电厂监控系统安全防护方案

1、-. z.核心商密长期*千伏*变/电厂电力监控系统安全防护方案*公司*年*月*千伏*变/电厂电力监控系统安全防护方案 批准： 审核： 校核： 编制： *公司*年*月*电厂电力监控系统安全防护总体方案1、概述简要介绍本次项目情况，包含一次、二次系统的介绍。为防黑客及恶意代码等对*千伏*变（或电厂）电力监控系统的攻击侵害，避免由此引发的电力系统事故，保障电力系统的正常稳定运行，依据电力监控系统安全防护规定（国家发改委2014年第14号令）和电力监控系统安全防护总体方案等安全防护方案和评估规（国能安全201536号）等要求，结合*千伏*变（或电厂）电力监控系统的安全防护实际情况，特制订本方案。2.编

2、制依据及使用围2.1本方案编制依据电力监控系统安全防护规定(发改委14号令)；国家能源局关于印发电力监控系统安全防护总体方案等（国能安全201536号文）；电力监控系统安全防护总体方案（国家能源局36号文配套文件）发电厂监控系统安全防护方案（国家能源局36号文配套文件）变电站监控系统安全防护方案（国家能源局36号文配套文件）电力行业网络与信息安全管理（国能安全2014317号）电力行业信息安全等级保护管理办法（国能安全2014318号）关于开展全国重要信息系统安全等级保护定级工作的通知（公安部公信安2007861号）电力行业信息系统等级保护定级工作指导意见（电力监管委员会电监信息200734号

3、）2.2适用围本电力监控系统安全防护方案适用于*千伏*变（或者电厂）电力监控系统中各类应用系统和网络，包括与*变（或者电厂）电力生产（或者使用）过程直接相关的变电站监控系统、发电厂控制系统、电力调度数据网、电能量计量采集装置、继电保护等。注：根据现场实际情况填写应用系统。请注意，发电厂的专业系统名称可参照发电厂监控系统安全防护方案，升压站或者开关站专业系统名称可参照变电站监控系统安全防护方案3.总体目标电力监控系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事

4、故或大面积停电事故及电力监控系统的崩溃或瘫痪。结合*千伏*变（或电厂）的实际情况，*千伏*变（或电厂）电力监控系统安全防护的总体目标包括：防止*千伏*变（或电厂）监控系统服务等核心业务中断。防止*千伏*变（或电厂）监控系统本身崩溃。抵御外部人员对*千伏*变（或电厂）监控系统发起的恶意破坏和攻击及可能对相连的调度自动化系统的影响。防止黑客人员利用病毒、木马等恶意程序，以*千伏*变（或电厂）监控系统网络为跳板，对电网电力监控系统进行入侵攻击和恶意破坏。保护*千伏*变（或电厂）监控系统实时和历史数据，主要防止数据被非授权修改。4.管理措施4.1.组织机构4.1.1 领导小组组长：（联系方式）副组长：

5、（联系方式）成员：（联系方式）最好两人及以上4.1.2 领导小组职责(1)负责组织建立、健全*千伏*变（或电厂）电力监控系统安全防护管理的组织机构；负责组织制定、完善*千伏*变（或电厂）电力监控系统安全防护管理分级负责的责任制。(2)负责组织*千伏*变（或电厂）电力监控系统总体设计方案的安全审查和完善；负责组织各专业电力监控系统安全防护管理制度的审查和完善，保证*千伏*变（或电厂）电力监控系统安全防护组织机构有效运转；负责组织*千伏*变（或电厂）电力监控系统安全防护方案的制定和实施；组织制定*千伏*变（或电厂）电力监控系统安全评估制度。(3)负责建立*千伏*变（或电厂）电力监控系统安全联合防护

6、机制和应急机制；当*千伏*变（或电厂）电力监控系统受到攻击、病毒感染或发生严重故障时负责宣布应急预案的启动。适当补充工作小组组 长：（联系方式）副组长: （联系方式）成 员：（联系方式）至少两人及以上4.1.4 工作小组职责（1）接受领导小组指令，根据工作目标确定工作计划并负责实施。（2）检查*千伏*变（或电厂）电力监控系统的安全防护的执行情况、审计结果，定期组织有关人员对系统进行安全评估，并及时向上级主管部门报告；（3）负责组织有关人员对本部门发生的安全事故进行认真分析并及时报告。（4）负责*千伏*变（或电厂）保障电力监控系统安全各项组织、技术措置的落实及电力监控系统的系统软件、设备、网络、

7、安全产品等的日常运行和维护；（5）负责*千伏*变（或电厂）基本安全知识、知识的教育和咨询。4.2规章制度*千伏*变（或电厂）为确保电力监控系统安全，特制定电力监控系统网络安全应急处置机制、二次系统运维管理制度、机房出入管理制度、外来人员工作管理制度等。应涵盖但不限于上述容4.3运维管理（1）人员管理 设备巡视明确各级人员的安全职责，经常进行安全防护培训，定期检查各级人员安全职责的实施情况。（2）权限管理针对不同的电力监控系统，对不同的用户实体、不同的使用人员赋予相应的访问权限和操作权限。（3）访问控制管理操作人员登录进入关键的业务系统（如变电站监控系统）以及对关键的控制操作应该进行身份认证及操

8、作权限控制。（4）设备及子系统的维护管理a.对设备及子系统的安全漏洞及时进行防护或加固；b.充分准备各个设备及子系统的维护资料及维护工具；c.充分准备设备及子系统故障处理的预案以及故障恢复所需的各种备份，并经常进行预演；d.及时了解相关软件漏洞发布信息，及时获得补救措施或软件补丁对软件进行加固；e一旦出现安全故障应该及时报告、保护现场、恢复系统。（5）用户口令的管理a.人员的ID及口令设立必须按照规定流程进行相应审批；b.ID及口令应该具有足够的长度和复杂度，及时更新；c.系统的超级管理员的ID及口令必须由专人保管和修改，严格限定使用围；d.用户丢失或遗忘ID及口令，必须通过规定的流程向管理员

9、申请新的ID及口令；e.用户调离后，管理员必须立即注销其ID并取消相应权限。4.4严格外来人员管控（1）严禁非机房工作人员进入机房，特殊情况需经所辖设备负责人和值班人员批准，登记后方可进入。（2）经批准进入机房的外来人员，须有指定人员陪同，进出机房均应办理登记手续。 （3）进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。（4）经上级管理人员同意，外来人员可以实地操作设备。但必须有管理人员监督、指导，不得调阅重要数据和设备配置信息。4.5应急机制（1）建立机构信息安全时间应急响应工作的策略与规划，明确工作开展方针与目标；（2）建立有系统、分层次

10、的监控系统安防应急响应工作组织架构，明确应急响应相关部门和单位的职责和权限，确立相关人员的岗位职责，确保各项环节工作的专人管理、各司其职；（3）根据安全事件的影响围与严重程度，定义安全事件等级，确立与各类信息安全时间相应的处理以及应急相应处置与报告的流程；（4）针对机构可能发生的信息安全事件制定应急响应工作预案，为每一种可能发生的安全事件编制相应的应急处置预案；（5）在充分利用现有信息资源、系统和设备的基础上，为机构信息安全事件应急响应工作配备相应的资源，包括人力、物力、财力等各方面的资源；（6）定期开展应急响应预案的培训与演练，定期维护更新制定的应急响应预案，根据工作需要编制新的应急预案，确

11、保应急响应工作的有效性、适用性。4.6建立信息通报机制严格执行安全防护事件通报制度，有关安全问题做好记录。定期向所辖调度机构以及上级主管单位报送电力监控系统安全防护情况，并及时上报电力监控系统安全防护出现的异常现象、解决过程和最终结果。4.7信息电力监控系统相关设备及系统的开发单位、供应商以合同条款或协议的方式保证其所提供的设备及系统符合规定要求，做好工作，禁止关键技术和设备信息的扩散。4.8项目资金保障落实专项资金，以确保安全防护总体方案的顺利实施。填写对本次电力监控系统及其安全防护设备采购的资金情况、采购计划等，可以根据自身情况，提供后续的维保计划。5.技术措施5.1安全分区按照电力监控系

12、统安全防护规定，原则上将*千伏*变（或电厂）基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区I）及非控制区（安全区II），重点保护生产控制区的业务安全。根据实际情况填写，比如没有管理信息大区的不应出现此类名词。5.1.1生产控制大区的安全区划分5.1.1.1安全区I：控制区控制区中的业务系统或其功能模块（子系统）的典型特征为：直接实现对电力一次系统的实时监控，纵向使用数据网络或专用通道，是安全防护的重点与核心。安全区I的业务主要包括：1变电站监控系统简单介绍系统功能实现、设备组成、部通信方式等相关容2

13、发电厂厂级分散控制系统（DCS系统）简单介绍系统功能实现、设备组成、部通信方式等相关容3无功电压自动控系统系统（AVC）简单介绍系统功能实现、设备组成、部通信方式等相关容4发电自动控制系统（AGC）简单介绍系统功能实现、设备组成、部通信方式等相关容若有其它相关系统，继续补充注意：相关系统专业名词可参考发电厂监控系统安全防护方案，变电站监控系统安全防护方案，一般发电厂系统比普通升压站或者开关站要多；5.1.1.2安全区II：非控制区非控制区中的业务系统或其功能模块的典型特征为：在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或其功能模块联系紧密。安全区II的业务主要包括：保信

14、子站与录障录波系统简单介绍系统功能实现、设备组成、部通信方式等相关容电能量信息采集装置简单介绍系统功能实现、设备组成、部通信方式等相关容水调自动化信息系统简单介绍系统功能实现、设备组成、部通信方式等相关容若有其它相关系统，继续补充注意：相关系统专业名词可参考发电厂监控系统安全防护方案，变电站监控系统安全防护方案，一般发电厂系统比普通升压站或者开关站要多；5.1.2 管理信息大区的安全区划分主要业务包括：1调度生产管理系统按要求填写，没有则删除本节容5.2网络专用电力调度数据网是与生产控制大区相连接的专用网络，承载电力实时控制、在线生产交易等业务。电力调度数据网划分为逻辑隔离的实时子网和非实时子

15、网，分别连接控制区和非控制区，并采用MPLS-VPN技术、静态路由等构造子网。*千伏*变（或电厂）采用符合电力调度数据网规要求的专用网络设备（共2套），配置的IP地址为调度机构统一分配，通过电力调度数据网实现与调度端的远方数据通信。5.3 横向隔离横向隔离是电力监控安全防护体系的横向防线。在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。生产控制大区部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的

16、设施，实现逻辑隔离。*千伏*变（或电厂）采取的横向边界防护措施包括：1)在生产控制大区部控制区与非控制区之间部署了防火墙（共几台？）（或者相应的逻辑隔离设备）；2)同属于*一安全的各系统之间、各不同位置的厂站网络之间，根据需要采取了一定强度的逻辑访问控制措施，如防火墙、VLAN等；3)在生产控制大区和管理信息大区间部署正向安全隔离装置（共几台？）和反向安全隔离装置（共几台？），其中正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。根据实际情况删减，没有则删除本节

17、容5.4 纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线，采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。*千伏*变（或电厂）生产控制大区与调度数据网的纵向连接处设置了经过国家制定部分检测认证的电力专用纵向加密认证装置（共几台？），实现双向身份认证、数据加密和访问控制。5.5风险评估电力监控系统风险评估是通过威胁分析、脆弱性发现等手段对电力监控系统的安全风险状况进行了解和掌握的过程。其主要目的是发现电力监控系统现有的安全风险，并在对风险数据进行合理分析和判断的基础上为提高电力监控系统的安全水平提供数据依据和实施依据。根据发改委14号令要求，*千伏*变（

18、或电厂）建立电力监控系统安全评估制度，采取自评估为主、联合评估为辅的方式，并纳入电力系统安全评价体系。电力监控系统安全评估工作按照常态化、周期性进行。在电力监控系统的规划、设计、建设改造、运维和废弃都进行安全评估，确保系统全生命周期安全性。评估容主要包括以下几个方面物理环境脆弱性对自动化机房的物理环境进行了评估，重点在物理位置选择”、物理访问控制”、防盗窃和防破坏”、防雷击”、防火”、防水和防潮”、防静电”、温湿度控制”、电力供应”和电磁防护”等方面进行评估。网络安全脆弱性 重点对电力监控系统网网络架构和网络配置进行了评估，具体包括：对控制区（安全区）、非控制区（安全区）和信息管理大区的网络架

19、构和网络配置进行核实、并对整体的网络架构进行分析。网络安全脆弱性 通过对电力监控系统网络拓扑结构的分析，检查调度网中是否未安装专用纵向加密认证装置，能否有效抵御黑客、病毒、恶意代码等各种形式的恶意攻击和破坏，系统整体防护是否存在潜在风险等。 安全管理脆弱性 通过检查是否建立有效的自评估制度，以及是否进行周期性的检查发现并解决电力监控系统潜在的安全风险等。5.6主机加固站监控系统等关键应用系统的的主服务器以及网络边界的通信网关机、WEB服务器等，使用凝思（按实际填写）等安全加固的操作系统，提高系统的主机安全性和抗攻击能力。目前已通过主机安全配置、安全补丁、采用专用软件强化操作系统访问控制能力，并

20、对主机的光盘驱动、USB 接口、串行口等外置接口进行严格管理。5.7设备备用和数据备份定期对关键业务的数据与系统进行备份，备份的数据必须存储在可靠的介质中并与系统分开存放，并制定使用数据备份进行数据库故障情况恢复的预案。关键主机设备、网络设备或关键部件应当进行相应的冗余配置。5.8防恶意代码在恶意代码可能入侵的网络连接部位设置防护网关，拦截并清除企图进入系统的恶意代码，生产控制大区统一部署恶意代码防护系统，不得与管理信息大区共用一套防恶意代码管理服务器；定期查阅恶意代码防护系统的日志记录；病毒库、木马库、IDS规则库等进行定期更新升级，更新周期为半年。5.9入侵检测为了及时发现入侵行为，在生产

21、控制大区统一部署了IDS系统（1套），利用入侵检测技术，实时监控网络资源，精确识别各种入侵攻击，防止入侵造成危害。5.10安全审计服务器、网络设备等应当开启审计功能，审计日志应至少可保存半年以上。6.信息安全等级保护信息安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益等方面的重要程度以及风险威胁、安全需求、安全成本等因素，将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施，以保障信息系统安全和信息安全。根据电力行业信息系统安全等级保护定级指导意见，本发电厂监控系统符合等保二级（三级）要求，建成后会选择符合电力行业信息安全等级保护管理办法规定条件的测评机构，定期对电力信息系统安全等级状况开展等级测评。二级系统每两年一次，三级系统每年一次，并要求至当地公安系统进行备案。7.工作计划填写与电力监控系统安全防护相关的工作计划：对于新建的系统可以不予填写；对于已经投入运行的系统及设备，应当参照本方案限时整改，并提供整改计划按要