电站调度数据网接入与二次系统安全防护工程初步设计说明

1、 数据网络接入与二次系统安全防护工程初步设计计划目录1 项目介绍四2 设计的一般原则五2.1 设计依据五2.2 设计周长五2.3 设计原则五3 业务类型及传输需求分析六3.1 业务类型六3.2 电力调度数据网六传递的信息3.3 网络业务传输需求分析七4 技术体系七5 网络拓扑八6XX、XX梯级水电站通信情况九7x、XX梯级水电站接入拓扑九8站服务接入方案108.1 业务系统接入原则108.2 遥控信息访问118.3 电能收集系统/发电计划申报系统129 调度数据网设备配置及技术要求149.1 网络设备配置原则149.2 路由器149.3 三层交换机189.4 设备机械结构及工艺要求199.5

2、环境条件2010 机房布局及要求2111 通道要求2112 水电站二次系统安全防护总体框架要求2212.1 电力二次系统安全保护特性2212.2 整体安全策略2312.3 整体保护方案233XX、xx梯级水电站二级保障方案2713.1 安全分区2713.2 安全区 I 的安全防护2813.3 安全区安全防护2914 二次系统安全管理体系建设3114.1 建立健全安全管理机构。 3114.2 安全评估管理3214.3 项目实施过程中的安全管理3214.4 设备、应用程序和服务的访问管理3314.5 建立日常作业安全管理制度。 3315 安全防护产品技术要求3615.1 垂直加密认证设备技术要求3

3、615.2 主机加固软件技术要求3715.3 入侵检测系统技术要求3815.4 漏洞扫描系统技术要求4015.5 安全审计管理平台4315.6 杀毒系统四十四16 投资估算表451 项目介绍XX、XX梯级水电站位于一个县内，是XX在XX县开发的第一座和第二座电站。都是引水电站。 XX水电站约XX县，约平武县；电站装机容量224MW，两台机组组成发变机组连接，一台主变容量31.5MVA，110kV侧母线采用单母线配置。 XX水电站距XX县城约138公里，约平武县城。电站装机容量为222MW，发变组合为单元接线，分别与1台容量90MVA和31.5MVA的主变相连。 90MVA变压器为三匝变压器，1

4、10kV侧吸收XX电站电能升压至220kV。 10.5kV侧吸收本电站1#机电能量，2#发电机和2#主变作为单元接线连接。 220kV侧采用单母线配置。梯级电站采用集中控制方式，集中控制中心设在XX电站。130km73km65km20062000年10月，在电站调度数据网络接入车间，省调度中心根据“十一五”二次系统规划，对省调度中心水电站调度自动化信息接入提出了新要求。电网，要求水电站组织电力调度数据网络（主信道）和常规遥控信道（备用信道），将水电站调度自动化信息通过直采、直传方式传输至省级调度中心。根据电网“十一五”二次系统规划方案，按照二次电网安全保护条例和国家二次电网安全保护总体方案的要

5、求，为防止攻击电厂计算机监控系统和调度数据网络及其引发的电力系统事故，保障电力系统、电网安全防护系统和电厂计算机监控系统和调度数据网络的安全稳定运行建立和完善。实施方案应符合二次电力系统安全保护总体方案（EJ200634号）的要求。为满足省调度最新要求，XX、XX梯级水电站按照电力调度数据网双平面接入要求，分别接入省调度数据接入网和XX州调度数据接入网。数据网络设备分两套配置，XX、XX级联水电站配置两台接入路由器和四台三层交换机。接入方案按国家电网调度数据网第二平面网络（SPDnet-2）通用技术方案要求执行。同时，在电厂侧设置垂直加密认证装置，实现电厂与省调度中心通信的垂直安全防护系统。2

6、 设计的一般原则2.1 设计依据（一）“十一五”电网二次系统规划；（2）全国电力调度数据网络总体设计技术方案；（3）电力调度数据网络初步设计及技术规范；(4) 二次电力系统安全保护总体方案，No. 34 电气监督安全。20062.2 设计周长（一）根据电力调度数据网络一期工程初步设计确定的原则和省电网公司现有调度生产需求和发展需要，水电站的类型、需求和流量及调度对相关业务进行分析预测，确定XX梯级水电站接入电力调度数据网络所采用的网络技术体系和接入方案。(2)设计网络拓扑和网络方案，提出网络功能和业务范围、网络安全和网络管理的要求。(3)提出各种承载业务系统的接入方案。(4)根据业务和性能要求

7、，提出网络设备配置方案和技术指标要求。（5）提出项目主要设备清单。2.3 设计原则XX、XX梯级水电站接入电力调度数据网络方案规划设计的主要原则如下：（一）接入方案应符合电监会令5号的要求，保证电网、电厂计算机监控系统、调度数据网络等电力二次系统的安全。(2)接入方案应满足电力调度数据网络工程设计中电站接入的要求。(3)接入方案应满足电力调度和生产等各类业务的需要，充分考虑网络技术的发展方向。网络平台应具有高度的灵活性、适应性和良好的可扩展性，以满足当前和未来的网络需求。(4)接入方案应具有良好的服务质量保障机制，满足电网调度生产所需的网络功能和承载能力。（5）接入方案应满足XX、XX梯级水电

8、站安全、可靠、高效地将相关业务数据传输至省级调度中心的要求。三业务类型及传输需求分析3.1 业务类型（1）调度自动化数据业务调度自动化数据有两种，一种是保证电网安全、稳定、经济运行所必需的电网运行状态实时监测数据；二是EMS系统高级应用软件实现网络分析所需的准实时数据。（2）电力市场数据：电力市场数据包括公司电力市场技术支持系统之间交换的数据、各系统采集的数据、公司交易中心与其他公司交易中心之间交换的数据。这些数据用于电力市场的交易、查询、发布和结算，覆盖面广，信息量大，对数据的可靠性、安全性、完整性和准确性提出了很高的要求。电力市场数据主要包括用电计量数据、现货交易数据（负荷、电量、报价等）

9、、期货交易数据（负荷、电量、报价等）等市场信息。(3)电能信息数据、系统继电保护和故障录波信息数据、安全自动装置数据服务和保护记录的历史数据的非实时数据传输。3.2 电力调度数据网络传输信息调度数据网络传输的信息可分为以下两类：(1) 实时和准实时信息：遥控信息 调水自动化信息 保护故障信息处理系统的信息 相角监测信息 EMS系统之间交换的准实时数据，用于网络分析 电力市场实时信息交换 通讯监控系统信息(2) 非实时信息 电力市场数据（包括电能计量数据） 继电保护信息 安全稳定控制系统数据 发货人信息3.3 网络业务传输需求分析上述业务信息的传输优先级、传输频率、传输延迟、传输可靠性等要求不同

10、，其传输需求分析结果见下表：表 3-1 各种业务的数据传输需求列表序列号商务舱传输优先级传输频率可靠性一实时数据（1）遥控数据高秒高（2）EMS实时数据高秒高（3）电力市场实时数据高秒高2非实时数据（1）电能计量数据更高分钟级别高（2）电力市场非实时数据更高分钟级别高（3）调水自动化数据更高分钟级别高（4）保护故障数据更高随机的高四技术体系电力调度数据网络一期工程中明确电力调度数据网络采用IP技术体系，即采用IP Over SDH技术组网实现物理隔离（SDH级隔离） )在调度数据网和电力综合业务数据网之间。该系统具有以下优点：(1)符合调度应用特点。电力调度应用系统的特点比较简单，基本上是IP

11、业务。从应用特点看，应直接采用IP交换网络。(2)IP+SDH网络开销小，传输效率高。(3)网络简单，设备投资低。(4)网络层次简洁，复杂度低，有利于日常运维。 IP设备与SDH/PDH设备的接口简单、标准，便于在出现故障时进行快速定位和故障处理。(5)调度IP业务与其他IP业务物理隔离，网络安全性好，有利于系统整体安全策略的制定和部署。根据IP技术的发展趋势和调度数据网络业务的需求，并根据国家二级系统安全防护体系的要求，采用BGP/MPLS VPN技术在调度数据网络中划分两个VPN：实时控制VPN和非受控生产VPN，分别用于安全区域I（实时控制区域）和安全区域II（非控制生产区域）的广域数据

12、传输。数据网络采用MPLS VPN实现业务之间的安全隔离。采用 OSPF 作为路由协议。通过建立多个区域并配合IP地址规划，减少了路由表中的条目，避免了路由翻转对区域外网络的影响。五网络拓扑(1)层次结构基于业务量的需求和网络可扩展性的原则。考虑到网络运维的需要，调度数据网络采用三层结构，即核心层、骨干层和接入层。 XX、XX梯级水电站为接入层节点。（二）标准化、开放所采用的网络技术应当符合国际标准和国家标准，满足信息交换和传输准确、安全、可靠的要求。网络应具有开放的接口，良好的维护、测量和管理手段，实现统一的网络管理。（三）经营管理能力网络需要为用户提供不同类型的服务，并应具备良好的业务管理

13、能力。(4)具有统一分级、分散管理能力的统一网络管理系统。（5）可扩展性 考虑到用户数量和业务种类的变化，将网络建设成一个完整、统一、组网灵活、易于扩展的网络平台，可以随需求的变化而扩展。（6）安全可靠 整个网络应安全稳定，支持网络节点备份和线路保护，提供网络安全防范。(7)实时网络应满足调度业务的实时性要求。Provincial tuneDidiaoNorth Sichuan optical fiber ring networkCrystal substationXiaohe power stationFengbao hydropower stationFigure 6-1 Schemati

14、c diagram of communication network of Xiaohe and Fengyanbao cascade hydropower stations六、XX、XX梯级水电站通信状况XX、XX梯级水电站对外通信状态如图6-1所示。七XX、XX梯级水电站接入拓扑目前流域安全、电网稳定控制、电力市场水电优先、电能网关数据采集等原则要求数据直接从水电站现场的业务系统或采集设备。业务流程模型如图7-1所示：图7-7-1XX、XX梯级水电站业务流程模型根据省调度部门制定电力调度数据网络典型接入方案的要求，XX、XX梯级水电站应考虑配置接入节点设备。如图 7-2 所示：图 7-7-

15、2XX 和 XX 级联电站接入拓扑八站服务接入方案8.1 业务系统接入原理根据国家二次电力系统安全保护方案要求：根据国家二次电力系统安全保护方案要求，XX、XX梯级水电站各项业务按照安全等级分为两个区域，需要两个VPN分别交换信息：安全区I是生产控制区，所有具有实时监控功能的系统或监控功能部分都属于安全区I。本项目主要包括计算机监控系统XX和XX梯级水电站。安全区为非生产控制区。无控制功能的生产业务和系统中不受控制的部分原则上属于安全区。本项目主要包括电能计量系统和发电计划申报系统终端。数据网络采用三层结构：核心层、骨干层和接入层。省级为核心级，地方级为骨干级，XX、XX梯级水电站数据网络位于

16、接入级。 XX、XX梯级水电站设置两套数据专网机柜，所有信息通过SDH设备通道传输至省调度和XX地方调度。2M站点访问如图 8-1 所示。站点的每个业务接入节点配备接入路由器和三层交换机。采用VLAN技术。每个VPN连接一个三层交换机，两个三层交换机连接到站路由器。图8-1 厂站业务系统接入方案示意图8.2 遥控信息访问通过XX、XX梯级水电站综合计算机监控系统双通信服务器，以调度数据网络传输链路为主通道，常规专用通道为备用通道，将相关远动数据信息传输至通过101和104协议的省主调度和备用调度。图8-2为遥控信息接入示意图：图8-2 计算机监控系统接入方案示意图8.3 电能收集系统/发电计划

17、申报系统电网市场支撑系统主站位于省电力公司调度中心，由统一的网络平台、电力采集系统、发电计划申报管理系统、考核结算系统、信息发布等组成系统和调度自动化系统（EMS）系统。它是电力市场正常运行不可缺少的技术基础。省级调度电力市场技术支撑系统各子系统建立在统一的网络平台上，各子系统通过网络交换机互联互通，相互交换数据。电力调度采集主站系统采用电力调度数据专网数据传输，以拨号数据传输为辅，在电站端对电力数据进行转录。电站发电计划申报管理系统通过电力调度数据专网数据传输的结构接入主站系统，以拨号方式为备用，上报和获取计划等市场信息。如下图所示：图8-3 电能采集装置接入及发电计划申报系统9 调度数据网

18、设备配置及技术要求9.1 网络设备配置原则- 必须具有高可靠性和冗余性； 必须能够提供故障隔离功能； 必须具备快速升级的能力； 必须有更少的时间延迟； 必须具有良好的可管理性。还需要考虑：路由器的处理性能；网络的可靠性；网络的扩展能力；网络安全。9.2 路由器9.2.1 路由器的基本功能要求路由器设备必须实现以下功能。对于所提供的路由器设备，投标人应结合以下功能要求一一进行详细说明。(1) 支持IP地址与对应连接网络的链路层地址的相互映射。例如，将 IP 地址转换为以太网硬件地址（ARP 和 RARP）。(2)它应该能够支持OSPF v2或/和网关协议(IGP)如AS IS-IS和RIP v2

19、与同一自治域(AS)中的其他路由器交换路由信息和可达性信息。支持BGP 4外部网关协议与其他自治域交换拓扑信息。(3) 应能提供系统网络管控机制，包括存储/上传配置、诊断、升级、状态报告、异常情况报告及控制等。 应能提供包括数量、字节数的统计功能、端口、服务类型等信息。(4) 应能提供多种可选的物理层传输接口和适配功能。特别是支持多个E1/G.703接口的绑定功能。(5)应能提供组播功能。(6) 应能提供虚拟专用网(VPN)功能。(7) 应能支持MPLS(VPN, TE)。(8) 应能支持路由器节点的CQS功能，网络具有一定的QoS机制。(9) 应能与其他厂商的路由器设备互连，并列出（型号）。

20、9.2.2 路由器接口类型和特性要求9.2.2.1 中的路由器接口(1) 应能支持10/100BaseT自适应接口。(2) 应能支持千兆以太网接口。(3) 应能支持E1/CE1电接口。(4) 应能支持STM-1光/电接口9.2.2.2 10/100baset 接口10Mbit/s 以太网接口应符合 IEEE802.3。100Mbit/s 快速以太网接口应符合 IEEE802.3u .9.2.2.3 千兆以太网接口1000Mbit/s以太网物理接口可支持1000Base-SX和1000Base-LX相互通信。 1000BaseT 。 1000Base-SX和1000Base-LX接口要符合 IE

21、EE802.3z，1000BaseT 接口要符合 IEEE802.3ab在千兆以太网接口上支持 MPLS（MPLS OVER GIGABIT ETHERNET）。支持优先级设置/映射。在局域网中使用时，它支持虚拟冗余路由器协议（VRRP）。9.2.2.4 E1电接口E1 电接口的物理层特性应符合 ITU-T I.432 和 G.703 建议。 E1电接口的接口类型为非平衡75欧BNC接口。支持通道化模式。9.2.2.5中的sdh接口STM-1光/电接口的物理层特性应符合ITU-T G.957和国家标准的要求。9.2.3 路由器层协议和路由协议的要求9.2.3.1 链路层协议 路由器应能支持地址

22、解析协议（ARP）、反向地址解析协议（RARP）和点对点协议（PPP）；对于核心层和骨干层的路由器，它们也应该能够支持IP在SDH上传输的协议，即RFC1619/2615。9.2.3.1.1 地址解析协议（ARP）实现 ARP 的路由器必须遵守 RFC 中的 ARP。如果只是因为ARP缓存中没有对应的目的地址，则不允许链路层上报目的不可达错误；链路层在执行ARP请求/响应序列时要缓存数据包，只有在请求无结果后才报告目的地不可达。11229.2.3.1.2 点对点协议（PPP）点对点协议的实现必须符合 RFC1661、RFC1331、RFC1334 和 RFC1994。9.2.3.2 互联网层协

23、议应支持 IP、ICMP、IGMP 和其他协议。9.2.3.3 互联网层转发协议路由器的包转发过程应符合RFC791、RFC950、RFC922、RFC792和RFC1349的Internet层协议；应支持传输控制协议（TCP）和用户数据报协议（UDP）。9.2.3.4 路由协议路由器应支持默认路由、静态路由和RIPv2、OSPF、BGP4等动态路由协议，并说明是否支持IS-IS路由协议。9.2.3.5 MPLS 协议路由器应完全支持 MPLS 协议。9.2.3.6 差异化服务协议（Diff-Serv）路由器应支持差异化服务协议。9.2.3.7 排队策略和拥塞控制路由器应提供先进的拥塞控制机制

24、，以不同方式处理不同级别的流量。设备应支持为每个队列或用户分配相对独立的带宽资源，并为所有应用提供不同的时延、不同的时延抖动、不同的带宽保证、不同的丢包率等要求。设备每个物理接口支持的队列数不少于4个。提供路由器各接口模块可以提供的队列数量，可以实现的队列调度算法，队列对性能的综合影响。9.2.4 接入路由器详细技术指标功能技术指标参数要求包转发能力200kpps接口槽数4配置 DRAM 内存256M配置内存32M支持的接口类型0/100baset，E1 电路端口，V.24冗余电源11最大快速以太网访问数10最大E1接口数16整机不间断工作时间200,000 小时延时100s用户协议IP，AT

25、M，帧中继路由协议OSPF、BGPv4、BGP4扩展、RIPv2路由器/安全协议SNMP、RMON II、在线升级、在线打补丁服务质量流量分类和流量监管 CAR/LR、流量整形 GTS、拥塞管理 PQ/CQ/WFQ/CBQ、拥塞避免 WRED网络安全用户认证、RADIUS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持（过滤接口/时间段/MAC地址）、高性能NAT。标记交换LDP、MP-BGP工程流程MPLS/TE虚拟专用网络MPLS/VPN多播PIM，IGMP9.3 三层交换机9.3.1 基本技术要求与千兆以太网三层交换机相比，它具有三层路由功能，其主要功能包括以下几个方面：(1)接口

26、功能：支持1000Base-SX、1000Base-LX、1000Base-T、100Base-FX 和 100Base-T 接口。(2)逻辑链路层的功能：以太网交换机必须实现LLC支持的类型1操作。(3) 数据帧转发功能：不同端口连接的桥接交换机MAC 用户数据帧在 Mac 之间交换。(4) 数据帧过滤功能：为防止数据帧重复，交换机不会将某些端口上的数据帧转发（丢弃）到其他接口。(5)IP包转发功能：根据路由表，在端口（包括逻辑端口）之间转发包，重写链路层数据信息。(6)路由信息维护功能：该功能负责运行路由协议和维护路由表。(7)维护决定数据帧转发和过滤的信息：交换机必须维护数据帧转发/过滤

27、信息。(8)操作维护功能：开关必须实现操作维护功能。(9)网管功能：交换机必须实现网管接口和协议。(10) 在任何配置下，所有端口都以线速切换转发。（11）支持OSPF、RIP等网关协议（IGP）。(12) 支持802.1X认证，提高网络安全性。9.3.2 详细技术指标功能技术指标参数要求背板容量=8G最大转发性能=6Mpps处理器内存64M支持的接口类型0/100baset，100M光口（单模、多模），GE可扩展千兆模块=2固定数量的FE接口=24路由表容量=2K延时线速切换VLAN 特性支持基于端口的VLAN、802.1qVlan封装、802.1D。Spanning-tree，最大Vlan

28、数=256，支持GVRP媒体访问控制=8K路由表条目8K基本功能端口镜像；优先/802.1p；流量控制/802.3x；港口聚合/802.3ad， = 8；堆码数量=16；支持服务质量协议特征802.1X，RSTP组播协议支持 GMRP、PIM-DM、PIM-SM、IGMPI 和 GMP。窥探和其他协议生产树协议支持STP/RSTP协议，符合IEEE802.1D和IEEE 802.1W。标准安全的分级命令保护机制，ACL过滤设施管理管理的集群数 = 256； SNMP； RMON 1/2/3/9； 系统日志；支持WEB管理，支持MIB-II9.4 设备机械结构及工艺要求(1)设备的整体机械结构应

29、充分考虑安装维护的方便性和扩容或调整设备数量的灵活性，实现硬件模块化。结构应有足够的强度和刚度，设备的安装固定方式应具有抗振抗震能力，地面荷载不应超过/m2，以免损坏设备或常规运输、储存和安装后变形。400kg(2) 机箱（包括路由器和交换机）及所有部件均安装在标准机架内。机箱上的各种板卡和模块应为嵌入式，易于插拔，并配有定位和锁定装置。板和模块应标有指导。机架上可能接触到接线和危险电压的部位必须加盖，高压等危险部位应有专门的标志。(3)设备表面处理要好，表面处理层要牢固，对易生锈、易氧化的部位进行特殊处理，使设备能长期耐腐蚀、防蛀、防锈。所有喷（漆）件表面应平整光滑，颜色一致，无划痕、斑点、

30、流挂、脱落、损伤。所有电镀件表面应有金属光泽，无裂纹、锈斑、毛刺和缺陷。9.5 环境条件(1) 海拔高度：至少 400 米。(2) 抗震性1）地面水平加速度：0.2g2）地面垂直加速度：0.1g3）基本地震烈度：(3) 工作环境温度1）长期工作条件：10352）短期工作条件：045（短期工作条件连续不超过48h，每年不超过15天）(4) 工作相对湿度1）长期工作条件：20%80%2）短期工况：10%90%（短期工况连续不超过48h，每年不超过15天）（5）路由器等设备应能适应不同区域环境条件，无需空调即可运输和存放，安装后不影响正常运行。对此，投标人应作出相应说明。(6) 路由器等设备应具备相

31、应的防尘能力。如果机房内粒径大于5微米的粉尘（非导电性、导磁性和腐蚀性）浓度不大于3x104个/m3，路由器等设备不应出现故障和性能下降。(7)路由器等设备应具备相应的抗电磁干扰能力。当路由器等设备在0.01-10000MHz频率范围内受到电场强度为140dBuV/m的外部电磁波干扰时，应该不会出现故障和性能下降。(8)路由器等设备应采用交流220V供电方式。投标人应详细说明所提供的各类设备的供电要求，并给出各类节点和设备的耗电量和总耗电量。(9) 采用额定电压为220V的单相交流电源时，路由器等设备应能在一定的电压波动范围内正常工作。允许电压范围为+15%-15%，50Hz频率为+5%-5%

32、，线电压波形畸变率小于5%。(10)机房接地电阻一般不超过2欧，路由器等设备应有相应的接地措施。低层通信传输设备一般采用共接地方式，与建筑物接地体相连，而计算机应用系统一般与建筑物接地体隔离。10 机房布局及要求（1）新增加的双面调度数据网络机柜（2260X800X）布置在中控室。600mm(2)中控室的接地电阻值一般不超过2欧，路由器等设备应有相应的接地措施。（3）调度数据网络柜采用双UPS电源供电；交流电：220V10，50Hz5。11 通道要求XX电站提供：XX、XX梯级电站-水晶220KV变压器-省级调度。XX电站提供：XX、XX梯级电站-水晶220KV变电站-XX地面调度。12 水电

33、站二次系统安全防护总体框架要求12.1 电力二次系统安全保护特点二次电力系统安全保护具有系统性和动态性。12.1.1 系统化二次系统由电站各业务系统的子网组成，其中通过不同的通信方式和协议承载各种不同安全要求的应用。采用网络分层分区的方式实现信息的组织和管理。这些因素决定了电力二次系统的安全保护是一项系统工程。电站安全防护工作要细致、全面、清晰、合理；要积极配合上级和调度机构的安全管理工作，在做好部门安全防护的同时，在区域和全球层面形成合理优化的防护体系。12.1.2 动态二次系统安全防护的动态由两个方面决定。一是通信技术和计算机网络技术的不断发展；二是电力二次系统本身的变化。随着新病毒、恶意

34、代码和网络攻击的出现，静态安全防护策略已不能满足二次系统网络信息安全的要求，安全防护系统必须采用实时、动态、主动的防护思路。同时，二次系统部门不断更新、扩充和合并，安全要求也随之变化。因此，安全防护是一个长期的、循环的、不断改进和适应的过程。图 12-1 所示的 P2DR 模型是二级系统安全保护动态特性的直观表示。图 12-1 P2DR 安全防护动态模型12.2 整体安全策略 安全分区根据业务在系统中的重要性和对主系统的影响程度进行分区。所有系统都必须放置在相应的安全区域中。 专网安全区边界清晰，专区根据业务的重要性提出不同的安全要求，制定不同强度的安全防护措施。特别强调，为保障生产控制业务，

35、应建设电力调度数据网络，实现与其他数据网络的物理隔离，并在专用网络上形成多个逻辑上相互隔离的子网。技术手段，保证上下安全区域的垂直互联只能在同一个安全区域进行，避免安全区域的垂直交叉。 横向隔离 安全区域与安全区域内的通信通道之间采用不同强度的安全隔离，设备可以有效保护各个安全区域内的业务系统。 垂直认证采用认证、加密、访问控制等手段，满足远程通信中各类数据的性、完整性和可用性要求，防止远程攻击和非法操作，形成垂直边界的安全防御，与调度机构和上级管理单位建立可靠的互信沟通机制。12.3 整体防护方案12.3.1 安全区划分二次电源系统划分为不同的安全工作区域，体现了各区域业务系统重要性的差异。

36、不同的安全区域决定了不同的安全防护要求，从而决定了不同的安全等级和防护等级。根据电力二次系统的特点、现状和安全要求，将整个二次系统划分为两个区域：生产控制区域和管理信息区域。生产区分为实时控制区和非控制区。信息管理区域可以根据业务系统进行细分。(1) 生产控制区 安全区（控制区）是指由各种具有实时监控功能的业务系统组成的安全区域，垂直连接到电力调度数据网络的实时子网或专用通道。控制区业务系统或其功能模块（或子系统）的典型特征是：是电力生产的重要环节，直接实现对一次电力系统的实时监控，垂直利用电力调度数据网络或专用通道，是安全防护的关键和核心。 安全区（非控制区）在生产控制区，是由在线运行但不直

37、接参与控制的各种业务系统组成的安全区域，是电力生产过程中的必要环节，与非实时子网垂直连接。使用电力调度数据网络。非控制区业务系统或功能模块的典型特征是：是电力生产的必要环节，在线运行但无控制功能，使用电力调度数据网络，与业务系统或功能紧密联系。控制区域中的模块。(2) 管理信息区根据二次电力系统安全保护条例，在不影响生产控制区安全的前提下，管理信息区可根据企业不同的安全要求划分为安全区。原则上应分为安全区（生产管理区）和安全区（管理信息区）。12.3.2 系统分区原理的应用1）根据实时性、用户、功能、场所、系统与各业务系统的关系、广域网通信方式、攻击后的影响，将系统划分为各个安全区域。2) 实

38、时控制的功能或系统必须放置在安全区域内。3) 在二次电源系统中，不允许将属于高安全区的业务系统迁移到低安全区。允许将属于低安全区的业务系统终端设备放置在高安全区，供属于高安全区的人员使用。4）当部分业务系统的次要功能与根据主要功能选择的安全区域不一致时，可以将业务系统按照不同的功能模块划分为若干子系统，分别放置在各个安全区域中。每个子系统通过安全区域之间的通信构成整个业务系统。5）自封闭业务系统是一个孤立的业务系统，其划分规则没有要求，但必须符合其所在安全区域的安全防护规定。12.3.3 各安全区防护的基本要求1）安全区和安全区要求： 禁止在安全区 I 和安全区 II 提供电子邮件服务。 安全

39、区域 I 中的 Web 服务被禁止。 II区允许垂直Web服务，其专用Web服务器和Web浏览工作站位于“非军事区”网段。专用Web服务器是一种安全的Web服务器，已被保护并支持S。二区的Web浏览工作站和业务系统工作站不能共享，业务系统必须主动向Web服务器单向传输数据。 、安全区禁止使用IDS与防火墙联动。 安全区第二部分允许采用B/S结构的系统，必须采取措施对系统进行密封。 安全区和安全区重要业务的鉴权加密机制。 对安全一区和安全二区的相关系统之间采取访问控制等安全措施。 对安全区和安全区的拨号接入业务，用户应使用Unix或Linux操作系统，并采取认证、加密、访问控制等安全保护措施。

40、安全一区和安全二区应部署安全审计措施，将安全审计与安全区网管系统、入侵检测系统（IDS）、敏感业务服务器的登录认证和授权、应用访问权限等相结合。 Security Zone I 和 Security Zone II 必须采取措施防止恶意代码。病毒库和木马库的更新必须离线进行，不能直接从网上下载。 安全区 I 和 II 的系统必须经过安全评估。2) 安全三区要求： Safe Zone III 允许打开电子邮件和 Web 服务。 安全三区拨号接入业务必须采取门禁等安全防护措施。 安全三区必须采取防病毒和恶意代码措施。3）安全IV区的保护应严格按照二次电源系统的整体安全保护方案进行。12.3.4 安

41、全区之间水平隔离的要求应在所有安全区域之间选择具有适当安全强度的隔离装置。具体隔离设备的选择不仅要考虑网络安全的要求，还要考虑带宽和实时性的要求。隔离装置必须为国产设备，并经国家或电力系统有关部门认证。1）安全区和安全区之间的隔离要求：安全区和之间应使用硬件防火墙或相关部门认可批准的等效设备，用于逻辑隔离、消息过滤、状态检测和访问控制等服务。 as-mail、Web、Telnet、Rlogin 禁止跨安全区之间的隔离设备。2）安全区与安全区之间的隔离要求：安全区与之间应通过硬件防火墙或相关部门认可认可的等效设备进行逻辑隔离、消息过滤和访问控制。3) I、II安全区与III、IV安全区之间的隔离

42、要求：I、II安全区不得与IV安全区直接相连，I、II安全区之间必须使用经有关部门批准的专用隔离装置。安全区 III。特殊隔离装置分为正向隔离装置和反向隔离装置。从安全区和到安全区的单向传输信息必须采用正向隔离装置，从安全区到安全区甚至安全区的单向数据传输必须采用反向隔离装置。反向隔离设备采用签名认证和数据过滤措施（禁止使用E-MAIL、Web、TELnet、Rlogin等）。12.3.5 安全区域与远距离通信的纵向安全防护要求安全区和安全区连接的广域网是电力调度数据网SPDnet，它应该采用MPLS-VPN技术，分别为安全区和提供两个逻辑隔离的MPLS-VPN。 I、II安全区接入SPDne

43、t时，应配备垂直加密认证设备，实现网络层双向身份认证、数据加密和访问控制。与安全区相连的WAN为发电集团/公司的电力数据通信网络，SPDnet应与电力数据通信网络物理隔离。安全区内的电力数据通信网络的接入应配置硬件防火墙。加强外网边界通信网关的操作系统，在I、II安全区的对外通信网关中增加加密、认证和过滤功能。3XX、XX梯级水电站二级保障方案根据电力二次系统安全防护总体方案的具体要求，并结合电厂业务系统二次系统安全防护现状，确定本次安全防护工程的原则如下：作为生产控制区域内业务系统的通信通道，调度网络不被视为一个独立的系统。计算机监控系统应该是安全防护的核心。本设计重点关注各系统之间的横向通

44、信和与上级单位和调度终端的纵向通信接口保护。生产控制系统/设备的远程拨号维护界面由于禁止策略，不再反映在当前情况描述中。设备之间的硬接线不被视为通信连接，但在本设计中被视为安全。入侵侦测系统;防止病毒入侵网络传播；13.1 安全分区 安全区：包括计算机监控系统。计算机监控系统是实时生产监控系统，是整个安全防护的核心。 安全区：包括电能采集系统和报价系统。数据的非实时性质是分钟、小时、天、月甚至年。分区如图 13-1 所示。这一阶段的重点是设计区域 I 和 II 的安全措施。图 13-1 安全分区规划13.2 安全区的安全防护I区计算机监控系统为独立系统，不与电厂二级业务系统通信，不考虑横向隔离

45、。安全I区的网络结构和安全防护产品如下： 采用鉴权加密装置，实现安全I区与省调度垂直通信之间的安全隔离。在安全I区的实时VPN交换机上增加入侵系统，监控I区系统与电力调度数据网络之间的网络边界。 安全一区配备漏洞扫描系统。图 13-2I 区域安全保护13.3 安全区安全防护安全区包括：电能计量系统、报价系统和继电保护及故障信息系统。安全区各应用系统与其他安全区业务系统无横向数据交换；但二区业务接入调度数据网络时，应采用垂直加密认证装置进行保护。在安全区II的非实时VPN交换机上增加入侵检测系统，监控安全区II系统与电力调度数据网络之间的网络边界。 II区安全防护如图13-3所示：图 13-3

46、II 区安全防护14 二次系统安全管理体系建设除技术措施外，还必须加强二次电力系统的安全防护，按照“三技七管”的原则，认真落实安全管理。具体措施如下。14.1 建立健全安全管理机构。系统搭建一套安全审计平台：14.1.1 建立完善的安全责任体系。按照“谁负责、谁负责”、“谁负责、谁负责”的原则，建立二级系统安全防护小组。团队成员由各业务代表组成，成员负责各自业务涉及的应用系统的安全防护。应任命一名专门的保安员来管理该组的事务。管理层应指定专人协调、安排和指导安全小组的工作，配合上级信息安全组织的工作。14.1.2 明确各类人员的安全责任。1）管理负责人是安全防护的第一责任人，其安全职责为：负责

47、组织相关人员建立所辖二次电力系统的安全防护体系； 定期检查安全防护执行情况及审核结果；定期组织人员进行安全评估； 组织人员认真分析安全事故，及时向上级汇报；2) 二次系统安全保护的职责是： 参与建立所辖电力二次系统的安全防护体系； 负责部署在各个安全区域的横向和纵向边界的安全产品。日常运维；定期对受管电力二次系统进行安全检查和评估；负责及时处理所辖二次电力系统的安全事故； 负责基本安全知识的咨询和培训。3) 安全防护团队成员的职责是：在专业维护的应用系统中设置和调整部署的安全产品的安全策略，定期审计安全产品的日志，并将结果报告给安全人员。及时对单位收费。4）电力二级专业系统普通人员的安全职责：

48、严格遵守各项安全管理制度； 保护我的密码、数字证书、钥匙、IC卡等安全设施。一旦泄露或丢失，我应该立即报告。14.2 安全评估管理1）二次电力系统的安全评估应尽可能由电力部门相关单位进行；确需聘请外部系统相关机构进行评估的，需聘请已通过相关国家结构认证的合格国家单位；电力系统重点部门要配备必要的安全扫描和检测工具，并尽量自行开展日常安全检查。2) 安全评估包括：风险评估、攻击演练、漏洞扫描、安全系统评估、安全设备部署和性能评估、安全管理措施评估等。不允许任何安全评估过程的记录、数据和结果以任何形式在被评估单位进行。3）新生产设备或信息系统投入运行前、旧系统安全整改后、重大改造升级后，必须进行安

49、全评估；应定期（一年或两年）评估二次电力系统。14.3 项目实施过程中的安全管理1) 二次系统所有相关设备和系统的供应商必须承诺所提供的设备和系统不存在任何安全隐患，并承担由此造成的设备和系统生命周期内的连带责任（从交付退役）；2）接入电力调度数据网络的节点、设备和应用系统，须经二级系统安全防护小组批准，并报一级电力调度机构备案；3）二次系统的安全防护方案须经上级主管单位审核批准，完成后须经上级有关部门验收；安全防护方案的实施必须严格遵守相关规定，确保部署的安全装置的可用性指标达到99.99%；4) 二级专业电力系统在投运前必须进行安全评估。14.4 设备、应用和服务的访问管理1) 在已建立安

50、全防护体系的电力二次系统中，对任何新设备、应用和服务的接入，必须经本单位安全管理员和本单位安全主管备案并批准后，方可在本单位的监督下实施接入。安全管理员；2) 严禁安全I区和安全II区的工作站和服务器以任何方式与Internet、其他安全区域和任何外部网络连接；原则上不允许拨号功能。如果确实需要拨号服务，则必须配置强认证机制。原则上应拆除安全区、安全区的PC等微机的软盘驱动器、光驱、USB接口、串口等，或通过安全管理平台严格管理，防止病毒传播。病毒等恶意代码。个人电脑如确需插USB-key，应严格管理；3）二次电力系统安全区和区连接的安全产品，必须使用国家相关安全部门认证的国产产品，电力专用安

51、全产品也必须经过主管部门检测认证电力安全；这些安全产品必须通过电力系统强电磁环境下的电磁干扰和电磁兼容测试。14.5 建立日常作业安全管理制度。1）门禁制度 电力二级专业系统的机房和重要场所必须建立合理、严格的门禁制度。2）人员管理明确各级人员的安全责任，定期检查各级人员安全责任的落实情况。3) 网络管理严格规范网络用户的操作行为。对违法经营行为作出明确处罚。 网络部门禁止擅自使用拨号方式访问Internet等外部公共网络。应严格检查与网络外部的连接。 定期检查网络设备的安全设置，扫描网络系统漏洞，及时修补发现的网络系统漏洞。4) 门禁管理 对重要数据和信息实行明确的安全分类，严格限制其访问用

52、户群。相关内容应以文件形式明确。 访问控制的粒度要达到用户组/用户级别，通过权限分配的方式进行控制。原则上建议删除默认用户，否则要严格限制默认用户的权限。 安全管理人员应定期检查各应用系统的访问条件和访问规则，并调整问题和时间。5）权限管理 针对不同的专业业务系统，按照最小化原则，赋予不同的用户实体和用户相应的访问权限和操作权限。 为超级用户或特权用户设置复杂密码，删除临时用户和未使用用户，为WINDOWS系统管理员设置强密码。 禁止任何应用程序以超级用户身份运行。6) 应建立文件管理和严格的文件管理制度，明确文件生成、发布、使用、修订、保存和失效过程的操作规程。定义文档范围、等级和用户。应特

53、别注意电子文件的使用、保存和发布。7) 安全防护系统的维护和管理。每个安全区域都建立了安全防护系统硬件和软件相结合的维护机制，负责收集相关安全装置的日志记录和状态，并进行综合处理，以发现安全事故、非法入侵、及时发现安全漏洞和安全装置故障。8) 常规设备和系统的维护和管理：及时保护或加固设备和系统；对每个系统和设备的故障处理制定计划，并经常进行预演；及时了解相关系统软件漏洞，发布信息，及时加强；出现安全故障，及时报告，保护现场，恢复系统。9) 恶意代码（病毒、木马等）防护 发布病毒报告，相应升级杀毒软件，有效上报各种公共系统软件的漏洞及相应的软件补丁；部署升级后的杀毒软件，跟踪查杀效果；向上级报

54、告新病毒和其他恶意代码的入侵。10) 审计管理维护安全设备和网络设备（如隔离设备、垂直加密认证设备、入侵检测系统、防火墙、路由器、交换机等）和关键系统（如计算机监控系统、机组状态监控系统、水调度自动化系统等）；仔细保存日志；由具有特殊权限的安全管理员管理，及时分析，对各种非法行为进行病毒和黑客攻击检查；根据情况修改设备的安全策略并采取其他相应措施。11）数据和系统备份管理 数据备份：各种专业系统的实时数据库和历史数据库必须定期备份，备份的数据必须存放在可靠的介质中，并与系统分开存放，并制定详细的数据库故障恢复计划数据备份应制定和预览。 计算机系统备份：专业系统的所有计算机系统（包括操作系统和应

55、用系统）都应完整备份在可靠的介质中，并存放在安全的地方；要制定完善可靠的系统快速恢复方案，并定期进行演练。12) 用户密码管理人员的登录名和密码设置必须经过批准；密码应有足够的长度和复杂性，并随时间更新；严格限制系统超级管理员的登录名和密码；丢失或忘记登录名和密码的用户，应申请新的登录名和密码；用户转出后，应立即取消登录名和密码。13) 培训和管理。安全产品生产企业应当负责对安全防护队伍相关成员进行详细培训，加强电站安全人员的安全技术知识，提高电站自主解决安全问题的能力。定期对员工进行电力二次系统安全防护知识培训，形成制度并持之以恒，确保各项安全措施的可靠落实。14) 紧急处理 必须制定事故应

56、急处理方案，并进行预演或模拟验证，以尽可能维持生产管理运行为目标；一旦发生安全事故（被黑客、病毒等人的破坏），应根据情况立即采取相应的安全应急措施：加强防护、断开对方连接、追溯及处理其他措施；并及时向与本单位直接相关的电力调度机构和地方信息安全主管部门报告，保护事故现场，分析事故情况； 恢复与维护：系统损坏时，应按预先制定的应急预案进行恢复；采取立即完全恢复、部分恢复或启用备份系统恢复（保护站点）等措施。15) 关节保护 与上级及其他电厂紧密合作，共同开展安全防护工作； 如发生安全事故或受到病毒、黑客攻击，应及时向上级报告，并通知联网单位采取联合防护措施，防止事故扩大，确保正常运行的整个系统。

57、15项安全防护产品技术要求注：垂直加密认证装置必须使用国产设备和系统。15.1 垂直加密认证设备技术要求电力控制系统局域网与电力调度数据网络路由器之间放置专用电力加密认证装置，用于保证电力调度系统纵向数据传输过程中的数据、完整性和真实性.同时满足电源专用应用层通信协议的转换功能，实现端到端的选择性保护。专用电力加密认证装置的功能要求如下：垂直加密认证网关可以为VPN提供电力调度数据网络通信的认证和加密功能，实现对数据传输的保护。满足电源专用通信协议（104、TaseII等）的转换和应用过滤功能。采用电力专用分组密码算法和公钥密码算法，支持身份认证、信息加密、数字签名和密钥生成与保护。提供基于R

58、SA公私钥对的数字签名和特殊加密算法的数字加密。采用专用的嵌入式安全操作系统，系统无TCP/IP协议栈。支持明文通信和密文传输，支持标准的802.1Q VLAN封装协议，可实现不同网段的无缝透明接入。具有应用层通信协议转换功能。审计功能，支持双机热备，基于数字证书的图形界面。15.2 主机加固软件技术要求1.基于数字签名认证控制未经授权的访问。在操作系统的内核层，用户是通过数字签名进行认证的，而认证证书本身是通过加密算法加密存储的，所以不能被伪造。用户只有使用数字证书通过正常认证后才能访问系统。基于数字签名认证机制，可以防止未经授权的超级用户非法停止进程或中断系统。2.灵活全面的门禁控制可以根

59、据用户需求管理系统调用，保护文件、系统和进程，防止攻击造成的数据篡改，防止未经授权的用户中断进程和系统服务，保证服务器稳定运行。3.主动入侵防御和审计跟踪防止内核层的BOF（Buffer Overflow）攻击，防止获取ROOTSHELL。当出现安全问题时，强制终止恶意进程并自动屏蔽相应IP，并通过管理控制台实时报警。当系统入侵或违反安全策略时，用户或程序在网络层和系统部门被封锁，系统向管理员发出警报。审计日志记录所有与安全有关的核事件，并提供多种报告格式供使用。4、实现权限与最小权限的分离。操作系统访问控制的最佳策略是权限分离和最小权限原则。通过严格区分系统管理员和安全管理员的权限，控制超级

60、用户（Windows 管理员，Unix/Linux 根用户）的权限，可以有效防止我们人员的非法访问和外部攻击。5.程序自我保护使用 Kernel Sealing 技术来管理内核模块的加载/卸载可以阻止对内核的恶意攻击。主机加固系统具有Kernel Stealth功能，隐藏安全内核，自动保护主机加固系统的程序目录和文件，可以防止安全内核程序被删除，将安全风险降到最低。六、经营环境“零影响”系统应采用动态可加载模块技术，保证服务器加固管理系统在安装或卸载时无需重启系统。通过从内核层拦截文件访问控制，增强了操作系统的安全性，不修改操作系统的内核。15.3 入侵检测系统技术要求1）产品需取得以下资质证