电力系统是由发电、输电、变电、配电、电力设备和相应的辅助系统组成的电力生产、运输、分配和使用的统一整体。由输电、变电、配电设备和相应的辅助系统组成的联系发电和电力统一称为电网。

电力工业是国民经济发展中最重要的基础能源产业，是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用，与社会经济和社会发展有着十分密切的关系，它不仅是关系国家经济安全的战略大问题，而且与人们的日常生活、社会稳定密切相关。随着我国经济的发展，对电力的需求不断扩大，电力销售市场的扩大刺激了整个电力生产的发展。

电力行业是一个技术密集型和资产密集型行业。电力企业的生产管理不同于离散制造业。最根本的原因是，其生产过程不仅包括与离散制造业相同的信息流和物质流，还包括连续的能源流，并伴随着复杂的物理化学反应、物质和能量的转化和传递。因此，电力企业是一个比离散制造业更复杂的工业系统，其中生产过程目标往往无法以独立的数据形式直接控制。与其他行业相比，电力企业具有以下显著特点：

按照工厂网络分离的原则，原国家电力公司的电力资产按发电和电网业务划分。发电资产直接重组或重组为五家规模大致相同的全国性独立发电集团公司，逐步实施招标互联网，展开竞争。中国华能集团、中国大唐集团、中国华电集团、中国国电集团、中国电力投资集团五大发电集团公司。电网环节设立了国家电网公司和中国两大电网公司XX国家电网公司拥有华北、东北、华东、华中、西北五大区域电网公司。此外，还成立了中国电力工程咨询集团、中国水电工程咨询集团、中国水利水电建设集团、中国葛洲坝集团四大辅助集团。

下图是电力行业的总体结构和企业数量分布图。

图1.2 电力行业总体结构及企业组成(2007年)

电力行业IT 系统基础设施包括五个平台、两个系统和一个中心。网络平台、系统支台、系统支持平台、信息集成平台、应用平台和门户平台，其中网络平台、系统支持平台和应用平台是电力企业IT 系统架构所必具的，而门户平台和信息集成平台是信息化程度达到系统整合阶段的电力企业所必须建的平台。为保证平台上主要业务系统的正常运行，还应建立信息安全保障体系和信息标准管理体系两个相应的保障体系。同时，还需要一个贯穿每个平台的不可或缺的中心-数据中心。见下图。

电力网络行为和内容安全主要是指基于行为可信度、有效性、完整性和电力资源管理和控制行为，威胁应属于战略性质，即电力系统威胁不仅要考虑一般信息犯罪问题，还要考虑敌对势力和恐怖组织对电力相关信息、通信和调度的攻击，甚至战争和灾害的威胁。

电力用户的安全主要是使用电力的安全性和有效性。智能电力网络的发展计划不仅是电力领域合理配电的系统，也是节能的重要措施，也是电力用户关注的问题。但智能电力网络的规划和建设必须进行安全建设，以维护电力用户的权益。

鉴于以上分析，我们提出以下建议：

? 在此基础上，全面整合电力信息安全建设，建立电力信息安全自主保障、应急监督监控体系。电力系统应同时考虑建设信息安全独立保障系统，围绕标准控制和电调、通信和信息管理中心、数据安全、环境安全、边界安全、信息集成设施安全、数字证书、灾难、业务行为监督和远程服务安全规划。在规划中，我们应该从电力应用和系统的实际出发，考虑特殊特点，建立公共技术标准，合理结合记者和分散，一套和平时期高效、战争时期可靠的方案，结合电力系统的特点采用代理技术应用。

? 电力调度系统与其他系统和公共网络隔离。办公自动化（OA）系统和管理系统、企业电子商务和外部服务系统等。)尽量不在统一的网络上，或者如果至少需要在一个网络上通过高安全级别（TCSEC的B1级)电力专用防火墙、网关或其它隔离设备应严格按照安全域的概念进行隔离，同时，通过相关产品和管理手段，严格控制主机在调度系统中私自拨号互联网，防止安全隐患的引入。同时，网络信道的安全检测和监控应采用必要的产品和技术手段，以确保关键业务系统的正常运行。同时，应采用必要的产品和技术手段对网络信道进行安全检测和监控，以确保关键业务系统的正常运行。应注意的是，这种隔离技术是基于相互操作

? 电力调度中心、通信中心和信息中心的安全加固建设。通过各种安全产品和技术，实现各电力调度中心信息、计算环境和边界安全的建设和加固。

? 输电网/配电网线路安全加固建设。加强输配电网线路安全保护措施，采取一定的监控手段，确保输配电设备正常运行，输配电线路处于良好状态。积极开展智能电网发展规划和试点工作。

? 安全建设核电站(等关键系统)外包服务。核电站、大型电厂、省电力公司、电力调度中心等关键部门在外包远程配置/测试/诊断/维护服务时，特别是服务外包给国内外供应商时，应严格审查其资质可靠性，在技术服务能力相当的情况下，应优先考虑国内制造商和供应商。培养内部技术人员应考虑特殊关键系统。确定外包服务提供商后，应确保其获得的是完成服务所需的服务少权限。同时应通过相关产品提供的技术途径和管理方面的措施，加强对外包服务工作的操作审计和加强过程监控。

Ø  电力通信系统安全加固建设。电力通信系统为电力调度、内部办公自动化等多各应用系统提供网络平台。为保证各种应用系统的持续稳定运行，电力通信系统需要考虑对信道进行备份，通过微波、电力载波、地面专线、以及电力线含光纤等多种其他线路类型相结合使用，以保证关键业务系统能够不间断运行。如果需要时，则需要考虑通信网络利用GPS系统在特殊情况下不可控制的问题，以及网络定位系统存在漏洞问题。因而关键系统可考虑采用国内专用定位卫星。在整个通信网络层面考虑安全审计、信息源追踪与定位问题以及大规模入侵检测和防护问题，逐渐构成电力行业网络安全的基础设施。对于向一般用户提供接入等服务的网络线路，建议与现有电力调度系统、办公自动化等系统严格隔离，避免对关键业务和内部网络造成影响。

Ø  另外，对于公开对外服务系统安全加固建设、办公自动化和管理系统安全加固建设、安全检测、监控、审计、追踪与定位系统建设和应急规范制定和安全应急培训采取与其他行业类似要求。

电力二次系统主要是指支撑电力调度任务的相关系统，包括电力监控系统、电力通信及数据网络等，其中电力监控是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等；电力调度数据网络，是指各级电力调度专用广域数据网络、电力生产专用拨号网络等；电力二次系统是电力生产的重要环节，其信息网络也是电力行业信息化建设的重要组成。

国家对电力二次系统信息网络的安全防护非常重视，2002年5月中华人民共和国国家经贸委30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（以下简称《规定》），对电力系统安全建设具有重要的指导意义。2006年电监会印发了《电力二次系统安全防护总体方案》，确定了电力二次系统安全防护体系的总体框架，细化了电力二次系统安全防护总体原则，定义了通用和专用的安全防护技术与设备，提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案。这些制度和方案对各省电力公司的安全体系建设起着指导意义。

随着计算机技术、通信技术和网络技术的发展，接入数据网络的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的数据交换也越来越多。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，Internet技术已得到广泛使用，E-mail、Web和PC的应用也日益普及，但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时，对网络安全问题重视不够，使得具有实时控制功能的监控系统，在没有进行有效安全防护的情况下与当地的MIS系统互连，甚至与因特网直接互连，存在严重的安全隐患。除此之外，还存在采用线路搭接等手段对传输的电力控制信息进行窃听或篡改，进而对电力一次设备进行非法破坏性操作的威胁。电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。电力二次系统面临的主要安全风险见表 1。

电力二次系统安全防护工作的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全，总体目标是建立健全电力二次系统安全防护体系，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复绝大部分功能，防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故，保障XX电网安全稳定运行。

电力二次系统安全防护工作的具体目标如下：

l  防病毒、木马等恶意代码的侵害；

l  保护电力监控系统和电力调度数据网络的可用性和连续性；

l  保护重要信息在存储和传输过程中的机密性、完整性；

l  实现应用系统和设备接入电力二次系统的身份认证，防止非法接入和非授权访问；

l  实现电力监控系统和调度数据网安全事件可发现、可跟踪和可审计；

l  实现电力监控系统和调度数据网络的安全管理。

电力二次系统安全防护的基本原则为：

1)       系统性原则（木桶原理）；

2)       简单性和可靠性原则；

3)       实时、连续、安全相统一的原则；

4)       需求、风险、代价相平衡的原则；

5)       实用与先进相结合的原则；

6)       方便与安全相统一的原则；

7)       全面防护、突出重点的原则；

8)       分层分区、强化边界的原则；

9)       整体规划、分步实施的原则；

10)   责任到人，分级管理，联合防护的原则。

根据《电力二次系统安全防护规定》的要求，电力二次系统安全防护总体方案的框架结构如图2.1所示。

图2.1 电力二次系统安全防护总体框架结构示意图

安全分区是电力二次系统安全防护体系的结构基础。发电企业、电网企业和供电企业内部基于计算机和网络技术的应用系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称安全区I）和非控制区（又称安全区Ⅱ）。

在满足安全防护总体原则的前提下，可以根据应用系统实际情况，简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

（1）控制区（安全区Ⅰ）：

控制区中的业务系统或其功能模块（或子系统）的典型特征为：是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。

控制区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据传输实时性为毫秒级或秒级，其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频（或低压）自动减负荷系统、负荷管理系统等，这类系统对数据传输的实时性要求为毫秒 级或秒级，其中负荷管理系统为分钟级。

（2）非控制区（安全区Ⅱ）：

非控制区中的业务系统或其功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或其功能模块联系紧密。

非控制区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等，其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非控制区的数据采集频度是分钟级或小时级，其数据通信使用电力调度数据网的非实时子网。

管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区，但不应影响生产控制大区的安全。

根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系、广域网通信方式以及对电力系统的影响程度等，按以下规则将业务系统或其功能模块置于相应的安全区：

（1）实时控制系统、有实时控制功能的业务模块以及未来有实时控制功能的业务系统应置于控制区。

（2）应当尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时，可将其功能模块分置于相应的安全区中，经过安全区之间的安全隔离设施进行通信。

（3）不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域；但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域。

（4）对不存在外部网络联系的孤立业务系统，其安全分区无特殊要求，但需遵守所在安全区的防护要求。

（5）对小型县调、配调、小型电厂和变电站的二次系统可以根据具体情况不设非控制区，重点防护控制区。

电力二次系统安全区连接的拓扑结构有链式、三角和星形结构三种。链式结构中的控制区具有较高的累积安全强度，但总体层次较多；三角结构各区可直接相连，效率较高，但所用隔离设备较多；星形结构所用设备较少、易于实施，但中心点故障影响范围大。三种模式均能满足电力二次系统安全防护体系的要求，可根据具体情况选用，见图2.2。

图2.2 电力二次系统安全区连接拓扑结构

（1）禁止生产控制大区内部的E-Mail服务，禁止控制区内通用的WEB服务。

（2）允许非控制区内部业务系统采用B/S结构，但仅限于业务系统内部使用。允许提供纵向安全WEB服务，可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。

（3）生产控制大区重要业务（如SCADA/AGC、电力市场交易等）的远程通信必须采用加密认证机制，对已有系统应逐步改造。

（4）生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通。

（5）生产控制大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统，并采取加密、认证和访问控制等安全防护措施。

（6）生产控制大区边界上可以部署入侵检测系统IDS。

（7）生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。

（8）生产控制大区应该统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。

（9）对重要的服务器和通信网关必须进行安全加固；登陆口令的长度必须在8位以上且必须定期更换，在条件具备时，可采用调度数字证书系统实现登陆的强身份验证。

（1）管理信息大区应根据业务系统划分安全区或安全网段（如服务器区域和终端区域），并通过防火墙等控制手段对关键业务系统实施安全防护；

（2）管理信息大区的纵向互联边界应部署防火墙；

（3）管理信息大区与公用数据网互联边界应部署防火墙；

（4）管理信息大区应部署防病毒系统，并配置病毒库定期升级和定期扫描病毒等策略；

（5）管理信息大区应使用企业PKI/CA数字证书系统基础设施，对关键应用实施保护。

横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。

按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。专用横向单向隔离装置 应该满足实时性、可靠性和传输流量等方面的要求。

严格禁止E-Mail、WEB、Telnet、Rlogin、FTP等安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。

控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。

在省级及以上调度中心和大型地市级调度中心，安全区间网络横向边界可部署IDS探头，对边界网络数据报文进行动态检测，以及时发现网络安全事件。

纵向加密认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替。

纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护，同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外，还应实现对电力系统数据通信应用层协议及报文的处理功能。

对处于外部网络边界的其他通信网关，应进行操作系统的安全加固，对于新上的系统应支持加密认证的功能。

重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置；当调度中心侧已配置纵向加密认证装置时，与其相连的小型厂站侧可以不配备该装置，此时至少实现安全过滤功能。

传统的基于专用通道的数据通信不涉及网络安全问题，新建系统可逐步采用加密等技术保护关键厂站及关键业务。

在省级及以上调度中心和大型地市级调度中心，安全区纵向网络边界可部署IDS探头，对边界网络数据报文进行动态检测，以及时发现网络安全事件。

电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。可采用MPLS-VPN技术、安全隧道技术、PVC技术、静态路由等构造子网。电力调度数据网应当采用以下安全防护措施：

（1）网络路由防护

按照电力调度管理体系及数据网络技术规范，采用虚拟专网技术，将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网，分别对应控制业务和非控制生产业务，保证实时业务的封闭性和高等级的网络服务质量。

（2）网络边界防护

应当采用严格的接入控制措施，保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网，进行广域网通信。

数据网络与业务系统边界采用必要的访问控制措施，对通信方式与通信业务类型进行控制；在生产控制大区与电力调度数据网的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务，应该通过纵向加密认证装置或加密认证网关接入调度数据网。

（3）网络设备的安全配置

网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。

（4）数据网络安全的分层分区设置

电力调度数据网采用安全分层分区设置的原则。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网（简称骨干网）。省调、地调和县调及省、地直调厂站节点构成省级调度数据网（简称省网）。

县调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用专用数据网络，不具备专网条件的也可采用公用通信网络（不包括因特网），且必须采取安全防护措施。

各层面的数据网络之间应该通过路由限制措施进行安全隔离。当县调或配调内部采用公用通信网时，禁止与调度数据网互联。保证网络故障和安全事件限制在局部区域之内。

生产控制大区应当具备安全审计功能，可对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。

电力企业应当定期对关键业务的数据与系统进行备份，建立历史归档数据的异地存放制度。关键主机设备、网络设备或关键部件应当进行相应的冗余配置。控制区的业务应采用热备份方式。省级以上调度中心的电力监控系统应当逐步实现系统级容灾功能。

电力调度数字证书系统是基于公钥技术的分布式的数字证书系统，主要用于生产控制大区，为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备提供数字证书服务，实现高强度的身份认证、安全的数据传输以及可靠的行为审计。

电力调度数字证书分为人员证书、程序证书、设备证书三类。人员证书指用户在访问系统、进行操作时对其身份进行认证所需要持有的证书；程序证书指关键应用的模块、进程、服务器程序运行时需要持有的证书；设备证书指网络设备、服务器主机等，在接入本地网络系统与其它实体通信过程中需要持有的证书。

电力调度数字证书系统的建设运行应当符合如下要求：

（1）统一规划数字证书的信任体系，各级电力调度数字证书系统用于颁发本调度中心及调度对象相关人员和设备证书。上下级电力调度数字证书系统通过信任链构成认证体系；

（2）采用统一的数字证书格式和加密算法；

（3）提供规范的应用接口，支持相关应用系统和安全专用设备嵌入电力调度数字证书服务；

（4）电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络，独立运行。

电力调度数字证书系统按照电力调度管理体系进行配置，省级以上调度中心和有实际业务需要的地区调度中心应该建立电力调度数字证书系统。

应当利用数字证书技术提高系统安全强度，新建设的电力监控系统应当支持电力调度数字证书的应用，现有应用系统的外部通信接口部分应当逐步进行相应的改造。

国家电力监管委员会负责电力二次系统安全防护的监管，组织制定电力二次系统安全防护技术规范并监督实施。电力企业应当按照“谁主管谁负责，谁运营谁负责”的原则，建立电力二次系统安全管理制度，将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系，各电力企业负责所辖范围内计算机及数据网络的安全管理。各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员。

电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的二次系统安全防护的技术监督。发电厂内涉及到电力调度的生产控制系统和装置，如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置等，由电力调度机构和发电厂的上级主管单位共同实施技术监督，发电厂内其它二次系统安全防护可由其上级主管单位实施技术监督。

电力企业应当明确由主管安全生产的领导作为电力二次系统安全防护的主要责任人，并指定专人负责管理本单位所辖电力二次系统的公共安全设施，明确各业务系统专责人的安全管理责任。

电力调度机构应指定专人负责管理本级调度数字证书系统。

电力二次系统相关设备及系统的开发单位、供应商应以合同条款或协议的方式保证所提供的设备及系统符合《电力二次系统安全防护规定》和本方案的要求，并在设备及系统的生命期内对此负责。

电力二次系统专用安全产品的开发单位、使用单位及供应商，应当按国家有关要求做好保密工作，禁止安全防护关键技术和设备的扩散。

电力企业各单位的电力二次系统安全防护实施方案必须严格遵守国家电监会5号令、原国家经贸委30号令以及本方案的有关规定，并经过上级信息安全主管部门和相应电力调度机构的审核，方案实施完成后应当由上述机构共同组织验收。

接入电力调度数据网络的节点、设备和应用系统，其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准。

生产控制大区的各业务系统禁止以各种方式与互联网连接；限制开通拨号功能；关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等，确需保留的必须通过安全管理措施实施严格监控。

接入电力二次系统生产控制大区中的安全产品，应当获得国家指定机构安全检测证明，用于厂站的设备还需有电力系统电磁兼容检测证明。

日常安全管理制度包括：门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。

建立健全电力二次系统安全的联合防护和应急机制。由电监会负责对电力二次系统安全防护的监管，电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。各电力企业的电力二次系统必须制定应急处理预案并经过预演或模拟验证。

当电力生产控制大区出现安全事件，尤其是遭到黑客、恶意代码攻击和其他人为破坏时，应当立即向其上级电力调度机构报告，同时按应急处理预案采取安全应急措施。相应电力调度机构应当立即组织采取紧急联合防护措施，以防止事件扩大。同时注意保护现场，以便进行调查取证和分析。事件发生单位及相应调度机构应当及时将事件情况向相关电力监管部门和信息安全主管部门报告。

应当依据本方案的要求对电力二次系统的总体安全防护水平进行安全评估。

应当建立二次系统安全评估制度，采取以自评估为主、联合评估为辅的方式，将安全评估纳入电力系统安全评价体系。应当掌握基本的自评估技术和方法，配备必要的评估工具。

电力二次系统在投运之前、升级改造之后必须进行安全评估；已投入运行的系统应该定期进行安全评估，对于电力监控系统应该每年进行一次安全评估。评估方案及结果应及时向上级主管部门汇报、备案。

参与评估的机构及人员必须稳定、可靠、可控，并与被评估单位签署长期保密协议。对生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式携带出被评估单位，按国家有关要求做好保密工作。

电力二次系统安全评估应严格控制实施风险，确保评估工作不影响电力二次系统的安全稳定运行。评估前制定相应的应急预案，实施过程应符合电力二次系统的相关管理规定。

调度中心电力二次系统安全防护目标是抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击，能够抵御集团式攻击，防止调度中心电力二次系统的瘫痪，并由此导致电力系统事故，特别是大面积停电事故。调度中心电力二次系统安全防护的重点是确保电网调度自动化系统及调度数据网络的安全。

本方案适用于省级以上电力调度中心，大型地（市）电力调度中心可参照执行。

省级以上调度中心二次系统主要包括能量管理系统、广域相量测量系统、电网动态监控系统、继电保护和故障录波信息管理系统、电能量计量系统、电力市场运营系统、调度员培训模拟系统、水库调度自动化系统、调度生产管理系统、雷电监测系统和电力调度数据网络等，根据安全分区原则，结合调度中心应用系统和功能模块的特点，将各功能模块分别置于控制区、非控制区和管理信息大区，详见表1。

表1 省级以上调度中心电力二次系统安全分区表

根据总体方案要求，结合调度中心二次系统的安全分区和安全区域边界条件，确定调度中心二次系统安全防护的总体逻辑结构如图1。

图1 调度中心二次系统安全防护总体逻辑结构示意图

调度中心的安全区域之间可以采用链式、三角或星形结构，此处仅以链式结构示意。

各安全区均分别配置了前端交换机和后端交换机，总体结构清晰，是调度中心二次系统安全防护的典型模式；也可根据具体情况，合并前端交换机和后端交换机，便于区内各业务系统或功能模块之间的数据交换。

调度中心安全防护的基本措施是结构调整，结构调整的重点是生产控制大区中业务系统原有WEB功能和数据的外移。可根据具体情况在管理信息大区或非控制区中配置综合数据平台或数据交换平台，平台规模以实用为宜。

调度中心应当具有病毒防护、入侵检测、安全审计和安全管理平台等安全防护手段，提高电力二次系统整体安全防护能力。生产控制大区的安全管理平台不应当与管理信息大区的安全管理平台互联。

调度中心应用IEC61970国际标准时，应依据本方案的原则，将IEC61970规定的功能模块适当的置于各安全区中，从而实现国际标准与我国电力二次系统安全防护的有机结合。省级以上调度中心应该建立电力调度数字证书系统,负责所辖调度范围及下级调度机构的电力调度数字证书的颁发、维护和管理。能量管理系统和电力市场运营系统应当逐步采用数字证书技术实现加密认证机制。

本章仅对省级以上调度中心的主要业务系统的安全防护进行描述，不再重复《电力二次系统安全防护总体方案》已规定的公共防护措施部分。 

能量管理系统（EMS）实现对实时运行的电力系统进行数据采集、监视、控制和安全分析的功能，是调度中心的核心系统；其中SCADA、AGC和安全分析功能模块置于控制区，调度员培训模拟（DTS）功能模块置于非控制区，WEB浏览功能模块置于管理信息大区。系统逻辑结构如图2。

图2 EMS系统的逻辑结构示意图

系统逻辑结构图中所指的逻辑接口（I1-I6）的描述见表2。

表2 EMS系统的逻辑接口

根据能量管理系统的特点和电力二次系统安全防护总体方案的要求，其物理边界及安全部署如图3。

图3 EMS系统的物理边界及安全部署示意图

EMS系统的物理边界为：拨号网络边界（PI1）、传统专用远动通道（PI2）、纵向网络边界（PI3）、横向网络边界（PI4）。这四个边界的安全防护措施按照总体方案实施，并要求新建能量管理系统的控制功能模块应当支持认证加密机制，对已有系统应当逐步进行改造。

电力市场运营系统是电力调度（交易）中心的核心业务系统之一，主要包括市场交易、报价处理、合同管理、交易结算等功能模块，是电力市场技术支持系统的重要组成部分。该系统横跨三个安全区域，其主体部分位于非控制区，实时电力市场中的在线控制功能应当位于控制区，对社会发布市场信息的功能模块应当位于管理信息大区。系统逻辑结构如图4。

图4 电力市场运营系统的逻辑结构示意图

系统逻辑结构图中所指的逻辑接口（I1-I8）的描述见表3

表3 电力市场运营系统的逻辑接口