电厂电力监控系统安全防护方案.pdf

word格式文档X电厂电力监控系统安全防护方案编制：审核：批准：*公司专业整理word格式文档*第1章电力监控系统安全防护方案一、总体概况*共装*机组,其中*机容量*MW,*机容量*MW,于*年投运，接入福 建电力调控中心和*集控中心。包括：*机组*系统、*升压站*系统、调度 数据网以及厂级实时监控系统、*系统、*系统、*系统等。二、安全分区按照电力二次系统安全防护规定，原则上将发电厂基于计算机及网络技 术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性 和对一次系统的影响程度再将生产控制大区划分为控制区（安全区I）及非控 制区（安全区n）,重点保护生产控制以及直接影响电力生产（机组运行）的系 统。按照表2.1中示例，列举并说明厂内全部电力监控系统的安全分区情况（包括集控中心）。专业整理word格式文档表2.1安全分区表序号业务系统及设备控制区非控制区信息管理大区备注1调速和自动发电功能AGC调速、自动发电控制A12故障录波故障录波装置B3火电厂级信息监控系统监控功能优化功能管理功能A24电量采集装置电量采集装置Al、B注：A1:与调控中心有关的电厂监控系统A2:电厂内部监控系统B:调控中心监控的厂站侧设备与调控中心无关的电力监控系统不接入调度数据网。三、网络专用按3.1和3.2节示例要求,列举并说明厂内全部电力监控系统的网络描述（包括集控中心）。3.1调度数据网专业整理word格式文档 画出厂内调度数据网设备网络拓扑图，并说明使用的网络协议和通信方式。填写表3.1:网络描述及设备清单。描述网络的组网方式及拓扑结构。表3.1:网络描述及设备清单名称用途是否使用独立网络 设备组网（请具体 说明）是否与其他网络相 连（请具体说明）调度数据网生产控制大区专用网络是，独立设备组网否名称及数量厂家及型号用途详细配置安全加固措施路由器（*台）华三S1200省调接入网路由器名称及数量厂家及型号用途详细配置安全加固措施交换机华三S1200省调接入网交换机专业整理word格式文档（*台）3.2 升压站站控层网络 画出升压站站控层网络拓扑图，并说明使用的网络协议和通信方式。填写表3.2:网络描述及设备清单。描述网络的组网方式及拓扑结构。表3.2:网络描述及设备清单名称用途是否使用独立网络设备组 网（请具体说明）是否与其他网络相 连（请具体说明）升压站站控层网络保护、测控等装置与后台、远动机通信是，独立设备组网是，与机组控制系统通过4-20mA小信号线互联与调度数据网I区交换机通过双绞线互联名称及数量厂家及型号用途详细配置安全加固措施专业整理word格式文档路由器（梏）名称及数量厂家及型号用途详细配置安全加固措施交换机（饴）华三S1200构建站控层A网3.3 其他网络（根据现场实际情况补充）四、横向隔离按4.1节示例要求，列举并说明厂内全部电力监控系统的横向隔离情况（包括集控中心）。4.1 生产控制大区与非生产控制大区的安全隔离填写表4.1:安全设备描述及清单。表4.1:安全设备描述及清单专业整理word格式文档名称及数量厂家及型号用途详细配置（可截图）安全加固措施横向隔离装置（*台）科东stonewall-2000*系统同*系统正向数据传输策略：系统配置：等详细列出已采取的安全加固措施。名称及数量厂家及型号用途详细配置（可截图）安全加固措施防火墙（*台）东软NETeye5200*系统同*系统数据传输Afe mA?束略.系统配置：等详细列出已采取的安全加固措施。4.2 生产控制大区与信息管理大区的安全隔离4.3 非生产控制大区与信息管理大区的安全隔离专业整理word格式文档4.4 安全接入区的安全隔离五、纵向认证按5.1节示例要求，列举并说明厂内全部电力监控系统的纵向认证情况（包括集控中心）。5.1 生产控制大区与电力调控中心的纵向认证填写表5.1:安全设备描述及清单。表5.1:安全设备描述及清单名称及数量厂家及型号用途详细配置（可截图）安全加固措施纵向加密装置（*台）南瑞netkeeper2000I区省调接入网同中调通信隧道：策略：系统配置：等详细列出已采取的安全加固措施。5.2 生产控制大区与集控中心的纵向认证专业整理word格式文档5.3 in区与调控中心的纵向认证5.4 安全接入区与公网的纵向认证六、整体安全防护现状 要求图6.1中画出厂内各系统的互联关系，并说明各系统间的互联方式及相 关安全防护措施,按要求填写表格6.L6.2,及附表。要求在表格6.1中列出接入电厂内各系统的厂外网络类型（互联网、集团 网、政府专网、集控中心专网、调度数据网等）。*电厂电力监控系统总体方案的框架结构图：专业整理word格式文档外部网络安全接入区生产控制大区MI系统电力调度生产管 理系的S;1电力企,业综合 数据网信息管理大区Q6.1*电厂系统安全部署示意图外部网络P4P1控制大区P2非控制大区P3信息管理大区P4外部网络P5安全接入区Q防火墙隔离设备=5纵向加密专业整理word格式文档表格6.1*电厂监控系统安全分区表（按实际情况填写）序号控制大区（图中P1）/厂外网络接入类型非控制大区（图中P2）/厂外网络接入类型信息管理大区（图中P3）/厂外网络接入类型1NCS系统（含AVC、AGC功能模块）调度数据网电量采集装置调度数据网调控管理系统工作站电力综合if信数据网2PMU调度数据网故障录波装置调度数据网,3保信子站调度数据发电计划工作调度数据专业整理word格式文档网站网4机组控制系统无SIS系统无5表格6.2*电厂监控系统接口描述表（按实际情况填写）编号接口描述数据传输方向数据类型通信方三10NCS系统AGC模块与机组控制系统接口AGC模块-机组控制系统AGC指令值4-20mA11机组控制系统与SIS系统接口机组控制系统-SIS系统接口机组实时数据双绞线，专业整理word格式文档12SIS系统接口与MIS系统接口SIS系统-MIS系统生产数据双绞线专业整理word格式文档七、控制大区系统概况参照模板，补充各大区的全部系统的概况及其相应示部署意图和网络连接 图（集控中心也按各大区分类补充）。控制大区主要包括：自动发电控制模块（AGC）、自动电压控制模块（AVC）、升压站监控系统（NCS）、相量测量装置（PMU）、保护信息子 站、相应调度数据网安防及网络设备、*等。NCS系统现状NCS系统采用的是*公司的*系统，提供对*电厂的*功能，为外部*系 统提供*数据，部署在安全控制大区，通过远动设备与调度之间使用纵向加密 设备传输*数据。*系统主要包括*模块、*装置等。*系统的边界防护的措 施较为完善，与*系统之间存在数据交互，部署了电力行业*装置进行了隔 离，与*系统之间通过串口线连接。（按实际情况编写）（2）AGC模块现状AGC系统采用的是*公司的*系统，提供对*电厂的功率调节功能，为外 部*系统提供*数据，部署在控制大区，通过远动设备与调度之间使用纵向加 密设备传输*数据。（按实际情况编写）（3）AVC模块现状（N）*系统现状专业整理word格式文档7.1.1控制大区系统部署示意图:要求详细画出厂内控制大区内全部系统，并说明各系统互联情况及相关安全防护措施,并填写表格711。地调接入网I区纵向加密省调接入网 I区纵向加密地调接入网 I区交换机图7.1.1控制大区系统部署示意图表格7.1.1*电厂监控系统接口描述表（按实际情况填写）编接口描述数据传输方向数据类型通信方式及安全防护措专业整理word格式文档7.1.2控制大区系统实际网络连接图：号协议施10NCS系统AGC模块与机组控制系统接口AGC模块-机组控制系统AGC指令值4-20mA 小信号无11PMU采集器与 机组控制系统接 口PMU采集器-机组控制系统PMU采集数据4-20mA 小信号和硬接线无要求详细画出控制大区内全部系统，及所使用的全部网络、安全设备（包括调度数据网设备），并说明设备型号、各端口用途。八.非控制大区系统概况九.信息管理大区系统概况十、安全接入区概况专业整理word格式文档十一、集控中心控制大区系统概况第2章电厂电力监控系统安全管理概况一、规章制度要求列出与网络安全相关的管理制度，并将材料作为附件上传（根据实际情况上报）。序号名称编制日期二、相关人员职责要求列出相关人员职责与名单，并将材料作为附件上传（根据实际情况上报）。序号姓名LL4冈位职责联系方式专业整理word格式文档三、应急预案要求列出相关的应急预案，并将材料作为附件上传（根据实际情况上报）。序号名称编制日期第3章等级保护一、信息安全等级保护 要求各电厂根据实际情况说明是否完成电力监控系统定级、备案工作，且开展定期测评。序号12系统所属单位名称系统名称系统定级情况备案情况测评工作情况系统等级备案号公安机关测评单位上次测评时间*系*福建省公安厅专业整理word格式文档第4章通用安全防护措施要求各电厂依据国能安全2015年36号文件和国网福建电力调控中心关于印 发福建电力监控系统安全防护专项检查回头看工作方案的通知（调自 201659号）补充通用防护措施的开展情况（根据实际情况上报），按照 示例补充各章节内容。一.物理安全要求各电厂列出厂内机房环境及UPS电压等物理设施信息，补充下表。名称温湿度监控设备部署情况防潮、防水情况视频监控系统部署情况 自动化机房名称设备容量当前负载设备冗余情况UPS间环境UPS电源专业整理word格式文档二、主机加固要求各电厂列出厂内全部主机信息，补充下表。名称及数量厂家及型号操作系统类型用途主机加固情况服务器（*台）联想P7000凝思详细列出主机的加固措施，如取消主机默认路由，关闭无用端 口,密码复杂度 等名称及数量厂家及型号操作系统类型用途主机加固情况工程师站（*台）联想P7000凝思详细列出主机的加固措施，如取消主机默认路专业整理word格式文档由，关闭无用端口，密码复杂度等三、恶意代码防范 此处描述是否部署有恶意代码防范，若有，说明部署的安全区、厂家、型号、版本、更新周期等四、入侵检测 此处描述是否部署有入侵检测，若有，说明部署的安全区、厂家、型号、版本、更新周期等。五、备用与容灾 此处描述对关键业务数据的备份管理，如主机双机热备，数据定期备份，网络设备和关键部件的冗余配置等。六、远程拨号访问 此处说明厂内是否存在远程拨号访问，如有则说明访问方式、安全防护措施和审计行为等。七、安全审计专业整理word格式文档此处说明网络设备、操作系统、数据库、业务应用等开启审计功能，对操作行为进行安全审计等。八、其它第5章自我评估要求各电厂认真学习电力监控系统安全防护总体方案及发电厂监控系 统安全防护方案（国能安全201536号），摸排本厂电力监控系统现 状，列出不符合文件要求的安全隐患点，并评估、说明改造难易度。备注：表示各电厂需补充的内容。专业整理