電力二次系統(tǒng)的安全保護(hù)計(jì)劃

電力二次系統(tǒng)安全防護(hù)方案

一、序言

為認(rèn)真貫徹貫徹國(guó)家經(jīng)貿(mào)委［2023］第30號(hào)令《電網(wǎng)和電廠(chǎng)

計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》和2023年12

月20日國(guó)家電力監(jiān)管委員會(huì)公布［2023］5號(hào)令《電力二次系統(tǒng)

安全防護(hù)規(guī)定》等有關(guān)文獻(xiàn)精神，保證我企業(yè)機(jī)組安全、優(yōu)質(zhì)、

穩(wěn)定運(yùn)行，根據(jù)《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》，結(jié)合

企業(yè)SIS系統(tǒng)目前的實(shí)際狀況，特制定本方案。

二、電力安全防護(hù)日勺總體原則

（一）安全防護(hù)目日勺

電力二次系統(tǒng)安全防護(hù)的重點(diǎn)是保證電力實(shí)時(shí)閉環(huán)監(jiān)控系

統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，目日勺是抵御黑客、病毒、惡意代碼等

通過(guò)多種形式對(duì)系統(tǒng)發(fā)起日勺惡意破壞和襲擊，尤其是可以抵御集

團(tuán)式襲擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次

系統(tǒng)的瓦解或癱瘓。

（二）有關(guān)日勺安全防護(hù)法規(guī)

1.2004年12月20日國(guó)家電力監(jiān)管委員會(huì)公布［2023］5號(hào)

令《電力二次系統(tǒng)安全防護(hù)規(guī)定》

2.2023年5月，國(guó)家經(jīng)貿(mào)委公布30號(hào)令《電網(wǎng)和電廠(chǎng)計(jì)

算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》

3.2023年12月，全國(guó)電力二次系統(tǒng)安全防護(hù)專(zhuān)家組和工

作組公布《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》

4.2023年《電力系統(tǒng)安全性評(píng)價(jià)體系》

5.《中國(guó)國(guó)電集團(tuán)企業(yè)廣域網(wǎng)管理措施》

6.《中國(guó)國(guó)電集團(tuán)企業(yè)安全管理規(guī)范》

7.《中國(guó)國(guó)電集團(tuán)企業(yè)信息化建設(shè)和管理技術(shù)路線(xiàn)》

8.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

9.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

（三）電力二次系統(tǒng)安全防護(hù)方略

電力二次系統(tǒng)安全防護(hù)總體框架規(guī)定電廠(chǎng)二次系統(tǒng)的安全

防護(hù)技術(shù)方案必須按照國(guó)家經(jīng)貿(mào)委［2023］第30號(hào)令《電網(wǎng)和電

廠(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)日勺規(guī)定》和國(guó)家電力

監(jiān)管委員會(huì)［2023］第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》進(jìn)行

設(shè)計(jì)。同步，要嚴(yán)格遵照集團(tuán)企業(yè)頒布的《中國(guó)國(guó)電集團(tuán)企業(yè)信

息化建設(shè)和管理技術(shù)路線(xiàn)》中對(duì)電力二次系統(tǒng)安全防護(hù)技術(shù)方案

的有關(guān)技術(shù)規(guī)定。

1.安全防護(hù)日勺基本原則

(1)系統(tǒng)性原則(木桶原理)；

(2)簡(jiǎn)樸性和可靠性原則；

(3)實(shí)時(shí)、持續(xù)、安全相統(tǒng)一的原則；

(4)需求、風(fēng)險(xiǎn)、代價(jià)相平衡的原則；

(5)實(shí)用性與先進(jìn)性相結(jié)合的原則；

(6)以便性與安全性相統(tǒng)一的原則；

(7)全面防護(hù)、突出重點(diǎn)日勺原則；

(8)分層分區(qū)、強(qiáng)化邊界的原則；

(9)整體規(guī)劃、分布實(shí)行的原則；

(10)責(zé)任到人，分級(jí)管理，聯(lián)合防護(hù)的原則。

2.安全方略

安全方略是安全防護(hù)體系日勺關(guān)鍵，是安全工程日勺中心。安全

方略可以分為總體方略、面向每個(gè)安全目日勺的詳細(xì)方略?xún)蓚€(gè)層

次。方略定義了安全風(fēng)險(xiǎn)日勺處理思緒、技術(shù)路線(xiàn)以及相配合的管

理措施。安全方略是系統(tǒng)安全技術(shù)體系與管理體系日勺根據(jù)。

電力二次系統(tǒng)的安全防護(hù)方略為：

(1)安全分區(qū)：根據(jù)系統(tǒng)中各業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)

時(shí)影響程度劃分為四個(gè)安全區(qū)：控制區(qū)I、生產(chǎn)區(qū)n、管理區(qū)ni、

信息區(qū)w,所有系統(tǒng)都必須置于對(duì)應(yīng)的安全區(qū)內(nèi)。

(2)網(wǎng)絡(luò)專(zhuān)用：建立專(zhuān)用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與電力企業(yè)

數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)物理隔離，在調(diào)度數(shù)據(jù)網(wǎng)上形成互相邏輯隔離日勺實(shí)

時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，防止安全區(qū)縱向交叉連接。

(3)橫向隔離：采用不一樣強(qiáng)度日勺安全設(shè)備隔離各安全區(qū),

尤其是在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間實(shí)行有效安全隔離，

隔離強(qiáng)度應(yīng)靠近或到達(dá)物理隔離。

(4)縱向認(rèn)證：采用認(rèn)證、加密、訪(fǎng)問(wèn)控制等技術(shù)實(shí)現(xiàn)生

產(chǎn)控制數(shù)據(jù)的遠(yuǎn)程安全傳播以及縱向邊界的安全防護(hù)。

3.電力二次系統(tǒng)日勺安全區(qū)劃分

根據(jù)電力二次系統(tǒng)日勺特點(diǎn)，各有關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)

據(jù)流程、目前狀況知安全規(guī)定，將整個(gè)電力二次系統(tǒng)分為四個(gè)安

全區(qū)：1實(shí)時(shí)控制區(qū)、II非控制生產(chǎn)區(qū)、III生產(chǎn)管理區(qū)、IV管理

信息區(qū)。其中，I區(qū)和II區(qū)構(gòu)成生產(chǎn)控制大區(qū)，in區(qū)和iv區(qū)構(gòu)

成管理信息大區(qū)。

不一樣的安全區(qū)確定了不一樣的安全防護(hù)規(guī)定，從而決定了

不一樣的安全等級(jí)和防護(hù)水平。其中安全區(qū)I的安全等級(jí)最高，

安全區(qū)II次之，其他依次類(lèi)推。

在各安全區(qū)之間，均需選擇合適日勺經(jīng)國(guó)家有關(guān)部門(mén)認(rèn)證時(shí)隔

離裝置。生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須采用經(jīng)國(guó)調(diào)中心

承認(rèn)的電力專(zhuān)用安全隔離裝置。

在安全區(qū)中內(nèi)部局域網(wǎng)與外部邊界通信網(wǎng)絡(luò)之間應(yīng)采用功

能上相稱(chēng)于通信網(wǎng)關(guān)或強(qiáng)于通信網(wǎng)關(guān)的內(nèi)外網(wǎng)日勺隔離裝置。

4.業(yè)務(wù)系統(tǒng)或功能模塊置于安全區(qū)的規(guī)則

根據(jù)該系統(tǒng)的實(shí)時(shí)性、使用者、功能、場(chǎng)所、在各業(yè)務(wù)系統(tǒng)

的互相關(guān)系、廣域網(wǎng)通信日勺方式以及受到襲擊之后所產(chǎn)生的影

響，將其分置于四個(gè)安全區(qū)之中。

實(shí)時(shí)控制系統(tǒng)或未來(lái)也許有實(shí)時(shí)控制功能的系統(tǒng)需置于安

全區(qū)I。如：機(jī)組監(jiān)控系統(tǒng)，實(shí)時(shí)性很強(qiáng)。用于在線(xiàn)控制，因此

置于安全區(qū)Io

電力二次系統(tǒng)中不容許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移

到低安全區(qū)。容許把屬于低安全區(qū)日勺業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于

高安全區(qū)，由屬于高安全區(qū)日勺人員使住。

某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)重要功能所選定日勺安全區(qū)

不一致時(shí)，可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不一樣日勺功能模塊（或

子系統(tǒng)）分置于各安全區(qū)中，各功能模塊（或子系統(tǒng)）通過(guò)安全

區(qū)之間的通信來(lái)構(gòu)成整個(gè)業(yè)務(wù)系統(tǒng)。

自我封閉日勺業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則不作規(guī)

定，但需遵守所在安全區(qū)日勺安全防護(hù)規(guī)定。

各電力二次系統(tǒng)原則上均應(yīng)劃分為四安全區(qū)，但并非四安全

區(qū)都必須存在。某安全區(qū)不存在日勺條件是其自身不存在該安全區(qū)

的業(yè)務(wù)，且與其他電網(wǎng)二次系統(tǒng)在該層安全區(qū)不存在“縱”向互

聯(lián)。假如省略某安全區(qū)而導(dǎo)致上下級(jí)安全區(qū)日勺縱向交叉，則必須

保留安全區(qū)間的隔離設(shè)備，以保障安全防護(hù)體系日勺完整性。

5.安全區(qū)之間日勺橫向隔離規(guī)定

在各安全區(qū)之間均需選擇合適安全強(qiáng)度的隔離裝置，尤其在

生產(chǎn)控制大區(qū)和管理信息大區(qū)之間要選擇使用到達(dá)或靠近物理

強(qiáng)度的專(zhuān)用隔離裝置。詳細(xì)隔離裝置日勺選擇不僅需要考慮網(wǎng)絡(luò)安

全的規(guī)定，還需要考慮帶寬及實(shí)時(shí)性的規(guī)定。隔離裝置必須是國(guó)

產(chǎn)設(shè)備并通過(guò)國(guó)家或電力系統(tǒng)有關(guān)部廠(chǎng)認(rèn)證。

三、實(shí)行方案

（一）系統(tǒng)安全區(qū)規(guī)劃

現(xiàn)場(chǎng)生產(chǎn)控制系統(tǒng)（包括DCS、輔控系統(tǒng)、RTU、省調(diào)系統(tǒng)）,

SIS系統(tǒng)，MIS系統(tǒng)。根據(jù)《電力二次安全防護(hù)方案第七稿》日勺

規(guī)定，既有的業(yè)務(wù)系統(tǒng)中，機(jī)組DCS系統(tǒng)、其他輔控系統(tǒng)及RTU

應(yīng)屬于安全區(qū)I和安全區(qū)H,SIS系統(tǒng)應(yīng)屬于安全區(qū)HI（備注:

電廠(chǎng)在前期規(guī)劃中將SIS系統(tǒng)嚴(yán)格定位至安全區(qū)III,從網(wǎng)絡(luò)方

面按照國(guó)家對(duì)安全區(qū)HI日勺有關(guān)規(guī)定進(jìn)行規(guī)劃實(shí)行，并且其系統(tǒng)

功能方面也完全符合安全in區(qū)的定位，即“sis系統(tǒng)實(shí)現(xiàn)電力

調(diào)度生產(chǎn)的管理功能，但不具有控制功能，不在線(xiàn)運(yùn)行，可不使

用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與調(diào)度中心或控制中心工作人員日勺桌面終

端直接有關(guān)，與安全區(qū)IV日勺辦公自動(dòng)化系統(tǒng)關(guān)系親密J）,MIS

系統(tǒng)應(yīng)屬于安全區(qū)IV。

根據(jù)國(guó)家二次防護(hù)規(guī)定，本廠(chǎng)級(jí)實(shí)時(shí)管理信息系統(tǒng)（SIS）

在實(shí)行過(guò)程中安全防護(hù)規(guī)定及措施如下：

該項(xiàng)目所連接現(xiàn)場(chǎng)控制系統(tǒng)，包括主機(jī)分散控制系統(tǒng)（DCS）、

化水程控系統(tǒng)、輸煤程控系統(tǒng)、除灰程控系統(tǒng)和除渣控制系統(tǒng)，

屬于安全區(qū)I,尚有RTU系統(tǒng)和省調(diào)系統(tǒng)，屬于安全區(qū)II,都屬

于生產(chǎn)控制大網(wǎng)的范圍。這些系統(tǒng)與SIS系統(tǒng)數(shù)據(jù)傳播按照國(guó)家

安全防護(hù)規(guī)定必須采用經(jīng)有關(guān)部門(mén)認(rèn)定核準(zhǔn)的專(zhuān)用安全隔離裝

置。本項(xiàng)目在現(xiàn)場(chǎng)之產(chǎn)控制系統(tǒng)與SIS服務(wù)器之間安頓了經(jīng)國(guó)家

有關(guān)部門(mén)認(rèn)證的電力系統(tǒng)專(zhuān)用網(wǎng)絡(luò)隔離裝置正向型（珠海鴻瑞

Hrwall-85M-H）,保證現(xiàn)場(chǎng)數(shù)據(jù)采集完全單向傳播，保證了生產(chǎn)

控制大網(wǎng)的安全性。

本項(xiàng)目還連接了同屬于管理信息大網(wǎng)日勺MIS系統(tǒng)（安全區(qū)

IV）,按照國(guó)家安全防護(hù)日勺規(guī)定，本系統(tǒng)與MIS系統(tǒng)之間安頓了

防火墻以保證各自系統(tǒng)日勺安全性。

本項(xiàng)目安全防護(hù)規(guī)劃示意圖：（見(jiàn)附圖二）

（二）項(xiàng)目實(shí)行簡(jiǎn)介

在項(xiàng)目的規(guī)劃和實(shí)行過(guò)程中，我企業(yè)一直遵照國(guó)家對(duì)電力二

次系統(tǒng)安全防護(hù)日勺規(guī)定并明確本項(xiàng)目系統(tǒng)在電廠(chǎng)信息自動(dòng)化系

統(tǒng)中所處位置，配置五臺(tái)得到國(guó)家有關(guān)部門(mén)認(rèn)證時(shí)正向隔離裝置

用于安全區(qū)I/H到安全區(qū)HI之間，保證數(shù)據(jù)單向傳遞，對(duì)數(shù)

據(jù)傳遞的穩(wěn)定性、完整性、實(shí)時(shí)性提供了保證，詳見(jiàn)附圖三。

四、隔離裝置安全性能闡明

（-）正向裝置對(duì)通信程序的限制

根據(jù)國(guó)調(diào)對(duì)隔離裝置日勺規(guī)定，其通信功能如下：

1.由內(nèi)到外的完全單向模式，UDP協(xié)議，外網(wǎng)不能返回任

何數(shù)據(jù)。

2.由內(nèi)到外日勺單向數(shù)據(jù)模式，TCP協(xié)議，外網(wǎng)可以返回（按

國(guó)調(diào)規(guī)定）不大于4字節(jié)時(shí)應(yīng)用層應(yīng)答數(shù)據(jù)（并被限制不可重新

構(gòu)成大包）。

3.安全、以便的維護(hù)管理方式：基于證書(shū)的管理人員認(rèn)證,

圖形化的管理界面。

（-）正向隔離裝置功能

安全隔離裝置（正向）具有如下功能：

1.實(shí)現(xiàn)兩個(gè)安全區(qū)之間日勺非網(wǎng)絡(luò)方式日勺安全的數(shù)據(jù)互換，

并且保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不一樣步連通；

2.表達(dá)層與應(yīng)用層數(shù)據(jù)完全單向傳播，即從安全區(qū)ni到

安全區(qū)I/II的TCP應(yīng)答嚴(yán)禁攜帶應(yīng)用數(shù)據(jù)；

3.透明工作方式：虛擬主機(jī)IP地址、隱藏MAC地址；

4.基于MAC、IP、傳播協(xié)議、傳播端口以及通信方向的綜

合報(bào)文過(guò)濾與訪(fǎng)問(wèn)控制；

5.支持NAT；

6.防止穿透性TCP聯(lián)接：嚴(yán)禁兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立

TCP聯(lián)接，將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)之間日勺TCP聯(lián)接分解成內(nèi)外兩個(gè)

應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個(gè)網(wǎng)卡的兩個(gè)TCP虛擬聯(lián)接。隔

離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只容許數(shù)據(jù)單

向傳播。

7.具有可定制日勺應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)識(shí)識(shí)

別；

（三）裝置安全保障要點(diǎn)

專(zhuān)用安全隔離裝置自身應(yīng)當(dāng)具有較高的安全防護(hù)能力，其安

全性規(guī)定重要包括：

1.采用非INTEL指令系統(tǒng)日勺（及兼容）微處理器;

2.安全、固化日勺日勺操作系統(tǒng)；

3.不存在設(shè)片與實(shí)現(xiàn)上日勺安全漏洞；

4.抵御除DoS以外日勺已知的網(wǎng)絡(luò)襲擊。

（四）設(shè)計(jì)原則

裝置采用網(wǎng)絡(luò)隔離設(shè)備及防火墻等技術(shù)，屬于結(jié)合型專(zhuān)用安

全隔離產(chǎn)品，參照原則如下：

1.中華人民共和國(guó)國(guó)標(biāo)GB/T18020-1999

2.《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)規(guī)定》

3.中華人民共和國(guó)國(guó)標(biāo)GB/T17900-1999

4.《網(wǎng)絡(luò)代理服務(wù)器日勺安全技術(shù)規(guī)定》

5.中華人民共和國(guó)國(guó)標(biāo)GB/T18019-1999

6.《信息技術(shù)包過(guò)濾防火墻安全技術(shù)規(guī)定》

7.中華人民共和國(guó)公共安全行業(yè)原則

8.《網(wǎng)絡(luò)隔離設(shè)備日勺安全技術(shù)規(guī)定》

（五）安全方略定位

1.監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全屏障

一種網(wǎng)絡(luò)隔離裝置（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一

種監(jiān)控系統(tǒng)的安全性，并通過(guò)過(guò)濾不安全日勺服務(wù)而減少風(fēng)險(xiǎn)。由

于只有通過(guò)精心選擇日勺應(yīng)用協(xié)議才能通過(guò)網(wǎng)絡(luò)隔離裝置，因此網(wǎng)

絡(luò)環(huán)境變得更安全。如網(wǎng)絡(luò)隔離裝置可以嚴(yán)禁諸如眾所周知日勺不

安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的襲擊者就不也許運(yùn)

用這些脆弱的協(xié)議來(lái)襲擊監(jiān)控系統(tǒng)。網(wǎng)絡(luò)隔離裝置同步可以保護(hù)

網(wǎng)絡(luò)免受基于路由的襲擊，如IP選項(xiàng)中的源路由襲擊和ICMP重

定向中的重定向途徑。網(wǎng)絡(luò)隔離裝置應(yīng)當(dāng)可以拒絕所有以上類(lèi)型

襲擊的報(bào)文并告知網(wǎng)絡(luò)隔離裝置管理員。

2.簡(jiǎn)化網(wǎng)絡(luò)安全方略，無(wú)需修改雙端程序

通過(guò)以網(wǎng)絡(luò)隔離裝置為中心的安全方案配置，能將所有安全

方略配置在網(wǎng)絡(luò)隔離裝置上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)

上相比，網(wǎng)絡(luò)隔離裝置日勺集中安全管理更以便可靠。例如在網(wǎng)絡(luò)

訪(fǎng)問(wèn)時(shí)，監(jiān)控系統(tǒng)通過(guò)加密口令/身份認(rèn)證方式與其他信息系統(tǒng)

通信，在電力監(jiān)控系統(tǒng)基本上不可行，它意味監(jiān)控系統(tǒng)要重新測(cè)

試，因此用網(wǎng)絡(luò)隔離裝置集中控制，無(wú)需修改雙端應(yīng)用程序是最

佳的選擇。

3.對(duì)網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控

假如所有的訪(fǎng)問(wèn)都通過(guò)網(wǎng)絡(luò)隔離裝置，那么，網(wǎng)絡(luò)隔離裝置

就能記錄下這些訪(fǎng)問(wèn)并作出日志記錄，同步也能提供網(wǎng)絡(luò)使用狀

況的記錄數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，網(wǎng)絡(luò)隔離裝置能進(jìn)行合適日勺

報(bào)警，并提供網(wǎng)絡(luò)與否受到監(jiān)測(cè)和襲擊的詳細(xì)信息。

4.防止監(jiān)控系統(tǒng)信息外泄，不為外部襲擊發(fā)明條件

通過(guò)網(wǎng)絡(luò)隔離裝置對(duì)監(jiān)控系統(tǒng)及其他信息系統(tǒng)日勺劃分，實(shí)現(xiàn)

監(jiān)控系統(tǒng)重點(diǎn)網(wǎng)段的隔離，一種監(jiān)控系統(tǒng)中不引人注意日勺細(xì)節(jié)也

許包括了有關(guān)安全的線(xiàn)索而引起外部襲擊者的愛(ài)好，甚至因此而

暴露了監(jiān)控系統(tǒng)的某些安全漏洞。使用網(wǎng)絡(luò)隔離裝置就可以隱蔽

那些透漏內(nèi)部細(xì)節(jié)，例如網(wǎng)絡(luò)隔離裝置可以進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換

(NAT),這樣一臺(tái)主機(jī)I