xxxx新能源场站电力监控系统安全防护总体方案新能源场站v.docx

《xxxx新能源场站电力监控系统安全防护总体方案新能源场站v.docx》由会员分享，可在线阅读，更多相关《xxxx新能源场站电力监控系统安全防护总体方案新能源场站v.docx（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXXX新能源场站电力监控系统平安防护总体方案XXXXXX新能源场站2021年xx月xx目录1.概述12.适用范围13.方案依据24.总体目标25.防护原那么3平安分区3网络专用3横向隔离3纵向认证4综合防护46.电力监控系统根本情况介绍4监控系统4系统24系统34系统44系统557.总体平安防护措施5平安区划分5控制区平安区I6非控制区平安区II6管理信息大区6平安区边界防护6生产控制大区和管理信息大区边界平安防护6平安区I与平安区II边界平安防护7系统间平安防护7纵向边界防护7横向隔离7管理信息大区与外部网络之间边界防护8第三方边界平安防护88.技术防护措施8入侵检测8主机设备加固8平安审

2、计9专用平安产品的管理9备用与容灾9恶意代码防范10设备选型及漏洞整改109.管理平安措施10平安管理制度11平安管理机构11人员平安管理11系统建立管理12系统运维管理1310.应急保障措施13应急指挥机构14平安应急预案14应急响应与处置14应急培训与演练14附件xx：xx系统网络拓扑构造图15附件xx：xx系统资产清单15附件xx：xx系统平安产品清单15附件xx：xx系统平安产品资质证明15附件xx：?保密协议?15附件xx：?外来人员访问管理规定?15附件xx：?信息平安培训管理标准?15附件xx：?xx新能源场站机房管理规定?15附件xx：?xx新能源场站设备及系统平安维护管理标准

3、?15附件xx：?xx新能源场站存储介质管理标准?15附件xx：?xx新能源场站恶意代码防护管理标准?15附件xx：?xx新能源场站数据及系统备份管理标准?15附件xx：?xx新能源场站系统用户及密码平安管理标准?16附件xx：?xx新能源场站电力监控系统信息平安应急预案?161.概述为贯彻落实?中华人民共和国网络平安法?、?电力监控系统平安防护规定? 国家开展改革委员会第14号令、?国家能源局关于印发电 力监控系统平安防护总体方案等平安防护方案和评估标准?国能平安2021 36号文、?电力行业网络与信息平安管理方法?国能平安2021317号文、?电力行业信息平安等级保护管理方法?国能平安20

4、21318号文等国家有关规定，加强发电厂电力监控系统平安防护，抵御黑客及恶意代码等对发电厂电力监控系统发起的恶意破坏和攻击，以及其它非法操作，防止发电厂电力监控系统瘫痪和失控，防止由此导致的电力监控系统一次系统事故和其它事故，确保电力监控系统的平安、稳定、可靠运行，制定本方案。新能源场站概况：介绍机组数量、装机容量、使用的监控系统等主要电力监控系统的品牌等。电力调度数据网络承载着电力调度生产各类业务数据的传输，xx新能源场站作为接入节点接入xx省调电力调度数据网络，为电站相关应用系统的数据交换和资源共享提供传输平台。本平安防护总体方案适用于xx新能源场站电力监控系统等工控系统的规划设计、工程审

5、查、工程实施、系统改造、运行管理等相关工作内容。本方案制定过程中依据以下标准：?电力监控系统平安防护规定国家发改委2021年第14号?电力监控系统平安防护总体方案?国能平安2021 36号?发电厂电力监控系统平安防护方案?信息平安等级保护管理方法?公通字200743号?电力行业信息平安等级保护管理方法?国能平安2021318号?电力行业网络与信息平安管理方法?国能平安2021317号?电力行业信息平安等级保护根本要求?电力监控系统平安防护评估标准?xx新能源场站电力监控系统平安防护的总体目标：坚持“平安分区、网络专用、横向隔离、纵向认证的总体原那么，明确分层分区，以生产控制大区和管理信息大区之

6、间的平安防护为重点，有效抵御黑客、病毒、恶意代码等通过两个大区的边界连接对电厂生产网络系统发起的恶意破坏和攻击，防止由此导致的一次系统事故或大面积停电事故，以及电力监控系统的崩溃或瘫痪；防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作；不发生电力监控系统的人为责任事故，不因电力监控系统的平安问题引发电网事故。按照?电力监控系统平安防护规定?，将xx新能源场站基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(平安区I)及非控制区(平安区II)，重点保护生产控制以及直接影响电力生产(机组运行)的系统。

7、电力调度数据网是与生产控制大区相连接的专用网络，承载电力实时控制等业务。发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的平安隔离。发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。横向隔离是电力监控系统平安防护体系的横向防线。应当采用不同强度的平安设备隔离各平安区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向平安隔离装置，隔离强度应当接近或到达物理隔离。生产控制大区内部的平安区之间应当采用具有访问控制功能的网络设备、平安可靠的硬件防火墙或者相当功能

8、的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。纵向加密认证是电力监控系统平安防护体系的纵向防线。电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。综合防护是结合国家及电力行业信息平安管理的相关要求对电力监控系统从主机平安、网络及平安设备平安、恶意代码防范、应用平安控制、审计、备份及容灾等多个层面进展信息平安防护的过程。 描述新能源场站监控系统如风机监控系统的根本情况。分四个局部介绍，分别是1系统情况简介、2系统边界分析、3网络拓扑构造、4设备清单。 其中网络拓扑构造和

9、设备清单需要以附件的形式提供：xxxx系统网络拓扑构造图见附件xx。xxxx系统资产清单。7.总体平安防护措施平安区划分根据电力监控系统防护“平安分区、网络专用、横向隔离、纵向认证的原那么，对xx新能源场站的监控系统、功率预测系统、天气预报系统、AVC、五防系统、调度数据网等进展平安防护。以风电场为例，各系统所处平安分区如下所示：序号业务系统及设备控制区非控制区管理信息大区备注1风电场监控系统风机监控风电场监控A22无功电压控制无功电压控制功能A13发电功率控制发电功率控制功能A14升压站监控系统升压站监控功能A15向量测量装置PMUPMUB6继电保护继电保护装置及管理终端B7故障录波故障录波

10、装置B8电能量采集装置电能量采集装置A1、B9风功率预测系统风功率预测A110状态监测系统风机状态监测A 211测风塔系统测风塔A212天气预报系统数字天气预报A213管理信息系统MIS管理信息系统A2注：A1：与调度中心有关的电厂监控系统A2：电厂内部监控系统B：调度中心监控系统的厂站侧设备与调度中心无关的电力监控系统不能接入调度数据网。7.1.1控制区平安区I控制区中的业务系统或其功能模块子系统的典型特征为：是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用调度数据网或专用通道，是平安防护的重点与核心。介绍一下新能源场站控制区的主要业务系统。7.1.2非控制区平安区II介绍一

11、下新能源场站非控制区的主要业务系统。介绍一下新能源场站管理信息大区的主要业务系统。xx新能源场站在生产控制大区与管理信息大区之间部署了电力专用横向单向平安隔离装置。xx新能源场站在平安区I与平安区II之间部署了逻辑隔离装置。介绍一下xx新能源场站同属于平安区I的各系统之间平安防护措施。xx新能源场站调度数据网与生产控制大区控制区纵向边界之间部署经有关部门认可的纵向认证加密装置，通过建立加密隧道，实现网络层双向身份认证、数据加密和访问控制。xx新能源场站非控制区平安区II调度数据网与生产控制大区非控制区纵向边界之间部署经有关部门认可的纵向认证加密装置，通过建立加密隧道，实现网络层双向身份认证、数

12、据加密和访问控制。调度数据网相关的交换机、路由器、纵向加密认证装置由对应的xx新能源场站进展端口配置、策略配置，而数据备份等运维管理工作那么由xx新能源场站及调度共同组织工作。电站负责供电保障、巡视检查、信息报送等工作。按照相关要求生产控制大区与管理信息大区之间部署了接近于物理隔离强度的正向隔离装置2台。采用符合国家和电力行业要求的正向网络平安隔离装置。I区与II区之间通过IP、端口、MAC地址绑定进展数据单向传输，II区无法进展与I区的数据回传，II区III区采用一样方式进展单向隔离。管理信息大区信息内网与外部网络之间边界防护应遵循“双网双机的物理隔离防护要求，严禁出现“非法外联、一机两用的

13、现象，严禁通过 拨号、无线等方式与信息外网和互联网联接。xx新能源场站生产控制大区中的业务系统未与政府部门进展数据传输，因此无需部署第三方边界防护。措施以下为全部综合平安防护方面，请根据场内实际情况进展填写xx新能源场站在生产控制大区控制区和非控制区统一部署一套边界部署一套xxxx入侵检测系统，用以监测核心节点异常业务流量。应当合理设置检测规那么，检测发现隐藏于流经网络边界正常信息流中的入侵行为和异常行为，分析潜在威胁并进展平安审计。以电力监控系统平安防护评估标准等标准为依据，描述本单位开展主机加固工作的具体内容，例如从身份鉴别、访问控制、平安审计、恶意代码防范、入侵防范、资源控制等方面对加固

14、的具体措施进展描述。xx新能源场站调度数据网上配备了一套xxxx日志审计系统，部署方式是旁路与核心交换机相连。具备平安审计功能，能够对操作系统、数据库、业务应用的重要操作进展记录、分析，以便及时发现各种违规行为以及病毒和黑客的攻击行为。平安防护工作中涉及使用横向单向平安隔离装置、纵向加密认证装置、防火墙、入侵检测系统等专用平安产品的，按照国家有关要求做好保密工作，制止关键技术和设备的扩散。需提供本单位平安防护工作中使用的平安产品清单和产品资质证书，清单中需要列出设备名称、类型、品牌、部署位置、所属业务系统；重要平安设备的资质证书需要包括公安部颁发的“计算机信息系统平安产品销售许可证明；电力专用

15、平安产品横向隔离装置、纵向加密认证装置应提供公安部信息平安产品检测中心的检查报告；国家密码管理局出具的商用密码产品销售许可证明。本单位平安防护工作中使用的平安产品清单见附件xx。平安产品的相关资质证书见附件xx。应当定期对关键业务的数据进展备份，并实现历史归档数据的异地保存。关键主机设备、网络设备或关键部件应当进展相应的冗余配置。控制区的业务系统应用应当采用冗余方式。xx新能源场站在生产控制大区控制区和非控制区统一部署一套边界部署一套xx恶意代码防御系统。生产控制大区内Windows操作系统应安装防恶意代码程序，防恶意代码程序应当及时手动更新特征库，并查看查杀记录。恶意代码更新文件的安装应当经

16、过测试。制止生产控制大区与管理信息大区共用一套防恶意代码管理效劳器。电力监控系统在设备选型及配置时，xx新能源场站运维人员没有选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备；对于已经投入运行的系统及设备，按照国家能源局及其派出机构的要求及时进展整改，同时加强相关系统及设备的运行管理和平安防护。生产控制大区中除平安接入区外，xx新能源场站运维人员制止选用具有无线通信功能的设备。平安防护体系建立的原那么是“三分技术，七分管理。完善的技术措施是根底，严格的管理体系才能充分发挥技术措施的作用。xx新能源场站根据电力监控系统平安防护的各项规定，组织了平安管理机构，制定了全面的

17、平安防护管理制度，明确了系统总体平安防护要求、目标、原那么等，并覆盖到电力监控系统建立、运维等环节涉及的机房管理、信息平安包含总体平安、网络平安、设备平安、日常运维、数据平安、应用平安等、设备管理、信息报送、应急预案等方面的工作要求，各级人员在工作中依据管理制度和要求严格落实各项工作。按照“谁主管谁负责、谁运营谁负责的原那么制定了?xx新能源场站电力监控系统平安防护总体方案?，明确规定了平安工作的总体方针和平安策略。平安管理制度具有统一的格式，明确发布范围和保密等级，本单位信息平安领导小组每年组织对平安管理制度进展合理性和适用性评审及修订，并指定专门的部门对其进展严格的版本控制。xx新能源场站

18、成立了电力监控系统平安防护领导小组，由公司分管生产的副总经理担任组长。分别描述网络领导小组以及各个角色的职责。xx新能源场站制定了人员平安管理的各项管理方法，形成多个管理制度，涉及人员录用、人员离岗、人员考核、外部人员访问管理以及平安意识教育和培训等。具体管理制度见附件。例如：附件x：?保密协议?附件x：?外来人员访问管理标准?附件x：?信息平安培训管理标准?系统运维管理工作的目标是保证系统平安、稳定地运行。系统运维工作应根据系统的重要性，制订出一套完整的平安、稳定运行标准，覆盖了平安运维工作涉及的机房管理、存储介质管理、设备及系统平安维护管理、访问控制及权限平安管理、恶意代码防护管理、平安审

19、计管理、数据及系统备份管理、系统用户及密码平安管理等。系统维护工作的内容包括日常维护工作和应急处理工作。具体管理制度如下：?xx新能源场站机房管理规定?见附件xx?xx新能源场站设备及系统平安维护管理标准?见附件xx?xx新能源场站存储介质管理标准?见附件xx?xx新能源场站恶意代码防护管理标准?见附件xx?xx新能源场站数据及系统备份管理标准?见附件xx?xx新能源场站系统用户及密码平安管理标准?见附件xx介绍本单位电力监控系统信息平安应急保障的根本部署情况。介绍本单位电力监控系统信息平安应急指挥机构的组织构造、人员情况；介绍本单位电力监控系统信息平安应急预案制定情况，包括范围、流程、措施以

20、及是否认期修订等。以附件的形式提供给急预案文档。如?xx新能源场站电力监控系统信息平安应急预案?以本单位电力监控系统实际情况为根底，对可能发生的信息平安事件进展分类，并制定相应的应急事件响应及处置流程和方法。具体内容见附件xx?xx新能源场站信息平安事件应急处置方案?，将可能发生信息平安事件场景列出。介绍本单位电力监控系统信息平安应急预案培训及演练工作的情况，如是否认期开展培训工作和演练活动。附件xx：xx系统网络拓扑构造图附件xx：xx系统资产清单附件xx：xx系统平安产品清单附件xx：xx系统平安产品资质证明附件xx：?保密协议?附件xx：?外来人员访问管理规定?附件xx：?信息平安培训管理标准?附件xx：?xx新能源场站机房管理规定?附件xx：?xx新能源场站设备及系统平安维护管理标准?附件xx：?xx新能源场站存储介质管理标准?附件xx：?xx新能源场站恶意代码防护管理标准?附件xx：?xx新能源场站数据及系统备份管理标准?附件xx：?xx新能源场站系统用户及密码平安管理标准?附件xx：?xx新能源场站电力监控系统信息平安应急预案?