新疆省调电力监控防护体系及职责Word文档下载推荐.docx
《新疆省调电力监控防护体系及职责Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《新疆省调电力监控防护体系及职责Word文档下载推荐.docx(13页珍藏版)》请在冰豆网上搜索。
(4)需求、风险、代价相平衡的原则;
(5)实用性与先进性相结合的原则;
(6)方便性与安全性相统一的原则;
(7)全面防护、突出重点的原则;
(8)分层分区、强化边界的原则;
(9)整体规划、分布实施的原则;
(10)责任到人,分级管理,联合防护的原则。
3、定义与术语
下列定义和术语适用于本标准:
3.1电力监控系统
电力监控系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
3.2安全分区
按照《电力监控系统安全防护规定》,原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区Ⅰ)及非控制区(安全区Ⅱ),重点保护生产控制及直接影响机组运行的系统。
3.2网络专用
电力调度数据网是生产控制大区相连接的专用网络,承载电力实时控制、在线生产交易等业务。
发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。
发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。
3.4横向隔离
横向隔离是电力监控系统安全防护体系的横向防线。
应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。
生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施,实现逻辑隔离。
防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。
3.5纵向认证
纵向加密认证是电力监控系统安全防护体系的纵向防线。
发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
3.6综合防护
综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备用及容灾等多个层面进行信息安全防护的过程。
4职责
4.1组织机构
组长:
副组长:
成员:
4.2职责
4.2.1组长、副组长职责
4.2.1.1负责组织有关人员建立或编制本单位所管辖的电力监控系统安全防护管理规定、实施方案、评估制度及应急预案。
4.2.1.2经常检查我公司的电力监控系统安全防护的执行情况,定期组织有关人员对电力监控系统进行安全评估;
对于存在问题的,提出整改期限。
4.2.1.3负责组织有关人员对我公司发生的安全事故进行认真分析,并及时向上级主管单位上报安全事故分析报告。
4.2.1.4全面管理电力监控系统运行工作;
掌握电力监控系统的配置情况;
熟悉电力监控系统的分布情况;
了解电力监控系统的安全情况;
定期组织讨论电力监控系统安全情况,协调各专业之间接口安全问题。
4.2.2成员职责
4.2.2.1负责本专业应用系统已部署的安全产品的安全策略的设置和调整,对该产品日常运行进行精心的维护。
4.2.2.2定期对安全产品的日志进行审计。
4.2.2.3精心观察和分析该系统的安全状况,并及时上报组长、副组长。
4.2.2.4使用数字证书管理系统进行数字证书的申请,生成、发放和撤消。
4.2.2.5精心维护数字证书管理系统,保证系统的安全、可靠、稳定运行。
4.2.2.6精心保护证书管理系统的数字证书,防止遗失。
4.2.2.7参照国家对涉密设备的有关规定,建立有效的数字证书及密钥管理制度。
4.2.2.8保护本专业的口令、数字证书、密钥等安全设施;
一旦泄露或丢失,应该立即报告,对造成恶劣后果者,要按国家有关规定追究其责任。
4.2.2.9全面掌握本专业电力监控系统的分区情况、配置情况、硬件设置情况及接口、数据流向等;
做好数据备份和日常管理工作。
4.2.2.10对电力监控系统安全评估的所有评估资料和评估结果,应当按国家有关要求做好保密工作。
5系统设备定级及安全区划分
5.1系统设备定级
5.1.1保护及远动通信系统定级
序号
定级对象
系统级别
1
电力调度数据网
2级
2
故障录波器系统
3级
3
远方电量计量系统
4
故障信息子站系统
5
AVC系统
6
时间同步装置
7
母线保护装置
8
线路保护装置
9
调度综合数据网
10
通信电源系统
11
调度交换机系统
12
行政交换机系统
5.1.2信息专业设备定级
全厂网络
门禁系统
监控系统
电子围栏系统
视频会议系统
软件系统
5.2安全区的划分
二次安全防护设备配置表
设备类型
所在位置(细化具体装置位置U)
设备名称
设备厂家
设备型号
设备所属安全区
设备IP地址
纵向加密
主控室机房省调接入网柜1P-1U
省调接入网III区
SJW07-A
省调III区
65.103.38.103
主控室机房省调接入网柜1P-4U
省调接入网II区
省调II区
65.103.38.161
主控室机房省调接入网柜1P-6U
省调接入网I区
省调I区
65.103.38.102
主控室机房地调接入网柜2P-2U
地调接入网I区
地调I区
主控室机房地调接入网柜2P-4U
地调接入网II区
地调II区
横向隔离
主控室机房光功率预测柜3P-4U
安全II区横向
隔离
SysKeeper-2000
站控层交换机
主控室机房远动柜4P-6U
交换机
IAS3028-4M
省调I区II区
III区
eth3:
65.103.38.103eth2:
65.103.38.161eth1:
65.103.38.102
主控室机房远动柜4P-7U
省调I区II区
III区
调度数据网路由器
主控室机房省调接入网柜1P-8U
省调I区、II区
数据网
H3CMSR-3640
主控室机房地调接入网柜2P-1U
地调I区数据网
调度数据网交换机
主控室机房省调接入网柜1P-3U
省调III区交换机
LS-3600V2-28TP-EI
主控室机房省调接入网柜1P-5U
省调II区交换机
主控室机房省调接入网柜1P-7U
省调I区交换机
主控室机房地调接入网柜2P-3U
地调I区交换机
主控室机房地调接入网柜2P-5U
地调II区交换机
防火墙
主控室机房光功率预测柜接入网柜3p-3U
光功率接入网II区
USG2000HSR
5.3.信息系统网络拓扑图
6技术防护措施
6.1由I、II区组成的系统包含计算机、通信、自动控制和显示等技术,是通常概念上的机组级DCS/PLC系统。
其内部通信/控制协议是标准协议(如TCP/IP,DECnet,Telnet等),也可以是专用协议。
要求该系统为全封闭的闭环系统,绝对禁止任何外部访问。
系统内部使用者必须有清晰的操作权限级别。
此系统提供数据接口能主动对外传送数据,应通过数据采集(前端)机从计算机接口单元(模件)采集数据,必须是单向数据传输,将数据单向提交给管理信息系统(ERP)。
7安全管理
7.1安全管理组织机构
电力监控系统安全防护组织机构
7.1.1安全分级负责制
7.1.1.1本着“谁主管谁负责,谁运营谁负责”的原则,落实电力监控系统的各专业的安全责任。
7.1.1.2安全防护组组长负责我厂的电力监控系统网络的安全管理,是安全管理第一负责人。
7.1.1.3热工、电气及信息专业负责人所属范围内计算机及数据网络的安全管理。
7.1.1.4各专业对所属范围内计算机及数据网络络设置安全防护小组或
升级会员 