光伏电站电力监控系统安全防护实施方案培训资料cuct.docx

《光伏电站电力监控系统安全防护实施方案培训资料cuct.docx》由会员分享，可在线阅读，更多相关《光伏电站电力监控系统安全防护实施方案培训资料cuct.docx（89页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、溧阳新晖晖光伏电电站电力监控控系统安安全防护护实施方方案溧阳新晖晖光伏电电站20177年12月5日（盖章）目录一、电厂厂基本情情况2二、方案案依据及及适用范范围32.1 本方案案编制依依据32.2 适用范范围4三、总体体目标44四、管理理制度554.1 溧阳新新晖光伏伏电站电电力监控控系统安安全防护护管理制制度54.2 溧阳阳新晖光光伏电站站电力监监控系统统安全联联合防护护应急预预案54.3溧溧阳新晖晖光伏电电站信息息系统机机房管理理标准664.4 溧阳阳新晖光光伏电站站教育培培训管理理制度664.5 溧阳阳新晖光光伏电站站外来人人员管理理制度664.6 溧阳阳新晖光光伏电站站计算机机系统管管

2、理制度度64.7 溧阳阳新晖光光伏电站站电力监监控系统统安全评评估制度度64.8 溧阳阳新晖光光伏电站站主机加加固安全全管理制制度7五、技术术措施775.1 业务分分类75.1.1安全全分区775.1.2网络络专用885.1.3横向向隔离885.1.4纵向向认证885.2 各业务务系统防防护85.2.1发电电厂综合合自动化化系统885.2.2电量量采集系系统1005.2.3继电电保护装装置1115.2.4电厂厂信息网网125.3通通用防护护措施1135.4主主机加固固165.5设设备备用用和数据据备份1185.6入入侵检测测195.7 防恶意意代码1195.8 安全审审计2005.9 拓扑图图

3、22七、 软软硬件设设备清单24八、 定定级备案案257.1评评测定级级表2557.2 测评报报告266附件：管管理制度度27附件一溧溧阳新晖晖光伏电电站电力力监控系系统安全全防护管管理制度度27附件二溧溧阳新晖晖光伏电电站电力力监控系系统安全全联合防防护应急急预案332附件三溧溧阳新晖晖光伏电电站信息息系统机机房管理理标准443附件四溧溧阳新晖晖光伏电电站教育育培训管管理制度度49附件五溧溧阳新晖晖光伏电电站外来来人员管管理制度度50附件六溧溧阳新晖晖光伏电电站计算算机系统统管理制制度511附件七电电力监控控系统安安全评估估制度553附件八溧溧阳新晖晖光伏电电站主机机加固安安全管理理制度55

4、4附件九溧溧阳新晖晖光伏电电站主机机加固技技术方案案56一、 电电厂基本本情况常州溧阳阳新晖光光伏200MW农农光互补补项目位位于江苏苏省溧阳阳市埭头头镇山前前村东北北侧，距距离西侧侧2399省道11.7kkm，2241省省道约66km，南南面的长长深高速速15kkm，1104国国道133km，与与西南方方向的溧溧阳市相相距111km。项项目经纬纬度为东东经11194021，北纬纬312957.52。本项目总总装机容容量为220MWW，选用用多晶硅硅组件TTP6772P-3000W共6696660块，选选用288KW组组串型并并网逆变变器，每每1.339322MW为为一个单单元，每每单元552

5、台逆逆变器。采采用分块块发电、集集中并网网方案。光光伏组件件方阵采采用固定定式安装装，组件件安装倾倾角为227。共分分为155个1.39332MWW光伏发发电单元元，1个个发电单单元由552台228KWW并网逆逆变器、99台交流流盒与11台14400kkVA、335kVV箱式升升压变电电站组合合而成。经经系统效效率影响响分析后后得出系系统效率率为811%，计计算得出出本光伏伏电站第第一年发发电量为为23226.669万度度电，剩剩下244年按照照每年约约0.88%递减减计算，可可计算出出年平均均发电量量为21116.44万万度电，225年总总共发电电529911.00万万度电。本本项目采采用分

6、散散发电、集集中控制制、单点点并网的的技术方方案。本本电站115个发发电单元元共分为为4条汇汇集线路路，3条条集电线线路接入入4个光光伏发电电单元和和1条集集电线路路接入33个光伏伏发电单单元，44条集电电线路分分段接入入35kkV母线线，以11回355kV出出线接入入附近77.5kkm处2220kkV溧阳阳变电站站35KKV侧。全全站设11套计算算机监控控系统，其其监控范范围有：逆变器器、箱变变、355kV进进线开关关、355kV馈馈线开关关、355kV母母线PTT、站用用电和直直流系统统等。监监控系统统具有远远动功能能，根据据调度运运行的要要求，本本电站端端采集到到的各种种实时数数据和信信

7、息，经经处理后后可传送送至上级级调度中中心。二、方案案依据及及适用范范围本次电力力监控系系统安全全防护方方案设计计的范围围包括电电厂电力力监控系系统规划划设计、工工程实施施、系统统改造和和升级、运运行管理理等。2.1 本方案案编制依依据1) 信息安安全等级级保护管管理办法法（公公通字20007443号）2) 信息安安全技术术信息系系统安全全等级保保护基本本要求GGB/TT 2222399-200083) 信息安安全技术术信息系系统安全全等级保保护定级级指南GGB/TT 2222400-200084) 信息安安全技术术信息系系统安全全等级保保护实施施指南GGB/TT 2550588-200105

8、) 信息安安全技术术 信息息安全风风险评估估规范GGB/TT 2009844-200076) 关于开开展电力力行业信信息系统统安全等等级保护护定级工工作的通通知（电电监信息息2000734号号）7) 电力监监控系统统安全防防护规定定（国国家发展展和改革革委员会会20114年第第14号号）8) 电力监监控系统统安全防防护总体体方案（国国能安全全2001536号号）9) 电力监监控系统统安全防防护评估估规范（国国能安全全2001536号号）10) 电力行行业信息息系统等等级保护护定级工工作指导导意见（电电监信息息2000744号号） 11) 电力行行业信息息系统安安全等级级保护基基本要求求（电电监

9、信息息2001262号号）12) 信息安安全技术术信息系系统安全全等级保保护测评评要求GGB/TT 2884488-2001213) 信息安安全技术术信息系系统安全全等级保保护测评评过程指指南GGB/TT 84449-2011214) 电力行行业信息息安全等等级保护护管理办办法（国国能安全全200143188号）15）电电力行业业网络与与信息安安全管理理办法（国国能安全全200143177号）2.2 适用范范围本次电力力监控系系统安全全防护方方案的范范围包括括电厂电电力监控控系统规规划设计计、工程程实施、系系统改造造和升级级、运行行管理等等。涉及及业务范范围如55.1章章节所示示。三、总体体目

10、标电力监控控系统安安全防护护的重点点是确保保电力实实时闭环环监控系系统及调调度数据据网络的的安全，目目标是抵抵御黑客客、病毒毒、恶意意代码等等通过各各种形式式对系统统发起的的恶意破破坏和攻攻击，特特别是能能够抵御御集团式式攻击，防防止由此此导致一一次系统统事故或或大面积积停电事事故及电电力监控控系统的的崩溃或或瘫痪。结结合发电电厂的实实际情况况，本发发电厂电电力监控控系统安安全防护护的总体体目标包包括：n 防止发电电厂监控控系统服服务等核核心业务务（即电电力生产产）中断断。n 防止发电电厂监控控系统本本身崩溃溃。n 抵御外部部人员对对发电厂厂监控系系统发起起的恶意意破坏和和攻击，及及可能对对相

11、连的的调度自自动化系系统的影影响。n 防止利用用病毒、木木马等恶恶意程序序,从发发电厂监监控系统统局域网网内部发发起的对对电力生生产及相相连的调调度自动动化系统统的恶意意破坏和和攻击。保护发电电厂监控控系统实实时和历历史数据据，主要要防止数数据被非非授权修修改。四、管理理制度4.1溧溧阳新晖晖光伏电电站电力力监控系系统安全全防护管管理制度度本制度规规定了溧溧阳新晖晖光伏电电站（以以下简称称“公司”）信息息系统管管理内容容，主要要包括网网络的接接入管理理、信息息安全管管理和信信息化设设备采购购及修理理流程等等，此规规定同时时包含了了公司各各部门间间协调等等方面的的工作原原则。本制度适适用于公公司

12、于信信息系统统有关的的各项管管理工作作，内容容详见附附件一。4.2 溧阳新新晖光伏伏电站电电力监控控系统安安全联合合防护应应急预案案本预案为为提高电电力监控控系统的的安全防防护水平平，保证证电力系系统的安安全稳定定运行，有有效防止止、控制制溧阳新新晖光伏伏电站生生产大区区监控系系统由于于遭到黑黑客、恶恶意代码码攻击及及其他人人为破坏坏时造成成重大损损失及系系统瘫痪痪，缩小小故障时时的故障障范围。本预案适适用于本本企业电电力监控控系统故故障事件件的应急急处置和和应急救救援工作作，内容容详见附附件二。4.3 溧阳新新晖光伏伏电站信信息系统统机房管管理标准准本标准规规定了公公司信息息系统机机房安全全

13、管理职职责、管管理内容容与要求求,检查查与考核核。 本标准适适用于公公司信息息系统机机房管理理，内容容详见附附件三。4.4溧溧阳新晖晖光伏电电站教育育培训管管理制度度本制度规规定了公公司职工工教育培培训管理理的职责责、管理理内容与与方法、报报告和记记录。本制度适适用于公公司对人人员教育育培训管管理，内内容详见见附件四四。4.5 溧阳新新晖光伏伏电站外外来人员员管理制制度为确保机机房信息息及设备备的安全全运行，本本制度规规范了外外来人员员进入机机房的操操作行为为及流程程管理。本制度适适用于公公司对外外来人员员管理，内内容详见见附件五五。4.6 溧阳新新晖光伏伏电站计计算机系系统管理理制度本制度为

14、为保证电电厂生产产办公用用计算机机设备本本身和计计算机网网络系统统的安全全稳定运运行，以以及相关关工作的的正常开开展,保保证存储储在计算算机中的的信息和和数据不不被破坏坏,防止止操作系系统程序序及应用用软件系系统不被被非法更更改或破破坏。本制度适适用于公公司对投投运计算算机系统统的管理理，内容容详见附附件六。4.7 溧阳新新晖光伏伏电站电电力监控控系统安安全评估估制度为提高电电力监控控系统的的安全防防护水平平，保证证电力系系统的安安全稳定定运行，有有效防止止、控制制溧阳新新晖光伏伏电站生生产大区区监控系系统遭到到黑客、恶恶意代码码攻击及及其他人人为破坏坏而造成成重大损损失及系系统瘫痪痪，缩小小

15、故障时时的故障障范围。本本着“安全第第一，预预防为主主”的原则则，防范范与未然然，特制制定电力力监控系系统安全全评估制制度。本制度适适用于公公司对电电力监控控系统安安全评估估方法的的管理，内内容详见见附件七七。4.8 溧阳新新晖光伏伏电站主主机加固固安全管管理制度度加强对关关键服务务器的安安全控制制，是增增强系统统总体安安全性的的核心一一环。完完成主机机加固，一一是对主主机密码码进行修修改加固固；二是是对账户户进行权权限分配配，保证证对系统统资源（包包括数据据和进程程）的访访问符合合定义的的主机安安全策略略，防止止主机权权限被滥滥用。本制度适适用于公公司对电电力监控控系统主主机加固固方案的的管

16、理，内内容详见见附件八八。五、技术术措施5.1 业务分分类5.1.1安全全分区按照电电力监控控系统安安全防护护规定，将将本厂的的业务系系统划分分为生产产控制大大区和管管理信息息大区，根根据业务务系统的的重要性性和对一一次系统统的影响响程度将将生产控控制大区区划分为为控制区区（安全全区I）及及非控制制区（安安全区III）。重重点保护护生产控控制以及及直接影影响电力力生产的的系统。控制区：本厂的的控制区区主要包包括以下下业务系系统和功功能模块块：发电电厂综合合自动化化系统和和继电保保护装置置。非控制区区：本厂厂的非控控制区主主要包括括以下业业务系统统和功能能模块：电能量量采集装装置。管理信息息大区

17、：本厂暂暂无。序号业务系统统控制区（一一区）非控制区区（二区）管理信息息大区（三三区）1监控系统统监控355kV系系统等设设备，向向无锡市市调传送送相应数据据2继电保护护继电保护护装置3电能采集集终端电能量采采集、处处理4电厂信息息网厂站与企企业管理理通信5.1.2网络络专用溧阳新晖晖光伏电电站厂站站端的电电力调度度数据网网在专用用通道上上使用独独立的网网络设备备组网，在在物理层层面上实实现与电电力企业业其它数数据网及及外部公公共信息息网的安安全隔离离。电力力调度数数据网划划分为逻逻辑隔离离的实时时子网和和非实时时子网，分分别连接接控制区区和非控控制区。5.1.3横向向隔离本厂需从从控制区区单

18、向接接收数据据至管理理信息大大区（三三区），部署正向向隔离。5.1.4纵向向认证溧阳新晖晖光伏电电站电站站生产控控制大区区与调度度数据网网的纵向向连接处处设置纵纵向加密密认证装装置，实实现双向向身份认认证、数数据加密密和访问问控制。5.2 各业务务系统防防护5.2.1发电电厂综合合自动化化系统1、系统统介绍本电站后后台监控控系统采采用国电电南自PPS60000+监控系系统，国国电南自自PS660000+监控控系统是是为满足足当代电电力系统统综合自自动化建建设和发发展的需需要，在在总结国国内外该该领域多多年应用用经验的的基础上上， 研研发出的的一套基基于厂站站监控系系统自动动化整体体解决方方案的

19、拳拳头产品品。该监监控系统统集先进进的计算算机软硬硬件技术术、自动动控制技技术和网网络通信信技术于于一身，主主要用于于变电站站内部测测控，保保护以及及其他数数据的监监控，设设计完全全根据国国际国内内最新的的行业标标准，能能够最大大限度地地满足电电力系统统安全、稳稳定和高高效运行行的要求求。2、系统统组成部部分及其其部署位位置国电南自自PS660000+监控控系统采采用分层层分布式式的结构构，按物物理位置置可分为为间隔层层和站控控层。间间隔层主主要由保保护和测测控装置置组成。通通过精心心的设计计，保护护和测控控装置的的功能既既相互独独立又相相互融和和。国电南自自PS660000+监控控系统的的站

20、控层层设备同同样采用用分布式式、开放放式的设设计，主主要由当当地后台台监控和和远动设设备组成成。站控控层交换换机用于于站内网网络设备备组网。远远动机用用于传输输站内数数据至调调度，负负责和常常州市调调主站通通信。组成监控控系统的的监控主主机、站站控层交交换机、远远动主机机设备均均位于生生产控制制大区II区内部部，因此此所有数数据交互互都是在在生产控控制大区区I区内内部进行行交互，不不存在跨跨区数据据交互过过程。5.3、系统数数据交互互方式1、后台台监控系系统内部部数据交交互方式式全站采用用网络组组网配置置，以太太网1003规约通通过网线线接入站站控层交交换机，采采集站内内保护和和测控的的数据，

21、其其他不支支持以太太网1003规约通通讯的设设备经过过通信管管理机转转换后再再以以太太网1003规约通通过网线线接入交交换机。监监控系统统通过网网线对接接入站控控层交换换机的所所有设备备进行数数据监控控。2、后台台监控系系统与调调度的数数据交互互方式后台监控控系统通通过远动动主机与与无锡市市调主站站进行通通讯，采采用标准准1044调度规规约。3、接入入调度数数据网方方式远动主机机通过接接入双平平面调度度数据网网交换机机的方式式将数据据上传至至无锡市市调自动动化，在在本方案案中，远远动机与与生产控控制大区区（I平平面和III平面面）I区区接入交交换机相相连。4、安全全防护策策略配置置由于远动动数

22、据通通过I区区接入交交换机上上传至电电力公司司，因此此通过纵纵向加密密装置可可以保证证数据安安全，加加密的传传输。纵纵向加密密需要在在策略上上将厂内内地址和和调度端端系统前前置机地地址以及及24004 TTCP端端口上进进行限制制。5.2.2 电电量采集集系统1、系统统介绍本电站的的电能采采集系统统通过电电力调度度数据网网以网络络方式将将电能量量数据上上传至调调度端。2、组成成及其部部署位置置电能量采采集系统统中关口口上网电电量经电电能量采采集装置置上传至至调度数数据网，其其设备布布置在生生产控制制大区区内部部。3、系统统数据交交互方式式3.1、电电量采集集系统内内部数据据交互方方式关口计量量

23、表数据据通过通通讯接口口计入电电量采集集装置，电电量采集集装置在在通过网网络接入入数据网网交换机机。最终终通过一一平面非非控制区区将电量量上送到到调度。3.2、电电量采集集系统与与厂内其其他系统统的数据据交互方方式无3.3、电电量采集集系统与与调度的的数据交交互方式式（与调调度互传传）电量采集集系统通通过调度度数据网网与调度度主站进进行通讯讯。4、接入入调度数数据网方方式电量采集集系统通通过接入入调度数数据网交交换机的的方式将将数据上上传至调调度控制制中心，在在本方案案中，电电量终端端服务器器与生产产控制大大区区接入入交换机机相连。5、防护护策略配配置由于电量量数据通通过区接入入交换机机上传至

24、至调度，因因此通过过电力监监控防护护设备纵纵向加密密装置可可以保证证电量数数据安全全，加密密的传输输。纵向向加密需需要在策策略上将将厂内电电量终端端服务器器IP地地址和主主站端IIP地址址以及服服务器TTCP端端口（99509655）上进进行限制制。5.2.3继电保保护装置置1.系统统介绍继电保护护装置主主要对保保护和测测控装置置实现下下述功能能：实时时查询、收收集和分分级记录录数据（用用数据库库保存），并并传送主主站及监监控系统统(包括括保护动动作报文文信息)；调阅阅定值（运运行定值值或主站站指定定定值）及及参数，查查阅历史史记录、当当前状况况；能对对多个主主站发送送数据，响响应多个个主站的

25、的请求；2.系统统组成部部分及其其部署位位置继电保护护装置采采用南自PSSR6661U测测控装置置1台、南自PSXX6100G远动装装置2台台组成继继电保护护及远动动通讯系系统。设设备位于于生产控控制大区区I区内部部，通过过设备本本身记录录保护信信息。3.系统统数据交交互方式式3.1继继电保护护装置内内部数据据交互方方式继电保护护装置通通过设备备本身采采集和记记录保护护动作等等信息，并并进行存存储和显显示通过过间隔层层和站控控层交换换机将数数据传输输至监控控后台，与与其他安安全区内内网络无无关联。3.2、继继电保护护装置与与厂内其其他系统统的数据据交互方方式继电保护护装置通通过与监监控后台台数

26、据的的传输，实实现数据据、保护护动作的的查阅以以及响应应主站的的请求。电站上级管理系统通过站控层交换机与远动装置进行数据单向接收后，通过电厂信息网上送公网。3.3、继继电保护护装置与与调度的的数据交交互方式式暂未接入入调度数数据网，不不存在数数据交互互。4.接入入调度数数据网方方式继电保护护装置暂暂未接入入调度数数据网。5.安全全防护策策略配置置继电保护护装置通通过间隔隔层和站站控层交交换机将将数据传传输至监监控后台台。对继继电保护护系统设设备进行行主机加加固。继电保护护装置通通过间隔隔层和站站控层交交换机将将数据单单向传输输至电站站上级管管理系统统现场采采集服务务器，使使用正向向隔离装装置保

27、障障控制区区的数据据安全。5.2.4电厂信信息网1.系统统介绍电厂信息息网主要要通过运运行商的的网络进进行企业业的日常常工作通讯讯，并把把远动装装置采集集相应数数据，通通过采集集数据服服务器上上送集控控中心。2.系统统组成部部分及其其部署位位置电厂信息息网含光光纤、光光猫、路路由器、交交换机、办办公电脑脑、采集集服务器器等。3.系统统数据交交互方式式3.1电电厂信息息网内部部数据交交互方式式电厂信息息网通过过公网交交换机进进行数据据交互。3.2电电厂信息息网与厂厂内其他他系统的的数据交交互方式式本厂电厂厂信息网网与控制制区远动动装置存存在交互互。3.3电电厂信息息网与调调度的数数据交互互方式暂

28、未接入入调度数数据网，不不存在数数据交互互。4.接入入调度数数据网方方式暂未接入入调度数数据网。5.安全全防护策策略配置置电厂信息息网因为为与外网网相连，为为了防止止外来非非法行为为，保障障站内电电力专网网安全。现现场增加加防火墙墙，将公众访访问网与与内部网网分离；并加强强现场人人员管理理，禁止止电厂信信息网与与电力专专网相连连。与控控制区之之间增加加正向隔隔离与防防火墙。5.3通通用防护护措施1、 技术1.1物物理安全全等级保护护要求位置选择择、访问问控制、防防盗防破破坏、防防雷击、防防火、防防水防潮潮、防静静电、温温湿度控控制、电电力供应应、电磁磁保护电力监控控系统安安全防护护要求按照安全

29、全分区的的原则，将将不同重重要程度度设备置置于安全全区域内内，对重重要设备备采取电电磁屏蔽蔽措施。其其防护强强度等于于等级保保护要求求电厂具体体防护措措施按照设备备、操作作间进行行机房物物理区域域划分，按按安全分分区摆放放机柜1.2网网络安全全等级保护护要求结构安全全、访问问控制、安安全审计计、边界界完整性性、入侵侵防范、恶恶意代码码防护、网网络设备备防护电力监控控系统安安全防护护要求电力监控控系统遵遵循“安全分分区、网网络专用用、横向向隔离、纵纵向加密密”的防护护原则，将将电力监监控系统统分置于于生产控控制大区区和管理理信息大大区、在在两个大大区之间间部署横横向单向向隔离装装置，在在生产控控

30、制大区区专用的的调度数数据专用用网络边边界部署署纵向加加密认证证装置，形形成栅格格状安全全防护体体系架构构，其防防护强度度等同于于等级保保护要求求电厂具体体防护措措施1、 专网专用用；2、 安全分区区；3、 纵向边界界部署纵纵向加密密认证装装置，配配置IPP+限定定端口的的控制策策略，启启用隧道道密通功功能4、 网络设备备安全加加固，关关闭不必必要的服服务和端端口，限限制登陆陆地址及及用户等等，配置置多用户户。1.3主主机安全全等级保护护要求身份鉴别别、安全全标记、访访问控制制、可信信路径、安安全审计计、剩余余信息保保护、入入侵防护护、恶意意代码、资资源控制制电力监控控系统安安全防护护要求对原

31、有系系统按照照电力力监控系系统安全全加固规规范进进行安全全加固，并并通过加加强运维维管理保保证主机机及操作作系统安安全。新一代调调控系统统采用国国产设备备，国产产操作系系统提高高安全防防护水平平，同时时满足等等级保护护要求，其其防护强强度等同同于等级级保护要要求电厂具体体防护措措施1、 各个层面面的口令令均应杜杜绝7位位以内的的弱口令令。2、 系统采用用国产设设备、国国产安全全操作系系统，国国产安全全数据库库。1.4应应用安全全等级保护护要求身份鉴别别、安全全标记、访访问控制制、可信信路径、安安全审计计、剩余余信息保保护、通通信完整整性、通通信保密密性、抵抵抗赖性性、软件件容错、资资源控制制电

32、力监控控系统安安全防护护要求新系统采采用基于于调度数数字证书书及安全全标签的的一体化化基础平平台，实实现安全全访问控控制可信信可控。其其防护强强度等同同于等级级保护要要求。电厂具体体防护措措施1、各个个层面的的口令均均应杜绝绝7位以以内的弱弱口令。2、系统统采用基基于调度度数字证证书及标标签的安安全认证证。1.5数数据安全全及备份份恢复等级保护护要求数据完整整性、数数据保密密性、备备份和恢恢复电力监控控系统安安全防护护要求电力监控控系统从从数据层层面、系系统层面面和调度度业务层层面三个个层面均均要求实实现备用用，以此此为基础础建立备备用调度度体系，实实现全面面的电力力监控系系统安全全备用机机制

33、，其其防护强强度等同同于等级级保护要要求电厂具体体防护措措施实现数据据级备用用；实现现自动化化系统及及功能备备用；实实现调度度业务及及人员备备用。2、 管理2.1安安全管理理制度等级保护护要求管理制度度、制定定和发布布、评审审和管理理电力监控控系统安安全防护护要求建立了电电力监控控系统安安全防护护相关管管理制度度，依照照“谁主管管谁负责责，谁运运营谁负负责”的原则则，与调调度安全全性评价价相结合合，常态态化开展展管理工工作。电厂具体体防护措措施制定电力力监控系系统安全全防护管管理制度度2.2安安全管理理机构等级保护护要求岗位设置置、人员员配备、授授权与审审批、沟沟通和合合作、审审核和检检查电力

34、监控控系统安安全防护护要求成立了电电力监控控系统安安全防护护领导小小组，建建立安全全工作协协调机制制，明确确职责分分工。调调度部门门的安全全管理人人员专人人专岗。电厂具体体防护措措施建立电力力监控系系统安全全管理机机构2.3人人员安全全管理等级保护护要求人员录用用、人员员离岗、人人员考核核、安全全意识教教育和培培训、外外来人员员访问管管理电力监控控系统安安全防护护要求要求对电电力监控控系统安安全防护护专职人人员定期期进行培培训和考考核。同同时建立立保密机机制，加加强保密密教育，提提高安全全防护意意识，并并与相关关人员签签署保密密协议。加加强对外外来人员员的管控控，强化化出入管管理核查查。电厂具

35、体体防护措措施定期培训训；签署署保密协协议；外外来人员员管控。2.4系系统建设设管理等级保护护要求系统定级级、安全全方案设设计、产产品采购购和使用用、自行行软件开开发、外外包软件件开发、工工程实施施、测试试验收、系系统交付付、系统统备案、等等级测评评、安全全服务商商选择电力监控控系统安安全防护护要求制定了针针对电力力监控系系统专用用安全产产品和业业务系统统的开发发单位及及供应商商的管控控措施，对对自主开开发的软软件进行行严格管管理防止止关键技技术扩散散。电厂具体体防护措措施加强安全全产品和和业务系系统的开开发单位位及供应应商的管管控措施施；与开开发单位位及供应应商签署署保密协协议。2.5系系统

36、运维维管理等级保护护要求环境管理理、资产产管理、介介质管理理、设备备管理、监监控管理理和安全全管理中中心、网网络安全全管理、系系统安全全管理、恶恶意代码码管理、密密码管理理、变更更管理、备备份与恢恢复、安安全事件件处理、应应急预案案管理电力监控控系统安安全防护护要求制定电力力监控系系统日常常安全管管理制度度，制定定了监控控系统的的应急处处理预案案电厂具体体防护措措施制定安全全运维管管理制度度；制定定监控系系统的应应急预案案。5.4主主机加固固5.4.1主机加固固1. 总则为了保证证电力调调度数据据网安全全稳定运运行，根根据江江苏电力力监控安安全防护护专项检检查工作作方案系系统本体体内安全全要求

37、，需需对本电电厂电力力监控系系统服务务器进行行安全加加固，以以保证电电厂业务务平稳，安安全的传传输。2. 加固对象象本电厂主主要加固固的对象象主要包包括使用用Winndowws系统统的综合合自动化化系统主主机、远远动设备备和网络络设备等等。3. 加固内容容及措施施1. 加固内容容及措施施1、 停止或删删除不需需要的服服务：CC:sservvicees.mmsc 打开服服务面板板，禁用用不必要要的服务务。（如如：snnmp服服务、mmesssagee服务、DDHCPP Clliennt服务务、DNNS CClieent服服务等。2、 删除默认认网络共共享：手手工删除除默认共共享： 创建aauto

38、oshaareddel.batt 文件件，键入入如下内内容： nett shharee c$ /ddel nett shharee d$ /ddel nett shharee e$ /ddel nett shharee ippc$ /deel nnet shaare admmin$ /ddel 创创建此文文件的快快捷方式式，并将将其拖放放到开始始-程程序-启动栏栏中，这这样每次次重启系系统后，系系统会自自动删除除默认共共享。3、 重新配置置管理员员Admminiistrratoor：由由于Wiindoows 系统的的Admminiistrratoor帐号号是不能能被停用用的，攻攻击者可可以利用

39、用这一点点对Addminnisttrattor帐帐号的密密码进行行暴力破破解。解解决办法法将Addminnisttrattor帐帐号改名名。4、 配置系统统审核策策略：在在控制面面板管管理工具具本地地安全策策略-本本地策略略中指定定需要的的审核策策略。5、 禁用或删删除不必必要的系系统帐号号：禁用用gueest帐帐号。检检查并删删除不必必要的系系统帐号号。如主主机不需需开放IIIS wwww服务，可可删除或或禁用IIUSRR_yoourccompputeernaame、IIWAMM_ yyourrcommputternnamee帐号。6、 设置较强强的密码码策略：建议进进行下列列更改，启启用“

40、密码必必须符合合复杂性性要求” 将“密码长长度最小小值”设置为为8个字字符 将将“密码最最长保留留期”设置为为60天天 将“密码最最短存留留期”设置为为0天 将“强制密密码历史史”设置为为2个记记住的密密码。5.5设设备备用用和数据据备份1总则本电厂的的设备备备用和数数据备份份是指对对设备硬硬件进行行冗余备备件对数数据结构构和数据据对象进进行拷贝贝，防止止系统在在遭受破破坏和数数据丢失失时能够够最大限限度的恢恢复数据据至破坏坏前的状状态。2设备备备用策略略采用双平平面的方方式进行行数据结结构备用用，生产产控制大大区I区区远动主主机是双双设备进进行数据据传输。3数据备备份制度度调度数据据网路由由

41、器，交交换机，防防火墙，纵纵向加密密数据配配置备份份需要在在每月11日早班班手动备备份一次次，远动动主机及及数据库库每季度度第一个个月1日日或重大大节日前前备份一一次。负负责相关关备份的的工作人人员需保保证备份份U盘根根据控制制区与非非控制区区进行单单独备份份，不能能混插混混用。备备份U盘盘上要标标明具体体备份时时间，备备份人员员等重要要内容，且且备份UU盘不能能与主机机或设备备存储在在同一区区域。4数据恢恢复制度度在配置备备份当日日下午需需在备品品设备上上进行配配置预恢恢复测试试，待数数据恢复复后需要要详细对对比备份份配置和和设备运运行配置置，若无无差别则则说明该该配置备备份有效效，若存存在

42、差别别则查明明造成差差别的原原因是由由于备份份文件导导致或是是由备份份恢复操操作不当当导致，查查明原因因后则需需重新进进行设备备配置备备份或配配置预恢恢复测试试，直至至配置备备份能正正常恢复复为运行行配置为为止。5.6入入侵检测测暂未部署署入侵检检测（计计划部署署中）1、总则则生产控制制大区应应统一部部署一套套入侵检检测系统统，需要要合理设设置检测测规则，检检测发现现隐藏于于流经网网络边界界正常信信息流中中的入侵侵行为，分分析潜在在威胁。2、 防护细则则本电厂根根据实际际业务情情况在生生产控制制大区部部署一台台入侵检检测装置置。入侵侵检测装装置与各各区的接接入层交交换机镜镜像口直直接连线线，所

43、有有接入接接入层交交换机的的数据都都会通过过数据镜镜像被入入侵检测测装置进进行流量量数据分分析来检检测隐藏藏与网络络边界的的入侵行行为。3、 替代措施施电站加强强各类规规章制度度的建立立和执行行，确保保安全II区和III区网网络不非非法和外外网连接接。5.7防防恶意代代码暂未部署署防范恶恶意代码码（计划划部署中中）1、总则则本电厂根根据实际际业务情情况在生生产控制制大区部部署应部部署防恶恶意代码码系统，可可及时更更新特征征码，查查看查杀杀记录。2、防护护细则当出现计计算机病病毒传染染迹象时时，立即即隔离被被感染的的系统和和网络并并进行处处理，不不应带“毒”继续运运行；发发现计算算机病毒毒后，一

44、一般应利利用防杀杀计算机机病毒软软件清除除文件中中的计算算机病毒毒，对于于无法杀杀除的计计算机病病毒，应应及时请请专业人人员解决决。为了保证证及时更更新入侵侵检测装装置的病病毒库，公公司采用用定期离离线的方方式更新新病毒库库数据包包。3.替代代措施电站加强强各类规规章制度度的建立立和执行行，确保保安全II区和III区网网络不非非法和外外网连接接。5.8 安全审审计暂未部署署安全审审计（计计划部署署中）1、总则则为了保证证电力调调度数据据网安全全稳定运运行，电电力监控控系统安安全防护护总体方方案（国国能安全全2001536号号文）安安全要求求，生产产控制大大区监控控系统应统统安全审审计系统统，对

45、网网络运行行日志、操操作系统统运行日日志、数数据库访访问日志志、业务务应用系系统运行行日志、安安全设施施运行日日志等进进行集中中收集、自自动分析析。2、防护护细则1. 主主机审计计：审计计针对主主机的各各种操作作和行为为。2. 设设备审计计：对网网络设备备、安全全设备等等各种设设备的操操作和行行为进行行审计网网络审计计：对网网络中各各种访问问、操作作的审计计，例如如tellnett操作、FFTP操操作，等等等。3. 数数据库审审计：对对数据库库行为和和操作、甚甚至操作作的内容容进行审审计业务务审计：对业务务操作、行行为、内内容的审审计。4. 终终端审计计：对终终端设备备（PCC、打印印机）等等

46、的操作作和行为为进行审审计，包包括预配配置审计计。5. 用用户行为为审计：对企业业和组织织的人进进行审计计，包括括上网行行为审计计、运维维操作审审计有的的审计产产品针对对上述一一种对象象进行审审计，还还有的产产品综合合上述多多种审计计对象。3、替代代措施电站加强强各类规规章制度度的建立立和执行行895.9 拓扑图图电厂监控控系统安安全部署署示意图图六、软硬硬件设备备清单序号设备/系系统名称称型号生产厂家家数量备注一、接入入调度数数据网1路由器AR22200华为22交换机S27000华为23纵向加密密装置Netkkeepper220000南瑞4二、计算算机监控控系统1监控后台台DELLL主流配配置戴尔12远动装置置PSX6610GG国电南自自23.1交换机S52770华为13.2交换机S52770华为14电量采集集终端MOXAA-26650-2AOO摩莎15同步时钟钟ATS220000上海宽域域1三、继电电保护装装置1公用