10 元
下载资源

电力二次系统安全防护

上传人:痛*** 文档编号:244108314 上传时间:2024-10-02 格式:PPT 页数:39 大小:1.54MB
返回 下载 相关 举报
电力二次系统安全防护_第1页
第1页 / 共39页
电力二次系统安全防护_第2页
第2页 / 共39页
电力二次系统安全防护_第3页
第3页 / 共39页
点击查看更多>>
资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,电力二次系统安全防护知识介绍,第一页,编辑于星期日:二十一点 一分。,主要内容,电力二次系统安全防护知识背景,电力二次系统安全防护的基本原则,安全防护技术和装置,发电厂二次系统安全防护方案,第二页,编辑于星期日:二十一点 一分。,电力二次系统安全防护知识背景,主要法规和文件,2002年5月,国家经贸委发布30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定。,2004年12月,电监会下发第5号令电力二次系统安全防护规定。,2006年,电监会下发第34号文关于印发电力二次系统安全防护方案等安全防护方案的通知。,第三页,编辑于星期日:二十一点 一分。,电力二次系统安全防护知识背景,电监安全200634号配套文件,电力二次系统安全防护总体方案,省级及以上调度中心二次系统安全防护方案,地、县级调度中心二次系统安全防护方案,变电站二次系统安全防护方案,发电厂二次系统安全防护方案,配电二次系统安全防护方案,第四页,编辑于星期日:二十一点 一分。,电力二次系统安全防护知识背景,目标和重点,电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全。,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,,,防止由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪,。,第五页,编辑于星期日:二十一点 一分。,电力二次系统安全防护知识背景,电力二次系统安全防护总体策略,安全分区:根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。,网络专用:建立调度专用数据网络,实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。,横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与办公自动化系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。,纵向认证:采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。,第六页,编辑于星期日:二十一点 一分。,电力二次系统安全防护知识背景,安全分级负责制,国家电力监管委员会负责电力二次系统安全防护的监管,组织制定电力二次系统安全防护技术规范并监督实施。,电力企业应当按照“谁主管谁负责,谁运营谁负责,谁使用谁负责”和属地化管理的原则,认真履行网络信息安全职责。将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系,各电力企业负责所辖范围内计算机及数据网络的安全管理。,各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员。,第七页,编辑于星期日:二十一点 一分。,电力二次系统安全防护知识背景,安全分级负责制,电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的二次系统安全防护的技术监督。,发电厂内涉及到电力调度的生产控制系统和装置,如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动装置等,由电力调度机构和发电厂的上级主管单位共同实施技术监督,发电厂内其它二次系统安全防护可由其上级主管单位实施技术监督。,第八页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,原则和重点,电力二次系统安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。,安全防护主要针对基于网络的生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。,第九页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,电力二次系统的安全区划分,生产控制大区,控制区(安全区),非控制区(安全区),管理信息大区,生产管理区(安全区),管理信息区(安全区),第十页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,生产控制大区的安全区划分,控制区(安全区):控制区中的业务系统或功能模块是电力生产的重要环节,直接实现对电力一次系统实时监控,纵向数据通信使用电力调度数据网络或专用信道。,非控制区(安全区):非控制区中的业务系统或功能模块是电力生产的必要环节,在线运行但不具备控制功能,纵向数据通信使用电力调度数据网络或专用信道。,第十一页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,控制安全区的典型业务系统,能量管理系统(SCADA、AGC、AVC),广域相量测量系统,配电网自动化系统,变电站自动化系统,发电厂自动监控系统,继电保护系统,安全自动控制系统,低频(低压)自动减负荷系统,第十二页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,非控制安全区的典型业务系统,调度员培训模拟系统,水库调度自动化系统,故障录波信息管理系统,电能量计量系统,电力市场运营系统,第十三页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,管理信息大区的安全区划分,可根据具体情况划分安全区,但不应影响生产控制大区的安全。,安全区:通过电力企业数据网络进行远方通信的生产管理系统(包括电力监管信息系统、雷电监测系统、气象信息、DMIS等)。,安全区,:与因特网互联并允许对其进行访问的管理信息系统和企业办公区域(包括营销系统、OA、MIS等),第十四页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,生产控制大区内部的安全防护,禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务,允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务,可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。,生产控制大区重要业务(如SCADA/AGC)、电力市场交易等)的远程通信必须采用加密认证机制,对已有系统逐步改造。,第十五页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,生产控制大区内部的安全防护,生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施,限制系统间的直接互通。,生产控制大区的拨号访问服务,服务器和用户端均应使用经国家指定部门认证的。安全加固的操作系统,并采取加密、认证和访问控制等安全措施。,生产控制大区边界上可以部署入侵检测系统。,第十六页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,生产控制大区内部的安全防护,生产控制大区应部署安全审计措施,把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。,生产控制大区应该统一部署恶意代码防护系统,采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。,第十七页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,管理信息大区的安全要求,应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。,第十八页,编辑于星期日:二十一点 一分。,电力二次系统安全防护的基本原则,网络专用,电力调度数据网:专为生产控制大区服务的专用数据网络,承载电力实时控制、在线生产交易等业务。,电力企业数据网:承载管理信息大区中各业务之间的信息交互的电力实时控制、在线生产交易等业务。,电力调度数据网与电力企业数据网之间在物理层面上安全隔离。,第十九页,编辑于星期日:二十一点 一分。,安全防护技术和装置,横向隔离技术,横向隔离技术是电力二次系统安全防护体系的横向防线,是二次系统安全防护体系的重要技术措施。,生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度接近或达到物理隔离。,安全区与安全区,之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。,安全区与安全区之间应采用具有访问控制功能的网络设备(如防火墙)实现逻辑隔离。,第二十页,编辑于星期日:二十一点 一分。,安全防护技术和装置,正向隔离装置基本功能,非网络数据交换,内外两个处理系统不同时连通。,数据完全单向传输。,透明工作模式,虚拟主机IP地址、隐藏MAC地址。,基于MAC/IP/Port/协议的综合报文过滤与访问控制,支持NAT。,割断穿透性TCP连接。,应用层解析功能,支持标记识别。,安全方便的维护管理,支持数字证书的管理员认证。,第二十一页,编辑于星期日:二十一点 一分。,安全防护技术和装置,反向隔离装置基本功能,应用网关功能,实现数据的接收与转发。,具有数字证书的签名/解签名功能。,纯文本编码检查与转换功能。,基于E语言纯文本文件的强过滤功能,透明工作模式,虚拟主机IP地址、隐藏MAC地址。,基于MAC/IP/Port/协议的综合报文过滤与访问控制,支持NAT。,割断穿透性TCP连接。,安全方便的维护管理,支持数字证书的管理员认证。,第二十二页,编辑于星期日:二十一点 一分。,安全防护技术和装置,正、反向隔离装置的部署,第二十三页,编辑于星期日:二十一点 一分。,安全防护技术和装置,加密认证技术,加密认证技术是电力调度数据网安全防护体系的重要技术支撑手段。,在各级调度中心(网省、地县与厂站)的控制区与调度数据网的边界应部署电力专用纵向加密认证装置或加密认证网关。,采用电力专用密码与认证技术,保证上下级调度中心与厂站纵向数据通信机密性和完整性。,第二十四页,编辑于星期日:二十一点 一分。,安全防护技术和装置,纵向加密装置的部署,按照分级管理要求,纵向加密认证装置部署在各级电力调度通信中心及下属的各厂站,根据电力调度关系建立加密隧道。,管理中心完成对所辖的多厂商的纵向加密设备进行统一管理。,第二十五页,编辑于星期日:二十一点 一分。,安全防护技术和装置,电力调度数字证书,电力调度数字证书系统是电力二次系统安全防护的基础安全设施。,基于公钥技术的分布式数字证书系统,为生产控制大区的关键应用、关键用户和关键设备提供数字证书服务。电力专用密码与认证技术,保证上下级调度中心与厂站纵向数据通信机密性和完整性。,第二十六页,编辑于星期日:二十一点 一分。,安全防护技术和装置,安全拔号认证技术,安全拔号认证技术是电力二次系统安全远程接入访问的重要防护手段。,在各级调度中心(网省、地县与厂站)的拔号应用场合应部署安全拔号认证装置对来自用电话网的接入用户进行安全认证和数据加密传输。,第二十七页,编辑于星期日:二十一点 一分。,安全防护技术和装置,安全拔号认证装置功能,客户端安全检查。采用安全操作系统,并结合数字证书进行登录认证。,线路加密。对拨号线路的数据采用高强度加密算法进行保护。,访问控制。对远程拨号用户进行基于地址、端口、时间、协议等综合过滤。支持对关键访问资源的读、写、执行权限进行细粒度的控制。,日志审计。记录远程拨号用户所有的登录行为,支持Syslog日志输出。,第二十八页,编辑于星期日:二十一点 一分。,安全防护技术和装置,安全拔号认证装置的部署,对拨号人员采用智能卡或文件证书认证,并进行数据传输加密。,安全拨号认证装置部署在电力系统内网与公用电话交换网之间。,第二十九页,编辑于星期日:二十一点 一分。,发电厂二次系统安全防护方案,总体方案,第三十页,编辑于星期日:二十一点 一分。,发电厂二次系统安全防护方案,总调直调电厂业务接入方案,纵向互联的主要设备包括各业务系统通信子站或终端、纵向业务汇聚交换机、纵向互联硬件防火墙、纵向加密认证装置以及调度数据网路由器和交换机设备,各设备均采用冗余备用结构;,纵向业务汇聚交换机直接使用调度数据网
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!