电力监控系统安全防护方案及实施细则Word格式文档下载.docx
《电力监控系统安全防护方案及实施细则Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《电力监控系统安全防护方案及实施细则Word格式文档下载.docx(20页珍藏版)》请在冰豆网上搜索。
周跃宇
本标准于2016年01月首次发布。
电力监控系统安全防护总体方案
1范围
为了加强我公司电力监控系统安全防护,抵御黑客及恶意代码等对我公司电力监控系统发起的恶意破坏和攻击,以及其他非法操作,防止我公司电力监控系统瘫痪和失控,和由此导致的一次系统事故和其他事故,特制定本方案。
本方案确定了我公司电力监控系统安全防护体系的总体框架,细化了电力监控系统安全防护总体原则,定义了通用和专用的安全防护技术与设备,提出了我公司电力监控系统安全防护方案及实施措施。
我公司电力监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证、综合防护”。
安全防护主要针对电力监控系统,即用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。
重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统维护的管理、提高系统整体安全防护能力,保证电力监控系统及重要数据的安全。
本方案适用于我公司电力监控系统的规划设计、项目审查、工程实施、系统改造、运行管理等。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
国家发改委2014年第14号令《电力监控系统安全防护规定》
国家发改委2014年第14号令《电力监控系统安全防护总体方案》
国家发改委2014年第14号令《发电厂监控系统安全防护方案》
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
公通字[2007]43号《信息系统安全等级保护管理办法》
GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》
GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》
GB/T20984-2007《信息安全技术信息安全风险评估规范》
GB/T28448-2012《信息系统安全等级保护测评要求》
GB/T28449-2012《信息系统安全等级保护测评过程指南》
电监信息[2007]34号《关于开展电力行业信息系统安全等级保护定级工作的通知》
电监信息[2007]44号《电力行业信息系统等级保护定级工作指导意见》
电监信息[2012]62号《电力行业信息系统安全等级保护基本要求》
3定义与术语
下列定义和术语适用于本标准:
电力监控系统
电力监控系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
安全分区
按照《电力监控系统安全防护规定》,原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区Ⅰ)及非控制区(安全区Ⅱ),重点保护生产控制及直接影响机组运行的系统。
网络专用
电力调度数据网是生产控制大区相连接的专用网络,承载电力实时控制、在线生产交易等业务。
发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。
发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。
横向隔离
横向隔离是电力监控系统安全防护体系的横向防线。
应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。
生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施,实现逻辑隔离。
防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。
纵向认证
纵向加密认证是电力监控系统安全防护体系的纵向防线。
发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
综合防护
综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备用及容灾等多个层面进行信息安全防护的过程。
4职责
组织机构
组长:
秦立新
副组长:
石彦鹏、任晓鹏、赵秀琴
成员:
继电保护室成员、热控成员、信息成员。
职责
4.2.1组长、副组长职责
4.2.1.1负责组织有关人员建立或编制本单位所管辖的电力监控系统安全防护管理规定、实施方案、评估制度及应急预案。
4.2.1.2经常检查我公司的电力监控系统安全防护的执行情况,定期组织有关人员对电力监控系统进行安全评估;
对于存在问题的,提出整改期限。
4.2.1.3负责组织有关人员对我公司发生的安全事故进行认真分析,并及时向上级主管单位上报安全事故分析报告。
4.2.1.4全面管理电力监控系统运行工作;
掌握电力监控系统的配置情况;
熟悉电力监控系统的分布情况;
了解电力监控系统的安全情况;
定期组织讨论电力监控系统安全情况,协调各专业之间接口安全问题。
4.2.2成员职责
4.2.2.1负责本专业应用系统已部署的安全产品的安全策略的设置和调整,对该产品日常运行进行精心的维护。
4.2.2.2定期对安全产品的日志进行审计。
4.2.2.3精心观察和分析该系统的安全状况,并及时上报组长、副组长。
4.2.2.4使用数字证书管理系统进行数字证书的申请,生成、发放和撤消。
4.2.2.5精心维护数字证书管理系统,保证系统的安全、可靠、稳定运行。
4.2.2.6精心保护证书管理系统的数字证书,防止遗失。
4.2.2.7参照国家对涉密设备的有关规定,建立有效的数字证书及密钥管理制度。
4.2.2.8保护本专业的口令、数字证书、密钥等安全设施;
一旦泄露或丢失,应该立即报告,对造成恶劣后果者,要按国家有关规定追究其责任。
4.2.2.9全面掌握本专业电力监控系统的分区情况、配置情况、硬件设置情况及接口、数据流向等;
做好数据备份和日常管理工作。
4.2.2.10对电力监控系统安全评估的所有评估资料和评估结果,应当按国家有关要求做好保密工作。
5系统设备定级及安全区划分
系统设备定级
5.1.1保护及远动通信系统定级
序号
定级对象
系统级别
1
电力调度数据网
2级
2
NCS系统
3级
3
故障录波器系统
4
远方电量计量系统
5
故障信息子站系统
6
功角测量系统
7
AVC系统
8
时间同步装置
9
发变组保护装置
10
励磁系统
11
母线保护装置
12
线路保护装置
13
调度综合数据网
14
通信电源系统
15
光端机系统
16
PCM系统
17
调度交换机系统
18
行政交换机系统
5.1.2信息专业设备定级
全厂网络
门禁系统
监控系统
电子围栏系统
视频会议系统
软件系统
安全区的划分
5.2.1保护及远动通信设备安全区的划分
系统名称
设备名称
设备型号
安全分区类别
路由器
H3CMSR50-40
控制区(安全区I)
实时交换机
S3600V2-28TP-SI
实时纵向加密装置
PSTunnel-2000
非实时交换机
非控制区(安全区II)
非实时纵向加密装置
远动主机
RCS-9698H
五防系统
RCS-9200
测控装置
RCS-9705C
故障录波器
发变组故障录波装置
WY9F
线路故障录波装置
WDGL-VI
电能量远方终端(中调)
PSM-ID
电能量远方终端(地调)
CHL034-11C
嵌入式信息管理装置(子站主机)
SDL-8003
硬件防火墙
FW5120
串口通讯服务器
MOXANport5630
网络交换机
MOXAES-1026
数据集中处理单元
CSC-361A
相量测量单元
CSC-361B
上位机
UC630上位机
下位机
UC630下位机
AVC子站后台机
IEI4U工控机
主同步对时系统装置
RCS9785D
从同步对时系统装置
RCS9785E
PCS-985A
非电量保护装置
PCS-974FG
高备变保护
PCS-985T
发电机励磁系统
UNITROL6000
母线保护装置一
BP-2C
母线保护装置二
RCS-915AB-090455
251陶库Ⅰ线纵联电流差动保护
CSC-103D
RCS-931BMV
24口以太网交换机
AR3260
S3700-28TP-SI-AC
防火墙
M890
管理信息大区
交流配电单元
高频开关整流
ZL4830SA
直流分配单元
ZLPFU-13
蓄电池
300Ah2V/只24只/组
马可尼光端机
OMS1664
西门子光端机
HIT7065
至中调PCM
FMX-12
至区调PCM
升级会员 