电力系统安全防护总体方案

1、电力系统安全防护总体方案 PAGE * roman ii目录 HYPERLINK l _TOC_250063 前言1 HYPERLINK l _TOC_250062 电力系统安全防护的总体原则2 HYPERLINK l _TOC_250061 适应范围2 HYPERLINK l _TOC_250060 安全防护目标2 HYPERLINK l _TOC_250059 相关的安全防护法规4 HYPERLINK l _TOC_250058 电力系统安全防护策略5 HYPERLINK l _TOC_250057 电力系统的安全区划分5 HYPERLINK l _TOC_250056 电力系统四安全区拓

2、扑结构8 HYPERLINK l _TOC_250055 电力系统安全防护方案的步骤9 HYPERLINK l _TOC_250054 电力系统安全防护技术11 HYPERLINK l _TOC_250053 电力数据通信网络的安全防护11 HYPERLINK l _TOC_250052 备份与恢复12 HYPERLINK l _TOC_250051 防病毒措施13 HYPERLINK l _TOC_250050 防火墙13 HYPERLINK l _TOC_250049 入侵检测 IDS13 HYPERLINK l _TOC_250048 主机防护13 HYPERLINK l _TOC_25

3、0047 数字证书与认证14 HYPERLINK l _TOC_250046 专用安全隔离装置16 HYPERLINK l _TOC_250045 IP 认证加密装置18 HYPERLINK l _TOC_250044 WEB 服务的使用与防护18 HYPERLINK l _TOC_250043 EMAIL 的使用19 HYPERLINK l _TOC_250042 计算机系统本地访问控制19 HYPERLINK l _TOC_250041 远程拨号访问19 HYPERLINK l _TOC_250040 线路加密设备21 HYPERLINK l _TOC_250039 3.15 安全“蜜罐”

4、21 HYPERLINK l _TOC_250038 应用程序安全21 HYPERLINK l _TOC_250037 关键应用系统服务器安全增强21 HYPERLINK l _TOC_250036 安全审计22 HYPERLINK l _TOC_250035 安全产品整体部署23 HYPERLINK l _TOC_250034 调度中心（地调及以上）系统安全防护方案24 HYPERLINK l _TOC_250033 调度中心各系统安全区的划分24 HYPERLINK l _TOC_250032 调度自动化系统的安全防护24 HYPERLINK l _TOC_250031 电力交易系统的安全

5、防护27 HYPERLINK l _TOC_250030 电能量计量系统的安全防护30 HYPERLINK l _TOC_250029 水调自动化系统安全防护方案32 HYPERLINK l _TOC_250028 继电保护和故障录波信息系统的安全防护34 HYPERLINK l _TOC_250027 调度生产管理系统的安全防护37 HYPERLINK l _TOC_250026 调度控制中心的安全部署38 HYPERLINK l _TOC_250025 配电系统安全防护方案41 HYPERLINK l _TOC_250024 配电系统典型配置41 HYPERLINK l _TOC_2500

6、23 配电系统边界分析42 HYPERLINK l _TOC_250022 配电系统物理边界和安全部署参考图44 HYPERLINK l _TOC_250021 变电站系统安全防护方案46 HYPERLINK l _TOC_250020 变电站应用系统环境分析46 HYPERLINK l _TOC_250019 变电站系统边界分析47 HYPERLINK l _TOC_250018 变电站系统安全整体部署图49 HYPERLINK l _TOC_250017 发电厂系统安全防护方案51 HYPERLINK l _TOC_250016 参考逻辑结构51 HYPERLINK l _TOC_2500

7、15 整体安全部署54 HYPERLINK l _TOC_250014 安全管理57 HYPERLINK l _TOC_250013 建立完善的安全管理组织机构57 HYPERLINK l _TOC_250012 安全评估的管理58 HYPERLINK l _TOC_250011 具体安全策略的管理58 HYPERLINK l _TOC_250010 工程实施过程的安全管理58 HYPERLINK l _TOC_250009 设备、应用及服务的接入管理58 HYPERLINK l _TOC_250008 建立完善的安全管理制度59 HYPERLINK l _TOC_250007 运行管理59

8、HYPERLINK l _TOC_250006 应急处理61 HYPERLINK l _TOC_250005 联合防护61 HYPERLINK l _TOC_250004 附录一 数据资源安全等级的 CIA 测度63 HYPERLINK l _TOC_250003 附录二 服务等级的测度63 HYPERLINK l _TOC_250002 附录三 接口类型的定义63 HYPERLINK l _TOC_250001 附录四 环境信任度的测度64 HYPERLINK l _TOC_250000 附录五 主要术语的中英文对照64 PAGE * roman iii图形索引图 1 电力系统逻辑结构示意图

9、2图 2 安全防护的 P2DR 模型4图 3 电力系统安全防护总体示意图8图 4 电力系统四安全区的三种拓扑结构9图 5 电力系统安全防护总体方案的实施进度10图 6 电力数据业务与网络的关系示意图12图 7 典型远方控制过程及典型认证加密方式15图 8 安全隔离装置部署示意图16图 9 拨号防护示意图20图 10 安全代理方式加强应用系统22图 11 调度系统安全产品部署示意图23图 12 EMS 系统的逻辑边界示意图24图 13 EMS 系统的物理边界及安全部署示意图26图 14 电力交易系统的逻辑边界示意图27图 15 电力交易系统的物理边界及安全部署示意图28图 16 电能量计量系统逻

10、辑边界示意图30图 17 电能量计量系统的物理边界及安全部署示意图31图 18 水调自动化系统的逻辑边界示意图32图 19 水调自动化系统安全产品部署示意图33图 20 继电保护和故障录波信息系统的逻辑边界示意图34图 21 继电保护和故障录波系统安全部署过渡方案示意图36图 22 继电保护和故障录波系统安全部署最终方案示意图37图 23 调度生产管理系统的整体安全部署示意图38图 24 调度中心系统安全防护总体结构示意图39图 25 配电自动化系统典型配置图41图 26 配电系统的逻辑边界示意图42图 27 配电系统物理边界和安全部署参考图44图 28 变电站系统典型配置图46图 29 变电

11、站系统的逻辑边界示意图47图 30 变电站系统安全产品部署示意图49图 31 水电厂系统参考逻辑结构图 A51图 32 水电厂系统参考逻辑结构图 B52图 33 火电厂系统参考逻辑结构图53图 34 水电厂系统整体安全部署图 A54图 35 水电厂系统整体安全部署图 B55图 36 火电厂系统安全部署图55- PAGE 9 -前言电力系统安全防护总体方案是依据国家经贸委2002第 30 号令电网和电厂计算机监控系统及调度数据网络安全防护的规定（以下简称规定）的要求，并根据我国电力系统的具体情况制定的，目的是规范和统一我国电力系统安全防护的方案设计、工程实施和运行监管，重点防范对电网和电厂计算机

12、监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。全国电力系统是指各级电力监控系统和调度数据网络（SPDnet）以及各级电网管理信息系统（MIS）、电厂管理信息系统、电力通信系统及电力数据通信网络（SPTnet）等构成的超级复杂的巨大系统。本文件制定电力系统安全防护的总策略，确定安全区的划分原则，明确各安全区之间在横向及纵向上的防护原则，提出电力系统安全防护的总体方案， 指导各有关单位具体实施。电力系统安全防护总体方案由以下几个部分组成：电力系统安全防护的总体原则；电力系统安全防护的技术措施；调度中心（地调及以上）系

13、统安全防护方案；配电（含县调）系统安全防护方案；变电站系统安全防护方案；发电厂系统安全防护方案；电力系统安全管理。电力系统安全防护的总体原则适应范围本安全防护总体方案的基本防护原则适用于电力系统中各类应用和网络系统，总体方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。电力系统逻辑结构如图 1 所示。电力通信系统、电力信息系统、电厂信息系统等可参照本总体方案制定具体安全防护方案。本总体方案中的“计算机监控系统”，包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度

14、自动化系统、电能量计量计费系统、电力市场交易系统等；“调度数据网络”包括各级电力调度专用数据网络、用于远程维护及电能量计费等的拨号网络、各计算机监控系统接入的本地局域网络等。图 1 电力系统逻辑结构示意图安全防护目标安全防护目标电力系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及系统的崩溃或瘫痪。风险分析随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立，要求在调度中心、

15、电厂、用户等之间进行的数据交换也越来越多。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，Internet 技术已得到广泛使用，E-mail、Web 和 PC 的应用也日益普及，但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时，对网络安全问题重视不够，使得具有实时控制功能的监控系统，在没有进行有效安全防护的情况下与当地的 MIS 系统互连，甚至与因特网直接互连，存在严重的安全隐患。除此之外，还存在采用线路搭接等手段对传输的电力控制信息进行窃听或篡改，进而对电力一次设

16、备进行非法破坏性操作的威胁。电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。电力系统面临的主要安全风险见表 1。表 1 电力系统面临的主要风险优先级风险说明举例0旁路控制（Bypassing Controls）入侵者对发电厂、变电站发送非法控制命令， 导致电力系统事故，甚至系统瓦解。1完整性破坏（Integrity Violation）非授权修改电力控制系统配置、程序、控制命令；非授权修改电力交易中的敏感数据。2违反授权（Authorization Violation）电力控制系统工作人员利用授权身份或设备， 执行非授权的操作。3工作人员的随意行为（Indiscretion

17、）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截篡改（InterceptAlter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（Illegitimate Use）非授权使用计算机或网络资源。6信息泄漏（Information Leakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web 服务欺骗攻击；IP 欺骗攻击。8伪装（Masquerade）入侵者伪装合法身份，进入电力监控系统。9拒绝服务（Availability，egDenial of Service）向电力调度数据网络或通信网关发送大量雪崩数据，造成

18、网络或监控系统瘫痪。10窃听（Eavesdropping，egData Confidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击做准备。安全防护的特点电力系统是一个大系统，并且在不断发展变化，电力系统安全防护具有系统性和动态性，本方案仅代表当前的认识水平及具体实施环境，今后随着安全防护的实施将逐步完善和提高。安全防护工程是永无休止的动态过程。图 2 为以安全策略为核心的动态安全防护模型。动态自适应安全模型的设计思想是将安全管理看作一个动态的过程，由安全分析与配置、实时监测、报警响应审计评估等过程的不断循环构成，安全策略应适应网络的动态性。因此， 安全工

19、程的实施过程要注重系统性原则和螺旋上升不断发展的原则。Protection策略Response反应Detection检测防护图 2 安全防护的 P2DR 模型系统性原则不但要求在实施电力系统中各子系统的安全防护时不能违反电力系统的整体安全防护方案，同时也要求从技术和管理等多个方面注重安全防护工作的落实。本方案提出的单项安全防护措施仅从安全角度看并不一定是最优的，但是必须全系统综合考虑，结合当前的具体情况，确保措施实施后，系统的安全性得到了加强。螺旋发展的原则表明安全工程的实施过程不是一蹴而就的，而是一个持续的、长期的“攻与防”的矛盾斗争过程。一定要不断完善安全检测手段、响应机制、防护措施和安全

20、策略， 将电力系统安全防护工作作为电力安全生产的重要内容。相关的安全防护法规关于维护网络安全和信息安全的决议，全国人大常委会 2000 年 10 月审议通过；中华人民共和国计算机信息系统安全保护条例，国务院 1994 年发布；计算机信息系统保密管理暂行规定，国家保密局 1998 年发布；涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法，国家保密局 1998 年发布；计算机信息网络国际联网安全保护管理办法，公安部 1998 年发布；计算机信息系统安全保护等级划分准则（GB 178591999），公安部 1999年发布；电网和电厂计算机监控系统及调度数据网络安全防护的规定，国家经贸委20

21、02第 30 号令；电力工业中涉及的国家秘密及具体范围的规定，电力工业部和国家保密局1996 年发布。电力系统安全防护策略电力系统安全防护的基本原则电力系统安全防护的基本原则为：系统性原则（木桶原理）；简单性和可靠性原则；实时、连续、安全相统一的原则；需求、风险、代价相平衡的原则；实用与先进相结合的原则；方便与安全相统一的原则；全面防护、突出重点的原则；分层分区、强化边界的原则；整体规划、分步实施的原则；责任到人，分级管理，联合防护的原则。电力系统安全防护总体策略电力系统的安全防护策略为：分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内

22、；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。安全区隔离。采用不同强度的安全隔离设备使各安全区内的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。网络隔离。在专用通道上建立调度专用数据网络，实现与其他数据网络物理隔离。并通过采用 MPLSVPN 或 Ipsec-VPN 在专网上形成多个相互逻辑隔离的 VPN， 以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。纵向防护。采用认证、加密等手段实现数据的远方安全传输。电力系统的安全区划分根据电力系统的特点，各相关业务系统的重要程度和数据流程、目前状况和安全

23、要求，将整个电力系统分为四个安全区：实时控制区、非控制生产区、生产管理区、管理信息区。不同的安全区确定的不同的安全防护要求，从而决定了不同的安全等级和防护水平。其中安全区的安全等级最高，安全区次之，其余依次类推。(一) 安全区：实时控制区安全区中的业务系统或功能模块的典型特征为直接实现实时监控功能，是电力生产的重要必备环节，系统实时在线运行，使用调度数据网络或专用通道。安全区的典型系统包括调度自动化系统(SCADA/EMS)、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信经由电力调度数据网 SPDnet-VPN1。该

24、区中还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要求为毫秒级或秒级。安全区是电力系统中最重要系统， 安全等级最高，是安全防护的重点与核心。(二) 安全区：非控制生产区安全区中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节， 但不具备控制功能，使用调度数据网络，在线运行，与安全区中的系统或功能模块联系紧密。安全区的典型系统包括调度员培训模拟系统（DTS）、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等，其面向的主要使用者分别为电力调度员、水电调度员、继电保护人

25、员及电力市场交易员等。该区数据的实时性是分钟级、小时级，其外部通信边界为电力调度数据网 SPDnet-VPN2。(三) 安全区：生产管理区。安全区 中的业务系统或功能模块的典型特征为：实现电力生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度中心或控制中心工作人员的桌面终端直接相关，与安全区的办公自动化系统关系密切。该区的典型系统为调度生产管理系统（DMIS）、统计报表系统（日报、旬报、月报、年报）、雷电监测系统、气象信息接入等。该区的外部通信边界为电力数据通信网 SPTnet-VPN1。(四) 安全区：管理信息区安全区中的业务系统或功能模块的典型特征为：实现电力信

26、息管理和办公自动化功能，使用电力数据通信网络，业务系统的访问界面主要为桌面终端。该区包括管理信息系统（MIS）、办公自动化系统（OA）、客户服务等。该区的外部通信边界为 SPTnet-VPN2 及因特网。业务系统或功能模块置于安全区的规则根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于四个安全区之中。实时控制系统或未来可能有实时控制功能的系统需置于安全区。如：广域相量测量系统（WAMS），实时性很强，近期主要用于监测，以后将与安全自动控制系统相结合用于在线控制，所以置于安全区。电力系统中不允许把本属于高安全区的业务系统迁移

27、到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员使用。如： 继电保护及故障录波信息管理系统在安全区，但其中执行继电保护投退及远方修改定值功能的工作站应放在安全区。调度自动化系统中的 SCADA/EMS 功能置于安全区，而没有控制功能的 DTS 功能则置于安全区中。某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可根据业务系统的数据流程将不同的功能模块（或子系统）分置于各安全区中，各功能模块（或子系统）经过安全区之间的通信来构成整个业务系统。如：电力市场运营系统中的交易处理子系统、电能量计量系统等置于安全区 ，而保价处理功能模块和信息发布功能模块

28、可以至于安全区、或。自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。各电力系统原则上均应划分为四安全区，但并非四安全区都必须存在。某安全区不存在的条件是其本身不存在该安全区的业务，且与其它电网系统在该层安全区不存在“纵”向互联。如果省略某安全区而导致上下级安全区的纵向交叉，则必须保留安全区间的隔离设备，以保障安全防护体系的完整性。安全区之间的横向隔离要求在各安全区之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。1）安全区与安全区之间的隔

29、离要求：安全区与安全区的业务系统都属电力生产系统，都采用电力调度数据网络，都在线运行，数据交换较多，关系比较密切，可以作为一个逻辑大区（生产控制区）。、区之间须采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离，应禁止 E-mail、Web、Telnet、Rlogin 等服务穿越安全区之间的隔离设备。2）安全区与安全区之间的隔离要求：安全区与安全区的业务系统都属管理信息系统，都采用电力调度数据网络，数据交换较多，关系比较密切，可以作为另一个逻辑大区（管理信息区）。、区之间应采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离。3）安全区、与安全区、之间的隔离要求：安全区、不得与安全区

30、直接联系；安全区、与安全区之间必须采用经有关部门认定核准的专用安全隔离装置。专用安全隔离装置分为正向型和反向型，从安全区、往安全区必须采用正向安全隔离装置单向传输信息，由安全区往安全区甚至安全区的单向数据传输必须经反向安全隔离装置。严格禁止 E-MAIL、WEB、TELnet、Rlogin 等网络服务和数据库访问功能穿越专用安全隔离装置，仅允许纯数据的单向安全传输。反向安全隔离装置采用签名认证和数据过滤措施，仅允许纯文本数据通过，并严格进行病毒、木马等恶意代码的查杀。安全区、与安全区、之间的专用安全隔离装置应该达到或接近物理隔离的强度。安全区与远方通信的纵向安全防护要求安全区、连接的广域网为国

31、家电力调度数据网 SPDnet。其中采用 MPLS-VPN 技术构造的 SPDnet 为安全区、 分别提供二个逻辑隔离的 VPN1 和 VPN2，对不具备MPLS-VPN 的某些省、地区调度数据网络，可通过 IPSec 技术构造 VPN 子网，VPN 子网可提供二个逻辑隔离的子网。安全区连接的广域网为国家电力数据通信网 SPTnet。安全区、接入 SPDnet 时，应配置 IP 认证加密装置，实现网络层双向身份认证、数据加密和访问控制。也可与业务系统的通信网关设备配合，实现部分传输层或应用层的安全功能。如暂时不具备条件或业务无此项要求者，可以用硬件防火墙代替。安全区接入 SPTnet 应配置硬

32、件防火墙。处于外部网络边界的通信网关的操作系统应进行安全加固，对、区的外部通信网关建议配置数字证书。传统的基于专用通道的通信不涉及网络安全问题，可逐步采用线路加密技术保护关键厂站及关键业务。各安全区内部安全防护的基本要求（一）对安全区及安全区的要求：禁止安全区 / 内部的 E-MAIL 服务。禁止安全区的 WEB 服务。允许安全区内部及纵向 WEB 服务。但 WEB 浏览工作站与区业务系统工作站不得共用，而且必须由业务系统向 WEB 服务器单向主动传送数据。安全区 /的重要业务（如 SCADA/AGC、电力交易）应该采用认证加密机制。安全区 /内的相关系统间必须采取访问控制等安全措施。对安全区

33、 /进行拨号访问服务，必须采取认证、加密、访问控制等安全防护措施。安全区 /应该部署安全审计措施，边界上应部署入侵检测系统，如 IDS 等。安全区 /必须采取防恶意代码措施。（二）对安全区要求：安全区允许开通 EMAIL、WEB 服务。对安全区拨号访问服务必须采取访问控制等安全防护措施。安全区应该部署安全审计措施，边界上应部署入侵检测系统， 如 IDS 等。安全区必须采取防恶意代码措施。（三）本方案对安全区不做详细要求。线路加密设备图 3 电力系统安全防护总体示意图电力系统四安全区拓扑结构电力系统四安全区的拓扑结构有三种模式，这三种模式均能满足电力系统安全防护体系的要求。详见图 4 所示的链式

34、结构、三角结构和星型结构。非控制生产区实时控制区生产管理区专用安全隔离装置防火墙链式结构非控制生产区生产管理区实时控制区防火墙专用安全隔离装置专用安全隔离装置三角结构非控制生产区实时控制区生产管理区专用安全隔离装置汇 聚防火墙星形结构图 4 电力系统四安全区的三种拓扑结构电力系统安全防护方案的步骤电力系统安全防护方案的实施必须分阶段进行，大致可分为以下六个阶段：第一阶段是理清流程，修补漏洞。需要对本地系统的物理配置、连接关系，以及信息流程有明晰的认识，必须有业务系统的详细的物理连线图及数据流图。第二阶段是调整结构，清理边界。按照安全防护方案，做好相应的安全区规划，将各类系统置于对应的安全区内，

35、并增加必要的设备，对各类应用系统和网络设备的配置进行相应的修改。第三阶段为研究部署专用安全隔离装置（横向）。第四阶段为研究部署 IP 认证加密装置（纵向）。第五阶段全面部署认证机制。在研究部署各类专用装置和与认证机制的基础上，全面部署认证机制。第六阶段为现系统改造和新系统开发。要求系统各研究、生产单位按照方案的要求研制新系统，并对现有系统进行改造。- PAGE 19 -安全强度现系统改造新系统开发第6阶段研究部署认证机制研究部署纵向安全部署第5阶段第4阶段部署横向隔离装置结构调整清理边界第3阶段第2阶段理清流程修补漏洞第1阶段实施阶段图 5 电力系统安全防护总体方案的实施进度电力系统安全防护技

36、术电力数据通信网络的安全防护电力系统涉及到的数据通信网络包括：国家电力调度数据网 SPDnet，国家电力数据通信网 SPTnet。电力调度数据网络 SPDnet 的安全防护网络的特点与安全隔离国家电力调度数据网络 SPDnet 是专用网络，承载业务是电力实时控制业务、在线生产业务以及本网网管业务。SPDnet 采用 IP 交换技术体制，构建在 SDH/PDH 的 n*2Mbps 专用通道上面，实现了与其它数据网络的物理层面的安全隔离，并且接入网络的安全区/的相关系统在本地与安全区/的系统实行了物理隔离措施，因此整个网络与外界其它网络实现了安全隔离。网络路由防护按照目前的调度管理体制及 IP 网

37、络技术体制，国调、网调、省调和三峡节点将构成调度数据网的骨干网，形成穿越自治（路由）域；省调与地调和县调节点构成各省内部的调度数据网（简称省网），形成接入自治（路由）域。各省网与骨干网通过两点互联，协议拟采用BGP4。省网之间不设直接互联路由。在建网初期，由于网络规模较小，网架尚未完善，业务需求也不高，因此，可先采用静态路由和单点接入方式实现省网与骨干网的域间互联。采用 MPLS VPN 技术，将实时控制业务、非控制生产业务分割成二个相对独立的逻辑专网：实时 VPN1 和非实时 VPN2，路由各自独立，在网络路由层面不能互通，其中实时 VPN 还保证了实时业务的网络服务质量 QoS；而网管业务

38、隔离于在二个 VPN 之外。同时，对路由器之间的路由信息交换进行 MD5 签名，保证信息的完整性与可信性。网络边界防护网络边界防护主要措施包括：边界的封闭性，即网络接入点是有限的、明确的，与外部系统不存在隐藏的联接。边界的可信性，即通过边界接入的网络设备是可信任的，考虑结合基于 IEEE802.1X 与数字证书来实现接入认证。实施在所有网络边界接入点的安全措施应该提供一致的安全强度。各省级调度数据网在其核心节点（省调）处与国家调度数据骨干网相应的汇聚节点对接， 完成省网的接入。省调的网络应用系统应通过接入交换机接入省内调度数据网核心节点。在省调度数据网未建成前，可暂接入骨干网的汇聚节点。运行安

39、全对网络设备运行管理采取必要的安全措施，保证运行安全。关闭或限定网络服务；禁止缺省口令登录；避免使用默认路由；网络边界关闭 OSPF 路由功能；采用安全增强的 SNMPv2 及以上版本的网管系统。国家电力数据通信网 SPTnet 的安全防护国家电力数据通信网 SPTnet 为国家电网公司内联网，技术体制为 IP over SDH，主干速率 155Mbps，该网承载业务主要为电力综合信息、电力调度生产管理业务、电力内部 IP 语音视频以及网管业务，该网不经营对外业务。SPTnet 使用私有 IP 地址，与 Internet 以及其它外部网络没有直接的网络连接。对应电力综合信息、电力调度生产管理业

40、务、电力内部 IP 语音视频三类业务，SPTnet 采用 MPLS-VPN 技术构造三个 VPN：调度 VPN1、信息 VPN2 以及语音视频 VPN3，三类业务分别通过专用的接入路由器接入各自 VPN。对于厂站接入不作统一要求。电力数据业务与通信网络的关系SDH/PDH传输网SDH(155M)SDH(N 2M)信息VPNSPTnet语音视频VPN调度VPN在线生产实时控制数据业务与网络关系示意图如下：调度生产管理电力综合信息IP语音视频非实时VPN实时VPNSPDnet图 6 电力数据业务与网络的关系示意图备份与恢复数据与系统备份对关键业务的数据与应用系统进行备份，确保在数据损坏或系统崩溃的

41、情况下快速恢复数据与系统，保证系统的可用性。设备备用对关键主机设备、网络设备或关键部件进行相应的备份，对安全区的业务应采用热备份，其它安全区的业务可根据需要选用备份方式（热备份、温备份、冷备份），避免单点故障影响系统可靠性。异地容灾对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份， 提供系统级容灾功能，保证在大规模灾难情况下保持系统业务的连续性。防病毒措施病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区、的主机与工作站。对安全区和病毒特征码必须以离线的方式及时更新。防火墙防火墙产品可以部署在本地的安全区与安全区之间、安全区与安全区之间，实现两

42、个区域的逻辑隔离、报文过滤、访问控制等功能。在本地网到调度数据网的边界，如暂时无法部署 IP 认证加密装置，可暂由防火墙替代，以保证本地调度系统的安全。防火墙安全策略主要是基于业务流量的 IP 地址、协议、应用端口号以及方向的报文过滤。具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。入侵检测 IDSIDS 系统的主要功能包括：实时检测入侵行为，事后安全审计。根据技术原理，IDS 可分为以下两类：基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。对于安全区与，建议统一部署一套 IDS 管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其 IDS

43、 探头主要部署在：安全区与的边界点、SPDnet的接入点以及安全区与内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。对于安全区，禁止使用安全区与的 IDS，建议与安全区的 IDS 系统协调部署。主机防护主机安全防护主要的方式包括：安全配置、安全补丁、安全主机加固。安全配置通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理操作系统及应用软件的安装与使用。安全补丁通过及时更新操作系统安全补丁，消除系统内核漏洞与后门。主机加固安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合

44、规定的主机安全策略，防止主机权限被滥用。关键应用系统主机以下主机必须采取主机防护措施：关键应用，包括调度自动化系统（SCADA）、变电站自动化系统、电厂监控系统、配电自动化系统等的主服务器、电力市场交易主服务器等。网络边界处的主机，包括通信网关、Web 服务器。数字证书与认证公钥技术是利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服务的统一的技术框架。公钥技术中最主要的安全技术包括两个方面：公钥加密技术、数字签名技术。公钥加密技术可以提供信息的保密性和访问控制的有效手段，而数字签名技术则提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及

45、在通信结束之后保证双方相互信赖的有效机制。全国电力调度统一建设基于公钥技术的调度证书服务系统，由相关主管部门统一颁发调度系统数字证书，为电力监控系统、调度生产系统及调度数据网上的关键应用、关键用户和关键设备提供数字证书服务。在数字证书基础上可以在调度系统与网络关键环节实现高强度的身份认证、安全的数据传输以及可靠的行为审计。证书类型电力调度业务系统及数据网络中需要发放数字证书的对象主要包括：调度系统内部关键应用系统服务器，目前包括调度端 SCADA 系统、电力交易系统、厂站端的控制系统；以上关键应用系统的相关人员，包括用户、管理人员、维护人员；关键设备：通信网关机、IP 认证加密装置、安全隔离装

46、置、线路加密设备、以及部分网络设备（如厂站端接入交换机）。数字证书为这些实体提供以下安全功能支持：支持身份认证功能、支持基于证书的密钥分发与加密、支持基于证书的签名以及基于证书扩展属性的权限管理。因此调度系统数字证书类型包括：人员证书关键应用的用户、系统管理人员以及必要的应用维护与开发人员，在访问系统、进行操作时需要的持有的证书。程序证书某些关键应用的模块、进程、服务器程序运行时需要持有的证书。设备证书网络设备、服务器主机，在接入本地网络系统与其它实体通信过程中需要持有的证书。证书的应用人员证书，主要用于用户登陆网络与操作系统、登陆应用系统，以及访问应用资源、执行应用操作命令时对用户的身份进行

47、认证，与其它实体通信过程中的认证、加密与签名，以及行为审计。具体应用方式参见本章以下小节：Web 服务的使用；关键应用服务器的安全增强；远程拨号的防护。程序证书，主要用于应用程序与远程程序进行安全的数据通信，提供双方之间的认证、数据的加密与签名功能。建议的应用方式为：远程通信中一对通信网关中的通信进程之间的安全通信。设备证书，主要用于本地设备接入认证，远程通信实体之间的认证，以及实体之间通信过程的数据加密与签名。具体应用方式参见本章以下小节：专用安全隔离装置户IP 认证加密装置户远程拨号的防护纵向通信认证示意调度员最终用户调度自动化系统当地认证应用层服务SCADA服务器网关机2接入交换机IP认

48、证加密装置SPDnet MPLS VPN网络层4IP认证加密装置接入交换机网关机当地监控服务器间隔单元执行装置厂站自动化系统工作站服务器间IP认证加密机间对于调度中心到厂站端的纵向数据通信与典型控制过程，其中涉及到的通信实体之间的认证关系示意如下：图 7 典型远方控制过程及典型认证加密方式对于该控制过程和通信过程，主要考虑的是两个系统之间的认证，具体实现可以由两个通信网关之间的认证实现，或者两处 IP 认证加密装置之间的认证来实现。本技术框架对 IP 认证加密装置之间的认证进行了建议，具体认证过程参见相关章节。数字证书的发放与管理鉴于：在安全区、中，数据网络是确定的，人员和设备都是确定的，与公

49、共因特网上的情形很不相同；电力监控系统对实时性和可靠性要求很高；五级电力调度体系采用半军事化管理方式，具有分层分级负责安全生产管理制度， 这本身就是非常好的安全防护资源，可以充分利用；在安全区、中总体证书数量不多；所以，电力调度系统数字证书的发放及管理模式可以进行简化，简化原则如下：数字证书的信任体系必须统一规划，上级调度机构为所属下级调度机构和直调厂站的相关部分签发证书；数字证书的格式和加密算法必须全系统统一；数字证书的生成、发放、管理可以尽量局部化；密钥生成、管理可以尽量局部化；数字证书的生成设备可以微型化、节约费用；数字证书服务应该嵌入各相关应用系统，以提高实时性和可靠性。数字证书系统的

50、实施数字证书系统的实施原则为：统筹安排，先期试点，结合应用，分步实施。公钥技术和数字证书系统的实施必须紧密结合具体应用系统，为应用系统提供实用的基础安全服务。现有应用系统必须进行相应的改造，才能达到预定的安全强度。新系统的开发必须适应本总体方案的要求。应用系统的改造是长期的艰苦的工作，应该先进行试点，分步实施。专用安全隔离装置环境描述电力专用物理隔离装置作为安全区 I与安全区的必备边界，要求具有最高的安全防护强度，是安全区 I横向防护的要点。其中，安全隔离装置（正向）用于安全区 I到安全区的单向数据传递；安全隔离装置（反向）用于安全区到安全区 I的单向数据传递。设备部署如下图：安全隔离装置（正

51、向） 安全隔离装置（反向）图 8 安全隔离装置部署示意图专用安全隔离装置（正向）安全隔离装置（正向）应该具有如下功能：实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；表示层与应用层数据完全单向传输，即从安全区到安全区/的 TCP 应答禁止携带应用数据；透明工作方式：虚拟主机 IP 地址、隐藏 MAC 地址；基于 MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；支持 NAT；防止穿透性 TCP 联接：禁止内网、外网的两个应用网关之间直接建立 TCP 联接， 应将内外两个应用网关之间的 TCP 联接分解成内外两个应用网关分别到隔

52、离装置内外两个网卡的两个 TCP 虚拟联接。 隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输；具有可定制的应用层解析功能，支持应用层特殊标记识别；安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。专用安全隔离装置（反向）专用安全隔离装置（反向）用于从安全区到安全区/传递数据，是安全区到安全区/的唯一数据传递途径。专用安全隔离装置（反向）集中接收安全区发向安全区/的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给安全区/内部的接收程序具体过程如下：安全区内的数据发送端首先对需要发送的数据签名，然后发给专用安全隔离装置（反向）；专用安全隔离装置（反向）接

53、收数据后，进行签名验证，并对数据进行内容过滤、恶意代码检查、有效性检查等处理；将处理过的数据转发给安全区/内部的接收程序。其功能要求如下：具有应用网关功能，实现应用数据的接收与转发；具有应用数据内容有效性检查功能；具有基于数字证书的数据签名和验证功能；实现两个安全区之间的非网络方式的安全的数据传递；支持透明工作方式：虚拟主机 IP 地址、隐藏 MAC 地址；支持 NAT；基于 MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；防止穿透性 TCP 联接；安全保障要求专用安全隔离装置本身应该具有较高的安全防护能力，其安全性要求主要包括：采用非 INTEL 指令系统的（及兼容）的

54、微处理器；精简的、安全的、固化的操作系统；不存在设计与实现上的安全漏洞；能够抵御除 DoS 以外的已知的网络攻击。IP 认证加密装置应用说明IP 认证加密装置用于安全区的广域网边界防护，作用之一是为本地安全区 提供一个网络屏障，类似包过滤防火墙的功能，作用之二是为网关机之间的广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护。近期作为过渡防护措施，可以使用防火墙代替 IP 认证加密装置对安全区进行一定程度的边界防护。安全功能要求IP 认证加密装置之间支持基于数字证书的认证；对传输的数据通过数据签名与加密进行数据真实性、机密性、完整性保护；支持透明工作方式与网关工作方式；具有基于 I

55、P、传输协议、应用端口号的综合报文过滤与访问控制功能；采用“Agent”技术，实现装置之间智能协调，动态调整安全策略；性能要求：10M100M 线速转发，支持 100 个并发会话。详细的技术规范参见附件：电力调度专用 IP 认证加密装置技术规范说明。安全保障要求安全操作系统内核、非 Intel 指令集；不存在设计与实现上的安全漏洞；能够抵御除 DOS 以外的已知的网络攻击；具有方便的安全管理与维护手段。Web 服务的使用与防护在安全区、，以及电力调度数据网 SPDnet 环境中，Web 服务可以分为两种形式： 横向浏览与纵向浏览。横向 Web 浏览指跨越不同安全区的浏览，例如 Web 服务器位

56、于安全区，而客户端浏览器位于安全区。纵向 Web 浏览指上下级同安全区之间的 Web 浏览，例如 Web 服务器位于省调级安全区，而客户端浏览器位于地调级安全区。安全区禁止 Web 服务由于安全区是整个系统的防护重点，其向安全区以及整个 SPDnet 提供 Web 服务将引入很大的安全风险。因此在安全区中禁止 Web 服务，而将数据导入安全区，在安全区中进行数据发布。同时禁止安全区中的计算机使用浏览器访问安全区的 Web 服务。安全区的安全 Web 服务安全区中的 Web 服务将是安全区与的统一的数据发布与查询窗口。考虑到目前 Web 服务的不安全性，以及安全区的 Web 服务需要向整个 SP

57、Dnet 开放，因此在安全区中将用于 Web 服务的服务器与浏览器客户机统一布置在安全区中的一个逻辑子区Web 服务子区，置于安全区的接入交换机上的独立 VLAN 中。并且 Web 服务器采用安全 Web 服务器，即经过主机安全加固的、支持 HTTPS 的 Web 服务器，能够对浏览器客户端进行基于数字证书的身份认证以及应用数据加密传输。需要在 Web 服务子区开展安全 Web 服务的应用限于：电力市场交易系统、DTS 系统。安全区和的 Web 服务安全区和安全区支持普通 Web 服务，横向浏览与纵向浏览都可以支持，但对跨区浏览必须加以限制，可采用口令、证书等技术手段。Email 的使用由于

58、Email 服务会引入高级别安全风险，因此安全区与中禁止 Email 服务，杜绝病毒、木马程序借助 Email 传播，避免被攻击或成为进一步攻击的跳板。在安全区和安全区中提供 Email 服务。计算机系统本地访问控制技术措施结合用户数字证书技术，对用户登录本地操作系统、访问系统资源等操作进行身份认证，根据身份与权限进行访问控制，并且对操作行为进行安全审计。使用方式当用户需要登陆系统时，系统通过相应接口（如 USB、读卡器）连接用户的证书介质，读取证书，进行身份认证。通过认证后，进入常规的系统登陆程序。应用目标对于调度端安全区中的 SCADA 系统，安全区中的电力市场交易系统，厂站端的控制系统等

59、重要系统要求采用本地访问控制手段进行保护。远程拨号访问拨号的防护策略远程用户与工作站与系统本地具有相同的安全信任度与防护级别；远程用户与工作站的安全防护是基础和前提；在拨号连接建立过程中对拨号实体（用户或者设备）进行基于数字证书的身份认证， 通过后才可以建立网络层的连接；对通信过程中的认证信息与应用数据进行完整性、机密性保护；对授权的用户进行合理的权限限制，在经过认证的连接上应该仅能够行使受限的网络功能与应用防护措施应该对用户操作、应用性能、以及便携程度产生尽量小的影响。防护措施- PAGE 29 -拨号的防护措施可以采用链路层保护方式、或者网络层保护方式。链路保护方式：使用专用链路加密设备，

60、实现以下安全功能： 户两端链路加密设备相互进行认证； 户对链路帧进行加密。网络保护方式：采用远程访问 VPN 方式：在拨号服务器（ RAS）与本地网络之间设置拨号认证加密装置，结合用户数字证书，对远程拨入的用户身份进行认证，通过认证后，在远程拨入用户与拨号认证加密装置之间建立 IPSecVPN，对网络层数据进行机密性与完整性保护。相关的安全产品包括：用户端的 IPSecVPN 客户端插件及相应的加密卡、RAS 端的拨号认证加密装置（包括相应的加密设备）。拨号认证加密装置可以是单独的设备，置于 RAS 与本地网络之间，也可以与 RAS 集成在一个物理设备中。两种拨号防护方式示意图如下：远程拨号访