電力二次系統(tǒng)安全防護(hù)方案

一、前言

為認(rèn)真貫徹落實(shí)國(guó)家經(jīng)貿(mào)委［2002］第30號(hào)令《電網(wǎng)和電廠計(jì)算

機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》和2004年12月20日

國(guó)家電力監(jiān)管委員會(huì)發(fā)布［2005］5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》

等有關(guān)文件精神，確保我公司機(jī)組安全、優(yōu)質(zhì)、穩(wěn)定運(yùn)行，根據(jù)《全

國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》，結(jié)合公司SIS系統(tǒng)當(dāng)前的實(shí)際

情況，特制定本方案。

二、電力安全防護(hù)的總體原則

（一）安全防護(hù)目標(biāo)

電力二次系統(tǒng)安全防護(hù)的重點(diǎn)是確保電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及

調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，目標(biāo)是抵御黑客、病毒、惡意代碼等通過(guò)各種

形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防

止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱

瘓。

（二）相關(guān)的安全防護(hù)法規(guī)

1.2004年12月20日國(guó)家電力監(jiān)管委員會(huì)發(fā)布［2005］5號(hào)令《電

力二次系統(tǒng)安全防護(hù)規(guī)定》

2.2002年5月，國(guó)家經(jīng)貿(mào)委發(fā)布30號(hào)令《電網(wǎng)和電廠計(jì)算機(jī)

監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》

3.2003年12月，全國(guó)電力二次系統(tǒng)安全防護(hù)專家組和工作組

發(fā)布《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》

4.2003年《電力系統(tǒng)安全性評(píng)價(jià)體系》

5.《中國(guó)國(guó)電集團(tuán)公司廣域網(wǎng)管理辦法》

6.《中國(guó)國(guó)電集團(tuán)公司安全管理規(guī)范》

7.《中國(guó)國(guó)電集團(tuán)公司信息化建設(shè)和管理技術(shù)路線》

8.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

9.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

（三）電力二次系統(tǒng)安全防護(hù)策略

電力二次系統(tǒng)安全防護(hù)總體框架要求電廠二次系統(tǒng)的安全防護(hù)

技術(shù)方案必須按照國(guó)家經(jīng)貿(mào)委［2002］第30號(hào)令《電網(wǎng)和電廠計(jì)算機(jī)

監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》和國(guó)家電力監(jiān)管委員會(huì)

［2005］第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》進(jìn)行設(shè)計(jì)。同時(shí)，要

嚴(yán)格遵循集團(tuán)公司頒布的《中國(guó)國(guó)電集團(tuán)公司信息化建設(shè)和管理技術(shù)

路線》中對(duì)電力二次系統(tǒng)安全防護(hù)技術(shù)方案的相關(guān)技術(shù)要求。

1.安全防護(hù)的基本原則

（1）系統(tǒng)性原則（木桶原理）；

（2）簡(jiǎn)單性和可靠性原則；

（3）實(shí)時(shí)、連續(xù)、安全相統(tǒng)一的原則；

（4）需求、風(fēng)險(xiǎn)、代價(jià)相平衡的原則;

（5）實(shí)用性與先進(jìn)性相結(jié)合的原則;

（6）方便性與安全性相統(tǒng)一的原則；

（7）全面防擰、突出重點(diǎn)的原則；

（8）分層分區(qū)、強(qiáng)化邊界的原則；

（9）整體規(guī)劃、分布實(shí)施的原則；

（10）責(zé)任到人，分級(jí)管理，聯(lián)合防護(hù)的原則。

2.安全策略

安全策略是安全防護(hù)體系的核心，是安全工程的中心。安全策略

可以分為總體策略、面向每個(gè)安全目標(biāo)的具體策略兩個(gè)層次。策略定

義了安全風(fēng)險(xiǎn)的解決思路、技術(shù)路線以及相配合的管理措施。安全策

略是系統(tǒng)安全技術(shù)體系與管理體系的依據(jù)。

電力二次系統(tǒng)的安全防護(hù)策略為：

（1）安全分區(qū)：根據(jù)系統(tǒng)中各業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影

響程度劃分為四個(gè)安全區(qū)：控制區(qū)I、生產(chǎn)區(qū)n、管理區(qū)ni、信息區(qū)

N,所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)。

（2）網(wǎng)絡(luò)專用：建立專用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與電力企業(yè)數(shù)據(jù)

網(wǎng)絡(luò)實(shí)現(xiàn)物理隔離，在調(diào)度數(shù)據(jù)網(wǎng)上形成相互邏輯隔離的實(shí)時(shí)子網(wǎng)和

非實(shí)時(shí)子網(wǎng)，避免安全區(qū)縱向交叉連接。

（3）橫向隔離：采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)，尤其

是在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間實(shí)行有效安全隔離，隔離強(qiáng)度

應(yīng)接近或達(dá)到物理隔離。

(4)縱向認(rèn)證：采用認(rèn)證、加密、訪問(wèn)控制等技術(shù)實(shí)現(xiàn)生產(chǎn)控

制數(shù)據(jù)的遠(yuǎn)程安全傳輸以及縱向邊界的安全防護(hù)。

3.電力二次系統(tǒng)的安全區(qū)劃分

根據(jù)電力二次系統(tǒng)的特點(diǎn)，各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流

程、目前狀況和安全要求，將整個(gè)電力二次系統(tǒng)分為四個(gè)安全區(qū)：I

實(shí)時(shí)控制區(qū)、n非控制生產(chǎn)區(qū)、in生產(chǎn)管理區(qū)、iv管理信息區(qū)。其

中，1區(qū)和TI區(qū)組成生產(chǎn)控制大區(qū)，in區(qū)和IV區(qū)組成管理信息大區(qū)。

不同的安全區(qū)確定了不同的安全防護(hù)要求，從而決定了不同的安

全等級(jí)和防護(hù)水平°其中安全區(qū)I的安全等級(jí)最高，安全區(qū)n次之,

其余依次類推。

在各安全區(qū)之間，均需選擇適當(dāng)?shù)慕?jīng)國(guó)家有關(guān)部門認(rèn)證的隔離裝

置。生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須采用經(jīng)國(guó)調(diào)中心認(rèn)可的電

力專用安全隔離裝置。

在安全區(qū)中內(nèi)部局域網(wǎng)與外部邊界通信網(wǎng)絡(luò)之間應(yīng)采用功能上

相當(dāng)于通信網(wǎng)關(guān)或強(qiáng)于通信網(wǎng)關(guān)的內(nèi)外網(wǎng)的隔離裝置。

4.業(yè)務(wù)系統(tǒng)或功能模塊置于安全區(qū)的規(guī)則

根據(jù)該系統(tǒng)的實(shí)時(shí)性、使用者、功能、場(chǎng)所、在各業(yè)務(wù)系統(tǒng)的相

互關(guān)系、廣域網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響，將其分

置于四個(gè)安全區(qū)之中。

實(shí)時(shí)控制系統(tǒng)或未來(lái)可能有實(shí)時(shí)控制功能的系統(tǒng)需置于安全區(qū)

IO如：機(jī)組監(jiān)控系統(tǒng)，實(shí)時(shí)性很強(qiáng)。用亍在線控制，所以置于安全

區(qū)Io

電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移到低

安全區(qū)。允許把屬于低安全區(qū)的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全區(qū),

由屬于高安全區(qū)的人員使用。

某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一

致時(shí)，可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊（或子系統(tǒng)）分

置于各安全區(qū)中，各功能模塊（或子系統(tǒng)）經(jīng)過(guò)安全區(qū)之間的通信來(lái)

構(gòu)成整個(gè)業(yè)務(wù)系統(tǒng)。

自我封閉的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則不作要求，但

需遵守所在安全區(qū)的安全防護(hù)規(guī)定。

各電力二次系統(tǒng)原則上均應(yīng)劃分為四安全區(qū)，但并非四安全區(qū)都

必須存在。某安全區(qū)不存在的條件是其本身不存在該安全區(qū)的業(yè)務(wù)，

且與其它電網(wǎng)二次系統(tǒng)在該層安全區(qū)不存在“縱”向互聯(lián)。如果省略

某安全區(qū)而導(dǎo)致上下級(jí)安全區(qū)的縱向交叉，則必須保留安全區(qū)間的隔

離設(shè)備，以保障安全防護(hù)體系的完整性。

5.安全區(qū)之間的橫向隔離要求

在各安全區(qū)之間均需選擇適當(dāng)安全強(qiáng)度的隔離裝置，尤其在生產(chǎn)

控制大區(qū)和管理信息大區(qū)之間要選擇使用達(dá)到或接近物理強(qiáng)度的專

用隔離裝置。具體隔離裝置的選擇不僅需要考慮網(wǎng)絡(luò)安全的要求，還

需要考慮帶寬及實(shí)時(shí)性的要求。隔離裝置必須是國(guó)產(chǎn)設(shè)備并經(jīng)過(guò)國(guó)家

或電力系統(tǒng)有關(guān)部門認(rèn)證。

三、實(shí)施方案

（一）系統(tǒng)安全區(qū)規(guī)劃

現(xiàn)場(chǎng)生產(chǎn)控制系統(tǒng)（包括DCS、輔控系統(tǒng)、RTU、省調(diào)系統(tǒng)），

SIS系統(tǒng)，MIS系統(tǒng)。根據(jù)《電力二次安全防護(hù)方案第七稿》的要求，

現(xiàn)有的業(yè)務(wù)系統(tǒng)中，機(jī)組DCS系統(tǒng)、其他輔控系統(tǒng)及RTU應(yīng)屬于安全

區(qū)I和安全區(qū)H,SIS系統(tǒng)應(yīng)屬于安全區(qū)IH（備注：電廠在前期規(guī)

劃中將S1S系統(tǒng)嚴(yán)格定位至安全區(qū)III,從網(wǎng)絡(luò)方面按照國(guó)家對(duì)安全

區(qū)IH的相關(guān)規(guī)定進(jìn)行規(guī)劃實(shí)施，并且其系統(tǒng)功能方面也完全符合安

全HI區(qū)的定位，即“SIS系統(tǒng)實(shí)現(xiàn)電力調(diào)度生產(chǎn)的管理功能，但不

具備控制功能，不在線運(yùn)行，可不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與調(diào)度中

心或控制中心工作人員的桌面終端直接相關(guān)，與安全區(qū)IV的辦公自

動(dòng)化系統(tǒng)關(guān)系密切?！保?MIS系統(tǒng)應(yīng)屬于安全區(qū)IV。

根據(jù)國(guó)家二次防護(hù)規(guī)定，本廠級(jí)實(shí)時(shí)管理信息系統(tǒng)（SIS）在實(shí)

施過(guò)程中安全防護(hù)要求及措施如下：

該項(xiàng)目所連接現(xiàn)場(chǎng)控制系統(tǒng)，包括主機(jī)分散控制系統(tǒng)（DCS）、

化水程控系統(tǒng)、輸煤程控系統(tǒng)、除灰程控系統(tǒng)和除渣控制系統(tǒng)，屬于

安全區(qū)I,還有RTU系統(tǒng)和省調(diào)系統(tǒng)，屬于安全區(qū)II,都屬于生產(chǎn)控

制大網(wǎng)的范疇。這些系統(tǒng)與S1S系統(tǒng)數(shù)據(jù)傳輸按照國(guó)家安全防護(hù)規(guī)定

必須采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的專用安全隔離裝置。木項(xiàng)目在現(xiàn)場(chǎng)生

產(chǎn)控制系統(tǒng)與SIS服務(wù)器之間安置了經(jīng)國(guó)家相關(guān)部門認(rèn)證的電力系

統(tǒng)專用網(wǎng)絡(luò)隔離裝置正向型（珠海鴻瑞Hrwall-85M-H）,確?，F(xiàn)場(chǎng)

數(shù)據(jù)采集完全單向傳輸，保證了生產(chǎn)控制大網(wǎng)的安全性。

本項(xiàng)目還連接了同屬于管理信息大網(wǎng)的MTS系統(tǒng)（安全區(qū)IV）,

按照國(guó)家安全防護(hù)的規(guī)定，本系統(tǒng)與MIS系統(tǒng)之間安置了防火墻以保

證各自系統(tǒng)的安全性。

本項(xiàng)目安全防護(hù)規(guī)劃示意圖：（見(jiàn)附圖二）

（二）項(xiàng)目實(shí)施介紹

在項(xiàng)目的規(guī)劃和實(shí)施過(guò)程中，我公司始終遵循國(guó)家對(duì)電力二次系

統(tǒng)安全防護(hù)的規(guī)定并明確本項(xiàng)目系統(tǒng)在電廠信息自動(dòng)化系統(tǒng)中所處

位置，配置五臺(tái)得到國(guó)家相關(guān)部門認(rèn)證的正向隔離裝置用于安全區(qū)

I/II到安全區(qū)之間，確保數(shù)據(jù)單向傳遞，對(duì)數(shù)據(jù)傳遞的穩(wěn)定性、

完整性、實(shí)時(shí)性提供了保證，詳見(jiàn)附圖三。

四、隔離裝置安全性能說(shuō)明

（一）正向裝置對(duì)通信程序的限制

根據(jù)國(guó)調(diào)對(duì)隔離裝置的要求，其通信功能如下：

1.由內(nèi)到外的完全單向模式，UDP協(xié)議，外網(wǎng)不能返回任何數(shù)

據(jù)。

2.由內(nèi)到外的單向數(shù)據(jù)模式，TCP協(xié)議，外網(wǎng)可以返回（按國(guó)

調(diào)要求）小于4字節(jié)的應(yīng)用層應(yīng)答數(shù)據(jù)（并被限制不可重新組成大包）。

3.安全、方便的維護(hù)管理方式：基于證書的管理人員認(rèn)證，圖

形化的管理界面。

（二）正向隔離裝置功能

安全隔離裝置（正向）具有如下功能：

1.實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且

保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通；

2.表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸，即從安全區(qū)in到安全

區(qū)I/II的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)；

3.透明工作方式：虛擬主機(jī)IP地址、隱藏MAC地址；

4.基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)

文過(guò)濾與訪問(wèn)控制；

5.支持NAT；

6.防止穿透性TCP聯(lián)接：禁止兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立TCP

聯(lián)接，將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)之間的TCP聯(lián)接分解成內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)

分別到隔離裝置內(nèi)外兩個(gè)網(wǎng)卡的兩個(gè)TCP虛擬聯(lián)接。隔離裝置內(nèi)外兩

個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允許數(shù)據(jù)單向傳輸。

7.具有可定機(jī)的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識(shí)別；

（三）裝置安全保障要點(diǎn)

專用安全隔離裝置本身應(yīng)該具有較高的安全防護(hù)能力，其安全性

要求主要包括：

1.采用非INTEL指令系統(tǒng)的（及兼容）微處理器;

2.安全、固化的的操作系統(tǒng);

3.不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全漏洞；

4.抵御除DoS以外的已知的網(wǎng)絡(luò)攻擊。

（四）設(shè)計(jì)標(biāo)準(zhǔn)

裝置采用網(wǎng)絡(luò)隔離設(shè)備及防火墻等技術(shù),屬于結(jié)合型專用安全隔

離產(chǎn)品，參考標(biāo)準(zhǔn)如下：

1.中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18020-1999

2.《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求》

3.中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T17900-1999

4.《網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求》

5.中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18019-1999

6.《信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求》

7.中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)

8.《網(wǎng)絡(luò)隔離設(shè)備的安全技術(shù)要求》

（五）安全策略定位

1.監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全屏障

一個(gè)網(wǎng)絡(luò)隔離裝置（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)監(jiān)

控系統(tǒng)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)

過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)網(wǎng)絡(luò)隔離裝置，所以網(wǎng)絡(luò)環(huán)境變得更

安全。如網(wǎng)絡(luò)隔離裝置可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)

出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻

擊監(jiān)控系統(tǒng)。網(wǎng)絡(luò)隔離裝置同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,

如IP選項(xiàng)中的源路由攻擊和TCMP重定向中的重定向路徑。網(wǎng)絡(luò)隔離

裝置應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知網(wǎng)絡(luò)隔離裝置管

理員。

2.簡(jiǎn)化網(wǎng)絡(luò)安全策略，無(wú)需修改雙端程序

通過(guò)以網(wǎng)絡(luò)隔離裝置為中心的安全方案配置，能將所有安全策略

配置在網(wǎng)絡(luò)隔離裝置上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比,

網(wǎng)絡(luò)隔離裝置的集