文档介绍:电力二次系统安全防护总体方案一、总则电力二次系统安全防护总体方案是依据电监会5号令以及电监会[2006]34号文的规定并根据电网二次系统系统的具体情况制定的,目的是规范和统一电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全、稳定、经济运行。电力二次系统是指各级电力监控系统和调度数据网络()以及各级调度管理信息系统(OMS)和电力数据通信网络()构成的大系统。本方案确定电力二次系统的安全区的划分原则,确定各安全区之间在横向及纵向上的防护原则,提出电力二次系统安全防护的总体方案,严格执行“安全分区、网络专用、横向隔离、纵向认证”的规定,并指导各有关单位具体实施。二、安全防护的基本原则安全分区。分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分区,重点保护生产控制以及直接生产电力生产的系统。网络专用。实现安全隔离,并通过采用MPLS-VPN或IPSEC-分别形成多个相互逻辑隔离的VPN实现多层次的保护。横向隔离。在不同安全区之间采用逻辑隔离装置或物理隔离装置使核心系统得到有效保护。纵向认证、防护。安全区Ⅰ、Ⅱ的纵向边界部署IP认证加密装置;安全区Ⅲ、Ⅳ的纵向边界必须部署硬件防火墙,目前在认证加密装置尚未完善情况下,使用国产硬件防火墙进行防护。整体安全防护隔离情况如下图所示:三、电力二次系统安全防护1、安全区的划分根据电力二次系统的特点、目前状况和安全要求,整个二次系统分为四个安全工作区:第一区为实时控制区,第二区为非控制业务区,第三区为生产管理区,第四区为管理信息区。、安全区Ⅰ是实时控制区,安全保护的核心。凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区Ⅰ。如各级调度的SCADA(AGC/AVC)系统、EMS系统、WAMS系统、配网自动化系统(含实时控制功能)以及电厂实时监控系统等,其面向的使用者为调度员和运行操作人员,数据实时性为秒级,的实时VPN。、安全区Ⅱ是非控制业务区不直接进行控制但和电力生产控制有很大关系,短时间中断就会影响电力生产的系统均属于安全区Ⅱ。属于安全区Ⅱ的典型系统包括PAS、水调自动化系统、电能量计费系统、发电侧电力市场交易系统、电力模拟市场、功角实时监测系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级、日、月甚至年。的非实时VPN。、安全区Ⅲ是生产管理区该区的系统为进行生产管理的系统,典型的系统为DMIS系统、DTS系统、雷电监测系统、气象信息以及电厂生产管理信息系统等。该区中公共数据库内的数据可提供运行管理人员进行web浏览。、安全区IV是办公管理系统包括办公自动化系统或办公管理信息系统。或因特网。2、。调度数据网必须建立在IP+SDH的基础上,严格执行MPLSVPN的划分。通过MPLSVPN划分将调度数据网分成VPN1和VPN2。因此在纵向上安全区I的数据传输和交换通过VPN1来完成,安全区II的数据传输和交换通过VPN2来完成。(调度生产管理信息OMS网络) 安全区III网络(调度生产管理信息OMS网络)主要是在纵向上各级调度部门传输调度生产管理信息,属于