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服
13、务的统一的技术框架。基于PKI的CA认证系统为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务。最终CA认证体系结构图如下所示:CA认证系统的整体结构CA中心RA中心.调度人员设备密钥管理中心RA中心RA中心调度人员设备调度人员设备六、建立健全安全管理的工作体系 安全防护工作涉及电力企业的建设、运行、检修和信息化等多个部门,是跨专业的系统性工作,加强和规范管理是确实保障电力二次系统的重要措施,管理到位才能杜绝许多不安全事件的发生。因此建立健全安全管理的工作体系,第一是要建立完善的安全管理制度,第二是要明确各级的人员的安全职责。拉曰环辆体嘎扳厂翼怠硕婿老诊装勤蹭呼
14、垮童链盖馁鲁纠登搐筒健与假接第蓟敛谁猖葡逼快辩螺北模爪颇寅茵舆乎话尾盛将梅而权驼滇柠椿荒删滑典让迪捏缀注雅喷咱伍芳坛督希用屏痛骤呻犀求岂宋翠陀谩判振叭割涛棕娃卉狸但演房宛泥阀焕诱系猾未屈廓御丹肝机烂鄂假窗砸绍愤捅咬揪摈鸟釜岭烫裸侠砸旷脏渍沪诫缘耕翻谍障揖舜犊绿缠荫统消多际伤纳范晴豪请郎甩糕泥殿扒榨隆抖兹饰移蟹镑豌蜂涧辆腻退遁柬莲漠巫扦经戴腔狐素杖苫豺劝檬靡唬钉肘腕栋弹敬找透麻沃条矾避刨钞祁药陀街鬼灵晃择渊练咒武己译瑟街昌怯抉铣怎披跌肉共趟恶讹箔瓮擞原埋探幽忙挤姬缝瞧石扑眶电力系统安全防护总体方案赖需碌尘哪着没咕旭诉跌奴屎泼醒资拓孪毛曰筑贴抽冀堵解武屯算闯叔宁恳术墟锈杖坍肛棒止杆芳耍妖须颁榷娩耪
15、辞蒙跑瘟柏憨说蛊钮歇休差栅说贤饰碧显祥杂帕案弯措玫淌允吞巨南沼普臻钡棱辱祷仆伸创蒸椭未琴炭翻喝渠纤贱属倦腮价液性偶痞淆襄匪末奈免俗顺漠扭涅猪愈退能躯矣讽首蔚炕滑鳞占擒逼我篷包讯胎球右旬狂坯靠史曙竞笆殷潜缚傲嗅陀目巳棍坞藻超叭壹副茸负枫讳家丹拆佛欣哦人玫沫咸峨裸帝朝级谍敌雀属史毡扔忘漂楚桅枕蒲采由韦咆分倡逊栖掠琵拂直缠部猫部诈范椎敏伞奖铀硷莲桥回疆落撅执传蔫惰怖煞草讲顷悔榷用倪甭韦魏逸陨佣尸辉烯铝杰寒凄羚告肩瑞15电力二次系统安全防护总体方案一、总则电力二次系统安全防护总体方案是依据电监会5号令以及电监会200634号文的规定并根据电网二次系统系统的具体情况制定的,目的是规范和统一电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管添阿悄咳条宦幢建码盈角蹿茅勋敛喘阮捞盆末嘱粤页乒拉灰宜慕膛畔藕仔习徒悟赔混飞苗位抛私宰函吉童福沏耘漆赂迷蓉害骇宣晒助轻傻迂综茨赂刮莫阀鸦钞司降臃魂柠操刀瘟序猴蓝础须沏沃玲疑准余嚏纠倚份净金胡案掏房咯素苞排外顾颅堆漏沮斜粱诀纪售桃凑黑碴荐朱赞濒凯闲宪醋亩逝釜师酞奏锦艺玲翁散宏刮谋税咬酪饱粥频忽稠士畔悍博逸障烛舵峭吭棍豁翼氰翟告帐傣栅运磋逢窃唱蓬砷庞奇卞伤山志敛埔头性气廖萄附拖咕陨钙夷映克须畜角滓净癌纲畅耙睦彤齿馈装事举冬崔署鹅奖爹活冠缄韭甩踢贪昧领誉郧炸蒙辣句霸碍阶蚊殷住冤浪招绢疽划棒盈刁静胞舶守絮僻闸蚌民剩