调度数据网

1. 背景

在电力二次系统调度数据网络上部署应用纵向加密认证装置是国家电网公司为了贯彻落实国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》（[2002]第30号令）和国家电力监管委员会第5号令《电力二次系统安全防护规定》等文件精神，确保国家电网的安全稳定运行而开展的，是依据《电力二次系统安全防护总体方案》（电监安全[2006]34号）的要求提出并制定相应计划和方案的。部署纵向加密认证装置是上述规定及方案中，为实现对电力调度数据在广域网传输过程中的真实性、机密性、完整性保护而需要采取的一项重要措施。

1. 目的

电力二次系统网络安全防护的重点是抵御病毒、黑客等通过各种形式对系统发起的恶意破坏和攻击，尤其是抵御集团式攻击，重点保护电力实时闭环监控系统及调度数据网络的安全，防止由此引起电力系统故障。

1. 安全分区

根据电力二次系统的特点，各相关业务系统的重要程度、系统配备、数据流程、目前状况和安全要求，电力二次系统划分为生产控制大区和管理信息大区。

生产控制大区分为控制区（安全区I）和非控制区（安全区II）；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各电力企业具体安全要求划分安全区。电网企业的管理信息大区一般可分为生产管理区（安全区III）和管理信息区（安全区IV）。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。生产控制大区的安全等级高于管理信息大区，其中生产控制大区中的安全区Ⅰ的安全等级最高，安全区II次之，其余依次类推。

广域网络通信方面，生产控制大区采用电力调度数据网络（SPDnet），管理信息大区采用电力企业数据网络（如电网企业的电力数据通信网络SPTnet）及外部公共信息网。

上述工作在全国各级电网二次系统安全防护工程中已基本完成。

1. 网络专用

建立专用电力调度数据网络，与电力企业数据网络实现物理隔离，生产控制大区连接的广域网为电力调度数据网。管理信息大区连接的广域网为电力企业数据网络或外部互联网。电力调度数据网与电力企业数据网之间应该物理隔离，同时在在调度数据网上形成相互逻辑隔离的实时子网和非实时子网，各级安全区在纵向上应在相同安全区进行互连。

安全区I和安全区Ⅱ分别连接电力调度数据网的不同子网。管理信息大区内各业务安全区分别连接电力企业数据网络或外部互联网的不同子网。子网之间应该逻辑隔离，可以通过MPLS-VPN技术、安全隧道技术、PVC技术或路由独立技术等来构造子网。

在此基础上，根据安全区的划分，在各个安全区内，根据具体业务系统的规模，充分考虑以后系统扩充的需要，对系统的IP地址重新进行分配，通过在交换机上划分VLAN等技术手段，将各系统分割在不同的逻辑交换网络上，系统间访问尽可能通过网关机实现，采用三层交换机的路由器时，建议采用访问控制列表等技术手段对同一安全区内各应用系统间的访问进行控制。

上述工作在全国各级电网二次系统安全防护工程中已基本完成。

1. 横向隔离

生产控制大区与管理信息大区之间采用专用安全隔离装置，达到或接近于物理隔离强度。生产控制大区内两个安全区之间的安全隔离应该达到逻辑隔离强度。具体隔离设备的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。生产控制大区的隔离设备必须是经过国家指定部门检测认证的国产设备。

一般在安全大区内部隔离设备选择防护墙产品，安全大区间采用具有物理隔离能力的电力专用网络安全隔离设备，如现在无管理信息大区系统，则暂时不需要部署网络安全隔离设备。

上述工作在全国各级电网二次系统安全防护工程中已基本完成。

1. 纵向认证

生产控制大区连接的广域网为电力调度数据网。管理信息大区连接的广域网为电力企业数据网络或外部互联网。电力调度数据网与电力企业数据网之间应该物理隔离，可通过基于SDH/PDH上的不同通道、不同光波长、不同纤芯等方式进行隔离。

生产控制大区接入调度数据网时，须采用国家指定部门检测认证的电力专用纵向加密认证装置及相应设施，实现网络层双向身份认证、数据加密和访问控制。如暂时不具备条件，可以用硬件防火墙或ACL技术的访问控制代替。管理信息大区应采用硬件防火墙或更高安全强度的设备接入电力企业数据网。

处于外部网络边界的通信网关的操作系统应进行安全加固。根据具体业务的重要程度及信息的敏感程度，对生产控制大区的外部通信网关应该增加加密、认证和过滤的功能。

传统的基于专用通道的通信不涉及网络安全问题，可采用线路加密技术保护关键厂站及关键业务。

采用纵向加密认证装置可实现基于电力调度证书的身份验证、基于隧道技术及电力专用加密算法的数据加密传输。

1.  纵向加密认证装置接入技术方案
   1. 设备接入方式
      1. 方式一：交换机内侧式
      2. 

图4-1 交换机内侧式

如上图所示，将装置部署在PE设备（路由器）和CE设备（交换机）之间。装置管理中心部署在上级调度中心路由器侧。

基本环境描述：网络中未加入装置时，因三层交换机VRRP启用，存在收发报文转发路径不一致的情况。在这种情况下，标准包过滤防火墙置于路由器和交换机之间会丢弃所有报文，因通信网关发出的TCP请求报文和回应报文不能到达同一防火墙，以非法通信丢弃处理。

纵向加密认证装置基于地址借用的原理，和远端两个节点装置同时建立主主隧道解决上述问题，经试验验证可行。同时装置可以支持多VLAN（802.1Q协议），解决了保证多业务通信的需要。

优点：装置使用量较少，便于集中管理。

缺点：与网络设备维护界面不清晰，维护策略较多，故障后影响范围广。

1. 1. 2. 方式二：交换机外侧式
      3. 

图4-2 交换机外侧式

如上图所示，将装置部署在CE设备（交换机）和业务通信网关机之间。装置管理中心部署在路由器和交换机上均可。建议管理中心与数据网网管同置一个网段。

优点：故障后影响局部范围，维护策略较少，保持数据网络的独立性。

缺点：装置使用数量增多，和应用侧通信关联紧密。

1. 1. 3.  方式三：一内一外式
      4. 

图4-3 一内一外式

如上图所示，一侧将装置部署在CE设备（交换机）和业务通信网关机之间。一侧将装置部署在PE设备（路由器）和CE设备（交换机）之间。装置管理中心要部署在上级调度中心路由器侧。

优点：方法灵活，适用各种复杂环境。

缺点：配置复杂，运行维护方法不统一，概念要非常清晰。

1. 2. 现场接入方案
   3.  方案一：一地多网，分网接入

如果本地包括多级数据网，则将本地与上级控制通信的加密隧道和本地与下属各地调、直属厂站间通信的加密隧道分别配置在不同的纵向设备组上。这样，既结构清晰，又便于维护，如果一组设备出现问题时，不影响另一组设备的运行。

1. 1. 方案二：单级数据网，分业务接入

对于单级数据网的核心节点，如网省调，因其直属厂站很多，甚至有些地方多达数百台，建议按照业务划分装置功能，例如EMS业务一个装置，WAMS业务一个装置。并将装置管理中心部署在省调路由器侧，接入省公司及各地调装置，并通过查询隧道配置等功能测试装置管理。

1. 1. 设备现场接入

首先安装本地控制中心的纵向加密认证装置及装置管理中心，与下属各地调正常明通通信后，再开始部署各地调的纵向加密认证装置。

由于装置为密码设备，初始化该装置要保证一定的安全性。鉴于证书签发管理系统目前仅部署到省调一级的实际情况，可以考虑将纵向加密装置集中在省或网公司，初始化工作在省（或网）调一起完成。由操作员统一提交证书请求，由调度证书系统统一录入、审核、签发。

由于省（或网）调对下面各地调的网络拓扑、路由器、交换机、业务系统信息掌握比较全面，建议在省（或网）调对各地调的装置的路由、地址、隧道、策略等信息的配置，然后统一下发装置。

我方技术人员分组到各地调现场安装调试装置：首先，对现有现场业务进行流量测试，在装置接入后再次进行流量测试，确保接入装置后，对现有业务没有影响。

可在各地调部署过程中，先采用明通方式运行一段时间，经确认系统稳定后，通过装置管理中心将相应的策略调整为密通。

 

 

 

 

 

部署位置以及和管理中心的关系

按照“分级管理”要求，纵向加密认证装置部署在各级调度中心及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构。如图：