电厂电力监控系统安全防护方案(模版).docx

《电厂电力监控系统安全防护方案(模版).docx》由会员分享，可在线阅读，更多相关《电厂电力监控系统安全防护方案(模版).docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX电厂电力监控系统安全防护方案批准:审核:编制:2017 年 5 月word 资料目录、编制依据及使用范围31.1 本方案编制依据31.2 适用范围3、现状32.1 安全分区、网络拓扑结构及安全部署32.2 系统概况4三总体目标5四管理措施54.1 组织机构54.1.1 领导小组54.1.2 领导小组职责54.1.3 工作小组64.1.4 工作小组职责64.2 规章制度64.3 运行管理74.4 严格外来人员管控84.5 应急机制94.6 建立信息通报机制94.7 信息保密9五技术措施.115.1 安全分区 .115.1.1 生产控制大区的安全区划分（作参考）115.1.2 管理信息大区的安

2、全区划分125.2 网络专用 .125.3 横向隔离 .125.4 纵向认证 .135.5 安全加固 .13八软硬件设备清单 .15附件 1： XX 电厂电力监控系统安全防护拓扑图20附件 2:安防组织机构与领导小组错误！未定义书签word 资料XX电厂电力监控系统安全防护方案XX 电站电力监控系统安全防护的原则为：“安全分区，网络专用，横向隔离，纵向认 证”。安全防护主要针对网络系统和基于网络的电力生产控制系统，重点强化边界防护， 提高内部安全防护能力， 保证电力生产控制系统及重要数据的安全。XX 电站位于. 。一、编制依据及使用范围1.1 本方案编制依据（1） 电力监控系统安全防护规定（发

3、改委第14 号令）；（2） 国家能源局关于印发电力监控系统安全防护总体方案等（国能安全【36 号文）1.2 适用范围2015】本安全防护方案的安全防护原则适用于 xx 电厂电力监控系统中各类应用和网络。涉及 业务范围：电站监控系统、PMU 系统、故障录波及保护信息子站系统、电能计量系统、系统。AVC二、 现状2.1 安全分区、网络拓扑结构及安全部署XX 电厂电力监控系统安全防护采用链式结构，按总体防护方案分为生产控制大区和管 理信息大区，其中生产控制大区包括控制区（安全区I）、非控制区（安全区U）,管理 信息大区包括信息管理区（安全区川）、生产管理区（安全区IV）o（1） 安全区I 通过交换机

4、 一一纵向认证加密装置一一电力调度数据网接入路由器接入 地调接入网；（2） 安全区U 通过交换机 一一纵向认证加密装置一一电力调度数据网接入路由器接入地调接入网;（3） I 区与W 区间，配置 2 台隔离装置；U 区与川区间，配置 1 台隔离装置（4） W 区与川区间，配置 1 台防火墙。XX 电厂电力监控系统安全防护拓扑图见附件 1。2.2 系统概况本项目电力监控系统主要包括升压站电站监控系统、光伏电站运行监控系统PMU 系统、故障录波、保护信息子站系统、ERTU 风功率预测、AVC/AG 係统等。各系统概况如下：（1） 电站监控系统XX 电厂升压站电力监控系统配置升压站电站监控系统，系统中

5、集成微机远动装置，采 集电厂110kV 线路、主变压器、35kV 母线，接地变、SVG 等相关设备运行状态。远动信息 通过电力调度数据网送至绍兴地调，并接收地调的AVC/AGC 命令。升压站电站监控系统通过电力调度数据网与调度系统进行信息交换。（2） PMU 系统XX 电厂电力监控系统配置有 PMU 相量测量装置，采集电厂一回出线信息。PMU 采用电力调度数据网方式将相角信息传送至绍兴地调主站系统。（3） 故障录波及保护信息子站系统XX 电厂电力监控系统配置有 XXV 故障录波及保护信息子站系统，实现对厂内保护和 故障录波信息的统一管理，并将保护和故障录波信息通过电力调度数据网发送至调度端。

6、故障录波及保护信息子站系统与厂内其它系统无信息交换。（4） 电能计量系统XX 电厂电力监控系统配置了一套电能计量系统，电能计量系统通过电力调度数据网上 送至绍兴地调。（5） AVC 系统XX 电厂电力监控系统配置一套 XX 公司的AVC 控制系统对XXV 电压进行控制，通过分 别调节主变的有载调压开关及逆变器，SVG 无功出力来实现对XXservices.msc 打开服务面板，禁用不必要的服 务。（如：snmp 服务、message 服务、DHCP Client 服务、DNS Client 服务等。（2） 删除默认网络共享：手工删除默认共享：创建autosharedel.bat 文件，键入女口

7、下内容： net share c$ /del net share d$ /del net share e$ /del, net share ipc$ /del net share admi n$ /del创建此文件的快捷方式，并将其拖放到开始 - 程序-启动栏中，这样每次重启系统后，系统会自动删除默认共享。（3） 配置系统审核策略：在控制面板-管理工具-本地安全策略-本地策略中指定需 要的审核策略。（4） 设置较强的密码策略：建议进行下列更改，启用“密码必须符合复杂性要求”将“密码长度最小值”设置为 8 个字符将“密码最长保留期”设置为 60 天将“密码最短 存留期”设置为 0 天 将“强制密

8、码历史”设置为 2 个记住的密码。5.6.2 网络设备安全加固（1） 路由器安全加固内容1） 不得使用初始密码，密码复杂满足强度要求，密码必须密文显示，限制登陆次数及 时间2） 限制远程登陆地址3） SNMP 协议使用V2 及以上版本，不得使用默认的读写团体字，限制SNMPK务器地址4） 只许使用SSH 作为远程登录方式5） 关闭不使用的端口6） 关闭不需要的服务，如 HTTR Telnet、Rlogin、FTP 7）必须配置三个用户，普通、审计、超级8） 路由器做ARP 绑定9） NTP 对时，配置syslog 服务器地址（2） 交换机安全加固内容1） 不得使用初始密码，密码复杂满足强度要求

9、，密码必须密文显示，限制登陆次数及 时间2） 限制登陆次数及时间3） 只许使用SSH 乍为远程登录方式4） 关闭不需要的服务，如 HTTR Tel net、Rlog in、FTP 5） 关闭不使用的端口6） 必须配置三个用户，普通、审计、超级7） 配置NTP 和syslog 服务器地址（3） 防火墙安全加固1） 不得使用初始密码、密码复杂满足强度要求、尽量限制登陆次数及时间2） 不得出现大明通策略3） 策略必须细化到IP、协议、端口4） 限制远程登陆地址5） 防火墙启用对时功能6） 防火墙启用两个用户，配置用户和审计用户7） 关闭不使用的端口（4） 纵向加密安全加固1） 隧道必须正确配置且建立

10、正常2） 不得出现大明通策略3） 策略必须细化到IP、协议、端口4） 业务通讯必须使用密文5） 不得使用默认初始密码；八软硬件设备清单序 号名 称型式、规格、性能参 数单 位数量生产厂家备注一、接入调度数据网路由器12交换机华 为 AR2240（ 2E1 接口模块，接入软件， 冗余电源）华为S2700(24 个台1华为台4华为10/100Base-TX 端口，2 个千兆）3加密装置NETKEEPER 2000台2卫士通III 区路由器华为 AR2240（ 2E1 接4口模块，接入软件， 冗余台1华为电源）III 区接入交换机华为S2700（24 个510/100Base-TX 端口，台1华为2

11、 个千兆）戴尔 3046，i5 8G6III 调度管理工作站仃硬盘独立 1G 显卡卡.22 寸显示器双网台1II二、I 、II、III 区防护设备迪普1 II、III 与IV 区防 火墙 迪普 FW1000-ms-n台3反向隔离装置（IV 区川南瑞 SysKeeper 2000网络安全隔离设备台1（反向型）戴尔 3046, i5 8G 仃硬盘独立 1G 显卡 双网卡.22 寸显示台1器，键盘鼠标杀毒软件网络版中小企业版杀毒软件（10套1用户客户端）杀毒软件网络版中小企业版杀毒软件（10套1用户客户端）2 区）南瑞3 安全区I/ U 防病毒工作站官方正版杀病毒软4件（1 区川区）官方正版杀病毒软

12、5件（III 区）入侵检测装置东软IDS台1三、计算机监控Dell: P4 双核酷睿I7 Xeon,1主机兼操作员工作 站 2*3.0G/4*2048MB/2*500GB（ RAID 盘）/ 标准键盘、鼠标、光驱Dell: P4 双核酷睿套1四方继 保2操作员工作站I7 Xeon， 2*3.0G/4*2048MB/2*套1四方继保显示器34 操作系统5 数据库支持软件、应用 软500GB（ RAID 盘）/ 标准键盘、鼠标、光驱DELL 显示器显示器尺寸：20 ”台2类型：windows 专业版套1操作系统套16 件、通信接口软 件等7 微机五防PCS9700套套1四方继 保18VQC 装置套

13、1音响及语音报警 装9置10 远动通信设备11 交换机12 通讯管理机13 GPS 北斗对时 装置14DELL 音响PCS-9799BPCS-9882ADRCS-9794A RCS-9785D（北斗+GPS套1台2四方继 保台4四方继 保台1四方继 保台1四方继 保四、继电保护设备1 公用测控装置PCS-9705A台1四方继 保2 110kV 母线压变测PCS-9705B台1控装置四方继 保3110kV 线路测控PCS-9705C台14装置主变测控装置PCS-9705A台35主变差动保护PCS-9671D台16主变后备保护PCS-9681D台27主变非电量保护PCS-9661D台1四方继 保四

14、方继 保四方继 保四方继 保四方继 保8110kV 线路保护35kV 母差保护装 置935kV 线路保护测 控1011 35kV 接地变兼场 用变保护测控35kV 动态无功12 补偿设备进线保护 测控装置13 电网解列装置14 故障录波装置PSL621UT PCS-915AL-GPCS-9611D PCS-9621DPCS-9622DPCS-9658D, PCS- 993E台1南自四方继 保台1四方继 保台4四方继 保台1台1四方继 保四方 继保台2浪拜迪1) 数据记录分析单 元2) 维护管理单元LBD-8000台1研祥工控机台1五、电能质量在线监测装置1电能质量在线监测 装置PQS-882A

15、台1四方继 保六、继电保护及故障管理信息子站1 保护信息管理机PCS-9798A台1四方继 保2 保护信息管理后台3 交换机台PCS-9882AD-S台11四方继 保七、有功/无功调节设备AGC/AV 装置1站内规约转换23 远动装置4 以太网交换机AGC/AVO 务器及显示器等RCS-9794A PCS-9799B PCS-9882AD套2四方继 保台1四方继 保台1四方继 保台2四方继 保八、同步相量测量装置1同步相量测量装 置数据集中器2工控机 013PCS-996A-5A PCS-996G台 1 四 方 继 保套 1 四 方 继 保台 1 四 方 继 保以太网交换机4PCS-9882E

16、D-S台1四方继 保九、电量计费1ERTU-3000C台1十、光功率预测系统1 功率预测服务器2 气象数据服务器联 想 ThinkServer RD450（ 2U）机架式2*Xeon E5-2630v3 2.4G20M 8C ； 4*16GB 内存；3*1T 热 插拔SATA3.5 寸硬盘（7200 转），支持台1RAID0/1/5，集成In tel 双千兆自适应网卡，外加一块四口千 兆网卡；DVD 光驱；配 置远程管理卡；支持 标准机柜上架；冗余 电源,原厂三年服务联 想 ThinkServer RD450（2U）机架式2*Xeon E5-2630v3 2.4G20M 8C ； 4*16GB

17、 内存；3*1T 热 插拔SATA3.5 寸硬盘台1（7200 转），支持RAID0/1/5，集成In tel 双千兆自适应网卡，外加一块四口千 兆网卡；DVD 光驱；配 置远程管理卡；支持3 PC 工作站4 交换机标准机柜上架；冗余 电源,原厂三年服务联想扬天A8000F 台式电脑酷睿六代i7-6700;16G 仃+256G; 独台1立 2GB 显卡;23 英 寸显示器H3C S5120S-28P-EI,L2 以太网交换机主机,24 个10/100/1000BASE-T,4台1个SFP,支持AC110/220V安全 I 区安全 II 区管理信息大区至牴區主站越地调搖入至 F&tt站专織向加寿装虫实时交换秋非冀时交换机迅动主机 1 孑、远动上机 2保怙 f ih好网交挽机甌釁购宵即信息人区业势鬆统釣转换器全审讣附件 1: XX 电厂电力监控系统安全防护拓扑图主開度上站专城通道附件 2:安防组织机构与领导小组