电力监控系统安全防护总体施工组织设计及对策.docVIP

- - w - 目 次 TOC \o 1-3 \h \u 26565 1 总则 2 29148 2 安全防护方案 2 2034 3 通用安全防护措施 11 10959 4 安全管理 12 19529 5 安全防护评估 14 23896 6 附则 15 20134 附录1 相关安全防护法规和标准 16 15997 附录2 主要术语中英文对照 17 1 总则 1.1 本方案确定了电力监控系统安全防护体系的总体框架,细化了电力监控系统安全防护总体原则,定义了通用和专用的安全防护技术与设备,提出了梯级调度中心、发电厂、变电站、配电等的电力监控系统安全防护方案及电力监控系统安全防护评估规 。 1.2 电力监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对电力监控系统,即用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备, 以及作为基础支撑的通信及数据网络等。重点强化边界防护,同时加强部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理,提高系统整体安全防护能力, 保证电力监控系统及重要数据的安全。 1.3 电力监控系统安全防护是复杂的系统工程,其总体安全防护水平取决于系统中最薄弱点的安全水平。 电力监控系统安全防护过程是长期的动态过程, 各单位应当严格落实安全防护的总体原则, 建立和完善以安全防护总体原则为中心的安全监测、响应处理、安全措施、审计评估等环节组成的闭环机制 。 1.4 本方案适用于电力监控系统的规划设计、项日审查、工程实施、系统改造、运行管理等。 2 安全防护方案 根据?电力监控系统安全防护规定?的要求,电力.监控系统安全防护总体方案的框架结构如图1所示。 生产控制大区 管理信息大区 生产控制大区 管理信息大区 图例：正向安全隔离装置 反向安全隔离装置纵向加密认证装置 加密认证措施 防火墙 图1电力监控系统安全防护总体框架结构示意图 2.1安全分区 安全分区是电力监控系统安全防护体系的结构基础 。 发电企业、 电网企业部基于计算机和网络技术的业务系统, 原则上划分为产控制大区和管理信息大区。 生产控制大区可以分为控制区(又称安全区 I)和非控制区(又称安全区 II)。 在满足安全防护总体原则的前提下, 可以根据业务系统实际情况,简化安全区的设置,但是应当避免形成不同安全区的纵向交叉联接 。 2. 1. 1 生产控制大区的安全区划分 (1)控制区(安全区I) : 控制区中的业务系统或其功能模块(或子系统)的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心 。 控制区的传统典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配网自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员, 数据传输实时性为毫秒级或秒级, 其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区还包括有采用专用通道的控制系统, 如: 继电保护、安全自动控制系统、低频(或低压)自动减负荷系统、负荷控制管理系统等,这类系统对数据传输的实时性要求为毫移级或秒级, 其中负荷控制管理系统为分钟级。 (2)非控制区(安全区II) : 非控制区中的业务系统或其功能模块的典型特征为: 是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络, 与控制区中的业务系统或其功能模块联系紧密。 非控制区的传统典型业务系统包括调度员培训模拟系统、水库调度自动化系统、 故障录波信息管理系统、电能量计量系统等,其主要使用者分别为调度员、继电保护人员及等。 在厂站端还包括电能量远方终端、 故障录波装置等。非控制区的数据来采集度是分钟级或小时级, 其数据通信使用电力调度数据网的非实时子网。此外, 如果生产控制大区个别业务系统或其功能模決 (或子系统) 需使用公用通信网络、 无线通信网络以及处于非可控状态下的网络设备与终端等进行通信, 其安全防护水平