发电厂电力监控系统安全防护方案(模板格式)-风电场

1、PAGE12国电玛依塔斯风电一场电力监控系统安全防护技术方案（风电场）编制：（场站网络安全专责）审核：（发电集团信息安全主管部门）批准：（发电集团分管领导）单位名称（加盖公章）xxxx年xx月xx日方案编制依据中华人民共和国计算机信息系统安全保护条例国务院1994年147号令（2011年修订）电力监控系统安全防护规定中华人民共和国国家发展和改革委员会2014年第14号令电力行业网络与信息安全管理办法 国能安全2014317号电力行业等级保护管理办法 国能安全2014318号电力监控系统安全防护总体方案 国能安全201536号总体目标和原则总体目标确保国电玛依塔斯风电一场电力监控系统和电力调度数

2、据网络的安全，能够抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。总体原则坚持“安全分区、网络专用、横向隔离、纵向认证”总体原则，重点强化边界防护，同时强化系统综合防护，提高厂站电力监控系统内部安全防护能力，保证新疆电网电力生产控制系统及重要数据的安全。安全防护方案电力监控系统概述国电玛依塔斯风电一场于2012年12月25日正式并网运行，站内电力监控系统合计*套，分别是*、*、。具体分析如下：风电场监控系统（生产/集成厂家为国电联合动力，投运时间2012年12月）系统结构参见附图1*电厂网络安全

3、拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1一期服务器iRack/konotronUnix/2二期服务器iRack/konotronUnix/一期工作站OPTIPLEX380 (戴尔)Windowsxp/2003serbice back3二期工作站 OPTIPLEX3010 (戴尔)Windowsxp/2002serbice back33一期交换机clsco/Catalyst2960二期交换机HWAWEI/S37004*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入TCP/IP数据输出网络边界：简要说明系统横向

4、和纵向网络边界，重点说明与其他系统在硬件上的分界面。无功电压控制系统（生产/集成厂家为山东泰开，投运时间2012年12月）系统结构参见附图1玛依塔斯风电一场网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1SVC服务器2SVC工作站联想/扬天2900DWindowsxp/20023*交换机4*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。发电功率控制系统（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全

5、拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1AGC服务器Norco/rich-300Windows7/20102AGC工作站联想/扬天W46900d-10Windowsxp/20023*交换机HWAWEI/S37004*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。升压站监控系统（生产/集成厂家为北京四方，投运时间2012年12月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操

6、作系统类型/版本号数据库类型/版本号1变电站监控服务器TIPLEX390(戴尔)Windowsxp/2002serbice back3Pgsql/变电站监控工作站OPTIPLEX3010(戴尔)Windowsxp/2002serbice back3Pgsql/变电站交换机北京四方/CSC-187E系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。相量测量装置PMU（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号

7、操作系统类型/版本号数据库类型/版本号1PMU服务器北京四方/CSC-361234系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。五防系统（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1五防服务器戴尔/OPTIPLE780Windowsxp/2002234系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重

8、点说明与其他系统在硬件上的分界面。故障录波（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1故障录波服务器深圳双合/SH2000C-CRU2故障录波工作站GREAT/WALL-M156Windows2000/scvicopk434系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。保信子站（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组

9、成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1*服务器2*工作站3*交换机4*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。电能量采集装置（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1电能质量服务器Nexus-1500234系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横

10、向和纵向网络边界，重点说明与其他系统在硬件上的分界面。风功率预测系统（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1内网服务器惠普/proliantDL28896Unix/2*工作站3交换机HUAWEI/secoway usg20004*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。状态监测系统（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网

11、络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1稳控装置主机南瑞/RCS-9922稳控装置从机南瑞/RCS-9903*交换机4*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。测风塔系统（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1测风塔服务器戴尔/POWEREDGER710Windowsxp/200

12、22*工作站3测风塔交换机华为/secoway usg20004*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。天气预报系统（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1天气预报服务器惠普/proliantDL28896Unix/2*工作站3风功率交换机HUAWEI/secoway usg20004*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传

13、输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。管理信息系统MIS（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1*服务器2*工作站3*交换机4*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。其他（生产/集成厂家为*，投运时间*年*月）系统结构参见附图1*电厂网络安全拓扑图系统硬件组成、操作系统及数据库序号设

14、备名称生产厂家/型号操作系统类型/版本号数据库类型/版本号1*服务器2*工作站3*交换机4*磁盘阵列系统数据流及网络边界数据类型数据内容数据交互对象传输方式数据流入数据输出网络边界：简要说明系统横向和纵向网络边界，重点说明与其他系统在硬件上的分界面。安全分区安全一区部署系统包括：风电场监控系统、无功电压控制、发电功率控制、升压站监控系统、相量测量装置PMU、五防系统，安全一区横向网络边界设备为无，纵向网络边界设备为省调I区纵向加密；安全二区部署系统包括：故障录波、保信子站、电能量采集装置、风功率预测系统。安全二区横向网络边界设备为无，纵向网络边界设备为II区纵向加密装置；管理信息大区部署系统包

15、括：测风塔系统、天气预报系统、管理信息系统MIS。管理信息大区横向网络边界设备为无，纵向网络边界设备为省调三区纵向加密装置。网络专用电力通信传输通道（2*2M）有2条三区D-MIS(1*2M)，互联网（宽带）接入有2条， 序号通信通道通道数量通信通道类型1省调调度数据网2电力通信传输通道，2*2M2省调OMS通道1电力通信传输通道，1*2M3地调调度数据网2电力通信传输通道，2*2M45横向隔离生产控制大区与管理信息大区边界安全防护生产控制大区*套系统与管理信息大区系统存在数据交互，按36号文要求应部署电力专用横向单向隔离装置，具体方案如下：电力专用横向单向隔离装置部署方案序号隔离装置数量部署

16、位置跨安全区业务数据交互需求1反向隔离装置1功率预测系统交换机与天气预报系统之间功率预测服务器与天气预报服务器数据交互23安全一区与安全二区边界安全防护安全一区一套系统与安全二区系统存在数据交互，按36号文要求应采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设备，实现逻辑隔离、保温过滤、访问控制等功能，本方案采用硬件防火墙，具体部署方案如下：硬件防火墙部署方案序号硬件防火墙数量部署位置业务数据互访需求1百兆硬件防火墙1站控安全一区与安全二区之间远动装置与风功率预测服务器进行数据交换2百兆硬件防火墙1站控层三区与外网风功率预测服务器与互联网数据交换系统间安全防护根据36号文要

17、求，同属于同一安全区的应用系统之间根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN等，本方案采用VLAN实现逻辑隔离，具体方案如下：安全一区VLAN配置方案序号系统名称VLAN-id访问控制策略配置要求1风电场监控系统100允许功率控制系统功率控制服务器访问2测风塔系统200允许功率控制系统功率控制服务器访问发电功率控制系统300允许风电场监控系统web服务器访问安全二区VLAN配置方案12纵向认证根据36号文要求，发电厂生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时，应当采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护，本方案采用电力

18、专用纵向加密认证装置，具体方案如下：纵向加密认证装置部署方案序号纵向加密认证装置数量部署位置配置要求1省调2省调接入网路由器与一、二区交换机之间各1台使用省调颁发的调度数字证书2地调2地调接入网路由器与一、二区交换机之间各使用地调颁发的调度数字证书3省调OMS通道1管理信息大区与调度使用发电集团的调度数据网三区交换机之间1台4其他安全措施防病毒可以采取的方式包括（实际编制方案，以下方式自行确定选择一个）：部署网络版（单机版）防病毒软件，增加1台防病毒服务器，采用离线方式升级病毒库，站端各应用系统服务器/工作站将防病毒服务器设置为升级管理中心，实现局域网内网络方式自动升级病毒库。部署防病毒网关。考虑防病毒网关无法解决移动存储介质导致给站端各应用系统服务器/工作站带来病毒/恶意代码威胁，拟配合主机加固措施，限制移动存储介质的使用。部署可信计算安全模块。原则上，防病毒措施应覆盖站端电力监控系统所有的服务器、工作站，采用基于UNIX/LINUX内核的专用操作系统设备（如远动装置）可以不作考虑，采用非安全操作系统的则必须制定防病毒措施。主机加固说明生产控制大区系统或设备帐号、口令、权限、网络服务、访问控制策略、审计策略、漏洞补丁等涉及操作系统、数据库及应用系统的安全加固措施，配置策略应细化至IP地址（段）和使用的端口