光伏电站监控系统安全防护实施方案资料.doc
《光伏电站监控系统安全防护实施方案资料.doc》由会员分享,可在线阅读,更多相关《光伏电站监控系统安全防护实施方案资料.doc(31页珍藏版)》请在咨信网上搜索。
1、XXX光伏电站监控系统安全防护实行方案 批 准: 审 核: 编 写: 地调批准: 地调审核: XXX公司监控系统安全防护实行方案1总则1.1XXX光伏电站监控系统属于宁夏电力监控系统安全防护体系管理范畴。1.2为了加强XXX光伏电站监控系统安全防护,保证电力监控系统及电力数据网络的安全,根据国家发改委第14号令电力监控系统安全防护规定、电力监控系统安全防护总体方案及其配套方案,制定本方案。1.4 XXX光伏电站监控系统的防护目的是抵御黑客、病毒、歹意代码等通过多种形式对电力监控系统发起的歹意破坏和袭击,以及其他非法操作,避免XXX光伏电站监控系统瘫痪和失控,并由此导致的电网一次系统事故。1.5
2、 本方案重点描述XXX光伏电站监控系统各业务系统的安全防护,按照电力监控系统安全防护总体方案安全分区的规定,基于系统业务的特点,拟定XXX光伏电站监控系统按照业务特点分为安全生产控制大区控制区和非控制区。 2.合用范畴21本方案合用于XXX光伏电站监控系统,范畴为XXX公司XXX光伏电站。22XXX光伏电站简介XXX光伏电站公司名称为XXX公司,位于XXX,距XXX变电站西北侧约2.4公里,于X年X月X日动工建设,于X年X月X日成功实现并网发电,总装机容量10MW,建设电池板组件所有采用固定式安装。公司光伏发电系统采用“分块发电,集中并网”的总体设计方案,建设有10个1MW光伏发电单元,每个1
3、MW光伏发电单元共安装X件XXX光伏板组件;每X件光伏组件串联为一种支路,共X个支路;每X个或X个支路并联接入一面直流接线箱;X面接线箱接入1面直流屏,共2面直流屏。每面直流屏浮现3回,分别接入X面XkW逆变器,逆变器输出300V三相交流,通过各自的交流电缆分别连接到1000kVA箱变内各自的低压侧断路器,升压后接至10kV线路。共2条集电线路接入综合楼高压配电室 10kV 母线后汇流1条10kV 高压线路汇流至10kV柳尚线。 由10kVX线输送至X电站,XXX光伏电站调度管辖权从属国网电力公司XXX调控中心管辖。3.系统概况3.1系统概述XXX光伏电站监控系统重要由服务器、工作站、各类装置
4、、网络设备、安全防护设备、操作系统、数据库、应用软件等部分构成。系统通过电力数据网络与上级调度机构进行业务通信。XXX光伏电站各业务通过104、102合同与调度主站有关系统通讯,发送实时遥信、遥测、电量、预测等信息,接受有功、无功控制命令。3.2级别保护定级按照级别保护定级备案规定,XXX光伏电站监控系统作为一种定级对象定为等保二级。4.XXX光伏电站监控系统安全防护实行方案4.1安全防护总体原则XXX光伏电站监控系统安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。 采用“纵深防御”方略和 “适度安全” 方略,安全防护重要针对基于网络的生产控制系统,重点强化边界防护,提高内部安
5、全防护能力,保证电力生产控制系统及重要数据的安全。 4.2安全分区根据安全分区原则,结合XXX光伏电站应用系统和功能模块的特点,将各功能模块分别置于控制区、非控制区和管理信息大区。XXX光伏电站监控系统安全分区表序号业务系统控制区非控制区管理信息大区1厂站监控系统厂站监控系统(AGC/AVC)2五防系统五防系统3电能质量在线监测电能采集装置4继电保护继电保护装置5故障录波故障录波装置6安全自动控制系统安全自动控制装置7光功率预测光功率预测系统外网服务器8OMS 客户端OMS 客户端9火灾报警系统火灾报警4.3网络专用电力调度数据网是为生产控制大区服务的专用数据网络,承载电力实时控制、在线生产交
6、易等业务。安全区的外部边界网络之间的安全防护隔离强度应当和所连接的安全区之间的安全防护隔离强度相匹配。 电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH 不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力公司其他数据网及外部公共信息网的安全隔离。 电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。可采用MPLS-VPN 技术、安全隧道技术、PVC 技术、静态路由等构造子网。 电力调度数据网应当采用如下安全防护措施: (1)网络路由防护 按照电力调度管理体系及数据网络技术规范,采用虚拟专网技术,将电力调度数据网分割为逻辑上相对独立
7、的实时子网和非实时子网,分别相应控制业务和非控制生产业务,保证明时业务的封闭性和高级别的网络服务质量。 (2)网络边界防护 应当采用严格的接入控制措施,保证业务系统接入的可信性。通过授权的节点容许接入电力调度数据网,进行广域网通信。数据网络与业务系统边界采用必要的访问控制措施,对通信方式与通信业务类型进行控制;在生产控制大区与电力调度数据网的纵向交接处应当采用相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务,应当通过纵向加密认证装置或加密认证网关接入调度数据网。 (3)网络设备的安全配备 网络设备的安全配备涉及关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF 路由功能、采
8、用安全增强的SNMPv2 及以上版本的网管合同、设立受信任的网络地址范畴、记录设备日记、设立高强度的密码、启动访问控制列表、封闭空闲的网络端口等。 (4)数据网络安全的分层分区设立 电力调度数据网采用安全分层分区设立的原则。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网(简称骨干网)。省调、地调和县调及省、地直调厂站节点构成省级调度数据网(简称省网)。 地调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用专用数据网络,不具有专网条件的也可采用公用通信网络(不涉及因特网),且必须采用安全防护措施。各层面的数据网络之间
9、应当通过路由限制措施进行安全隔离。本地调或配调内部采用公用通信网时,严禁与调度数据网互联。保证网络故障和安全事件限制在局部区域之内。 公司内部管理信息大区纵向互联采用电力公司数据网或互联网,电力公司数据网为电力公司内网。 4.4横向隔离4.4.1 横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设立经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的核心设备。生产控制大区内部的安全区之间应当采用品有访问控
10、制功能的网络设备、防火墙或者相称功能的设施,实现逻辑隔离。 4.4.2 按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传播。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传播,是管理信息大区到生产控制大区的唯一数据传播途径。反向安全隔离装置集中接受管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等解决后,转发给生产控制大区内部的接受程序。专用横向单向隔离装置应当满足实时性、可靠性和传播流量等方面的规定。 4.4.3 严格严禁E-Mail、WEB、Telnet、Rlogin、FT
11、P 等安全风险高的通用网络服务和以B/S 或C/S 方式的数据库访问穿越专用横向单向安全隔离装置,仅容许纯数据的单向安全传播。 控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相称功能的设施进行逻辑隔离。 4.5纵向认证4.5.1 纵向加密认证是电力监控系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传播以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设立通过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。临时不具有条件的可以采用
12、硬件防火墙或网络设备的访问控制技术临时替代。并接入到地调内网安全监控平台。 4.5.2 纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能,实现数据传播的机密性、完整性保护,同步具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的所有功能外,还应实现对电力系统数据通信应用层合同及报文的解决功能。 4.5.3 对处在外部网络边界的其她通信网关,应进行操作系统的安全加固,对于新上的系统应支持加密认证的功能。 4.5.4 重点防护的调度中心和重要厂站两侧均应配备纵向加密认证装置;当调度中心侧已配备纵向加密认证装置时,与其相连的小型
13、厂站侧可以不配备该装置,此时至少实现安全过滤功能。 4.5.5 老式的基于专用通道的数据通信不波及网络安全问题,新建系统可逐渐采用加密等技术保护核心厂站及核心业务。 4.6其她安全措施4.6.1防病毒本电站生产区域内的计算机信息系统,要与 Internet 网分开,并建立计算机病毒防火墙,对服务器,要采用先进的网络防计算机病毒软件,并对通过服务器的信息进行监控,避免计算机病毒通过邮件服务器扩散、传播。随时注意多种异常现象,一旦发现,应立即用查毒软件仔细检查。常常更新与升级防杀计算机病毒软件的版本。对生产区域内的要定点、定期、定人作查毒杀毒巡检。当浮现计算机病毒传染迹象时,立即隔离被感染的系统和
14、网络并进行解决,不应带“毒”继续运营;发现计算机病毒后,一般应运用防杀计算机病毒软件清除文献中的计算机病毒,对于杀毒软件无法杀除的计算机病毒,应及时请专业人员解决。对新购进的计算机及设备,为避免原始计算机病毒的侵害,要组织专业人员检查后方可安装运营;联网计算机、重要系统的核心计算机要安装防计算机病毒软件,并定期或及时更新计算机病毒防备产品的版本;要使用国家规定的、具有计算机使用系统安全专用产品销售许可证的计算机防计算机病毒产品。系统中的程序要定期进行比较测试和检查。严禁使用盗版软件,特别是盗版的杀毒软件,严禁在工作计算机上安装、运营各类游戏软件。4.6.2主机加固操作系统安全是计算机网络系统安
15、全的基本,而服务器上的业务数据又是被袭击的最后目的,因此,加强对核心服务器的安全控制,是增强系统总体安全性的核心一环。XXX光伏电站已完毕主机加固,主机加固软件为信达S-numen,强制进行权限分派,保证对系统资源(涉及数据和进程)的访问符合定义的主机安全方略,避免主机权限被滥用。4.6.3入侵检测当系统发生入侵行为或者违背安全方略的操作时,S-numen运用自身功能对顾客(程序)在网络层和系统内部对该顾客(程序)进行阻断,并且由系统向管理员进行报警。在报警条件中添加相应的报警规则,S-numen可对入侵行为和违背安全方略的顾客(程序)进行阻断。当有违背安全规则的状况浮现时,S-numen服务
16、器端会向特定的系统发送报警信息,S-numen监控程序会以多中方式进行报警。在后台可以提供告警。4.6.4安全日记审计日记审计和日记管理对于网络安全会起到重要作用,S-numen拥有独立的日记审计系统,通过以便的检索可以以便安全管理员的工作。S-numen的日记生成实在内核级上实现的,日记根据设立也可不生成,当生成时,还可以设立与否按项目设立生成,因此应视系统存储空间的大小进行合适设立来使用。S-numen提供多种检索功能,以便管理的工作。4.7二次安全防护实行方案拓扑图4.7.1功率预测及控制系统拓扑图通信接口类型:2路以太网接口,支持综自厂家的以太网103 规约;变电站内采用 GPS 卫星
17、对时,减少误码、乱码的也许性,提高设备的数据传播精确性,符合 IEC 61850 的有关原则。4.7.2监控系统安全防护总体构造图4.8安全防护设备清单设备名称型号数量生产厂家备注地调接入网路由器实时互换机非实时互换机纵向加密认证装置区调接入网路由器实时互换机非实时互换机纵向加密认证装置光功率预测反向隔离装置电力工业以太网互换机防火墙5.安全防护技术规定5.1生产控制大区内部安全防护技术规定(1)严禁生产控制大区内部的E-Mail服务,严禁控制区内通用的WEB服务,并进行安全加固。(2)容许非控制区内部业务系统采用B/S构造,但仅限于业务系统内部使用。容许提供纵向安全WEB服务,可以采用通过安
18、全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。(3)生产控制大区重要业务的远程维护必须采用身份认证机制。(4)生产控制大区内的业务系统间应当采用VLAN和访问控制等安全措施,限制系统间的直接互通。(5)生产控制大区应当统一部署歹意代码防护系统,采用防备歹意代码措施。病毒库、木马库以及IDS规则库的更新应当离线进行。(6)各层面的数据网络之间应当通过路由限制措施进行安全隔离,保证网络故障和安全事件限制在局部区域之内。附则1:XXX光伏电站电力监控系统安全防护管理制度总则1.1 为了防备黑客以及歹意代码等对电力监控系统的袭击侵害,保障我公司电力监控系统的安全可靠、稳定运营,提高电力监
19、控系统的安全管理水平,根据国家电监会颁布的电力监控系统安全防护规定(电监会5号令)及电力系统安全防护总体方案(电监安全34号),特制定本管理措施。1.2 本电站电力监控系统安全防护工作应当坚持安全分区、网络专用、纵向认证的原则。1.3 本电站电力监控系统安全防护工作以“安全第一、避免为主、综合治理,管理和技术并重”为方针,“遵循统一领导、统一规划、统一原则、统一组织开发”的原则。1.4 本管理措施合用于本电站电力监控系统,所有波及电力监控系统的规划、设计、系统改造、工程实行、运营管理等均应符合本管理措施的规定。1.5 引用原则及规范:1.5.1 电网和电厂计算机监控系统及调度数据网络安全防护规
20、定国家经贸委30号令。1.5.2 电力监控系统安全防护规定国家电监会5号令1.5.3 电力监控系统安全防护总体方案国家电监会电监安全34号文。管理职责2.1 本电站根据国家电监会电力监控系统安全防护总体方案规定,按照“谁主管谁负责,谁运营谁负责”的原则,建立电力监控系统安全管理制度,明确运营、检修、调试、和信息化等部门有关人员的安全职责。2.2 电力调度机构负责直接调度范畴内的下一级电力调度机构和变电站的监控系统安全防护的技术监督。本电站内波及到电力调度的生产控制系统和装置,如本电站的输入变电监控系统、电能质量采集装置、故障录波装置、继电保护装置和安全自动控制装置等,由电力调度机构和本电站主管
21、单位共同实行技术监督,本电站其她监控系统安全防护可由其上级主管单位实行技术监督。2.3 方案负责审核,对波及电力监控系统安全防护的产品选用提出指引意见。技术管理3.1 本电站电力监控系统安全防护工作必须坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。3.2 根据各自监控系统状况制定电力监控系统安全防护实行方案,防护实行方案应每年滚动修订、完善。3.3 波及电力监控系统安全防护的产品应具有国家网络与信息安全主管部门(国家能源局)承认的有关证明。3.4 未完毕电力监控系统安全防护措施前应制定安全防护改造应急措施。3.5 在对电力监控系统进行安全检查过程中
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电站 监控 系统安全 防护 实施方案 资料
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。