《热电公司电力监控系统安全防护评估报告》由会员分享,可在线阅读,更多相关《热电公司电力监控系统安全防护评估报告(11页珍藏版)》请在金锄头文库上搜索。
1、xxxxxxxx 热电有限责任公司热电有限责任公司电力监控系统安全防护评估报告电力监控系统安全防护评估报告批准:批准:审核:审核:编制:编制:2017 年 09 月电力监控系统安全防护评估报告电力监控系统安全防护评估报告一、评估项目概述一、评估项目概述1.评估目的根据 xxxx 热电公司保“十九大”信息网络安全专项工作方案,为保障 xxxx 热电公司“十九大”期间电力监控系统稳定运行,降低安全风险,依据电力监控系统安全防护规定(国家发改委 2014 年第 14 号令)及电力监控系统安全防护总体方案(国家能源局201536 号)等文件精神,结合 xxxx 热电公司电力监控系统的结构特点,确定测评
2、对象,制定测评方案,通过检查方式判断其安全技术和安全管理的各个方面对测评指标的符合程度,判断被测系统的安全防护能力是否满足国家及行业信息系统安全等级保护要求,查找存在的安全漏洞和设备隐患,特进行本专项评估工作。2.工作描述xxxx 热电公司电力监控系统主要包括 SIS 系统、DCS系统、PLC 系统、网络控制系统 NCS(含远动 RTU) 、相量测量装置 PMU、电能量采集装置、时钟在线监测 TMU、220kV故障录波、烟气在线监测等九个系统,具体所属区域如下:序号业务系统名称责任人所属安全区域1SIS 系统郭有福生产控制大区-非控制区2DCS 系统郭有福生产控制大区-控制区3PLC 系统郭有
3、福生产控制大区-控制区4网络控制系统NCS(含远动 RTU)郭明生生产控制大区-控制区5相量测量装置 PMU郭明生生产控制大区-控制区6电能量采集装置郭明生生产控制大区-非控制区7时钟在线监测 TMU郭明生生产控制大区-非控制区8220kV 故障录波郭明生生产控制大区-非控制区9烟气在线监测郭有福生产控制大区-非控制区本次评估主要对上述系统的安全分区、网络专用、横向隔离、纵向认证、综合防护等五个领域进行分析。二、现状概述二、现状概述xxxx 热电公司电力监控系统安全防护工作坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,将公司信息系统划分为生产控制大区和管理信息大区,根据系统中各业务的重
4、要性和对一次系统的影响程度,生产控制大区又分为控制区(安全区 I)和非控制区(安全区 II) ,具体网络结构图如下:三、详细报告三、详细报告本次电力监控系统评估由 xxxx 热电公司组织,设备工程部热工、继保专业人员进行评估,依据相关电力监控系统的防护要求,从安全分区、网络专用、横向隔离、纵向认证、综合防护等五个领域进行检查和分析,最终形成以下报告。1.1. 安全分区安全分区xxxx 热电公司基于计算机和网络技术的应用系统划分为生产控制大区和管理信息大区,根据系统中各业务的重要性和对一次系统的影响程度,生产控制大区又分为控制区(安全区 I)和非控制区(安全区 II) 。(1)生产控制大区的安全
5、区划分控制区(安全区 I):控制区中的业务系统是电力生产的重要环节,直接实现对电力一次系统的实时监控,是安全防护的重点与核心。控制区主要包括的业务系统有:DCS 系统、PLC 系统、PMU、NCS 系统。非控制区(安全区 II):非控制区中的业务系统是电力生产的必要环节,在线运行但不具备控制功能。非控制区主要包括的业务系统有:电能量采集装置、220kV 故障录波、时钟在线监测 TMU、烟气在线监测及 SIS 系统。(2)管理信息大区的安全区划分管理区是指生产控制大区以外的电力企业管理业务系统的集合。主要包括的业务系统有 MIS 系统等。 结论:符合要求。2.2. 网络专用情况网络专用情况生产控
6、制大区实行冀北接入网和地区接入网双网并列运行方式,采用专网专用进行数据传输,不存在公网使用情况。结论:符合要求。3.3.横向隔离情况横向隔离情况(1)机组 DCS 系统、PLC 系统与 SIS 系统之间部署了和信网安的天御 6000 横向单向安全隔离装置,实现了 DCS系统与 SIS 系统的强隔离。(2)位于非控制区的电能量采集装置与 SIS 系统之间部署了和信网安的天御 6000 横向单向安全隔离装置。(3)SIS 系统与非控制区烟气在线监测之间部署了和信网安的天御 6000 横向单向安全隔离装置。(4)SIS 系统与综合数据网环保数据之间部署了和信网安的天御 6000 横向单向安全隔离装置
7、。(5)SIS 系统与 MIS 系统之间部署了和信网安的天御6000 横向单向安全隔离装置。结论:隔离器均为单向正向隔离,实现物理隔离,通讯协议采用发送 UDP 协议,不接收相应回文信息,可保证信息可靠传输的同时,不接受反向数据,保证各系统的安全隔离,符合要求。4.4.纵向认证情况纵向认证情况xxxx 热电公司按照要求分别在冀北接入网和地区接入网共安装了四台纵向加密认证装置,实现了数据的远方安全传输以及纵向边界的安全防护,构建了二次系统安全防护体系的纵向防线。并成功接入冀北主站内网监控平台。结论:符合要求。5.5.综合防护综合防护物理环境方面,电子设备间和网络继电器室均采用钥匙管理系统,为继电
8、保护和热工专业人员设置了使用权限,其他无关人员无权借用电子设备间和网络继电器室钥匙;电子设备间和网络继电器室内安装了烟气探测装置以及防火喷淋装置。机房设有空调,温度维持在 24 度左右,湿度在 40%。电力监控系统安全防护设备采用双路电源供电,调度数据网交换机、路由器及纵向加密装置均采用双路交流UPS 电源供电,保证了其稳定。但是,还存在以下问题:(1)生产控制大区未部署网络入侵检测系统。整改措施:在生产控制大区部署网络入侵检测系统,全面检测和监视网络通信状态,提供实时的入侵监控及相应的防护手段。(2)生产控制大区未部署安全审计系统。整改措施:生产大区部署安全审计系统对网络日志行为进行记录管理
9、。四、结论及改进措施四、结论及改进措施1.结论本次评估结果表明电力监控系统的安全保障架构基本符合要求,电力监控系统的信息安全技术措施已基本到位,在技术上已从安全分区、网络专用、横向隔离、纵向认证、综合防护等层面形成了架构比较合理、设备比较齐全、措施比较到位的安全防护体系。本次评估也发现电力监控系统存在一些安全问题,主要包括:(1)生产控制大区未部署网络入侵检测系统。(2)生产控制大区未部署安全审计系统。2.改进措施针对被测系统存在的安全问题,结合电力监控系统安全防护相关要求,提出以下整改建议:(1)在生产控制大区部署网络入侵检测系统,全面检测和监视网络通信状态,提供实时的入侵监控及相应的防护手段。(2)生产大区部署安全审计系统对网络日志行为进行记录管理。附表:附表: 保保“十九大十九大”隐患治理计划表(电力监控系统安全防护评估)隐患治理计划表(电力监控系统安全防护评估)序号评估问题是否上次检查评估相似问题责任单位责任人整改计划验收签字1生产控制大区未部署网络入侵检测系统。否设备工程部杜延海、白永胜积极申请资金,待资金落实后进行整改2生产控制大区未部署安全审计系统。否设备工程部杜延海、白永胜积极申请资金,待资金落实后进行整改
