电厂电力监控系统安全防护方案.pdfVIP

***电厂电力监控系统安全防护 我厂根据相关文件要求，开展了电力监控系统安全防护的自查和 整改工作，在前阶段安全防护工作的基础上，对现有系统进行必要的 结构性边界调整或完善，重点对电力生产控制系统的边界采取有效的 安全防护措施；按照“安全分区、网络专用、横向隔离、纵向认证” 的基本原则，制定了本单位的监控系统安全防护方案如下： 1 总则 1.1设计依据 为了加强发电厂监控系统安全防护，确保电力监控系统及电力调 度数据网络的安全，依据《中华人民共和国网络安全法》、《电力监控 系统安全防护规定》（国家发展改革委第14 号令）、《电力监控系统安 全防护总体方案等安全防护方案和评估规范》（国能安全〔2015〕36 号）等文件规定，以及国家能源局相关文件、国家电网公司电力监控 系统安全防护相关管理规定的要求 1.2 设计范围 设计范围包括体系结构安全、系统本体安全、全方位安全管理、 安全应急措施、基础设施物理安全等五个方面。 2 电力监控系统安全防护的意义 发电厂监控系统安全防护意义是结合国家信息安全等级保护工 作的相关要求对电力监控系统从主机 、网络设备、恶意代码防范、 应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过 程。 3 电力监控系统安全防护总体要求 3.1 电力监控系统安全防护的特点 电力监控系统安全防护工作应当落实国家信息安全等级保护制 度，按照国家信息安全等级保护的有关要求，坚持“安全分区、网络 专用、横向隔离、纵向认证”的原则，保障电力监控系统的安全。 3.2 安全防护的目标及重点 发电厂监控系统的防护目标是抵御黑客、病毒、恶意码等通过各 种形式对发电厂监控系统发起的恶意破坏和攻击，以及其它非法操 作，防止发电厂电力监控系统瘫痪和失控，并由此导致的发电厂一次 系统事故。 发电厂安全防护的重点是强化发电厂监控系统的边界防护，同时 加强内部的物理、网络、主机、应用和数据安全，加强安全管理制度、 机构、人员、系统建设、系统维护的管理、提高系统整体安全防护能 力，保证电力监控系统及重要数据的安全。 3.3 安全防护总体策略 监控系统安全防护的总体原则为“安全分区、网络专用、横向隔 离、纵向认证、综合防护”。安全防护主要针对电力监控系统，即用 于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务 系统及智能设备，以及作为基础支撑的通信及数据网络等。 3.4 安全防护总体方案 根据《电力监控系统安全防护规定》的要求，水电厂监控系统原 则上划分为生产控制大区和管理信息大区。 生产控制大区可分为控 制区（安全区 I 区）和非控制区（安全区 II 区）和非控制区（安全 III 区） ，保证电厂监控系统的安全可靠。 4 电厂电力监控系统安全防护分析 4.1 电力监控系统现状 电力监控系统，是指用于监视和控制电力生产及供应过程的、基 于计算机及网络技术的业务系统及智能设备，以及做为基础支撑的通 信及数据网络等。 4.2 电力监控系统连接关系 4.3 电力监控系统接口边界 电力监控系统接口边界要求：接入电力监控系统的安全区Ⅰ及安 全区Ⅱ中的通用安全产品，必须使用经过国家有关安全部门认证的国 产产品；接入电力监控系统的专用安全产品必须使用国产产品并经过 有关的电力主管部门的认证；优先选用国家电力主管部门推荐的优秀 安全产品。 （一）横向边界防护 生产控制大区与管理信息大区边界安全防护：生产控制大区与管 理信息大区之间通信应当部署电力专用横向单向安全隔离装置。 控制区（安全区I）与非控制区（安全区II）边界安全防护：控 制区（安全区I）与非控制区（安全区II）之间应当采用具有访问控 制功能的网络设备、安全可靠的硬件防火墙。实现逻辑隔离、报文过 滤、访问控制功能，所选设备的功能、性能、电磁兼容性经过国家相 关部门的认证和测试。 电厂内同属于安全区I 的各机组监控系统、机组监控系统与控制 系统之间、同一机组的不同功能的监控系统之间，尤其是机组监控系 统与输变电部分控制系统之间，采取一定强度的逻辑访问控制措施。 电厂内同属于安全区 II 的各系统之间、各不同位置的厂站网络 之间，采取一定强度的逻辑访问控制措施。 （二）纵向边界防护 电厂生产控制大区系统与调度系统通过电力调度数据网进行