二次安防屏

二次安防屏的概述：

      二次安全防护的是确保电力信息化系统、电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，从而防止一次系统、二次系统事故或大面积停电等事故的出现。电力信息系统安全不同于单纯的计算机系统或通信系统安全，为了确保电力系统业务的安全，必须同时考虑广泛分布而又相互联系的业务系统及其与计算机、通信等基础支持系统间的交互。

二次安防屏设计原则
1、安全分区
     分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分区，重点保护生产控制以及直接生产电力生产的系统。
2、网络
     电力调度数据网SPDnet与电力数据通信网SPInet实现安全隔离，并通过采用MPLS-VPN或IPSEC－VPN在SPDnet和SPInet分别形成多个相互逻辑隔离的VPN实现多层次的保护。
3. 横向隔离
    在不同安全区之间采用逻辑隔离装置或物理隔离装置使核心系统得到有效保护。
4. 纵向认证
    安全区Ⅰ、Ⅱ的纵向边界部署IP认证加密装置；安全区Ⅲ、Ⅳ的纵向边界必须部署硬件防火墙，目前在认证加密装置尚未完善情况下，使用国产硬件防火墙进行防护。

二次安防屏安全区的划分
1、安全区Ⅰ是实时控制区(安全保护的核心)
     凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区Ⅰ。如各级调度的SCADA（AGC/AVC）系统、EMS系统、WAMS系统、配网自动化系统（含实时控制功能）以及电力系统实时监控系统等，其面向的使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信均经由SPDnet的实时VPN。
2.  安全区Ⅱ（非控制业务区）
    不直接进行控制但和电力生产控制有很大关系，短时间中断就会影响电力生产的系统均属于安全区Ⅱ。属于安全区Ⅱ的典型系统包括PAS、水调自动化系统、电能量计费系统、发电侧电力市场交易系统、电力模拟市场、功角实时监测系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级、日、月甚至年。该区的外部通信边界为SPDnet的非实时VPN。
3. 安全区Ⅲ（生产管理区）
    该区的系统为进行生产管理的系统，典型的系统为DMIS系统、DTS系统、雷电监测系统、气象信息以及电力系统生产管理信息系统等。该区中公共数据库内的数据可提供运行管理人员进行web浏览。该区的外部通信边界为电力数据通信网SPInet。
4. 安全区IV（办公管理系统）
    包括办公自动化系统或办公管理信息系统。该区的外部通信边界为SPInet或因特网。

二次安防屏的构成：
  1、网络路由防护
       采用虚拟专用网络技术，将调度数据网络进行分割，划分为实时数据网络和非实时数据网络两部分，实时数据网络对应机组运行控制等业务，非实时数据网络对应电量采集等业务，实时数据网络和非实时数据网络在逻辑上相对独立。
  2、网络边界防护
       采用严格的接入控制措施，没有经过授权的节点不允许接入调度数据网，各监控系统的数据网络与业务系统边界防护在为本系统提供一个网络屏障的同时，也为广域网络的通信提供认证和加密服务，实现数据传输的保密性和完整性。
  3、安全区之间的隔离
       （1）电力系统按照安全等级的要求把计算机系统分为了I、II、III等。 I和II之间要有防火墙，I/II区与III区之间则要在物理上做隔离。即 I/II发到III区的数据要经过正向隔离装置，III区发到I/II区的数据要 经过反向隔离装置。  审计系统能够通过主被动结合的手段，实时不间断地采集用户网络中 各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系 统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、 索引、备份、全文检索、实时搜索、审计、告警、响应，并出具丰富的报 表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。
      （2）生产控制大区与信息管理大区之间以网络方式相连，部署电力专用横向单向安全隔离装置。光功率预测系统部署在安全Ⅱ区，与运行在信息管理大区的天气预报系统进行信息交换采用反向安全限离装置。公共数据网与天气预报系统之间的连接采用防火墙。光伏电站运行监控系统部署在安全Ⅰ区，与运行在安全Ⅱ区的光功率预测系统进行数据交换，采用防火墙对数据进行隔离，实现安全Ⅰ区数据可以发送到安全Ⅰ区，但安全Ⅱ 区不可以对安全Ⅰ区系统进行控制。
  4、纵向传输的安全防护
       （1）纵向加密认证网关部署在电力监控系统的内部局域网与电力调度 数据网络的路由器之间，用于安全区 I/II 的广域网边界保护，可为 本地安全区 I/II 提供一个网络屏障同时为上下级控制系统之间的广 域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。
       （2）光伏电站生产控制大区系统与调度系统通过电力调度数据网实现远程通信，采用用户认证、纵向加密、访问限制等技术方法实现数据的远程安全传输。在光伏电站设置纵向加密装置，在调度端设置纵向解密装置，实现双向身份认证、数据纵向加密和访问控制。
  5、安防设备的监测监控
        网络安全监测装置部署于变电站或电厂涉网区域，用于监测变电站站控层主机没备、安全没备、网络设备的安全事件及用户操作行为，并将监测、分析形成的告警事件上传至调控机构的网络安全监管平台。
  6、恶意代码管理系统
        变电站内部网络与主站网络不连通的情况下，可选择在变电站调度 数据网部署下一级防恶意代码客户端管理模块，实现站内管理，并接受 主站端防恶意代码客户端管理模块的管控。

二次安防屏实现方法：
 1、防火墙技术
      防火墙是位于两个信任程度不同的网络之间（电网调度数据网内部 网络I/II区和其他区之间）的设备，对两个网络之间的通信进行控制， 通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问 以达到保护系统安全的目的。所有的访问都将通过防火墙进行，不允许任何饶过防火墙的连接。根据业务流量的IP地址、协议、应用端口号、以及方向的报文过滤等安全策略实现安全区之间的逻辑隔离、报文过滤、访问控制、IP认证加密等功能。从而达到了对电力二次系统进行安全防护的目的。
 2、安全审计布署
      为了保证调度数据网安令稳定运行，《电力监控系统安全防护总体方案》（国能安全［2015］号文）要求。电力监控系统安全Ⅰ区的计算机监控系统应具有安全审计功能，能够对运行人员的各项操作进行记录、分析，并对各种违规操作行为进行报警，同时通知相关管理人员进行纠正，根据光伏电站的业务情况拟采用物理旁路单臂部署的方式接入安全审计系统，不会改变现有网络结构，不改变运维人员的运维习惯。在生产控制大区部著一台安全审计系统。通过接入调度数据网的接入交换机，安全审计设备可以获得生产控制大区网络设备的日志信息。
 3、防病毒系统应用
       随着电力一次系统规模的扩大，无人值班变电所的全面铺开，电力生产对自动化系统的依赖性越来越大，自动化规模也越来越大，网络越来越复杂。同时自动化系统必须保证24小时连续稳定运行，因此必须要有一个确实可行的防病毒解决方案，来确保自动化系统重要业务不受病毒侵害，保证自动化系统的安全、稳定运行。
4、入侵检测技术
   （1） 入侵检测系统（IDS）采用深度分析技术对网络进行不间断监控，分析来自网络内部和外部的入侵企图，并进行报警、响应和防范，有效延伸了网络安全防御层次。同时，产品提供强大的网络信息审计功能，可对网络的运行、使用情况进行全面的监控、记录、审计和重放，使用户对网络的运行状况一目了然。
   （2） 入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在 发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与 其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护 技术。在调度数据网中I/II区各部署一台，用与监测设备报警信息进行 分析处理，再上传到主站。

二次安防屏配置清单：