水电厂二次防护措施

浅谈水电厂二次防护措施

摘要本文浅谈水电厂二次防护的基本要求及本公司的实际工

程实情况。本工程目的是确保实时监控系统（scada）及各应用系统的安全，各应用系统之间能进行数据交换，保证关键业务数据能上报到相关的管理机构。本公司安全分区是，安全区i：实时控制区发电厂自动监控系统、继电保护系统，还包括与中调调度、水调系统、电能系统、oa系统的边界设备；安全区ii：非控制生产区水调自动化系统及故障录波信息管理系统、电能量计量系统；安全区iii：生产管理区大坝观测系统、运行管理终端、生产管理实时系统；安全区iv：管理信息区管理信息系统（mis）、办公自动化系统（oa）、财务系统、人力资源管理系统（e-hr）、可靠性管理系统。防护措施是通过正向隔离装置和防火墙，按照电监会有关文件的要求，实施各系统互联。最终实现的功能是各应用系统能取得所需数据，各系统能安全运行，业务数据能上报到上级单位或专业管理机构。

关键词水电厂；网络安全；案例分析

中图分类号tm6 文献标识码a 文章编号 1674-6708（2011）41-0025-02

为了认真贯彻落实《电力二次系统安全防护规定》等有关文件的精神，根据我公司信息系统当前的实际情况并结合《全国电力二次系统安全防护总体方案》，制定了我公司的二次系统防护措施。

1 安全防护目标

本公司二次系统安全防护的重点是确保实时监控系统（scada）及调度数据网络（与中心调度所直联）的安全，目标是抵御黑客、病毒、恶意代码等对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，不会因我公司的原因而导致二次系统的崩溃或瘫痪。

保证关键业务数据能上报到相关的管理机构。

2 防护策略

2.1总体策略

1）分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分区，重点保护实时监控系统以及生产业务系统；2）所有系统都必须置于相应的安全区内，纳入统一的安全防护方案；3）系统的安全区间隔离。安全区ⅰ与安全区ⅱ之间采用逻辑隔离；安全区ⅰ、ⅱ与安全区ⅲ、ⅳ之间隔离水平必须接近物理隔离；4）网络隔离。本公司没有使用电力数据通信网sptnet，租用专业通讯公司的2m线路；5）纵向防护。安全区ⅰ、ⅱ的纵向边界部署了ip认证加密装置；安全区ⅲ、ⅳ的纵向边界应该部署硬件防火墙。

2.2二次系统参考逻辑结构

根据《电力二次系统安全防护规定》，本公司的二次系统防护逻辑结构如下图1所示。

2.3安全区之间的隔离要求

在各安全区之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置选择经过国家电力系统有关部门认证的国产设备。

2.3.1安全区i安全区ii之间的部署

安全区i与安全区ii的业务系统均与电力生产关系密切的系统，数据交换较多，关系比较密切，可以作为一个逻辑大区，生产控制区。i、ii区之间部署相应的逻辑隔离装置（硬件防火墙），禁止e-mail、web、telnet、rlogin等服务穿越隔离设备。

二次系统防护逻辑结构示意图

2.3.2安全区iii与安全区iv之间的部署

安全区iii与安全区iv的业务系统都属管理信息系统，采用专用的通信网络，作为另一个逻辑大区，生产管理信息区。iii、iv 区之间部署硬件防火墙。

2.3.3安全区i、ii与安全区iii、iv之间的部署

安全区i、ii不得与安全区iv直接联系；安全区i、ii与安全区iii之间采用国家电网认定核准的专用正向型安全隔离装置。从安全区i、ii往安全区iii传动数据采用正向安全隔离装置单向传输，由安全区iii不往安全区ii传输数据。禁止e-mail、web、telnet、rlogin等网络服务和数据库访问功能穿越专用安全隔离装置，仅允许纯数据的单项安全传输。

2.4装置介绍

（正向）隔离装置用于安全区i/ii到安全区iii的单向数据传递。需要1台正向装置进行隔离防护。按照安全防护方案的要求，“严格禁止e-mail、web、telnet、rlogin等网络服务和数据库访问功能穿越专用安全隔离装置”；以上规定明显要求不能在安全区iii内对安全区ii内的web服务器进行访问。

在安全区i到安全区ii的数据传递可以采用防火墙，在安全区ⅰ与安全区ⅱ必须部署经有关部门认定核准的硬件防火墙。实现两个区域的逻辑隔离、报文过滤、访问控制等功能。防火墙安全策略主要是对ip地址、协议、应用端口号、以及方向的报文过滤，禁止安全区ⅰ和安全区ⅱ内部的e-mail 服务，禁止安全区ⅰ内部和纵向的web服务。禁止跨安全区的e-mail 、web服务。

3 实施方案

3.1安全区的划分

根据相关文件的划分方法，针对我公司的实际情况，我公司整个二次系统分为4个安全区，每个安全区如下：

1）安全区i：实时控制区发电厂自动监控系统、继电保护系统，还包括与中调调度、水调系统、电能系统、oa系统的边界设备；

2）安全区ii：非控制生产区水调自动化系统及故障录波信息管理系统、电能量计量系统；

3）安全区iii：生产管理区大坝观测系统、运行管理终端、生

产管理实时系统；

4）安全区iv：管理信息区管理信息系统（mis）、办公自动化系统（oa）、财务系统、人力资源管理系统（e-hr）、可靠性管理系统。

3.2网络拓朴结构

经过加装隔离装置、防火墙后，广东粤电新丰江发电有限责任公司二次系统的网络拓扑结构如图2：

4 工程效果、功能实现

通过通过工程项目的实施，实现如下一些功能：

1）财会lan与公司的oa网络有隔离措施，又保证此lan能正常与oa网、internet、集团公司网络进行通讯；

2）电能电量系统能把数据送到水情系统、mis（oa）系统、集团公司；

3）既能保证scada系统的安全又能把其数据隔离器、防火墙送到ⅳ区的mis系统、oa系统以作查询和分析；

4）实现了scada系统与水情系统的数据交换；

5）水情数据能送达ⅳ区网络以供查询；

6）大坝数据能通过ⅳ区网络向大坝管理中心报送。

总的来说，实现两个方面的数据通讯，一是把业务数据送到本地ⅳ区网络，再专用通讯通道送到通过集团公司、电监会或其它专业管理机构；另一方面是公司内部各种应用系统之间的数据交换。

5 结论