网络安全已经成为电力系统安全的重要内容,其中电力监控系统网络安全则是重中之重。
听说了很久,但一直没有认真学习,近日查了一些资料,自己关注的问题,大家分享。
规范支持
关于电力监控系统安全,国家层面陆续出台了相关的管理规定,详见下表。
规范名称 | 发文单位 | 发文时间 |
《中华人民共和国计算机信息系统安全保护条例》 | 国务院 | 1994 |
《电网和电厂计算机监控系统及调度数据网络安全防护的规定》 | 国家经贸委 | 2002 |
《电力二次系统安全防护规定》 | 电监会 | 2004 |
《电力监控系统安全防护规定》 | 国家发改委 | 2014
|
《电力二次系统安全管理若干规定》
| 国家能源局
| 2022 |
基本原则
不论是《电力二次系统安全防护规定》,还是《电力监控系统安全防护规定》,均坚持了一个基本原则,“安全分区、网络专用、横向隔离、纵向认证”。这是电力监控系统安全的基本规则,如下图所示。
安全分区
安全分区是电力监控系统安全防护体系的结构基础 。发电企业、电网企业内部基于计算机和网络技术的业务系统,应当划分为生产控制大区和管理信息大区。
生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。
典型的安全分区会分为四个区,其中生产控制大区为Ⅰ、Ⅱ区,信息管理大区分为Ⅲ、Ⅳ区。
下图为典型的安全分区情况。
(图片来自网络)
下表为各安全分区描述及主要功能。
安全分区 | 描述 | 主要功能模块 |
安全Ⅰ区 | 具有实时监控功能,纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域 | 调度自动化、变电站自动化、发电厂自动监控、负荷控制等 |
安全Ⅱ区 | 在生产控制范围内在线运行但不直接参与控制,是电力生产过程的必要环节,纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域 | 保护及故录管理系统,电能量管理系统,一次设备在线监测系统等 |
安全Ⅲ区 | 为电力生产管理服务的非实时系统,与安全I区和安全II区有数据交换 | 报表管理、调度生产管理,气象信息等 |
安全Ⅳ区 | 是电力企业的日常管理服务,使用电力企业数据网络 | 办公自动化,信息管理系统等 |
网络专用
电力调度数据网是电力监控系统安全防护体系的重要网络基础。
“网络专用”是指,电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公用数据网的安全隔离。
从而保证生产数据的实时性和可靠性。
横向隔离
在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。单向隔离装置能够断开两侧的网络及协议联接,实现物理隔离。
从生产控制大区向管理信息大区单向传输数据,应使用正向隔离装置;从管理信息大区向生产控制大区单向传输数据,应使用反向隔离装置。
生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。
通过横向隔离,可以有效实现对高安全需求数据的安全保障。
下图为横向隔离的部署情况。
纵向认证
在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。
纵向认证主要采用认证、加密、访问控制等技术措施,实现数据的远方安全传输以及纵向边界的安全防护。实现双向身份认证、数据加密和访问控制,是电力监控系统安全防护体系的纵向防线。
电力专用纵向加密认证装置部署在I区与I区之间(实时)或II区与II区(非实时)之间,应成对布置,送端与发端点对点解析,存在加密和解密的双向过程,同时绑定地址。
下图为纵向认证的部署示意图。
(图片来自网络)
电力监控系统安全是一个复杂和专业的领域,同时也是电力企业各专业需要协同配合的工作。
安全第一,大家努力。
(本文内容来自国家电网报。本号所刊发文章仅为学习交流之用,无商业用途,向原作者致敬。因某些文章转载多次无法找到原作者在此致歉,若有侵权请告知,我们将及时删除,本文仅供学习交流、我们注重分享,勿作商用,版权归原作者。)