溧阳新晖光伏电站电力监控系统安全防护实施方案.docx

1、溧阳新晖光伏电站电力监控系统安全防护实施方案 溧阳新晖光伏电站电力监控系统安全防护实施方案溧阳新晖光伏电站2017年12月5日（盖章）一、 电厂基本情况常州溧阳新晖光伏20MW农光互补项目位于江苏省溧阳市埭头镇山前村东北侧，距离西侧239省道1.7km，241省道约6km，南面的长深高速15km，104国道13km，与西南方向的溧阳市相距11km。项目经纬度为东经1194021，北纬312957.52。本项目总装机容量为20MW，选用多晶硅组件TP672P-300W共69660块，选用28KW组串型并网逆变器，每1.3932MW为一个单元，每单元52台逆变器。采用分块发电、集中并网方案。光伏组

2、件方阵采用固定式安装，组件安装倾角为27。共分为15个1.3932MW光伏发电单元，1个发电单元由52台28KW并网逆变器、9台交流盒与1台1400kVA、35kV箱式升压变电站组合而成。经系统效率影响分析后得出系统效率为81%，计算得出本光伏电站第一年发电量为2326.69万度电，剩下24年按照每年约0.8%递减计算，可计算出年平均发电量为2116.44万度电，25年总共发电52911.00万度电。本项目采用分散发电、集中控制、单点并网的技术方案。本电站15个发电单元共分为4条汇集线路，3条集电线路接入4个光伏发电单元和1条集电线路接入3个光伏发电单元，4条集电线路分段接入35kV母线，以1

3、回35kV出线接入附近7.5km处220kV溧阳变电站35KV侧。全站设1套计算机监控系统，其监控范围有：逆变器、箱变、35kV进线开关、35kV馈线开关、35kV母线PT、站用电和直流系统等。监控系统具有远动功能，根据调度运行的要求，本电站端采集到的各种实时数据和信息，经处理后可传送至上级调度中心。二、方案依据及适用范围本次电力监控系统安全防护方案设计的范围包括电厂电力监控系统规划设计、工程实施、系统改造和升级、运行管理等。2.1 本方案编制依据1) 信息安全等级保护管理办法（公通字200743号）2) 信息安全技术信息系统安全等级保护基本要求GB/T 22239-20083) 信息安全技术

4、信息系统安全等级保护定级指南GB/T 22240-20084) 信息安全技术信息系统安全等级保护实施指南GB/T 25058-20105) 信息安全技术 信息安全风险评估规范GB/T 20984-20076) 关于开展电力行业信息系统安全等级保护定级工作的通知（电监信息200734号）7) 电力监控系统安全防护规定（国家发展和改革委员会2014年第14号）8) 电力监控系统安全防护总体方案（国能安全201536号）9) 电力监控系统安全防护评估规范（国能安全201536号）10) 电力行业信息系统等级保护定级工作指导意见（电监信息200744号） 11) 电力行业信息系统安全等级保护基本要求（

5、电监信息201262号）12) 信息安全技术信息系统安全等级保护测评要求GB/T 28448-201213) 信息安全技术信息系统安全等级保护测评过程指南GB/T 8449-201214) 电力行业信息安全等级保护管理办法（国能安全2014318号）15）电力行业网络与信息安全管理办法（国能安全2014317号）2.2 适用范围本次电力监控系统安全防护方案的范围包括电厂电力监控系统规划设计、工程实施、系统改造和升级、运行管理等。涉及业务范围如5.1章节所示。三、总体目标电力监控系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发

6、起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及电力监控系统的崩溃或瘫痪。结合发电厂的实际情况，本发电厂电力监控系统安全防护的总体目标包括： 防止发电厂监控系统服务等核心业务（即电力生产）中断。 防止发电厂监控系统本身崩溃。 抵御外部人员对发电厂监控系统发起的恶意破坏和攻击，及可能对相连的调度自动化系统的影响。 防止利用病毒、木马等恶意程序,从发电厂监控系统局域网内部发起的对电力生产及相连的调度自动化系统的恶意破坏和攻击。保护发电厂监控系统实时和历史数据，主要防止数据被非授权修改。四、管理制度4.1 溧阳新晖光伏电站电力监控系统安全防护管理制度本制度规定

7、了溧阳新晖光伏电站（以下简称“公司”）信息系统管理内容，主要包括网络的接入管理、信息安全管理和信息化设备采购及修理流程等，此规定同时包含了公司各部门间协调等方面的工作原则。本制度适用于公司于信息系统有关的各项管理工作，内容详见附件一。4.2 溧阳新晖光伏电站电力监控系统安全联合防护应急预案本预案为提高电力监控系统的安全防护水平，保证电力系统的安全稳定运行，有效防止、控制溧阳新晖光伏电站生产大区监控系统由于遭到黑客、恶意代码攻击及其他人为破坏时造成重大损失及系统瘫痪，缩小故障时的故障范围。本预案适用于本企业电力监控系统故障事件的应急处置和应急救援工作，内容详见附件二。4.3 溧阳新晖光伏电站信息

8、系统机房管理标准本标准规定了公司信息系统机房安全管理职责、管理内容与要求,检查与考核。 本标准适用于公司信息系统机房管理，内容详见附件三。4.4 溧阳新晖光伏电站教育培训管理制度本制度规定了公司职工教育培训管理的职责、管理内容与方法、报告和记录。本制度适用于公司对人员教育培训管理，内容详见附件四。4.5 溧阳新晖光伏电站外来人员管理制度为确保机房信息及设备的安全运行，本制度规范了外来人员进入机房的操作行为及流程管理。本制度适用于公司对外来人员管理，内容详见附件五。4.6 溧阳新晖光伏电站计算机系统管理制度本制度为保证电厂生产办公用计算机设备本身和计算机网络系统的安全稳定运行，以及相关工作的正常

9、开展,保证存储在计算机中的信息和数据不被破坏,防止操作系统程序及应用软件系统不被非法更改或破坏。本制度适用于公司对投运计算机系统的管理，内容详见附件六。4.7 溧阳新晖光伏电站电力监控系统安全评估制度为提高电力监控系统的安全防护水平，保证电力系统的安全稳定运行，有效防止、控制溧阳新晖光伏电站生产大区监控系统遭到黑客、恶意代码攻击及其他人为破坏而造成重大损失及系统瘫痪，缩小故障时的故障范围。本着“安全第一，预防为主”的原则，防范与未然，特制定电力监控系统安全评估制度。本制度适用于公司对电力监控系统安全评估方法的管理，内容详见附件七。4.8 溧阳新晖光伏电站主机加固安全管理制度加强对关键服务器的安

10、全控制，是增强系统总体安全性的核心一环。完成主机加固，一是对主机密码进行修改加固；二是对账户进行权限分配，保证对系统资源（包括数据和进程）的访问符合定义的主机安全策略，防止主机权限被滥用。本制度适用于公司对电力监控系统主机加固方案的管理，内容详见附件八。五、技术措施5.1 业务分类 5.1.1安全分区按照电力监控系统安全防护规定，将本厂的业务系统划分为生产控制大区和管理信息大区，根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区I）及非控制区（安全区II）。重点保护生产控制以及直接影响电力生产的系统。控制区：本厂的控制区主要包括以下业务系统和功能模块：发电厂综合自动化

11、系统和继电保护装置。非控制区：本厂的非控制区主要包括以下业务系统和功能模块：电能量采集装置。管理信息大区：本厂暂无。序号业务系统控制区（一区）非控制区（二区）管理信息大区（三区）1监控系统监控35kV系统等设备，向无锡市调传送相应数据2继电保护继电保护装置3电能采集终端电能量采集、处理4电厂信息网厂站与企业管理通信5.1.2网络专用溧阳新晖光伏电站厂站端的电力调度数据网在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。5.1.3横向隔离本厂需从控制区单向接收数据至管理

12、信息大区（三区），部署正向隔离。5.1.4纵向认证溧阳新晖光伏电站电站生产控制大区与调度数据网的纵向连接处设置纵向加密认证装置，实现双向身份认证、数据加密和访问控制。5.2 各业务系统防护5.2.1发电厂综合自动化系统1、系统介绍本电站后台监控系统采用国电南自PS6000+监控系统，国电南自PS6000+监控系统是为满足当代电力系统综合自动化建设和发展的需要，在总结国内外该领域多年应用经验的基础上， 研发出的一套基于厂站监控系统自动化整体解决方案的拳头产品。该监控系统集先进的计算机软硬件技术、自动控制技术和网络通信技术于一身，主要用于变电站内部测控，保护以及其他数据的监控，设计完全根据国际国内

13、最新的行业标准，能够最大限度地满足电力系统安全、稳定和高效运行的要求。2、系统组成部分及其部署位置 国电南自PS6000+监控系统采用分层分布式的结构，按物理位置可分为间隔层和站控层。间隔层主要由保护和测控装置组成。通过精心的设计，保护和测控装置的功能既相互独立又相互融和。 国电南自PS6000+监控系统的站控层设备同样采用分布式、开放式的设计，主要由当地后台监控和远动设备组成。站控层交换机用于站内网络设备组网。远动机用于传输站内数据至调度，负责和常州市调主站通信。 组成监控系统的监控主机、站控层交换机、远动主机设备均位于生产控制大区I区内部，因此所有数据交互都是在生产控制大区I区内部进行交互

14、，不存在跨区数据交互过程。5.3、系统数据交互方式1、后台监控系统内部数据交互方式全站采用网络组网配置，以太网103规约通过网线接入站控层交换机，采集站内保护和测控的数据，其他不支持以太网103规约通讯的设备经过通信管理机转换后再以以太网103规约通过网线接入交换机。监控系统通过网线对接入站控层交换机的所有设备进行数据监控。2、后台监控系统与调度的数据交互方式后台监控系统通过远动主机与无锡市调主站进行通讯，采用标准104调度规约。3、接入调度数据网方式远动主机通过接入双平面调度数据网交换机的方式将数据上传至无锡市调自动化，在本方案中，远动机与生产控制大区（I平面和II平面）I区接入交换机相连。

15、4、安全防护策略配置由于远动数据通过I区接入交换机上传至电力公司，因此通过纵向加密装置可以保证数据安全，加密的传输。纵向加密需要在策略上将厂内地址和调度端系统前置机地址以及2404 TCP端口上进行限制。5.2.2 电量采集系统1、系统介绍本电站的电能采集系统通过电力调度数据网以网络方式将电能量数据上传至调度端。2、组成及其部署位置电能量采集系统中关口上网电量经电能量采集装置上传至调度数据网，其设备布置在生产控制大区区内部。3、系统数据交互方式3.1、电量采集系统内部数据交互方式关口计量表数据通过通讯接口计入电量采集装置，电量采集装置在通过网络接入数据网交换机。最终通过一平面非控制区将电量上送

16、到调度。3.2、电量采集系统与厂内其他系统的数据交互方式无3.3、电量采集系统与调度的数据交互方式（与调度互传）电量采集系统通过调度数据网与调度主站进行通讯。4、接入调度数据网方式电量采集系统通过接入调度数据网交换机的方式将数据上传至调度控制中心，在本方案中，电量终端服务器与生产控制大区区接入交换机相连。5、防护策略配置由于电量数据通过区接入交换机上传至调度，因此通过电力监控防护设备纵向加密装置可以保证电量数据安全，加密的传输。纵向加密需要在策略上将厂内电量终端服务器IP地址和主站端IP地址以及服务器TCP端口（950965）上进行限制。5.2.3继电保护装置1.系统介绍继电保护装置主要对保护

17、和测控装置实现下述功能：实时查询、收集和分级记录数据（用数据库保存），并传送主站及监控系统(包括保护动作报文信息)；调阅定值（运行定值或主站指定定值）及参数，查阅历史记录、当前状况；能对多个主站发送数据，响应多个主站的请求； 2.系统组成部分及其部署位置继电保护装置采用南自PSR661U测控装置1台、南自PSX610G远动装置2台组成继电保护及远动通讯系统。设备位于生产控制大区I区内部，通过设备本身记录保护信息。3.系统数据交互方式3.1继电保护装置内部数据交互方式继电保护装置通过设备本身采集和记录保护动作等信息，并进行存储和显示通过间隔层和站控层交换机将数据传输至监控后台，与其他安全区内网络

18、无关联。3.2、继电保护装置与厂内其他系统的数据交互方式继电保护装置通过与监控后台数据的传输，实现数据、保护动作的查阅以及响应主站的请求。电站上级管理系统通过站控层交换机与远动装置进行数据单向接收后，通过电厂信息网上送公网。3.3、继电保护装置与调度的数据交互方式暂未接入调度数据网，不存在数据交互。4.接入调度数据网方式继电保护装置暂未接入调度数据网。5.安全防护策略配置继电保护装置通过间隔层和站控层交换机将数据传输至监控后台。对继电保护系统设备进行主机加固。继电保护装置通过间隔层和站控层交换机将数据单向传输至电站上级管理系统现场采集服务器，使用正向隔离装置保障控制区的数据安全。5.2.4电厂

19、信息网1.系统介绍电厂信息网主要通过运行商的网络进行企业的日常工作通讯，并把远动装置采集相应数据，通过采集数据服务器上送集控中心。2.系统组成部分及其部署位置电厂信息网含光纤、光猫、路由器、交换机、办公电脑、采集服务器等。3.系统数据交互方式3.1电厂信息网内部数据交互方式电厂信息网通过公网交换机进行数据交互。3.2电厂信息网与厂内其他系统的数据交互方式本厂电厂信息网与控制区远动装置存在交互。3.3电厂信息网与调度的数据交互方式暂未接入调度数据网，不存在数据交互。4.接入调度数据网方式暂未接入调度数据网。5.安全防护策略配置电厂信息网因为与外网相连，为了防止外来非法行为，保障站内电力专网安全。

20、现场增加防火墙，将公众访问网与内部网分离；并加强现场人员管理，禁止电厂信息网与电力专网相连。与控制区之间增加正向隔离与防火墙。5.3通用防护措施1、技术1.1物理安全等级保护要求位置选择、访问控制、防盗防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁保护电力监控系统安全防护要求按照安全分区的原则，将不同重要程度设备置于安全区域内，对重要设备采取电磁屏蔽措施。其防护强度等于等级保护要求电厂具体防护措施按照设备、操作间进行机房物理区域划分，按安全分区摆放机柜1.2网络安全等级保护要求结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防护、网络设备防护电力监控系统安全防护

21、要求电力监控系统遵循“安全分区、网络专用、横向隔离、纵向加密”的防护原则，将电力监控系统分置于生产控制大区和管理信息大区、在两个大区之间部署横向单向隔离装置，在生产控制大区专用的调度数据专用网络边界部署纵向加密认证装置，形成栅格状安全防护体系架构，其防护强度等同于等级保护要求电厂具体防护措施1、专网专用；2、安全分区；3、纵向边界部署纵向加密认证装置，配置IP+限定端口的控制策略，启用隧道密通功能4、网络设备安全加固，关闭不必要的服务和端口，限制登陆地址及用户等，配置多用户。1.3主机安全等级保护要求身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防护、恶意代码、资源控制电

22、力监控系统安全防护要求对原有系统按照电力监控系统安全加固规范进行安全加固，并通过加强运维管理保证主机及操作系统安全。新一代调控系统采用国产设备，国产操作系统提高安全防护水平，同时满足等级保护要求，其防护强度等同于等级保护要求电厂具体防护措施1、各个层面的口令均应杜绝7位以内的弱口令。2、系统采用国产设备、国产安全操作系统，国产安全数据库。1.4应用安全等级保护要求身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抵抗赖性、软件容错、资源控制电力监控系统安全防护要求新系统采用基于调度数字证书及安全标签的一体化基础平台，实现安全访问控制可信可控。其防护强度等同

23、于等级保护要求。电厂具体防护措施1、各个层面的口令均应杜绝7位以内的弱口令。2、系统采用基于调度数字证书及标签的安全认证。1.5数据安全及备份恢复等级保护要求数据完整性、数据保密性、备份和恢复电力监控系统安全防护要求电力监控系统从数据层面、系统层面和调度业务层面三个层面均要求实现备用，以此为基础建立备用调度体系，实现全面的电力监控系统安全备用机制，其防护强度等同于等级保护要求电厂具体防护措施实现数据级备用；实现自动化系统及功能备用；实现调度业务及人员备用。2、管理2.1安全管理制度等级保护要求管理制度、制定和发布、评审和管理电力监控系统安全防护要求建立了电力监控系统安全防护相关管理制度，依照“

24、谁主管谁负责，谁运营谁负责”的原则，与调度安全性评价相结合，常态化开展管理工作。电厂具体防护措施制定电力监控系统安全防护管理制度2.2安全管理机构等级保护要求岗位设置、人员配备、授权与审批、沟通和合作、审核和检查电力监控系统安全防护要求成立了电力监控系统安全防护领导小组，建立安全工作协调机制，明确职责分工。调度部门的安全管理人员专人专岗。电厂具体防护措施建立电力监控系统安全管理机构2.3人员安全管理等级保护要求人员录用、人员离岗、人员考核、安全意识教育和培训、外来人员访问管理电力监控系统安全防护要求要求对电力监控系统安全防护专职人员定期进行培训和考核。同时建立保密机制，加强保密教育，提高安全防

25、护意识，并与相关人员签署保密协议。加强对外来人员的管控，强化出入管理核查。电厂具体防护措施定期培训；签署保密协议；外来人员管控。2.4系统建设管理等级保护要求系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择电力监控系统安全防护要求制定了针对电力监控系统专用安全产品和业务系统的开发单位及供应商的管控措施，对自主开发的软件进行严格管理防止关键技术扩散。电厂具体防护措施加强安全产品和业务系统的开发单位及供应商的管控措施；与开发单位及供应商签署保密协议。2.5系统运维管理等级保护要求环境管理、资产管理、介质管理、设备管

26、理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码管理、密码管理、变更管理、备份与恢复、安全事件处理、应急预案管理电力监控系统安全防护要求制定电力监控系统日常安全管理制度，制定了监控系统的应急处理预案电厂具体防护措施制定安全运维管理制度；制定监控系统的应急预案。5.4主机加固5.4.1主机加固1.总则为了保证电力调度数据网安全稳定运行，根据江苏电力监控安全防护专项检查工作方案系统本体内安全要求，需对本电厂电力监控系统服务器进行安全加固，以保证电厂业务平稳，安全的传输。2.加固对象本电厂主要加固的对象主要包括使用Windows系统的综合自动化系统主机、远动设备和网络设备等。3.加固

27、内容及措施1.加固内容及措施1、停止或删除不需要的服务：C:services.msc 打开服务面板，禁用不必要的服务。（如：snmp服务、message服务、DHCP Client服务、DNS Client服务等。2、删除默认网络共享：手工删除默认共享： 创建autosharedel.bat 文件，键入如下内容： net share c$ /del net share d$ /del net share e$ /del net share ipc$ /del net share admin$ /del 创建此文件的快捷方式，并将其拖放到开始-程序-启动栏中，这样每次重启系统后，系统会自动删除默

28、认共享。3、重新配置管理员Administrator：由于Windows 系统的Administrator帐号是不能被停用的，攻击者可以利用这一点对Administrator帐号的密码进行暴力破解。解决办法将Administrator帐号改名。4、配置系统审核策略：在控制面板管理工具本地安全策略-本地策略中指定需要的审核策略。5、禁用或删除不必要的系统帐号：禁用guest帐号。检查并删除不必要的系统帐号。如主机不需开放IIS www服务，可删除或禁用IUSR_yourcomputername、IWAM_ yourcomputername帐号。6、设置较强的密码策略：建议进行下列更改，启用“密码

29、必须符合复杂性要求” 将“密码长度最小值”设置为8个字符 将“密码最长保留期”设置为60天 将“密码最短存留期”设置为0天 将“强制密码历史”设置为2个记住的密码。5.5设备备用和数据备份1总则本电厂的设备备用和数据备份是指对设备硬件进行冗余备件对数据结构和数据对象进行拷贝，防止系统在遭受破坏和数据丢失时能够最大限度的恢复数据至破坏前的状态。2设备备用策略采用双平面的方式进行数据结构备用，生产控制大区I区远动主机是双设备进行数据传输。3数据备份制度调度数据网路由器，交换机，防火墙，纵向加密数据配置备份需要在每月1日早班手动备份一次，远动主机及数据库每季度第一个月1日或重大节日前备份一次。负责相

30、关备份的工作人员需保证备份U盘根据控制区与非控制区进行单独备份，不能混插混用。备份U盘上要标明具体备份时间，备份人员等重要内容，且备份U盘不能与主机或设备存储在同一区域。4数据恢复制度在配置备份当日下午需在备品设备上进行配置预恢复测试，待数据恢复后需要详细对比备份配置和设备运行配置，若无差别则说明该配置备份有效，若存在差别则查明造成差别的原因是由于备份文件导致或是由备份恢复操作不当导致，查明原因后则需重新进行设备配置备份或配置预恢复测试，直至配置备份能正常恢复为运行配置为止。5.6入侵检测暂未部署入侵检测（计划部署中）1、总则生产控制大区应统一部署一套入侵检测系统，需要合理设置检测规则，检测发

31、现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁。2、防护细则本电厂根据实际业务情况在生产控制大区部署一台入侵检测装置。入侵检测装置与各区的接入层交换机镜像口直接连线，所有接入接入层交换机的数据都会通过数据镜像被入侵检测装置进行流量数据分析来检测隐藏与网络边界的入侵行为。3、替代措施电站加强各类规章制度的建立和执行，确保安全I区和II区网络不非法和外网连接。5.7 防恶意代码暂未部署防范恶意代码（计划部署中）1、总则本电厂根据实际业务情况在生产控制大区部署应部署防恶意代码系统，可及时更新特征码，查看查杀记录。2、防护细则当出现计算机病毒传染迹象时，立即隔离被感染的系统和网络并进行处理，不应