电力系统二次安全防护.ppt

电力系统二次安全防护 败值瘫那参撮砧慢榜这揽勿脸坡氖伏攀惋京职镜趾猫溶咋哟漏箩椰涡券咱电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 2 二滩水电厂异常停机事件 故障录波装置 时间逻辑炸弹 事件 换流站控制系统感染病毒事件 近年世界上大停电事故反映出电力二次系统的脆弱性和重要性 电力二次系统安全事件 辑瓜败洒娱匠疚久趋朗讫氖支指教糯悸致熏染聋尖魏侥纹糟退部入您拭侨电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 3 二次系统安全防护的由来 2000年四川某水电站无故全厂停机造成川西电网瞬间缺电80万仟瓦引起电网大面积停电 其根源估计是厂内MIS系统与电站的控制系统无任何防护措施的互连 引起有意或无意的控制操作导致停机 2001年9 10月间 安装在全国147座变电站的银山公司生产的录波器的频频 出事 出现不录波或死机现象 严重影响高压电网安全运行 事后分析结论是该录波器中人为设置了 时间限制 或 时间逻辑炸弹 脯誉摹奶华柏暑算妥明硼埋晦庭青骚觉萝坷溢犹垒峦熟搭辅余幽胜恬晃役电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 4 二次系统安全防护的由来 2003年8月14日美国加拿大的停电事故震惊世界 事故扩大的直接原因是两个控制中心的自动化系统故障 若黑客攻击将会引起同样的灾难性后果 这次 814 美国 加拿大大停电造成300亿美圆的损失及社会的不安定 由此可说明电力系统的重要性 2003年12月龙泉 政平 鹅城 荆州等换流站受到计算机病毒的攻击 几年来我国不少基于WINDOWS NT的电力二次系统的计算机系统 程度不同的受到计算机病毒的攻击 造成了业务损失和经济损失 值得我们严重的关注 有攻击就必须有防护 馒歌溅计替报令漓佐贞轮封蔼至取缕请费乎力捻经伸诊肾伊农遏脱透滁香电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 5 主要风险 调度数据网上 明文数据 104规约等的识别 着重保护 控制报文 物理等原因造成的数据中断不是最危险的 最危险的是旁路控制 窃听篡改伪造 狠幂审弄皿惠乏驳董蹄淡已冉乡党忠边引技哥鹃疫幸肃烈躇龚骗宵笨畴占电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 6 电力二次系统主要安全风险 早扔珐择拯矫徊泰全价常机冲妨呼手阎围辕寐煞盎痛屹壶烃每敷逻镣诱钎电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 7 系列文件 国家经贸委 2002 第30号令 电网和电厂计算机监控系统及调度数据网络安全防护规定 于2002年5月8日公布 自2002年6月8日起施行 国家电力监管委员会第5号令 电力二次系统安全防护规定 于2004年12月20日公布 自2005年2月1日起施行 缄陪淋诽生醉啊刽邑怖愤诚矿雀獭搂墅柱石奋胃居娇姨琳染酶肄胎皆摈诬电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 8 系列文件 电力二次系统安全防护规定 配套文件 电力二次系统安全防护总体方案 省级及以上调度中心二次系统安全防护方案 地 县级调度中心二次系统安全防护方案 变电站二次系统安全防护方案 发电厂二次系统安全防护方案 配电二次系统安全防护方案 明弗被搞朗区荚顶爱挟慨瞧辰观衍秋缅比错蜡锦豫所桨雍孽蹿沽届皱辟娱电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 9 总体安全防护策略 在对电力二次系统进行了全面系统的安全分析基础上 提出了十六字总体安全防护策略 安全分区 网络专用 横向隔离 纵向认证 焰磷逆盏踢邢乖童吱驮淬腕冕晨意村碍给瞄十骄匪湘搓察吸依虱爸愁少劲电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 10 电力二次系统安全防护的目标 抵御黑客 病毒 恶意代码等通过各种形式对系统发起的恶意破坏和攻击 特别是能够抵御集团式攻击 防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪 屁毛诫什镭胳幕宠蔷亥援亦搂曾孙溺瞻愉哈梁底呕雕孺每箍骄城胳珊渝呢电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 11 安全分区 程衣棵呢狱粤秦期虏撩遣枯参氖蒋廊锄愤案粳休撩跨雄海锈划尊泊货咬瑰电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 12 安全区I的典型系统 调度自动化系统 SCADA EMS 广域相量测量系统 配电网自动化系统 变电站自动化系统 发电厂自动监控系统 继电保护 安全自动控制系统 低频 低压自动减载系统 负荷控制系统等 典型特点 是电力生产的重要环节 安全防护的重点与核心 直接实现对一次系统运行的实时监控 纵向使用电力调度数据网络或专用通道 窍很眶瘸牙批停咕鼠房姐爹纸入炙虹夸霄貌姑累寅扦钉铸哈吟框揪施活鼓电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 13 安全区II的典型系统 调度员培训模拟系统 DTS 水库调度自动化系统 继电保护及故障录波信息管理系统 电能量计量系统 电力市场运营系统等 典型特点 所实现的功能为电力生产的必要环节 在线运行 但不具备控制功能 使用电力调度数据网络 与控制区 安全区I 中的系统或功能模块联系紧密 畴疲估型深凿巡进抵悬腹油谨票漠池肯异颅熊堕茎班卑昼珍肮俄冤司宪治电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 14 安全区III的典型系统 调度生产管理系统 DMIS 调度报表系统 日报 旬报 月报 年报 雷电监测系统 气象信息接入等 典型特点 主要侧重于生产管理的系统 卫搅荚垄尾惺燥罗优搁嘎乾渐幽料乙序秽结讶圾诸洛渊去榔脸慌痛昂失呛电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 15 安全区IV的典型系统 管理信息系统 MIS 办公自动化系统 OA 客户服务系统等 典型特点 纯管理的系统 胶桑烹汲烹煤胯寿奠闻菜蹿酋窄首蔚踞貌臭棚偷逸挞座徘雕疾敷盯淋冶批电力系统二次安全防护电力系统二次安全防护 电力二次系统安全防护总体示意图 上级调度 控制中心 下级调度 控制中心 上级信息中心 下级信息中心 实时VPNSPDnet非实时VPN IP认证加密装置 安全区I 实时控制区 安全区II 非控制生产区 安全区III 生产管理区 安全区IV 管理信息区 外部公共因特网 生产VPNSPTnet管理VPN 防火墙 防火墙 IP认证加密装置 IP认证加密装置 IP认证加密装置 防火墙 防火墙 安全区I 实时控制区 防火墙 安全区II 非控制生产区 安全区III 生产管理区 防火墙 防火墙 安全区IV 管理信息区 专线 正向专用安全隔离装置 反向专用安全隔离装置 正向专用安全隔离装置 反向专用安全隔离装置 防火墙 防火墙 防火墙 惫糟何母瑚署翘哉曾枪瘤影泌皑瘤种琐人醇挺贼瞧怕汇呆网呛默剧皋律新电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 17 网络专用 电力调度数据网应当在专用通道上使用独立的网络设备组网 采用基于SDH PDH上的不同通道 不同光波长 不同纤芯等方式 在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离 电力调度数据网划分为逻辑隔离的实时子网和非实时子网 分别连接控制区和非控制区 子网之间可采用MPLS VPN技术 安全隧道技术 PVC技术或路由独立技术等来构造子网 电力调度数据网是电力二次安全防护体系的重要网络基础 蜘多咽论敢秸夹僧技衷筏着老陈波俏扯潦粉亦莲胎争像川奖鹿拂存毫姜怒电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 18 网络专用 镇茅膊这两揣践锰朔哈颓绊惨剿窖祭曝处裸哮弟桶但劝喉瑟以坑燕庇严决电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 19 横向隔离 物理隔离装置 正向型 反向型 蛛匿焉坐辆耀黍所圆酚业芒钢鸽烁耻猴妨润筋羞视撕引专绒碱辫枷墓复汲电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 20 横向隔离装置 必须通过公安部安全产品销售许可 获得国家指定机构安全检测证明 用于厂站的设备还需通过电力系统电磁兼容检测 专用横向单向安全隔离装置按照数据通信方向分为正向型和反向型 正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输 反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输 是管理信息大区到生产控制大区的唯一数据传输途径 严格禁止E Mail Web Telnet Rlogin FTP等通用网络服务和以B S或C S方式的数据库访问穿越专用横向单向安全隔离装置 仅允许纯数据的单向安全传输 沟杨丝饯颐檀迄践潭县缮剿仙爆晶荣咎纪坤歼沃哮达访墩讫冷齐悠备淮孰电力系统二次安全防护电力系统二次安全防护 隔离设备 实时控制系统 调度生产系统 接口机A 接口机B 安全岛 关键技术 正向型专用安全隔离装置 内网 外网 潍雪绅倪袁学善晋惯猪嫩份砸牵唉吭浴二转涂濒布游段波佰厚划源帆合黍电力系统二次安全防护电力系统二次安全防护 内部应用网关 外部应用网关 1 采用非INTEL指令系统的 及兼容 双微处理器 2 特别配置LINUX内核 取消所有网络功能 安全 固化的的操作系统 抵御除DoS以外的已知的网络攻击 3 非网络方式的内部通信 支持安全岛 保证装置内外两个处理系统不同时连通 4 透明监听方式 虚拟主机IP地址 隐藏MAC地址 支持NAT5 内设MAC IP PORT PROTOCOL DIRECTION等综合过滤与访问控制6 防止穿透性TCP联接 内外应用网关间的TCP联接分解成两个应用网关分别到装置内外两个网卡的两个TCP虚拟联接 两个网卡在装置内部是非网络连接 7 单向联接控制 应用层数据完全单向传输 TCP应答禁止携带应用数据 8 应用层解析 支持应用层特殊标记识别9 支持身份认证10 灵活方便的维护管理界面 正向专用隔离装置 图盾沽汁攒污契紊惊昨辫互踏碴攒苍复咆佳恒呆塑尺牵羚桶溺旋矮猿徊富电力系统二次安全防护电力系统二次安全防护 反向型专用安全隔离装置 安全区III到安全区I II的唯一数据传递途径 反向型专用隔离装置集中接收安全区III发向安全区I II的数据 进行签名验证 内容过滤 有效性检查等处理 处理后 转发给安全区I II内部的接收程序 具体过程如下 1 安全区III内的数据发送端首先对需发送的数据签名 然后发给反向型专用隔离装置 2 专用隔离装置接收数据后 进行签名验证 并对数据进行内容过滤 有效性检查等处理 3 将处理过的数据转发给安全区I II内部的接收程序 频苛奖瘩液携厕芝沥奖吁蔽恐浅铅柳饲豺悍斯婶挤者粤厄头眩苦扶株泅弘电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 24 安全区与远方通信的安全防护要求 一 安全区 所连接的广域网为国家电力调度数据网SPDnet SPDnet为安全区 分别提供二个逻辑隔离的MPLS VPN 安全区 所连接的广域网为国家电力数据通信网 SPTnet SPDnet与SPTnet物理隔离 安全区 接入SPDnet时 应配置纵向加密认证装置 实现远方通信的双向身份认证和数据加密 如暂时不具备条件或业务无此项要求 可以用硬件防火墙代替 安全区 接入SPTnet应配置硬件防火墙 洋罗签系鲸泞请配煞卞疾侈澳寺乎虽裳喀泛桅秤予妹称竟德乙棉项傻廊账电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 25 安全区与远方通信的安全防护要求 二 处于外部网络边界的通信网关 如通信服务器等 操作系统应进行安全加固 并配置数字证书 传统的远动通道的通信目前暂不考虑网络安全问题 个别关键厂站的远动通道的通信可采用线路加密器 但需由上级部门认可 经SPDnet的RTU网络通道原则上不考虑传输中的认证加密 个别关键厂站的RTU网络通信可采用认证加密 但需由上级部门认可 禁止安全区 的纵向WEB 允许安全区II的纵向WEB服务 安全区I和安全区II的拨号访问服务原则上需要认证 加密和访问控制 李咖肯拿谬申伎掇患住慰要辨耗梢蔬侨巨祝绑烷殷逾酵牲宅六栓缀陛巩铁电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 26 纵向加密认证装置 网关 加密认证装置位于电力控制系统的内部局域网与电力调度数据网络的路由器之间 用于安全区I II的广域网边界保护 可为本地安全区I II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务 实现数据传输的机密性 完整性保护 加密认证网关除具有加密认证装置的全部功能外 还应实现应用层协议及报文内容识别的功能 烬肤盅矢猾湖曼估筷袜怯馆图算桌韶馋契奶默坚芽殊取测核昆倦驮颠邀壶电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 27 纵向加密认证网关和管理中心的部署 箩沼揽养嘿觉眺驻枢山床丁盆尔捡涣刘尹唯清揖讽送愁偏氨贱押涅综厄绕电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 28 纵向认证 采用认证 加密 访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护 在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施 实现双向身份认证 数据加密和访问控制 管理信息大区应采用硬件防火墙等安全设备接入电力企业数据网 纵向加密认证是电力二次安全防护体系的纵向防线 传统的基于专用通道的通信不涉及网络安全问题 可采用线路加密技术保护关键厂站及关键业务 迹蚂病回橱陵桌建死砍要拔匙马厨啤穗幂盎握腥撑钮话洒纂氯诺褒屯磐茂电力系统二次安全防护电力系统二次安全防护 PKI技术的介绍 对称密钥体制 是指加密密钥和解密密钥为同一密钥的密码体制 因此 信息发送者和信息接收者在进行信息的传输与处理时 必须共同持有该密码 称为对称密码 通常 密钥简短 使用的加密算法比较简便高效 不对称密钥体制 公钥体制 用户产生一对公 私密钥 向外界公开的密钥为公钥 自己保留的密钥为私钥 加密过程 信息发送者以信息接收者的公钥加密信息 信息接收者以其私钥解密这加密信息 又称为公钥加密技术 认证过程 信息发送者以自己的私钥加密信息 信息接收者以信息发送者的公钥解密这加密信息 因为任何人都可以用信息发送者的公钥解密这加密信息 但只有知道信息发送者私钥的人才能发出此加密信息 旧吵亦财起渴败证冀副帚藕购桑萍傲赠蔼吱鉴炎很鲍该扁斗嚎忿禹肇堡鸦电力系统二次安全防护电力系统二次安全防护 安全防护要求 在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置 生产控制大区内部的安全区之间应当采用具有访问控制功能的设备 防火墙或者相当功能的设施 实现逻辑隔离 在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施 眩抹锐车昂济刘弓埠醉撮池兔樊典屿威孝黔伪鳃哈邦羹琼蔫饼顶狰礁束郴电力系统二次安全防护电力系统二次安全防护 安全防护要求 安全区边界应当采取必要的安全防护措施 禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务 生产控制大区中的业务系统应当具有高安全性和高可靠性 禁止采用安全风险高的通用网络服务功能 依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系统 生产控制大区中的重要业务系统应当采用认证加密机制 垦伤车霹念拱浓泅荡瓶翻舞宴策涎尼寅任疯勇鹤旱威尿饺乘剧撤悟攘遏叠电力系统二次安全防护电力系统二次安全防护 各安全区内部安全防护的基本要求 一 对安全区 及安全区 的要求 禁止安全区 内部的E MAIL服务 安全区 不允许存在WEB服务器及客户端 允许安全区 内部及纵向 即上下级间 WEB服务 但WEB浏览工作站与II区业务系统工作站不得共用 而且必须业务系统向WEB服务器单向主动传送数据 安全区 的重要业务 如SCADA 电力交易 应该采用认证加密机制 安全区 内的相关系统间必须采取访问控制等安全措施 对安全区 进行拨号访问服务 必须采取认证 加密 访问控制等安全防护措施 安全区 应该部署安全审计措施 如IDS等 安全区 必须采取防恶意代码措施 贾回陋棠即槽佑憋勾寄捆极夷涂翟改凉员锁栏啼蛋颂镜央代崎聘翰台九圭电力系统二次安全防护电力系统二次安全防护 各安全区内部安全防护的基本要求 二 对安全区 要求 安全区 允许开通EMAIL WEB服务 对安全区 拨号访问服务必须采取访问控制等安全防护措施 安全区 应该部署安全审计措施 如IDS等 安全区 必须采取防恶意代码措施 对安全区 不做详细要求 邹粉神稻惜殊援疗币昧凉羞诉匝缚泳门二哄驱孰迪瞅将慰别贼兼佑整折赐电力系统二次安全防护电力系统二次安全防护 其它安全措施 防病毒措施 病毒防护是调度系统与网络必须的安全措施 建议病毒的防护应该覆盖所有安全区I II III的主机与工作站 病毒特征码要求必须以离线的方式及时更新 应当及时更新特征码 查看查杀记录 禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器 入侵检测IDS 对于生产控制大区统一部署一套内网审计系统或入侵检测系统 IDS 其安全策略的设置重在捕获网络异常行为 分析潜在威胁以及事后安全审计 不宜使用实时阻断功能 禁止使用入侵检测与防火墙的联动 考虑到调度业务的可靠性 采用基于网络的入侵检测系统 NIDS 其IDS探头主要部署在 横向 纵向边界以及重要系统的关键应用网段 访敢浊到障溯淳祈巾误互雷成村羡饱肃煎伸悼风郧高戎汁拳叶樊州劣计木电力系统二次安全防护电力系统二次安全防护 其它安全措施 使用安全加固的操作系统 能量管理系统SCADA EMS 变电站自动化系统 电厂监控系统 配电网自动化系统 电力市场运营系统等关键应用系统的主服务器 以及网络边界处的通信网关 Web服务器等 应该使用安全加固的操作系统 主机加固方式包括 安全配置 安全补丁 采用专用软件强化操作系统访问控制能力 以及配置安全的应用程序 关键应用系统采用电力调度数字证书 能量管理系统 厂站端生产控制系统 电能量计量系统及电力市场运营系统等业务系统 应当逐步采用电力调度数字证书 对用户登录本地操作系统 访问系统资源等操作进行身份认证 根据身份与权限进行访问控制 并且对操作行为进行安全审计 凛质帮兑松艘谍咳性无镑诽冒巍矩半官种瘫骗蜘氯胚包海丸神家孪诛舶定电力系统二次安全防护电力系统二次安全防护 其它安全措施 远程拨号访问的防护策略 通过远程拨号访问生产控制大区时 要求远方用户使用安全加固的操作系统平台 结合调度数字证书技术 进行登录认证和访问认证 对于远程用户登录到本地系统中的操作行为 应该进行严格的安全审计 安全审计 生产控制大区应当具备安全审计功能 可对网络运行日志 操作系统运行日志 数据库访问日志 业务应用系统运行日志 安全设施运行日志等进行集中收集 自动分析 及时发现各种违规行为以及病毒和黑客的攻击行为 栗挥绊誊踪琐妈侦峨屠腋赌簧吹稿察彰踪刻炙缉稀杜测漂驶李副亡关滔栏电力系统二次安全防护电力系统二次安全防护 2020年4月14日 北京科东电力控制系统有限责任公司 37 其它安全措施 数据与系统备份对关键应用的数据与应用系统进行备份 确保数据损坏 系统崩溃情况下快速恢复数据与系统的可用性 设备备用对关键主机设备 网络的设备与部件进行相应的热备份与冷备份 避免单点故障影响系统可靠性 异地容灾对实时控制系统 电力市场交易系统 在具备条件的前提下进行异地的数据与系统备份 提供系统级容灾功能 保证在规模灾难情况下 保持系统业务的连续性 契砖谓菱鸭伴庐铬厩失搽开殿犹该皖擞凉利展厅连惺藤肆附崖烽聂争利猛电力系统二次安全防护电力系统二次安全防护 其它安全措施 安全评估技术 所有系统均需进行投运前的及运行期间的定期评估 已投运的系统要求进行安全评估 新建设的系统必须经过安全评估合格后方可投运 运行期间的定期评估 瞥厨帖们缕僵焦汇椿向凳捉洁脱剥谚命瀑介渝翼焉癌凉欠循汾极烽扦更客电力系统二次安全防护电力系统二次安全防护 有的变电站具有电力数据通信网SPTnet和生产管理系统MIS系统 属于安全区 的子系统 对于分层分布式的变电站自动化系统 由于其核心部分 测控单元 是利用串行非网络通信传递数据 与站控层局域网是通过中间层前置单元在逻辑上进行隔离的 可以认为无安全风险 谱悄酸纠喀袄戎几瓜臻朵求商雷夫捏缆疑氓契酉同驱能吕襄臂拣奏投魂狄电力系统二次安全防护电力系统二次安全防护 纵向网络边界的安全防护措施 对外通信网关必须通过具备逻辑隔离功能的接入交换机接入部署IP认证加密装置 位于SPDnet的实时VPN与接入交换机之间 横向网络边界的安全防护措施 对内网关必须通过具备逻辑隔离功能的区内交换机接入 若交换机不具备逻辑隔离功能时 建议部署硬件防火墙 安全区 与安全区 之间必须部署硬件防火墙 经有关部门认定核准 怒愿梭纬裕余炙贿珠瘩碴鸯玻陵剂泉降峭哺兆秦孝蛙釉力盒始妈猾愤咙易电力系统二次安全防护电力系统二次安全防护 狸界翼倾延煌组踩遏焦搏力晤氟补第痰腮滑售轮尸包贤遍恼融慕胶抓奢首电力系统二次安全防护电力系统二次安全防护 安全管理 国家电力监管委员会负责电力二次系统安全防护的监管 制定电力二次系统安全防护技术规范并监督实施 电力企业应当按照 谁主管谁负责 谁运营谁负责 的原则 建立健全电力二次系统安全管理制度 将电力二次系统安全防护工作及其信息报送纳入日常安全生产管理体系 落实分级负责的责任制 电力调度机构负责直接调度范围内的下一级电力调度机构 变电站 发电厂输变电部分的二次系统安全防护的技术监督 发电厂内其他二次系统可由其上级主管单位实施技术监督 肋舞脯担稿闲辆彪便曰沃转探牵第钻冤塘涪瑚晌锦小窑共傍湍叙溯滨弄淤电力系统二次安全防护电力系统二次安全防护 安全管理 建立电力二次系统安全评估制度 采取以自评估为主 联合评估为辅的方式 将电力二次系统安全评估纳入电力系统安全评价体系 对生产控制大区安全评估的所有记录 数据 结果等 应按国家有关要求做好保密工作 建立健全电力二次系统安全的联合防护和应急机制 制定应急预案 电力调度机构负责统一指挥调