《XX水电站电力监控系统安全防护的策略研究》由会员分享,可在线阅读,更多相关《XX水电站电力监控系统安全防护的策略研究(9页珍藏版)》请在金锄头文库上搜索。
1、XX水电站电力监控系统安全防护的策略研究XXXXXXXXX公司 成果主要创造人:XXX概述:XXXXXX限公司XX水电站为了防范黑客及恶意代码等对电力监控系统的攻击侵害及由此引发电力系统事故,特建立电力监控系统安全防护体系,保障电力系统的安全稳定运行。根据中华人民共和国计算机信息系统安全保护条例和2014年国家发展改革委员会第14号令电力监控系统安全防护规定、国家能源局国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知(国能安全201536号)等有关文件精神,建设XX水电站电力监控系统安全防护,确保电站机组安全、优质、稳定运行。XX水电站电力监控系统安全防护在生产控制
2、大区添加企业型防火墙、企业型网络安全隔离装置、隔离型纵向加密认证系统等,是为了防范抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,加强电厂内外部网络的安全性,有效的防止不同渠道及非法用户跨权限访问,通过独特的加密体系认证,避免数据在传输过程中被非法劫持及篡改,确保了电力调度信息资源的合法性、安全性。一、XX水电站电力监控系统安全防护策略电力监控系统安全防护总体框架要求电力监控安全防护系统的安全防护技术方案必须按照2014年国家发展改革委员会第14号令电力监控系统安全防护规定、国家能源局国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知(国能安全201
3、536号)进行设计构建。(一)安全防护的基本原则1. 系统整体性原则;2. 简单易操作性原则3. 系统牢固可靠性原则;4. 需求与代价相平衡的原则;5. 实时与安全相统一的原则;6. 先进性与实用性相结合的原则;7. 安全性与方便性相统一的原则;8. 全面防护与重点突出的原则;9. 划层分区、强固边界的原则;10. 全面规划、分散实施的原则;11. 责任到人,分级管理,综合防控,联合防护的原则。(二)安全策略安全策略是安全防护体系的核心,是安全工程的中心。安全策略可以分为总体策略、面向每个安全目标的具体策略两个层次。策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全
4、技术体系与管理体系的依据。电力监控系统的安全防护策略为:1.系统安全分区根据系统中各业务的重要性和对一次系统的影响程度划分为二个大区:生产控制大区I、管理信息大区,所有系统都必须置于相应的安全区内。2.调度网络专用建立专用电力调度数据网络,与电力企业数据网络实现物理隔离,在调度数据网上形成相互逻辑隔离的实时子网和非实时子网,避免安全区纵向交叉连接。3.设备横向隔离采用不同强度的安全设备隔离各安全区,尤其是在生产控制大区与管理信息大区之间实行有效安全隔离,隔离强度应接近或达到物理隔离。4.纵向加密认证采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护。(三)电力监
5、控系统安全防护的安全区划分根据XX水电站电力监控系统安全防护的特点,各相关业务系统的重要程度和相关流程、现时状况和安全要求,将电力监控系统安全防护分为二个安全区:生产控制大区I、管理信息大区,不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。其中安全区的安全等级最高,安全区次之。生产控制大区与管理信息大区之间必须采用经国调中心认可的电力专用安全隔离装置。(四)业务系统安全区的规则根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响,将其分置于两个安全区之中。实时控制系统或未来可能有实时控制功能的系统需置于安全区。如
6、:机组监控系统,实时性很强。用于在线控制,所以置于安全区I。电力监控系统安全防护中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区,由属于高安全区的人员使用。(五)安全区横向隔离要求在各安全区之间均需选择适当安全强度的隔离装置,尤其在生产控制大区和管理信息大区之间要选择使用达到或接近物理强度的专用隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。二、XX水电站电力监控系统安全防护总体结构拓朴图三、XX水电站电力监控系统安全防护实施方案电力监控系统安全防
7、护设备放置于通信机房专用机柜,使用监控系统UPS电源及通信-48V直流双路供电(一)设备柜上分布情况电力监控系统安全防护一平面设备PDU(监控系统UPS电源)纵向加密装置(实时)纵向加密装置(非实时)数据网络交换机(实时)数据网络交换机(非实时)数据网络路由器PDU(通信-48V直流)电力监控系统安全防护二平面设备PDU(监控系统UPS电源)纵向加密装置(实时)纵向加密装置(非实时)数据网络交换机(实时)数据网络交换机(非实时)数据网络路由器PDU(通信-48V直流) 注:按照柜体结构自上而下进行设备布置(二)设备配置命名设备命名规则按照简单,直观,整体性,逻辑性,并充分预留的原则,并结合省级
8、调度要求采用字母与数字结合的方法,XX水电站电力监控系统安全防护的设备命名如下:XX水电站电力监控系统安全防一平面设备纵向加密装置(实时)纵向加密装置(非实时)数据网络交换机(实时)数据网络交换机(非实时)数据网络路由器XX水电站电力监控系统安全防二平面设备纵向加密装置(实时)纵向加密装置(非实时)数据网络交换机(实时)数据网络交换机(非实时)数据网络路由器(三)端口描述为便于识别和维护,定义VLAN和VLAN端口、物理端口描述的规则如下:交换机之间互联用VLAN、VLAN接口的描述规则为:description to-设备名称例如:本设备连接到纵向加密A,VLAN接口的描述为:descrip
9、tion to XXXXXX交换机连接服务器或者用户的VLAN及VLAN接口的描述为:Description服务器名或用户组名例如:本VLAN连接远动系统EMS,描述为:DescriptionEMS (四)路由协议部署路由协议用于学习和维护路由,为网络通讯提供最佳路径,路由协议选择原则如下:1.开放性和标准化必须使用国际标准的路由协议,保证网络的开放性,支持不同厂商设备的路由互连。2.可扩展性使用的路由协议必须具备良好的扩展能力,能够支持网络规模的持续增长。3.支持数据分流路由协议应该支持灵活的路由策略,通过调整路由策略,可以实现数据分流。4.安全性及稳定性必须确保数据在传输过程中必须中,不被
10、非法者劫持或篡改。(五)备连接拓扑图(六)设备端口接线表XX水电站电力监控系统安全防护设备设备端口号用途路由器GE0连接实时区纵向加密设备ETH1GE1连接非实时区纵向加密设备ETH1CE2备用端口实时区纵向加密设备ETH1连接路由器GE0ETH0连接实时区交换机FE1非实时区纵向加密设备ETH1连接路由器GE1ETH0连接非实时区交换机FE1实时区交换机FE1连接实时区纵向加密设备ETH0FE2-24连接业务设备非实时区交换机FE1连接非实时区纵向加密设备ETH0FE2-24连接业务设备结语:XX水电站电力监控系统安全防护项目的规划和实施过程中,始终遵循国家对电力监控系统安全防护的规定并明确本项目系统在电厂信息自动化系统中所处位置,配置的设备都得到国家相关部门认证的正反向隔离装置用于安全区I到安全区II之间,确保数据单向传递,对数据传递的稳定性、完整性、实时性提供了保证。整个系统严格坚持安全分区、网络专用、横向隔离、纵向认证的原则,能有效保障XX水电站电力监控系统和电力调度数据网络的安全。
