《华润星火风电场电力监控系统安全防护方案-更新V5》由会员分享,可在线阅读,更多相关《华润星火风电场电力监控系统安全防护方案-更新V5(19页珍藏版)》请在金锄头文库上搜索。
1、华润星火风电场电力监控系统华润星火风电场电力监控系统安全防护方案安全防护方案- -更新更新 V5V5华润星火风电场(扩容工程)电力监控系统华润星火风电场(扩容工程)电力监控系统安全防护方案安全防护方案签发:签发: 祝海洋祝海洋审核:审核: 黄鹏飞黄鹏飞编制:编制: 纪志雄纪志雄 刘海东刘海东编制时间:二零一六年八月编制时间:二零一六年八月0 00 0项目情况说明项目情况说明华润星火风电场前期工程总装机容量约为华润星火风电场前期工程总装机容量约为 99.6MW99.6MW,配套建设有,配套建设有一座一座 110110 千伏升压站,千伏升压站, 以以 110110 千伏电压等级接入严湾变电站。千伏
2、电压等级接入严湾变电站。 前期工前期工程于程于 20152015 年并网发电,并接受襄阳供电公司的调度管理。年并网发电,并接受襄阳供电公司的调度管理。本期为星火风电场扩容工程,建设规模本期为星火风电场扩容工程,建设规模 20MW20MW。本次工程从已有。本次工程从已有的的 110110 千伏升压站新建一条通信链路接入至湖北省调,千伏升压站新建一条通信链路接入至湖北省调, 以同时接受襄以同时接受襄阳地调及湖北省调的调度管理。阳地调及湖北省调的调度管理。华润星火风电场一期工程电力监控系统安全防护方案已于华润星火风电场一期工程电力监控系统安全防护方案已于 20152015年在湖北省电力公司进行备案,
3、年在湖北省电力公司进行备案, 本次二期扩容工程的电力监控系统安本次二期扩容工程的电力监控系统安全防护方案是在一期工程电力监控系统安全防护方案的基础上增加全防护方案是在一期工程电力监控系统安全防护方案的基础上增加了风电场至湖北省调部分的相关说明。了风电场至湖北省调部分的相关说明。具体方案附后。具体方案附后。0 01 1 总则总则1.11.1为了加强星火风电场电力监控系统安全防护,保障风电场内设为了加强星火风电场电力监控系统安全防护,保障风电场内设备安全稳定运行,抵御黑客、病毒、恶意代码,特别是集团式备安全稳定运行,抵御黑客、病毒、恶意代码,特别是集团式攻击等通过各种形式对风电场电力监控系统的攻击
4、侵害,以及攻击等通过各种形式对风电场电力监控系统的攻击侵害,以及其他非法操作,防止风电场电力监控系统瘫痪和失控,并依据其他非法操作,防止风电场电力监控系统瘫痪和失控,并依据电力监控系统安全防护规定电力监控系统安全防护规定 (国家发展和改革委员会令(国家发展和改革委员会令20142014 年第年第 1414 号)号) 、 电力监控系统安全防护总体方案电力监控系统安全防护总体方案 (国能安(国能安全全 2015 36 2015 36 号)号) ,并结合星火风电场电力监控系统和电力调,并结合星火风电场电力监控系统和电力调度中心的实际情况制定了本方案。度中心的实际情况制定了本方案。1.21.2本方案工
5、作坚持安全分区、网络专用、横向隔离、纵向认证的本方案工作坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障风电场计算机监控系统、通信自动化系统和电力调原则,保障风电场计算机监控系统、通信自动化系统和电力调度数据网络的安全。度数据网络的安全。1.31.3鉴于安全防护工程是永无休止的动态工程,因而此方案将在今鉴于安全防护工程是永无休止的动态工程,因而此方案将在今后实施运行中根据生产需要不断地加以修正,以满足国家电监后实施运行中根据生产需要不断地加以修正,以满足国家电监会对电力监控系统安全防护所要求的系统性原则和螺旋上升的会对电力监控系统安全防护所要求的系统性原则和螺旋上升的周期性原则。周期性原
6、则。1.41.4成立星火风电场电力监控系统(信息、通信、自动化系统)应成立星火风电场电力监控系统(信息、通信、自动化系统)应急工作领导小组,急工作领导小组, 由场长任组长。由场长任组长。 坚决贯彻落实国家能源局坚决贯彻落实国家能源局 电电力监控系统安全防护总体方案力监控系统安全防护总体方案 , 认真执行本方案,认真执行本方案, 做到做到 “组织、“组织、人员、思想、措施”四落实和“责任、制度、工作”三个到位,人员、思想、措施”四落实和“责任、制度、工作”三个到位,力争把危害降低到最小程度。力争把危害降低到最小程度。1 12 2 安全管理机制安全管理机制2.12.1 安全分级负责制安全分级负责制
7、星火风电场按照“谁主管谁负责,谁营运谁负责”的原则,建立星火风电场按照“谁主管谁负责,谁营运谁负责”的原则,建立健全的电力二次系统安全管理制度,健全的电力二次系统安全管理制度, 将电力监控系统安全防护及其信将电力监控系统安全防护及其信息报送纳入日常安全生产管理体系,息报送纳入日常安全生产管理体系, 负责风电场内电力监控系统的安负责风电场内电力监控系统的安全管理,全管理, 各相应单位设置电力生产监控系统的安全防护小组或专职人各相应单位设置电力生产监控系统的安全防护小组或专职人员。员。2.22.2 相关人员的安全职责相关人员的安全职责风电场成立电力监控系统安全防护管理小组,风电场成立电力监控系统安
8、全防护管理小组, 由主管安全生产的由主管安全生产的负责人作为电力监控系统安全防护的主要负责人,负责人作为电力监控系统安全防护的主要负责人, 并制定专人负责管并制定专人负责管理本风电场所辖电力监控系统的公共安全设施,理本风电场所辖电力监控系统的公共安全设施, 明确各业务系统专责明确各业务系统专责人的安全管理责任。人的安全管理责任。2.32.3 工程施工的安全管理工程施工的安全管理电力监控系统相关设备及系统采用安全可靠的软硬件产品,电力监控系统相关设备及系统采用安全可靠的软硬件产品, 开发开发单位、单位、 供应商以合同条款或协议方式保证提供的设备及系统符合电力供应商以合同条款或协议方式保证提供的设
9、备及系统符合电力监控系统安全防护要求,并在设备及系统安全生命周期内对其负责。监控系统安全防护要求,并在设备及系统安全生命周期内对其负责。电力监控系统专用安全产品的开单位、电力监控系统专用安全产品的开单位、 风电场及供应商,风电场及供应商, 按国家按国家有关规定做好保密工作,禁止安全防护关键技术和设备的扩散。有关规定做好保密工作,禁止安全防护关键技术和设备的扩散。生产控制大区的各业务系统禁止以各种方式与互联网连接,生产控制大区的各业务系统禁止以各种方式与互联网连接, 限制限制2 2开通拨号功能,关闭或拆除主机上不必要得软盘、光盘驱动、开通拨号功能,关闭或拆除主机上不必要得软盘、光盘驱动、UBSU
10、BS 接接口、串行口、无线、蓝牙等,严格控制在生产控制大区和管理信息大口、串行口、无线、蓝牙等,严格控制在生产控制大区和管理信息大区之间交叉使用移动存储介质以及便携式计算机。区之间交叉使用移动存储介质以及便携式计算机。 确需保留的必须通确需保留的必须通过安全管理及技术措施实施严格监控。过安全管理及技术措施实施严格监控。接入电力监控系统生产控制大区中的安全产品,接入电力监控系统生产控制大区中的安全产品, 均应当获得国家均应当获得国家指定机构安全检测证明,指定机构安全检测证明, 用于厂站的设备还需有电力系统电磁兼容检用于厂站的设备还需有电力系统电磁兼容检测证明。测证明。在纵向加密装置没有安装之前,
11、在纵向加密装置没有安装之前, 必须要从电力市场下载的数据或必须要从电力市场下载的数据或资料,资料, 每次下载只能使用专用移动硬盘,每次下载只能使用专用移动硬盘, 经过格式化杀毒后才能从机经过格式化杀毒后才能从机房的客户端下载,房的客户端下载, 严禁从集控室终端下载,严禁从集控室终端下载, 集控室终端只能利用与其集控室终端只能利用与其相连的打印机打印相关通知等重要内容。相连的打印机打印相关通知等重要内容。2.42.4 日常安全管理日常安全管理风电场建立电力监控系统安全管理制度,主要包括:门禁管理、风电场建立电力监控系统安全管理制度,主要包括:门禁管理、人员管理、权限管理、访问控制管理、安全防护系
12、统的维护管理,常人员管理、权限管理、访问控制管理、安全防护系统的维护管理,常规设备及各系统的维护管理、规设备及各系统的维护管理、恶意代码的防护管理、恶意代码的防护管理、审计管理,审计管理,数据数据及系统的备份管理、及系统的备份管理、 用户口令密匙及数字证书的管理、用户口令密匙及数字证书的管理、 培训管理等管培训管理等管理制度。理制度。机房设有门禁,机房设有门禁, 机房工作人员需登记进入机房。机房工作人员需登记进入机房。 非机房工作人员非机房工作人员不能随意进入机房。不能随意进入机房。 非机房工作人员进入机房必须登记和服从值班人非机房工作人员进入机房必须登记和服从值班人员管理。员管理。对关键安全
13、设备、对关键安全设备、 服务器的日志进行统一管理,服务器的日志进行统一管理, 及时发现安全管及时发现安全管理体系中存在的安全隐患和异常访问行为。理体系中存在的安全隐患和异常访问行为。3 3加强内部人员的保密教育、加强内部人员的保密教育、 录用离岗等的管理,录用离岗等的管理, 包括对接触内部包括对接触内部敏感信息第三方人员签署保密协议,敏感信息第三方人员签署保密协议, 对关键岗位人员离岗管理,对关键岗位人员离岗管理, 取回取回各种身份证件、各种身份证件、钥匙、钥匙、徽章等以及机构提供的软硬件设备,徽章等以及机构提供的软硬件设备,承诺调离承诺调离后保密义务后方可离开。后保密义务后方可离开。严格管理
14、各终端设备的接口使用。必须要进行接口连接作业的,严格管理各终端设备的接口使用。必须要进行接口连接作业的,要进行登记记录,要进行登记记录, 并对外连设备进行杀毒确认后才可进行。并对外连设备进行杀毒确认后才可进行。 对终端设对终端设备的用户登录口令加强管理,备的用户登录口令加强管理, 禁止有弱口令和空口令的现象;禁止有弱口令和空口令的现象; 对重要对重要的机组控制终端设备加装硬件狗;的机组控制终端设备加装硬件狗; 禁止监控系统设备终端之间有物理禁止监控系统设备终端之间有物理上的连接。上的连接。加强监控设备的巡视力度。对工程师站、机房、加强监控设备的巡视力度。对工程师站、机房、UPSUPS 电源和直
15、流电源和直流电源间、电子间等重要监控系统设备和监控系统设备相对集中的地电源间、电子间等重要监控系统设备和监控系统设备相对集中的地方,方, 每个工作日至少巡视一遍并进行记录。每个工作日至少巡视一遍并进行记录。 对巡视中发现的缺陷和隐对巡视中发现的缺陷和隐患及时消除,定期对设备维护记录和消缺记录进行分析、归纳。患及时消除,定期对设备维护记录和消缺记录进行分析、归纳。2.52.5 联合防护和应急处理联合防护和应急处理风电场建立健全的电力安全联合防护和应急机制,风电场建立健全的电力安全联合防护和应急机制, 且制定应急处且制定应急处理方案,并经过预演或模拟验证。理方案,并经过预演或模拟验证。一旦出现安全
16、事故(遭到黑客、病毒攻击和其他人为破坏)一旦出现安全事故(遭到黑客、病毒攻击和其他人为破坏) ,立,立即采取安全应急措施,即采取安全应急措施, 及时向场部及安全防护小组报告。及时向场部及安全防护小组报告。 并进行事故并进行事故现场的保护,认真进行事故的分析。现场的保护,认真进行事故的分析。发现系统正被黑客攻击按照按预先制订的应急方案进行处理。发现系统正被黑客攻击按照按预先制订的应急方案进行处理。 根根据不同情况分别采用加强保护、据不同情况分别采用加强保护、 中断对方连接、中断对方连接、 反跟踪以及其它处理反跟踪以及其它处理措施。措施。4 4灾难恢复维护:灾难恢复维护: 当系统因自然或人为的原因
17、遭到破坏,当系统因自然或人为的原因遭到破坏, 按照预先按照预先制定的应急方案实施系统恢复。制定的应急方案实施系统恢复。3 3 风电场安全防护组织机构及职责风电场安全防护组织机构及职责3.13.1 监控系统安全防护工作小组监控系统安全防护工作小组1 1)领导小组)领导小组组组长:长: 祝海洋祝海洋副组长:副组长: 黄腾飞黄腾飞领导小组职责:在风电场发生重大信通信息、通信、自动化系统领导小组职责:在风电场发生重大信通信息、通信、自动化系统事件时,负责指挥和协调相关资源。事件时,负责指挥和协调相关资源。2 2)工作小组)工作小组组组长:祝海洋长:祝海洋成成员:员: 刘海东刘海东 雷雨雷雨 肖鹏肖鹏
18、李强李强 解腾飞解腾飞 王雨龙王雨龙工作小组职责:在风电场发生重大信通信息、通信、自动化系统工作小组职责:在风电场发生重大信通信息、通信、自动化系统事件时,听从领导指挥,完成预案所涉及相关操作。事件时,听从领导指挥,完成预案所涉及相关操作。3.23.2 负责人职责负责人职责2.22.2 组长、副组长职责组长、副组长职责2.2.12.2.1 负责组织有关人员建立风电场所管辖的电力监控系统的安全负责组织有关人员建立风电场所管辖的电力监控系统的安全防护体系;防护体系;2.2.22.2.2 经常检查风电场的监控系统的安全防护的执行情况,经常检查风电场的监控系统的安全防护的执行情况, 定期组织定期组织有
19、关人员对系统进行安全评估;有关人员对系统进行安全评估;2.2.32.2.3 负责组织有关人员对风电场发生的安全事故进行认真分析并负责组织有关人员对风电场发生的安全事故进行认真分析并5 5及时报告。及时报告。2.2.42.2.4 全面管理风电场的监控系统运行工作;全面管理风电场的监控系统运行工作; 掌握风电场监控系统的掌握风电场监控系统的配置情况;配置情况;熟悉监控系统的分布;熟悉监控系统的分布;了解监控系统安全情况;了解监控系统安全情况;定定期或不定期组织讨论监控系统安全情况,期或不定期组织讨论监控系统安全情况, 协调各专业之间接口协调各专业之间接口安全问题。安全问题。3.33.3 成员职责成
20、员职责2.3.12.3.1 负责本专业应用系统已部署的安全产品的安全策略的设置和负责本专业应用系统已部署的安全产品的安全策略的设置和调整,对该产品日常运行进行精心的维护;调整,对该产品日常运行进行精心的维护;2.3.22.3.2 定期对安全产品的日志进行审计;定期对安全产品的日志进行审计;2.3.32.3.3 精心观察和分析该系统的安全状况,精心观察和分析该系统的安全状况, 并及时上报组长、并及时上报组长、 副组长。副组长。2.3.42.3.4 全面掌握本专业监控系统的分区情况;全面掌握本专业监控系统的分区情况; 掌握本专业监控系统的掌握本专业监控系统的配置情况;配置情况; 掌握本专业监控系统
21、的硬件设置情况及接口、掌握本专业监控系统的硬件设置情况及接口、 数据数据流向等;流向等; 做好本专业的数据备份;做好本专业的数据备份; 做好本专业监控系统的管理做好本专业监控系统的管理工作。工作。6 64 4 风电场电力监控系统安全防护基本原则风电场电力监控系统安全防护基本原则4.14.1 安全分区安全分区按照电力监控该系统安全防护规定按照电力监控该系统安全防护规定 ,本方案将风电场基于计,本方案将风电场基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,算机及网络技术的业务系统划分为生产控制大区和管理信息大区, 并并根据业务系统的重要性和对一次系统的影响程度将生产大区分为控根据业
22、务系统的重要性和对一次系统的影响程度将生产大区分为控制区(安全区制区(安全区 I I)及非控制区(安全区)及非控制区(安全区 IIII), ,重点保护生产控制以及重点保护生产控制以及之间影响风电场生产的系统。之间影响风电场生产的系统。 其中安全区的安全等级最高,其中安全区的安全等级最高, 安全区安全区IIII 次之,其余依次类推。次之,其余依次类推。4.24.2 网络专用网络专用电力调度数据网是与生产控制大区相连接的专用网络,电力调度数据网是与生产控制大区相连接的专用网络, 承载电力承载电力实时控制、实时控制、 在线生产交易等业务。在线生产交易等业务。 风电场端的调度数据网在专用通道风电场端的
23、调度数据网在专用通道上使用独立的网络设备组网,上使用独立的网络设备组网, 在物理层面上实现与电力其他企业及外在物理层面上实现与电力其他企业及外部公共信息网络的安全隔离。部公共信息网络的安全隔离。 风电场端的电力调度数据网划分为逻辑风电场端的电力调度数据网划分为逻辑隔离实时子网和非实时子网,分别连接控制区和非控制区。隔离实时子网和非实时子网,分别连接控制区和非控制区。4.34.3 横向隔离横向隔离横向隔离是电力监控系统安全防护体系的横向防线。横向隔离是电力监控系统安全防护体系的横向防线。 风电场在生风电场在生产控制大区与信息管理大区之间部署经国家指定部门检测认证的电产控制大区与信息管理大区之间部
24、署经国家指定部门检测认证的电力专用安全横向单向隔离装置,隔离强度接近物理隔离。力专用安全横向单向隔离装置,隔离强度接近物理隔离。生产控制大区内的安全区之间采用具有访问控制功能的网络设生产控制大区内的安全区之间采用具有访问控制功能的网络设备、备、 安全可靠的硬件防火墙,安全可靠的硬件防火墙, 实现逻辑隔离,实现逻辑隔离, 且防火墙的功能、且防火墙的功能、 性能、性能、电磁兼容性均经过国家相关部门的认证和测试。电磁兼容性均经过国家相关部门的认证和测试。4.44.4 纵向认证纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防护线。纵向加密认证是电力监控系统安全防护体系的纵向防护线。 风电风电7
25、7场生产控制大区与调度数据网之间纵向连接出设置经过国家指定部场生产控制大区与调度数据网之间纵向连接出设置经过国家指定部门检测认证的电力专用纵向认证装置,门检测认证的电力专用纵向认证装置, 实现双向身份认证、实现双向身份认证、 数据加密数据加密和访问控制。和访问控制。4.54.5 综合防护综合防护结合国家信息安全等级保护工作的相关要求对电力监控系统从结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行的安全防护过程。等多个层面进行的安全防护过程。8 85 5 风
26、电场电力监控系统安全分区风电场电力监控系统安全分区5.15.1 控制区(安全区控制区(安全区 I I)星火风电场的控制区主要包括以下业务系统和功能模块:星火风电场的控制区主要包括以下业务系统和功能模块: 风机监风机监控系统、无功电压控制控系统、无功电压控制(AVC)(AVC)、有功功率控制系统(、有功功率控制系统(AGCAGC) 、升压站监、升压站监视系统、相量测量装置(视系统、相量测量装置(PMUPMU) 、继电保护等。、继电保护等。5.25.2 非控制区(安全区非控制区(安全区 IIII)星火风电场的非控制区主要包括以下业务系统和功能模块:星火风电场的非控制区主要包括以下业务系统和功能模块
27、: 风功风功率预测系统、电能量采集装置和故障录波装置等。率预测系统、电能量采集装置和故障录波装置等。5.35.3 管理信息大区管理信息大区星火风电场的管理信息大区主要包括以下业务系统和功能模块:星火风电场的管理信息大区主要包括以下业务系统和功能模块:天气预报系统、检修管理系统、测风塔系统和办公信息系统等。天气预报系统、检修管理系统、测风塔系统和办公信息系统等。5.45.4 风电场电力监控系统安全分区表风电场电力监控系统安全分区表序号序号业务系统及设备业务系统及设备1 12 2风机监控系统风机监控系统无功电压控制无功电压控制控制区控制区非控制区非控制区管理信息管理信息大区大区备备注注A2A2A1
28、A13 34 45 56 67 78 8风机监控系统风机监控系统无功电压控制(无功电压控制(AVCAVC)升压站监视系统:升压站监视系统:线路测控装置线路测控装置升压站监视系统升压站监视系统110kV110kV 主变测控装置主变测控装置公用测量装置公用测量装置失步解列装置失步解列装置相量测量装置相量测量装置相量测量装置相量测量装置 PMUPMUPMUPMU继电保护装置及管理继电保护装置及管理继电保护继电保护终端终端故障录波故障录波故障录波故障录波装置装置电能量采电能量采电能量采集装置电能量采集装置集装置集装置风功率预测系统风功率预测系统风机功率风机功率A1A1B BB BB BA1A1、B B
29、A1A1、9 9序号序号业务系统及设备业务系统及设备9 9测风塔系统测风塔系统控制区控制区非控制区非控制区预测预测管理信息管理信息大区大区测风塔测风塔天气预报天气预报系统系统备备注注A2A2A2A2A2A21010天气预报系统天气预报系统注:注:1 1、A1A1 与调度中心有关的风电场设备;与调度中心有关的风电场设备;2 2、A2A2 风电场内部监控系风电场内部监控系统;统;3 3、B B 调度中心监控系统的厂站侧设备调度中心监控系统的厂站侧设备1 1 0 06 6 边界安全防护边界安全防护6.16.1 横向边界防护横向边界防护6.1.16.1.1 生产控制大区与管理信息大区边界安全防护生产控
30、制大区与管理信息大区边界安全防护风电场生产控制大区与管理信息大区之间通信部署风电场生产控制大区与管理信息大区之间通信部署1 1 台南瑞台南瑞SysKeeper-2000SysKeeper-2000(正向型)电力专用正向安全隔离装置和(正向型)电力专用正向安全隔离装置和1 1 台台SysKeeper-2000SysKeeper-2000(反向型)电力专用反向安全隔离装置。(反向型)电力专用反向安全隔离装置。6.1.26.1.2 控制区与非控制区边界防安全防护控制区与非控制区边界防安全防护风电场在控制区和非控制区之间部署风电场在控制区和非控制区之间部署 1 1 台具有访问控制功能的台具有访问控制功
31、能的迪普迪普 FW1000-MA-NFW1000-MA-N 型防火墙,型防火墙,以实现逻辑隔离、以实现逻辑隔离、报文过滤、报文过滤、访问控制访问控制等功能。等功能。 该防火墙经过国家相关部门的认证和测试,该防火墙经过国家相关部门的认证和测试,符合安全防护要符合安全防护要求。求。6.1.36.1.3 系统间的安全防护系统间的安全防护风电场内属于安全区风电场内属于安全区 I I 的各监视控制系统之间、的各监视控制系统之间、 风机监控系统与风机监控系统与控制系统之间、控制系统之间、 同一风电场的不同风机的不同监视功能之间,同一风电场的不同风机的不同监视功能之间, 尤其是尤其是风机监视系统与输变电部分
32、控制系统之间,采取划分归属不同风机监视系统与输变电部分控制系统之间,采取划分归属不同 VLANVLAN的逻辑访问控制措施。的逻辑访问控制措施。风电场内同属安全风电场内同属安全 IIII 的个网络之间,各不同位置的风机、厂站的个网络之间,各不同位置的风机、厂站网络之间,采取划分归属不同网络之间,采取划分归属不同 VLANVLAN 的逻辑访问控制措施。的逻辑访问控制措施。风电场内同属管理信息大区内的各系统之间、不同位置的风机、风电场内同属管理信息大区内的各系统之间、不同位置的风机、厂站网络之间,采取划分归属不同厂站网络之间,采取划分归属不同 VLANVLAN 的逻辑访问控制措施。的逻辑访问控制措施
33、。1 1 1 16.26.2 纵向边界防护纵向边界防护风电场生产控制大区系统与调度端系统通过电力调度数据网进风电场生产控制大区系统与调度端系统通过电力调度数据网进行远程通信,行远程通信,采用了认证、采用了认证、加密、加密、访问控制等技术措施实现数据的原访问控制等技术措施实现数据的原发安全传输以及纵向边界的安全防护。发安全传输以及纵向边界的安全防护。PMUPMU、继电保护、继电保护、AVCAVC 等实时信息系统属于安全区等实时信息系统属于安全区 I I 内的系统,内的系统,接入实时交换机。接入实时交换机。故障录波装置、电能量计量系统等属于安全区故障录波装置、电能量计量系统等属于安全区 IIII
34、内的系统,接内的系统,接入非实时交换机。入非实时交换机。在安全区在安全区 I I 及安全区及安全区 IIII 与襄阳电力调度数据网纵向连接处各配与襄阳电力调度数据网纵向连接处各配置一台南瑞置一台南瑞 NetKeeper-2000NetKeeper-2000 型纵向加密认证装置,从而与襄阳地调型纵向加密认证装置,从而与襄阳地调调度端实现双向身份认证、数据加密和访问控制。调度端实现双向身份认证、数据加密和访问控制。本期工程在安全区本期工程在安全区 I I 及安全区及安全区 IIII 与湖北省电力调度数据网纵向与湖北省电力调度数据网纵向连接处也各配置一台南瑞连接处也各配置一台南瑞 NetKeeper
35、-2000NetKeeper-2000 型纵向加密认证装置,从型纵向加密认证装置,从而与湖北省调调度端实现双向身份认证、数据加密和访问控制。而与湖北省调调度端实现双向身份认证、数据加密和访问控制。本次配置的纵向加密装置都是经过国家指定部门检测认证的电本次配置的纵向加密装置都是经过国家指定部门检测认证的电力专用纵向加密认证装置。力专用纵向加密认证装置。6.36.3 第三方边界安全防护第三方边界安全防护风电场管理信息大区与外部网络之间设置防火墙装置,风电场管理信息大区与外部网络之间设置防火墙装置, 以满足第以满足第三方接入边界安全防护的要求。三方接入边界安全防护的要求。7 7 其它综合安全防护其它
36、综合安全防护7.17.1 物理安全物理安全1 1 2 2风电场电力监控系统机房所处建筑采取有效防水、防潮、防水、风电场电力监控系统机房所处建筑采取有效防水、防潮、防水、防静电、防雷击、防盗、防破坏措施,并配备门禁系统以加强物理访防静电、防雷击、防盗、防破坏措施,并配备门禁系统以加强物理访问控制。问控制。7.27.2 逻辑隔离逻辑隔离控制区与非控制区采用防火墙隔离措施,控制区与非控制区采用防火墙隔离措施, 实现两个区域的逻辑隔实现两个区域的逻辑隔离、报文过滤、访问控制。离、报文过滤、访问控制。7.37.3 主机与网络设备加固主机与网络设备加固风电场监控系统等关键应用系统的主服务器及网络边界处的通
37、风电场监控系统等关键应用系统的主服务器及网络边界处的通信网关机等,采用安全加固的操作系统,加固方式包括:安全配置、信网关机等,采用安全加固的操作系统,加固方式包括:安全配置、安全补丁、安全补丁、 采用专用软件强化操作系统访问控制能力以及配置安全的采用专用软件强化操作系统访问控制能力以及配置安全的应用程序,其中配置的更改和补丁的安装经过测试。应用程序,其中配置的更改和补丁的安装经过测试。非控制区的网络设备与安全设备进行身份鉴别、访问权限控制、非控制区的网络设备与安全设备进行身份鉴别、访问权限控制、会话控制等安全配置加固。会话控制等安全配置加固。 对外部存储器、对外部存储器、 打印机等外设的使用严
38、格打印机等外设的使用严格管理。管理。生产大区内禁止使用具有无线通信功能的设备。生产大区内禁止使用具有无线通信功能的设备。7.47.4 应用安全控制应用安全控制风电场监控系统等业务系统采用用户数字证书技术,风电场监控系统等业务系统采用用户数字证书技术, 对用户登录对用户登录应用系统、应用系统、 访问系统资源等操作进行身份认证,访问系统资源等操作进行身份认证, 提供登录失败处理功提供登录失败处理功能,根据身份与权限进行访问控制,并可对事后操作行为进行审计。能,根据身份与权限进行访问控制,并可对事后操作行为进行审计。7.57.5 专用安全产品的管理专用安全产品的管理1 1 3 3对安全防护工作中涉及
39、使用的隔离装置、对安全防护工作中涉及使用的隔离装置、 纵向加密装置、纵向加密装置、 防火墙防火墙等专用安全产品,等专用安全产品,制定有保密工作机制,制定有保密工作机制,以禁止关键技术、以禁止关键技术、信息和设信息和设备的扩散。备的扩散。7.67.6 备用与容灾备用与容灾定期对关键业务的数据进行备份,定期对关键业务的数据进行备份, 并将历史归档数据异地并将历史归档数据异地 (华中(华中大区总部集控中心)大区总部集控中心)保存,保存,关键主设备、关键主设备、网络设备或关键部件进行冗网络设备或关键部件进行冗余控制,控制区的业务系统(应用)均采用冗余方式。余控制,控制区的业务系统(应用)均采用冗余方式
40、。7.77.7 恶意代码防范恶意代码防范风电场监控系统等关键应用系统的主服务器及网络边界处的通风电场监控系统等关键应用系统的主服务器及网络边界处的通信网关机等均装有防病毒软件,并会定期检查,以及时更新特征码,信网关机等均装有防病毒软件,并会定期检查,以及时更新特征码,查看查杀记录。查看查杀记录。7.87.8 设备选型及漏洞整改设备选型及漏洞整改风电场监控系统在设备选型及配置中未选用经国家相关管理部风电场监控系统在设备选型及配置中未选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。1 1 4 48 8 风电场监控系统安全分区及边界防护拓扑图风电场监控系统安全分区及边界防护拓扑图1515
