新能源场站电力监控系统安全防护总体方案新能源场站.pdf

该【新能源场站电力监控系统安全防护总体方案新能源场站 】是由【读书百遍】上传分享，文档一共【21】页，该文档可以免费在线阅读，需要了解更多关于【新能源场站电力监控系统安全防护总体方案新能源场站 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:.
.
XXXX新能源场站电力监控系统
安全防护总体方案
XXXXXX新能源场站
2017年xx月xx
word资料:.
.
目录
...............................................................................................................1
......................................................................................................1
......................................................................................................2
......................................................................................................2
......................................................................................................3
.........................................................................................3
.........................................................................................3
.........................................................................................3
.........................................................................................4
.........................................................................................4
.................................................................4
.........................................................................................4
...............................................................................................5
...............................................................................................5
...............................................................................................5
...............................................................................................6
...................................................................................6
word资料:.
.
....................................................................................6
(安全区I)........................................................7
(安全区II)..................................................7
...................................................................7
...........................................................................7
........7
...........................8
...............................................................8
...................................................................8
............................................................................8
.................9
......................................................9
.............................................................................................9
.........................................................................................9
................................................................................9
......................................................................................10
...............................................................10
.................................................................................10
word资料:.
.
.............................................................................11
...............................................................11
..........................................................................................11
.............................................................................12
.............................................................................12
.............................................................................12
............................................错误!未定义书签。
.............................................................................13
.......................................................................................13
..........................................................................14
..........................................................................14
......................................................................14
......................................................................14
附件xx:xx系统网络拓扑结构图.......................................................15
附件xx:xx系统资产清单.....................................................................15
附件xx:xx系统安全产品清单............................................................15
附件xx:xx系统安全产品资质证明...................................................15
附件xx:《保密协议》..........................................................................15
word资料:.
.
附件xx:《外来人员访问管理规定》...............................................15
附件xx:《信息安全培训管理规范》...............................................15
附件xx:《xx新能源场站机房管理规定》.....................................15
附件xx:《xx新能源场站设备及系统安全维护管理规范》.....15
附件xx:《xx新能源场站存储介质管理规范》............................15
附件xx:《xx新能源场站恶意代码防护管理规范》..................15
附件xx:《xx新能源场站数据及系统备份管理规范》..............16
附件xx:《xx新能源场站系统用户及密码安全管理规范》.....16
附件xx:《xx新能源场站电力监控系统信息安全应急预案》16
word资料:.
.

为贯彻落实《中华人民共和国网络安全法》、《电力监控
系统安全防护规定》(国家发展改革委员会第14号令)、《国
家能源局关于印发电力监控系统安全防护总体方案等安全
防护方案和评估规范》(国能安全[2015]36号文)、《电力行
业网络与信息安全管理办法》(国能安全[2014]317号文)、《电
力行业信息安全等级保护管理办法》(国能安全[2014]318号
文)等国家有关规定,加强发电厂电力监控系统安全防护,
抵御黑客及恶意代码等对发电厂电力监控系统发起的恶意
破坏和攻击,以及其它非法操作,防止发电厂电力监控系统
瘫痪和失控,防止由此导致的电力监控系统一次系统事故和
其它事故,确保电力监控系统的安全、稳定、可靠运行,制
定本方案。
新能源场站概况:介绍机组数量、装机容量、使用的监
控系统等主要电力监控系统的品牌等。
电力调度数据网络承载着电力调度生产各类业务数据
的传输,xx新能源场站作为接入节点接入xx省调电力调度
数据网络,为电站相关应用系统的数据交换和资源共享提供
传输平台。

本安全防护总体方案适用于xx新能源场站电力监控系
统等工控系统的规划设计、项目审查、工程实施、系统改造、
运行管理等相关工作内容。
word资料:.
.

本方案制定过程中依据以下标准:
《电力监控系统安全防护规定(国家发改委〔2014〕年
第14号)
《电力监控系统安全防护总体方案》(国能安全〔2015〕
36号)
《发电厂电力监控系统安全防护方案》
《信息安全等级保护管理办法》(公通字〔2007〕43
号)
《电力行业信息安全等级保护管理办法》(国能安全
[2014]318号)
《电力行业网络与信息安全管理办法》(国能安全
[2014]317号)
《电力行业信息安全等级保护基本要求》
《电力监控系统安全防护评估规范》

xx新能源场站电力监控系统安全防护的总体目标:坚持
“安全分区、网络专用、横向隔离、纵向认证”的总体原则,
明确分层分区,以生产控制大区和管理信息大区之间的安全
防护为重点,有效抵御黑客、病毒、恶意代码等通过两个大
区的边界连接对电厂生产网络系统发起的恶意破坏和攻击,
防止由此导致的一次系统事故或大面积停电事故,以及电力
监控系统的崩溃或瘫痪;防止未授权用户访问系统或非法获
取信息和侵入以及重大的非法操作;不发生电力监控系统的
word资料:.
.
人为责任事故,不因电力监控系统的安全问题引发电网事
故。


按照《电力监控系统安全防护规定》,将xx新能源场站
基于计算机及网络技术的业务系统划分为生产控制大区和
管理信息大区,并根据业务系统的重要性和对一次系统的影
响程度将生产控制大区划分为控制区(安全区I)及非控制区
(安全区II),重点保护生产控制以及直接影响电力生产(机组
运行)的系统。

电力调度数据网是与生产控制大区相连接的专用网络,
承载电力实时控制等业务。发电厂端的电力调度数据网应当
在专用通道上使用独立的网络设备组网,在物理层面上实现
与电力企业其它数据网及外部公共信息网的安全隔离。发电
厂端的电力调度数据网应当划分为逻辑隔离的实时子网和
非实时子网,分别连接控制区和非控制区。

横向隔离是电力监控系统安全防护体系的横向防线。应
当采用不同强度的安全设备隔离各安全区,在生产控制大区
与管理信息大区之间必须部署经国家指定部门检测认证的
电力专用横向单向安全隔离装置,隔离强度应当接近或达到
物理隔离。生产控制大区内部的安全区之间应当采用具有访
问控制功能的网络设备、安全可靠的硬件防火墙或者相当功
word资料:.
.
能的设施,实现逻辑隔离。防火墙的功能、性能、电磁兼容
性必须经过国家相关部门的认证和测试。

纵向加密认证是电力监控系统安全防护体系的纵向防
线。电厂生产控制大区与调度数据网的纵向连接处应当设置
经过国家指定部门检测认证的电力专用纵向加密认证装置,
实现双向身份认证、数据加密和访问控制。

综合防护是结合国家及电力行业信息安全管理的相关
要求对电力监控系统从主机安全、网络及安全设备安全、恶
意代码防范、应用安全控制、审计、备份及容灾等多个层面
进行信息安全防护的过程。


word资料:.
.
描述新能源场站监控系统(如风机监控系统)的基本情
况。分四个部分介绍,分别是(1)系统情况简介、(2)系
统边界分析、(3)网络拓扑结构、(4)设备清单。
其中网络拓扑结构和设备清单需要以附件的形式提供:
xxxx系统网络拓扑结构图见附件xx。
xxxx系统资产清单。



word资料:.
.



根据电力监控系统防护“安全分区、网络专用、横向隔离、
纵向认证”的原则,对xx新能源场站的监控系统、功率预测
系统、天气预报系统、AVC、五防系统、调度数据网等进行
安全防护。
以风电场为例,各系统所处安全分区如下所示:
序号业务系统及设备控制区非控制区管理信息大区备注
风机监控
1风电场监控系统A2
风电场监控
无功电压控制
2无功电压控制A1
功能
发电功率控制
3发电功率控制A1
功能
升压站监控功
4升压站监控系统A1
能
5向量测量装置PMUPMUB
继电保护装置
6继电保护B
及管理终端
故障录波装
7故障录波B
置
电能量采集
8电能量采集装置A1、B
装置
9风功率预测系统风功率预测A1
word资料:.
.
风机状态监
10状态监测系统A2
测
A2
11测风塔系统测风塔
12天气预报系统数字天气预报A2
13管理信息系统MIS管理信息系统A2
注:
A1:与调度中心有关的电厂监控系统
A2:电厂内部监控系统
B:调度中心监控系统的厂站侧设备
与调度中心无关的电力监控系统不能接入调度数据网。
(安全区I)
控制区中的业务系统或其功能模块(子系统)的典型特
征为:是电力生产的重要环节,直接实现对电力一次系统的
实时监控,纵向使用调度数据网或专用通道,是安全防护的
重点与核心。
介绍一下新能源场站控制区的主要业务系统。
(安全区II)
介绍一下新能源场站非控制区的主要业务系统。

介绍一下新能源场站管理信息大区的主要业务系统。


xx新能源场站在生产控制大区与管理信息大区之间部
署了电力专用横向单向安全隔离装置。
word资料:.
.

xx新能源场站在安全区I与安全区II之间部署了逻辑隔
离装置。

介绍一下xx新能源场站同属于安全区I的各系统之间安
全防护措施。

xx新能源场站调度数据网与生产控制大区控制区纵向
边界之间部署经有关部门认可的纵向认证加密装置,通过建
立加密隧道,实现网络层双向身份认证、数据加密和访问控
制。
xx新能源场站非控制区(安全区II)调度数据网与生产
控制大区非控制区纵向边界之间部署经有关部门认可的纵
向认证加密装置,通过建立加密隧道,实现网络层双向身份
认证、数据加密和访问控制。
调度数据网相关的交换机、路由器、纵向加密认证装置
由对应的xx新能源场站进行端口配置、策略配置,而数据备
份等运维管理工作则由xx新能源场站及调度共同组织工作。
电站负责供电保障、巡视检查、信息报送等工作。

按照相关要求生产控制大区与管理信息大区之间部署
了接近于物理隔离强度的正向隔离装置2台。采用符合国家
和电力行业要求的正向网络安全隔离装置。
word资料:.
.
I区与II区之间通过IP、端口、MAC地址绑定进行数据
单向传输,II区无法进行与I区的数据回传,II区III区采用
相同方式进行单向隔离。

管理信息大区信息内网与外部网络之间边界防护应遵
循“双网双机”的物理隔离防护要求,严禁出现“非法外联、一
机两用”的现象,严禁通过电话拨号、无线等方式与信息外网
和互联网联接。

xx新能源场站生产控制大区中的业务系统未与政府部
门进行数据传输,因此无需部署第三方边界防护。
(以下为全部综合安全防护方面,请根据场
内实际情况进行填写)

xx新能源场站在生产控制大区(控制区和非控制区统一
部署一套)边界部署一套xxxx入侵检测系统,用以监测核心
节点异常业务流量。应当合理设置检测规则,检测发现隐藏
于流经网络边界正常信息流中的入侵行为和异常行为,分析
潜在威胁并进行安全审计。

以电力监控系统安全防护评估规范等标准为依据,描述
本单位开展主机加固工作的具体内容,例如从身份鉴别、访
问控制、安全审计、恶意代码防范、入侵防范、资源控制等
方面对加固的具体措施进行描述。
word资料:.
.

xx新能源场站调度数据网上配备了一套xxxx日志审计
系统,部署方式是旁路与核心交换机相连。具备安全审计功
能,能够对操作系统、数据库、业务应用的重要操作进行记
录、分析,以便及时发现各种违规行为以及病毒和黑客的攻
击行为。

安全防护工作中涉及使用横向单向安全隔离装置、纵向
加密认证装置、防火墙、入侵检测系统等专用安全产品的,
按照国家有关要求做好保密工作,禁止关键技术和设备的扩
散。
需提供本单位安全防护工作中使用的安全产品清单和
产品资质证书,清单中需要列出设备名称、类型、品牌、部
署位置、所属业务系统;重要安全设备的资质证书需要包括
公安部颁发的“计算机信息系统安全产品销售许可证明”;电
力专用安全产品(横向隔离装置、纵向加密认证装置)应提
供公安部信息安全产品检测中心的检查报告;国家密码管理
局出具的商用密码产品销售许可证明。
本单位安全防护工作中使用的安全产品清单见附件xx。
安全产品的相关资质证书见附件xx。

应当定期对关键业务的数据进行备份,并实现历史归档
数据的异地保存。关键主机设备、网络设备或关键部件应当
word资料:.
.
进行相应的冗余配置。控制区的业务系统(应用)应当采用
冗余方式。

xx新能源场站在生产控制大区(控制区和非控制区统一
部署一套)边界部署一套xx恶意代码防御系统。生产控制大
区内Windows操作系统应安装防恶意代码程序,防恶意代码
程序应当及时手动更新特征库,并查看查杀记录。恶意代码
更新文件的安装应当经过测试。禁止生产控制大区与管理信
息大区共用一套防恶意代码管理服务器。

电力监控系统在设备选型及配置时,xx新能源场站运维
人员没有选用经国家相关管理部门检测认定并经国家能源
局通报存在漏洞和风险的系统及设备;对于已经投入运行的
系统及设备,按照国家能源局及其派出机构的要求及时进行
整改,同时加强相关系统及设备的运行管理和安全防护。
生产控制大区中除安全接入区外,xx新能源场站运维人
员禁止选用具有无线通信功能的设备。

安全防护体系建立的原则是“三分技术,七分管理”。完
善的技术措施是基础,严格的管理体系才能充分发挥技术措
施的作用。
xx新能源场站根据电力监控系统安全防护的各项规定,
组织了安全管理机构,制定了全面的安全防护管理制度,明
确了系统总体安全防护要求、目标、原则等,并覆盖到电力
word资料:.
.
监控系统建设、运维等环节涉及的机房管理、信息安全(包
含总体安全、网络安全、设备安全、日常运维、数据安全、
应用安全等)、设备管理、信息报送、应急预案等方面的工
作要求,各级人员在工作中依据管理制度和要求严格落实各
项工作。

按照“谁主管谁负责、谁运营谁负责”的原则制定了《xx
新能源场站电力监控系统安全防护总体方案》,明确规定了
安全工作的总体方针和安全策略。
安全管理制度具有统一的格式,明确发布范围和保密等
级,本单位信息安全领导小组每年组织对安全管理制度进行
合理性和适用性评审及修订,并指定专门的部门对其进行严
格的版本控制。

xx新能源场站成立了电力监控系统安全防护领导小组,
由公司分管生产的副总经理担任组长。
分别描述网络领导小组以及各个角色的职责。

xx新能源场站制定了人员安全管理的各项管理办法,形
成多个管理制度,涉及人员录用、人员离岗、人员考核、外
部人员访问管理以及安全意识教育和培训等。具体管理制度
见附件。
例如:
word资料:.
.
附件x:《保密协议》
附件x:《外来人员访问管理规范》
附件x:《信息安全培训管理规范》

系统运维管理工作的目标是保证系统安