光伏电站用户站电力监控系统安全防护方案.pdf

《光伏电站用户站电力监控系统安全防护方案.pdf》由会员分享，可在线阅读，更多相关《光伏电站用户站电力监控系统安全防护方案.pdf（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、光光伏伏电电厂厂电电力力监监控控系系统统安全防护技术方案安全防护技术方案编制：编制：审核：审核：批准：批准：单位名称（加盖公章）单位名称（加盖公章）20172017 年年 6 6 月月 2222 日日一、一、方案编制依据方案编制依据中华人民共和国计算机信息系统安全保护条例 国务院 1994 年 147 号令（2011 年修订）电力监控系统安全防护规定中华人民共和国国家发展和改革委员会 2014 年第 14号令电力行业网络与信息安全管理办法国能安全2014317 号电力行业等级保护管理办法国能安全2014318 号电力监控系统安全防护总体方案国能安全201536 号二、二、总体目标和原则总体目标

2、和原则(一一)总体目标总体目标确保新特汇能电厂电力监控系统和电力调度数据网络的安全，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。总体原则总体原则(二二)坚持“安全分区、网络专用、横向隔离、纵向认证”总体原则，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。三、三、安全防护方案安全防护方案(一一)电力监控系统概述电力监控系统概述1.分散控制系统（DCS）无2.网络监控系统（SCADA）本厂 SCADA 系统包括（2）台主机兼工作站、（4）台工作站，操作系统主要采用

3、 LINUX系统，数据库主要采用 MySQL 数据库。系统外部通信接口如下，均采用TCP/IP 协议进行数据通讯：序号互联系统或设备接口型式1SCADA 系统TCP/IP 协议2功率预测系统TCP/IP 协议3综合自动化装置TCP/IP 协议4自动电压 AVCTCP/IP 协议5自动发电 AGCTCP/IP 协议3.相量测量装置（PMU）无。4.电能量采集装置本厂电能采集装置采用兰吉尔 FFG_Plus，电能表通过 RS485 与电能采集装置进行数据传输，后经过采集装置通过 TCP/IP 协议进行数据通讯。5.总体网络拓扑图安全分区安全分区(二二)按照电力监控系统安全防护规定，原则上将发电厂基

4、于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区）及非控制区（安全区），重点保护生产控制及直接影响机组运行的系统。本厂 安全分区如下：安全区：光伏区环网、工作站、保护装置、直流系统、ups、站用变、站控设备组成的控制网络，与安全区通过防火墙实现硬件隔离。安全区：电能采集、功率预测数据，安全区与安全区通过反向隔离装置实现硬件隔离。安全区：MIS 管理系统，此链路独立无其他连接，气象站通过反向隔离装置与安全区功率预测实现硬件隔离。汇能库尔勒光伏一电站安全分区表汇能库尔勒光伏一电站安全分区表序业务系统及设备控

5、制区非控制区管理信息大号安全一区安全二区区电站运行监1光伏电站运行监控系统控无功电压控2无功电压控制制发电功率控3发电功率控制制4开关柜监控系统开关柜监控5继电保护装置及管理终端保护装置故障录波装6故障录波置7电能量采集装置电能量采集8光伏功率预测系统光功率预测9天气预报系统数字天气预报10管理信息系统 MISMIS(三三)网络专用网络专用调度数据网是生产控制大区相连接的专用网络，电力实时控制、在线生产交易等业务。我厂的电力调度数据网使用电力光缆且网络设备独立，物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。厂端电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和

6、非控制区。(四四)横向隔离横向隔离横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。我厂控制区与非控制区配置 SECWORLD 防火墙，规则合理运行正常，除此链接外无其他链路链接控制区与非控制区。(五五)纵向认证纵向认证纵向加密认证是电力监控系统安全防护体

7、系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制其他安全措施。我厂信息管理大区（天气预测系统）与安全二区装设反向隔离装置 Stone wall-2000 单向数据传递正常，信息管理区除此连接外并无其他链路介入安全二区。MIS 系统为独立链路，无其他接入。1.防病毒我站生产区域内的计算机信息系统，要与 Internet 网分开，并建立计算机病毒防火墙，对服务器，要采用先进的网络防计算机病毒软件，并对经过服务器的信息进行监控，防止计算机病毒通过邮件服务器扩散、传播。随时注意各种异常现象，一旦发现

8、，应立即用查毒软件仔细检查。经常更新与升级防杀计算机病毒软件的版本。对生产区域内的要定点、定时、定人作查毒杀毒巡检。当出现计算机病毒传染迹象时，立即隔离被感染的系统和网络并进行处理，不应带“毒”继续运行；发现计算机病毒后，一般应利用防杀计算机病毒软件清除文件中的计算机病毒，对于杀毒软件无法杀除的计算机病毒，应及时请专业人员解决。对新购进的计算机及设备，为防止原始计算机病毒的侵害，要组织专业人员检查后方可安装运行；联网计算机、重要系统的关键计算机要安装防计算机病毒软件，并定期或及时更新计算机病毒防范产品的版本；要使用国家规定的、具有计算机使用系统安全专用产品销售许可证的计算机防计算机病毒产品。系

9、统中的程序要定期进行比较测试和检查。严禁使用盗版软件，特别是盗版的杀毒软件，严禁在工作计算机上安装、运行各类游戏软件。2.主机加固我厂准备安装主机加固，主机加固软件为信达 S-numen，强制进行权限分配，保证对系统资源（包括数据和进程）的访问符合定义的主机安全策略，防止主机权限被滥用。3.入侵检测当系统发生入侵行为或者违反安全策略的操作时，S-numen 利用自身功能对用户（程序）在网络层和系统内部对该用户（程序）进行阻断，并且由系统向管理员进行报警。在报警条件中添加相应的报警规则，S-numen 可对入侵行为和违反安全策略的用户（程序）进行阻断。当有违反安全规则的情况出现时，S-numen

10、 服务器端会向特定的系统发送报警信息，S-numen 监控程序会以多中方式进行报警。在后台可以提供告警。4.安全审计日志审计和日志管理对于网络安全会起到重要作用，S-numen 拥有独立的日志审计系统，通过方便的检索可以方便安全管理员的工作。S-numen 的日志生成实在内核级上实现的，日志根据设置也可不生成，当生成时，还可以设置是否按项目设置生成，所以应视系统存储空间的大小进行适当设置来使用。S-numen 提供多种检索功能，方便管理的工作。5.等级测评5.1.1保护及远动通信系统定级序号定级对象系统级别1电力调度数据网2 级2SCADA 系统3 级3故障录波器系统3 级4电量计量系统2 级

11、5AVC 系统3 级6时间同步装置2 级7保护装置3 级8调度综合数据网2 级9通信电源系统2 级10光端机系统2 级11PCM 系统2 级12调度交换机系统2 级13行政交换机系统2 级5.1.2信息专业设备定级序号定级对象系统级别1全厂网络2 级2视频监控系统2 级3电子围栏系统2 级4软件系统2 级5.2 生产控制大区内部安全防护技术要求（1）禁止生产控制大区内部的 E-Mail 服务，禁止控制区内通用的 WEB 服务，并进行安全加固。（2）生产控制大区重要业务的远程维护采用身份认证机制。（3）生产控制大区内的业务系统间采取 VLAN 和访问控制等安全措施，限制系统间的直接互通。（4）生产控制大区部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及 IDS 规则库的更新应该离线进行。（5）各层面的数据网络之间通过路由限制措施进行安全隔离，保证网络故障和安全事件限制在局部区域之内。