《光伏电站用户站电力监控系统安全防护规划方案》由会员分享,可在线阅读,更多相关《光伏电站用户站电力监控系统安全防护规划方案(12页珍藏版)》请在金锄头文库上搜索。
1、光伏电厂电力监控系统安全防护技术方案编制审核批准单位名称(加盖公章)2017年 6 月 22 日方案编制依据中华人民共和国计算机信息系统安全保护条例 国务院 1994 年 147 号令2011 年修订)电力监控系统安全防护规定2014 年第 14 号令中华人民共和国国家发展和改革委员会电力行业网络与信息安全管理办法 号电力行业等级保护管理办法号电力监控系统安全防护总体方案二、 总体目标和原则国能安全 2014 317国能安全 2014 318国能安全 2015 36 号( 一) 总体目标确保新特汇能电厂电力监控系统和电力调度数据网络的安全,抵御黑客、 病毒、恶意代码等各种形式的恶意破坏和攻击,
2、 特别是抵御集团式攻击, 防止电 力监控系统的崩溃或瘫痪,以及由此造成的电力系统事故或大面积停电事故。( 二) 总体原则坚持“安全分区、网络专用、横向隔离、纵向认证”总体原则,重点强化 边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。 三、 安全防护方案( 一) 电力监控系统概述1. 分散控制系统( DCS )无2. 网络监控系统( SCADA )本厂 SCADA 系统包括( 2 )台主机兼工作站、( 4)台工作站,操作系统主要采用 LINUX 系统,数据库主要采用 MySQL 数据库。系统外部通信接口如下,均采用 TCP/IP 协议进行数据通讯:序号互联系统或设备接口型
3、式1SCADA 系统TCP/IP协议2功率预测系统TCP/IP协议3综合自动化装置TCP/IP协议4自动电压AVCTCP/IP协议5自动发电AGCTCP/IP协议3. 相量测量装置( PMU )无。4. 电能量采集装置本厂电能采集装置采用兰吉尔 FFG_Plus ,电能表通过 RS485 与电能采集装置进行数据传输,后经过采集装置通过 TCP/IP 协议进行数据通讯。5. 总体网络拓扑图?|窿帘琴伏-电站( 二) 安全分区 按照电力监控系统安全防护规定,原则上将发电厂基于计算机及网络 技术的业务系统划分为生产控制大区和管理信息大区, 并根据业务系统的重要性 和对一次系统的影响程度将生产控制大区
4、划分为控制区(安全区I)及非控制区(安全区II),重点保护生产控制及直接影响机组运行的系统。本厂 安全分区如下:安全I区:光伏区环网、工作站、保护装置、直流系统、ups、站用变、站控设备组成的控制网络,与安全II区通过防火墙实现硬件隔离。安全II区:电能采集、功率预测数据,安全II区与安全III区通过反向隔离 装置实现硬件隔离。安全III区:MIS管理系统,此链路独立无其他连接,气象站通过反向隔离 装置与安全II区功率预测实现硬件隔离。汇能库尔勒光伏一电站安全分区表序号业务系统及设备控制区安全区非控制区安全二区管理信息大区光伏电站运行监控系统电站运行监控2无功电压控制无功电压控制3发电功率控制
5、发电功率控制4开关柜监控系统开关柜监控5继电保护装置及管理终端保护装置6故障录波故障录波装置7电能量采集装置电能量采集8光伏功率预测系统光功率预测9天气预报系统数字天气预报10管理信息系统MISMIS( 三) 网络专用调度数据网是生产控制大区相连接的专用网络,电力实时控制、在线生产 交易等业务。我厂的电力调度数据网使用电力光缆且网络设备独立, 物理层面上 实现与电力企业其他数据网及外部公共信息网的安全隔离。 厂端电力调度数据网 划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。( 四) 横向隔离横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区,
6、 在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置, 隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设 备、安全可靠的硬件防火墙或者相当功能的设施, 实现逻辑隔离。防火墙的功能、 性能、电磁兼容性必须经过国家相关部门的认证和测试。我厂控制区与非控制区配置 SECWORLD 防火墙,规则合理运行正常,除 此链接外无其他链路链接控制区与非控制区。( 五) 纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制 大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专 用纵向加密认证
7、装置,实现双向身份认证、数据加密和访问控制其他安全措施。我厂信息管理大区(天气预测系统)与安全二区装设反向隔离装置 Stone wall-2000 单向数据传递正常,信息管理区除此连接外并无其他链路介入安全 二区。 MIS 系统为独立链路,无其他接入。1. 防病毒我站生产区域内的计算机信息系统,要与 Internet 网分开,并建立计算 机病毒防火墙, 对服务器, 要采用先进的网络防计算机病毒软件, 并对经过服务 器的信息进行监控, 防止计算机病毒通过邮件服务器扩散、 传播。随时注意各种 异常现象,一旦发现,应立即用查毒软件仔细检查。 经常更新与升级防杀计算机 病毒软件的版本。对生产区域内的要
8、定点、定时、定人作查毒杀毒巡检。当出现 计算机病毒传染迹象时, 立即隔离被感染的系统和网络并进行处理, 不应带“毒” 继续运行;发现计算机病毒后, 一般应利用防杀计算机病毒软件清除文件中的计 算机病毒,对于杀毒软件无法杀除的计算机病毒, 应及时请专业人员解决。 对新购进的计算机及设备, 为防止原始计算机病毒的侵害, 要组织专业人员检查后方可安装运行; 联网计算机、 重要系统的关键计算机要安装防计算机病毒软件, 并 定期或及时更新计算机病毒防范产品的版本; 要使用国家规定的、 具有计算机使 用系统安全专用产品销售许可证的计算机防计算机病毒产品。 系统中的程序要定 期进行比较测试和检查。 严禁使用
9、盗版软件, 特别是盗版的杀毒软件, 严禁在工 作计算机上安装、运行各类游戏软件。2. 主机加固我厂准备安装主机加固, 主机加固软件为信达 S-numen ,强制进行权限分 配,保证对系统资源(包括数据和进程)的访问符合定义的主机安全策略,防止 主机权限被滥用。3. 入侵检测当系统发生入侵行为或者违反安全策略的操作时, S-numen 利用自身功能 对用户(程序)在网络层和系统内部对该用户(程序)进行阻断,并且由系统向 管理员进行报警。在报警条件中添加相应的报警规则, S-numen 可对入侵行为 和违反安全策略的用户(程序)进行阻断。当有违反安全规则的情况出现时, S-numen 服务器端会向
10、特定的系统发送报警信息, S-numen 监控程序会以多 中方式进行报警。在后台可以提供告警。4. 安全审计日志审计和日志管理对于网络安全会起到重要作用, S-numen 拥有独立的 日志审计系统,通过方便的检索可以方便安全管理员的工作。 S-numen 的日志 生成实在内核级上实现的, 日志根据设置也可不生成, 当生成时, 还可以设置是 否按项目设置生成,所以应视系统存储空间的大小进行适当设置来使用。S-numen 提供多种检索功能,方便管理的工作。5. 等级测评5.1.1 保护及远动通信系统定级序号定级对象系统级别1电力调度数据网2级2SCADA 系统3级3故障录波器系统3级4电量计量系统
11、2级5AVC系统3级6时间同步装置2级7保护装置3级8调度综合数据网2级9通信电源系统2级10光端机系统2级11PCM系统2级12调度父换机系统2级13行政交换机系统2级5.1.2信息专业设备定级序号定级对象系统级别1全厂网络2级2视频监控系统2级3电子围栏系统2级4软件系统2级5.2生产控制大区内部安全防护技术要求( 1)禁止生产控制大区内部的 E-Mail 服务,禁止控制区内通用的 WEB 服务,并进行安全加固。2)生产控制大区重要业务的远程维护采用身份认证机制。( 3)生产控制大区内的业务系统间采取 VLAN 和访问控制等安全措施,限制 系统间的直接互通。(4)生产控制大区部署恶意代码防护系统,采取防范恶意代码措施。病毒库、木马库以及 IDS 规则库的更新应该离线进行。5)各层面的数据网络之间通过路由限制措施进行安全隔离, 保证网络故障和安全事件限制在局部区域之内。
