《xx电厂电力监控系统安全防护方案-(模版)(一)》由会员分享,可在线阅读,更多相关《xx电厂电力监控系统安全防护方案-(模版)(一)(20页珍藏版)》请在金锄头文库上搜索。
1、XXXX 电厂电厂电力监控系统安全防护方案电力监控系统安全防护方案批准:审核:编制:20172017 年年 5 5 月月目目 录录一、一、编制依据及使用范围编制依据及使用范围31.1 本方案编制依据 .3 1.2 适用范围.3二、二、现状现状32.1 安全分区、网络拓扑结构及安全部署.3 2.2 系统概况.4三三 总体目标总体目标5四四 管理措施管理措施54.1 组织机构.5 4.1.1 领导小组.5 4.1.2 领导小组职责.5 4.1.3工作小组6 4.1.4 工作小组职责.6 4.2 规章制度.7 4.3 运行管理.7 4.4 严格外来人员管控.8 4.5 应急机制.9 4.6 建立信息
2、通报机制.10 4.7 信息保密.10五五 技术措施技术措施125.1 安全分区.12 5.1.1 生产控制大区的安全区划分(作参考).12 5.1.2 管理信息大区的安全区划分.12 5.2 网络专用.13 5.3 横向隔离.13 5.4 纵向认证.13 5.5 安全加固.14八八 软硬件设备清单软硬件设备清单16附件附件 1:XX 电厂电力监控系统安全防护拓扑图电厂电力监控系统安全防护拓扑图21附件附件 2:安防组织机构与领导小组:安防组织机构与领导小组.21Comment s1: 电厂情况简介Comment s2: 根据实际情况写XXXX 电厂电厂电力监控系统安全防护方案电力监控系统安全
3、防护方案xx 电站电力监控系统安全防护的原则为:“安全分区,网络专用,横向隔离,纵向认证”。安全防护主要针对网络系统和基于网络的电力生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。xx 电站位于.。一、编制依据及使用范围1.1 本方案编制依据(1)电力监控系统安全防护规定(发改委第 14 号令);(2)国家能源局关于印发电力监控系统安全防护总体方案等(国能安全【2015】36 号文)1.2 适用范围本安全防护方案的安全防护原则适用于 xx 电厂电力监控系统中各类应用和网络。涉及业务范围:电站监控系统、PMU 系统、故障录波及保护信息子站系统、电能计量
4、系统、AVC系统。二、现状2.1 安全分区、网络拓扑结构及安全部署XX 电厂电力监控系统安全防护采用链式结构,按总体防护方案分为生产控制大区和管理信息大区,其中生产控制大区包括控制区(安全区)、非控制区(安全区),管理信息大区包括信息管理区(安全区)、生产管理区(安全区)。(1)安全区通过交换机纵向认证加密装置电力调度数据网接入路由器接入地调接入网;(2)安全区通过交换机纵向认证加密装置电力调度数据网接入路由器接入Comment s3: 未部署电力调度数据 网的,该两条写明仅使用专线数字通 道,未使用网络通道。Comment s4: 横向隔离,具体设备 数量依照实际情况填写Comment s5
5、: 横向隔离,具体设备 数量依照实际情况填写Comment s6: 具体设备数量依照实 际情况填写Comment s7: 各电厂需要绘制自己 的安全防护拓扑图Comment s8: 根据实际情况写,后 续对每个系统展开介绍Comment s9: 仅供参考,根据实际 系统填写地调接入网;(3)区与区间,配置 2 台隔离装置;区与区间,配置 1 台隔离装置(4)区与区间,配置 1 台防火墙。XX 电厂电力监控系统安全防护拓扑图见附件 1。2.2 系统概况本项目电力监控系统主要包括升压站电站监控系统、光伏电站运行监控系统PMU 系统、故障录波、保护信息子站系统、ERTU、风功率预测、AVC/AGC
6、系统等。各系统概况如下: (1)电站监控系统XX 电厂升压站电力监控系统配置升压站电站监控系统,系统中集成微机远动装置,采集电厂 110kV 线路、主变压器、35kV 母线,接地变、SVG 等相关设备运行状态。远动信息通过电力调度数据网送至绍兴地调,并接收地调的 AVC/AGC 命令。升压站电站监控系统通过电力调度数据网与调度系统进行信息交换。(2)PMU 系统 XX 电厂电力监控系统配置有 PMU 相量测量装置,采集电厂一回出线信息。PMU 采用电力调度数据网方式将相角信息传送至绍兴地调主站系统。(3)故障录波及保护信息子站系统 XX 电厂电力监控系统配置有 XXkV 故障录波及保护信息子站
7、系统,实现对厂内保护和故障录波信息的统一管理,并将保护和故障录波信息通过电力调度数据网发送至调度端。故障录波及保护信息子站系统与厂内其它系统无信息交换。(4)电能计量系统XX 电厂电力监控系统配置了一套电能计量系统,电能计量系统通过电力调度数据网上送至绍兴地调。(5)AVC 系统XX 电厂电力监控系统配置一套 XX 公司的 AVC 控制系统对 XXkV 电压进行控制,通过分别调节主变的有载调压开关及逆变器,SVG 无功出力来实现对 XXkV 母线电压的控制。(6)光功率预测系统Comment s10: 电厂内部组织体系确 定,请汇报领导,明确责任人后自行 填入三 总体目标电力监控系统安全防护的
8、重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及监控系统的崩溃或瘫痪。结合电站的实际情况,电站监控系统安全防护的总体目标包括:1、防止发电厂监控系统服务等核心业务(即电力生产)中断。2、防止发电厂监控系统本身崩溃。3、抵御外部人员对电站内或存在网络关联的电站外部电力监控系统发起的恶意破坏和攻击。4、防止利用病毒、木马等恶意程序,从发电厂监控系统局域网内部发起对站内或站外电力监控系统的恶意破坏和攻击。5、保护发电厂监控系统实时和历史数据,主要防止数据被非
9、授权修改。四 管理措施4.1 组织机构4.1.1 领导小组组 长:副组长:成 员:4.1.2 领导小组职责(1)负责建立、健全公司电力监控系统安全防护管理的组织机构;负责组织制定、完善公司电力监控系统安全防护管理分级负责的责任制。(2)负责公司电力监控系统总体设计方案的安全审查和完善;负责组织各专业监控系统安全防护管理制度的审查和完善,保证公司电力监控系统安全防护组织机构有效运转;负责公司电力监控系统安全防护方案的制定和实施;组织制定公司电力监控系统安全评估制Comment s11: 电厂内部组织体系确 定,请汇报领导,明确责任人后自行 填入Comment s12: 明确电厂内部的职能 部门C
10、omment s13: 明确电厂内部的职能 部门Comment s14: 同上Comment s15: 同上度。(3)负责建立公司电力监控系统安全联合防护机制和应急机制;当公司电力监控系统受到攻击、病毒感染或发生严重故障时负责宣布应急预案的启动。4.1.3 工作小组组 长:副组长:成 员:4.1.4 工作小组职责(1)电厂 xx 部门负责组织 XX 电厂电力监控系统总体设计,负责组织 XX 电厂电力监控系统安全防护方案的制定、完善和实施;负责组织制定和完善 XX 电厂电力监控系统安全评估制度和应急预案;在签订电力监控系统技术合同时,应根据国家发展和改革委员会第14 号令电力监控系统安全防护规定
11、的第十八条要求,要求电力监控系统相关设备及系统的开发单位、供应商以合同条款或保密协议的方式保证其所提供的设备及系统符合规定要求,并在设备及系统的生命周期内对此负责;要求电力监控系统专用安全产品的开发单位、使用单位及供应商按国家有关要求做好保密工作,禁止关键技术和设备的扩散。(2)XX 电厂电力监控系统防护各专业应用系统根据设备划分,由 xx 部门负责。Xx 部门负责人作为电力监控系统本专业方面的安全防护第一责任人,具体负责本专业方面的电力监控系统安全防护管理;具体制定本专业方面的电力监控系统安全防护的有关安全管理制度;负责本专业方面的电力监控系统安全防护方案的落实;严格执行安全防护事件通报制度
12、,有关安全问题做好记录;做好相关数据的备份工作,妥善保管重要软件、参数;定期对本专业方面的电力监控系统进行安全风险评估,及时进行自查整改,定期升级网络防病毒软件或防火墙软件版本。(3)xx 部门的一般工作人员应熟练掌握并严格遵守本专业的各项安全管理制度。(4)xx 部门负责检修管理系统以及调度管理系统等系统服务器机房、远动设备、自动化设备、通信机房设备等的维护管理。4.2 规章制度由领导小组与工作小组共同制定相关管辖范围内的管理制度:(1)门禁管理和机房出入登记制度;(2)权限密码管理制度(3)电力监控系统维护管理制度,包括 :机房、主机系统、网络系统、各种安全隔离,加密装置、应用系统等的维护
13、管理制度;(4)安全防护岗位职责制度;(5)电力监控系统备份与恢复管理制度;(6)安全评估安全审计管理制度;(7)职工定期安全培训制度;4.3 运行管理(1)人员管理 明确各级人员的安全职责,经常进行安全防护培训,定期检查各级人员安全职责的实施情况。(2)权限管理针对不同的电力监控系统,对不同的用户实体、不同的使用人员赋予相应的访问权限和操作权限。(3)访问控制管理操作人员登录进入关键的业务系统(如电站监控系统)以及对关键的控制操作应该进行身份认证及操作权限控制。(4)设备及子系统的维护管理 a.对设备及子系统的安全漏洞及时进行防护或加固;b.充分准备各个设备及子系统的维护资料及维护工具;c.
14、充分准备设备及子系统故障处理的预案以及故障恢复所需的各种备份,并经常进行预演;d.及时了解相关软件漏洞发布信息,及时获得补救措施或软件补丁对软件进行加固;e 一旦出现安全故障应该及时报告、保护现场、恢复系统。(5)用户口令的管理a.人员的 ID 及口令设立必须按照规定流程进行相应审批;b.ID 及口令应该具有足够的长度和复杂度,及时更新;c.系统的超级管理员的 ID 及口令必须由专人保管和修改,严格限定使用范围;d.用户丢失或遗忘 ID 及口令,必须通过规定的流程向管理员申请新的 ID 及口令;e.用户调离后,管理员必须立即注销其 ID 并取消相应权限。4.4 严格外来人员管控(1)为确保机房
15、信息及设备的安全,电站必须严格管理,对外来人员进行机房做如下规定:(2)非机房工作人员因工作需要进入机房时,先进行登记,经允许方能进入机房;(3)进入机房的外来人员及携带的物品,均须接受检查登记,详尽如实地填写机房出入登记表上的相关内容,机房管理人员负责登记的监督工作,确认无误后方可进入机房;(4)外单位员工进入机房前,根据不同的工作属性需提供相应的文件资料及办理机房出入证。属于工程施工类的,需由项目负责人及生产运营部进行审批。进入机房需提供本人有效身份证件及办理的施工证,经机房管理人员同意后才能进入机房。机房管理人员安排专业主管进行随工,随工人员全程监督并承担随工过程的管理责任;(5)设备厂
16、家督导人员进入机房前,需提交设备操作 审批表,并由运行维护部进行审批,并需办理机房出入证。进入机房需提供设备操作审批表和机房出入证。机房管理人员安排专业主管进行随工,随工人员全程监督并承担随工过程的管理责任;(6)外单位施工人员和设备厂家督导人员现场操作 完成后,需经随工人员确认后,方可退还施工证和机房出入证;(7)参观人员进入机房需部门管理人员通知机房管理人员。由机房管理人员陪同,陪同人员应全程陪同并承担参观过程的管理责任;(8)外来人员进出机房,需遵守机房相关管理规定,佩戴机房出入证或施工证。保持机房卫生、整洁,进入机房要求穿机房专用鞋或戴鞋套;(9)未经领导许可,外来人员不得在房间内任务服务器上安装新软件,若确实需要安装,安装前应进行病毒例行检测。不得在服务器上使用来路不明的 U 盘、光盘等存储介质;(10) 严格控制进入机房人员,不允许私自带他人入内。4.5 应急机制 4.5.1 总则4.5.1.1 编制目的为提高电力监控系
