生产控制大区
隔离装置
管理信息大区
2.2、纵向加密认证
基本要求
按照《电力系统专用纵向加密认证装置技术规范》的要求设计与研制。 位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，为电力通 信提供安全可靠的服务： 1. 用于生产控制区的广域网边界防护，在为本地提供一个网络屏障同时为上下级 控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完 整性保护。 2. 重点保护电力实时闭环监控系统及调度数据网络的安全，禁止外部非授权用户 的非法进入，防止从网络传输平台引入的攻击和破坏造成的的电力系统事故。
传统远程维护的安全隐患
在电力监控系统中通常是采用Modem实现远程维护功能，这种访问方式存 在非常大的安全隐患，主要如下：
3) 透明工作方式：虚拟主机IP地址、隐藏MAC地址； 4) 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制； 5) 支持NAT； 6) 防止穿透性TCP联接：隔离装置内外两个网卡在装置内部是非网络连接，且只允
许数据单向传输。 7) 具有可定制的应用层解析功能，支持应用层特殊标记识别； 8) 安全、方便的维护管理方式
电力二次系统安全防护介绍
电力二次系统示意图
电网调度
应用服务器
通讯服务器
数据采集和传输
RTU
RTU
RTU
发电
输电
变电
配电
用电
电力二次系统安全隐患分析
一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和 数据网络时，在没有进行有效安全防护的情况下与外网互连。 电力监控系统和数据网络本身缺乏必要的安全防护措施。 存在直接进入设备系统机房，或采用线路搭结手段，进入计算机监控系 统的可能性。 存在不安全拨号等后门。 对自动化设备的研发和生产过程缺乏有效的安全管理方法。 管理及运行人员缺乏必要的经验和安全意识。
“十六字原则示意图”
1
生产控制大区
控制区 非控制区 3
4
电力调度数据网
2
管理信息大区
管理区 信息区
防火墙
电力企业数据网
1、安全分区 2、网络专用 3、横向隔离
4、纵向认证
横向与纵向防护结构
上级调度/控制中心
3 拨号网关
移动用户
PST N
安全区I (实时控制区)
逻
安全区II
辑 隔
(非控制生产区)
离
火
反向
墙
墙
专用
安全
隔离
装置
防火墙
防火墙
外
部
生产VPN SPTnet 管理VPN
公
共
因
特
防火墙
防火墙
网
正向
专用
安全
隔离 装置
安全区III
防
安全区IV
(生产管理区) 火 (管理信息区)
反向
墙
防 火 墙
专用
安全
隔离
装置
下级信息中心
调度安全防护总体结构示意图
220kV及以上变电站二次系统安全防护示意图
配电二次系统安全防护示意图
典型部署
调度自动化系统
SCADA服务器
网关机
接入交换机
纵向加密认证装置
网络层
SPDnet MPLS VPN
纵向加密认证装置
接入交换机
网关机
人机 工作站
调度员 应用层，服务
最终用户
当地认证
传输层+应用层
56所 30所 数据所
电科院 南自院
当地监控服务器
间隔
执行
厂站自动化系统 单元
装置
2.3、远程接入防护
2、相关的安全防护设备
2.1、横向安全隔离
安全隔离原理
安全隔离设备，也称为“网 闸”，其原理是模拟人工的数据 “拷贝”，不建立两个网络的“物 理通路”，所以网闸是把应用的数 据“剥离 ”，摆渡到另外一方后， 再通过正常的通讯方式送到目的地， 因此从安全的角度，网闸摆渡的数 据中格式信息越少越好，当然是没 有任何格式的原始数据就更好了， 因为没有格式信息的文本就没有办 法隐藏其他的非数据的东西，减少 了携带非法信息的可能性。
IP认证加密装置
IP认证加密装置
2
远动通信安全网关 4
专
线
实时VPN SPDnet 非实时VPN
IP认证加密装置
IP认证加密装置
拨号网关
移动用户
PST N
安全区I (实时控制区)
逻 辑 隔
安全区II (非控制生产区)
离
下级调度/控制中心
1
上级信息中心
正向
专用
安全
隔离
装置
安全区III
防
安全区IV
防
(生产管理区) 火 (管理信息区)
双机非网结构
内网分区
安全隔离分区
内网
LAN
CPU 主板1
非网通信
外网分区
CPU 主板2
外网
LAN
两级代理方式
模拟TCP/UDP模块 （连接终止）读取、写入Βιβλιοθήκη 路数据包 防火墙网卡设备驱动
链接… 链接 n 内网 允许发起连接
安全隔离区
模拟TCP/UDP模块 （连接发起）
读取、写入链路数据包 防火墙
网卡设备驱动
电监会技术要求
根据国家电监会5号令《电力二次系统安全防护规定》的要求,安全 隔离设备技术要求如下：
1) 实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内 外两个处理系统不同时连通；
2) 表示层与应用层数据完全单向传输，即从安全区III到安全区I/II的TCP应答禁止携 带应用数据；
电力二次系统安全防护相关法规
为了贯彻落实国家电力监管委员会第5号令《电力二次系统安全防护规定》（简称《5号令》） 和原国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》 （简称《30号令》），构建电力二次系统安全防护体系，保障电力二次系统的安全，从而保障电 力系统的安全稳定运行，制定电力二次安全防护方案。
应用数据
应用程序层
应用程序层
驱动程序层
驱动程序层
硬件物理层
硬件物理层
内网
外网
安全隔离概念
1. 可以阻断网络直接连接，两个网络不同时连接在设备上； 2. 可以阻断网络逻辑连接，即TCP/IP必须被剥离，将原始数据
非网方式传送； 3. 隔离传输机制具有不可编程性； 4. 任何数据都是通过两级代理方式完成； 5. 具备对数据的审查功能，数据不具有攻击及有害的特性； 6. 具有强大的管理与控制功能；
链接… 链接 n 外网 不允许发起连接
典型连接方式
I区 SCADA
I#网 II#网
正向隔离装置1
III区 MIS I#网 II#网
正向隔离装置2
正向隔离装置
• 完全单向通讯方式（UDP）； • 单向数据1Bit返回方式（TCP）；
生产控制大区
隔离装置
管理信息大区
反向隔离装置
• 反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，集 中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、 有效性检查等处理后，转发给生产控制大区内部的接收程序。