电厂电力监控系统安全防护方案(模版).pdf

《电厂电力监控系统安全防护方案(模版).pdf》由会员分享，可在线阅读，更多相关《电厂电力监控系统安全防护方案(模版).pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX电厂word 资料批准:审核:编制:2017 年 5 月电力监控系统安全防护方案目录、编制依据及使用范围 .31.1 本方案编制依据.31.2 适用范围.3、现状.32.1 安全分区、网络拓扑结构及安全部署 .32.2 系统概况.4三总体目标.5四管理措施.54.1 组织机构.54.1.1领导小组.54.1.2领导小组职责.54.1.3 工作小组.64.1.4工作小组职责.64.2 规章制度.64.3 运行管理.74.4 严格外来人员管控.84.5 应急机制.94.6 建立信息通报机制.94.7 信息保密.9五技术措施.115.1 安全分区.115.1.1 生产控制大区的安全区划分（作参考

2、）.115.1.2 管理信息大区的安全区划分.125.2 网络专用.125.3 横向隔离.125.4 纵向认证.135.5 安全加固.13八软硬件设备清单.15附件 1：XX 电厂电力监控系统安全防护拓扑图.20附件 2:安防组织机构与领导小组错误！未定义书签word 资料XX电厂电力监控系统安全防护方案XX电站电力监控系统安全防护的原则为：“安全分区，网络专用，横向隔离，纵向认 证”。安全防护主要针对网络系统和基于网络的电力生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。XX电站位于.。一、编制依据及使用范围1.1 本方案编制依据（1）电力监控系统

3、安全防护规定（发改委第14号令）；2015】（2）国家能源局关于印发电力监控系统安全防护总体方案等（国能安全【36号文）1.2 适用范围本安全防护方案的安全防护原则适用于xx电厂电力监控系统中各类应用和网络。涉及 业务范围：电站监控系统、PMU系统、故障录波及保护信息子站系统、电能计量系统、系统。AVC二、现状2.1 安全分区、网络拓扑结构及安全部署XX电厂电力监控系统安全防护采用链式结构，按总体防护方案分为生产控制大区和管 理信息大区，其中生产控制大区包括控制区（安全区I）、非控制区（安全区U）,管理 信息大区包括信息管理区（安全区川）、生产管理区（安全区IV）o（1）安全区I通过交换机 一

4、一纵向认证加密装置一一电力调度数据网接入路由器接入 地调接入网；word 资料（2）安全区U通过交换机 一一纵向认证加密装置一一电力调度数据网接入路由器接入地调接入网;（3）I区与W区间，配置2台隔离装置；U区与川区间，配置1台隔离装置（4）W区与川区间，配置1台防火墙。XX电厂电力监控系统安全防护拓扑图见附件1。2.2 系统概况本项目电力监控系统主要包括升压站电站监控系统、光伏电站运行监控系统统、故障录波、保护信息子站系统、各系统概况如下：（1）电站监控系统PMU系ERTU风功率预测、AVC/AG係统等。XX电厂升压站电力监控系统配置升压站电站监控系统，系统中集成微机远动装置，采 集电厂11

5、0kV线路、主变压器、35kV母线，接地变、SVG等相关设备运行状态。远动信息 通过电力调度数据网送至绍兴地调，并接收地调的过电力调度数据网与调度系统进行信息交换。（2）PMU系统AVC/AGC命令。升压站电站监控系统通XX电厂电力监控系统配置有PMU相量测量装置，采集电厂一回出线信息。力调度数据网方式将相角信息传送至绍兴地调主站系统。（3）故障录波及保护信息子站系统PMU采用电XX电厂电力监控系统配置有XXV故障录波及保护信息子站系统，实现对厂内保护和 故障录波信息的统一管理，并将保护和故障录波信息通过电力调度数据网发送至调度端。故障录波及保护信息子站系统与厂内其它系统无信息交换。（4）电能

6、计量系统XX电厂电力监控系统配置了一套电能计量系统，电能计量系统通过电力调度数据网上 送至绍兴地调。（5）AVC系统XX电厂电力监控系统配置一套XX公司的AVC控制系统对XXV电压进行控制，通过分 别调节主变的有载调压开关及逆变器，SVG无功出力来实现对XXservices.msc打开服务面板，禁用不必要的服 务。（如：snmp服务、message服务、DHCP Client服务、DNS Client服务等。（2）删除默认网络共享：手工删除默认共享：创建autosharedel.bat文件，键入女口下内容：net share c$/del net share d$/del net share

7、e$/del,net shareipc$/del net share admi n$/del创建此文件的快捷方式，并将其拖放到开始-程序-启动栏中，这样每次重启系统后，系统会自动删除默认共享。word 资料（3）配置系统审核策略：在控制面板-管理工具-本地安全策略审核策略。-本地策略中指定需 要的（4）设置较强的密码策略：建议进行下列更改，启用“密码必须符合复杂性要求”将“密码长度最小值”设置为8个字符将“密码最长保留期”设置为60天将“密码最短 存留期”设置为0天 将“强制密码历史”设置为2个记住的密码。5.6.2网络设备安全加固（1）路由器安全加固内容1）不得使用初始密码，密码复杂满足强度

8、要求，密码必须密文显示，限制登陆次数及 时间2）限制远程登陆地址3）SNMP协议使用V2及以上版本，不得使用默认的读写团体字，限制址SNMPK务器地4）只许使用SSH作为远程登录方式5）关闭不使用的端口6）关闭不需要的服务，如HTTR Telnet、Rlogin、FTP7）必须配置三个用户，普通、审计、超级8）路由器做ARP绑定9）NTP对时，配置syslog服务器地址（2）交换机安全加固内容1）不得使用初始密码，密码复杂满足强度要求，密码必须密文显示，限制登陆次数及 时间2）限制登陆次数及时间3）只许使用SSH乍为远程登录方式4）关闭不需要的服务，如HTTR Tel net、Rlog in、

9、FTP5）关闭不使用的端口6）必须配置三个用户，普通、审计、超级7）配置NTP和syslog服务器地址（3）防火墙安全加固1）不得使用初始密码、密码复杂满足强度要求、尽量限制登陆次数及时间2）不得出现大明通策略word 资料3）策略必须细化到IP、协议、端口4）限制远程登陆地址5）防火墙启用对时功能6）防火墙启用两个用户，配置用户和审计用户7）关闭不使用的端口（4）纵向加密安全加固1）隧道必须正确配置且建立正常2）不得出现大明通策略3）策略必须细化到IP、协议、端口4）业务通讯必须使用密文5）不得使用默认初始密码；八软硬件设备清单名 称序 号一、接入调度数据网路由器数生产厂单 位量家型式、规格

10、、性能参 数华为AR2240（2E1接备注12交换机口模块，接入软件，冗余台电源）华为S2700(24个14华为台华为word 资料10/100Base-TX端口，2个千兆）NETKEEPER 20003加密装置III区路由器4III区接入交换机5台21卫士通华为AR2240（2E1接口模块，接入软件，冗余 台电源）华为S2700（24个华为10/100Base-TX端口，台1华为6III调度管理工作 站2个千兆）戴尔3046，i5 8G仃硬盘独立1G显卡 双网台卡.22寸显示器II1二、I、II、III区防护设备1II、III与IV区防 火墙迪普 FW1000-ms-n台3迪普反向隔离装置（

11、IV区川南瑞SysKeeper2000台网络安全隔离设备2区）（反向型）戴尔3046,i5 8G仃硬盘独立1G显卡 双网卡.22台寸显示器，键盘鼠标杀毒软件网络版中小企业版杀毒软件（10用户客户端）杀毒软件网络版中小企业版杀毒软件（10用户客户端）东软IDS1南瑞安全区I/U防病毒3工作站14官方正版杀病毒软件（1区川区）官方正版杀病毒软件（III区）入侵检测装置套15套台11三、计算机监控Dell:P4双核酷睿I7Xeon,1主机兼操作员工作 站2*3.0G/4*2048MB/2*500GB（RAID盘）/标准键盘、鼠标、光驱Dell:P4双核酷睿套1四方继 保2操作员工作站I7 Xeon，

12、2*3.0G/4*2048MB/2*套四方继1保word 资料500GB（RAID盘）/标显示器准键盘、鼠标、光驱DELL显示器显示器尺寸：20”操作系统345678910111213台套套2类型：windows专业版操作系统1数据库支持软件、应用 软件、通信接口软 件等1PCS9700套套1四方继 保微机五防1VQC装置音响及语音报警 装置远动通信设备交换机通讯管理机套1DELL音响PCS-9799BPCS-9882ADRCS-9794ARCS-9785D（北斗+GPS套台台台台1241四方继 保四方继 保四方继 保GPS北斗对时 装置1四方继 保14四、继电保护设备12345公用测控装置P

13、CS-9705APCS-9705BPCS-9705CPCS-9705APCS-9671DPCS-9681DPCS-9661D台台台台台台台11131四方继 保110kV母线压变测控装置四方继 保110kV线路测控装置主变测控装置主变差动保护主变后备保护主变非电量保护四方继 保四方继 保四方继 保672四方继 保1四方继 保word 资料891011110kV线路保护35kV母差保护装 置35kV线路保护测 控35kV接地变兼场 用变保护测控PSL621UTPCS-915AL-GPCS-9611DPCS-9621D台台台台1141南自四方继 保四方继 保四方继 保35kV动态无功12补偿设备进线

14、保护 测控装置电网解列装置PCS-9622DPCS-9658D,PCS-993E台1四方继 保四方 继保浪拜迪13141)2)台2故障录波装置数据记录分析单 元维护管理单元LBD-8000研祥工控机台台11五、电能质量在线监测装置1电能质量在线监测 装置PQS-882A台1四方继 保六、继电保护及故障管理信息子站123保护信息管理机PCS-9798A台台1四方继 保保护信息管理后台交换机11四方继 保PCS-9882AD-S台七、有功/无功调节设备AGC/AV装置1站内规约转换AGC/AVO务器及显示器等套2四方继 保234RCS-9794APCS-9799BPCS-9882AD台台台1四方继

15、 保远动装置以太网交换机12四方继 保四方继 保word 资料八、同步相量测量装置1234同步相量测量装 置数据集中器工控机01以太网交换机PCS-996A-5APCS-996G台套台1111四方继 保四方继 保四方继 保PCS-9882ED-S台四方继 保九、电量计费1ERTU-3000C台1十、光功率预测系统联想ThinkServerRD450（2U）机架式1功率预测服务器2*Xeon E5-2630v3 2.4G20M 8C；4*16GB内存；3*1T热 插拔SATA3.5寸硬盘（7200转），支持台RAID0/1/5，集成In tel双千兆自适应网卡，外加一块四口千 兆网卡；DVD光驱

16、；配 置远程管理卡；支持 标准机柜上架；冗余 电源,原厂三年服务1联想ThinkServerRD450（2U）机架式2气象数据服务器2*Xeon E5-2630v3 2.4G20M 8C；4*16GB内存；3*1T热 插拔SATA3.5寸硬盘台（7200转），支持RAID0/1/5，集成In tel双千兆自适应网卡，外加一块四口千 兆网卡；DVD光驱；配 置远程管理卡；支持1word 资料标准机柜上架；冗余 电源,原厂三年服务联想扬天A8000F台式电脑酷睿六代i7-6700;16G仃+256G;独立2GB显卡;23英 寸显示器3PC工作站台1H3C S5120S-28P-EI,L2以太网交换机主机,24个10/100/1000BASE-T,4个SFP,支持4交换机台1AC110/220V附件 1:XX 电厂电力监控系统安全防护拓扑图安全安全I区区至牴區主站安全安全II区区管理信息大区管理信息大区越地调搖入至F&tt站专織向加寿装虫实时交换秋非冀时交换机迅动主机1孑、远动上机2保怙f ih好网交挽机甌釁购釣转换器宵即信息人区业势鬆统全审讣主開度上站专城通道附件 2:安防组织机构与领导小组word 资料