2023年剖析电力调度安全监管.docx

剖析电力调度平安监管 1整体防护方案。电力调度信息系统的应用业务的整体防护，充分考虑各种应用业务的特点，充分发挥平安隔离装置的作用，从各个层面对应用系统实施全方位的保护。 1.1调度信息系统各应用业务系统平安区的划分 电力调度信息系统所有应用业务必须分置于四个平安区。平安区i：目前已有或将来要上的有控制功能的系统，以及实时性要求很高的系统。目前主要包括实时闭环控制的scada／ems系统、自动发电控铝ij（agc）系统和平安自动控制系统，保护设置工作站（具有改定值、远方投退等功能）；平安区Ⅱ：没有实时控制业务但需要通过调度专用通信网（spdnet）进行远方通信的准实时业务系统。目前包括水调自动化系统、调度员培训系统（dts）、电力交易系统、电能量计量系统（tmr）、考核系统、继保及故录管理系统（不具备改定值、远方投退功能）等；平安区Ⅲ：通过电力调度数据网（sptnet）进行远方通信的调度生产管理系统。目前包括雷电监测系统、气象信息、日报／早报、调度mis（dmis）等；平安区Ⅳ：包括办公自动化（oa）、电子邮件系统和管理信息系统（mis）等。 1.2调度信息系统平安防护的具体要求 根据电力调度通信局调度信息系统平安防护要求，除了要满足电力系统二次系统平安防护策略以外，还需满足以下具体要求：①平安区i、平安区Ⅱ必须建立一套统一的入侵检测系统（ids），在平安区i和平安区ii的横向及纵向边界各安装1个探头（共4个），两个平安区内原那么上不再安装ids探头；②平安区Ⅲ要求单独建立一套ids系统，ids探头安装在网络的关键边界。系统的对内对外通信应该通过网关，建议对内通信网关与对外通信网关别离（对内通信：指本级调度中心内相关系统的通信；对外通信：指同平安区内的系统上下级间的远程通信），网络边界必须明晰；③对平安区i的特定要求：平安区i的ems上下级外部边界的通信中，网络方式通信均经由电力调度数据网（spdnet）中的qos（效劳质量）等级最高的实时vpn（虚拟专用网络），传统远动专用通道的通信，重要厂站可以进行线路加密，一般厂站目前暂不考虑平安问题，加紧研究低本钱线路平安设施，逐步进行改造；④对平安区Ⅱ的特定要求：平安区Ⅱ允许在本区内开通同一业务系统上下级（即纵向）问的平安web效劳。但只允许本平安区内的系统向平安web效劳器单向传送数据，数据传递由专用隔离装置完成。禁止平安web效劳器向业务系统请求数据的操作；平安web浏览工作站与Ⅱ区业务系统工作站不得共用。 2调度信息系统各应用系统的平安改造。遵循前面制定的相关原那么，结合各应用系统的实际，我们进行了电力调度通信局和省电力公司的网络改造和系统升级，使用专用的网络隔离设备，对涉及到的应用系统进行了平安隔离，满足了原国家电力公司提出的平安防护要求，这里以ems系统和电力交易系统为例进行相关技术介绍。 2.1ems系统的平安防护技术方案①scada／ems系统的物理边界最多只能有4个。pi1一拨号网络边界。要求通过拨号效劳器（ras）接入ems系统的lan，在ras和lan之间必须安装拨号认证加密装置，拨入端配相应的数字证书（证书由国家电力调度ca统一签发）；假设无条件实现平安防护时，那么不得开通拨号效劳。pi2一传统专用远动通道。目前暂不考虑其平安问题，必要时采取线路加密措施。pi3一scad／ems纵向网络边界。纵向网络边界的平安防护措施主要有：对外通信网关必须通过具备逻辑隔离功能的接入交换机接入；安装ip认证加密装置（位于spdnet的实时vpn与接人交换机之间）。pi4一scad／ems横向网络边界。横向网络边界的平安防护措施有：对内网关必须通过具备逻辑隔离功能的区内交换机接入（假设交换机不具备逻辑隔离功能时，建议部署硬件防火墙）；平安区i与平安区Ⅱ之间必须安装防火墙。②要求在ems的主网及平安区i的边界安装入侵检测系统（ids）的探头。③ems系统必须禁止开通email、web以及其它与业务无关的网络效劳。平安区Ⅱ内可以设立平安的scadaweb效劳，即：定时从sca-da／ems导出数据，且仅允许平安区Ⅱ内的web子网上具有证书的用户浏览；平安区Ⅲ设立的scadaweb效劳供平安区Ⅲ的用户方便浏览。只能接受scada／ems的数据，禁止数据的反写入。④要求在新建的scada／agc功能模块中加人认证加密机制，对已有的scada／agc系统逐步改造加人认证加密机制，以便实现：操作人员基于数字证书的身份认证与加密通信；控制命令的进程认证与加密通信。 2.2电力交易系统的平安防护框架 ①电力交易系统的物理边界最多只能有3个。pi1一纵向网络边界。拨号通信作为市场成员的备用访问方式，要求通过拨号效劳器（ras）接入平安区Ⅱ的接人交换机，接人交换机具备逻辑隔离功能，假设交换机不具备逻辑隔离功能时，必须安装硬件防火墙：在ras和接人交换机之间必须安装拨号认证加密装置，拨人端配相应的数字证书，证书由国家电力调度ca统一签发；假设无条件实现平安防护时，那么禁止开通拨号访问。pi2一纵向网络边界。纵向网络边界的平安防护措施：对外通信网关必须通过具备逻辑隔离功能的接入交换机；必须安装ip认证加密装置（位于spdnet的非实时vpn与接入交换机之间）。pi3一横向网络边界。横向网络边界的平安防护措施是：对内网关必须通过具备逻辑隔离功熊的区内交换机接人（假设交换机不具备逻辑隔离功能时，那么必须安装硬件防火墙），实现同区内不同系统间的逻辑隔离；与平安区i之间必须安装硬件防火墙（经有关部门认定核准），作为平安区i、Ⅱ之间的逻辑隔离。与平安区Ⅲ之间必须安装专用平安隔离装置（正向型和反向型两种），作为平安区Ⅱ、Ⅲ之间的物理隔离。②在电力交易系统的主网及平安区Ⅱ的边界安装入侵检测系统（ids）的探头。③己投运的电力交易系统要求进行平安评估，新建设的电力交易系统必须经过平安评估合格前方可投运；电力交易系统主网内禁止开通email、跨平安区的web以及其它与业务无关的网络效劳。④在新建的系统中配置认证加密机制，对已有的系统逐步配置认证加密机制，实现报价交易系统与远方成员之间的基于数字证书的身份认证与加密通信。报价处理效劳器、信息发布效劳器可以根据各地实际情况布置在平安区Ⅱ或Ⅲ。 布置在平安区Ⅱ。要求报价处理在对外网关效劳器处理，配置认证、加密等机制，电力交易信息发布（非公众）效劳器要求安装在Ⅱ区内的web子网，必须采用平安web效劳器，信息发布采用平安web技术，定时从电力交易系统内网导出数据给平安web效劳器，浏览电力交易信息发布效劳器的用户必须具有证书，而且浏览端设备只能同在平安区Ⅱ，并与平安区Ⅱ的其它业务系统隔离。布置在平安区Ⅲ。要求在平安区Ⅲ配置报价处理代理效劳器，保证报价信息能通过专用平安隔离装置（反向型）平安地传递到平安区Ⅱ的交易系统；电力交易信息发布效劳器安装在平安区Ⅲ，定时从平安区Ⅱ内的电力交易系统通过专用平安隔离装置（正向型）导出数据给web效劳器，浏览电力交易信息发布效劳器的用户必须具有证书，此浏览端设备只能在平安区Ⅲ。 结语：调度信息系统的平安建设是一项复杂和艰巨的系统工程。由于历史的原因，涉及调度生产与管理的系统不仅种类繁多，同时软、硬件条件千差万别。尤其是各个系统对平安性和实时性的要求不尽相同，并且各个系统之间还有数据的交互，所以提高其平安防护水平涉及到的内容相当多。通过本文提出的平安隔离方法，在一定程度上保证了调度信息系统的平安防护要求。：电力平安生产管理标准化的重要内容之一是电力调度平安管理工作。首先要搞好电力平安调度，必须认真提高调度员平安意识和业务素质，加强调度平安生产管理，其次就要学好专业理论知识，遵循电网管理制度，最后要多做反事故演习和事故预想，并要持之以恒，扎扎实实，深入研究等。 第6页 共6页