变电站二次系统安全防护探讨.doc

变电站二次系统安全防护探讨摘要：以某变电站为例，简述二次系统安防在变电站的实施和应用情况。一、概述根据国家电力监督委员会第五号令电力二次系统安全防护规定及全国电力二次系统安全防护总体方案等有关文件要求，为防范黑客及恶意代码等对变电站电力二次系统的攻击侵害，避免由此引发的电力系统事故，保障电力系统的正常稳定运行，鄢陵供电公司开展了变电站二次系统安全防护工作。变电站二次系统安全防护的重点是确保变电站自动化系统及数据网络的安全。安全防护的重要措施是强化边界防护，同时对内部安全防护提出要求。安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致的一次系统事故或大面积停电事故，以及二次系统的崩溃或瘫痪。二、安全防护方案1、变电站二次系统安全防护应遵循“安全分区，网络专用，横向隔离，纵向认证”的全国电力二次系统安全防护总体策略。2、根据变电站二次系统的特点，各相关业务系统的重要程度和数据流程、目前状况和安全要求，将变电站电力二次系统分为三个安全区：实时控制区、非控制生产区、生产管理区。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。其中安全区的安全等级最高，安全区次之，其余依次类推。（1）安全区：实时控制区安全区中的业务系统或功能模块的典型特征为直接实现实时监控功能，是电力生产的重要必备环节，系统实时在线运行，使用调度数据网络或专用信道。变电站安全区中的典型应用有：监控系统、五防系统、安控装置、保护装置及保护设置工作站等。（2）安全区：非控制生产区安全区中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节，但不具备控制功能，使用调度数据网络，在线运行，与安全区中的系统或功能模块联系紧密。变电站安全区中典型应用有：故障录波系统、电量计费系统、保护管理工作站等。（3）安全区：生产管理区安全区中的业务系统或功能模块的典型特征为：实现电力生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度中心或控制中心工作人员的桌面终端直接相关，与安全区的办公自动化系统关系密切。变电站安全区中典型应用有：生产管理系统等。3、安全区之间横向隔离要求（1）安全区和安全区之间须采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离，应禁止E-mail、Web、Telnet、Rlogin等服务穿越安全区之间的隔离设备。（2）安全区、与安全区之间的隔离要求安全区、不得与安全区直接联系；安全区、与安全区之间应该采用经过国家有关部门认证的电力专用单向安全隔离装置。严格禁止E-MAIL、WEB、Telnet、Rlogin等网络服务和以B/S或C/S方式的数据库访问功能穿越专用安全隔离装置，仅允许纯数据的单向安全传输。4、纵向安全防护要求（1）安全区、连接的广域网为电力调度数据网；安全区、连接的广域网为电力企业数据网。（2）电力调度数据网应划分为逻辑隔离的实时子网和非实时子网，分别连接实时控制区和非控制生产区。三、项目内容本次项目主要涉及到网络结构调整及拓扑改造、网络安全产品部署、变电站保护系统及相关应用软件的改造和开发等方面，现以某变电站为例，简要介绍二次安防设备如下：1. 启明星辰天清汉马AIO-Hammer百兆防火墙1台用于变电站安全I区和安全II区之间的逻辑隔离。2. 正向单向隔离装置1台用于变电站安全I区和安全III区之间的物理隔离。3. 华为3Com Quidway S3928P-SI交换机1台用于变电站安全II区的组网。4. 研祥IPC-810B工控机1台用于读取和上传变电站电力专用横向正向隔离装置的日志信息。5. SFTP安全文件传输软件1套用于变电站安全区I到安全区III的文件传输。6. 卡巴斯基互联网安全套装1套用于变电站安全III区计算机的安全防护。7. 系统隔离装置运行监控及日志传输系统1套 四、项目实施1、某变电站原网络拓扑示意图2、安全防护实施后的变电站网络示意图3、安全防护实施说明在变电站、区之间部署一台百兆防火墙用于安全区和安全区之间的逻辑隔离；在变电站、区之间部署一台电力专用横向正向隔离装置用于安全区和安全区之间的物理隔离；在变电站区部署一台交换机用于安全区内设备的组网，如保护及故障信息子站、工控机等设备连接在此交换机上，并通过该交换机连接到电力专用横向正向隔离装置。在变电站区内部署一台工控机，并将其通过区的非实时网段交换机接入到电力专用横向正向隔离装置的内网口，用于读取和上传电力专用横向正向隔离装置的日志信息并通过电力调度数据网络上传江西电力调度中心