電力二次系統(tǒng)安全防護總體方案是依據電監(jiān)會5號令以及電監(jiān)會[2006]34號文的規(guī)定并根據電網二次系統(tǒng)系統(tǒng)的具體情況制定的，目的是規(guī)范和統(tǒng)一電網和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據網絡安全防護的規(guī)劃、實施和監(jiān)管，以防范對電網和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據網絡的攻擊侵害及由此引起的電力系統(tǒng)事故，保障電力系統(tǒng)的安全、穩(wěn)定、經濟運行。

電力二次系統(tǒng)是指各級電力監(jiān)控系統(tǒng)和調度數(shù)據網絡（SPDnet）以及各級調度管理信息系統(tǒng)(OMS)和電力數(shù)據通信網絡（SPInet）構成的大系統(tǒng)。本方案確定電力二次系統(tǒng)的安全區(qū)的劃分原則，確定各安全區(qū)之間在橫向及縱向上的防護原則，提出電力二次系統(tǒng)安全防護的總體方案，嚴格執(zhí)行“安全分區(qū)、網絡專用、橫向隔離、縱向認證”的規(guī)定，并指導各有關單位具體實施。

1)??????? 安全分區(qū)。分區(qū)防護、突出重點。根據系統(tǒng)中的業(yè)務的重要性和對一次系統(tǒng)的影響程度進行分區(qū)，重點保護生產控制以及直接生產電力生產的系統(tǒng)。

2)??????? 網絡專用。電力調度數(shù)據網 SPDnet與電力數(shù)據通信網SPInet實現(xiàn)安全隔離，并通過采用MPLS-VPN或IPSEC－VPN在SPDnet和SPInet分別形成多個相互邏輯隔離的VPN實現(xiàn)多層次的保護。

3)???????? 橫向隔離。在不同安全區(qū)之間采用邏輯隔離裝置或物理隔離裝置使核心系統(tǒng)得到有效保護。

4)??????? 縱向認證、防護。安全區(qū)Ⅰ、Ⅱ的縱向邊界部署IP認證加密裝置；安全區(qū)Ⅲ、Ⅳ的縱向邊界必須部署硬件防火墻，目前在認證加密裝置尚未完善情況下，使用國產硬件防火墻進行防護。

整體安全防護隔離情況如下圖所示：

1、安全區(qū)的劃分

根據電力二次系統(tǒng)的特點、目前狀況和安全要求，整個二次系統(tǒng)分為四個安全工作區(qū)：第一區(qū)為實時控制區(qū)，第二區(qū)為非控制業(yè)務區(qū)，第三區(qū)為生產管理區(qū)，第四區(qū)為管理信息區(qū)。

1．1、安全區(qū)Ⅰ是實時控制區(qū)，安全保護的核心。

凡是具有實時監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均應屬于安全區(qū)Ⅰ。如各級調度的SCADA（AGC/AVC）系統(tǒng)、EMS系統(tǒng)、WAMS系統(tǒng)、配網自動化系統(tǒng)（含實時控制功能）以及電廠實時監(jiān)控系統(tǒng)等，其面向的使用者為調度員和運行操作人員，數(shù)據實時性為秒級，外部邊界的通信均經由SPDnet的實時VPN。

1．2、安全區(qū)Ⅱ是非控制業(yè)務區(qū)

不直接進行控制但和電力生產控制有很大關系，短時間中斷就會影響電力生產的系統(tǒng)均屬于安全區(qū)Ⅱ。屬于安全區(qū)Ⅱ的典型系統(tǒng)包括PAS、水調自動化系統(tǒng)、電能量計費系統(tǒng)、發(fā)電側電力市場交易系統(tǒng)、電力模擬市場、功角實時監(jiān)測系統(tǒng)等。其面向的使用者為運行方式、運行計劃工作人員及發(fā)電側電力市場交易員等。數(shù)據的實時性是分級、小時級、日、月甚至年。該區(qū)的外部通信邊界為SPDnet的非實時VPN。

1．3、安全區(qū)Ⅲ是生產管理區(qū)

該區(qū)的系統(tǒng)為進行生產管理的系統(tǒng)，典型的系統(tǒng)為DMIS系統(tǒng)、DTS系統(tǒng)、雷電監(jiān)測系統(tǒng)、氣象信息以及電廠生產管理信息系統(tǒng)等。該區(qū)中公共數(shù)據庫內的數(shù)據可提供運行管理人員進行web瀏覽。該區(qū)的外部通信邊界為電力數(shù)據通信網SPInet

1．4、安全區(qū)IV是辦公管理系統(tǒng)

包括辦公自動化系統(tǒng)或辦公管理信息系統(tǒng)。該區(qū)的外部通信邊界為SPInet或因特網。

2、網絡專用

2.1 調度數(shù)據網。

調度數(shù)據網必須建立在IP+SDH的基礎上，嚴格執(zhí)行MPLS VPN的劃分。通過MPLS VPN劃分將調度數(shù)據網分成VPN1和VPN2。因此在縱向上安全區(qū)I的數(shù)據傳輸和交換通過VPN1來完成，安全區(qū)II的數(shù)據傳輸和交換通過VPN2來完成。

2.2 安全區(qū)III網絡（調度生產管理信息OMS網絡）

?? 安全區(qū)III網絡（調度生產管理信息OMS網絡）主要是在縱向上各級調度部門傳輸調度生產管理信息，屬于管理信息大區(qū)，它與安全區(qū)IV網絡之間主要通過防火墻隔離。

3、安全區(qū)之間的橫向隔離及縱向防護

在各安全區(qū)之間均需選擇適當安全強度的隔離裝置。具體隔離裝置的選擇不僅需要考慮網絡安全的要求，還需要考慮帶寬及實時性的要求。安全區(qū)之間隔離裝置必須是國產并經過國家或電力系統(tǒng)有關部門認證。

3．1安全區(qū)Ⅰ與安全區(qū)Ⅱ之間的隔離要求：

l?????? 采用硬件防火墻可使安全區(qū)之間邏輯隔離。禁止跨越安全區(qū)Ⅰ與安全區(qū)Ⅱ的E-MAIL、WEB、telnet、rlogin。

3．2安全區(qū)Ⅰ/Ⅱ與安全區(qū)Ⅲ/Ⅳ之間的隔離要求：

l?????? 采用物理隔離裝置可使安全區(qū)之間物理隔離。禁止跨越安全區(qū)Ⅰ/Ⅱ與安全區(qū)Ⅲ/Ⅳ的非數(shù)據應用穿透

物理隔離裝置的安全防護強度適應由安全區(qū)Ⅰ/Ⅱ向安全區(qū)Ⅲ/Ⅳ的單向數(shù)據傳輸。由安全區(qū)Ⅲ/Ⅳ向安全區(qū)Ⅰ/Ⅱ的單向數(shù)據傳輸必須經安全數(shù)據過濾網關串接物理隔離裝置。

3．3同一安全區(qū)間縱向防護與隔離

l?????? 同一安全區(qū)間縱向聯(lián)絡使用VPN網絡進行連接

l?????? 安全區(qū)Ⅰ/Ⅱ分別使用SPDnet的實時VPN1與非實時VPN2

l?????? 安全區(qū)Ⅲ/Ⅳ分別使用SPInet的VPN

從某種意義上說，防止病毒對網絡的危害關系到整個系統(tǒng)的安全。防病毒軟件要求覆蓋所有服務器及客戶端。對關鍵服務器實時查毒，對于客戶端定期進行查毒，制定查毒策略，并備有查殺記錄。病毒防護是調度系統(tǒng)與網絡必須的安全措施。病毒的防護應該覆蓋所有安全區(qū)I、II、III的主機與工作站。特別在安全區(qū)I、II要建立獨立的防病毒中心，病毒特征碼要求必須以離線的方式及時更新。安全區(qū)III的防病毒中心原則上可以和安全區(qū)IV的防病毒中心共用。