二次安防屏

一、 二次安防屏的介绍

二次安防屏是实现电力工控系统网络安全纵深防御的物理核心。随着变电站、发电厂的数字化、网络化，其面临的网络安全风险急剧上升。该屏柜根据系统安全分区的结果，在不同区域间部署相应的安全设备。在横向边界（如I/II区与III/IV区之间），部署硬件防火墙或更具强制性的正向/反向单向隔离装置，严格过滤数据包，只允许白名单策略的特定服务通过。

在纵向边界（厂站与调度数据网之间），部署纵向加密认证装置或加密网关，对上下行调度数据进行基于非对称密码技术的双向身份认证和数据加密，确保通信对象的可信与数据的完整。屏内还可集成网络入侵检测系统，监视网络流量，发现攻击行为；日志审计系统，记录所有安全事件。所有设备统一供电、集中管理，并通过安全管理平台实现策略统一下发和日志集中分析。

二、 二次安防屏的作用

构建生产控制系统的“数字护城河”：通过严格的访问控制策略，将生产控制网络与办公网、互联网等风险区域进行有效逻辑隔离，防止来自外部的直接攻击渗透至核心生产系统。

保障调度控制指令的机密性与完整性：纵向加密认证确保从调度主站下发的遥控、遥调等关键指令，以及厂站上传的运行数据，在传输过程中不被窃听、篡改或伪造，防止“假指令”导致重大事故。

满足国家法律法规与强制标准要求：配置符合要求的二次安防系统，是满足《网络安全法》、《关键信息基础设施安全保护条例》及电力行业“安全防护规定”、“等级保护2.0”等法规标准强制性要求的必要条件，是项目验收和并网运行的必备条件。

实现安全事件的可知、可控、可追溯：通过入侵检测、安全审计等设备，能够及时发现网络中的异常行为和潜在攻击，并记录完整的操作日志和安全事件，为安全事件分析、定位和追责提供证据链。

提升整体安全运维与管理效率：将主要安全设备集中组屏，便于策略的统一配置、设备的集中监控、状态的直观查看和定期的现场巡检，提升了安全管理的规范性和效率。

三、 二次安防屏的核心功能

1. 边界访问控制与隔离

工业防火墙：部署于I/II区与III/IV区之间，基于“白名单”模式，对IP、端口、协议进行精细化的访问控制，深度检测工控协议（如IEC 104、Modbus）。

单向隔离装置：

正向型：只允许数据从安全等级高的区域向安全等级低的区域单向流动。

反向型：通常用于III区向II区同步数据，确保数据只能单向传入生产控制区，物理上阻断任何可能的反向攻击。

逻辑强隔离装置：通过协议剥离、内容检测、数据摆渡等技术，实现不同安全区之间的安全数据交换。

2. 纵向通信安全防护

纵向加密认证网关：实现调度端与厂站端的双向身份认证（基于数字证书）、会话密钥协商、业务数据的加密/解密及完整性校验。支持国密SM1、SM2、SM4等算法。

访问控制列表：在纵向加密装置或路由器上配置严格的ACL，限制只有授权的调度IP地址和端口才能访问厂站特定服务。

3. 安全监测与审计

网络入侵检测系统：旁路部署，实时分析网络流量，通过特征库和异常行为分析，检测漏洞利用、恶意代码、异常连接等攻击行为并告警。

日志审计系统：集中采集防火墙、加密装置、服务器、网络设备的安全日志，进行关联分析、存储和报表生成，满足等保对审计日志保存6个月以上的要求。

恶意代码防范管理：在生产控制大区部署专用的主机防恶意代码软件，并在此屏集中管理服务器进行统一升级和策略下发。

四、 二次安防屏的典型应用场景

智能变电站监控系统安全防护：在站控层网络与调度数据网之间部署纵向加密装置；在监控系统与状态监测、视频等III区系统间部署防火墙或隔离装置。

发电厂监控系统安全防护：在DCS/NCS网络与SIS、MIS网络之间部署强隔离装置；在AGC/AVC与电网调度之间部署纵向加密。

配电自动化主站安全防护：在主站与配电终端、变电站之间部署纵向加密；在主站生产控制区与信息管理区之间部署防火墙。

地/县级电力调度中心：作为多个厂站数据的汇聚点，需配置功能更强大的中心端纵向加密装置、综合审计平台和安全管理平台。

新能源场站（风、光）并网安全防护：在升压站配置标准的二次安防屏，满足电网对新能源场站与调度数据网连接的安全要求。