电站调度数据网接入及二次系统安全防护工程初步设计报告3.doc

资源描述

《电站调度数据网接入及二次系统安全防护工程初步设计报告3.doc》由会员分享，可在线阅读，更多相关《电站调度数据网接入及二次系统安全防护工程初步设计报告3.doc（44页珍藏版）》请在三一办公上搜索。

1、四川省XX县XX、XX电站调度数据网接入及二次系统安全防护工程初步设计设计单位：XXXX电力设计咨询有限公司二一二年三月目录1 工程简介42 设计总则52.1 设计依据52.2 设计范围52.3 设计原则53业务种类及传输需求分析63.1 业务种类63.2 四川电力调度数据网络传输的信息63.3 网络业务传输需求分析74技术体制75网络拓扑结构86XX、XX梯级电站通信现状97XX、XX梯级电站接入拓扑98厂站业务接入方案108.1 业务系统接入原则108.2 远动信息接入118.3 电能量采集系统/发电计划申报系统129 调度数据网设备配置及技术要求149.1 网络设备的配置原则14

2、9.2 路由器149.3 三层交换机189.4 设备机械结构及工艺要求199.5 环境条件2010 机房布置及要求2111 通道要求2112 水电站二次系统安全防护总体框架要求2212.1 电力二次系统安全防护的特点2212.2 总体安全策略2312.3 总体防护方案2313 XX、XX梯级电站二次安防方案2713.1 安全分区2713.2 安全区 I 安全防护2813.3 安全区 II 安全防护2914 二次系统安全管理体系建设3114.1 建立完善的安全管理组织机构3114.2 安全评估的管理3214.3 工程实施过程中的安全管理3214.4 设备、应用及服务的接入管理3314.5 建立日

3、常运行的安全管理制度3315 安全防护产品技术要求3615.1 纵向加密认证装置技术要求3615.2 主机加固软件技术要求3715.3 入侵检测系统技术要求3815.4 漏洞扫描系统技术要求4015.5 安全审计管理平台4315.6 防病毒系统4416 投资估算表451 工程简介XX、XX梯级电站位于四川省XXXX县境内，是XX在XX县境内梯级开发的第一、二级电站，均为引水式电站。XX水电站距XX县城约130km，距平武县城约73km；电站装机容量224 MW，两台机组接成发电机变压器组单元接线,分别接容量为31.5 MVA的主变压器各一台，110kV侧母线采用单母线接线。XX水电站距XX县城

4、约138km，距平武县城约65km；电站装机容量222MW，发电机变压器组合为单元接线，分别接容量为90MVA和31.5MVA的主变压器各一台，90MVA变压器为三圈变压器，110kV侧吸收XX电站电能升压至220kV，10.5kV侧吸收本电站1#机电能，2#机与2#主变接为单元接线；220kV 侧采用单母线接线。梯级电站采用集中控制模式，集控中心设于XX电站内。2006年10月在四川电力调度数据网厂站接入工作会上，四川省调根据四川电网“十一五”二次系统规划，对水电站调度自动化信息接入省调提出了新要求，要求水电站应组织电力调度数据网络（主通道）和常规远动通道（备用通道），以直采直送方式将水电站

5、调度自动化信息传送到四川省调。根据四川电网“十一五”二次系统规划方案，按照电力二次系统安全防护规定和全国电力二次系统安全防护总体方案的要求，为防范对电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全稳定运行，建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系。实施方案应满足电力二次系统安全防护总体方案电监安全200634号文的要求。为适应省调这一最新要求，XX、XX梯级电站按四川电力调度数据网双平面接入要求分别接入四川省级调度数据接入网和XX地级调度数据接入网，数据网设备按双套配置，在XX、XX梯级电站配置接入路由器2台和三层交换机4台。接入方案

6、按国家电网调度数据网第二平面网络（SPDnet-2）总体技术方案的要求执行。同时在电厂侧配置纵向加密认证装置，实现电厂与省调通信的纵向安全防护体系。2 设计总则2.1 设计依据（1）四川电网“十一五”二次系统规划；（2）国家电力调度数据网络总体设计技术方案；（3）四川电力调度数据网络初步设计和技术规范书；（4）电力二次系统安全防护总体方案，电监安全200634 号文。2.2 设计范围（1）依据四川电力调度数据网一期工程初步设计中所确定的原则和四川省电网公司调度生产现有需求及发展需要，对水电站和调度相关的业务种类、需求及流量进行分析和预测，确定XX、XX梯级电站接入四川电力调度数据网所采

7、用的网络技术体制及接入方案。（2）进行网络拓扑结构、网络方案设计，提出网络功能和业务范围、网络安全、网络管理等方面的要求。（3）提出各类承载业务系统的接入方案。（4）根据业务和性能要求，提出网络设备配置方案及技术指标要求。（5）提出工程的主要设备清册。2.3 设计原则XX、XX梯级电站接入四川电力调度数据网方案规划设计的主要原则如下：（1）接入方案应满足电监会 5 号令的要求，确保电网和电厂计算机监控系统及调度数据网络等电力二次系统的安全。（2）接入方案应满足四川电力调度数据网工程设计中有关厂站接入的要求。（3）接入方案应满足四川电力调度生产各种业务的需要，并应充分考虑网络技术的发展

8、方向，网络平台应具有高度的灵活性、适应性和良好的可扩展性，以满足目前和未来的网络需求。（4）接入方案应具有良好的服务质量保证机制，满足四川电网调度生产所需的网络功能和承载能力。（5）接入方案应满足XX、XX梯级电站安全、可靠和高效地向四川省调传送相关业务数据的要求。3业务种类及传输需求分析3.1 业务种类（1）调度自动化数据业务调度自动化数据有两类，一类是保证电网安全、稳定、经济运行所必需的电网运行状态的实时监控数据；另一类是EMS系统实现网络分析的高级应用软件所需要的准实时数据。（2）电力市场数据：电力市场数据包括公司内部电力市场技术支持系统之间交换的数据，各个系统采集的各自需要的数

9、据，公司交易中心与其它公司交易中心之间交换的数据。这些数据用于电力市场交易、查询、发布和结算，其覆盖面广，信息量大，对数据可靠性、安全性、完整性、准确性均有很高要求。电力市场数据内容主要有电能计量数据、现货交易数据（负荷、电量、报价等）、期货交易数据（负荷、电量、报价等）、市场其它信息等。（3）电能量信息数据、系统继电保护及故障录波信息数据、安全自动装置数据业务以及保护记录的历史数据的非实时数据传输。3.2 四川电力调度数据网络传输的信息四川电力调度数据网络传输的信息可以分为以下二类：（1）实时和准实时信息：远动信息水调自动化信息保护故障信息处理系统信息相角监测信息EMS 系统之间交换的

10、用于网络分析的准实时数据电力市场实时信息交换通信监测系统信息（2）非实时信息电力市场数据（含电能量计量数据）继电保护类信息安全稳定控制系统数据运方类信息3.3 网络业务传输需求分析上述各类业务信息的传输优先级、传输频度、传输时延、传输的可靠性等要求各不相同，其传输需求的分析结果可参见下表：表 3-1 各类业务数据传输需求一览表序号业务种类传输优先级传输频度可靠性1实时数据（1）远动数据高秒级高（2）EMS 实时数据高秒级高（3）电力市场实时数据高秒级高2非实时数据（1）电能量计量数据较高分钟级高（2）电力市场非实时数据较高分钟级高（3）水调自动化数据较高分钟级高（4）保护故障数据较高

11、随机高4技术体制在四川电力调度数据网一期工程已经明确电力调度数据网采用IP技术体制，即采用 IP Over SDH 技术组网，实现调度数据网和电力综合业务数据网的物理隔离（SDH 层面隔离）。该体制具有以下优点：（1）符合调度应用特性。电力调度应用系统特性相对较单一，基本是 IP 业务，从应用特性看，应直接采用IP交换网络。（2） IP+SDH 网络开销小，传输效率高。（3）网络简洁，设备投资少。（4）网络层次简洁，复杂度低，利于日常运行维护。IP路由设备与SDH/PDH设备接口简单、标准，便于在故障情况下快速定位和故障处理。（5）调度IP业务与其他IP业务之间是物理隔离，网络安全性好

12、，有利于系统整体安全策略的制定和部署。根据 IP 技术发展的趋势和调度数据网业务的需求，根据国调二次系统安全防护体系的要求，采用基于BGP/MPLS VPN的技术在调度数据网内划分两个VPN：实时控制VPN和非控制生产VPN，分别供安全区 I（实时控制区）和安全区 II（非控制生产区）广域数据传输用。调度数据网采用MPLS VPN实现业务间的安全隔离。路由协议采用OSPF，通过建立多区域并和IP地址规划配合，减少路由表条目，避免路由翻动对区域外网络的影响。5网络拓扑结构（1）分层结构基于业务量的需求和网络可扩展性的原则，考虑网络运行维护要求，四川调度数据网采用三层结构，即核心层、骨干层、

13、接入层。XX、XX梯级电站为接入层节点。（2）标准化和开放性采用的网络技术应符合国际标准及国内标准，满足信息准确、安全、可靠地交换传输。网络设备应有开放的接口，拥有良好的维护、测量及管理手段，实现统一网管。（3）业务管理能力网络需向用户提供不同类型的服务，应有良好的业务管理能力。（4）统一网管网络采用统一的分级、分权管理能力的网管系统。（5）扩展性考虑到用户数量和业务种类的变化，网络要建成完整统一、组网灵活、易于扩展的网络平台，能随需求变化而扩展。（6）安全可靠性整个网络要安全稳定，支持网络节点的备份和线路保护，提供网络安全防范措施。（7）实时性网络应满足调度业务实时性

14、要求。省调地调川北光纤环网水晶变电站小河电站丰岩堡电站图 6-1 小河、丰岩堡梯级电站通信网络示意图6XX、XX梯级电站通信现状XX、XX梯级电站的对外通信状况如图 6-1 所示。7XX、XX梯级电站接入拓扑目前网省调出于流域安全、电网稳定控制和电力市场水电优先、电能量关口数据获取等原则要求直接从水电站现场的业务系统或采集装置上采集数据，其业务流量模型如图 7-1 所示：图 7-1 XX、XX梯级电站业务流量模型按照四川省调拟定四川电力调度数据网接入典型方案的要求，XX、XX梯级电站应考虑配置接入节点设备。如图 7-2 所示：图7-2 XX、XX梯级电站接入拓扑8厂站业务接入方案8.1 业务

15、系统接入原则根据全国电力二次系统安全防护总体方案的要求：根据全国电力二次系统安全防护总体方案的要求，XX、XX梯级电站的各类业务按安全等级划分为2个区，要求建立2个VPN分别进行信息交换：安全区I是生产控制区，凡是具有实时监控功能的系统或其中的监控功能部分均属于安全区I，本工程中主要是包括XX、XX梯级电站的计算机监控系统；安全区II是非生产控制区，原则上不具备控制功能的生产业务和系统中不进行控制的部分均属于安全区II，本工程中主要是包括电能量计量系统、发电计划申报系统终端等。四川调度数据网采用三层结构：核心层、骨干层和接入层。省调为核心层，地调为骨干层，XX、XX梯级电站数据网络位于接入层。

16、拟在XX、XX梯级电站设置2套数据专网柜，由SDH设备2M通道将所有信息传至省调、XX地调。厂站接入如图8-1所示，在厂站各业务接入节点配置接入路由器及三层交换机，采用VLAN技术，每个VPN接入一台三层交换机，两台三层交换机接入厂站路由器。图8-1 厂站业务系统接入方案示意图8.2 远动信息接入通过XX、XX梯级电站站内综合计算机监控系统的主备双通信服务器，采用调度数据网网络传输链路为主通道，常规专线通道为备用通道，通过 101、104 规约向四川省主调和备调传送相关远动数据信息。图 8-2为远动信息接入示意图：图8-2 计算机监控系统接入方案示意图8.3 电能量采集系统/发电计划申报系统四

17、川电网电力市场支持系统主站设在四川省电力公司调度中心，由统一的网络平台、电量采集系统、发电计划申报管理系统、考核结算系统、信息发布系统、调度自动化系统（EMS）系统组成，是四川电力市场正常运转必不可少的技术基础。省调侧电力市场技术支持系统各子系统建立在一个统一的网络平台上，各子系统通过网络交换机互联，相互交换数据。省调电量采集主站系统采用电力调度数据专网网络数据传输为主，拨号方式数据传输为辅，抄录电站端电量数据。站端发电计划申报管理系统通过电力调度数据专网网络数据传输为主，拨号方式备用的结构访问主站系统，上报和获取计划和其它市场信息。如下图所示：图8-3 电能量采集装置、发电计划申报系统接入9

18、调度数据网设备配置及技术要求9.1 网络设备的配置原则必须具备高可靠性及高冗余性；必须能够提供故障隔离功能；必须具有迅速升级能力；必须具有较少的时延；必须具有良好的可管理性。同时还需要考虑：路由器的处理性能；网络的可靠性；网络的扩展能力；网络的安全性。9.2 路由器9.2.1 路由器基本功能要求路由器设备必须实现以下功能。对于所提供路由器设备，投标人应结合下述功能要求详细进行逐条说明。（1）应支持将 IP 地址与相应连接到的网络的链路层地址相互映射。例如将 IP 地址转换成以太网硬件地址等（ARP 以及 RARP）。（2）应能支持 OSPF v2 或/和 IS-IS 和 RIP v2 等

19、内部网关协议（IGP）与其它同一自治域（AS）中路由器交换路由信息及可达性信息。支持 BGP 4 外部网关协议与其它自治域交换拓扑信息。（3）应能提供系统网络管理和控制机制，包括存储/上载配置、诊断、升级、状态报告、异常情况报告及控制等。并应能提供包括数、字节数、端口、业务类型等信息统计功能。（4）应能提供多种可选物理层传输接口和适配功能。特别是，支持多个 E1/G.703 接口的绑定功能。（5）应能提供组播功能。（6）应能提供虚拟专网（VPN）功能。（7）应能支持 MPLS（VPN，TE）。（8）应能支持路由器节点的 CQS 功能，并且网络具备一定的 QoS 机制。（9）应能够与其

20、他厂家的路由器设备互联互通，并列出清单（型号）。9.2.2 路由器接口类型及特性要求9.2.2.1 路由器接口（1）应能支持 10/100BaseT 自适应接口（2）应能支持千兆以太网接口（3）应能支持 E1/CE1 电接口（4）应能支持 STM-1 光/电接口9.2.2.2 10/100BaseT 接口10Mbit/s 以太网接口应符合 IEEE802.3。100Mbit/s 快速以太网接口应符合 IEEE802.3u。9.2.2.3 千兆比以太网接口1000Mbit/s 以太网物理接口可以支持 1000Base-SX、1000Base-LX 以及1000BaseT 。 1000Base-

21、SX和1000Base-LX接口应符合 IEEE802.3z，1000BaseT 接口应符合 IEEE802.3ab。支持千兆比以太网接口上的 MPLS（MPLS OVER GIGABIT ETHERNET）。支持优先级设定/映射。当用于局域网时，支持虚拟冗余路由器协议（VRRP）。9.2.2.4 E1 电接口E1 电接口的物理层特性应符合 ITU-T I.432、G.703 建议。 E1 电接口的接口类型应为非平衡式 75 欧姆 BNC 接口。支持信道化方式。9.2.2.5 SDH 接口STM-1 光/电接口物理层特性应符合 ITU-T G.957 和国标要求。9.2.3 路由器各层协议

22、及路由协议要求9.2.3.1 链路层协议路由器应能支持地址解析协议（ARP）、反向地址解析协议（RARP）、点到点协议（PPP）；对于核心层、骨干层路由器还应能支持 SDH 上传送 IP 的协议，即能支持 RFC1619/2615。9.2.3.1.1 地址解析协议（ARP）实现 ARP 的路由器必须符合 RFC1122 中 ARP 部分。如果仅因为 ARP 缓存中没有相应的目的地地址，链路层不允许报告目的地不可达差错；链路层应在执行 ARP 请求/响应序列时缓存数据包，只有在请求无结果后才报告目的地不可达。9.2.3.1.2 点到点协议（PPP）对点到点协议的实现必须符合 RFC1661、R

23、FC1331、RFC1334 和 RFC1994。9.2.3.2 互联网层协议应能支持 IP、ICMP、IGMP 等协议9.2.3.3 互联网层转发协议路由器的包转发过程应符合 RFC791、RFC950、RFC922、RFC792、 RFC1349 互联网层协议；应支持传输控制协议（TCP）、用户数据包协议（UDP）。9.2.3.4 路由协议路由器应支持缺省路由、静态路由，并支持 RIPv2、OSPF、BGP4 等动态路由协议，并说明是否支持 IS-IS 路由协议。9.2.3.5 MPLS 协议路由器应完全支持对 MPLS 协议。9.2.3.6 区分业务协议（Diff-Serv）路由器应

24、支持区分业务协议。9.2.3.7 排队策略和拥塞控制路由器应提供先进的拥塞控制机制，对不同等级的业务进行不同的处理，设备应该支持为每个队列或用户分配相对独立的带宽资源，为所有的应用提供不同的时延、不同的时延抖动、不同的带宽保证和不同的丢包率等要求，设备的每个物理接口所支持的队列数量不应低于4 个。应提供路由器每接口模块能够提供的队列数目、可以实施的队列调度算法、以及队列对性能的综合影响。9.2.4 接入路由器详细技术指标功能及技术指标参数要求包转发能力200kpps接口槽数4配置 DRAM 内存256M配置 Flash 内存32M可支持接口类型10/100BaseT、E1 电路端口、V.24

25、冗余电源11最大快速以太接入数量10最大 E1 接口数量16整机不间断工作时间20 万小时时延100s用户协议IP，ATM，Frame Relay路由协议OSPF、BGP v4、BGP4 Extension、RIP v2路由器管理/安全协议SNMP、RMON II、在线升级，在线打补丁服务质量流量分类和流量监管 CAR/LR、流量整形 GTS、拥塞管理PQ/CQ/WFQ/CBQ、拥塞避免 WRED网络安全录用户认证、RADIUS 认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持（对接口/时间段/MAC 地址的过滤）、高性能 NAT。标记交换LDP、MP-BGP流量工程MPLS/ TE虚

26、拟专网MPLS/VPN组播PIM，IGMP9.3 三层交换机9.3.1 基本技术要求千兆比以太网 3 层交换机具有第 3 层路由功能，其主要功能包括以下几方面：（1）接口功能：支持 1000Base-SX、1000Base-LX、1000Base-T、100Base-FX、100Base-T 接口。（2）逻辑链路层功能：以太网交换机必须实现一类 LLC 支持类型 1 操作。（3）数据帧转发功能：交换机在不同端口所连接的被桥接的MAC 间交换 MAC 用户数据帧。（4）数据帧过滤功能：交换机为防止数据帧重复，对某些端口上数据帧不转发（丢弃）到其他接口。（5） IP 包转发功能：按照路由

27、表内容在各端口（包括逻辑端口）间转发数据包并且改写链路层数据包头信息。（6）路由信息维护功能：该功能负责运行路由协议，维护路由表。（7）维护决定数据帧转发及过滤的信息：交换机必须实现维护数据帧转发/过滤信息。（8）运行维护功能：交换机必须实现运行维护功能。（9）网络管理功能：交换机必须实现网络管理接口及协议。（10）任意配置下，所有端口线速交换转发。（11）支持 OSPF、RIP 等内部网关协议（IGP）。（12）支持 802.1X 认证，提高网络安全性。9.3.2 详细技术指标功能及技术指标参数要求交换背板容量=8G最大转发性能=6Mpps处理器内存64M可支持接口类型10/1

28、00BaseT、百兆光口（单模、多模）、GE可扩展千兆模块=2固定 FE 接口数量=24路由表容量=2K时延线速交换VLAN 特性支持基于端口的 VLAN，802.1q Vlan 封装，802.1DSpanning-tree，最大 Vlan 数=256，支持 GVRPMAC 地址表=8K路由表项8K基本功能端口镜像；优先权/802.1p；流量控制/802.3x；端口聚集/802.3ad，=8；堆叠数量=16；支持 QoS协议特性802.1X，RSTP组播协议支持 GMRP 、PIM-DM 、PIM-SM 、IGMPI 、GMPSnooping 等协议生产树协议支持 STP/RSTP 协议，符合

29、 IEEE802.1D、IEEE802.1W标准安全分级命令保护机制，ACL 过滤设备管理集群管理数量=256；SNMP；RMON 1/2/3/9；Syslog；支持 WEB 网管，支持 MIB-II9.4 设备机械结构及工艺要求（1）设备的总体机械结构应充分考虑安装维护的方便和扩充容量或调整设备数量的灵活性，实现硬件的模块化。机械结构应具有足够的强度和刚度，设备的安装固定方式应具有防振抗震能力，对地面的荷重不应超过 400kg/m2，应保证设备经过常规的运输、储存和安装后不产生破损、变形。（2）机箱（包括路由器、交换机）以及所有的部件均应安装在标准机架内。机箱上各种插板、模块均应是嵌入式

30、的，易于插入、拔出，并有定位、锁定装置，插板、模块上应标示有导向。机架上可接触至布线的部位和危险电压的部位，均必须提供罩盖，对高压等危险部位应有特殊标志。（3）设备应有良好的表面处理，表面处理层应是牢固的，易锈、易氧化的部件应进行特殊表面处理，以便设备能长期抗腐蚀、防蛀、防生锈。所有喷塑（漆）部件的表面应光滑平整、色泽一致，不允许有划痕、斑疵、流挂、脱落和破损，所有电镀部件的表面应有金属光泽，不允许有裂纹、锈点、毛刺和缺陷。9.5 环境条件（1）海拔高程：至少400米。（2）耐地震能力1）地面水平加速度：0.2g2）地面垂直加速度：0.1g3）地震基本烈度：VII（3）工作环境温度1

31、）长期工作条件：10352）短期工作条件：045（短期工作条件连续不超过48h，每年累计不超过 15 天）（4）工作相对湿度1）长期工作条件：20%80%2）短期工作条件：10%90%（短期工作条件连续不超过48h，每年累计不超过 15 天）（5）路由器等设备应能适应不同的地域环境条件，并能在无空调条件下运输和存储，而不影响装机开通后的正常运行。对此，投标人应作出相应说明。（6）路由器等设备应具备相应的防尘能力，在机房内粒子直径大于 5 微米的灰尘（灰尘粒子是非导电、导磁和腐蚀性的）的浓度不大于 3x104粒/m3的情况下路由器等设备应不出现故障和性能的下降。（7）路由器等设备应具备相应

32、的抗电磁干扰能力，路由器等设备本身在 0.01-10000MHz 频率范围内受到电场强度为 140dBuV/m 的外界电磁波干扰时，应不出现故障和性能的下降。（8）路由器等设备应采用交流 220V 供电方式，投标人应详细说明所提供的各类设备所需电源的要求，并给出各种节点、各种设备的功耗和总功耗。（9）采用单相、额定电压为 220V 的交流电源时，路由器等设备应能在一定的电压变动范围之内正常工作。允许的电压变动范围为+15% -15%，50Hz 频率+5% -5%，线电压波形畸变率5%。（10）机房的接地电阻值一般不大于 2 欧姆，路由器等设备应具有相应的接地措施。低层通信传输设备一般采用联合

33、接地方式，与大楼接地体连接，而计算机应用系统一般与大楼接地体是隔离的。10 机房布置及要求（1）新增二面调度数据网机柜（2260X800X600mm）布置在中控室内。（2）中控室的接地电阻值一般不大于 2 欧姆，路由器等设备应具有相应的接地措施。（3）调度数据网机柜应采用双路 UPS 电源供电；交流：220V 10，50Hz 5。11 通道要求XX电站提供：XX、XX梯级电站水晶220KV变省调。XX电站提供：XX、XX梯级电站水晶220KV变XX地调。12 水电站二次系统安全防护总体框架要求12.1 电力二次系统安全防护的特点电力二次系统安全防护的特点是具有系统性和动态性。12.1.1 系

34、统性二次系统由电站内各业务系统子网组成，其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。网络采用分层分区的模式实现信息组织和管理。这些因素决定了电力二次系统的安全防护是一个系统性的工程。电站安全防护工作对内应做到细致全面，清晰合理；对外应积极配合上级和调度机构的安全管理，在完成内部安全防护的同时在区域和全局形成合理优化的防护体系。12.1.2 动态性二次系统安全防护的动态性由两方面决定。一是通信技术、计算机网络技术的不断发展；二是电力二次系统自身内涵外延的变化。在新的病毒、恶意代码、网络攻击手段层出不穷的情况下，静止不变的安全防护策略不可能满足二次系统网络信息安全的要求，安全防护

35、体系必须采用实时、动态、主动的防护思想。同时二次系统内部也在不断更新、扩充、结合，安全要求也相应改变。所以安全防护是一个长期的、循环的不断完善适应的过程。图 12-1 所示P2DR模型是二次系统安全防护动态性的形象表示。图12-1 安全防护P2DR动态模型12.2 总体安全策略安全分区根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内。网络专用安全区边界清晰明确，区内根据业务的重要性提出不同安全要求，制定强度不同的安全防护措施。特别强调，为保护生产控制业务应建设电力调度数据网，实现与其它数据网络物理隔离，并以技术手段在专网上形成多个相互逻辑隔离的子网，

36、保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。横向隔离在安全区之间和安全区通信通道间采用不同强度的安全隔离，设备使各安全区中的业务系统得到有效保护。纵向认证采用认证、加密、访问控制等手段满足各种数据在远程通信中的保密性、完整性和可用性要求，防止远程攻击和违规操作，形成纵向边界的安全防御，与调度机构和上级管理单位建立互信可靠的通信机制。12.3 总体防护方案12.3.1 安全区划分电力二次系统划分为不同的安全工作区，反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。根据电力二次系统的特点、目前状况和安全要求，

37、整个二次系统分为两个大区：生产控制大区和管理信息大区。生产控制大区划分为：实时控制区、非控制生产区。管理信息大区可根据业务系统的状况再细分。（1）生产控制大区安全区（控制区）是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。控制区中的业务系统或其功能模块（或子系统）的典型特征为：是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。安全区（非控制区）在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区

38、域。非控制区中业务系统或功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或功能模块联系紧密。（2）管理信息大区按照电力二次系统安全防护规定，管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区，原则上应划分为安全区（生产管理区）和安全区（管理信息区）。12.3.2 应用系统分区原则1）根据该系统的实时性、使用者、功能、场所、与各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，将其分置于各安全区之中。2）进行实时控制的功能或系统均须置于安全区。3）电力二次系统中不允许把本属于高安

39、全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员使用。4）某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可把业务系统根据不同的功能模块分为若干子系统分置于各安全区中。各子系统经过安全区之间的通信来构成整个业务系统。5）自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安全区的安全防护规定。12.3.3 各安全区内部防护基本要求1）对安全区及安全区的要求：禁止安全区和安全区内部的 E-mail 服务。禁止安全区的 Web 服务。允许安全区纵向Web服务，其专用Web服务器和Web浏览工作站均在“非军事区”的网

40、段，专用Web服务器是经过安全加固且支持HTTPS的安全Web服务器，Web浏览工作站与II区业务系统工作站不得共用，而且必须由业务系统向Web服务器单向主动传送数据。在安全区、内禁止使用 IDS 与防火墙的联动。允许安全区内部 B/S 结构的系统，系统必须采取措施进行封闭。安全区和安全区的重要业务用认证加密机制。安全区和安全区内的相关系统间采取访问控制等安全措施。对安全区和安全区进行拨号访问服务，用户端应该使用 Unix 或 Linux 操作系统且采取认证、加密、访问控制等安全防护措施。安全区和安全区应该部署安全审计措施，把安全审计与安全区网络管理系统、入侵检测系统（IDS）、敏感业务服务

41、器登录认证和授权、应用访问权限相结合。安全区和安全区必须采取防恶意代码措施。病毒库和木马库的更新必须离线进行，不得直接从因特网下载。安全区和安全区内的系统必须经过安全评估。2）对安全区的要求：安全区允许开通 E-mail、Web 服务。对安全区的拨号访问服务必须采取访问控制等安全防护措施。安全区必须采取防病毒和恶意代码措施。3）安全区的防护应严格遵照电力二次系统安全防护总体方案执行。12.3.4 安全区之间的横向隔离要求在各安全区之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门

42、认证。1）安全区与安全区之间的隔离要求：安全区、之间采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离、报文过滤、状态检测、访问控制，禁止-mail、Web、Telnet、Rlogin 等服务穿越安全区之间的隔离设备。2）安全区 III 与安全区 IV 之间的隔离要求：安全区、之间采用经有关部门认定核准的硬件防火墙或相当设备进行逻辑隔离、报文过滤、访问控制。3）安全区、与安全区、之间的隔离要求：安全区、不得与安全区直接联系，安全区、与安全区之间必须采用经有关部门认定核准的专用隔离装置。专用隔离装置分为正向隔离装置和反向隔离装置。从安全区、往安全区单向传输信息须采用正向隔离装置，

43、由安全区往安全区甚至安全区的单向数据传输必须采用反向隔离装置。反向隔离装置采取签名认证和数据过滤措施(禁止 E-MAIL、Web、 TELnet、Rlogin 等访问)。12.3.5 安全区与远方通信的纵向安全防护要求安全区、所连接的广域网为电力调度数据网 SPDnet，应采用 MPLS-VPN 技术的 SPDnet 为安全区、分别提供二个逻辑隔离的MPLS-VPN。安全区、接入 SPDnet 时，应配置纵向加密认证装置，实现网络层双向身份认证、数据加密和访问控制。安全区所连接的广域网为发电集团/ 公司电力数据通信网， SPDnet 与电力数据通信网应采用物理隔离。安全区接入电力数据通信网

44、应配置硬件防火墙。处于外部网络边界的通信网关的操作系统要进行安全加固，、安全区的外部通信网关增加加密、认证和过滤功能。13 XX、XX梯级电站二次安防方案按照电力二次系统安全防护总体方案的具体要求，综合考虑电厂的业务系统二次系统安全防护现状，确定本安全防护工程以下原则：1）调度数据网作为生产控制大区业务系统的通信通道，不将其作为一个单独的系统考虑。2）计算机监控系统应该作为安全防护的核心点。3）本次设计以各系统间的横向通信和与上级单位及调度端的纵向通信接口防护为重点。4）生产控制系统/装置的远程拨号维护接口因采取禁止策略，故不再在现状描述中体现。5）系统设备之间的硬接线不视为通

45、信连接，本设计中视其为安全。6）入侵检测系统；7）防范病毒入侵网络和传播；13.1 安全分区安全区 I：包括计算机监控系统。计算机监控系统是实时生产监控系统，是整个安全保护的核心。安全区 II：包括电能量采集系统、报价系统。数据的非实时性是分钟级、小时级、日、月甚至年。分区规划如图 13-1 所示。本期重点设计 I、II 区安全措施。图13-1 安全分区规划13.2 安全区 I 安全防护I区计算机监控系统独立系统，没有和电厂内二次业务系统通信，因此可不考虑横向隔离。安全区I网络结构及安全防护产品如下：安全区I与省调纵向通信中采用认证加密装置进行安全隔离。在安全区I的实时VPN交换机上增加一套入侵系统，监测I区系统与电力调度数据网的网络边界。安全区I配置一套漏洞扫描系统。

展开阅读全文