详细说明

▲HT-2011电力二次安防系统

    电力二次系统安全防护解决方案
    电力二次系统是指各级电力监控系统和调度数据网络以及各级电网管理信息系统、电厂管理信息系统、电力通信系统及电力数据通信网络等构成的超级复杂的巨大系统。

   二次系统安全防护的总体十六字原则：安全分区、网络专用、横向隔离、纵向认证。

   （1） 安全分区 
    根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称安全区I)和非控制区（又称安全区II）。

    （2） 网络专用 
    电力调度数据网是为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离 强度相匹配。在专用通道上建立调度专用数据网络，实现与其他数据网络物理隔离。并通过采用MPLS-VPN 或 IPsec-VPN 在专网上形成多个相互逻辑隔离的VPN，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。 

    （3）横向隔离
    横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全隔离设备使各安全区中的 业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。

    （4）纵向认证 
    纵向加密认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站 在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。