金电力系统二次系统安全防护-总体方案[最新]

《金电力系统二次系统安全防护-总体方案[最新]》由会员分享，可在线阅读，更多相关《金电力系统二次系统安全防护-总体方案[最新]（22页珍藏版）》请在金锄头文库上搜索。

1、电力二次系统 安全防护总体方案 背景及总体原则内部资料 注意保密电力二次系统安全防护专家组2008-05 炒 可 左 腊 闪 一 臻 蒂 扩 琐 爪 结 转 舌 屉 塔 经 绸 妥 甸 密 墅 双 祭 叼 艳 钾 并 逾 麦 绘 琉 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date1电力二次系统安全防护总体方案一、背景及概述 二、基本原则 三、实施进度要求提 纲澳 泊 蓝 般 讯 浮 昌 汪 作 剧 壁 贿 榴 吃 酵 益 淖 僚 煽 广 知 巳 堆 吓 血 鸵 虞 盖 称 险 邓 韭 电 力 系 统

2、 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date2电力二次系统安全防护总体方案通讯服务器发电用电输电变电配电RTURTURTU数据采集和传输应用服务器电 网 调 度电力二次系统示意图黍 侦 嘶 茵 嘱 懒 滥 最 芯 朋 郑 书 波 芝 垂 苗 缝 活 沸 黍 坐 饲 朵 刃 特 滁 钢 榆 赴 唾 柬 外 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date3电力二次系统安全防护总体方案2000年10月13日，四川二滩水电厂

3、控制系统收到异 常信号停机，7秒甩出力89万，川渝电网几乎瓦解。 2001年10月1日，银山公司生产的故障录波装置出现 “时间逻辑炸弹”，全国共146套。 2003年12月30日，龙泉、政平、鹅城换流站控制系 统发现病毒，外国技术人员在系统调试中用笔记本 电脑上网所致。背景：电力二次系统安全事件琉 孝 胞 疡 搜 痉 候 辖 剃 寓 衅 逐 奔 批 梨 中 利 呛 弊 垢 删 龙 潍 赔 摆 鄙 馁 钎 欲 揍 硫 馒 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date4电力二次系统安全防护总体方案美加

4、8.14事故暴露出电网控制系统的脆弱性The existence of both internal and external links from SCADA systems to other systems introduced vulnerabilities. At this time, however, preliminary analysis of information derived from interviews with operators provides no evidence indicating exploitation of these vulnerabilities

5、 before or during the outage.力 逸 孕 礼 离 粤 特 袒 咖 校 呕 大 付 周 舌 奎 米 提 泊 产 搜 娩 桓 啥 央 毗 觉 陌 贮 菱 抨 告 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date5电力二次系统安全防护总体方案 2006年2月6日至2月10日美国土安全部组织 展开“网络风暴”行动，115家单位参加演习。 演习中，“攻击方”不断向诸如电力、银行系统 等要害部门发起攻击，次数超过800次 网络专家扮演的“黑客”一度导致10个州的电力 供应系统无法正常运

6、转，网络银行和零售系统 出错，商业软件公司发售的光盘感染病毒 美“网络风暴”演练网络战争 眼 墒 券 裳 捞 马 莎 腔 滦 酚 诺 殉 荒 埠 笺 将 攫 字 赁 轰 朗 诽 啡 酷 垒 很 啊 蜜 纤 抖 趁 搞 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date6电力二次系统安全防护总体方案2002年5月，国家经贸委发布30号令电网和电厂计算机监 控系统及调度数据网络安全防护的规定。 2002年国家电网调度中心安全防护体系研究及示范列入 国家863计划和国家电网科技项目。 2003年6月国家商密办

7、为电力二次系统配备专用密码算法和 芯片。 2003年完成全国电力二次系统安全防护总体方案第7.2稿 ，并在全国省级以上调度中心实施。 2004年12月电监会下发第5号令电力二次系统安全防护规 定。 2005年项目获中国电力科技进步一等奖和国家科技进步二等 奖。 2006年，电监会下发第34号文关于印发电力二次系统安全 防护方案等安全防护方案的通知。安全防护工作开展情况起 鸭 阂 画 胚 啃 症 橱 物 针 桃 组 驹 咖 切 需 倚 亏 环 廖 锦 羽 俯 丑 应 重 赃 梗 选 珍 荡 扭 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安

8、 全 防 护 - 总 体 方 案Date7电力二次系统安全防护总体方案电力二次系统安全防护相关法规为了贯彻落实国家电力监管委员会第5号令电力二次 系统安全防护规定（简称5号令）和原国家经贸委 2002第30号令电网和电厂计算机监控系统及调度数 据网络安全防护的规定（简称30号令），构建电 力二次系统安全防护体系，保障电力二次系统的安全， 从而保障电力系统的安全稳定运行，制定本方案。充 屠 韩 衔 表 善 羹 眨 具 履 凿 衰 锚 茎 肌 侄 恒 蔓 尔 怂 容 修 乾 爽 沁 掺 汞 四 搬 野 湾 叮 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二

9、次 系 统 安 全 防 护 - 总 体 方 案Date8电力二次系统安全防护总体方案电力二次系统安全防护规定配套文件：1电力二次系统安全防护总体方案 2省级及以上调度中心二次系统安全防护方案 3地、县级调度中心二次系统安全防护方案 4变电站二次系统安全防护方案 5发电厂二次系统安全防护方案 6配电二次系统安全防护方案 电力二次系统安全防护系列文件电监安全200634号俭 袭 辜 径 鼠 鸭 堕 腾 塞 黑 铣 鳃 衰 矽 双 攀 咎 匝 染 网 笛 遗 岁 擒 津 穴 翅 诗 吼 虏 纳 庞 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安

10、 全 防 护 - 总 体 方 案Date9电力二次系统安全防护总体方案优先级风险说明/举例0旁路控制 （Bypassing Controls）入侵者对发电厂、变电站发送非法控制命令，导致 电力系统事故，甚至系统瓦解。1完整性破坏 （Integrity Violation）非授权修改电力控制系统配置或程序；非授权修改 电力交易中的敏感数据。2违反授权 （Authorization Violation）电力控制系统工作人员利用授权身份或设备，执行 非授权的操作。3工作人员的随意行为 （Indiscretion）电力控制系统工作人员无意识地泄漏口令等敏感信息，或不 谨慎地配置访问控制规则等。4拦截/

11、篡改 （Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参 数设置、交易报价等敏感数据。5非法使用 （Illegitimate Use）非授权使用计算机或网络资源。6信息泄漏 （Information Leakage）口令、证书等敏感信息泄密。7欺骗 （Spoof）Web服务欺骗攻击；IP 欺骗攻击。8伪装 (Masquerade)入侵者伪装合法身份，进入电力监控系统。9拒绝服务 （Availability, e.g. DoS）向电力调度数据网络或通信网关发送大量雪崩数据 ，造成拒绝服务。10窃听 （Eavesdropping, e.g. Data Confident

12、iality）黑客在调度数据网或专线通道上搭线窃听明文传输 的敏感信息，为后续攻击准备数据。电力二次系统主要安全风险挽 沧 涵 努 疮 棘 冬 汰 堡 谴 增 料 且 山 宛 爹 产 掏 淳 嘎 尊 阉 毋 呸 拯 幸 膳 酿 咀 租 姆 扛 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date10电力二次系统安全防护总体方案电力二次系统安全防护主要目标电电 力力 信信 息息 系系 统统电电 力力 调调 度度 系系 统统出 口出 口调度中心调度中心电厂电厂变电站变电站控制系统控制系统外部因特网建立电力二次

13、系统安全防护体系，有效抵御黑客、恶意 代码等各种形式的攻击，尤其是集团式攻击，保障电力二 次系统安全稳定，防止由此引起电力系统事故。类 囤 潮 思 兽 育 礁 攘 锰 揭 芬 袍 赃 娶 违 瓢 哈 滋 掐 烈 躁 荚 缩 机 婆 叼 麓 孽 匆 巳 凄 刨 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date11电力二次系统安全防护总体方案P PolicyolicyP ProtectionrotectionD DetectionetectionR Responseesponse防护防护检测检测反应反应策

14、略策略P PolicyolicyP ProtectionrotectionD DetectionetectionR Responseesponse防护防护检测检测反应反应策略策略防火墙、防病毒、横防火墙、防病毒、横 行隔离装置、纵向加行隔离装置、纵向加 密认证装置等密认证装置等入侵检测、安全审入侵检测、安全审 计、安全综合告警计、安全综合告警 等等快速响应、调度系统快速响应、调度系统 联合防护、网络快速联合防护、网络快速 处理等处理等防护模型和技术路线综合采用通用安全技术，开发关键专用安全技术。贞 护 洱 仓 旧 咒 蓉 们 驳 房 校 液 背 冠 足 观 床 讶 冲 迂 冒 逼 驼 核 挝

15、奏 铂 阴 寓 胞 退 琴 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date12电力二次系统安全防护总体方案本方案适用于电力二次系统中各类与电力生产和 输配过程直接相关的电力监控系统及调度数据网络 。电力二次系统的规划设计、项目审查、工程实施 、系统改造、运行管理等应当符合本方案的要求。 方案适用范围哑 敌 琵 移 住 魏 豫 侣 婪 罗 吱 砖 皑 瘴 匆 腆 瞄 斜 妆 秦 修 远 壳 曼 感 托 貉 宠 昆 锰 泵 皇 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力

16、系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date13电力二次系统安全防护总体方案1) 系统性原则（木桶原理）； 2）动态性原则 2) 适度安全原则； 3) 全面防护、突出重点的原则；重点是实时闭环控制部分； 4) 分层分区、强化边界的原则；提高内部安全防护能力； 5) 三分技术，七分管理；责任到人，分级管理，联合防护的原则。二次系统安全防护总体原则了 苔 捕 屁 利 洪 咯 藏 侗 嘶 很 遇 悼 碍 漫 娜 帜 畅 尉 冒 眨 郡 达 确 杆 冬 卢 倦 祈 早 溉 惹 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案 电 力 系 统 二 次 系 统 安 全 防 护 - 总 体 方 案Date14电力二次系统安全防护总体方案电力二次系统安全防护的基本原则为“安全分区 、网络专用、横向隔离、纵向认证”。安全防护主 要针对基于网络的生产控制系统，重点强化边界 防护，提高内部安全防护能力，保证电力生产控 制系统及重要数据的安全。 电力二次系统安全