电力系统二次安全防护.ppt

1、电力线路二次安全防护，2020年7月16日，北京牌科东电力操纵系统有限责任公司，2，二滩水电站异常停止事件故障记录装置“时间逻辑炸弹”事件换流站操纵系统感染细小病毒事件近年来，世界大供电中断事故反映了电力二次系统的脆弱性和重要性。电力二次系统安全事件，2020年7月16日，由于北京牌科东电力操纵系统有限责任公司，3，二次系统安全防护的由来，2000年四川某水电站无故全厂停工川西电力网瞬时短达80万仟瓦引起电力网大面积供电中断。 其根源是工厂内的MIS系统和电站的操纵系统是没有任何防护措施的互联互通，引起有意或有意的控制操作，从而导致宕机时间。 2001年9月和10月，全国147家变电所设置的银

2、山公司生产的录音机频繁“事故”，出现不记录或恐慌现象，严重影响了高压电力网的安全运行。 事后分析的结果，这台录音机人为地设置了“时间限制”和“时间逻辑炸弹”。 2020年7月16日，北京牌科东电力操纵系统有限责任公司，4，二次系统安全防护的由来，2003年8月14日美国加拿大的供电中断事故震惊世界，事故扩大的直接原因是两控制中心的自动化系统故障。 黑客攻击会导致同样的毁灭性结果。 此次“814”美国、加拿大的大供电中断造成了300亿日元的损失和社会的不稳定。 由此，能够说明电力线路的重要性。 2003年12月龙泉、政平、鹅城、荆州等换流站遭到计算机细小病毒的攻击。 近年来，我国很多基于WIND

3、OWS-NT的电力二次系统的修正计算机系统受到程度不同的修正计算机细小病毒的攻击。 造成了业务损失和经济损失。 值得我们深刻关注。 如果有攻击需要防护，2020年7月16日，北京牌科东电力操纵系统有限责任公司，5，主要风险，调度数据网上：明文数据104规约等的识别，是由于以“控制信息”的保护为重点的物理原因造成的数据中断是最不危险的，最危险的是旁路窃听篡改伪造，2020年7月16日，北京牌科东电力操纵系统有限责任公司，6，电力二次系统主要安全风险，2020年7月16日，北京牌科东电力操纵系统有限责任公司，7，系列文件，国家经济贸易委员会2002第30号命令：电网及发电厂计算机监控系统和调度数据

4、网络安全防护2000 国家电力监督委员会第五号命令：电力二次系统安全防护规定于2004年12月20日公布，自2005年2月1日起施行。 2020年7月16日，北京牌科东电力操纵系统有限责任公司，8，系列文件，电力二次系统安全防护规定定径套文件：电力二次系统安全防护总体方案省级以上调度中心二次系统安全防护方案地， 县级调度中心二次系统安全防护方案变电所二次系统安全防护方案配电二次系统安全防护方案2020年7月16日，北京牌科东电力操纵系统有限责任公司，9、综合安全防护方案在对电力二次系统进行全面系统安全分析的基础上，提出十六字综合安全防护方案。 安全区分、网络专用、横向隔离、纵向身份验证，202

5、0年7月16日，北京牌科东电力操纵系统有限责任公司，10、电力二次系统安全防护的目标是通过黑客、细小病毒、恶意代码等多种形式对系统进行恶意破坏和攻击，特别是小组攻击，2020年7月16日， 北京牌科东电力操纵系统有限责任公司，11，安全区，2020年7月16日，北京牌科东电力操纵系统有限责任公司，12，安全区I典型系统，调度自动化系统(SCADA/EMS )，广域电量测量典型特征：直接实现电力生产的重要环节、安全防护的重点和核心一次系统运行的实时监控纵向使用电力调度数据网或专用通道。2020年7月16日，北京牌科东电力操纵系统有限责任公司、13、安全区典型系统、调度员培训仿真系统(DTS )、

6、水库调度自动化系统、继电保护及故障记录信息管理系统、电能纠测系统、电力市场运行系统等。 典型特征：实现的功能在电力生产的必要环节即上线了运行，但没有控制功能，使用电力调度数据网络，与控制区域(安全区域I )内的系统或功能模块紧密配合。 2020年7月16日，安排了北京牌科东电力操纵系统有限责任公司、14、安全区典型系统、生产管理系统(DMIS )、调度报告系统(日报、旬报、月报、年报)、雷电监测系统、气象信息网站数据库等。 典型特点：主要以生产管理为重点的系统，2020年7月16日，北京牌科东电力操纵系统有限责任公司，15，安全区典型系统，管理情报系统(MIS )，OA，顾客服务等。 典型特征

7、：纯管理的系统、电力二次系统安全防护的整体图、上级调度/中心特罗尔中心、下级调度/中心特罗尔中心、上级信息中心、下级信息中心、 实时VPN SPDnet非实时VPN保密工作区域III (生产管理区域)、保密工作区域IV (管理信息区域)、外部公共网际网络、生产VPN SPTnet管理VPN，防火墙、防火墙、IP身份验证加密法装置、IP身份验证加密法装置， IP安全区III (生产管理区)、防火墙、防火墙、安全区IV (管理信息区)、专线、前向专用安全隔离装置、反向专用安全隔离装置、前向专用安全隔离装置、反向专用安全隔离装置、防火墙， 防火墙电力调度数据网在专用信道上使用独立的网络设备网，应当基

8、于SDH/PDH上的不同信道、不同的光波长、不同的核等方式，在物理级别上实现与电力企业的其他数据网以及外部公共信息网的安全隔离。 电力调度数据网分为隔离到逻辑性的实时子网和非实时子网，分别连接控制领域和非控制领域。 在子网之间，可以使用MPLS-VPN技术、安全隧道技术、PVC技术、路由独立技术等来建构子网。 电力调度数据网是电力二次安全防护系统的重要网络基础。2020年7月16日、北京牌科东电力操纵系统有限责任公司、18、网络专用、2020年7月16日、北京牌科东电力操纵系统有限责任公司、19、横向隔离、物理隔离装置(正向/反向型)、2020年7月16日专用的横向单向安全隔离装置，根据数据通

9、信方向分为正向型和反向型。 前向安全隔离设备用于产生从控制区到管理区的非网络方法的单向式数据传输。 逆安全隔离装置用于从管理信息区域向生产控制区域的单向式数据传送，是从管理信息区域向生产控制区域的唯一的数据传送路径。 严格禁止电子邮件、Web、Telnet、Rlogin、FTP等通用网络服务和B/S或C/S方式的数据库网站数据库横穿专用的横向单向式保密工作隔离装置，仅行政许可纯数据的单向式保密工作传输。 隔离设备、适时控制系统、调度生产系统、接口机a、接口机b、安全岛、牛鼻子技术-前向型专用安全隔离装置、内网、外网、内部代理防火墙、外部代理防火墙、特别配置LINUX内核，取消所有网络逸出功、安

10、全、固化的执行操作系统。 防御DoS以外的已知网络攻击。 3 .非网络方法内部通讯通讯端口安全岛，并确保设备内外两个处理系统不连通云同步。 4 .隐藏透过监听方式、虚拟男公关IP地址、MAC地址，通讯端口NAT 5，并防止MAC/IP/PORT/PROTOCOL/DIRECTION等的综合滤波与接入控制6、透过性TCP结合。 内外代理防火墙之间的TCP连接分解为两个TCP虚拟连接，两个代理防火墙分别连接到装置内外的两个网卡。 两个网卡在装置内部非网络连接。 7 .单向式联接控制。 应用层数据完全传输到单向式，TCP响应禁止携带应用层数据。 8、一种通讯端口应用层分析、应用层特殊标签识别器9、通

11、讯端口身份验证10、灵活方便的维护管理接口、前向专用隔离、反向专用安全隔离设备、以及从安全区III到安全区I/II的唯一数据传输路径。 反向专用隔离装置接收从保密工作区域III向保密工作区域I/II发送的数据集合，进行签名验证、内容过滤环、有效性检查等处理。 具体的步骤如下：1.保密工作区域III内的数据发送侧首先对应该发送的数据签名，然后发送到逆型专用隔离装置2 .专用隔离装置在接收到数据之后，进行签名验证，对对数数据进行内容过滤环2020年7月16日、北京牌科东电力操纵系统有限责任公司、24、安全区和远方通讯的安全防护要求(1)、安全区，相连的广域网为国家电力调度数据网SPDnet。 SP

12、Dnet是一个保密工作区域，它提供两个独立的MPLS-VPN逻辑性。 连接到安全岛的广域网是国家电力数据通信网(SPTnet )，SPDnet从SPTnet物理地隔离。 网站数据库到保密工作区域、SPDnet时，请配置纵向加密法身份验证装置，实现远程通讯的双向身份验证和数据加密法。 如果暂时没有条件或业务没有此要求，可以替换为硬件防火墙。 保密工作区域网站数据库SPTnet必须配置硬件防火墙。2020年7月16日，北京牌科东电力操纵系统有限责任公司、25、安全区和远方通讯的安全防护要求(2)、外联网边界通讯闸道器(如通讯服务器等)的执行操作系统必须安全地加强，并配置数字证书。 传统的远程信道通

13、讯目前没有考虑网络保密工作问题。 各个主要工厂车站的远程通道的通讯可以采用线路加密法器，但需要上级部门的批准。 经由SPDnet的RTU网络信道原则上不考虑传输中的身份验证加密法。 个别主要工厂局的RTU网络通讯可以采用身份验证加密法，但需要上级部门的批准。 禁止保密工作区域的纵向WEB，行政许可保密工作区域II的纵向WEB服务。 保密工作区I和保密工作区II的拨号网站数据库服务原则上需要身份验证、加密法和接入控制。2020年7月16日，北京牌科东电力操纵系统有限责任公司、26、纵密码身份验证装置/闸道器、密码身份验证装置位于电力操纵系统的内部LAN与电力调度数据网络的路由组之间，并为安全区I

14、/II的广域网边界保护，设置了本地安全区I/可向II提供网络屏障、向云同步提供上下操纵系统之间的广域网通讯的加密法身份验证闸道器，除了实现加密法身份验证装置的全部功能外，还应实现应用层协议和新闻报道内容识别的功能。2020年7月16日，采用了北京牌科东电力操纵系统有限责任公司、27、纵加密身份验证闸道器和管理中心布局，2020年7月16日，北京牌科东电力操纵系统有限责任公司、28、纵认证、认证、加密、访问控制等技术措施， 应在实现数据远程安全传输和纵向边界安全保护的生产控制区和广域网纵向边界设置一个接受国家指定部门验收身份验证的电力专用纵向加密法身份验证装置或加密法身份验证闸道器和相应设施，实

15、现双向身份验证、数据加密法和访问控制。管理信息地区必须采用硬件防火墙等安全设备与电力企业的数据网网站数据库。 纵向加密法身份验证是电力二次安全防护系统的纵向防线。 传统的基于专用通道的通讯可以不涉及网络保密工作的问题，采用线路加密法技术保护重要的工作站和重要的业务。PKI技术介绍、对称密钥体系：指加密密钥和解密密钥为同一密钥的加密体系。 因此，消息发送者和消息接收者在进行消息的传送和处理时，必须共享其加密(称为对称加密)。 通常，密钥较短，使用的加密法算法相对简单、高效。 非对称密钥体制(公开密钥体制):用户生成一对公开/秘密密钥，向外部公开的密钥是公开密钥，自各儿持有的密钥是秘密密钥。 加密

16、法过程：信息发送者用信息接收者的公钥对信息进行加密法，信息接收者用该私钥对被加密法的信息进行解密。 也被称为公开密钥加密技术。 授权流程：信息发送者用自各儿的私钥对信息进行加密法，信息接收者用信息发送者的公钥对该加密法信息进行解密。 因为任何人都可以用信息发送者的公钥解密此加密法的信息，所以只有知道信息发送者的私钥的人才能发布此加密法的信息。 安全防护要求必须在生产控制地区和管理信息地区之间设置接受国家指定部门验收身份验证的电力专用横向单向式安全隔离装置。 在生产控制地区内部的安全地区之间，必须采用具有接入控制功能的设备、防火墙或者具有相当功能的设施，实现逻辑性的隔离。 在生产控制区和广域网的

17、纵向交界处，应当设置接受国家指定部门检查身份验证的电力专用纵向加密法身份验证装置或加密法身份验证闸道器和相应设施。安全防护要求、安全区边界应采取必要的安全防护措施，禁止横跨生产控制区和管理信息区边界的通用联网服务。 生产控制地区的业务系统必须具有高安全性和高可靠性，禁止采用安全风险高的通用网络服务功能。 基于电力调度管理体制建构基于公钥技术的分布式电力调度数字证书系统，生产控制地区重要的业务系统必须采用身份验证加密法机制。各安全区域内部安全防护的基本要求(1)、对安全区域及安全区域的要求：禁止安全区域/内部的电子邮件服务。 保密工作区域不行政许可网站服务器和客户端的存在。 行政许可保密工作区域

18、内部及纵向(即上下段间)的WEB服务。 但是，WEB阅览工作站和II地辖区的业务系统工作站不能共享，业务系统需要向WEB服务主动传输数据到单向式。 SCADA、电力交易等保密工作区/的重要业务必须采用身份验证加密法反应历程。 安全区域/内的相关系统之间需要采取接入控制等保密工作对策。 保密工作区域/拨号网站数据库服务需要身份验证、加密法、接入控制等保密工作措施。 必须引入保密工作区域IDS等安全审计操作。 需要采取保密工作区/恶意查询密码措施。各保密工作区内部保密工作保护的基本要求(2)、保密工作区要求：保密工作区行政许可短信、WEB服务开通。 保密工作区域拨号网站数据库服务需要接入控制等保密工作对策。 保密工作区域必须实施安全审计操作，如IDS。 在保密工作区，恶意查询密码措施是必要的。 对保密工作区没有详细的要求。 其他保密工作对策、细小病毒对策：细小病毒对策是调度系统和网