工控（电力）行业等保2.0建设（二）

安全分区

安全分区是电力监控系统安全防护体系的结构基础。发电企业、电网企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称妥全区 I ）和非控制区（又称安全区 Ⅱ)。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。

在满足安全防护总体原则的前提下，可以根据业务系统实际情况，简化安全区的设置，但是应当避免形成不同安全区的纵向交叉联接。此外，如果生产控制大区内个别业务系统或其功能模块（或子系统）需使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信，其安全防护水平低于生产控制大区内其他系统时，应设立安全接入区，典型的业务系统或功能模块包括配电网自动化系统的前置采集模块（终端）、负荷控制管理系统、某些分布式电源控制系统等）。220千伏及以上变电站监控系统的生产控制大区应当设置控制区和非控制区；对于110千伏及以下变电站，其监控系统生产控制大区可以不再进行细分，相当于只设置控制区。

不同安全分区的交换机或相当功能的网络设备必须单独使用，严禁通过划分VLAN的方式将不同安全分区的设备接入同一交换机。110kV电压等级及以下接入电网的新能源厂站应配置两套调度数据网络设备（总共含2台路由器和4台交换机）；其他类型110kV电压等级及以下接入电网的厂站宜配置两套调度数据网络设备（总共含2台路由器和4台交换机）。冗余设备应从不同的母线上取电，同套设备的主备电源应从不同母线上取电。

网络专用

电力调度数据网是为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。

电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。当采用EPON.GPON或光以太网络等技术时应当使用独立纤芯或波长。

电力调度数据网应当采用以下安全防护措施：

（1）网络路由防护

按照电力调度管理体系及数据网络技术规范，采用虚拟专网技术，将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网，分别对应控制业务和非控制生产业务，保证实时业务的封闭性和高等级的网络服务质量。

（2）网络边界防护

应当采用严格的接入控制措施，保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网，进行广域网通信。

数据网络与业务系统边界采用必要的访问控制措施，对通信方式与通信业务类型进行控制；在生产控制大区与电力调度数据网的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务，应该通过纵向加密认证装置或加密认证网关接入调度数据网。

（3）网络设备的安全配置

网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。

（4）数据网络安全的分层分区设置

电力调度数据网采用安全分层分区设置的原则。调度数据网由骨干网和接入网组成。地级以上调度中心节点构成调度数据网骨干网（简称骨干网）。各级调度的业务节点及直调厂站节点构成分层接入网，各厂站按照调度关系接入两层接入网。

调度数据网未覆盖到的电力监控系统（如配电网自动化、负荷控制管理、分布式能源接入等）的数据通信优先采用电力专用通信网络，不具备条件的也以可采用公用通信网络（不包括因特网）、无线网络（GPRS、CDMA.230MHz、WLAN等）等通信方式，使用上述通信方式时应当设立安全接入区，并采用安全隔离、访问控制、认证及加密等安全措施。

各层面的数据网络之间应该通过路由限制措施进行安全隔离。当县调或配调内部采用公用通信网时，禁止与调度数据网互联，保证网络故障和安全事件限制在局部区域之内。

企业内部管理信息大区纵向互联采用电力企业数据网或互联网，电力企业数据网为电力企业内联网。

横向隔离

（1）横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区，在①生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。②生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。③安全接入区与生产控制大区相连时，应当采用电力专用横向单向安全隔离装置进行集中互联。

（2）按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。①正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。②反向安全隔离装置用于从管理信息大区到生产控制大区的非网络方式的单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面的要求。

（3）严格禁止 E Mail. WEBS. Te1net、Riogin.. FTP 等安全风险高的通用网络服务和以 B/S 或 C/S 方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输。

纵向认证

纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。

对于没有DCS系统，或不参与AGC、AYC调节的发电厂，其电力调度数据网边界配置的安全防护措施可以根据具体情况进行简化。对于不具备建立调度数据网的小型发电厂可以通过拨号、无线等方式接入相应调度机构的安全接入区，其他发电厂禁止使用远程拨号方式与调度端进行数据通信。