全国电力二次系统安全防护总体方案

内部资料注意保密

全国电力二次系统安全防护总体方案


（第7 稿）

全国电力二次系统安全防护专家组、工作组

2003年2月26日


引 言

根据全国电力二次系统安全工作组的安排，二次系统安全专家组会同电力
系统有关单位编写了全国电力二次系统安全防护体系系列文件共12 篇，其中：

《水调自动化系统安全防护方案》由西北网调完成；
《水电厂监控系统安全防护方案》由华中网调完成；
《火电厂监控系统安全防护方案》由华能信息中心完成；
《电能量计量系统安全防护方案》由东北网调完成；
《电力市场运营系统安全防护方案》由浙江省调完成；
《调度生产管理系统安全防护方案》由安徽省调完成；
《变电站自动化系统安全防护方案》由华东网调完成；
《配电自动化系统安全防护方案》由东方电子完成；
《继电保护和故障录波信息系统安全防护方案》由山东省调完成；
《调度自动化系统安全防护方案》由安全防护专家组完成；
《电力二次系统安全防护公共技术专题》由安全防护专家组完成；
《电力二次系统安全防护总体框架》由安全防护专家组完成。


在上述文件的基础上，安全专家组部分成员经过改编和整理，形成了《全

国电力二次系统安全防护总体方案》。全国电力二次系统安全防护工作组和专家

组对所有参加此项工作的人员和单位表示衷心感谢！


目录

1. 前言..........................................................................................................................................1
2. 电力二次系统安全防护方案总则...........................................................................................1
2.1 适用范围.......................................................................................................................1
2.2 安全防护目标及重点...................................................................................................2
2.3 相关的安全防护法规...................................................................................................4
2.4 电力二次系统安全防护策略.......................................................................................5
2.5 电力二次系统的安全区划分.......................................................................................5
2.6 电力二次系统四安全区拓扑结构...............................................................................8
2.7 电力二次系统安全防护方案的实施...........................................................................9
3. 电力二次系统安全防护技术.................................................................................................10
3.1 电力数据通

信网络的安全防护.................................................................................10
3.2 备份与恢复.................................................................................................................11
3.3 防病毒措施.................................................................................................................12
3.4 防火墙.........................................................................................................................12
3.5 入侵检测IDS.............................................................................................................12
3.6 主机防护.....................................................................................................................12
3.7 数字证书与认证.........................................................................................................13
3.8 专用安全隔离装置.....................................................................................................15
3.9 IP 认证加密装置........................................................................................................16
3.10 WEB 服务的使用与防护............................................................................................17
3.11 EMAIL 的使用.............................................................................................................17
3.12 计算机系统本地访问控制.........................................................................................17
3.13 远程拨号访问.............................................................................................................18
3.14 线路加密设备.............................................................................................................19
3.15 安全“蜜罐”.............................................................................................................19
3.16 应用程序安全.............................................................................................................19
3.17 关键应用系统服务器安全增强.................................................................................20
3.18 安全审计.....................................................................................................................21
3.19 安全产品整体部署.....................................................................................................22
4. 调度中心（地调及以上）二次系统安全防护方案.............................................................22
4.1 调度中心各系统安全区的划分.................................................................................22
4.2 业务系统分析.............................................................................................................23
4.3 调度控制中心的安全部署......................

...................................................................35
5. 配电二次系统安全防护方案.................................................................................................37
5.1 配电二次系统典型配置.............................................................................................37
5.2 配电二次系统边界分析.............................................................................................38
- i -


5.3 配电二次系统物理边界和安全部署参考图.............................................................41
6. 变电站二次系统安全防护方案.............................................................................................42
6.1 变电站二次应用系统环境分析.................................................................................42
6.2 变电站二次系统边界分析.........................................................................................44
6.3 变电站二次系统安全整体部署图.............................................................................46
7. 发电厂二次系统安全防护方案.............................................................................................47
7.1 参考逻辑结构.............................................................................................................47
7.2 整体安全部署.............................................................................................................51
8. 安全管理................................................................................................................................53
8.1 建立完善的安全管理组织机构.................................................................................53
8.2 安全评估的管理.........................................................................................................54
8.3 具体安全策略的管理.................................................................................................54
8.4 工程实施的安全管理.................................................................................................54
8.5 设备、应用及服务的接入管理.................................................................................54
8.6 建立完善的安全管理制度.........................................................................................55
8.7 运行管理.....................................................................................................................55
8.8 应急处理.....................................................................................................................57
8.9 联合防护.....................................................................................................................57
附录一数据资源安全等级的CIA 测度.................................................

..................................58


附录二服务等级的测度.............................................................................................................58


附录三接口类型的定义.............................................................................................................58


附录四环境信任度的测度.........................................................................................................59


附录五主要术语的中英文对照.................................................................................................59


- ii -


图形索引

图1 电力二次系统逻辑结构示意图............................................................................................2


图2 安全防护的P2DR 模型........................................................................................................4


图3 电力二次系统安全防护总体示意图....................................................................................8
图4 EMS 系统的逻辑边界示意图.............................................................................................23
图5 EMS 系统的物理边界及安全部署示意图.........................................................................24
图6 电力交易系统的逻辑边界示意图......................................................................................25
图7 电力交易系统的物理边界及安全部署示意图..................................................................26
图8 电能量计量系统逻辑边界示意图......................................................................................28
图9 电能量计量系统的物理边界及安全部署示意图..............................................................29
图10 水调自动化系统的逻辑边界示意图.................................................................................30
图11 水调自动化系统安全产品部署示意图............................................................................31
图12 继电保护和故障录波信息系统的逻辑边界示意图........................................................32
图13 继电保护和故障录波系统安全部署过渡方案示意图....................................................33
图14 继电保护和故障录波系统安全部署最终方案示意图....................................................34
图15 调度生产管理系统的整体安全部署示意图....................................................................35
图16 调度中心二次系统安全防护总体结构示意图................................................................36
图17 配电二次系统典型配置图................................................................................................38
图18 配电二次系统的逻辑边界

示意图....................................................................................39
图19 配电二次系统物理边界和安全部署参考图....................................................................41
图20 变电站二次系统典型配置图............................................................................................43
图21 变电站二次系统的逻辑边界示意图................................................................................44
图22 变电站二次系统安全产品部署示意图............................................................................46
图23 水电厂二次系统参考逻辑结构图A ................................................................................48
图24 水电厂二次系统参考逻辑结构图B ................................................................................49
图25 火电厂二次系统参考逻辑结构图....................................................................................49
图26 水电厂二次系统整体安全部署图A ................................................................................51
图27 水电厂二次系统整体安全部署图B ................................................................................51
图28 火电厂二次系统安全部署图............................................................................................52


- iii -


1. 前言
电力二次系统安全防护总体方案是依据国家经贸委[2002] 第30 号令《电网和电厂计算
机监控系统及调度数据网络安全防护的规定》（以下简称《规定》）的要求，并根据我国电网
调度系统的具体情况制定的，目的是规范和统一我国电网和电厂计算机监控系统及调度数据
网络安全防护的规划、实施和监管，以防范对电网和电厂计算机监控系统及调度数据网络的
攻击侵害及由此引起的电力系统事故，保障我国电力系统的安全、稳定、经济运行，保护国
家重要基础设施的安全。

全国电力二次系统是指各级电力监控系统和调度数据网络（SPDnet）以及各级管理信息
系统(MIS)和电力数据通信网络（SPTnet）构成的大系统。本安全防护方案主要针对各级电
力监控系统和调度数据网络的安全防护以及与各级管理信息系统和电力数据通信网络的边
界的安全防护。对各级管理信息系统和电力数据通信网络本身的安全防护在另外的文件中规
定。

本文件根据《规定》的精神制定安全防护的总策略，确定电力二次系统的安全区的划分
原则，确定各安全区之间在横向及纵向上的防护原则，提出电力二次系统安全防护的总体方
案，并指导各有关单位具体实施。

安全防护总体方案由以下几个部分组成：

z 电力二次系统总体安全防护总则
z 电

力二次系统安全防护技术
z 调度中心（地调及以上）二次系统安全防护方案
z 配电（含县调）二次系统安全防护方案
z 变电站二次系统安全防护方案
z 发电厂二次系统安全防护方案
z 电力二次系统安全管理

2. 电力二次系统安全防护方案总则
2.1 适用范围
本安全防护总体方案的基本防护原则适用于电力二次系统中各类应用和网络系统，总体
方案直接适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。电力通
信系统、电力信息系统可参照电力二次系统安全防护总体方案制定具体安全防护方案。
其中“计算机监控系统”,包括各级电网调度自动化系统、变电站自动化系统、换流站计算
机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调
自动化系统和水电梯级调度自动化系统、电能量计量计费系统、电力市场交易系统等；“调
度数据网络”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的拨号网
络、各计算机监控系统内部的本地局域网络等。

2.1.1 电力二次系统逻辑结构描述
电力二次系统逻辑结构如图 1所示。
- 1 -


国调、网省调

火电厂
梯调
水电厂

水电厂
超高压输
电变电站

地调
集控站
低压配电线
路及变电站
区调、县调、
配调
需求侧
控制
中压配电
变电站
高压配电
变电站
图 1 电力二次系统逻辑结构示意图

2.2 安全防护目标及重点
2.2.1 风险分析
电力监控系统及调度数据网作为电力系统的重要基础设施，不仅与电力生产、经营和服
务相关，而且与电网调度和控制系统的安全运行紧密关联，是电力系统安全的重要组成部分。
电力生产直接关系到国计民生，其安全问题一直是国家有关部门关注的重点之一。
随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。
特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的
数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电
站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠性、实时性提
出了新的严峻挑战。而另一方面，Internet 技术和因特网已得到广泛使用，E-mail 、Web 和
PC 的应用也日益普及，但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变
电站在规划、设计、建设控制系统和数据网络时，对网络安全问题重视不够，使得具有实时
远方控制功能的监控系统，在没有进行有效安全防护的情况下与当地的MIS 系统等

其他数
据网络互连，有严重的隐患。除此之外，还存在黑客在调度数据网中采用“搭接”的手段对
传输的电力控制信息进行“窃听”和“篡改”，进而对电力一次设备进行非法破坏性操作的
威胁。电力二次系统面临的主要安全风险见表 1。因此电力监控系统和数据网络系统的安全
性和可靠性已成为一个非常紧迫的问题。
表 1 电力二次系统面临的主要风险

优先级风险说明/举例
- 2 -


优先级风险说明/举例
0 旁路控制（Bypassing Controls） 入侵者对发电厂、变电站发送非法控制命令，
导致电力系统事故，甚至系统瓦解。
1 完整性破坏（Integrity Violation） 非授权修改电力控制系统配置或程序；非授
权修改电力交易中的敏感数据。
2 违反授权（Authorization
Violation）
电力控制系统工作人员利用授权身份或设
备，执行非授权的操作。
3 工作人员的随意行为
（Indiscretion）
电力控制系统工作人员无意识地泄漏口令等
敏感信息， 或不谨慎地配置访问控制规则等。
4 拦截/篡改（Intercept/Alter） 拦截或篡改调度数据广域网传输中的控制命
令、参数设置、交易报价等敏感数据。
5 非法使用（Illegitimate Use） 非授权使用计算机或网络资源。
6 信息泄漏（Information Leakage） 口令、证书等敏感信息泄密。
7 欺骗（Spoof） Web 服务欺骗攻击；IP 欺骗攻击。
8 伪装(Masquerade) 入侵者伪装合法身份，进入电力监控系统。
9 拒绝服务（Availability, e.g.
Denial of Service）
向电力调度数据网络或通信网关发送大量雪
崩数据，造成拒绝服务。
10 窃听（Eavesdropping, e.g. Data
Confidentiality）
黑客在调度数据网或专线通道上搭线窃听明
文传输的敏感信息，为后续攻击准备数据。

2.2.2 安全防护目标及重点
电力二次系统安全防护的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏
和攻击，能够抵御集团式攻击，重点保护电力实时闭环监控系统及调度数据网络的安全，防
止由此引起电力系统故障。安全防护目标：
z 防止通过外部边界发起的攻击和侵入，尤其是防止由攻击导致的一次系统的事
故以及二次系统的崩溃；
z 防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。

2.2.3 安全防护的特点
电力二次系统安全防护的特点是具有系统性和动态性。电力二次系统是一个大系统，并
且处在不断的变化和发展中，但其安全防护不能违反二次系统安全防护的基本原则。必须指
出的是，本方案仅代表当前的认识水平及目前的具体实施环境，今后将随着实践逐步完善和
提高。
安全防护工程是永无休止的动态过程。图 2所示为以

安全策略为核心的动态安全防护模
型。动态自适应安全模型的设计思想是将安全管理看作一个动态的过程，安全策略应适应网
络的动态性。动态自适应安全模型由下列过程的不断循环构成：安全分析与配置、实时监测、
报警响应、审计评估。
由此可见，安全工程的实施过程要注重系统性原则和螺旋上升的周期性原则。

- 3 -


防护

esp nseete

策略

Respoons e Detectionon

Protec ion

Protection

Policy

反应检测

图 2 安全防护的P2DR模型

系统性原则不但要求在实施电力二次系统的各子系统的安全防护时不能违反电力二次
系统的整体安全防护方案，同时也要求从技术和管理等多个方面共同注重安全防护工作的落
实。

螺旋上升的周期性原则表明安全工程的实施过程不是一蹴而就的，而是一个持续的、长
期的“攻与防”的矛盾斗争过程。当前具体实施的安全防护措施单独从安全性的角度并不一
定是最优的，但是要确保实施安全防护措施后系统的安全性必须得到加强。

2.3 相关的安全防护法规
z 《关于维护网络安全和信息安全的决议》，全国人大常委会2000 年10 月审议

通过

z 《中华人民共和国计算机信息系统安全保护条例》，国务院1994 年发布

z 《计算机信息系统保密管理暂行规定》，国家保密局1998 年发布

z 《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》，国家

保密局1998 年发布

z 《计算机信息网络国际联网安全保护管理办法》，公安部1998 年发布

z 《计算机信息系统安全保护等级划分准则》（GB 17859 -1999），公安部1999

年发布

z 《电网和电厂计算机监控系统及调度数据网络安全防护的规定》，国家经贸委

[2002]第30 号令

z 《电力工业中涉及的国家秘密及具体范围的规定》，电力工业部和国家保密局
1996 年发布

- 4 -


2.4 电力二次系统安全防护策略
2.4.1 电力二次系统安全防护的基本原则
电力二次系统安全防护的基本原则为：
1) 系统性原则（木桶原理）；
2) 简单性原则；
3) 实时、连续、安全相统一的原则；
4) 需求、风险、代价相平衡的原则；
5) 实用与先进相结合的原则；
6) 方便与安全相统一的原则；
7) 全面防护、突出重点（实时闭环控制部分）的原则；
8) 分层分区、强化边界的原则；
9) 整体规划、分步实施的原则；
10) 责任到人，分级管理，联合防护的原则。

2.4.2 电力二次系统安全防护总体策略
电力二次系统的安全防护策略为：
1) 分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度
进行分区，重点保护实时控制系统

以及生产业务系统。
2) 所有系统都必须置于相应的安全区内，纳入统一的安全防护方案；不符合总
体安全防护方案要求的系统必须整改；
3) 安全区隔离。采用各类强度的隔离装置使核心系统得到有效保护。
4) 网络隔离。在专用通道上建立电力调度专用数据网络，实现与其他数据网络
物理隔离。并通过采用MPLS-VPN 或IPSEC-VPN 在专网上形成多个相互逻辑
隔离的VPN，实现多层次的保护。
5) 纵向防护。采用认证、加密等手段实现数据的远方安全传输。

2.5 电力二次系统的安全区划分
电力二次系统划分为不同的安全工作区，反映了各区中业务系统的重要性的差别。不同
的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。

根据电力二次系统的特点、目前状况和安全要求，整个二次系统分为四个安全工作区：
实时控制区、非控制生产区、生产管理区、管理信息区。

z 安全区Ⅰ是实时控制区，安全保护的重点与核心。
凡是实时监控系统或具有实时监控功能的系统其监控功能部分均应属于安全区Ⅰ。例如

调度中心中EMS 系统和广域相量测量系统（WAMS）、配电自动化系统、变电站自动化系统、
发电厂自动监控系统或火电厂的管理信息系统（SIS）中AGC 功能等。其面向的使用者为调
度员和运行操作人员，数据实时性为秒级，外部边界的通信均经由电力调度数据网（SPDnet）
的实时虚拟专用网（VPN）。区中还包括采用专用通道的控制系统，如：继电保护、安全自
动控制系统、低频/低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要
求为毫秒级或秒级，是电力二次系统中最为重要系统，安全等级最高。

z 安全区Ⅱ是非控制生产区。
不具备控制功能的生产业务和批发交易业务系统，或者系统中不进行控制的部分均属于

- 5 -


安全区Ⅱ。

属于安全区Ⅱ的典型系统包括水调自动化系统、电能量计量系统、发电侧电力市场交易
系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据
的实时性是分级、小时级。该区的外部通信边界为SPDnet 的非实时VPN。

z 安全区Ⅲ是生产管理区。

该区包括进行生产管理的系统，典型的系统为雷电监测系统、气象信息接入等。本安全
区内的生产系统采取安全防护措施后可以提供WEB 服务。该区的外部通信边界为电力数据
通信网（SPTnet）。

z 安全区IV 是管理信息区。

该区包括办公管理信息系统、客户服务等。该区的外部通信边界为SPTnet 及因特网。
该区在本文件中不作详细规定，但必须具备必要的安全防

护措施。

2.5.1 业务系统置于安全区的规则
1) 根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系、广域
网通信的方式以及受到攻击之后所产生的影响，将其分置于四个安全区之中。
2) 进行实时控制或未来可能有实时控制的功能或系统均需置于安全区Ⅰ。
3) 电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把
属于低安全区的业务系统的终端设备放置于高安全区，由属于高安全区的人员
使用。
4) 某些业务系统的次要功能与根据主要功能所选定的安全区不一致时，可把业务
系统根据不同的功能模块分为若干子系统分置于各安全区中。各子系统经过安
全区之间的通信来构成整个业务系统。
5) 自我封闭的业务系统为孤立业务系统，其划分规则不作要求，但需遵守所在安
全区的安全防护规定。
6) 各电力二次系统原则上均应划分为四安全区的电力二次系统安全防护方案，但
并非四安全区都必须存在。一个电力二次系统某安全区不存在的条件不仅其本
身不存在该安全区的业务而且与其他电网二次系统在该安全区不存在“纵”向
互联。

2.5.2 安全区之间的隔离要求
在各安全区之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑
网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产并经过国家或电力
系统有关部门认证。

z 安全区Ⅰ与安全区Ⅱ之间的隔离要求：

允许采用经有关部门认定核准的硬件防火墙（禁止E-mail 、Web 、Telnet 、Rlogin
等访问）。
z 安全区III 与安全区IV 之间的隔离要求：

Ⅲ、Ⅳ区之间应采用经有关部门认定核准的硬件防火墙隔离；
安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间的隔离要求：

安全区Ⅰ、Ⅱ不得与安全区Ⅳ直接联系，安全区Ⅰ、Ⅱ与安全区Ⅲ之间必须采用经
有关部门认定核准的专用隔离装置。专用隔离装置分为正向隔离装置和反向隔离装置。
从安全区Ⅰ、Ⅱ往安全区Ⅲ单向传输信息须采用正向隔离装置，由安全区Ⅲ往安全区Ⅱ
甚至安全区Ⅰ的单向数据传输必须采用反向隔离装置。反向隔离装置采取签名认证和数

- 6 -


据过滤措施(禁止E-MAIL、WEB、TELnet、Rlogin 等访问)。

2.5.3 安全区与远方通信的安全防护要求
安全区Ⅰ、Ⅱ所连接的广域网为国家电力调度数据网SPDnet。对采用MPLS-VPN 技术
的SPDnet 为安全区Ⅰ、Ⅱ分别提供二个逻辑隔离的MPLS-VPN。对不具备MPLS-VPN 的某
些省、地区调度数据网络，可通过IPSec 构造VPN 子网。SPDnet 的VPN 子网和一般子网
可为安全区Ⅰ、Ⅱ分别提供二个逻辑隔离的子网。安全

区Ⅲ所连接的广域网为国家电力数据
通信网（SPTnet），SPDnet 与SPTnet 物理隔离。
安全区Ⅰ、Ⅱ接入SPDnet 时，应配置IP 认证加密装置，实现网络层双向身份认证、数
据加密和访问控制。如暂时不具备条件或业务无此项要求，可以用硬件防火墙代替。

安全区Ⅲ接入SPTnet 应配置硬件防火墙。

z 处于外部网络边界的通信网关（如通信服务器等）操作系统应进行安全加固，对I、
II 区的外部通信网关建议配置数字证书。
z 传统的远动通道的通信目前暂不考虑网络安全问题。个别关键厂站的远动通道的通
信可采用线路加密器，但需由上级部门认可。
z 经SPDnet 的RTU 网络通道原则上不考虑传输中的认证加密。个别关键厂站的RTU
网络通信可采用认证加密，但需由上级部门认可。
z 禁止安全区Ⅰ的纵向WEB。

2.5.4 各安全区内部安全防护的基本要求
禁止安全区Ⅰ和安全区Ⅱ内部的E-MAIL 服务。禁止安全区Ⅰ内部和纵向的WEB
服务。禁止跨安全区的E-MAIL 、WEB 服务。
对安全区Ⅰ及安全区Ⅱ的要求：
z 允许安全区Ⅱ内部WEB 服务，但WEB 浏览工作站与II 区业务系统工作站不得
共用。
z 允许安全区Ⅱ纵向（即上下级间）WEB 服务，但必须安全区内的业务系统向WEB
服务器单向主动传送数据。
z 安全区Ⅰ/安全区Ⅱ的重要业务（如SCADA、电力交易）应该采用认证加密机制；
z 安全区Ⅰ/安全区Ⅱ内的相关系统间必须采取访问控制等安全措施。
z 安全区Ⅰ/安全区Ⅱ的拨号访问服务必须采取认证、加密、访问控制等安全防护措
施；
z 安全区Ⅰ/安全区Ⅱ的系统应该部署安全审计措施，如IDS 等；
z 安全区Ⅰ/安全区Ⅱ的系统必须采取防恶意代码措施。
对安全区Ⅲ要求：
z 安全区Ⅲ允许开通EMAIL、WEB 服务。
z 安全区Ⅲ的拨号访问服务必须采取访问控制等安全防护措施；
z 安全区Ⅲ的系统应该部署安全审计措施，如IDS 等；
z 安全区Ⅲ的系统必须采取防恶意代码措施。
说明：
z 电力二次系统安全防护方案假设某电力二次系统都是局域范围。在电力二次系统内
部具有广域网通信，其安全防护需要参照执行。
z 安全区内的个别业务系统，如因其业务的特殊性需要附加的安全防护,该类安全防
护方案参照执行

- 7 -


本总体方案对安全区Ⅳ不做详细要求。

（正向型）

实时VPN SPDnet 非实时VPN
IP 认证加密装置
安全区I
(实时控制区)
安全区II
(非控制生产区)
安全区III
(生产管理区)
安全区IV
(管理信息区)
生产VPN SPTnet 信息VPN
防火墙
防火墙
防火墙
IP 认证加密装置
IP 认证加密装置IP 认证加密装置
防火墙
防火墙
安全区I
(实时控制

区)
防火墙
安全区II
(非控制生产区)
安全区III
(生产管理区)
防火墙防火墙
安全区IV
(管理信息区)
专线
线路加密设备
专用安全
隔离装置
专用安全
隔离装置
（正向型）
（反向型）
专用安全
隔离装置
专用安全
隔离装置
（反向型）
图 3 电力二次系统安全防护总体示意图

2.6 电力二次系统四安全区拓扑结构
电力二次系统四安全区的拓扑结构有三种结构，这三种结构均能满足电力二次系统安
全防护体系的要求。如图6 链式结构、三角结构和星形结构。

外部公共因特网
防火墙防火墙

- 8 -


专用安全
隔离装置
实时控制区
防火墙
非控制
生产区生产管理区
链式结构

生产管理区

实时控制区

专用安全
隔离装置

防火墙

非控制
生产区

专用安全
隔离装置
三角结构

星形结构

实时控制区
防火墙
汇聚
生产管理区
专用安全
隔离装置
非控制
生产区

2.7 电力二次系统安全防护方案的实施
电力二次系统安全防护方案的实施必须分阶段进行。对现系统必然要经过整改。
第一阶段是理清流程、修补漏洞。需要把自身系统的物理配置、连接关系，以
及信息流有明晰的认识，要有一个详细的物理连线图及数据流图。
第二阶段是结构调整，清理边界。通过软件和硬件的结构调整或改动，使安全
区间和安全区与外部边界网络的连接处达到简单、清晰。做好过渡方案。

现系统整改同时，加紧研制各类专用装置和建立与认证机制有关的CA、RA 等。

第三阶段及第四阶段部署纵向和横向隔离装置。该二个阶段执行会很不平衡，

必须按过渡方案进行。

第五阶段部署认证机制。在各类专用装置和与认证机制有关的CA、RA 已建立
的条件下部署认证机制。
第六阶段为现系统改造和新系统开发。

- 9 -


安
全
强
度

第第11阶段阶段
第第55阶段阶段
第第44阶段阶段
第第33阶段阶段
第22阶段阶段
第第66阶段阶段
实施阶段实施阶段
理清流程理清流程
修补漏洞修补漏洞
第
结构调整结构调整
清理边界清理边界
部署横向部署横向
隔离装置隔离装置
研究部署纵研究部署纵
向安全装置向安全装置
研究部署研究部署
认证机制认证机制
现现系统改造系统改造
新系统开发新系统开发
3. 电力二次系统安全防护技术
3.1 电力数据通信网络的安全防护
电力二次系统涉及到的数据通信网络包括：电力调度数据网SPDnet，国家电力数据通
信网SPTnet。

3.1.1 电力调度数据网络SPDnet的安全防护
3.1.1.1 与其它网络的隔离
电力调度数据网络（SPDnet ）是专用网络，承载业务是电力实时控制业务、在线生产

业
务、与网管业务。

SPDnet 构建在专用SDH/PDH 的n*2Mbps 通道上面，并且接入网络的安全区I/II 的相关
系统在本地与安全区III/IV 的系统实行了物理隔离措施，因此整个网络与外界其它网络实现
了物理隔离。

3.1.1.2 网络路由防护
采用MPLS VPN 技术，将实时调度业务、非实时调度业务、以及网管业务分割成三个
相对独立的逻辑专网，独立的路由，在网络路由层面不能互通。其中实时VPN 保证了实时
业务的路由独立性，以及网络服务质量QoS。

同时，对路由器之间的路由信息交换进行MD5 签名，保证信息的完整性与可信性。

3.1.1.3 网络边界防护
网络边界防护主要措施包括：
z 边界的封闭性，即网络接入点是有限的、明确的，与外部系统不存在隐藏的联接。

- 10 -


z 边界的可信性，即通过边界接入的网络设备是可信任的，考虑结合基于IEEE
802.1X 与数字证书来实现接入认证。
实施在所有网络边界接入点的安全措施应该提供一致的安全强度。

3.1.1.4 运行安全
对网络设备运行管理采取必要的安全措施，保证运行安全。
z 关闭或限定网络服务；
z 禁止缺省口令登录；
z 避免使用默认路由；
z 网络边界关闭OSPF 路由功能；
z 采用安全增强的SNMPv2 及以上版本的网管系统。

3.1.2 国家电力数据通信网（SPTnet）的安全防护
国家电力数据通信网（SPTnet）为国家电网公司内联网，技术体制为IP over SDH ，主
干速率155Mbps ，该网承载业务主要为电力综合信息、电力调度生产管理业务、电力内部
IP 语音视频、以及网管业务，该网不经营对外业务。

SPTnet 使用私有IP 地址，与Internet 以及其它外部网络没有直接的网络连接。

对应电力综合信息、电力调度生产管理业务、电力内部IP 语音视频三类业务，SPTnet
采用MPLS－VPN 技术构造三个VPN：调度VPN、信息VPN、以及语音视频VPN，三类业务分别
通过专用的接入路由器接入各自VPN。对于厂站接入本处不作统一要求。

3.1.3 电力数据通信网络业务关系
数据业务与网络关系示意图如下：
实时
控制
在线
生产
调度生
产管理
电力综
合信息
IP 语音
视频
SDH（N×2M）
SPDnet
实时
VPN
非实时
VPN
SDH（155M）
SPTnet
调度
VPN
信息
VPN
语音视
频VPN
SDH/PDH 传输网
3.2 备份与恢复
3.2.1 数据与系统备份
对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据
与系统的可用性。

- 11 -


3.2.2 设备备用
对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系
统可靠性。

3.2.3 异地容灾
对实时控制系统、电力市场交易系统，

在具备条件的前提下进行异地的数据与系统备份，
提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。

3.3 防病毒措施
病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、
II、III 的主机与工作站。病毒特征码要求必须以离线的方式及时更新。

3.4 防火墙
防火墙产品可以部署在安全区I 与安全区II 之间（横向），实现两个区域的逻辑隔离、
报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方，还需要考虑在调度数据
接入处部署（纵向），以保证本地调度系统的安全。

防火墙安全策略主要是基于业务流量的IP 地址、协议、应用端口号、以及方向的报文
过滤。

具体选用的防火墙必须经过有关部门认可的国产硬件防火墙。

3.5 入侵检测 IDS
IDS 系统的主要功能包括：实时检测入侵行为，事后安全审计。

根据技术原理，IDS 可分为以下两类：基于网络的入侵检测系统（NIDS）和基于主机
的入侵检测系统（HIDS）。

对于安全区I 与II，建议统一部署一套IDS 管理系统。考虑到调度业务的可靠性，采用
基于网络的入侵检测系统（NIDS），其IDS 探头主要部署在：

安全区I 与II 的边界点、SPDnet 的接入点、以及安全区I 与II 内的关键应用网段。其
主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。

对于安全区III，禁止使用安全区I 与II 的IDS，建议与安全区IV 的IDS 系统统一规划
部署。

3.6 主机防护
主机安全防护主要的方式包括：安全配置、安全补丁、安全主机加固。

3.6.1 安全配置
通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度
业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。

- 12 -


3.6.2 安全补丁
通过及时更新系统安全补丁，消除系统内核漏洞与后门。
3.6.3 主机加固
安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问
符合定义的主机安全策略，防止主机权限被滥用。

3.6.4 应用目标
以下主机必须采取主机防护措施：
z 关键应用，包括SCADA/EMS 系统服务器、电力市场交易服务器等等。
z 网络边界处的主机，包括通信网关、Web 服务器。

3.7 数字证书与认证
PKI 是一个利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及
数字签名服务的统一的技术框架。

PKI 技术中最主要的安全技术包括两个方面：公钥加密技术、数字签名技术。公钥加密
技术可以提供信息的保密性和访问控制的有效手段，而数字签名技术

则提供了在网络通信之
前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防
止双方相互信赖的有效机制。

全国电力调度统一建设基于PKI 的CA 证书服务系统――电力调度CA 系统，由相关主
管部门统一颁发调度系统数字证书，为电力调度生产及管理系统与调度数据网上的用户、关
键网络设备、服务器提供数字证书服务。在数字证书基础上可以在调度系统与网络关键环节
实现高强度的身份认证、安全的数据传输、以及可靠的行为审计。

3.7.1 证书类型
电力调度网络与系统中需要发放数字证书的对象主要包括：
z 调度系统内部关键应用系统服务器，目前包括调度端SCADA 系统、电力市场交易
系统、厂站端的控制系统
z 以上关键应用系统的相关人员，包括用户、管理人员、维护人员
z 关键设备：通信网关机、IP 认证加密装置、安全隔离装置、线路加密设备、以及
部分网络设备（如厂站端接入交换机）

数字证书为这些实体提供以下安全功能支持：支持身份认证功能、支持基于证书的密钥
分发与加密、支持基于证书的签名、以及基于证书扩展属性的权限管理。
因此调度系统数字证书类型包括：
. 人员证书
应用的用户、系统管理人员、以及必要的应用维护与开发人员，在访问系统、进行操
作时需要的持有的证书。
. 程序证书
应用的模块、进程、与服务器程序运行时需要持有的证书。
. 设备证书
网络设备、服务器主机，在接入本地网络系统、与其它实体通信过程中需要持有的证
书。

- 13 -


3.7.2 证书的应用
人员证书，主要用于用户登录网络与操作系统、登录应用系统、以及访问应用资源、执
行应用操作命令时对用户的身份进行认证，与其它实体通信过程中的认证、加密与签名，以
及行为审计。具体应用方式参见本章以下小节：

. Web 服务的使用
. 关键应用服务器的安全增强
. 远程拨号的防护

程序证书，主要用于应用程序与远程程序进行安全的数据通信，提供双方之间的认证、
数据的加密与签名功能。建议的应用方式为：通信网关中的通信进程之间的安全通信。

设备证书，主要用于本地设备接入认证，远程通信实体之间的认证，以及实体之间通信

过程的数据加密与签名。具体应用方式参见本章以下小节：
. 专用安全隔离装置
. IP 认证加密装置
. 远程拨号的防护

3.7.3 纵向通信认证示意
对于调度中心到厂站端的纵向数据通信与控制过程，过程中涉及到的通信实体之间的认
证关系示意如下：


对于该通信过程，主要考虑的是两个系统之间的认证，具体实现

可以由两个通信网关之
间的认证实现，或者两处IP 认证加密装置之间的认证来实现。本技术框架对IP 认证加密装
置之间的认证进行了建议，具体认证过程参见相关章节。

- 14 -


3.8 专用安全隔离装置
3.8.1 环境描述
电力专用安全隔离装置作为安全区I/II 与安全区III 的必备边界，要求具有最高的安全
防护强度，是安全区I/II 横向防护的要点。
其中，安全隔离装置（正向）用于安全区I/II 到安全区III 的单向数据传递；安全隔离
装置（反向）用于安全区III 到安全区I/II 的单向数据传递。

设备部署如下图：

安全区I/II 安全区III
应用网关应用网关安全隔离装置（正向）
安全隔离装置（反向）
图 安全隔离装置部署示意图

3.8.2 专用安全隔离装置（正向）
安全隔离装置（正向）应该具有如下功能：
1) 实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外
两个处理系统不同时连通；
2) 表示层与应用层数据完全单向传输，即从安全区III 到安全区I/II 的TCP 应答禁止
携带应用数据；
3) 透明工作方式：虚拟主机IP 地址、隐藏MAC 地址；
4) 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；
5) 支持NAT；
6) 防止穿透性TCP 联接：禁止两个应用网关之间直接建立TCP 联接，应将内外两个
应用网关之间的TCP 联接分解成内外两个应用网关分别到隔离装置内外两个网卡
的两个TCP 虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接，且只允
许数据单向传输。
7) 具有可定制的应用层解析功能，支持应用层特殊标记识别；
8) 安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。

3.8.3 专用安全隔离装置（反向）
专用安全隔离装置（反向）用于从安全区III 到安全区I/II 传递数据，是安全区III 到
安全区I/II 的唯一一个数据传递途径。专用安全隔离装置（反向）集中接收安全区III 发向
安全区I/II 的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给安全区I/II 内
部的接收程序具体过程如下：

1. 安全区III 内的数据发送端首先对需要发送的数据签名，然后发给专用安全隔离装
- 15 -


置（反向）；

2. 专用安全隔离装置（反向）接收数据后，进行签名验证，并对数据进行内容过滤、
有效性检查等处理；
3. 将处理过的数据转发给安全区I/II 内部的接收程序。
其功能要求如下：

1) 具有应用网关功能，实现应用数据的接收与转发；

2) 具有应用数据内容有效性检查功能；

3) 具有基于数字证书的数据签名/解签名功能；

4) 实现两个安

全区之间的非网络方式的安全的数据传递；

5) 支持透明工作方式：虚拟主机IP 地址、隐藏MAC 地址；

6) 支持NAT；

7) 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；

8) 防止穿透性TCP 联接；

3.8.4 安全保障要求
专用安全隔离装置本身应该具有较高的安全防护能力，其安全性要求主要包括：
1) 采用非INTEL 指令系统的（及兼容）微处理器；
2) 安全、固化的的操作系统；
3) 不存在设计与实现上的安全漏洞；
4) 抵御除DoS 以外的已知的网络攻击。


3.9 IP 认证加密装置
3.9.1 应用说明
IP 认证加密装置用于安全区I/II 的广域网边界保护，作用之一是为本地安全区I/II 提供
一个网络屏障，类似包过滤防火墙的功能，作用之二是为网关机之间的广域网通信提供具有
认证、与加密功能的VPN，实现数据传输的机密性、完整性保护。
近期，作为过渡防护措施，可以使用防火墙代替IP 认证加密装置对安全区I/II 进行一
定程度的边界保护。

3.9.2 安全功能要求
1) IP 认证加密装置之间支持基于数字证书的认证；
2) 对传输的数据通过数据签名与加密进行数据真实性、机密性、完整性保护；
3) 支持透明工作方式与网关工作方式；
4) 具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能；
5) 采用“Agent ”技术，实现装置之间智能协调，动态调整安全策略；
6) 性能要求：10M/100M 线速转发，支持100 个并发会话。
详细的技术规范参见附件：《电力调度专用IP 认证加密装置技术规范说明》。

3.9.3 安全保障要求
1) 安全操作系统内核、非Intel 指令集；
- 16 -


2) 不存在设计与实现上的安全漏洞；

3) 抵御除DOS 以外的已知的网络攻击；

4) 可安全管理；

3.10 Web 服务的使用与防护
Web 服务是一种通用的数据发布方式，其作用、功能与服务对象与调度生产系统的客户
端是不同的。在安全区I、II，以及电力调度数据网SPDnet 环境中，Web 服务可以分为两种
形式：横向浏览与纵向浏览。

横向Web 浏览指跨越不同安全区的浏览，例如Web 服务器位于安全区I，而客户端浏
览器位于安全区II。

纵向Web 浏览指各级同安全区之间的Web 浏览，例如Web 服务器位于省调级安全区II，
而客户端浏览器位于地调级安全区II。

3.10.1 安全区I 的Web 服务
从业务需求上，安全区I 有为其它系统提供数据的需求，同时Web 服务又是目前发布
数据的很好的方式。
但是，由于安全区I 是整个二次系统的防护重点，其向安全区II 以及整个SPDnet 提供
Web 服务将引入很大的安全风险。因此在安全区I 中取消Web 服务，将数据以数据交换

的
方式导入安全区II，在安全区II 中进行数据发布。同时，禁止安全区I 中的计算机使用浏览
器访问安全区II 的Web 服务。

3.10.2 安全区II 的Web 服务
安全区II 中的Web 服务将是安全区I 与II 的统一的数据发布与查询窗口。考虑到目前
Web 服务的不安全性，以及安全区II 的Web 服务需要向整个SPDnet 开放，因此在安全区
II 中将用于Web 服务的服务器与浏览器客户机统一布置在安全区II 中的一个逻辑子区――
Web 服务子区，置于安全区II 的接入交换机上的独立VLAN 中。并且，Web 服务器采用安
全Web 服务器，即经过主机安全加固的，支持HTTPS 的Web 服务器，能够对浏览器客户
端进行基于数字证书的身份认证、以及应用数据加密传输。

3.10.3 应用目标
需要在Web 服务子区开展安全Web 服务的应用限于：电力市场交易系统、DTS 系统。
3.11 Email 的使用
由于Email 服务会为安全区I 与II 引入高级别安全风险，同时在安全区III/IV 中已经提
供了Email 服务，因此安全区I 与II 中禁止Email 服务，杜绝病毒、木马程序借助Email 传
播，避免被成功攻击并且成为进一步攻击的跳板，保证边界防护的安全程度。

3.12 计算机系统本地访问控制
3.12.1 技术措施
结合用户数字证书，对用户登录本地操作系统，访问操作系统资源等操作进行身份认
证，根据身份与权限进行访问控制，并且对操作行为进行安全审计。

- 17 -


3.12.2 使用方式
当用户需要登录系统时，系统通过相应接口（如USB、读卡器）连接用户的证书介质，
读取证书，进行身份认证。通过认证后，进入常规的系统登录程序。

3.12.3 应用目标
对于调度端安全区I 中的SCADA/EMS 系统，安全区II 中的电力市场交易系统，厂站
端的控制系统要求采用本地访问控制手段进行保护。

3.13 远程拨号访问
3.13.1 防护策略
1) 远程用户与工作站与系统本地具有相同的安全信任度与防护级别
2) 远程用户与工作站的安全防护是前提
3) 在拨号连接建立过程中对拨号实体（ 用户或者设备）进行基于数字证书的身份认证，
通过后才可以建立网络层的连接
4) 对通信过程中的认证信息与应用数据进行完整性、机密性保护。
5) 对授权的用户进行合理的权限限制，在经过认证的连接上应该仅能够行使受限的网
络功能与应用
6) 防护措施应该对用户操作、应用性能、以及便携程度产生尽量小的影响。

3.13.2 防护措施
拨号的防护可以采用链路层保护措施，或者网络层保护措施。
. 链路保护措施
使用专用链路加密设备，实现以下安全功能：
. 两端链路加密设备相互进行认证
. 对链路帧进行加密
. 网络保护措施：
采用

远程访问VPN 方式：在RAS 与本地网络之间设置拨号认证加密装置，
结合用户数字证书，对远程拨入的用户身份进行认证，通过认证后，在远程拨入
用户与拨号认证加密装置之间建立IPSecVPN，对网络层数据进行机密性与完整性
保护。
相关的安全产品包括：用户端的IPSecVPN 客户端插件及相应的加密卡、RAS
端的拨号认证加密装置（包括相应的加密设备）。拨号认证加密装置可以是单独的
设备，置于RAS 与本地网络之间，也可以与RAS 集成在一个物理设备中。

防护措施示意图如下：

- 18 -


线路加密设备＋设备证书

电话网系统主机
远程拨号用户


Modem

远程拨号访问防护－链路方式

拨号认证加密装置


系统网络电话网
Modem
远程拨号用户
证书+VPN 客户端RAS服务器
远程拨号访问防护－网络方式
图 拨号防护示意图

对于以拨号网络的方式通过RAS 访问本地网络与系统的远程访问，建议采用网络层保
护措施，即采用用户端证书与拨号认证加密装置配合的拨号VPN。该方式主要用于安全区
II/III 的远程拨号访问。

对于以远方终端的方式通过被访问的本地主机的RS232 接口直接访问本地主机的情
况，采用链路层保护措施，即在两端安装链路加密设备。该方式主要用于安全区I 的远程拨
号访问。

3.14 线路加密设备
线路加密设备可用于传统专线RTU 、保护装置、安控装置通道上数据的加密保护，防
止搭线篡改数据。要求该设备具有一定强度的对称加密功能。
建议新开发的专线RTU 、保护装置、安控装置，内置安全加密功能。

3.15 安全“蜜罐”
应用“主动防御”思想，在安全区II 中的Web 子区中，设置“安全蜜罐”，迷惑攻击
者，配合安全审计，收集攻击者相关信息。

3.16 应用程序安全
应用系统需要考虑如下安全防护措施：

- 19 -


禁止应用程序以操作系统root 权限运行，应用系统合理设置用户权限，重要资源的访问
与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。

3.17 关键应用系统服务器安全增强
3.17.1 技术措施
对于新开发的关键应用系统，要求本身实现了基于数字证书的身份认证、授权管理、访
问控制、数据通信的加密与签名、以及行为审计功能。
对于原有关键应用系统，可以进行适当安全改造，或者采用安全服务代理的方式进行安
全增强。
调度系统的以下关键应用服务器要求进行安全增强：
z 安全区I 中的SCADA 系统应用服务器
z 安全区II 中的电力市场交易系统应用服务器

3.17.2 安全服务代理方式。
在原有应用服务器前增加一个安全代理服务器，该安全

代理服务器具有基于数字证书的
认证、权限管理、访问控制、安全通信、行为审计功能。安全代理服务器部署示意图如下：

安全代
理服务
器
客
户
客
户
业务服务
器1
业务服务
器2
访问
控制
决策
访问控制
决策
身份认证
PKI/PMI


图 安全代理方式加强应用系统

原有客户端对应用服务器的所有访问必须经过安全代理服务器，由安全代理服务器对客
户端进行认证、权限管理、访问控制，仅将合法用户的合法访问转交给应用服务器，并且对
客户端与代理服务器之间的通信进行安全保护，对客户端的访问行为进行审计。原有应用服
务器不需要改造，而部分客户端可能需要一定程度的改造，添加安全插件，以及加密设备。

- 20 -


3.18 安全审计
安全审计是安全管理的重要环节。目前的安全审计工作大多是手工方式。随着系统规模
扩展与安全设施的完善，应该引入集中智能的安全审计系统，通过技术手段，对网络运行日
志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进
行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

- 21 -


- 22 -
3.19 安全产品整体部署
实时VPN
安全Web 服务器
安全隔离装置（正向）
IDS
本地保护
用户证书拨号认证加密装置
远程拨号用户
证书+VPN 客户端
原有应用服务器
安全代理服务器
通信网关
IP 认证加密装置
安全区I 安全区II
安全区III
非实时VPN
LDAP 服务器
应
用
应
用
调度系统安全产品部署示意图
安全隔离装置（反向）
图 调度系统安全产品部署示意图
4. 调度中心（地调及以上）二次系统安全防护方案
4.1 调度中心各系统安全区的划分
调度中心的所有系统必须根据2.5 节所确定的原则分置于四个安全区。
.. 安全区Ⅰ：目前已有或将来要上的有控制功能的系统，以及实时性要求很高的系统。目
前包括实时闭环控制的SCADA/EMS 系统、广域相量测量系统（WAMS）和安全自动
控制系统，保护设置工作站（有改定值、远方投退功能）。
.. 安全区Ⅱ：没有实时控制业务但需要通过SPDnet 进行远方通信的准实时业务系统。目
前包括水调自动化系统、DTS（将来需要进行联合事故演习）、电力交易系统、电能量
计量系统、考核系统、继保及故录管理系统（没有改定值、远方投退功能）等。
.. 安全区Ⅲ：通过SPTnet 进行远方通信的调度生产管理系统。目前包括雷电监测系统、
气象信息、日报/早报、DMIS 等。
.. 安全区IV：包括办公自动化（OA）和管理信息系统（MIS）等。

4.2 业务系统分析
4.2.1 EMS系统的