剖析电力调度安全监管

剖析电力调度安全监管

ID:13954592

大小:28.50 KB

页数:6页

时间:2018-07-25

剖析电力调度安全监管 _第1页
剖析电力调度安全监管 _第2页
剖析电力调度安全监管 _第3页
剖析电力调度安全监管 _第4页
剖析电力调度安全监管 _第5页
资源描述:

《剖析电力调度安全监管 》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、剖析电力调度安全监管  1整体防护方案。电力调度信息系统的应用业务的整体防护,充分考虑各种应用业务的特点,充分发挥安全隔离装置的作用,从各个层面对应用系统实施全方位的保护。  调度信息系统各应用业务系统安全区的划分  电力调度信息系统所有应用业务必须分置于四个安全区。安全区I:目前已有或将来要上的有控制功能的系统,以及实时性要求很高的系统。目前主要包括实时闭环控制的SCADA/EMS系统、自动发电控铝IJ(AGC)系统和安全自动控制系统,保护设置工作站(具有改定值、远方投退等功能);安全区Ⅱ:没有实时

2、控制业务但需要通过调度专用通信网(SPDnet)进行远方通信的准实时业务系统。目前包括水调自动化系统、调度员培训系统(DTS)、电力交易系统、电能量计量系统(TMR)、考核系统、继保及故录管理系统(不具备改定值、远方投退功能)等;安全区Ⅲ:通过电力调度数据网(SPTnet)进行远方通信的调度生产管理系统。目前包括雷电监测系统、气象信息、日报/早报、调度MIS(DMIS)等;安全区Ⅳ:包括办公自动化(OA)、电子邮件系统和管理信息系统(MIS)等。  调度信息系统安全防护的具体要求  根据电力调度通信局

3、调度信息系统安全防护要求,除了要满足电力系统二次系统安全防护策略以外,还需满足以下具体要求:①安全区I、安全区Ⅱ必须建立一套统一的入侵检测系统(IDS),在安全区I和安全区II的横向及纵向边界各安装1个探头(共4个),两个安全区内原则上不再安装IDS探头;②安全区Ⅲ要求单独建立一套IDS系统,IDS探头安装在网络的关键边界。系统的对内对外通信应该通过网关,建议对内通信网关与对外通信网关分离(对内通信:指本级调度中心内相关系统的通信;对外通信:指同安全区内的系统上下级间的远程通信),网络边界必须明晰;③

4、对安全区I的特定要求:安全区I的EMS上下级外部边界的通信中,网络方式通信均经由电力调度数据网(SPDnet)中的QoS(服务质量)等级最高的实时VPN(虚拟专用网络),传统远动专用通道的通信,重要厂站可以进行线路加密,一般厂站目前暂不考虑安全问题,加紧研究低成本线路安全设施,逐步进行改造;④对安全区Ⅱ的特定要求:安全区Ⅱ允许在本区内开通同一业务系统上下级(即纵向)问的安全Web服务。但只允许本安全区内的系统向安全Web服务器单向传送数据,数据传递由专用隔离装置完成。禁止安全Web服务器向业务系统请求

5、数据的操作;安全Web浏览工作站与Ⅱ区业务系统工作站不得共用。  2调度信息系统各应用系统的安全改造。遵循前面制定的相关原则,结合各应用系统的实际,我们进行了电力调度通信局和省电力公司的网络改造和系统升级,使用专用的网络隔离设备,对涉及到的应用系统进行了安全隔离,满足了原国家电力公司提出的安全防护要求,这里以EMS系统和电力交易系统为例进行相关技术介绍。  系统的安全防护技术方案①SCADA/EMS系统的物理边界最多只能有4个。PI1一拨号网络边界。要求通过拨号服务器(RAS)接入EMS系统的LAN,

6、在RAS和LAN之间必须安装拨号认证加密装置,拨入端配相应的数字证书(证书由国家电力调度CA统一签发);若无条件实现安全防护时,则不得开通拨号服务。PI2一传统专用远动通道。目前暂不考虑其安全问题,必要时采取线路加密措施。PI3一SCAD/EMS纵向网络边界。纵向网络边界的安全防护措施主要有:对外通信网关必须通过具备逻辑隔离功能的接入交换机接入;安装IP认证加密装置(位于SPDnet的实时VPN与接人交换机之间)。PI4一SCAD/EMS横向网络边界。横向网络边界的安全防护措施有:对内网关必须通过具备

7、逻辑隔离功能的区内交换机接入(若交换机不具备逻辑隔离功能时,建议部署硬件防火墙);安全区I与安全区Ⅱ之间必须安装防火墙。②要求在EMS的主网及安全区I的边界安装入侵检测系统(IDs)的探头。③EMS系统必须禁止开通Email、Web以及其它与业务无关的网络服务。安全区Ⅱ内可以设立安全的SCADAWEB服务,即:定时从SCA-DA/EMS导出数据,且仅允许安全区Ⅱ内的Web子网上具有证书的用户浏览;安全区Ⅲ设立的SCADAWeb服务供安全区Ⅲ的用户方便浏览。只能接受SCADA/EMS的数据,禁止数据的反

8、写入。④要求在新建的SCADA/AGC功能模块中加人认证加密机制,对已有的SCADA/AGC系统逐步改造加人认证加密机制,以便实现:操作人员基于数字证书的身份认证与加密通信;控制命令的进程认证与加密通信。  电力交易系统的安全防护框架  ①电力交易系统的物理边界最多只能有3个。PI1一纵向网络边界。拨号通信作为市场成员的备用访问方式,要求通过拨号服务器(RAS)接入安全区Ⅱ的接人交换机,接人交换机具备逻辑隔离功能,若交换机不具备逻辑隔离功能时,必须安装硬

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。