班组大讲堂_海阳-配电自动化系统安全防护体系.ppt

四、配电自动化系统安全防护现状 国家电监会5号令《电力二次系统安全防护规定》中说明了基本原则： 安全分区 网络专用 横向隔离 纵向认证 配电自动化系统安全防护体系 配电自动化系统安全防护体系 安全分区： 根据安全级别分为3个区，分别为接入区、安全区I和安全区III。 接入区：配电终端、公网路由器、公网服务器等。 安全区I：变电站远动装置、主站前置服务器、SCADA服务器、维护工作站等。 安全区III：主站WEB服务器、接口服务器。 配电自动化系统安全防护体系 配电自动化系统安全防护体系 配电自动化系统安全防护体系 一、乌克兰电网大面积停电事故 事故描述：2015年12月23日，乌克兰电力 系统遭到网络攻击，部分变电站的控制系 统遭到破坏，造成大面积停电，电力中断 3-6小时，约140万人受到影响。该起事故是首例由于网络攻击造成的大规模停电事故。 配电自动化系统安全防护体系 攻击方式：黑客通过欺骗配电公司员工信任、植入木马、后门连接等方式绕过认证机制，对三处变电站SCADA系统发起网络攻击。 配电自动化系统安全防护体系 二、二次安全防护重要意义 避免调度自动化系统遭受黑客、恶意代码攻击而引起电力系统故障。 保障调度自动化系统厂站端、主站端及数据网安全运行。 配电自动化系统安全防护体系 三、安全防护的主要设备 横向隔离装置 纵向认证装置 配电自动化系统安全防护体系 横向隔离装置： 安全I区、安全III区之间没有连接时，在物理上完全分离。 配电自动化系统安全防护体系 当I区需要向III区传输数据时，I区服务器发起对隔离装置的非TCP/IP协议的数据连接，隔离装置剥离所有协议，将原有数据写入存储介质。 配电自动化系统安全防护体系 一旦数据完全写入存储设备，隔离装置立即中断与I区的连接，发起对III区的非TCP/IP连接，将存储设备内的数据推向安全III区。 配电自动化系统安全防护体系 III区收到原始数据后，进行TCP/IP封装和应用协议封装，交给应用系统。 配电自动化系统安全防护体系 纵向加密认证装置 ： 在同一安全区内，主站端和厂站端同时部署加密认证装置，采用电力专用加密算法，厂站端报文经加密认证装置后由明文变为密文，在数据网上传输，在主站端对密文进行解密处理得到明文，将明文交给应用系统处理。 配电自动化系统安全防护体系 加密过程举例： 加密：字符ASCII码=加密前字符ASCII码+5 解密：字符ASCII码=解密前字符ASCII码-5