镇江二次系统安全防护

1/6镇江二次系统安全防护1、总则镇江电力二次系统安全防护技术措施是依据中华人民共和国国家经济贸易委员会第30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定、电力二次系统安全防护方案（第七稿）和江苏电力调度通信中心制定的江苏电力二次系统安全防护整改方案，并根据我市电网调度系统的具体情况编制的，通过对目前地区电网和计算机监控系统及调度数据网络存在安全问题的分析，给出具体可行的解决方案，并分步实施，从而达到保护电网安全的目的，通过方案中相关技术措施的实施来保障地区电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。2、防护重点和范围安全防护范围包括镇江地调、县调、变电站的计算机监控系统以及调度数据网络。其中计算机监控系统,包括各级电网调度自动化系统、变电站自动化系统、配电网自动化系统、微机保护和安全自动装置等；调度数据网络包括各级电力调度专用广域数据网络、用于远程维护的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。电力二次系统安全防护的重点是抵御病毒、黑客等2/6通过各种形式对系统发起的恶意破坏和攻击，重点保护实时闭环监控系统及调度数据网络的安全。二、安全防护总体整改原则1、二次系统安全防护总体策略（1）分区防护、突出重点根据系统中业务的重要性和对一次系统的影响程度，按其性质和通信边界划分为安全四个区，即实时控制区、非控制生产区、调度生产管理区、管理信息区，重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内，纳入统一的安全防护方案。（2）区域隔离采用各类强度的隔离装置实现逻辑隔离或物理隔离，使核心系统得到有效保护。（3）网络专用在专用通道上建立电力调度专用数据网络，实现与其他数据网络物理隔离，并通过采用MPLSVPN形成多个相互逻辑隔离的VPN，实现多层次的保护。（4）设备独立不同安全区域的系统必须使用不同的网络交换机设备。（5）纵向防护近期在调度数据网的接入交换机上配置访问控制策略；远期采用认证、加密等手段实现数据的远方安全传输。（6）持续性原则在系统受到攻击时，应该优先保3/6证关键业务的可用性；对同一安全等级区域的所有连接实施安全措施后，应该使它们具有相同的剩余风险。2、各安全区内系统和业务的防护原则（1）安全、区系统防护原则A、安全区、区禁止与INTERNET连接，禁止使用邮件服务；B、安全区、区不得与安全、区直接建立网络连接；C、安全区、区与安全区之间必须采用经有关部门认定核准的专用隔离装置。从安全区、区往安全区单向传输信息须采用正向隔离装置，由安全区往安全区甚至安全区的单向数据传输必须采用反向隔离装置；D、安全区、区与调度数据网络之间纵向连接近期用硬件防火墙进行隔离，远期使用IP认证加密装置实现网络层双向身份认证、数据加密和访问控制；E、对于安全、区安全区域内部业务系统之间网络数据需求，近期通过在互联路由器中配置访问控制策略实现，远期添加IP认证加密装置实现数据可靠性认证（目前镇江地区安全、区域内部业务系统之间无数据交换的需求）；F、在安全、区的重要业务系统应逐步采用数字4/6证书与认证方式。G、对于变电站计算机监控系统，不得采用双网卡跨接方式，即一块网卡连接MIS网，一块网卡连接安全区实时系统的网络连接方式。（2）安全、区系统防护原则根据省电力公司关于调度系统与信息系统之间实施安全隔离的通知，安全、区系统防护原则如下A、按业务系统重要性、相关性划分为不同的VLAN，服务器、调度员工作站必须单独划分网段；B、服务器网段、调度生产专用计算机、生产管理系统计算机禁止与INTERNET连接；C、DMIS交换机与三级数据网DMISVPN之间近期采用防火墙实施隔离，远期添加IP认证加密装置；D、在安全区、区之间近期先对区交换机设置访问控制策略，将来考虑添加千兆硬件防火墙实施安全隔离；E、对于安全和区中的计算机机均不得双网卡跨接方式，即一块网卡连接DMIS/MIS网、一块网卡连接安全区实时系统的网络连接方式。三、镇江供电公司二次系统现状分析1、镇江供电公司二次系统安全区的划分按照镇江公司二次系统的特点、运行情况、业务流5/6向和安全防护的要求，整个二次系统分为四个安全工作区（1）安全区实时控制区，是安全防护的重点和核心，具体包含下列各系统镇江地调调度自动化系统EMS（OPEN2000）、镇江市区配网自动化系统（DF9000）、各变电站的计算机监控系统；四市（县）调度/监控系统；江苏电力调度三级数据网实时VPN、镇江地区调度四级数据网实时VPN。（2）安全区非控制生产区，具体包含下列各系统镇江市区通信监控系统；保护管理信息系统（变电站侧）；江苏电力调度三级数据网非实时VPN、镇江地区调度四级数据网非实时VPN。（3）安全区生产管理区，具体包含下列各系统省地调DMIS系统（PI2000）、电网调度运方专业DMIS系统（自行开发）、各实时系统的安全WEB、调度通信中心对外数据发布WEB；江苏电力调度三级数据网DMIS生产VPN。（4）安全区管理信息区，具体包含下列各系统配电管理GIS系统、公司生产MIS系