电厂电力监控系统安全防护方案.docx
《电厂电力监控系统安全防护方案.docx》由会员分享,可在线阅读,更多相关《电厂电力监控系统安全防护方案.docx(15页珍藏版)》请在冰豆网上搜索。
电厂电力监控系统安全防护方案
**电厂电力监控系统安全防护方案
编制:
审核:
批准:
**公司
**年**月
第1章电力监控系统安全防护方案
一、总体概况
**共装**机组,其中**机容量**MW,**机容量**MW,于**年投运,接入福建电力调控中心和**集控中心。
包括:
**机组**系统、**升压站**系统、调度数据网以及厂级实时监控系统、**系统、**系统、**系统等。
2、安全分区
按照《电力二次系统安全防护规定》,原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度再将生产控制大区划分为控制区(安全区I)及非控制区(安全区II),重点保护生产控制以及直接影响电力生产(机组运行)的系统。
●按照表2.1中示例,列举并说明厂内全部电力监控系统的安全分区情况(包括集控中心)。
序号
业务系统及设备
控制区
非控制区
信息管理大区
备注
1
调速和自动发电功能AGC
调速、自动发电控制
A1
2
故障录波
故障录波装置
B
3
火电厂级信息监控系统
监控功能
优化功能
管理功能
A2
4
电量采集装置
电量采集装置
A1、B
.
...
...
...
...
.
表2.1安全分区表
注:
A1:
与调控中心有关的电厂监控系统
A2:
电厂内部监控系统
B:
调控中心监控的厂站侧设备
与调控中心无关的电力监控系统不接入调度数据网。
三、网络专用
●按3.1和3.2节示例要求,列举并说明厂内全部电力监控系统的网络描述(包括集控中心)。
3.1调度数据网
●画出厂内调度数据网设备网络拓扑图,并说明使用的网络协议和通信方式。
●填写表3.1:
网络描述及设备清单。
●描述网络的组网方式及拓扑结构。
表3.1:
网络描述及设备清单
名称
用途
是否使用独立网络设备组网(请具体说明)
是否与其他网络相连(请具体说明)
调度数据网
生产控制大区专用网络
是,独立设备组网
否
名称及数量
厂家及型号
用途
详细配置
安全加固措施
路由器
(*台)
华三S1200
省调接入网路由器
名称及数量
厂家及型号
用途
详细配置
安全加固措施
交换机
(*台)
华三S1200
省调接入网交换机
3.2升压站站控层网络
●画出升压站站控层网络拓扑图,并说明使用的网络协议和通信方式。
●填写表3.2:
网络描述及设备清单。
●描述网络的组网方式及拓扑结构。
表3.2:
网络描述及设备清单
名称
用途
是否使用独立网络设备组网(请具体说明)
是否与其他网络相连(请具体说明)
升压站站控层网络
保护、测控等装置与后台、远动机通信
是,独立设备组网
是,与机组控制系统通过4-20mA小信号线互联
与调度数据网I区交换机通过双绞线互联
...
名称及数量
厂家及型号
用途
详细配置
安全加固措施
路由器
(*台)
名称及数量
厂家及型号
用途
详细配置
安全加固措施
交换机
(*台)
华三S1200
构建站控层A网
3.3其他网络(根据现场实际情况补充)
...
四、横向隔离
●按4.1节示例要求,列举并说明厂内全部电力监控系统的横向隔离情况(包括集控中心)。
4.1生产控制大区与非生产控制大区的安全隔离
●填写表4.1:
安全设备描述及清单。
表4.1:
安全设备描述及清单
名称及数量
厂家及型号
用途
详细配置
(可截图)
安全加固措施
横向隔离装置
(*台)
科东stonewall-2000
*系统同*系统正向数据传输
策略:
系统配置:
等
详细列出已采取的安全加固措施。
名称及数量
厂家及型号
用途
详细配置
(可截图)
安全加固措施
防火墙
(*台)
东软NETeye5200
*系统同*系统数据传输
策略:
系统配置:
等
详细列出已采取的安全加固措施。
4.2生产控制大区与信息管理大区的安全隔离
...
4.3非生产控制大区与信息管理大区的安全隔离
...
4.4安全接入区的安全隔离
...
五、纵向认证
●按5.1节示例要求,列举并说明厂内全部电力监控系统的纵向认证情况(包括集控中心)。
5.1生产控制大区与电力调控中心的纵向认证
●填写表5.1:
安全设备描述及清单。
表5.1:
安全设备描述及清单
名称及数量
厂家及型号
用途
详细配置
(可截图)
安全加固措施
纵向加密装置
(*台)
南瑞netkeeper2000
I区省调接入网同中调通信
隧道:
策略:
系统配置:
等
详细列出已采取的安全加固措施。
5.2生产控制大区与集控中心的纵向认证
...
5.3III区与调控中心的纵向认证
...
5.4安全接入区与公网的纵向认证
...
六、整体安全防护现状
●要求图6.1中画出厂内各系统的互联关系,并说明各系统间的互联方式及相关安全防护措施,按要求填写表格6.1,6.2,及附表。
●要求在表格6.1中列出接入电厂内各系统的厂外网络类型(互联网、集团网、政府专网、集控中心专网、调度数据网等)。
**电厂电力监控系统总体方案的框架结构图:
6.1**电厂系统安全部署示意图
表格6.1**电厂监控系统安全分区表(按实际情况填写)
序号
控制大区(图中P1)
/厂外网络接入类型
非控制大区(图中P2)
/厂外网络接入类型
信息管理大区(图中P3)
/厂外网络接入类型
外部网络
(图中P4)
安全接入区
(图中P5)
1
NCS系统(含AVC、AGC功能模块)
调度数据网
电量采集装置
调度数据网
调控管理系统工作站
电力综合通信数据网
...
...
2
PMU
调度数据网
故障录波装置
调度数据网
...
...
3
保信子站
调度数据网
发电计划工作站
调度数据网
4
机组控制系统
无
SIS系统
无
5
...
...
...
...
表格6.2**电厂监控系统接口描述表(按实际情况填写)
编号
接口描述
数据传输方向
数据类型
通信方式及协议
安全防护措施
I0
NCS系统AGC模块与机组控制系统接口
AGC模块->机组控制系统
AGC指令值
4-20mA小信号
无
I1
机组控制系统与SIS系统接口
机组控制系统->SIS系统接口
机组实时数据
双绞线,TCP/IP
防火墙(对应表4.4中“东软NETeye5200”)
I2
SIS系统接口与MIS系统接口
SIS系统->MIS系统
生产数据
双绞线
单向隔离设备(对应表**中**)
..
...
...
...
...
...
七、控制大区系统概况
●参照模板,补充各大区的全部系统的概况及其相应示部署意图和网络连接图(集控中心也按各大区分类补充)。
控制大区主要包括:
自动发电控制模块(AGC)、自动电压控制模块(AVC)、升压站监控系统(NCS)、相量测量装置(PMU)、保护信息子站、相应调度数据网安防及网络设备、***等。
(1)NCS系统现状
NCS系统采用的是**公司的**系统,提供对**电厂的**功能,为外部**系统提供**数据,部署在安全控制大区,通过远动设备与调度之间使用纵向加密设备传输**数据。
**系统主要包括**模块、**装置等。
**系统的边界防护的措施较为完善,与**系统之间存在数据交互,部署了电力行业**装置进行了隔离,与**系统之间通过串口线连接。
(按实际情况编写)
(2)AGC模块现状
AGC系统采用的是**公司的**系统,提供对**电厂的功率调节功能,为外部**系统提供**数据,部署在控制大区,通过远动设备与调度之间使用纵向加密设备传输**数据。
(按实际情况编写)
(3)AVC模块现状
...
(N)**系统现状
...
7.1.1控制大区系统部署示意图:
●要求详细画出厂内控制大区内全部系统
图7.1.1控制大区系统部署示意图
表格7.1.1**电厂监控系统接口描述表(按实际情况填写)
编号
接口描述
数据传输方向
数据类型
通信方式及协议
安全防护措施
I0
NCS系统AGC模块与机组控制系统接口
AGC模块->机组控制系统
AGC指令值
4-20mA小信号
无
I1
PMU采集器与机组控制系统接口
PMU采集器->机组控制系统
PMU采集数据
4-20mA小信号和硬接线
无
..
...
...
...
...
...
7.1.2控制大区系统实际网络连接图:
●要求详细画出控制大区内全部系统,及所使用的全部网络、安全设备(包括调度数据网设备),并说明设备型号、各端口用途。
八.非控制大区系统概况
...
九.信息管理大区系统概况
...
十、安全接入区概况
...
十一、集控中心控制大区系统概况
...
第2章电厂电力监控系统安全管理概况
一、规章制度
●要求列出与网络安全相关的管理制度,并将材料作为附件上传(根据实际情况上报)。
序号
名称
编制日期
2、相关人员职责
●要求列出相关人员职责与名单,并将材料作为附件上传(根据实际情况上报)。
序号
姓名
岗位
职责
联系方式
3、应急预案
●要求列出相关的应急预案,并将材料作为附件上传(根据实际情况上报)。
序号
名称
编制日期
第3章等级保护
一、信息安全等级保护
●要求各电厂根据实际情况说明是否完成电力监控系统定级、备案工作,且开展定期测评。
序号
系统所属单位名称
系统名称
系统定级情况
备案情况
测评工作情况
系统等级
备案号
公安机关
测评单位
上次测评时间
1
**
**系*
福建省公安厅
2
第4章通用安全防护措施
●要求各电厂依据国能安全2015年36号文件和国网福建电力调控中心关于印发《福建电力监控系统安全防护专项检查“回头看”工作方案》的通知(调自〔2016〕59号)补充通用防护措施的开展情况(根据实际情况上报),按照示例补充各章节内容。
1.物理安全
●要求各电厂列出厂内机房环境及UPS电压等物理设施信息,补充下表。
名称
温湿度监控设备部署情况
防潮、防水情况
视频监控系统部署情况
...
自动化机房
名称
设备容量
当前负载
设备冗余情况
UPS间环境
...
UPS电源
...
2、主机加固
●要求各电厂列出厂内全部主机信息,补充下表。
名称及数量
厂家及型号
操作系统类型
用途
主机加固情况
服务器
(*台)
联想P7000
凝思
详细列出主机的加固措施,如取消主机默认路由,关闭无用端口,密码复杂度等
名称及数量
厂家及型号
操作系统类型
用途
主机加固情况
工程师站
(*台)
联想P7000
凝思
详细列出主机的加固措施,如取消主机默认路由,关闭无用端口,密码复杂度等
..
三、恶意代码防范
●此处描述是否部署有恶意代码防范,若有,说明部署的安全区、厂家、型号、版本、更新周期等
4、入侵检测
●此处描述是否部署有入侵检测,若有,说明部署的安全区、厂家、型号、版本、更新周期等。
5、备用与容灾
●此处描述对关键业务数据的备份管理,如主机双机热备,数据定期备份,网络设备和关键部件的冗余配置等。
6、远程拨号访问
●此处说明厂内是否存在远程拨号访问,如有则说明访问方式、安全防护措施和审计行为等。
7、安全审计
此处说明网络设备、操作系统、数据库、业务应用等开启审计功能,对操作行为进行安全审计等。
8、其它
...
第5章自我评估
●要求各电厂认真学习《电力监控系统安全防护总体方案》及《发电厂监控系统安全防护方案》(国能安全〔2015〕36号),摸排本厂电力监控系统现状,列出不符合文件要求的安全隐患点,并评估、说明改造难易度。
备注:
●表示各电厂需补充的内容。
●