收藏
下载资源

二次系统安全防护周鹏20100713幻灯片资料

上传人:yuzo****123 文档编号:238787425 上传时间:2022-01-12 格式:PPT 页数:30 大小:506.50KB
返回 下载 相关 举报
二次系统安全防护周鹏20100713幻灯片资料_第1页
第1页 / 共30页
二次系统安全防护周鹏20100713幻灯片资料_第2页
第2页 / 共30页
二次系统安全防护周鹏20100713幻灯片资料_第3页
第3页 / 共30页
二次系统安全防护周鹏20100713幻灯片资料_第4页
第4页 / 共30页
二次系统安全防护周鹏20100713幻灯片资料_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《二次系统安全防护周鹏20100713幻灯片资料》由会员分享,可在线阅读,更多相关《二次系统安全防护周鹏20100713幻灯片资料(30页珍藏版)》请在金锄头文库上搜索。

1、1电力二次系统安全防护总体方案中国南方电网电力调度通信中心2010年7月2主主背景及总体原则技术要求第一部分第一部分第二部分第二部分要要内内容容管理要求第三部分第三部分3通讯服务器发电发电用电用电输电输电变电变电配电配电RTURTURTURTURTURTU数据采集和传输应用服务器应用服务器电电 网网 调调 度度电力二次系统示意图45电力二次系统安全防护相关法规6安全防护工作开展情况2002年5月,国家经贸委发布30号令电电网和电电厂计计算机监监控系统统及调调度数据网络络安全防护护的规规定。2003年6月国家商密办为电力二次系统配备专用密码算法和芯片。2004年12月电监会下发第5号令电力二次系

2、统安全防护规定。2006年,电监会下发第34号文关于印发电力二次系统安全防护方案等安全防护方案的通知。2008年,南网总调印发南方电网电力二次系统安全防护技术实施规范(以下简称规范)(调自200819号)2009年,南网总调印发南方电网电力二次系统安全防护管理暂行规定(调自20097号)7南方电网电力二次系统安全防护主要目标 建立健全南方电网电力二次系统安全防护体系,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复绝大部分功能,防止电力二次系统的

3、安全事件引发或导致电力一次系统事故或大面积停电事故,保障南方电网安全稳定运行。电电力力信信息息系系统统电电力力调调度度系系统统出口出口调度中心调度中心电厂电厂变电站变电站控制系统控制系统外部因特网8规范适用范围 适用于南方电网,南方电网各级调度机构和厂站运行维护单位(包含南网电网区域内发电、输电、变电、供电、用电等单位以及南方电网区域外接入并接受南方电网相应调度机构调度的发电厂、变电站),以及在南方电网从事电力二次系统安全防护科研、设计、施工、制造等单位,均应遵守本规范。9二次系统安全防护总体原则1) 系统性原则(木桶原理)。2) 简单性和可靠性原则。3) 实时性、连续性与安全性相统一的原则。

4、4) 需求、风险、代价相平衡的原则。5) 实用性与先进性相结合的原则。6) 全面防护、突出重点的原则。7) 分层分区、强化边界的原则。8) 整体规划、分步实施的原则。9) 不断完善的原则。10) 下级服从上级,局部服从整体的原则。11) 技术与管理相结合的原则。10二次系统安全防护总体策略4、纵向认证3、横向隔离电力企业数据网电力企业数据网控制区控制区非控制区非控制区管理区管理区信息区信息区电力调度数据网电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区123411安全分区规则-生产控制大区 控制区是电电力二次系统统各安全区中安全等级级最高的分区,是必不可少的分区。该该区中的

5、业务业务 系统统与电电力调调度生产产直接相关,有对对一次系统统的在线监视线监视 和闭环闭环 控制功能,且具有连续连续 性、实时实时 性(毫秒级级或秒级级)的特点以及高安全性、高可靠性和高可用性的要求。该该区使用调调度数据网络络的实时实时 VPN或专线专线 通道与异地有关的控制区互联联。 非控制区是电电力二次系统统各安全区中安全等级仅级仅 次于控制区的分区。该该区的业务业务 系统统功能与电电力生产产直接相关,但不直接参与控制;系统统在线线运行,与安全区的有关业务业务 系统联统联 系密切。非控制区的数据采集频频度是分钟钟或小时级时级 ,该该区使用调调度数据网络络的非实时实时 VPN或专专线线通道与

6、异地有关的非控制区互联联。12安全分区规则-管理信息大区 控制区是电电力二次系统统各安全区中安全等级级最高的分区,是必不可少的分区。该该区中的业务业务 系统统与电电力调调度生产产直接相关,有对对一次系统统的在线监视线监视 和闭环闭环 控制功能,且具有连续连续 性、实时实时 性(毫秒级级或秒级级)的特点以及高安全性、高可靠性和高可用性的要求。该该区使用调调度数据网络络的实时实时 VPN或专线专线 通道与异地有关的控制区互联联。 非控制区是电电力二次系统统各安全区中安全等级仅级仅 次于控制区的分区。该该区的业务业务 系统统功能与电电力生产产直接相关,但不直接参与控制;系统统在线线运行,与安全区的有

7、关业务业务 系统联统联 系密切。非控制区的数据采集频频度是分钟钟或小时级时级 ,该该区使用调调度数据网络络的非实时实时 VPN或专专线线通道与异地有关的非控制区互联联。13主主总体方案背景及总体原则技术要求第一部分第一部分第二部分第二部分要要内内容容管理要求第三部分第三部分14横向隔离各安全区隔离强度在生产控制大区与管理信息大区之间:隔离强度应接近或达到物理隔离必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置生产控制大区内部的安全区之间:逻辑隔离采用具有访问控制功能的网络设备、防火墙或者相当功能的设施 15横向安全隔离装置正向 正向安全隔离装置用于生产控制大区到管理信息大区的非网络

8、方式的单向数据传输管理信息大区管理信息大区隔离装置隔离装置生产控制大区生产控制大区16横向安全隔离装置反向 反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。生产控制大区生产控制大区管理信息大区管理信息大区隔离装置隔离装置17纵向认证n 在生产控制大区与调度数据网的网络边界部署电力专用纵向加密认证网关(对于非控制区,目前可用国产硬件防火墙替代),是电力二次系统安全防护的另一关键技术措施。n 纵向加密认证网关采用电力专用密码与认证技术,为上下级调度中心和厂站控制区

9、的纵向数据通信提供认证与加密服务,实现数据传输的机密性、完整性保护。18纵向安全防护改造范例19电力调度数字证书系统 调度数字证书系统是电力二次系统安全防护的基础安全设施。电力调度数字证书系统是基于公钥技术的分布式的数字证书系统,为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备提供数字证书服务,实现高强度的身份认证、安全的数据传输以及行为审计。省级及以上调度中心和有实际业务需要的地区调度中心应该逐步建立电力调度数字证书系统。 电力调度数字证书分为人员证书、程序证书、设备证书三类。人员证书指用户在访问系统、进行操作时对其身份进行认证所需要持有的证书;程序证书指关键应用的模块、进程、

10、服务器程序运行时需要持有的证书;设备证书指网络设备、服务器主机等在接入本地网络系统与其它实体通信过程中需要持有的证书。20 统一规划数字证书的信任体系。南网总调CA为1级CA系统;省级调度CA为二级CA系统;地、市级调度CA为三级CA系统。省调接受南网总调的证书管理,负责所辖地调和直调厂站的证书管理;地市级调度负责所辖县调及直调厂站的证书管理。上下级电力调度数字证书系统通过证书信任链构成认证体系。 采用统一的数字证书格式和加密算法。数字证书格式遵循符合X.509 V3标准,证书格式和加密算法应该严格按照电监会调度证书规范进行定义。 电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离

11、网络,独立运行。电力调度数字证书系统-建设原则21其他要求入侵检测安全WEB服务防病毒措施综合审计平台远程拨号安全防护数据备份与恢复 . .22主主总体方案背景及总体原则技术要求第一部分第一部分第二部分第二部分要要内内容容管理要求第三部分第三部分23安全分级负责制 1)国家电力监管委员会负责电力二次系统安全防护的监管,组织制定电力二次系统安全防护技术规范并监督实施。 2)电力企业应当按照“谁主管谁负责,谁运营谁负责”的原则,建立电力二次系统安全管理制度,将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系,各电力企业负责所辖范围内计算机及数据网络的安全管理。 3)各相关单位应设置电力监控

12、系统和调度数据网络的安全防护小组或专职人员。 24安全分级负责制 4)电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的二次系统安全防护的技术监督。 5)发电厂内涉及到电力调度的生产控制系统和装置,如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置等,由电力调度机构和发电厂的上级主管单位共同实施技术监督,发电厂内其它二次系统安全防护可由其上级主管单位实施技术监督。 25相关人员的安全职责 1) 电力企业应当明确由主管安全生产的领导作为电力二次系统安全防护的主要责任人,并指定专人负责管理本单位所辖电力

13、二次系统的公共安全设施,明确各业务系统专责人的安全管理责任。2) 电力调度机构应指定专人负责管理本级调度数字证书系统26工程实施的安全管理1)电力二次系统相关设备及系统的开发单位、供应商应以合同条款或协议的方式保证所提供的设备及系统符合电力二次系统安全防护规定和本方案的要求,并在设备及系统的生命期内对此负责。2)电力二次系统专用安全产品的开发单位、使用单位及供应商,应当按国家有关要求做好保密工作,禁止安全防护关键技术和设备的扩散。3)电力企业各单位的电力二次系统安全防护实施方案必须严格有关规定,并经过上级信息安全主管部门和相应电力调度机构的审核,方案实施完成后应当由上述机构共同组织验收。27设

14、备和应用系统的接入管理 接入电力二次系统生产控制大区中的安全产品,应当获得国家指定机构安全检测证明,用于厂站的设备还需有电力系统电磁兼容检测证明。 接入电力调度数据网络的节点、设备和应用系统,其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准。 生产控制大区的各业务系统禁止以各种方式与互联网连接;限制开通拨号功能;关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等,确需保留的必须通过安全管理措施实施严格监控。 28日常安全管理制度 日常安全管理制度包括:门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。29联合防护和应急处理 各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证。 当电力生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时。 应当立即向其上级电力调度机构报告,同时按应急处理预案采取安全应急措施。 相应电力调度机构应当立即组织采取紧急联合防护措施,以防止事件扩大。 同时注意保护现场,以便进行调查取证和分析。 事件发生单位及相应调度机构应当及时将事件情况向相关电力监管部门和信息安全主管部门报告。30谢谢谢谢

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号