电力监控系统安全防护-1.ppt

主要内容 生产控制大区 管理信息大区 控制区（安全I区） 非控制区（安全II区） 电力监控系统安全区 主要内容 主要内容 风电场监控系统 无功电压控制AVC 有功功率控制AGC 同步向量测量PMU 升压站监控系统 风功率预试系统 电能量采集装置 故障录波装置 天气预报系统 检修管理系统OMS 测风塔系统 控制区（安全I区） 管理信息大区 主要内容 控制区（安全I区）：是电力生产的重要环节、安全防护的重点与核心；直接实现对一次系统运行的实时监控；纵向使用电力调度数据网络或专用通道。 非控制区（安全II区）：所实现的功能为电力生产的必要环节；在线运行，但不具备控制功能；使用电力调度数据网络，与控制区中的系统或功能模块联系紧密。 管理信息大区：管理信息大区是指生产控制大区以外的电力企业管理信息系统的集合。典型业务系统包括调度管理系统、行政电话网管系统、综合数据网等。电力企业可根据具体情况划分安全区，但不能影响生产控制大区的安全。 电力监控系统安全防护 技术措施 国华河北分公司 电力监控系统安全防护 电力监控系统安全防护 背景原则 震网病毒事件：2010 年11月 Stuxnet蠕虫（震网病毒）攻击伊朗核电厂，该病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，造成伊朗布什尔核电站推迟发电。震网病毒将工业控制系统信息安全推到了风口浪尖。 安全功能 安全管理 安全检测 安全恢复 安全策略 安全维护 安全预防 安全治理 背景原则 “看不懂” “改不了” “走不脱” 电力监控系统主要内容 主要内容 主要内容 安全分区： 按照《电力监控系统安全防护规定》，将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区I）及非控制区（安全区II），重点保护生产控制以及直接影响电力生产（机组运行）的系统。 主要内容 网络专用： 电力调度数据网是与生产控制大区相连接的专用网络，承载电力实时控制、在线生产交易等业务。发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。 主要内容 横向隔离： 横向隔离是电力监控系统安全防护体系的横向防线。应采用不同强度的安全设备隔离个安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或相当功能的设施。 纵向认证： 纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。