電力二次系統安全防護的總體原則是“安全分區、網絡專用、橫向隔離、縱向認證”。

2 安全防護方案

2.1 安全分區

原則上劃分為生產控制大區和管理信息大區。生產控制大區可以分為控制區(又稱安全區Ⅰ)和非控制區(又稱安全區Ⅱ)。

2.1.1 生產控制大區的安全區劃分

(1)控制區(安全區Ⅰ)

控制區中的業務系統或功能模塊(或子系統)的典型特征為;是電力生產的重要環節，直接實現對電力一次系統的實時監控，縱向使用電力調度數據網絡或專用通道，是安全防護的重點與核心。

控制區的典型業務系統包括電力數據采集和監控系統、能量管理系統、廣域相量測量系統、配電網自動化系統、變電站自動化系統、發電廠自動控制系統等，其主要使用者為調度員和運行操作人員，數據傳輸實時性為毫秒級或秒級，其數據通信使用電力調度數據網的實時子網或專用通道進行傳輸。該區內還包括采用專用通道的控制系統，如：繼電保護、安全自動控制系統、低頻(或低壓)自動減負荷系統、負荷管理系統等，這類系統對數據傳輸的實時性要求為毫秒級或秒級，其中負荷管理系統為分鐘級。

(2)非控制區(安全區Ⅱ)

非控制區中的業務系統或其功能模塊的典型特征為：是電力生產的必要環節，在線運行但不具備控制功能，使用電力調度數據網絡，與控制區中的業務系統或功能模塊聯系緊密。

非控制區的典型業務系統包括調度員培訓模擬系統、水庫調度自動化系統、繼電保護及故障錄波信息管理系統、電能量計量系統、電力市場運營系統等，其主要使用者分別為電力調度員、水電調度員、繼電保護人員及電力市場交易員等。在廠站端還包括電能量遠方終端、故障錄波裝置及發電廠的報價系統等。非控制區的數據采集頻度是分鐘級或小時級，其數據通信使用電力調度數據網的非實時子網。

2.1.2 管理信息大區的安全區劃分

管理信息大區是指生產控制大區以外的電力企業管理業務系統的集合。電力企業可根據具體情況劃分安全區，但不應影響生產控制大區的安全。

2.1.3 生產控制大區內部安全防護要求

(1)禁止生產控制大區內部的E-Mail 服務，禁止控制區內通用的WEB 服務。

(2)允許非控制區內部業務系統采用B/S 結構，但僅限于業務系統內部使用。允許提供縱向安全WEB 服務，可以采用經過安全加固且支持HTTPS 的安全WEB 服務器和WEB 瀏覽工作站。

(3)生產控制大區重要業務(如SCADA/AGC、電力市場交易等)的遠程通信必須采用加密認證機制，對已有系統應逐步改造。

(4)生產控制大區內的業務系統間應該采取VLAN 和訪問控制等安全措施，限制系統間的直接互通。

(5)生產控制大區的撥號訪問服務，服務器和用戶端均應使用經國家指定部門認證的安全加固的操作系統，并采取加密、認證和訪問控制等安全防護措施。

(6)生產控制大區邊界上可以部署入侵檢測系統IDS。

(7)生產控制大區應部署安全審計措施，把安全審計與安全區網絡管理系統、綜合告警系統、IDS 管理系統、敏感業務服務器登錄認證和授權、應用訪問權限相結合。

(8)生產控制大區應該統一部署惡意代碼防護系統，采取防范惡意代碼措施。病毒庫、木馬庫以及IDS 規則庫的更新應該離線進行。

2.2 網絡專用

電力調度數據網是為生產控制大區服務的專用數據網絡，承載電力實時控制、在線生產交易等業務。安全區的外部邊界網絡之間的安全防護隔離強度應該和所連接的安全區之間的安全防護隔離強度相匹配。

電力調度數據網應當在專用通道上使用獨立的網絡設備組網，采用基于SDH/PDH 不同通道、不同光波長、不同纖芯等方式，在物理層面上實現與電力企業其它數據網及外部公共信息網的安全隔離。

電力調度數據網劃分為邏輯隔離的實時子網和非實時子網，分別連接控制區和非控制區。可采用MPLS-VPN 技術、安全隧道技術、PVC 技術、靜態路由等構造子網。

電力調度數據網應當采用以下安全防護措施：

(1)網絡路由防護

按照電力調度管理體系及數據網絡技術規范，采用虛擬專網技術，將電力調度數據網分割為邏輯上相對獨立的實時子網和非實時子網，分別對應控制業務和非控制生產業務，保證實時業務的封閉性和高等級的網絡服務質量。

(2)網絡邊界防護

應當采用嚴格的接入控制措施，保證業務系統接入的可信性。經過授權的節點允許接入電力調度數據網，進行廣域網通信。