华润星火风电场电力监控系统安全防护方案-更新V5.doc
《华润星火风电场电力监控系统安全防护方案-更新V5.doc》由会员分享,可在线阅读,更多相关《华润星火风电场电力监控系统安全防护方案-更新V5.doc(19页珍藏版)》请在冰豆网上搜索。
华润星火风电场(扩容工程)电力监控系统
安全防护方案
签发:
祝海洋
审核:
黄鹏飞
编制:
纪志雄刘海东
编制时间:
二零一六年八月
目录
项目情况说明 4
1总则 5
2安全管理机制 6
2.1安全分级负责制 6
2.2相关人员的安全职责 6
2.3工程施工的安全管理 6
2.4日常安全管理 7
2.5联合防护和应急处理 8
3风电场安全防护组织机构及职责 9
3.1监控系统安全防护工作小组 9
3.2负责人职责 9
3.3成员职责 10
4风电场电力监控系统安全防护基本原则 11
4.1安全分区 11
4.2网络专用 11
4.3横向隔离 11
4.4纵向认证 11
4.5综合防护 12
5风电场电力监控系统安全分区 13
5.1控制区(安全区I) 13
5.2非控制区(安全区II) 13
5.3管理信息大区 13
5.4风电场电力监控系统安全分区表 13
6边界安全防护 15
6.1横向边界防护 15
6.1.1生产控制大区与管理信息大区边界安全防护 15
6.1.2控制区与非控制区边界防安全防护 15
6.1.3系统间的安全防护 15
6.2纵向边界防护 16
6.3第三方边界安全防护 16
7其它综合安全防护 16
7.1物理安全 16
7.2逻辑隔离 17
7.3主机与网络设备加固 17
7.4应用安全控制 17
7.5专用安全产品的管理 17
7.6备用与容灾 18
7.7恶意代码防范 18
7.8设备选型及漏洞整改 18
8风电场监控系统安全分区及边界防护拓扑图 19
项目情况说明
华润星火风电场前期工程总装机容量约为99.6MW,配套建设有一座110千伏升压站,以110千伏电压等级接入严湾变电站。
前期工程于2015年并网发电,并接受襄阳供电公司的调度管理。
本期为星火风电场扩容工程,建设规模20MW。
本次工程从已有的110千伏升压站新建一条通信链路接入至湖北省调,以同时接受襄阳地调及湖北省调的调度管理。
华润星火风电场一期工程电力监控系统安全防护方案已于2015年在湖北省电力公司进行备案,本次二期扩容工程的电力监控系统安全防护方案是在一期工程电力监控系统安全防护方案的基础上增加了风电场至湖北省调部分的相关说明。
具体方案附后。
1总则
1.1为了加强星火风电场电力监控系统安全防护,保障风电场内设备安全稳定运行,抵御黑客、病毒、恶意代码,特别是集团式攻击等通过各种形式对风电场电力监控系统的攻击侵害,以及其他非法操作,防止风电场电力监控系统瘫痪和失控,并依据《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)、《电力监控系统安全防护总体方案》(国能安全[2015]36号),并结合星火风电场电力监控系统和电力调度中心的实际情况制定了本方案。
1.2本方案工作坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障风电场计算机监控系统、通信自动化系统和电力调度数据网络的安全。
1.3鉴于安全防护工程是永无休止的动态工程,因而此方案将在今后实施运行中根据生产需要不断地加以修正,以满足国家电监会对电力监控系统安全防护所要求的系统性原则和螺旋上升的周期性原则。
1.4成立星火风电场电力监控系统(信息、通信、自动化系统)应急工作领导小组,由场长任组长。
坚决贯彻落实国家能源局《电力监控系统安全防护总体方案》,认真执行本方案,做到“组织、人员、思想、措施”四落实和“责任、制度、工作”三个到位,力争把危害降低到最小程度。
2安全管理机制
2.1安全分级负责制
星火风电场按照“谁主管谁负责,谁营运谁负责”的原则,建立健全的电力二次系统安全管理制度,将电力监控系统安全防护及其信息报送纳入日常安全生产管理体系,负责风电场内电力监控系统的安全管理,各相应单位设置电力生产监控系统的安全防护小组或专职人员。
2.2相关人员的安全职责
风电场成立电力监控系统安全防护管理小组,由主管安全生产的负责人作为电力监控系统安全防护的主要负责人,并制定专人负责管理本风电场所辖电力监控系统的公共安全设施,明确各业务系统专责人的安全管理责任。
2.3工程施工的安全管理
电力监控系统相关设备及系统采用安全可靠的软硬件产品,开发单位、供应商以合同条款或协议方式保证提供的设备及系统符合电力监控系统安全防护要求,并在设备及系统安全生命周期内对其负责。
电力监控系统专用安全产品的开单位、风电场及供应商,按国家有关规定做好保密工作,禁止安全防护关键技术和设备的扩散。
生产控制大区的各业务系统禁止以各种方式与互联网连接,限制开通拨号功能,关闭或拆除主机上不必要得软盘、光盘驱动、UBS接口、串行口、无线、蓝牙等,严格控制在生产控制大区和管理信息大区之间交叉使用移动存储介质以及便携式计算机。
确需保留的必须通过安全管理及技术措施实施严格监控。
接入电力监控系统生产控制大区中的安全产品,均应当获得国家指定机构安全检测证明,用于厂站的设备还需有电力系统电磁兼容检测证明。
在纵向加密装置没有安装之前,必须要从电力市场下载的数据或资料,每次下载只能使用专用移动硬盘,经过格式化杀毒后才能从机房的客户端下载,严禁从集控室终端下载,集控室终端只能利用与其相连的打印机打印相关通知等重要内容。
2.4日常安全管理
风电场建立电力监控系统安全管理制度,主要包括:
门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理,常规设备及各系统的维护管理、恶意代码的防护管理、审计管理,数据及系统的备份管理、用户口令密匙及数字证书的管理、培训管理等管理制度。
机房设有门禁,机房工作人员需登记进入机房。
非机房工作人员不能随意进入机房。
非机房工作人员进入机房必须登记和服从值班人员管理。
对关键安全设备、服务器的日志进行统一管理,及时发现安全管理体系中存在的安全隐患和异常访问行为。
加强内部人员的保密教育、录用离岗等的管理,包括对接触内部敏感信息第三方人员签署保密协议,对关键岗位人员离岗管理,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备,承诺调离后保密义务后方可离开。
严格管理各终端设备的接口使用。
必须要进行接口连接作业的,要进行登记记录,并对外连设备进行杀毒确认后才可进行。
对终端设备的用户登录口令加强管理,禁止有弱口令和空口令的现象;对重要的机组控制终端设备加装硬件狗;禁止监控系统设备终端之间有物理上的连接。
加强监控设备的巡视力度。
对工程师站、机房、UPS电源和直流电源间、电子间等重要监控系统设备和监控系统设备相对集中的地方,每个工作日至少巡视一遍并进行记录。
对巡视中发现的缺陷和隐患及时消除,定期对设备维护记录和消缺记录进行分析、归纳。
2.5联合防护和应急处理
风电场建立健全的电力安全联合防护和应急机制,且制定应急处理方案,并经过预演或模拟验证。
一旦出现安全事故(遭到黑客、病毒攻击和其他人为破坏),立即采取安全应急措施,及时向场部及安全防护小组报告。
并进行事故现场的保护,认真进行事故的分析。
发现系统正被黑客攻击按照按预先制订的应急方案进行处理。
根据不同情况分别采用加强保护、中断对方连接、反跟踪以及其它处理措施。
灾难恢复维护:
当系统因自然或人为的原因遭到破坏,按照预先制定的应急方案实施系统恢复。
3风电场安全防护组织机构及职责
3.1监控系统安全防护工作小组
1)领导小组
组长:
祝海洋
副组长:
黄腾飞
领导小组职责:
在风电场发生重大信通信息、通信、自动化系统
事件时,负责指挥和协调相关资源。
2)工作小组
组长:
祝海洋
成员:
刘海东雷雨肖鹏李强解腾飞王雨龙
工作小组职责:
在风电场发生重大信通信息、通信、自动化系统
事件时,听从领导指挥,完成预案所涉及相关操作。
3.2负责人职责
2.2组长、副组长职责
2.2.1负责组织有关人员建立风电场所管辖的电力监控系统的安全防护体系;
2.2.2经常检查风电场的监控系统的安全防护的执行情况,定期组织有关人员对系统进行安全评估;
2.2.3负责组织有关人员对风电场发生的安全事故进行认真分析并及时报告。
2.2.4全面管理风电场的监控系统运行工作;掌握风电场监控系统的配置情况;熟悉监控系统的分布;了解监控系统安全情况;定期或不定期组织讨论监控系统安全情况,协调各专业之间接口安全问题。
3.3成员职责
2.3.1负责本专业应用系统已部署的安全产品的安全策略的设置和调整,对该产品日常运行进行精心的维护;
2.3.2定期对安全产品的日志进行审计;
2.3.3精心观察和分析该系统的安全状况,并及时上报组长、副组长。
2.3.4全面掌握本专业监控系统的分区情况;掌握本专业监控系统的配置情况;掌握本专业监控系统的硬件设置情况及接口、数据流向等;做好本专业的数据备份;做好本专业监控系统的管理工作。
4风电场电力监控系统安全防护基本原则
4.1安全分区
按照《电力监控该系统安全防护规定》,本方案将风电场基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产大区分为控制区(安全区I)及非控制区(安全区II),重点保护生产控制以及之间影响风电场生产的系统。
其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
4.2网络专用
电力调度数据网是与生产控制大区相连接的专用网络,承载电力实时控制、在线生产交易等业务。
风电场端的调度数据网在专用通道上使用独立的网络设备组网,在物理层面上实现与电力其他企业及外部公共信息网络的安全隔离。
风电场端的电力调度数据网划分为逻辑隔离实时子网和非实时子网,分别连接控制区和非控制区。
4.3横向隔离
横向隔离是电力监控系统安全防护体系的横向防线。
风电场在生产控制大区与信息管理大区之间部署经国家指定部门检测认证的电力专用安全横向单向隔离装置,隔离强度接近物理隔离。
生产控制大区内的安全区之间采用具有访问控制功能的网络设备、安全可靠的硬件防火墙,实现逻辑隔离,且防火墙的功能、性能、电磁兼容性均经过国家相关部门的认证和测试。
4.4纵向认证
纵向加密认证是电力监控系统安全防护体系的纵向防护线。
风电场生产控制大区与调度数据网之间纵向连接出设置经过国家指定部门检测认证的电力专用纵向认证装置,实现双向身份认证、数据加密和访问控制。
4.5综合防护
结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行的安全防护过程。
5风电场电力监控系统安全分区
5.1控制区(安全区I)
星火风电场的控制区主要包括以下业务系统和功能模块:
风机监控系统、无功电压控制(AVC)、有功功率控制系统(AGC)、升压站监视系统、相量测量装置(PMU)、继电保护等。
5.2非控制区(安全区II)
星火风电场的非控制区主要包括以下业务系统和功能模块:
风功率预测系统、电能量采集装置和故障录波装置等。
5.3管理信息大区
星火风电场的管理信息大区主要包括以下业务系统和功能模块:
天气预报系统、检修管理系统、测风塔系统和办公信息系统等。
5.4风电场电力监控系统安全分区表
序号
业务系统及设备
控制区
非控制区
管理信息大区
备注
1
风机监控系统
风机监控系统
A2
2
无功电压控制
无
升级会员 