QCSG1204009-2015电力监控系统安全防护技术规范

工作秘密公开前Q/CSG中国南方电网有限责任公司企业标准Q/CSG1204009-2015电力监控系统安全防护技术规范2016-01-01发布2016-01-01实施-1- 12.规范性引用文件 13.术语和定义 1 3.2电力调度数据网络 23.3公用通信网络 23.4专线通道 23.5电力监控系统安全防护设备 23.6控制区 23.7非控制区 24.总则 25.安全防护目标 36.安全防护设计原则 37.安全防护总体策略 3 37.2网络专用 37.3横向隔离 47.4纵向认证 48.安全防护总体结构 48.1总体结构模型 48.2安全分区规则 5 5 5 6 8.3安全区互联结构 9.安全防护技术措施 9.1安全区间横向网络边界安全防护 9.2安全区纵向网络边界安全防护 9.3调度数据网安全防护 9.4公用通信网络安全防护 9.5安全区内部安全防护 9.6电力数字证书技术及应用 -2-9.7入侵检测措施 9.8安全WEB服务 9.9防病毒措施 9.10远程拨号安全防护 9.11应用系统安全 9.12操作系统安全 9.13支撑系统系统安全 9.15数据备份与恢复 209.18访问控制措施 20 209.20商用密码管理 209.21综合监管平台 209.22运维安全审计 209.23安全防护评估和测评 2010.省级及以上调度控制中心监控系统安全防护结构规范 2111.地、县级调度控制中心监控系统安全防护结构规范 2412.变电站监控系统安全防护结构规范 2612.1500KV及以上变电站监控系统安全防护结构规范 2612.1.1500kV及以上变电站监控系统安全防护总体逻辑结构 12.1.2500kV及以上变电站监控系统互联方案1实施细节 12.1.3500kV及以上变电站监控系统互联方案2实施细节 12.1.4500kV及以上变电站调度数据网双平面纵向互联方案 12.2220KV变电站监控系统安全防护结构规范 12.2.1220kV变电站监控系统安全防护总体逻辑结构 12.2.2220kV变电站监控系统互联方案1实施细节 12.2.3220kV变电站监控系统互联方案2实施细节 12.2.4220kV变电站调度数据网双平面纵向互联方案 12.3110KV变电站监控系统安全防护结构规范 12.3.1110kV变电站监控系统安全防护总体逻辑结构 12.3.2110kV变电站监控系统安全区横向及纵向互联实施细节 13.发电厂监控系统安全防护结构规范 4313.1火电厂监控系统安全防护结构规范 43 13.1.3火电厂监控系统安全区横向及纵向互联方案2实施 13.2水电厂监控系统安全防护结构规范 48 13.2.3水电厂监控系统安全区横向及纵向互联方案2实施细节 -3-13.3核电厂监控系统安全防护结构规范 13.3.3核电厂监控系统安全区横向及纵向互联方案2实施细节 13.4风电厂监控系统安全防护结构规范 13.4.2风电厂监控系统安全区横向及纵向互 13.4.3风电厂监控系统安全区横向及纵向互联方案2实施细节 13.5光伏电站监控系统安全防护结构规范 13.5.2光伏电站监控系统安全区横向及纵向互联方案1 13.5.3光伏电站监控系统安全区横向及纵向互联方案2实施细节 14.典型能量管理系统安全防护结构规范 15.调度云平台安全防护结构规范 16.配网自动化系统安全防护结构规范 16.1配网自动化系统安全防护总体逻辑结构 16.2配网自动化系统主站安全区横向及纵向互联方案实施细节 16.3配网自动化系统终端安全防护实施细节 17.计量自动化系统安全防护结构规范 17.1计量自动化系统安全防护总体逻辑结构 17.2计量自动化系统主站安全区横向及纵向互联方案实施细节 18.电力设备在线监测系统安全防护结构规范 18.1电力设备在线监测系统安全防护总体逻辑结构 18.2设备在线监测系统主站安全区横向及纵向互联方案实施细节 19.安全接入区安全防护结构规范 19.1安全接入区总体逻辑结构 19.2安全接入区横向及纵向互联方案细节 附录A本规范用词说明 附录B运维安全审计堡垒机部署 附录C典型专线通道安全防护部署 附录D设备选型规范 -1-为提高南方电网电力监控系统安全防护水平，保障电力系统安全稳定运行，根据国家发改委颁布的《电力监控系统安全防护规定》（国家发改委2014年第14号令）和国家能源局印发的《电力监控系统安全防护总体方案等安全防护方情况，制定本规范。本规范由中国南方电网系统运行部（电力调度控制中心）提出、归口并负责解释。本规范主要起草单位：中国南方电网系统运行部（电力调度控制中心）。本规范参与起草单位：广东电网有限责任公司电力科学研究院、广东电网电力调度控制中心、广西电网电力调度控制中心、云南电力调度控制中心、贵州电网公司电力调度控制中心、海南电网电力调度控制中心、广州供电局电力调度控制中心、深圳供电局电力调度控制中心。本规范主要起草人：吴金宇、梁寿愚、胡荣、江泽鑫、梁智强、胡朝辉、林丹生。本规范自颁布之日起实施，《南方电网电力二次系统安全防护技术规范》（Q/CSG110005-2012）同时废止。1中国南方电网电力监控系统安全防护技术规范本规范规定了南方电网电力监控系统安全防护基本技术要求和基本原则。本规范适用于南方电网，与南方电网电力监控系统有关的电网调度机构和厂站运行维护单位（包括发电、输电、变电、供电、用电等单位以及在南方电网区域外接入并接受南方电网相应调度机构调度的发电厂、变电站以及在南方电网从事电力监控系统安全防护科研、设计、施工、制造的相关单位，均应遵守本规定。2.规范性引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规定。凡未注明日期的引用文件，其最新版本适用于本规定。以下规定、办法及条例等，如经修订以最新版本为准。《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令147号）《电力监控系统安全防护规定》（国家发展和改革委员会令2014年第14号）《电力监控系统安全防护总体方案》（国能安全[2015]36号）《省级以上调度中心监控系统安全防护方案》（国能安全[2015]36号）《地（县）级调度中心监控系统安全防护方案》（国能安全[2015]36号）《发电厂监控系统安全防护方案》（国能安全[2015]36号）《变电站监控系统安全防护方案》（国能安全[2015]36号）《配电监控系统安全防护方案》（国能安全[2015]36号）《电力监控系统安全防护评估规范》（国能安全[2015]36号）《电力行业信息安全等级保护管理办法》（国能安全[2014]318号）《电力行业网络与信息安全管理办法》（国能安全[2014]317号）《电力行业信息系统安全等级保护基本要求》（电监信息[2012]62号）《信息安全等级保护管理办法》（公通字[2007]43号）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）《信息安全技术信息系统安全等级保护测评过程指南》（GB/T28449-2012）《信息安全技术信息系统安全等级保护测评技术要求》（GBT_28448-2012）《信息安全技术信息安全风险评估规范》（GB/T20984-2007）《关于加强工业控制系统信息安全管理的通知》（工信部协[2011]451号）《中国南方电网电力调度管理规程》（Q/CS212045-2011）3.术语和定义在本规定所称电力监控系统，是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及做为基础支撑的通信及数据网络等。主要包括如下电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、水调自动化系统和水电梯级调度自动化系统、计量自动化系统(包括厂站电能量计量系统、负荷控制管理系2统、配变监测系统、低压集抄系统)、实时电力市场的辅助控制系统、继电保护管理信息系统、在线稳控决策系统、综合防御系统、电力设备在线监测系统、雷电定位监测系统、变电站场交易技术支持系统（简称电力交易平台）、调度生产管理系统、调度大屏幕投影系统、火电厂脱硫脱硝及煤耗在线监测系统、火电厂监控系统、水电厂监控系统、梯级水电厂监控系统、核电站监控系统、光伏电站监控系统、风电场监控系统、燃机电厂监控系统、通信设备网管系统、通信运行管控系统、自动化运行管控系统、电力调度数据网络、综合通信数据网络和电力生产专用拨号网络等；在南方电网，一体化电网运行智能系统（OS2由网、省、地(县、配)各级主站系统行管理系统（OMS）、电力系统运行驾驶系统（MTT）五大部分，每部分由若干模块组成，均属于电力监控系统范畴。3.2电力调度数据网络指各级电力调度专用广域数据网络、电力生产专用拨号网络等。3.3公用通信网络CDMA2000、230MHz、卫星通信等。3.4专线通道指电力专用的各种速率专用链路，包括MSTP、2Mbps数字接口(G.703)的专线电路（2M专线）、4WE&M接口的专线电路（4线专线）、2W64kbps模拟用户接口的拨号专线（2线专线）、高频电缆或高频载波机复用接口的载波通道、光纤FC接口的专用光纤等类型。3.5电力监控系统安全防护设备指实现电力监控系统网络及信息安全防护功能的系统或设备。如电力专用横向单向安全隔离装置、电力专用纵向加密认证装置、电力专用拨号服务器、软硬件防火墙、IDS/IPS、恶意代码防护系统、部署在安全分区边界并设置了访问控制策略的交换机和路由器、电力调度数字证书系统、安全审计、网管、综合告警系统、配网主站安全防护设备、配网终端安全防护设3.6控制区指由具有实时监控功能、纵向连接使用电力调度数据网的实时VPN或专用通道的各业务系统构成的安全区域。3.7非控制区指在生产控制区范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向连接使用电力调度数据网的非实时VPN的各业务系统构成的安全区域。3.8运行维护单位指发电、输电、变电、供电、用电等单位以及在南方电网区域外接入并接受南方电网相应调度机构调度的发电厂、变电站。电力监控系统安全防护主要针对网络系统和基于网络的生产控制系统。安全防护的总体目标是保护电力监控系统及调度数据网络的安全，抵御黑客、病毒、恶意代码等的破坏和攻击，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护的核心能3力是“保护、检测、响应、恢复、审计”的闭环机制。电力监控系统安全防护是一项系统工程，其总体安全防护水平取决于系统中最薄弱点的安全水平。各有关单位安全防护工作应当执行电力监控系统安全防护规定，遵守安全防护基本原则，维护全网统一的安全防护结构和一致的安全策略。和国家能源局印发的《电力监控系统安全防护总体方案等安全防护方案和评估规范》（国能化了电力监控系统安全防护的技术要求。本规定未涉及的内容，按照国家、电力行业、南方电网公司的有关标准和规定执行。5.安全防护目标南方电网电力监控系统安全防护的总体目标是：建立健全南方电网电力监控系统安全防护体系，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复主要功能，防止电力监控系统的安全事件引发或导致电力一次系统事故或大面积停电事故，保障南方电网安全稳定运行。南方电网电力监控系统安全防护工作的具体目标是：（1）防范病毒、木马等恶意代码的侵害；（2）保护电力监控系统的可用性和业务连续性；（3）保护重要信息在存储和传输过程中的机密性、完整性；（4）实现关键业务接入电力监控系统网络的身份认证，防止非法接入和非授权访问；（5）实现电力监控系统和调度数据网安全事件可发现、可跟踪、可审计；（6）实现电力监控系统和调度数据网络的安全管理。6.安全防护设计原则南方电网各级调度控制中心、配电中心（含负荷控制中心）、变电站、各级调度控制中心（1）系统性原则（木桶原理（2）简单性和可靠性原则；（3）实时性、连续性与安全性相统一的原则；（4）需求、风险、代价相平衡的原则；（5）实用性与先进性相结合的原则；（6）全面防护、突出重点的原则；（7）分层分区、强化边界的原则。7.安全防护总体策略南方电网电力监控系统安全防护总体策略是南方电网各级调度控制中心、配电中心（含负荷控制中心）、变电站、各级调度控制中心直调电厂、电力通信机构开展电力监控系统安全防护工作必须遵守的原则。南方电网监控系统安全防护总体策略如下：根据电力监控系统业务的重要性及其对电力一次系统的影响程度进行分区，南方电网电力监控系统分为生产控制大区和管理信息大区，其中生产控制大区分为控制区（又称安全区I）和非控制区（又称安全区Ⅱ),生产控制大区是电力监控系统重点防护对象。7.2网络专用南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层4面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网，即实时VPN和非实时VPN。实时VPN用于控制区业务系统的远程数据通信，非实时VPN用于非控制区业务系统的远程数据通信。7.3横向隔离南方电网各级运行维护单位的生产控制大区与管理信息大区之间应设置电力专用横向安全隔离装置（或组成隔离阵列）实现物理隔离。生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔离。7.4纵向认证南方电网各级运行维护单位在生产控制大区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或加密认证装置，为上下级调度机构或主站与子站端的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。8.安全防护总体结构电力监控系统安全防护总体结构模型如图8.1所示：管理信息大区管理信息大区非控制区电力调度数据网企业综合业务数据网生产管理区（安全区Ⅲ)管理信息大区管理信息区（安全区Ⅳ)非控制区控制区生产管理区（安全区Ⅲ)管理信息区（安全区Ⅳ)控制区生产控制大区生产控制大区非实时VPN实时VPN因特网专线专线纵向加密认证装置横向正向隔离装置横向反向隔离装置防火墙加密认证措施图8.1电力监控系统安全防护总体结构模型该模型在技术上系统性地考虑了上下级各种数据业务的需求、网络的纵向互联、横向互联和数据通信的安全性问题，通过划分安全区、专用网络、专用隔离和加密认证等技术从多个层次构筑多道抵御网络黑客和恶意代码攻击的防线，对电力实时监控系统等关键业务实施重点保护，是构筑南方电网电力监控系统安全防护体系的基础。生产控制大区的某些业务系统（如配网自动化系统、计量自动化系统等）采用公用通信网络或无线通信网络进行数据通信方式情况下，应设立安全接入区。58.2安全分区规则南方电网各有关单位包括各级调度控制中心、配电中心（含负荷控制中心）、变电站、各级调度控制中心直调电厂内部基于网络的监控系统，原则上划分为生产控制大区和管理信息8.2.1生产控制大区的划分根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统之间的相互关系、调度数据网通信方式以及对电力系统的影响程度等属性，生产控制大区原则上划分为控制区（安全区I）和非控制区（安全区Ⅱ)。控制区（安全区I）控制区是电力监控系统各安全区中安全等级最高的分区，是必不可少的分区。该区中的业务系统与电力调度生产直接相关，有对一次系统的在线监视和闭环控制功能，且具有连续性、实时性（毫秒级或秒级，其中负荷控制管理为分钟级）的特点以及高安全性、高可靠性和高可用性的要求。该区使用调度数据网络的实时VPN子网或专用通道与异地有关的控制区互联。自动电压控制系统（AVC）、安稳控制系统、在线预决策系统、具有保护定值下发、远方投退功能的保信系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等，还包括使用专用通道的控制系统，如：安全自动控制系统、低频/低压自动减负荷系统、负荷管理系统控制区业务系统的主要使用者为调度员、继电保护运行管理人员和运行操作人员。非控制区（安全区Ⅱ)非控制区是电力监控系统各安全区中安全等级仅次于控制区的分区。该区的业务系统功能与电力生产直接相关，但不直接参与控制；系统在线运行，与安全区Ⅰ的有关业务系统联系密切。该区使用调度数据网络的非实时VPN子网或专用通道与异地有关的非控制区互联。非控制区的典型系统包括调度员培训模拟系统、不带控制功能的继电保护和故障录波信息管理系统、水调自动化系统、电能量计量系统、电力市场交易技术支持系统、厂站端电能量采集装置、故障录波器和发电厂的报价终端等。非控制区业务系统的主要使用者分别为调度员、水电调度员、继电保护人员及电力市场交易员等。8.2.2安全接入区如果生产控制大区内个别业务系统或其功能模块（或子系统）需要使用公用通信网络（不含因特网）、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信，其安全防护水平低于生产控制大区内其他系统时，应设立安全接入区。在安全接入区内部署公网数据采集服务器进行数据采集，安全接入区与生产控制大区之间部署横向隔离装置，安全接入区与公用通信网络或无线通信网络之间应部署加密认证措施，实现主站端和业务终端之间的身份认证、加密传输、访问控制和安全隔离等防护目的。安全接入区的结构规范详见第19章。涉及安全接入区的典型业务系统或功能模块包括配电网自动化系统的前置采集功能、负荷控制管理模块、某些分布式电源控制系统等。8.2.3管理信息大区的划分6根据业务系统或其功能模块的使用者、主要功能、设备使用场所、各业务系统之间的相互关系以及对电力系统的影响程度等属性，管理信息大区原则上划分为生产管理区（安全区Ⅲ)和管理信息区（安全区Ⅳ)。生产管理区（安全区Ⅲ)生产管理区是电力监控系统各安全区中安全等级次于非控制区的分区。该区中的业务系统与电力调度生产管理工作直接相关。该安全区使用企业综合业务数据网与异地有关的生产管理区互联。生产管理区的典型系统包括电力调度运行管理系统（OMS）、调度信息披露系统、雷电监测系统、生产控制大区系统（如SCADA/EMS、WAMS、电能量计量等）在管理信息大区的发布系统、调度生产管理用户终端等。生产管理区业务系统的主要使用者为调度员和各专业运行管理人员。管理信息区（安全区Ⅳ)管理信息区的业务系统主要用于生产管理和办公自动化。该安全区网络是本地办公环境下的局域网，与个人桌面计算机直接相关。该安全区使用企业综合业务数据网与异地的管理信息区互联，并与Internet有互联关系。管理信息区的典型业务系统包括资产管理系统、营销管理系统、人力资源管理系统、财务管理系统、协同办公系统、综合管理系统、决策支持系统等。管理信息区业务系统的使用者为上下级管理部门和本单位内部工作人员。8.2.4业务系统分置于安全区的原则根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系、广域网通信方式以及对电力系统的影响程序等，按以下规则将业务系统或功能模块置于相应的安全区：（1）实时控制系统、有实时控制功能的业务模块以及未来有实时控制功能的业务系统应当置于控制区。（2）应当尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时，可以将其功能模块分置于相应原安全区中，经过安全区之间的安全隔离设施进行通信。（3）不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域；但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域。（4）对不存在外部网络联系的孤立业务系统，其安全分区无特殊要求，但需要遵守所在安全区的防护要求。（5）对小型县调、配调、小型电厂和变电站的电力监控系统可以根据具体情况不设非控制区，重点防护控制区。表1一体化电网运行智能系统主站模块分区表序号功能模块控制区非控制区生产管理区数据库支撑平台（DSP）实时数据库服务、时序数据库服务、关系数据库服务实时数据库服务、时序数据库服务、关系数据库服务实时数据库服务、时序数据库服务、关系数据库服务2.公用设施（PuI）公用设施类公用设施类公用设施类7（SSP）平台服务类、运行服务总线类、资源管控类、安全管控平台服务类、运行服务总线类、资源管控类、安全管控平台服务类、运行服务总线类、资源管控类、安全管控8类、基础软件类类、基础软件类类、基础软件类4.（HSP）安全设施类存储类、安全设施类存储类、安全设施类数据中心（DaC）数据采集与交换类、数据集成与服务类、全景数据建模数据采集与交换类、全景数据建模类、数据集成与服务类数据采集与交换类、数据集成与服务类、全景数据建模计算中心计算分析服务类计算分析服务类监视中心稳态监视类、动态监视类、暂态监视类、智能告警类、环境监视类、在线预警类、节能环保监视类、设备监视类、在线计算类在线计算类、设备监视类稳态监视类、动态监视类、暂态监视类、智能告警类、环境监视类、节能环保监视类、设备监视类、在线计算类控制中心手动操作类、自动控制类管理中心运行计划管理类的发受电计划编制模块、运行控制管理类并网管理类、运行风险管理类、运行计划管理类、运行控制管理类、运行类、二次系统管理类、运行支持管理类运行驾驶舱（POC)智能引擎类、驾驶三态应用、人机交互环境类智能引擎类、驾驶三态应用、人机交互环境类驾驶三态应用、人机交互环境类镜像测试及培训系系统镜像与同步系统镜像与同步系统镜像与同步9统（MTT）类、系统测试仿真类类、系统测试仿真类、专业培训类类、系统测试仿真类表2一体化电网运行智能系统厂站模块分区表序号功能模块控制区非控制区生产管理区数据中心数据采集与处理、全景数据建模、数据存储数据采集与处理、全景数据建模、数据存储数据采集与处理、全景数据建模、数据存储2.监视中心三态监视视频及环境监视控制中心手动操作类、自动控制类4.管理中心厂站模型维护、操作票管理、用户权限管理、工作票管理、运行值班管理、运行日志管理智能远动常规远动、PMU、保信录波、在线监测、电能量采集变电站驾驶舱指标管理、设备诊断、决策支持、人机交互指标管理、设备诊断、决策支持、人机交互指标管理、设备诊断、决策支持、人机交互表3传统电网主站系统分区标准表序号业务系统控制区非控制区管理信息大区能量管理电网和设备监控、AGC、AVC、安全分析等WEB发布2.广域相量测量系统动态数据采集、实时数据处理、分析等安全自动控制系统稳定分析、决策生成和下发4.通信运行管控系统通信监控信息采集、监控通信运行管理通信设备网管系统通信设备网管继电保护继电保护远方修改定值、远方投退等控制功能故障录波信息管理系统故障录波信息管理模块电力设备在线监测变电设备状态信息采集、传输、处理输电设备状态信息Web发布实时和次日电力市场交易技术支持系统在线安全稳定校核外网报价、公众信息发布调度员培训模拟系统调度员培训模拟水库调度自动化系统水情信息采集、处理计量自动化系统负荷管理、低压集抄厂站电能量计量、配变监测WEB发布电能量计量系统电能量采集、处理电网动态监控系统在线监控、稳定计算等电力市场监管信息系统接口向电力市场监管系统发布有关信息调度生产管理系统数据统计、分析、报表、管理流程雷电监测系统采集、处理气象/卫星云图系统接收、处理视频监控系统接收、处理20.调度信息发布WEB服务21.调度数据网实时子网非实时子网22.配电网调度自动化配电网实时监控、23.电网地理信息调度地理信息数据、地理信息服务管理地理信息24.配电生产抢修指挥配电生产抢修、指挥25.电力负荷控制管理负荷采集及控制26.低频低压减负荷低频低压减负荷27.电力营销管理营销管理表4传统变电站监控系统安全分区表序号业务系统控制区非控制区管理信息大区变电站监控系统变电站监控系统2.五防系统五防系统广域相量测量装置广域相量测量装置4.继电保护继电保护装置及管理模块安全自动控制安自装置及管理模块火灾报警火灾报警电能量采集装置电能量采集装置故障录波故障录波装置一次设备在线监测一次设备在线监测辅助设备监控辅助设备监控视频及环境监控系统视频及环境监控系统生产管理生产管理终端表5火电厂、水电厂监控系统安全分区表序号业务系统控制区非控制区管理信息大区火电机组分散控制系统DCSDCS2.火电机组辅机控制系统辅机PLC/DCS火电厂厂级信息监控系统监控功能优化功能管理功能4.调速系统和自动发电控制功能AGC调速、自动发电控制励磁系统和自动电压控制功能AVC励磁、自动电压控制水电厂监控系统水电厂监控梯级调度监控系统梯级调度监控网控系统网控系统相量测量装置PMU自动控制装置PSS、汽门快关等五防系统五防系统继电保护继电保护装置及管理终端故障录波故障录波装置梯级水库调度自动化系统梯级水库调度自动化水情自动测报系统水情自动测报水电厂水库调度自动化系统水电厂不库调度自动化电能量采集装置电能量采集电力市场报价终端电力市场报价管理信息系统MISMIS20.雷电监测系统雷电监测21.气象信息系统气象信息22.大坝自动监测系统大坝自动监测23.防汛信息系统防汛信息24.报价辅助决策系统报价辅助决策25.检修管理系统检修管理26.火灾报警系统火灾报警表6核电站监控系统安全分区表序号业务系统控制区非控制区管理信息大区核电站厂级分散控制系统DCSDCS2.自动电压控制功能AVC自动电压控制厂级信息监控系统监控功能优化功能管理功能4.相量测量装置PMU网控系统网控系统辅机控制系统辅机控制系统（三废处理系统、循环水处理系统、凝结水精处理系统、除盐水系统）继电保护继电保护装置及管理终端自动控制装置安控、电力系统稳定器PSS等故障录波故障录波装置电能量采集装置电能量采集装置管理信息系统MIS管理信息系统检修管理系统检修管理系统火警探测系统火警探测系统表7风电场监控系统安全分区表序号业务系统控制区非控制区管理信息大区风电场监控系统风机监控风电场监控2.无功电压控制无功电压控制功能发电功率控制发电功率控制功能4.升压站监控系统升压站监控功能PMUPMU继电保护继电保护装置及管理终端风功率预测系统风功率预测状态监测系统风机状态监测故障录波故障录波装置电能量采集装置电能量采集装置测风塔系统测风塔天气预报系统数字天气预报管理信息系统MIS管理信息系统表8光伏电站监控系统安全分区表序号业务系统控制区非控制区管理信息大区光伏电站运行监控系统电站运行监控2.无功电压控制无功电压控制功能发电功率控制发电功率控制功能4.升压站监控系统升压站监控功能PMUPMU继电保护继电保护装置及管理终端故障录波故障录波装置电能量采集装置电能量采集装置光伏功率预测系统光伏功率预测天气预报系统数字天气预报管理信息系统MIS管理信息系统表9燃机电厂监控系统安全分区表序号业务系统控制区非控制区管理信息大区燃机电厂厂级分散控制系统DCS机组单元控制、自动发电控制、机组保护、辅机控制、公共系统等2.燃气轮机控制系统TCS燃气轮机控制功能自动电压控制AVC自动电压控制功能4.升压站监控系统升压站监控功能PMU相量测量功能厂级信息监控系统监控功能优化功能管理功能AGC自动发电控制功能火警探测系统火警探测系统变电站综合自动化系统故障录波RTU继电保护继电保护装置及管理终端故障录波故障录波装置电能量采集装置电能量采集装置管理信息系统MIS管理信息系统8.2.5业务系统信息安全等级保护划分根据不同安全区域的安全防护要求，确定其安全等级和防护水平。生产控制大区的安安全[2015]36号文进行定级，具体等级标准见表10，原则上，按一体化电网运行智能系统（OS2）标准化设计及建设的系统应按一体化电网运行智能系统功能模块定级。隶属南方电网公司的变电站作为调度自动化系统的子站部分统一定级备案，不作为独立系统定级备案，并保持下表对应的防护标准不变。类别定级对象系统级别省级及以上地级及以下控系统制功能）43220千伏及以上变电站为3级，火电厂监控（含烯气电厂）系统DCS（含辅机控制系统）单机容量300MW及以上为3厂级监控系统SIS级水电厂梯级调度监控系统3核电站监控系统DCS（含辅机控制系统）3风电场监控系统风电场总装机容量200MW及以上为3级，以下为2级光伏电站监控系统光伏电站总装机容量为200MW及以上为3级，以下为电能量计量系统32广域相量测量系统（WAMS）3无电网动态预警系统3无调度交易计划系统3无水调自动化系统2调度管理系统2雷电监测系统2电力调度数据网32通信设备网管系统32通信资源管理系统32综合数据通信网络2故障录波信息管理系统3配网自动化系统3负荷控制管理系统3一体化电网运行控制系统稳态监视及控制类功能模块43一体化电网运行控制系统动态监视类功能模块3无一体化电网运行控制系统暂态监视及保信模块33一体化电网运行控制系统节能环保监视类功能模块32一体化电网运行控制系统环境监视类功能模块2一体化电网运行控制系统设备监视类功能模块2一体化电网运行控制系统分析计算类功能模块32一体化电网运行智能系统数据中心32一体化电网运行管理系统328.3安全区互联结构电力监控系统安全区域之间互联总体结构包括链式结构、三角结构和星形三种结构，其结构如图8.2所示：图8.2电力监控系统安全区互联总体结构本规范采用链式结构及三角结构，其中链式结构的控制区具有较高的累积安全防护强度，但总体层次较多，三角结构具有较高的通信效率，但需要较多的安全隔离设施。各单位可根据实际的系统现状和安全防护需求选择合适的互联结构。9.安全防护技术措施9.1安全区间横向网络边界安全防护安全区间横向网络边界隔离是电力监控系统安全防护的关键技术措施之一。通过采用不同强度的安全防护设备对安全区之间实施横向隔离保护，特别是对生产控制大区和管理信息大区之间的网络边界应实施物理隔离，其数据通讯采用严格的数据单向传输控制，以有效抵御病毒、黑客等对生产控制大区业务系统及其网络的各种攻击和滲透。控制区与非控制区之间应采用硬件防火墙、具有ACL访问控制功能的交换机或路由器等设施进行逻辑隔离。逻辑隔离设施应具备状态检测、数据过滤和地址转换等基本功能，可以则上只允许控制区系统主动与非控制区系统建立连接，不允许从非控制区反向访问控制区系统。严格的访问控制，禁止任何远程登录类的反向访问。生产控制大区与管理信息大区的网络边界处应设置电力专用安全隔离装置进行单向物理隔离。电力专用安全隔离装置通过“安全岛”数据摆渡和割断穿透性TCP连接等技术，实现数据的单向传输和网络边界的物理隔离。该装置分为正向型和反向型，其中正向型安全隔离装置用于生产控制大区到管理信息大区的单向数据传输。反向型安全隔离装置用于从管理信息大区到生产控制大区单向纯文本数据传输。反向安全隔离装置接收管理信息大区发向生产控制大区的数据，进行签名验证、编码转换、数据报文检查等处理后，转发给生产控制大区内的相关业务系统。严禁e-mail、web、telnet、rlogin、ftp等高安全风险的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传生产管理区与管理信息区之间应采用硬件防火墙、具有ACL访问控制功能的交换机或路由器等设施进行逻辑隔离。逻辑隔离设施应具备状态检测、数据过滤和地址转换等基本功能，可以对传输的地址、协议、端口和数据流的方向进行控制。生产管理区与管理信息区之间的访问控制策略原则上只允许生产管理区系统主动与管理信息区系统建立连接，不允许从管理信息区反向访问生产管理区系统。确有必要进行反向访问时，必须对访问的地址、协议和端口实施严格的访问控制。9.2安全区纵向网络边界安全防护在生产控制大区与调度数据网的网络边界部署电力专用纵向加密认证网关，是电力监控系统安全防护的一项关键技术措施。纵向加密认证网关采用电力专用密码与认证技术，为各级运行维护单位控制区的纵向数据通信提供认证与加密服务，实现数据传输的机密性、完整性和抗抵赖性保护。纵向加密认证网关还提供协议报文的过滤和处理功能，可实现端到端的选择性保护。在安全接入区与生产控制大区的网络边界部署电力专用安全隔离装置实现数据单向传输和物理隔离；在安全接入区与公用通信网络或无线通信网络的边界采用加密认证措施，为运行维护单位安全接入区和业务终端的纵向数据通信提供认证与加密服务，实现数据传输的机密性、完整性和抗抵赖性保护。传统的基于专用通道的数据通信应逐步采用加密认证措施进行安全防护。在生产控制大区纵向网络边界上，应避免使用默认路由，仅开放特定通信端口，禁止开通ftp、telnet、rlogin、rsh、rcp、http、pop3等高风险网络服务。9.3调度数据网安全防护电力调度数据网是生产控制大区专用的广域数据网络，承载电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。维护单位应当避免通过调度数据网形成不同安全区的纵向交叉连接。网、省、地三级电力调度数据网严格禁止与企业综合业务数据网和公用通信网络直接互联。各级调度数据网之间的互联应遵循有关互联管理规定，调度数据网不允许远程拨号维护。调度数据网的安全防护应采取下列技术和安全措施：（1）虚拟专网技术电力调度数据网应采用MPLSVPN技术或类似技术将电力调度数据网分割为逻辑上相对独立的实时VPN和非实时VPN，分别对应控制业务和非控制生产业务，并部署Qos策略或其他技术手段，保证实时VPN中关键业务的带宽和服务质量（2）路由和交换设备的安全配置核心路由和交换设备的安全配置包括对核心路由器的访问采用基于高强度口令密码的分级登陆验证功能、对路由器和交换设备的网络服务和端口进行严格限定、避免使用默认路由、关闭调度数据网网络边界的OSPF路由功能、关闭路由器的源路由功能、采用增强的SNMPv2及以上版本的网管协议、设置受信的网络地址范围、开启访问控制列表、记录设备日志、封闭空闲的网络端口等。（3）核心和关键节点网络节点的可靠性配置对调度数据网络中的核心和关键节点网络设备，必须采用双机冗余备份机制，保证调度网络系统的高可靠性。（4）调度数据网的安全监控在调度数据网互联边界和关键节点可通过流量监控、入侵检测等技术手段实现“监控流量、预防攻击、隔离危险”，实时发现网络安全威胁，及时处理修复，杜绝调度数据网因外界攻击而大面积瘫痪。9.4公用通信网络安全防护调度数据网未覆盖到的电力监控系统（如配电自动化系统、负荷控制管理、分布式能源接入等）的数据通信优先采用电力专用通信网络，不具备条件的允许采用公用通信网络（不包括因特网）、无线通信网络（GPRS、CDMA、TD-LTE、230MHz、WLAN等）等通信方式，但使用上述通信方式时应设立安全接入区。公用通信网络传输通道应当启用基础电信运营商可提供的安全措施，包括：（l）优先选用TD-LTE等具有自主知识产权的技术和产品；（2）利用APN+VPN或VPDN技术实现无线虚拟专有通道；（3）通过认证服务器对接入终端进行身份认证和地址分配；（4）在主站系统和公共网络采用有线专线+GRE等手段。9.5安全区内部安全防护安全区内部的安全防护包括生产控制大区和管理信息大区的内部防护。9.5.1生产控制大区内部防护措施（1）禁止生产控制大区内部的E-MAIL服务。（3）禁止生产控制大区以任何方式连接因特网。（4）生产控制大区必须具有恶意代码措施。病毒特征库、木马库以及IDS规则库的更新应离线进行。（5）控制区和非控制区内的业务系统之间应采用VLAN和访问控制安全措施，避免系统间的直接互通。（6）生产控制大区重要业务系统的远程数据通信应采用加密认证措施。（7）生产控制大区重要的服务器和通信网关应使用国家指定部门认证的安全加固操作系统，并采用加密、认证和访问控制等安全防护措施。（8）调度控制中心、单机装机容量300MW或全厂装机容量1000MW及以上的发电厂应在生产控制大区边界部署入侵检测系统（IDS实现对各个业务系统与横向、纵向网络边界的入侵检测。（9）省级及以上调度控制中心和地市级调度控制中心应在生产控制大区部署综合安全监控及审计平台，对各种网络设备运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全防护设备运行日志和告警信息等进行集中收集、分析、审计和告警处理。9.5.2生产管理区内部防护措施（1）生产管理区应根据业务系统划分安全区或安全网段（例如：服务器群网段、用户群网段并通过交换机的ACL功能或防火墙对关键业务系统实施安全防护；（2）生产管理区与管理信息区的横向互联边界应部署防火墙；（3）生产管理区应部署防病毒系统，并配置病毒库定期升级和定期扫描病毒等策略；（4）调度控制中心应在生产管理区边界部署入侵检测系统（IDS）。9.5.3安全接入区内部防护措施安全接入区内部应只部署公网或无线数据采集需要的功能模块。安全接入区内部安全防护措施参照生产控制大区内部防护措施实施。9.6电力数字证书技术及应用电力调度数字证书系统是南方电网电力监控系统安全防护的基础安全设施。电力调度数字证书系统是基于公钥技术的分布式的数字证书系统，为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备提供数字证书服务，实现高强度的身份认证、安全的以及行为审计。电力调度数字证书系统应按照南方电网电力调度管理体系进行配置，省级和地级调度控制中心应建立电力调度数字证书系统。电力调度数字证书分为人员证书、程序证书、设备证书三类。人员证书指用户在访问实体通信过程中需要持有的证书。电力调度建设数字证书系统建设时，必须遵循如下原则：（1）统一规划数字证书的信任体系。南网总调CA为一级CA系统；省级调度CA为二级CA系统；地、市级调度CA为三级CA系统。省调接受南网总调的证书管理，负责所辖地调和直调厂站的证书管理；地市级调度负责所辖县调及直调厂站的证书管理。上下级电力调度数字证书系统通过证书信任链构成认证体系。（2）采用统一的数字证书格式和加密算法。数字证书格式遵循符合X.509V3标准，证书格式和加密算法采用满足国家商用密码有关要求，应支持国家商用密码算法。（3）电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络，独立运行。（4）提供规范的应用接口，支持相关应用系统和安全专用设备嵌入电力调度数字证书服务。（5）新建设的电力监控系统应支持电力调度数字证书的应用，应采用调度数字证书和安全标签实现安全授权的强制访问控制及强制执行控制。9.7入侵检测措施入侵检测是电力监控系统安全防护的重要技术措施。通过在生产控制大区和管理信息大区横向、纵向网络边界部署入侵检测系统，可以实时监控关键业务系统和网络边界的关键路径信息，实现安全事件的可发现、可追踪、可审计。生产控制大区可统一部署一套入侵检测系统，但不能与管理信息大区共用一套入侵检测系统。入侵检测系统（IDS）采用协议分析、模式匹配、异常检测等技术，通过将交换机上关键接入端口（例如各个安全区的纵向互联端口和横向互联端口）的数据报文镜像到IDS检测引擎（IDS探头）的接入端口，实现对网络流量、数据包的动态监视、记录和管理、对异常事件进行告警等。安全II区若有WEB服务，应采用支持HTTPS的安全WEB服务须经过安全加固并采用电力调度数字证书对浏览器客户端访问进行身份认证及加密传输。9.9防病毒措施电力监控系统必须采用防病毒措施，以及时发现网络和主机系统的安全漏洞和病毒入侵，消除电力监控系统的安全隐患。防病毒措施应遵循如下原则：生产控制大区、管理信息大区应分别部署防病毒管理中心，分别对生产控制大区、管理信息大区进行防病毒统一管理，禁止生产控制大区与管理信息大区共用一套病毒代码管理服务器，对于生产控制大区应采用专用安全U盘等进行病毒代码的离线更新。对于变电站电力监控系统，可采用杀毒U盘定期查杀的方式执行。生产控制大区和管理信息大区防病毒策略的设定、病毒定义码的更新、病毒查杀记录的汇总以及事件报告等应纳入运行维护管理制度。9.10远程拨号安全防护电力监控系统应尽可能避免采用远程拨号方式维护系统，确有必要时，应采用电力专用安全拨号网关，实施网络层保护，并结合数字证书技术对远程用户进行客户端检查、登陆认证、访问控制和操作审计。采用远程拨号方式维护系统时，必须采取下列管理控制措施：（1）远程拨号部署方式参照附录B，远程拨号接入时应通过堡垒机进行授权、权限控制和审计。（2）禁止生产控制大区与管理信息大区共用一套远程拨号设施。（3）拨号设施平时应该关闭电源，开启拨号设施应履行审批手续。远程维护完毕后，应及时关闭拨号设施电源。（4）对拨号登陆用户和密码应定期更换，对拨号人、拨号时间、事由、操作内容等必须详细记录。（5）对远程拨号用户必须进行合理的权限限制，在经过认证的连接上应该仅能够行使受限的网络功能与应用。（6）对远程拨号用户可使用定时限软证书和硬件证书进行身份认证。9.11应用系统安全对于应用系统本身的安全防护应满足下列要求：（1）应用系统管理员账户、用户账户口令应定期进行变更；（2）严格管理应用权限，制定权限赋予和权限变更的审核、批准、执行流程，依据最小化原则对用户赋予适当的权限，并定期进行权限复核；（3）对应用系统应进行数据输入的合法性和参数配置的正确性检验；（4）应用系统源代码应保存在专用开发系统中，不应与运行系统同机存放；系统上线运行前应对系统进行安全性检测以及源代码的漏洞检测。（5）定期对应用程序软件进行漏洞扫描，并修复所发现的漏洞；（6）定期对应用系统历史安全事件进行审计，分析总结安全事件的规律；（7）对新上线的业务系统，安全防护设计方案应经过安全防护部门审核，并网前应通过由专业安全机构的安全评估（测评并完成安全漏洞的检测与修复工作。9.12操作系统安全操作系统是承载业务应用、数据库应用的载体，是应用系统安全的基础。一旦操作系统的安全性出现问题，将对整体业务应用安全造成严重损害。操作系统应采取下列安全防护措可进行安装；系统的日志审计功能；20账户文件的保护，删除空口令账号；换至管理员账号进行操作；（5）应当使用漏洞扫描工具定期对系统漏洞进行扫描，漏洞库应当及时更新，对于扫描出的漏洞应及时进行处理。9.13支撑系统系统安全数据库和各类中间件是各个业务系统的基础，数据完整性和合法存取会受到很多方面的安全威胁，包括密码策略、系统后门、数据库操作以及本身的安全方案。保证支撑系统安全的主要措施如下：（1）及时更新经过测试的数据库最新安全补丁；（2）对新安装的数据库，应及时修改所有账号的默认口令；（3）及时删除无用和长久不用的账号；（4）使用安全的口令策略，采用8位以上数字字符混合密码；（5）使用安全账号策略，为不同的用户账号按需要授予相应的权限；（6）加强数据库审核记录，并定期检查数据库审核记录；（7）数据库中运行库和开发库应该进行分离。地区级以上调度控制中心、500kV变电站、集控站、各级调度控制中心直调电厂生产控制大区内部关键主机设备、网络设备或关键部件应采用冗余热备用方式，对管理信息大区内的设备可根据需要选用热备用、温备用或冷备用方式，以保障系统的可用性。9.15数据备份与恢复数据备份是保证数据安全的关键技术措施。数据备份的内容包括操作务系统数据、网络设备配置文件、安全防护设备配置文件等。数据备份应符合以下要求：（1）规划设计新建系统时应考虑系统的备份需求，在系统投运前完成备份策略和恢复预案的制定并在系统投运后同时开始执行；已投运系统备份需求发生变化时，要及时更新数据备份策略和恢复预案。（2）备份系统的建设应统一纳入监控系统信息安全规划，备份系统及介质的选型要满级及以上调度控制中心应建立集中备份系统，确保通过数据备份能及时恢复各种故障情况下造成的数据丢失。（3）应根据业务系统的需求制订备份策略，包括定期全备份与增量备份。电力监控系统关键数据应定期作一次完全备份，每当关键数据发生变化时，应作一次增量备份。各有关单位在制订本单位的监控系统安全防护实施方案时，必须制订备份系统具体的备份策略（包括全备份周期、增量备份周期、备份数据保留的时间等）。（4）存储介质应存放在适于保存的安全环境（如防盗、防潮、防鼠害、磁性介质远离磁性、辐射性等并有严格的存取控制,对备份了数据的存储介质要进行定期检查，确认所备份数据的完整性、正确性和有效性。省级及以上调度控制中心及大型地、市级调度控制中心的调度自动化EMS系统应建设容灾系统，以确保在灾难发生时不影响数据的安全性和系统业务的连续性。容灾系统的建设的应该满足以下要求：21（1）必须满足电力监控系统安全防护相关要求。（2）容灾系统不应影响现有系统的正常运行。（3）灾难事故发生时能够快速有效地恢复业务系统的正常运行。（4）容灾系统应支持所备系统的数据异地备份。（5）通过有效的备份策略和备份手段尽可能地减少数据的丢失/错误。（6）充分考虑系统扩展的要求，提供系统平滑升级的能力。（7）省级及以上调度控制中心的容灾系统应在异地建设。（8）大型地、市级调度控制中心的容灾系统可在同城建设。电力监控系统机房所处建筑应当采用有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施，应配置电子门禁系统加强物理访问控制，必要时应当安排专人值守，应当对关键区域实施电磁屏蔽。生产控制大区工作站不得部署于办公区。9.18访问控制措施电力监控系统应逐步采用电力调度数字证书对用户登录操作系统、访问系统资源等操作进行身份认证，根据身份与权限进行访问控制。生产控制大区具备控制功能的系统应当逐步推广应用以密码硬件为核心的可信计算技术，用于实现计算环境和网络环境安全可信，免疫未知恶意代码破坏，应对高级恶意攻击。9.20商用密码管理电力监控系统中商用密码产品的配备、使用和管理等，应当严格执行国家商用密码管理的有关规定。电力监控系统采用的密码产品应具有国家密码管理局颁布的密码产品型号证书。9.21综合监管平台地级调度中心及以上调度机构应该通过建设安全监管平台/模块实现对系统内网的安全审计及安全监控要求。安全监管平台/模块包括安全审计、安全监控、防病毒和网络准入等功能，能全面收集、集中存储生产控制大区各种业务系统、网络设备、安全防护设备、机房设施等的运行日志、操作系统日志、数据库访问日志，并具备动态监视、故障分析、安全审计、事件预警及告警等功能，实现各种信息的告警管理，包括统计查询、报表、短信报警和系统管理等功能。具备对监管范围内的防火墙、正反向隔离装置、纵向加密装置、入侵检测装置等安全设备的安全策略、日志进行关联分析，结合漏洞扫描、防病毒系统对全网的整体安全情况进行综合审计。能对日志进行保护，平台/模块日志禁止以任何形式删除，满足电力监控系统权限分离的要求。安全监管平台/模块实现内网安全监视功能，实时监测电力监控系统的计算机、网络及安全设备运行状态，对纵向加密认证装置进行统一管理，及时发现非法外联、外部入侵等安全事件并告警。具体功能建设要求按照南方电网OS2网、省、地级主站标准化指南关于安全管控类模块要求执行。9.22运维安全审计地级以上的电力监控系统应该采用堡垒机进行安全运维，堡垒机的日志应该接入安全9.23安全防护评估和测评电力监控系统应按有关要求定期开展信息安全等级保护测评、安全防护评估及安全整22调度自动化（SCADA/EMS）自动电压控制（AVC）广域相量测量（WAMS)稳控管理办公自动化系统OA企业信息管理系统MIS用户桌面终端企业综合业务数据网防火墙电力调度运行管理系统（OMS）调度信息披露调度生产管理用户终端防病毒中心水调自动化加密认证措施防火墙纵向加密认证网关纵向加密认证网关安全接入区安全接入区调度数据网实时VPN非实时VPN公用数据网络专线通道反向隔离装置电力市场交易技术支持系统调度员培训模拟电能量计量改工作。调度自动化（SCADA/EMS）自动电压控制（AVC）广域相量测量（WAMS)稳控管理办公自动化系统OA企业信息管理系统MIS用户桌面终端企业综合业务数据网防火墙电力调度运行管理系统（OMS）调度信息披露调度生产管理用户终端防病毒中心水调自动化加密认证措施防火墙纵向加密认证网关纵向加密认证网关安全接入区安全接入区调度数据网实时VPN非实时VPN公用数据网络专线通道反向隔离装置电力市场交易技术支持系统调度员培训模拟电能量计量10.省级及以上调度控制中心监控系统安全防护结构规范省级及以上调度控制中心监控系统安全防护总体逻辑结构如图10.1。该图示意了监控系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区纵向互联的逻辑结构以及网络安全防护设备的总体部署。图中虚线框和虚线部分表示不一定存在。信息大区管理生产控制大区信息大区管理管理信息区（安全区管理信息区（安全区Ⅳ)非控制区（安全区Ⅱ)局域网交换机局域网交换机正向隔离装置反向隔离装置局域网局域网交换机防火墙控制区横向防火墙控制区横向互联交换机防病毒中心非控制区纵向换机控制区纵向互联交换机换机控制区纵向互联交换机防火墙公用数据网络专线通道图10.1省级及以上调度控制中心监控系统安全防护总体逻辑结构示意图省级及以上调度控制中心监控系统安全区域之间横向互联拓扑结构如图10.2，该图展示了安全区横向互联的链式结构及三角形结构（注：增加图10.2中的虚线框和虚线部分的23生产控制大区正向及反向隔离装置控制区横向局域网交换机互联交换机VLANsVLANsVLANsVLANs防火墙防火墙局域网交换机非控制区横向互联交换机管理信息大区生产控制大区正向及反向隔离装置控制区横向局域网交换机互联交换机VLANsVLANsVLANsVLANs防火墙防火墙局域网交换机非控制区横向互联交换机控制区（安全区Ⅰ)非控制区（安全区Ⅱ)生产管理区（安全区Ⅲ)管理信息区（安全区Ⅳ)正向及反向隔离装置横向数据通信机横向数据横向数据通信机横向数据横向数据通信机通信机横向数据横向数据通信机通信机Ⅱ区业务系统Ⅳ区业务系统ⅠⅡ区业务系统Ⅳ区业务系统Ⅰ区业务系统图10.2省级及以上调度控制中心监控系统安全区横向互联拓扑结构图省级及以上调度控制中心监控系统安全区横向互联的配置要点如下：（1）在横向互联交换机上划分若干VLAN分别用于区内业务系统横向数据通信机的接入及安全区间互联。2在各区的互联交换机上使用ACL功能对各VLAN实施访问控制，避免安全区域内各VLAN间业务系统直接互通。3在控制区和非控制区边界的硬件防火墙上配置访问控制规则，对控制区与非控制区相关业务系统实施访问限制。4配置正向及反向隔离装置内外网的业务系统虚拟访问地址及相应安全控制规则。省级及以上调度控制中心生产控制大区纵向互联实施细节如图10.3。主站端生产控制大区与公用通信网络之间要求部署安全接入区及相应的防护设备。24Ⅰ区业务系统VLANsVLANs纵向数据通信机控制区纵向互联交换机加密认证措施安全接入区加密认证措施调度数据网路调度数据网路Ⅰ区业务系统VLANsVLANs纵向数据通信机控制区纵向互联交换机加密认证措施安全接入区加密认证措施调度数据网路调度数据网路生产控制大区非控制区（安全区Ⅱ)ⅡⅡ区业务系统纵向数据通信机防火墙防火墙非控制区纵向互联交换机纵向加密认证网关调度数据网交换机调度数据网交换机纵向加密认证网关安全接入区专线通道公用数据网络公用数据网络专线通道公用数据网络图10.3省级及以上调度控制中心生产控制区纵向互联拓扑结构图省级及以上调度控制中心监控系统安全区纵向互联的配置要点如下：（1）在控制区纵向互联交换机上划分若干实时业务VLAN，各VLAN地址为调度数据网实时VPN的业务段地址；在非控制区互联交换机上划分若干非实时业务VLAN，各VLAN地址为调度数据网非实时VPN的业务段地址；业务系统纵向通信机的网关地址为该机所接入VLAN的网关地址；实时业务VLAN和非实时业务VLAN可通过二层或三层模式接入调度数据网。间业务系统直接互通。（3）在控制区纵向加密认证网关和非控制区纵向加密认证网关上配置安全控制规则。（4）在控制区，若存在某些业务系统同时具有实时类数据（或控制类数据）和非实时类数据的纵向传输（例如：保护信息系统，其下发的设置指令为控制类数据，而录波数据为非实时类数据。又如：WAMS系统，其周期采集的相量和频率数据为实时类数据，而人工召唤的历史数据和录波数据为非实时类数据为了使控制区的这些业务系统既可使用实时VPN传输实时类数据（或控制类数据又可使用非实时VPN传输非实时类数据且不形成VPN之间纵向交叉连接，可采取如下方法：1）对于纵向互联交换机采用三层模式接入调度数据网的调度控制中心，可将控制区具有非实时数据传输的业务系统通信机外网口IP地址通过防火墙由实时VPN业务段的地址转换为非实时VPN业务段的地址。2）对于纵向互联交换机采用二层模式接入调度数据网的调度控制中心，可为控制区具有非实时数据传输的业务系统通信机网卡配置两条路由，将非实时数据业务的网关指向横向防火墙内网口，通过防火墙的NAT功能将实时VPN业务段的地址转换为非实时段的地址。3）在防火墙上应使用访问控制功能对转换后的地址实施严格的访问限制，其基本控制策略为：只允许转换后的地址正向访问非实时VPN网上的相关业务系统；禁止非实时VPN网上所有地址反向访问控制区业务系统。（5）生产控制大区业务系统采用公用通信网络进行应急通信的情况下，要求部署安全接入区。25Ⅱ区业务系统纵向数据通信机VLANsVLANs非控制区纵向互联交换机防火墙控制区纵向互联交换机非控制区纵向互联交换机纵向加密认证网关纵向加密认证网关调度数据网交换机调度数据网路由器调度数据网交换机调度数据网路由器控制区纵向互联交换机调度数据网路由器调度数据网路由器调度数据网交换机调度数据网交换机纵向加密认证网关防火墙纵向加密认证网关（6）加密装置管理系统通过独立部署的硬件防火墙接入调度数据网边界交换机。独立部署的硬件防火墙的基本控制策略为：只允许加密装置管理系统访问纵向加密认证网关；禁止外部网络访问加密装置管理系统。Ⅱ区业务系统纵向数据通信机VLANsVLANs非控制区纵向互联交换机防火墙控制区纵向互联交换机非控制区纵向互联交换机纵向加密认证网关纵向加密认证网关调度数据网交换机调度数据网路由器调度数据网交换机调度数据网路由器控制区纵向互联交换机调度数据网路由器调度数据网路由器调度数据网交换机调度数据网交换机纵向加密认证网关防火墙纵向加密认证网关（7）对于使用专线通道的业务系统，应逐步在专线通道上部署加密认证措施。省级及以上调度控制中心接入调度数据网双平面的典型纵向互联结构如图10.4所示。图中虚线框中灰色底部分表示接入调度数据网第二平面新增设备。生产控制大区非控制区（安全区Ⅱ)数据通信机纵向图10.4省级及以上调度控制中心调度数据网双平面纵向互联典型结构图省级及以上调度控制中心接入调度数据网双平面安全防护的配置要点如下：（1）省级及以上调度控制中心调度数据网双平面建设将在主站部署新的调度数据网交换机和路由器，且均采用双机配置。与之相应，在控制区和非控制区分别部署纵向加密认证网关与调度数据网第二平面接入设备对接，同样各自采用主备配置。（2）对于各区纵向互联交换机，部署新的纵向互联交换机与上述纵向加密认证网关相连，作为调度数据网第二平面的纵向互联交换机。（3）对于需要接入调度数据网第二平面的业务系统设备，则按照调度数据网第二平面地址规划配置新的IP地址，接入上述纵向互联交换机。（4）本图中所述方案为典型纵向互联结构，如考虑降低设备总数、节约成本等因素，则可利用现有的纵向互联交换机和纵向加密认证网关设备，如：在现有的纵向互联交换机上通过划分VLAN等技术手段配置调度数据网第二平面所需地址，采用双进双出方式使用现有的纵向加密认证网关等。11.地、县级调度控制中心监控系统安全防护结构规范地、县级调度控制中心监控系统安全防护总体逻辑结构如图11.1所示拓扑结构。26生产控制大区雷电监测调度信息披露调度生产管理用户终端调度员培训模拟办公自动化系统OA企业管理信息系统MIS统计报表系统调度自动化SCADA/PAS集控稳控管理电能量计量故障录波管理模块IDSIDS防病毒中心防病毒中心局域网交换机正向隔离装置互联交换机互联交换机防火墙局域网交换机防火墙反向隔离装置纵向加密认证网关防火墙安全接入区调度数据网实时VPN非实时VPN企业综合业务数据网专线通道公用数据网络数据通信机数据通信机VLANsVLANsVLANs防火墙防火墙局域网交换机防火墙安全接入区安全接入区管理信息大区生产控制大区雷电监测调度信息披露调度生产管理用户终端调度员培训模拟办公自动化系统OA企业管理信息系统MIS统计报表系统调度自动化SCADA/PAS集控稳控管理电能量计量故障录波管理模块IDSIDS防病毒中心防病毒中心局域网交换机正向隔离装置互联交换机互联交换机防火墙局域网交换机防火墙反向隔离装置纵向加密认证网关防火墙安全接入区调度数据网实时VPN非实时VPN企业综合业务数据网专线通道公用数据网络数据通信机数据通信机VLANsVLANsVLANs防火墙防火墙局域网交换机防火墙安全接入区安全接入区控制区管理信息区（安全区Ⅳ控制区管理信息区（安全区Ⅳ)非控制区（安全区Ⅱ)IDSIDS安全接入区公用数据网络专线通道图11.1地、县级调监控系统安全防护总体逻辑结构示意图地、县级调度控制中心监控系统安全区横向及纵向互联可采用图11.2所示拓扑结构。生管理信息大区产控制大区生管理信息大区非控制区（安全非控制区（安全区Ⅱ)管理信息区（安全区Ⅳ)务系统Ⅳ区业务系统Ⅳ区业VVLANs图11.2地、县级调度控制中心监控系统安全区横向及纵向互联拓扑结构图地、县级调度控制中心监控系统安全区横向及纵向互联的配置要点如下：（1）在控制区互联交换机上划分若干实时业务VLAN，各VLAN地址为调度数据网实时VPN的业务段地址；实时VLAN中，有两个VLAN分别用于控制区的横向互联和纵向互联，其余VLAN分别用于控制区内不同类别业务系统的接入。（2）在非控制区互联交换机上划分若干非实时业务VLAN，各VLAN地址为调度数据网非实时VPN的业务段地址，非实时VLAN中，有两个VLAN分别用于非控制区的横向互联和纵向互联，其余VLAN分别用于非控制区内不同类别业务系统的接入。27（3）在控制区互联交换机和非控制区互联交换机上使用ACL功能对各VLAN实施访问控制，避免安全区域内各VLAN间业务系统直接互通。（4）对于控制区具有横向数据通信的系统，可将其数据通信机上实时VPN业务段的IP地址通过横向互联的防火墙转换为非实时VPN业务段的地址，并且使用防火墙访问控制功能对转换后的地址实施访问限制。（5）配置正向及反向隔离装置内外网的业务系统虚拟访问地址及相应安全控制规则。（6）生产控制大区纵向加密认证网关应配置安全控制规则。（7）在控制区，若存在某些业务系统同时具有实时类数据（或控制类数据）和非实时类数据的纵向传输（例如：EMS与保护信息一体化系统，其EMS系统接收的远动数据为实使控制区的这些业务系统既可使用实时VPN传输实时类数据（或控制类数据又可使用非实时VPN传输非实时类数据且不形成VPN之间纵向交叉连接，可采取如下方法：1）将控制区具有非实时数据传输的业务系统通信机外网口IP地址通过防火墙由实时VPN业务段的地址转换为非实时段的地址；2）通过防火墙对转换后的地址实施严格的访问控制，其基本的访问控制策略为，只允许转换后的地址正向访问调度数据网非实时VPN网上的相关业务系统；禁止非实时VPN网上所有地址反向访问调度控制中心控制区业务系统。（8）在生产控制大区的某些业务系统采用公用通信网络进行数据通信的情况下，应部署安全接入区及相应的安全防护措施。（9）加密装置管理系统通过独立部署的硬件防火墙接入调度数据网边界交换机。独立部署的硬件防火墙的基本控制策略为：只允许加密装置管理系统访问纵向加密认证网关；禁止外部网络访问加密装置管理系统。（10）对于地县调一体化建设的调度控制中心监控系统，应采用调度数据网或专线的纵向通信方式并部署相应的安全防护措施，不应使用局域网延伸的通信方式，对已采用此方式的应及时进行技术改造，同时在过渡期内应通过安全审计等方式加强管理，并采用必要的安全加密措施。在完成安全防护