二次系统安全防护方案资料.doc
《二次系统安全防护方案资料.doc》由会员分享,可在线阅读,更多相关《二次系统安全防护方案资料.doc(13页珍藏版)》请在咨信网上搜索。
电力二次系统安全防护方案 签发: 审核: 编制: 目 录 1 适用范围 1 2、规范性引用文件 1 3、组织机构及职责 1 3.1 组织机构 1 3.2 职责 1 4、二次系统的现状及分区 2 4.1 二次系统现状 2 4.2 二次系统分区 3 5、技术防护措施 3 6、安全管理 8 6.1安全管理组织机构 8 6.2 安全评估的管理 9 6.3 安全策略的管理 9 6.4 设备、应用及服务的接入管理 9 6.5 安全管理制度 10 6.6 运行管理 11 6.7 应急处理 12 1 适用范围 1.1 为规范和统一XX风电场二次系统安全防护的方案设计和运行监管,重点防范对风电机监控系统、远动系统、电量计费系统、故障录波系统、故障信息管理系统、功角测量系统、市场报价终端和OA系统的攻击侵害及由此引起的电力系统事故,以保障XX风电场二次系统及机组的安全、稳定、经济运行。 1.2 本方案明确了XXX公司二次系统防护组织机构、二次系统安全区划分、技术措施、安全管理及防护方案等。 1.3 电气专业、应根据本方案的原则要求,结合本专业的实际情况,进行整改和防护。 2、规范性引用文件 《电力二次系统安全防护规定》(国家电力监管委员会[2004]第5号令) 《全国电力二次系统安全防护总体方案》(第7稿) 3、组织机构及职责 3.1 组织机构 组 长: 副组长: 成 员: 3.2 职责 3.2.1 组长、副组长职责 3.2.1.1 负责组织有关人员建立本单位所管辖的电力二次系统的安全防护体系 3.2.1.2 经常检查XX风电场的二次系统的安全防护的执行情况,定期组织有关人员对系统进行安全评估; 3.2.1.3 负责组织有关人员对XX风电场发生的安全事故进行认真分析并及时报告。 3.2.1.4 全面管理XX风电场的二次系统运行工作;掌握XX风电场二次系统的配置情况;熟悉二次系统的分布;了解二次系统安全情况;定期或不定期组织讨论二次系统安全情况,协调各专业之间接口安全问题。 3.2.2 成员职责 3.2.2.1 负责本专业应用系统已部署的安全产品的安全策略的设置和调整,对该产品日常运行进行精心的维护; 3.2.2.2 定期对安全产品的日志进行审计; 3.2.2.3 精心观察和分析该系统的安全状况,并及时上报组长、副组长。 3.2.2.4 使用数字证书管理系统进行数字证书的申请,生成、发放和撤消; 3.2.2.5 精心维护数字证书管理系统,保证系统的安全、可靠、稳定运行; 3.2.2.6 精心保护证书管理系统的数字证书,防止遗失; 3.2.2.7 参照国家对涉密设备的有关规定,建立有效的数字证书及密钥管理制度。 3.2.2.8 保护本专业的口令、数字证书、密钥等安全设施;一旦泄露或丢失,应该立即报告,对造成恶劣后果者,要按国家有关规定追究其责任。 3.2.2.9 全面掌握本专业二次系统的分区情况;掌握本专业二次系统的配置情况;掌握本专业二次系统的硬件设置情况及接口、数据流向等;做好本专业的数据备份;做好本专业二次系统的管理工作。 4、二次系统的现状及分区 4.1 二次系统现状 主要有以下系统: A 远动终端设备(RTU),包括AGC、AVC功能 B 故障录波系统; C 电量计量系统; D 故障信息管理系统; E 市场报价终端; F 管理信息系统(MIS) G 功角测量系统 H 风电机监控系统 I 继电保护 J 调度专网 各系统之间联系如下: AVC 远动RTU AVC上位机 信息子站 功角测量 经济调度 GPS 各种故障录波柜 线路保护 调度专网 中调 电量计量系统 DCS系统 接口机 网闸 接口机 MIS系统 通讯系统 4.2 二次系统分区 Ⅰ区为控制区:风电机监控,AGC,AVC,RTU,功角测量,继电保护 Ⅱ区为非控制区:信息故障管理系统,调度专网,电量计费系统,故障录波 Ⅳ区为管理信息区:管理信息系统(MIS) 5、技术防护措施 5.1 由I、II区组成的系统包含计算机、通信、自动控制和显示等技术,是通常概念上的机组级风电机监控/PLC系统。其内部通信/控制协议是标准协议(如TCP/IP,DECnet,Telnet等),也可以是专用协议。要求该系统为全封闭的闭环系统,绝对禁止任何外部访问。系统内部使用者必须有清晰的操作权限级别。此系统提供数据接口能主动对外传送数据,应通过数据采集(前端)机从计算机接口单元(模件)采集数据,必须是单向数据传输,将数据单向提交给管理信息系统(MIS)。 结构图如下: XXX公司风电机监控网络图 5.2 II区中的电能量计量系统只允许接受调度端电能量计量系统的拨入请求,不允许直接拨入调度端,且厂站端电能量计量系统与XX风电场其它的业务系统不存在网络方式连接,该拨入连接不做进一步的安全防护。 电能量计量系统拓扑图如下: 220KV龙连线主表 220KV龙连线副表 #1发电机电度表 #2发电机电度表 #1高厂变电度表 #2高厂变电度表 电能采集终端(HL3104) 多业务平台 双网光配 网关CISCO 3800 SERIES-200 中调 GPS通讯 5.3 II区中的故障录波系统现已拆除与其他系统的联系。 5.4 II区中的故障信息管理系统采集各保护装置、故障录波装置的数据后双绞线传送至调度专网。不需作进一步安全防护。 继电保护故障信息管理系统拓扑图如下: 220KV龙连线RCS-931光纤差动保护 220KV龙连线NSR-302光纤距离保护 #1发变组保护故障录波柜 #2发变组保护故障录波柜 220KV龙连线故障录波柜 故障信息管理系统 非实时交换机 加密网关SJY99 7200路由器9 多业务平台9 双网光配 防火墙Cisco 3800 series 中调 NEC155M光设备 GPT155M光设备 5.5 非控制区中的调度专网系统是二次设备和省公司通信的重要设备,需加装纵向加密认证装置。现阶段XX风电场的实际连接图如下: 中调 RTU-A RTU-B SMU(功角测量)-A SMU(功角测量)-B 经济调度1 信息子站 经济调度2 (satasyst 2960 series) 实时交换机 (satasyst 2960 series) 非实时交换机 纵向加密网关 SJY99 纵向加密网关 SJY99 7200路由器(cisco 7200 seriex vxr) 多业务平台(MSAP-E3300) 电量采集系统(双网光配) 220KV龙连线主表 220KV龙连线副表 #1发电机电度表 #2发电机电度表 #1高厂变电度表 #2高厂变电度表 电能采集终端(HL3104) 网关防滑强(cisco 3800 series) NEC155M光设备 GPT155M光设备 5.6安全Ⅳ区中的管理信息系统(MIS),MIS系统设计已完成,正处于施工阶段,在投运时加装隔离网闸,并断开Internet网的连接。 5.7 XX风电场二次系统安全防护实际情况图如下: 6、安全管理 6.1安全管理组织机构 二次系统安全防护组织机构 6.1.1安全分级负责制 6.1.1.1 本着“谁主管,谁负责”的原则,落实二次系统的各专业的安全责任; 6.1.1.2 安全防护组组长负责XX风电场的二次系统网络的安全管理,是安全管理第一负责人。 6.1.1.3 热工、电气专业负责人所属范围内计算机及数据网络的安全管理; 6.1.1.4 各专业对所属范围内计算机及数据网络络设置安全防护小组或专职人员,负责设备的日常维护及管理,是设备的直接负责人。 6.2 安全评估的管理 6.2.1 XX风电场关键系统应配备必要的安全扫描及检测工具,自己进行常规安全检查。 6.2.2 安全评估的内容包括:风险评估、攻击演习、漏洞扫描、安全体系的评估、安全设备的部署及性能评估、安全管理措施的评估等; 6.2.3 安全评估过程的任何记录、数据、结果等均不容许以任何形式携带出XX风电场。 6.3 安全策略的管理 6.3.1 对新建的二次系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 6.3.2 对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 6.3.3 对安全体系的各种日志(如:入侵检测日志等)审计结果进行认真的研究,及时发现系统的安全漏洞; 6.3.4 定期分析本系统的安全风险及漏洞、分析当前黑客非法入侵的特点,及时调整安全策略。 6.4 设备、应用及服务的接入管理 6.4.1 在已经建立安全防护体系的二次系统中,接入任何新的设备和应用及服务,均必须立案申请备案,经过XX风电场二次系统防护安全组长的审查批准后,方可在专人的监管下实施接入。 6.4.2 二次系统的安全区Ⅰ及安全区Ⅱ中的工作站、服务器原则上不得开通拨号功能;若确需开通拨号服务,必须配置强认证机制,否则该应用必须与安全区Ⅰ及安全区Ⅱ彻底隔离。 6.4.3 在所有二次系统的安全区Ⅰ及安全区Ⅱ中的任何工作站、服务器均严格禁止以各种方式开通与互联网、其它安全区及任何外部网络的连接。各专业负责人负责监督检查。 6.4.4 二次系统的安全区Ⅰ及安全区Ⅱ中的PC机及其它微机原则上应该将软盘驱动、光盘驱动、USB接口拆除,或通过安全管理平台实施严格管理,以防止病毒等恶意代码的传播。各专业负责人负责监督检查。若个别PC机确有必要插接USB-key,应该严格管理; 6.4.5 接入二次系统的安全区Ⅰ及安全区Ⅱ中的通用安全产品,必须使用经过国家有关安全部门认证的国产产品;接入二次系统的专用安全产品必须使用国产产品并经过有关的电力主管部门的认证;优先选用国家电力主管部门推荐的优秀安全产品。 6.5 安全管理制度 6.5.1、严格管理各终端设备的接口使用。把相关二次系统终端设备的USB接口和光驱接口采用拆除、贴封条等方式禁止无关人员使用;必须要进行接口连接作业的,要进行登记记录,并对外连设备进行杀毒确认后才可进行。对终端设备的用户登录口令加强管理,禁止有弱口令和空口令的现象;对重要的机组控制风电机监控终端设备加装硬件狗;禁止二次系统设备终端之间有物理上的连接。 6.5.2、在纵向加密装置没有安装之前,必须要从电力市场下载的数据或资料,每次下载只能使用专用移动硬盘,经过格式化杀毒后才能从机房的客户端下载,严禁从集控室终端下载,集控室终端只能利用与其相连的打印机打印相关通知等重要内容。电力市场机房的客户端和服务器之间连接加装硬件防火墙保护,机房要有非专业人员进出登记记录。电力市场系统安装的KILL安全胄甲安全软件,要不定期的在省电力公司的主站上进行升级,并定期进行杀毒作业。 6.5.3、加强二次设备的巡视力度。对工程师站、机房、励磁间、UPS电源和直流电源间、电子间等重要二次系统设备和二次系统设备相对集中的地方,每个工作日至少要巡视一遍并进行记录。对巡视中发现的缺陷和隐患及时消除,定期对设备维护记录和消缺记录进行分析、归纳。 6.5.4、定期对各二次系统终端设备数据进行数据备份,整理和收集相关资料。以备异常情况下的数据恢复和设备重启。 6.5.5、加强对现有二次设备公共安全设施的管理,禁止通过任何方式对外泄露本单位的网络安全防护情况。 6.5.6、加强对二次系统设备的专业管理.对专用硬盘,数据备份等,采用专人负责,专人管理的方式,严禁其他人员接触. 6.6 运行管理 6.6.1 人员管理 明确各级人员的安全职责,经常进行安全防护培训,定期检查各级人员安全职责的实施情况。 6.6.2 权限管理 针对不同专业的二次系统,对不同的用户实体、不同的使用人员赋予相应的访问权限和操作权限。 6.6.3 访问控制管理 操作人员登录进入关键的业务系统(如电力交易系统)实施双因子安全访问控制,应持有数字证书和口令;对关键的控制操作应该进行身份认证及操作权限控制。 6.6.4 安全防护系统的维护管理 在二次系统的各个安全区分别设立安全防护系统的软硬结合的维护机制,负责采集有关各个安全装置的日志记录、状态,并进行综合处理,以便及时发现安全事故、非法入侵、安全漏洞以及安全装置的故障。 6.6.5 常规设备及各系统的维护管理 在保证二次系统的正常运行的前提下,为了加强系统的安全性和实时性,及时妥善处理安全故障,应该: 6.6.5.1、对常规设备及各系统的安全漏洞及时进行防护或加固; 6.6.5.2、保管好各个设备及各系统的维护资料及维护工具; 6.6.5.3、制定各系统及设备故障处理的预案,准备好故障恢复所需的各种备份,并经常进行预演; 6.6.5.4、及时了解相关系统软件(操作系统、数据库系统、各种工具软件)漏洞发布信息,及时获得补救措施或软件补丁,及时对软件进行加固; 6.6.5.5、一旦出现安全故障应该及时报告、保护现场、恢复系统。 6.6.6 数据及系统的备份管理 6.6.6.1 数据备份 二次系统的实时数据库以及历史数据库必须定期进行备份,备份的数据必须存储在可靠的介质中并与系统分开存放;并制定详尽的使用数据备份进行数据库故障恢复的预案,并进行预演。 6.6.6.2 运行环境与应用软件的备份 6.6.6.2.1 二次系统的计算机操作系统、应用系统要有存储在可靠介质的全备份,软件以及计算机和网络设备的配置和设置的全部参数及也必须进行备份;与系统安装和恢复相关的软硬件、资料等应该放置在安全的地方; 6.6.6.2.2 制定完善可靠的针对系统各种故障状态使用备份进行系统快速恢复的方案。方案必须经过充分的测试,以保证实施的完全可靠。 6.6.7 用户口令、密钥及数字证书的管理(整改完成后) 6.6.7.1 口令的管理 6.6.7.1.1 人员的登录名及口令设立必须按照规定流程进行相应审批; 6.6.7.1.2 人员的登录名及口令应该具有足够的长度和复杂度,及时更新; 6.6.7.1.3 系统的超级管理员的登录名及口令必须由专人保管和修改,严格限定使用范围; 6.6.7.1.4 用户丢失或遗忘登录名及口令,必须通过规定的流程向管理员申请新的登录名及口令; 6.6.7.1.5 用户调离单位后,管理员必须立即注销其登录名并取消其相应的权限。 6.6.7.2 密钥和数字证书的管理 6.6.7.2.1 必须设立专职人员使用专用设备对密钥和数字证书进行管理(注册证书、分发证书、撤消证书、使用证书); 6.6.7.2.2 数字证书中的有关信息一旦失效,应该将证书及时撤消; 6.6.7.2.3 数字证书持有人必须妥善保护证书,不容许转借他人,遗失后必须立即报告;6.6.7.2.4 如果由此造成严重后果,必须按有关规定严肃处理; 6.6.7.2.5 建立可靠的数字证书丢失之后的注销机制; 6.6.7.2.6 建立定期更新数字证书的机制。 6.7 应急处理 二次系统必须制定应急处理方案,并必须经过预演或模拟验证。 6.7.1 一旦出现安全事故(遭到黑客、病毒攻击和其他人为破坏),必须立即采取安全应急措施,及时向厂部及安全防护小组报告。并进行事故现场的保护,认真进行事故的分析; 6.7.2 发现系统正被黑客攻击的维护:一旦发现攻击,应该按照按预先制订的应急方案进行处理。根据不同情况分别采用加强保护、中断对方连接、反跟踪以及其它处理措施; 6.7.3 灾难恢复维护:当系统因自然或人为的原因遭到破坏,应当按照预先制定的应急方案实施系统恢复,可采用立即完全恢复、部分恢复或启用备份系统恢复(保护现场)等措施。 XXX公司 年 月 日 11- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 二次 系统安全 防护 方案 资料
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文