锻造卓越的文化基因 - 河南约诚自动化设备有限公司.ppt

1、Network Optimization Expert Team深圳市凯思迈科技发展有限公司深圳市凯思迈科技发展有限公司二次安防设备专业团队电力系统二次安全防护技术交流内部资料内部资料注意保密注意保密Network Optimization Expert Team介绍大纲电力系统二次安全防护总体结构介绍 横向隔离部署与实现 纵向加密防护部署与实现Network Optimization Expert Team电力系统二次安全防护总体介绍 电力系统二次安全防护总体结构示意图 电力二次系统安全隐患分析 电力二次系统安全防护相关法规 电力二次系统安全防护的目标和范围 电力二次系统安全防护系统安全分区

2、 “ 十六字原则示意图 ” 横向与纵向防护结构 调度安全防护总体结构示意图 220kV及以上变电站二次系统安全防护示意图 110kV及以下变电站二次系统安全防护示意图 配电二次系统安全防护示意图Network Optimization Expert Team电力系统二次安全防护总体结构示意图上级调度 /控制中心下级调度 /控制中心上级信息中心下级信息中心实时 VPN SPDnet 非 实时 VPNIP认证加密装置安全区 I(实时控制区 )安全区 II(非控制生产区 )安全区 III(生产管理区 )安全区 IV(管理信息区 )外部公共因特网生产 VPN SPTnet 管理 VPN防火墙防火墙IP

3、认证加密装置IP认证加密装置 IP认证加密装置防火墙防火墙安全区 I(实时控制区 )逻辑隔离安全区 II(非控制生产区 )安全区 III(生产管理区 )防火墙 防火墙安全区 IV(管理信息区 )专线逻辑隔离 防火墙 防火墙电话移动用户拨号服务器电话移动用户 拨号服务器正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置远动通信安全网关1234远动通信安全网关PSTN/GSM/GPRS/CDMA/卫星电话等4Network Optimization Expert Team电力二次系统安全隐患分析 一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时

4、，在没有进行有效安全防护的情况下与外网互连。 电力监控系统和数据网络本身缺乏必要的安全防护措施。 存在直接进入设备系统机房，或采用线路搭结手段，进入计算机监控系统的可能性。 存在不安全拨号等后门。 对自动化设备的研发和生产过程缺乏有效的安全管理方法。 管理及运行人员缺乏必要的经验和安全意识。Network Optimization Expert Team电力二次系统安全防护相关法规为了贯彻落实 国家电力监管委员会第 5号令 电力二次系统安全防护规定 （简称 5号令 ）和 原国家经贸委 2002第 30号 令 电网和电厂计算机监控系统及调度数据网络安全防护的规定 （ 简称 30号令 ） ，构建

5、电力二次系统安全防护体系， 保障 电力二次系统的安全，从而保障电力系统的安全稳定运行， 制定电力二次安全防护方案。Network Optimization Expert Team经贸委 30号令1、安全防护的基本原则是：电力系统中，安全等级较高的系统不受安全等级较低系统的影响。2、电力调度数据网络实现物理层面上与公用信息网络的安全隔离。3、各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时 ,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。4、建立健全分级负责的安全防护责任制及相关管理措施。 Network Optimization Expert Team电监会 5号令第二

6、条 电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则 ,保障电力监控系统和电力调度数据网络的安全。第六条 在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。 电力二次系统安全防护规定 Network Optimization Expert Team防护目的和范围目的：电网二次系统安全防护的重点是抵御病毒、黑客等通过各种形式对系统的发起的恶意破坏和攻击，尤其是集团式攻击，重点保护实时闭环监控系统及调度数据网络的安全，从而保障国家重要基础设施 电力系统的安全。范围：调度数据网络电力监控系统调度专用广域数据网络调度专用拨号网络（计量）监控系统本地局域网络电网调度自动化系统变电站自动化系统 发电厂计算机监控系统换流站计算机监控系统 微机保护和安自装置配电网自动化系统水调 /梯级调度自动化系统 电能量计量计费系统电力市场辅助控制系统Network Optimization Expert Team4、纵向认证3、横向隔离电力企业数据网控制区 非 控制区 管理区 信息区电力调度数据网生产控制大区 管理信息大区防火墙2、网络专用1、安全分区1234“十六字原则示意图 ”