欢迎您光临电力百科网,您工作和学习的好帮手!  内容标准、版面简洁。
关于我们 联系我们| 会员登录 | 会员注册    l    网站维护登录   
基础知识      电路电工          电力系统            高电压技术       安全事故        电子技术        计算机单片机PLC        网络通信规约              机械传动                 油务化验         企业管理        素质教育       技能大赛
电气设备       电机                  变压器               开关电器           互感器             电容器            避雷器接地           母线绝缘子金具          二次设备    直流         低压电器         仪器仪表         工器具          材料耗材
电力场景      传统发电            风电场               光伏电站         储能电站              变电站        换流站                  架空线路    电缆线路            配电网               电力用户负荷          电力系统自动化             电网调度
电力岗位      设备制造        招标采购监造       勘测设计     施工安装  调试       验收运行检修      状态监测 状态评价     认证认可       质检监理   信用       电能质量      电力营销      节能环保      带电作业     概预决算
核心模块      标准     术语      定律公式             教育培训       人才测评考试         人才招聘交流            电力科普           技术服务            图片视频          3D交互游戏        教学模型          电力情景剧           新闻新技术             
首页 标准宣贯 配电自动化系统安全防护技术导则
电力百科网
配电自动化系统安全防护技术导则
来源: | 作者:供电2401王照鹏 | 发布时间: 2026-01-06 | 563 次浏览 | 🔊 点击朗读正文 ❚❚ | 分享到:

目录

1 范围

2 规范性引用文件

3 术语和定义

5 配电主站安全防护技术要求

6 配电终端安全防护技术要求

7 横向边界安全防护技术要求

8 纵向边界安全防护技术要求

9 安全监测技术要求

 

 

1 范围


本标准规定了配电自动化系统总体安全防护以及配电主站、配电终端、横向边界、纵向边界的安全防护技术及安全监测技术要求。

本标准适用于配电自动化系统的网络信息安全防护,适用于配电自动化系统的建设和改造,在运系统加强边界安全防护和运行管理,在运系统逐步进行安全改造。


2  规范性引用文件


下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 20272  信息安全技术   操作系统安全技术要求 

GB/T 21028  信息安全技术   服务器安全技术要求

GB/T 21050  信息安全技术  网络交换机安全技术要求

GB/T 22239  信息安全技术   信息系统安全等级保护基本要求

GB/T 36572一2018  电力监控系统网络安全防护导则

DL/T 1406-2015 配电自动化技术导则

国家发展和改革委员会 2014 年第 14 号令   电力监控系统安全防护规定


3  术语和定义


下列术语和定义适用于本文件。

3.1  配电自动化 distribution automation

配电自动化以一次网架和设备为基础,综合利用计算机技术、信息及通信等技术,实现对配电网的监测与控制,并通过与相关应用系统的信息集成,实现配电系统的管理。

[DL/T 1406—2015 ,定义 3.1.1 ]

3.2  配电自动化系统 distribution automation system

实现配电网的运行监视和控制的自动化系统,具备配电 SCADA(监视控制与数据采集系统,supervisory control and data acquisition)、馈线自动化、分析应用及与相关应用系统互连等功能,主要由配电主站、配电子站(可选)、配电终端和通信通道等部分组成。

[DL/T 1406——2015 ,定义 3.1.2 ]

3.3  配电自动化系统主站 master station of distribution automation system

主要实现配电网数据采集与监控等基本功能和分析应用等扩展功能,为配网调度和配电生产服务,简称配电主站。

[DL/T 1406—2015 ,定义 3.1.3 ]

3.4  现场运维终端 field operation and maintenance terminal

现场运维终端包括现场运维手持设备和现场配置终端等设备。

DL/T 1936-2018

3.5  生产控制大区 production control zone

由具有数据采集与控制功能、纵向连接使用专用网络或专用通道的电力监控系统构成的安全区域。

[GB/T 36572-2018,定义 3.3 ]

3.6  管理信息大区 management information zone

生产控制大区之外的,主要由企业管理、办公自动化系统及信息网络构成的安全区域。

[GB/T 36572-2018,定义 3.6 ]

3.7  横向隔离 lateral isolation

在不同安全区间禁止通用网络通信服务,仅允许单向数据传输,采用访问控制、签名验证、内容过滤、有效性检查等技术,实现接近或达到物理隔离强度的安全措施。

[GB/T 36572-2018 ,定义 3.7 ]

3.8  纵向认证 vertical authentication

采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护的措施。

[GB/T 36572—2018 ,定义 3.8 ]

3.9  对称密码 symmetric cipher

在加密和解密算法中都是用相同秘密密钥的密码技术。

[GB/T 36572—2018 ,定义 3.11 ]

3.10  身份认证 authentication

专用于确定传输、消息或发信方的有效性的安全措施,或者对接受特定的信息类别的个人授权进行验证的手段。

[GB/T 36572-2018 ,定义 3.13 ]

3.11  安全接入区 security access zone

生产控制大区的业务系统在与其终端的纵向连接中使用无线通信网、电力企业其他数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信时设立的安全防护逻辑区域。

3.12  微型纵向加密认证装置 micro vertical encryption and authentication device

采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护的微型化装置(卡、模块)。


4  总体防护要求


4.1  安全防护架构

配电自动化系统安全防护应遵循国家发展和改革委员会 2014 年第 14 号令《电力监控系统安全防护规定》及配套文件和GB/T 36572一2018 的要求,采用“安全分区、网络专用、横向隔离、纵向认证”的基本防护策略,同时应加强配电自动化系统网络安全监测,及时发现、报告并处理网络攻击或异常行为。

配电自动化系统总体安全防护架构见图 1 。按照配电自动化系统安全防护架构,安全防护分为主站安全防护、配电终端安全防护、横向边界安全防护、纵向通信安全防护和安全监测。

 

4.2  安全分区

配电自动化系统应按照GB/T 36572-2018 中 6.2.2 的规定进行安全分区。实时控制系统、具有实时控制功能的业务模块以及未来有实时控制功能的业务系统应置于生产控制大区。

4.3  网络专用

配电自动化系统生产控制大区的业务应优先采用光纤专网或电力调度数据网进行通信。对于不具备光纤专网或电力调度数据网通信条件的配电终端,可采用无线通信方式,并设置安全接入区,采用经国家有关单位检测认证的电力专用横向单向安全隔离装置,实现与生产控制大区之间的隔离。

4.4  横向隔离

配电自动化系统应按照GB/T 36572一2018 中 6.2.4 的规定进行横向隔离,在生产控制大区与管理信息大区之间进行通信时,应采用经国家有关单位检测认证的电力专用横向单向安全隔离装置进行隔离。

4.5  纵向认证

配电自动化系统在生产控制大区与配电终端的纵向通信中应采用纵向加密认证措施,实现双向身份认证和数据加密。

4.6  安全监测

配电自动化系统应采用网络安全监测技术,对配电自动化系统内的相关主机设备、网络设备、安全防护设备的运行状态、安全事件等信息以及网络流量进行采集和分析,实现配电自动化系统网络安全威胁的实时监测与审计。安全监测记录应保存至少 6 个月。

DL/T 1936—2018


5  配电主站安全防护技术要求


5.1  操作系统和基础软件安全技术要求

配电自动化系统主站应采用经国家有关检测机构安全检测认证的安全操作系统或安全加固的操作系统,安全可靠要求符合GB/T 20272 的要求,配置和安全策略符合GB/T 22239 的要求,并采用严格的访问控制措施。

操作系统和基础软件应遵循最小化安全原则。在确保不影响生产安全的前提下及时升级安全补丁。补丁更新前应进行充分的测试,不应直接通过公网在线更新。

5.2  主站系统软件安全技术要求

配电自动化主站系统软件在部署前应通过国家有关检测机构安全检测认证,宜进行代码安全审计,以防范恶意软件或恶意代码植入。

配电自动化主站系统应采用基于电力调度数字证书的身份认证,以及基于安全标签的访问控制。

5.3  计算机和网络设备安全技术要求

配电自动化系统的计算机和网络设备,应通过国家有关检测机构安全检测认证,防范设备硬件存在恶意组件。

配电自动化系统计算机和网络设备的配置和安全策略应符合GB/T 21028 和GB/T 21050 的规定,并按照GB/T 22239 的要求进行安全加固。


6  配电终端安全防护技术要求


6.1  配电终端物理安全

配电终端应具有防窃、防火、防破坏等物理安全防护措施,应符合GB/T 22239 的要求。

6.2  配电终端操作系统及端口安全

配电终端上线前应经过安全测评,严格设置访问控制策略,对关键操作及访问进行日志记录,不应开启高危或生产中不使用的服务及端口,配置和安全策略应符合GB/T 22239 的要求。

6.3  配电终端加密认证

配电终端应优先采用微型纵向加密认证装置,在配电终端和配电主站之间建立安全通道,并对来源于主站系统的控制命令、远程参数设置指令、远程运维采取安全鉴别和数据完整性验证。

配电终端与主站之间的业务数据应采用经国家有关单位检测认证对称密码算法的加密措施,实现主站和终端间的数据保密性防护。

6.4  配电终端现场运维安全

配电终端现场运维应使用专用的现场运维终端,配电终端应实现对现场运维终端的身份认证,并采用安全的通信措施。


7  横向边界安全防护技术要求


7.1  生产控制大区内与其他系统间安全防护

在生产控制大区内配电自动化主站系统与调度自动化等其他业务系统通信时,应采用具有访问控制功能的防火墙或者相当功能的设施,实现逻辑隔离。防火墙或相当功能的设施应提供访问控制功能,访问控制粒度要达到端口级。

当生产控制大区内配电自动化系统安全防护措施未达到本标准要求时,应采用电力专用横向单向安全隔离装置实现与调度自动化等其他业务系统的安全隔离。

7.2  生产控制大区与管理信息大区安全防护

在配电自动化生产控制大区与管理信息大区之间应部署经国家有关单位检测认证的电力专用横向单向隔离装置。


8  纵向边界安全防护技术要求


8.1  生产控制大区通过光纤专网或电力调度数据网通信的纵向安全防护

配电自动化生产控制大区与光纤专网或电力调度数据网的纵向通信应采用经国家有关单位检测认证的加密算法,实现基于电力调度数字证书的双向认证和数据加密。

8.2  生产控制大区与安全接入区的纵向安全防护

生产控制大区与安全接入区的纵向边界处应部署经国家有关单位检测认证的电力专用横向单向隔离装置。:

8.3  安全接入区的纵向安全防护

配电终端采用无线等通信方式接入配电自动化系统主站时,应设立安全接入区。

安全接入区通过无线网络等纵向通信应采用经国家有关单位检测认证的加密算法,实现基于电力调度数字证书的双向认证和数据加密。


9  安全监测技术要求


9.1  安全监测对象

安全监测对象应包括配电自动化系统主机设备、网络设备、安全防护设备和光纤及无线网络的通信流量。

9.2  安全监测功能

安全监测应能识别配电自动化系统主机设备、网络设备和安全防护设备登录异常和运行状态异常,应支持主机设备、网络设备和安全防护设备安全事件的采集和分析。

安全监测应能识别配电自动化系统数据异常和控制指令异常。

9.3  安全监测告警

安全监测应支持实时告警显示,按照告警的严重程度设置不同的告警级别。

生产控制大区可通过安全邮件等方式报送告警信息。



友情链接

参考文献

标准规程

设计手册

作业指导书

经典教材