光伏二次安防屏概述電力系統二次安全防護的是確保電力信息化系統、電力實時閉環監控系統及調度數據網絡的安全,目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊,從而防止一次系統、二次系統事故或大面積停電等事故的出現。二次安全防護是依據電監會5號令以及電監會[2006]34號文的規定并根據電力系統二次系統系統的具體情況制定的,目的是設計規范電力系統計算機監控系統及調度數據網絡安全防護的規劃、實施和監管,以防范對電力系統計算機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事故,保障電力系統的安全、穩定、經濟運行。電力二次系統是由地理上廣泛分布于各級發電機、變電站的業務系統通過緊密或松散的聯系而構成的復合系統,它的支持環境既包括各調度網絡和廠站的異構計算機系統、局域網絡,又包括連通各局域網的電力系統行業外聯網。因此,電力信息系統安全不同于單純的計算機系統或通信系統安全,為了確保電力系統業務的安全,必須同時考慮廣泛分布而又相互聯系的業務系統及其與計算機、通信等基礎支持系統間的交互。
設計原則 ●安全分區:分區防護、突出重點。根據系統中的業務的重要性和對一次系統的影響程度進行分區,重點保護生產控制以及直接生產電力生產的系統。
●網絡專用:電力調度數據網SPDnet與電力數據通信網SPInet實現安全隔離,并通過采用MPLS-VPN或IPSEC-VPN在SPDnet和SPInet分別形成多個相互邏輯隔離的VPN實現多層次的保護。
●橫向隔離:在不同安全區之間采用邏輯隔離裝置或物理隔離裝置使核心系統得到有效保護。
●縱向認證:安全區Ⅰ、Ⅱ的縱向邊界部署IP認證加密裝置;安全區Ⅲ、Ⅳ的縱向邊界必須部署硬件防火墻,目前在認證加密裝置尚未完善情況下,使用國產硬件防火墻進行防護。
安全區的劃分 ●安全區Ⅰ是實時控制區(安全保護的核心)
凡是具有實時監控功能的系統或其中的監控功能部分均應屬于安全區Ⅰ。如各級調度的SCADA(AGC/AVC)系統、EMS系統、WAMS系統、配網自動化系統(含實時控制功能)以及電力系統實時監控系統等,其面向的使用者為調度員和運行操作人員,數據實時性為秒級,外部邊界的通信均經由SPDnet的實時VPN。
●安全區Ⅱ(非控制業務區)
不直接進行控制但和電力生產控制有很大關系,短時間中斷就會影響電力生產的系統均屬于安全區Ⅱ。屬于安全區Ⅱ的典型系統包括PAS、水調自動化系統、電能量計費系統、發電側電力市場交易系統、電力模擬市場、功角實時監測系統等。其面向的使用者為運行方式、運行計劃工作人員及發電側電力市場交易員等。數據的實時性是分級、小時級、日、月甚至年。該區的外部通信邊界為SPDnet的非實時VPN。
●安全區Ⅲ(生產管理區)
該區的系統為進行生產管理的系統,典型的系統為DMIS系統、DTS系統、雷電監測系統、氣象信息以及電力系統生產管理信息系統等。該區中公共數據庫內的數據可提供運行管理人員進行web瀏覽。該區的外部通信邊界為電力數據通信網SPInet。
●安全區IV(辦公管理系統)
包括辦公自動化系統或辦公管理信息系統。該區的外部通信邊界為SPInet或因特網。
二次安防屏主要設備
●網絡安全監測設備
網絡安全監測裝置用以采集變電站站控層和發電廠涉網區域的服務器、工作站、網絡設備和安全防護設備的安全事件,轉發至調度端網絡安全管理平臺的數據網關機,并提供來自網絡安全管理平臺相關服務調用,同時,支持網絡安全事件的本地監視管理。
●防火墻
防火墻產品部署在各安全區之間,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。根據業務流量的IP地址、協議、應用端口號、以及方向的報文過濾等安全策略實現安全區之間的邏輯隔離、報文過濾、訪問控制、IP認證加密等功能。從而達到了對電力二次系統進行安全防護的目的。
●安全審計
網絡審計系統采用先進的協議識別和智能關聯技術,通過對網絡數據的采集、分析和識別,實時動態的監測網絡行為、通信內容和網絡流量,發現并捕獲各種敏感信息、違規網絡行為,全面記錄網絡系統中的各種會話和事件,實現對網絡信息的智能關聯分析和安全評估。
●防病毒系統
隨著電力一次系統規模的擴大,無人值班變電所的全面鋪開,電力生產對自動化系統的依賴性越來越大,自動化規模也越來越大,網絡越來越復雜。同時自動化系統必須保證24h連續穩定運行,因此必須要有一個確實可行的防病毒解決方案,來確保自動化系統重要業務不受病毒侵害,保證自動化系統的安全、穩定運行。
●入侵檢測
入侵檢測系統(IDS)采用深度分析技術對網絡進行不間斷監控,分析來自網絡內部和外部的入侵企圖,并進行報警、響應和防范,有效延伸了網絡安全防御層次。同時,產品提供強大的網絡信息審計功能,可對網絡的運行、使用情況進行全面的監控、記錄、審計和重放,使用戶對網絡的運行狀況一目了然。