2 华北网调传 2012【033】号文件要求，我公司于 2012 年 5 月 9 日完成了纵向加密认证装置的升级和接入华北 主站内网监控平台工作。 2 实施前的应用系统 托克托发电公司于2003 年实施了SIS 系统和电能量计费系统， 这两个系统均与管理信息大区有物理连接， 因此对二次系统的安全防护改造就是对 SIS 系统和电能量计费系统的防护改造。二次系统安全防护改造实施 前的网络拓扑结构如图 1 和图 2 所示。 实施前的系统存在以下问题： (1)系统的安全分区层次结构不清晰明确，导致各系统功能区间无法明确隔离措施； (2)控制系统与管理系统仅通过防火墙隔离，安全性不高； (3)网络安全防护的层次不够且不便于管理。 华北电力调度中心 华北电力调度中心 安全II区 信息管理大区 核心交换 核心交换A 核心交换 核心交换B FAG FAG FAG FAG 纵向加密 纵向加密 非实时系统交换 非实时系统交换 关口表 关口表 电计量系统 电计量系统 计量子站 计量子站 PC PC1 PC PC2 汇集交换机 汇集交换机 PC PC3 计划统计服务器 计划统计服务器 耗差系统服务器 耗差系统服务器 防火墙 安全III区 安全IV区 Cisco防火墙 图 1 二次系统安全防护改造实施前电计量系统网络拓扑结构 图 2 二次系统安全防护改造实施前 SIS 系统网络拓扑结构 3 实施方案 3.1 分区方案 3.1.1 划分原则 （1）原则上划分为生产控制大区和管理信息大区生产控制大区可以分为实时控制区(安全区 I) 和非生 产控制区(安全区Ⅱ)；管理信息大区可以分为生产管理区(安全区Ⅲ)和管理信息区(安全区 IV)。具体的划分 及通信规则如图 3 所示。