监控系统水电厂电力监控系统网络安全防护方案.docx

水电厂电力监控系统网络安全防护方案 南方电网调峰调频发电有限公司2022年6月文档属性序号修订版页次编制或修订人批准人更改内容时间备注1首次制定王晓翼、钟雪辉目录1. 水电厂重要信息系统安全等级保护定级要求12. 水电厂业务系统网络安全防护基本参考原则22.1. 安全区I系统22.1.1. 水电厂监控系统22.1.2. 相量测量装置PMU32.1.3. 继电保护装置42.1.4. 安全稳定控制系统42.2. 安全区II系统42.2.1. 故障录波装置42.2.2. 继电保护及故障录波信息子站52.2.3. 电能量采集装置52.2.4. 机组状态监测系统52.2.5. GIS局放在线监测系统62.2.6. 主变局放在线监测系统62.2.7. 主变在线监测系统62.3. 安全III区系统63. 水电厂监控系统安全防护方案设计73.1. 安全防护目标73.2. 总体安全需求73.3. 安全分区83.4. 电力监控系统基本安全防护措施要求83.4.1. 横向通信防护83.4.2. 纵向通信防护93.4.3. 可信验证93.4.4. 恶意代码防护93.4.5. 双因子认证103.4.6. 实时入侵检测103.4.7. 运维安全审计103.4.8. 网络安全态势感知103.4.9. 安全管理中心113.4.10. 系统安全加固123.4.11. 安全管理要求123.4.12. 数据备份恢复133.5. 设备清单及选型规范133.5.1. 设备清单133.5.2. 设备选型规范183.5.3. 电力专用隔离装置183.5.4. 纵向加密认证网关203.5.5. 硬件防火墙223.5.6. 入侵检测系统233.5.7. 运维审计系统243.5.8. 可信白名单防护系统263.5.9. 双因子认证系统273.5.10. 网络安全态势感知281. 水电厂重要信息系统安全等级保护定级要求水电厂的电力监控系统应划分为生产控制大区和管理信息大区，生产控制大区根据对一次设备的影响可划分为控制区（安全区I）和非控制区（安全区II），重点保护生产控制以及直接影响电力生产（机组运行）的系统。按照自主定级、自主保护的原则，参照原国家电监会关于印发<电力行业信息系统等级保护定级工作指导意见>的通知(电监信息200744号)、信息安全技术网络安全等级保护定级指南(GBT 22240-2020)等相关行业定级标准确定本企业电力信息系统的安全保护等级，并按照计算机信息系统安全保护条例(国务院第147号令)、公安部关于印发<信息安全等级保护备案实施细则>的通知(公信安20071360号)、发电厂监控系统安全防护方案（国能安全201536号文附件3），指导水电厂生产控制大区的业务系统开展等级保护工作，同时到相应的公安机关进行备案。根据相关要求，建议系统定级如下：序号业务系统及设备控制区非控制区管理信息大区等级保护建议定级备注1.水电厂监控系统水电厂监控系统（总装机300兆瓦及以上）3A12.继电保护继电保护装置及管理终端2B3.安全稳定控制系统安全稳定控制系统3A1、B4.故障录波故障录波2B5.相量测量装置PMUPMU（不带控制功能）2B6.电能量采集装置电能量采集2B、A17.管理信息系统MISMIS2A28.大坝自动检测系统大坝自动检测2A29.报价辅助决策系统报价辅助决策2A210.检修管理系统检修管理2A2注：A1：与调度中心有关的电厂监控系统A2：电厂内部监控系统B：调度中心监控系统的厂站侧设备与调度中心无关的电力监控系统不接入调度数据网2. 水电厂业务系统网络安全防护基本参考原则1. 水电厂的控制属于工业过程控制范畴，是典型分散分层控制系统，生产控制大区内各系统间均可能存在通信,结构复杂，所以对生产控制大区安全区内各系统的访问控制要加以特别注意。2. 水电厂二次系统生产控制大区各系统应只面向现场运行操作人员和系统工程师。3. 在保证边界清晰、通信安全的前提下，控制区和非控制区内子系统不必强行分割。例如中小型电厂监控系统整合了生产控制大区内多数功能，不易分割。4. 因原有设备部署限制、地域、扩建、产权不同和自动化水平等因素，同一电厂内或者梯级内可能存在多个相互独立的设备控制系统，所以同一电厂内可以存在多个相同级别的安全区，而不是必须相连。生产控制大区与管理信息大区之间隔离方案可根据实际情况处理。5. 对不存在外部网络联系的孤立业务系统，其安全分区无特殊要求，但需遵守所在安全区的防护要求。6. 通信网关机使用TCP/IP等网络协议，不能承担边界防护的功能。跨安全区的通信必须采取安全隔离措施，保证相应的安全隔离强度。7. 在保证满足安全防护的前提下进行安全分区、应用系统改造时应尽可能简化网络系统，保证系统的可靠性、稳定性，并节约投资。8. 与调度中心相连接的系统应处于相当的安全区。9. 同一套GPS系统不可以网络方式为不同安全大区提供授时服务。2.1. 安全区I系统安全区（控制区）是指由具有实时监控功能、纵向连接使用调度数据网的实时子网或专用通道的各业务系统构成的安全区域。控制区中的业务系统或其功能模块（或子系统）的典型特征为：是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用调度数据网或专用通道，是安全防护的重点与核心。2.1.1. 水电厂监控系统水电厂监控系统主要是作为全厂站的设备监视、测量、控制、管理的中心。新一代水电厂监控系统除了实现厂内监视控制功能，还集成了RTU、AGC、AVC、调功终端等功能模块，一体化实现调度四遥功能。监控系统一般由上位机和下位机组成，采用星型或环形组网模式。上位机部分由调度通信机、数据库服务器、操作员工作站、工程师工作站及综合管理工作站组成，调度通信机通过调度数据网与调控中心通信，上报遥信、遥测数据，同时接受调控中心对电厂端的有功调节（AGC）、无功调节（AVC）；数据库服务器负责实时采集所需的各种中断量、开关量、模拟量、温度量和脉冲量，并对采集的数据进行越限检查和状态变化检查，对检出的事件进行分析处理，并可记录历史数据，根据需要发出命令控制现场设备等；操作员工作站主要用于运行人员监视操作，是运行人员与设备之间的人机接口；工程师工作站负责作一些修改及培训类工作；综合管理工作站负责语音报警、报表打印及完成站内其它厂家设备如励磁调速器等的接入。下位机部分由不同功能的LCU及PLC设备组成，实现发电设备、开关站、闸门设备等设备功能的现地控制。序号互联系统或设备安全防护边界1.电力调控中心SCADA系统电力专用纵向加密认证装置2.调速器系统无3.励磁系统无4.温度巡检仪无2.1.2. 相量测量装置PMU同步相量测量装置PMU主要利用全球定位系统(GPS、北斗卫星)提供的精确时间基准对电力系统的状态进行数据采集,它可以直接测得PMU安装点的节点电压相量,包括电压有效值和相角,通过把监测到的数据经由通讯网络传送到调度中心,供管控人员进行分析，以构建电力系统实时动态监测系统，有助于加强对电力系统动态安全稳定的监控，提高调度机构准确把握系统运行状态的能力,对厂站电力系统监视、保护、稳定判别和稳定控制起到重要作用。PMU的核心特征包括基于标准时钟信号的同步相量测量、失去标准时钟信号的守时能力、PMU与主站之间能够实时通信并遵循有关通信协议。同步相量测量装置操作系统一般采用主流Linux系统，具有内核小、安全稳定性高、网络通信能力强大等优点。PMU有独立的操作系统，电子盘和网络接口，能满足实时数据与离线数据分区传送的要求。序号互联系统或设备安全防护边界1电力调控中心WAMS系统电力专用纵向加密认证装置2.1.3. 继电保护装置继电保护装置能反应电气设备的故障和不正常工作状态并自动迅速地、有选择性地动作于断路器将故障设备从系统中切除，保证无故障设备继续正常运行，将事故限制在最小范围，提高系统运行的可靠性，最大限度地保证向用户安全、连续供电。序号互联系统或设备安全防护边界1继电保护及故障录波信息子站防火墙2.1.4. 安全稳定控制系统安全稳定控制系统：即稳控系统，指的是为解决一个区域电网内的稳定问题而安装在两个及以上厂站的稳定控制装置，经通道和通信接口设备联系在一起，组成稳定控制系统，站间相互交换运行信息，传送控制命令，可在较大范围内实施稳定控制；是确保电力系统安全稳定运行的第二道防线的重要设施。序号互联系统或设备安全防护边界1稳控系统子站纵向加密认证装置2.2. 安全区II系统在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用调度数据网的非实时子网的各业务系统构成的安全区域。非控制区中业务系统或功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用调度数据网，与控制区中的业务系统或功能模块联系紧密。2.2.1. 故障录波装置该系统由电网调控中心的故障录波信息管理、电网层的故障元件诊断、以及双端测距等功能组成。可在系统发生故障时，自动地、准确地记录故障前、后过程的各种电气量的变化情况，通过这些电气量的分析、比较，对分析处理事故、判断保护是否正确动作、提高电力系统安全运行水平均有着重要作用。序号互联系统或设备安全防护边界1继电保护及故障录波信息子站无2电力调控中心故障录波系统电力专用纵向加密认证装置2.2.2. 继电保护及故障录波信息子站继电保护及故障录波信息子站将完成对大量由不同厂家生产制造、具有不同型号、采用不同通信协议的变电厂内继电保护、故障录波等智能装置的统一接入，集中管理，从这些装置中采集数据，并进行必要的处理(如汉化、过滤、分类)，在此基础上形成统一有序的数据格式，然后通过网络、专线、电话拨号等有选择、分优先级地上送到各调度中心(主站)，再进行数据的集中分析处理，从而实现全局范围的故障诊断、测距、波形分析、历史查询、保护动作统计分析等高级功能。序号互联系统或设备安全防护边界1故障录波装置无2继电保护装置防火墙3电力调控中心继电保护及故障录波信息主站电力专用纵向加密认证装置2.2.3. 电能量采集装置电能量采集计量系统的建设实施是为了能够安全、可靠、准实时地采集电能量原始数据及相关信息，在此基础上具备丰富的数据合理性校验、数据业务处理、统计计算、电能量管理、网损管理、报表生成、数据发布等应用功能，为各部门提供生产运行数据，为各决策部门提供决策依据。系统主要使用LINUX操作系统，与电度表系统接口采用102规约进行数据通讯，系统内部接口则采用串口进行数据采集，通过调度数据网发送至调控中心。序号互联系统或设备安全防护边界1电力调控中心电能量计量系统电力专用纵向加密认证装置2.2.4. 机组状态监测系统机组状态监测系统:可以利用各种分析诊断工具，对机组异常信息进行深入分析，辅助发现异常原因，指导机组检修工作,最终为机组状态检修服务提供依据、技术支持，根据状态在线监测系统获得的机组特征信号，准确掌握设备状态情况，合理安排机组小修、大修和扩修。机组状态监测系统主要通过各种传感器进行内部监测，可不与其他业务系统进行通信。如有通信必要，应按照横向隔离要求，适当采用防火墙、电力专用横向单向安全隔离装置进行相应隔离。2.2.5. GIS局放在线监测系统GIS局放电在线监测系统是一套用于连续监测和分析电力设备GIS中局部放电信号的在线监测装置，系统主要包括超高频UHF传感器,本地监测主机,终端监控装置和局放高级在线分析软件组成。监控系统中本地数据处理用于处理从传感器获取的信号并将其数字化。而采用上位机进行局放信号的筛选、分析并完成局放脉冲数值记录、监测局放量发展状况等功能。内置通讯和软件分析功能，直接输出局放信号类型.放电幅值，故障严重程度。采用IEC61850协议输出信号，可以直接接入变电站综合在线检测平台。GIS局放电在线监测系统主要通过各种传感器进行内部监测，可不与其他业务系统进行通信。如有通信必要，应按照横向隔离要求，适当采用防火墙、电力专用横向单向安全隔离装置进行相应隔离。2.2.6. 主变局放在线监测系统主变局放在线监测装置（系统）基于特高频原理，通过传感器监测主变内部发生的局部放电，数据集中单元将传感器捕获的局部放电信号转换为数字量，信号处理单元进行滤波、放大、频谱分析和缺陷预警，处理结果经光纤通信接口传送至后台机进行数据分析、显示、报警管理、诊断和存储，局域网中远程客户可以通过相关软件对后台机的运行状态和监测结果进行查看和监控。主变局放监测系统的数据应能传送至试验研究所远程诊断中心。主变局放在线监测装置主要通过各种传感器进行内部监测，可不与其他业务系统进行通信。如有通信必要，应按照横向隔离要求，适当采用防火墙、电力专用横向单向安全隔离装置进行相应隔离。2.2.7. 主变在线监测系统主变在线监测系统是集控制、测量分析技术于一体的精密设备，对变压器等油浸电力设备进行在线监测，及在线及时准确检测出绝缘油中溶解的各种故障特征气体浓度及变化趋势，这些气体包括氢气、一氧化碳、甲烷、乙烷、乙烯、乙炔等。主变在线监测系统能够快速准确的进行油色谱分析，实现完全在线监测油浸式电力设备的运行信息，为变压器等油浸电力设备的长期稳定运行提供了可靠保证。主变在线监测系统主要通过各种传感器进行内部监测，可不与其他业务系统进行通信。如有通信必要，应按照横向隔离要求，适当采用防火墙、电力专用横向单向安全隔离装置进行相应隔离。2.3. 安全III区系统按照电力监控系统安全防护规定，管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区，原则上应划分为安全区（生产管理区）。计划检修数据申报终端的应用主要包括调度门户网站、调度管理互联模块、基础信息管理、调度流程管理、运行值班管理、生产控制管理、专业运行管理、统计分析报表、计划检修数据申报等。计划检修数据申报终端与外部的接口如下：与电力调控中心OMS系统之间使用TCP/IP协议通过数据通信网，经防火墙进行数据通信。序号互联系统或设备安全防护边界1电力调控中心OMS系统防火墙3. 水电厂监控系统安全防护方案设计3.1. 安全防护目标标准水电厂监控系统安全防护主要针对网络信息安全，目标是：（1）抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起的恶意破坏和攻击，尤其是集团式攻击；（2）防止内部未授权用户访问系统或非法获取信息以及重大违规操作行为。防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度数据网的安全实施保护，防止电力监控系统瘫痪和失控，并由此导致电力系统故障。3.2. 总体安全需求（1）通信安全需求l 厂内各系统设备之间采用以太网方式连接则必须采取符合相关规定的横向隔离措施。l 生产业务系统设备与调控中心非网络专线通信方式不考虑安全防护。l 生产业务系统设备与调控中心采用语音拨号通信不考虑安全防护。l 生产业务系统设备与调控中心经电力调度数据网和保护专用网络通信须采取隔离措施，防止网络攻击、病毒和非法操作。l 计划检修数据终端与调度系统的网络通信应进行隔离，防止病毒、网络攻击和非法操作。l 出差人员与MIS的远程拨号访问须采取严格技术和管理手段防止重要数据被窃取泄漏。防止该通道成为病毒传播和恶意攻击跨越防火墙的途径。（2）各系统安全需求l 电厂监控系统内部应具有病毒防护能力，防止病毒传播。系统主机和工作站的操作系统漏洞和应用系统漏洞存在被利用的风险，应及时封堵或升级，重要服务器、操作员站和通信工作站应进行主机加固，加强系统访问控制和操作审查。l 重要服务器应采取有效的访问控制和隔离手段，封堵系统漏洞，过滤恶意代码病毒，阻挡网络攻击。各应用服务器应具有病毒防护能力。l 各种移动设备是网络内部病毒传播的主要介质，应进行严格管理控制。l 各业务系统管理、操作人员，各终端使用人员的操作行为应得到有效监控，防护措施应能在一定程度上防止并可靠记录误操作和恶意违规操作。（3）全局安全需求l 生产控制业务系统网络应能实时、可靠地响应安全事故，进行事故追忆，并具有学习功能。l 电厂应定期对监控系统进行等级保护测评及安全防护评估。l 电厂应具有全面合理的监控系统安全管理体系。3.3. 安全分区基于简化后的水电厂监控系统连接关系图，各系统安全分区拓扑采用链式结构，如图所示。水电厂安全区拓扑结构3.4. 电力监控系统基本安全防护措施要求3.4.1. 横向通信防护（1）安全I、II区间安全防护采用国产硬件防火墙在安全区I与安全区II之间建立逻辑隔离，并根据业务需求，最小化原则设置访问控制策略，其颗粒度应达到端口级。（2）生产控制大区内各系统内联安全防护安全区/内各应用系统间如有数据连接必须采取访问控制（防火墙）等安全措施。（3）生产控制大区与管理信息大区间安全防护采用电力专用横向单向安全隔离装置在安全区II与管理信息大区之间建立物理隔离。3.4.2. 纵向通信防护（1） 调度数据网纵向安全防护安全I区和安全II区均采用电力专用纵向加密认证装置与调度中心建立双向的身份认证和数据加密通信。（2） 集控数据网纵向安全防护安全I区和安全II区均采用电力专用纵向加密认证装置与调度中心建立双向的身份认证和数据加密通信。（3） 数据通信网纵向安全防护采用国产硬件防火墙，计划检修数据申报终端与调控中心纵向边界建立逻辑隔离。（4） 生产控制大区与调度中心之间的网络专线采用电力专用纵向加密装置建立双向的身份认证和数据加密通信。（5） 生产控制大区与调度中心之间的模拟专线、拨号方式通讯暂不考虑采取安全防护措施。3.4.3. 可信验证采用以密码硬件为核心的可信计算技术，在生产大区部署可信白名单防护系统，系统需满足中国南方电网有限责任公司电力监控系统可信白名单通用防护组件技术规范，基于可信根对计算设备的系统引导程序、系统程序、重要配置参数进行可信验证，对其进行静态和动态安全度量，在检测到其可信性受到破坏后进行报警，实现计算环境安全免疫，免疫未知恶意代码，防范有组织的、高级别的恶意攻击。3.4.4. 恶意代码防护在各安全区内部署国产恶意代码防护系统，防止设备安装调试或维护过程中由于不当的使用移动存储设备以及笔记本电脑造成病毒侵入系统，导致系统不能正常运行，给电厂生产运行造成不便，甚至影响安全生产。建议采用网络版的恶意代码防护系统，网络版的恶意代码防护系统由防病毒管理服务器端和客户端组成，客户端主要功能是对内网中的终端群提供反病毒安全防护，监控用户风险行为，接收并执行管理端策略，及时清除病毒威胁，在系统服务器和主机系统上安装防病毒客户端。防病毒管理服务器端主要对客户端进行统一管理，实现系统内部恶意代码统一监测、统一查杀、统一管理的功能。软件版本及病毒库升级需离线进行。考虑到后期扩展，恶意代码防护系统需支持级联部署，能够连接上级管理平台，构建级联架构。3.4.5. 双因子认证等保定级为第三级及以上系统的相关交换机、安全设备、服务器等需按等保要求实现双因子认证，第一道因子为用户名+密码，第二道因子可根据实际情况选择合适的解决方案，如U-key数字证书、口令卡、指纹、人脸识别等方式作为第二道因子。若设备本身不支持双因子认证，建议部署一套专用双因子认证系统，当访问网络设备、安全设备、服务器等资源时，输入“账号+静态密码+OTP”方式进行登录，资源将认证请求转发给双因子认证系统进行校验，校验通过则成功登录，提升资源登录身份认证安全性。双因子认证系统需支持基于国密算法生成口令和对数据进行加密，保证数据安全。3.4.6. 实时入侵检测防火墙的防护能力有限，其被动防御的策略也无法满足信息安全防护实时动态的要求，同时防火墙无法应对网络内部的安全问题。为保证安全防护能实时、动态应对安全事件，增强对网络行为的监察、控制和审计能力，生产控制大区在安全区I、安全区II、安全区III分别部署一套入侵检测系统，实时监控内网流量，实现对病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为的实时检测。为满足GBT22239-2019信息安全技术网络安全等级保护基本要求8.1.3.4恶意代码和垃圾邮件防范要求，入侵检测系统应具备网络防病毒功能，结合病毒检测引擎进行恶意代码检测及告警，探头部署于安全区、安全区、安全区III汇聚交换机侧。3.4.7. 运维安全审计水电厂电力监控系统应该采用堡垒机进行安全运维，堡垒机的日志应该接入网络安全态势感知平台。生产控制大区和管理信息大区应该分别部署堡垒机。对堡垒机的访问应采用多因素身份认证，同时加强身份认证，避免使用默认口令或弱口令，每三个月至少更新一次口令。3.4.8. 网络安全态势感知水电厂生产大区和管理大区应部署网络安全态势感知系统，全面收集、集中存储生产控制大区和管理信息大区中各种业务系统、网络设备、安全防护设备、机房设施等的运行日志、操作系统日志、数据库访问日志，并具备动态监视、故障分析、安全审计、事件预警及告警等功能，实现各种信息的告警管理。在水电厂采用分布采集、集中运营管理的部署模式，分布采集安全区I、安全区II、安全区III的数据进行态势感知分析。可在安全区II和安全区III分别部署网络安全态势感知采集器，采集器通过SNMP、syslog以及流量镜像等方式采集系统日志和流量信息。安全区I采集范围包括安全区I内部的主机设备（服务器、工作站等）、网络设备（交换机、路由器等）、安全设备（纵向加密认证装置、正反向隔离装置、硬件防火墙、IDS设备等）以及数据库等；安全区II采集范围包括安全区II内部的主机设备（服务器、工作站等）、网络设备（交换机、路由器等）、安全设备（纵向加密认证装置、正反向隔离装置、硬件防火墙、IDS设备等）以及数据库等；安全III区采集范围包括安全III区内部的主机设备、网络设备、安全设备以及数据库等；在安全区I和安全区II之间的横向防火墙中，采用NAT技术，把安全区I厂站设备IP映射成安全区II的IP，然后通过syslog协议，实现安全区I相关系统的日志信息采集。3.4.9. 安全管理中心根据等保要求及南网纵深防御工作方案，构建厂内生产专用网络，并按照安全域分域防护原则，划分生产安全管理区，在生产安全管理区部署所有涉及到网络安全的设备或组件，包括可信白名单防护系统、恶意代码防护系统、双因子认证系统、运维审计系统、漏洞扫描系统等，同时对分布在网络中的安全设备或安全组件进行集中管控，保证生产大区业务网络安全，同时满足合规性要求。在生产安全管理区部署可信白名单防护系统、恶意代码防护系统、双因子认证系统、运维审计系统、维护终端机等组成电厂生产网安全管理区域。1) 在安全管理区域边界部署运维防火墙，进行访问控制，最小化原则设置访问控制策略，其颗粒度应达到端口级。2) 部署一台运维交换机，分别接入I区、II区运维防火墙；3) 部署一台运维堡垒机，接入运维交换机，将网络设备、安全设备、服务器等接入运维审计系统，建立统一运维的安全管理入口，通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运维操作管理，并对用户从登录到退出的全程操作行为进行审计，实现集中精细化运维操作管控与审计, 降低人为安全风险，避免安全损失，满足合规要求；4) 部署一套恶意代码防护系统管理中心，接入运维交换机，实现厂区内部恶意代码统一监测、统一查杀、统一管理；5) 部署一套可信白名单防护系统管理中心，接入运维交换机，基于可信根对计算设备的系统引导程序、系统程序、重要配置参数进行可信验证，对其进行静态和动态安全度量，在检测到其可信性受到破坏后进行报警，实现计算环境安全免疫，免疫未知恶意代码，防范有组织的、高级别的恶意攻击。；6) 部署一套双因素认证系统，接入运维交换机，对网络设备、安全设备、服务器等登录增加动态密码认证，增强用户身份鉴别能力；3.4.10. 系统安全加固在不影响目标系统所承载的业务运行的前提下，根据南方电网电力监控系统网络安全合规基线技术规范（试行）及等保相关要求进行安全加固, 包括权限设置、用户帐号与口令安全设置、停止不必要的服务、关闭高危端口、安全策略调优等，安全加固对象包括但不限于以下设备：(1) 网络设备：路由器、交换机等网络通讯设备；(2) 安全设备：纵向加密装置、防火墙、运维审计系统（堡垒机）、入侵检测系统、隔离网闸等网络安全防护设备；(3) 主机：应用服务器、操作员站/工作站操作系统、数据库及相关系统软件等。3.4.11. 安全管理要求专机专用：所有涉及监控系统的值班终端、监控终端、维护终端必须专机专用，不得与互联网设备混用。账号权限最小化：所有网络设备、网络安全设备、主机设备、应用程序、数据库、中间件等，必须执行账号权限最小化原则，所有账号必须对应至人，账号权限以满足用户需求为准，但是不给予与其职责无关的权限。加强移动介质管理：监控系统内部所有使用的移动存储介质必须登记造册，应在安全一区、二区各放置一台专用移动存储介质接入终端，该终端应安装完整的杀毒软件、防间谍扫描软件并及时更新事件库，通过该终端扫描检测后才能将移动介质内数据拷贝至监控系统内使用。杜绝非法外联：杜绝一切非法外联行为，包括监控系统主机直接连至互联网进行远程维护，通过交换机跳线接入互联网，利用运维笔记本或终端跳转至互联网等方式。按照“三同步”的原则，信息安全需要与信息化建设同步规划、同步建设、同步使用，在规划设计阶段，初步确定为等保定级第2级及以上系统，组织信息安全专家和业务专家对定级结果的合理性进行评审，并出具专家评审意见，并将定级结果报请主管部门审核，并出具核准意见。需根据等保定级结果进行安全方案设计，同时系统开发商应当根据系统业务和功能特性，结合系统可能面临的风险和威胁，对应用系统自身程序需提供的安全措施进行详细的描述，并提供软件设计文档。在建设验收阶段，应用系统上线前，进行入网安全评估并出具安全测试报告，对发现安全问题进行整改。新建第2级以上电力监控系统，在并网前按照等保2.0系列标准完成备案及等保测评，并按照36号文要求同步完成电力监控系统安全防护评估。3.4.12. 数据备份恢复数据备份是保证数据安全的关键技术措施，数据备份的内容包括重要业务信息、系统数据及软件系统，确保通过数据备份能及时恢复各种故障情况下造成的数据丢失。业务数据指业务应用程序运行所产生的数据包括：数据库、文档、图像影像等；系统数据指操作系统和应用系统在运行时所需要的配置信息，包括：应用程序及配置文件、中间件配置文件、操作系统配置信息等；软件系统指业务需要所运行的软件，包括操作系统、应用软件等；在系统投运前完成备份策略和恢复预案的制定并在系统投运后同时开始执行，本地备份解决方案可选手工备份或通过备份软件进行自动备份：1）手工备份；定期通过人员手工操作将数据备份到指定存储介质，并将存储介质放在安全保密地方存放；2）自动备份：通过备份系统实现自动实时或定时备份，保障业务连续运行；备份系统及介质的选型要满足各系统的备份策略和数据备份及保存的要求，包括安全可靠性、性能和服务质量、冗余等。3.5. 设备清单及选型规范3.5.1. 设备清单序号配置项目项目用途安全要求符合性条文1.纵向加密认证装置（国产）安全区I、II与调控中心纵向数据加密网络专线与调控中心数据加密集控数据网基本附件4：水电厂安全防护要求2.4纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线。水电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。2.横向防火墙（国产）安全区I水电厂监控系统与安全区II水电厂水库调自动化系统之间横向数据防护，网络关键节点设备采取双机部署安全区I继电保护装置所与安全区II继电保护及故障录波信息子站之间横向数据防护，网络关键节点设备采取双机部署基本附件4：水电厂安全防护要求2.3横向隔离4.1.2控制区（安全区l）与控制区（安全区ll）边界安全防护安全区I与安全区II之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设备，实现逻辑隔离、报文过滤、访问控制等功能。所选设备的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。3.纵向防火墙（国产）安全区III与调控中心之间纵向数据防护，网络关键节点设备采取双机部署基本附件4：水电厂安全防护要求4.3第三方边界安全防护如果水电厂生产控制大区中的业务系统与环保、安全等政府部门进行数据传输，其边界防护应当采用生产控制大区与管理信息大区之间的安全防护措施。管理信息大区与外部网络之间应采取防火墙、VPN和租用专线等方式，保证边界与数据传输的安全。4.正反向物理隔离装置（国产）生产控制大区与管理信息大区之间数据传输，网络关键节点设备采取双机部署基本附件4：水电厂安全防护要求2.3横向隔离横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。5.恶意代码防护系统（网络版）（国产）1套用于安全区I、II集中病毒防护1套用于安全区III集中病毒防护基本附件4：水电厂安全防护要求5.7恶意代码防范应当及时更新特征码，查看查杀记录。恶意代码更新文件的安装应当经过测试。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。6.可信白名单防护系统1套用于安全区I、II计算设备可信验证 1套用于安全区III区计算设备可信验证 基本信息安全技术网络安全等级保护基本要求GB/T22239-20198.1.4.6可信验证可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信受到破坏后进行报警，并将验证结果形成审计记录送志安全管理中心。7.入侵检测系统（国产）安全区I、II、III各1台，进行网络入侵检测基本附件4：水电厂安全防护要求5.1入侵检测生产控制大区可以统一部署一套网络入侵检测系统，应当合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。8.运维审计系统（国产）1套用于安全区I、II集中运维审计1套用于安全区III集中运维审计增强信息安全技术网络安全等级保护基本要求GB/T22239-20199.1.4安全计算环境9.1.4.1身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。9.网络安全态势感知系统（国产）1套用于采集安全区I、安全区II的数据进行态势感知分析1套用于采集安全区III的数据进行态势感知分析基本附件4：水电厂安全防护要求5.4安全审计生产控制大区的监控系统应当具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。可以采用安全审计功能，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。10.系统安全加固安全区I、II、III主机、交换机加固基本附件4：水电厂安全防护要求5.2主机与网络设备加固水电厂厂级信息监控系统等关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器等，应当使用安全加固的操作系统。加固方式包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力以及配置安全的应用程序，其中配置的更改和补丁的安装应当经过测试。非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。应当对外部存储器、打印机等外设的使用进行严格管理。11.入网安评系统上线前，进行第三方安全测评，并出具安全测试报告基本信息安全技术网络安全等级保护基本要求GB/T22239-20198.1.9.7 应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。12.等级保护测评及安全防护评估根据电厂电力监控系统实际定级，定期开展网络安全等级保护测评、安全防护评估及安全整改工作基本附件1：电力监控系统安全防护总体方案4.3工程实施的安全管理电力监控系统相关设备及系统应当采用安全可靠的软硬件产品，开发单位、供应商应以合同条款或协议的方式保证所提供的设备及系统符合电力监控系统安全防护规定和本方案以及国家与行业信息系统安全等级保护的要求，并在设备及系统全生命周期内对其负责。13.交换机构建厂内生产专用网络一批3.5.2. 设备选型规范各类安防设备选型应符合国家安全可控的要求，禁止选用国家有关部门检测或通报有安全漏洞的设备，涉及密码的设备应符合国家密码管理局的有关要求，并入南方电网的设备选型应符合南方电网公司的有关规定。3.5.3. 电力专用隔离装置电力专用安全隔离装置的选项应符合下列基本要求。(一) 配置要求（1）网络接口： 10/100M接口2个（内网）10/100M接口2个（外网）1个10/100M双机热备接口。网络流量较大的可采用10/100M/1000M接口设备。（2）外设接口： 2个终端接口(RS232)+ 读写器接口。（3）电源接口