光伏电站电力监控系统安全防护方案.docx

. 6 XX 光伏电站监控系统安全防护案 6.1 安全防护目标 电站监控系统安全防护主要针对网络信息安全，目标是： 1 ）抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起的 恶意破坏和攻击，尤其是集团式攻击； 防止部未授权用户访问系统或非法获取信息以及重大违规操作行 为。 防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度数 据网的安全实施保护，防止电力监控系统瘫痪和失控，并由此导致电力系 统故障。 6.2 总体安全需求 根据对电站监控系统现状的分析，现提出以下总体安全需求说明： 1） 通信安全需求 厂各系统设备之间采用以太网式连接则必须采取符合相关规定的横 向隔离措施。 生产业务系统设备与调度端专线通信式不考虑安全防护。 生产业务系统设备与调度端采用语音拨号通信不考虑安全防护。 专业资料 . 生产业务系统设备与调度端经调度数据网和保护专用网络通信须采 取隔离措施，防止网络攻击、病毒和非法操作。 ）各系统安全需求 电站各业务系统应逐步采用电力调度数字证书， 对用户登录本地操 作系统、访问系统资源等操作进行身份认证， 根据身份与权限进行访问 控制，并且对操作行为进行安全审计。 3）全局安全需求 重点强化边界防护，同时加强部的物理、网络、主机、应用和数据 安全，加强安全管理制度、机构、人员、系统建设、系统运维的管理，提 供系统整体安全防护能力，保证电力监控系统及重要数据的安全。 6.3 安全分区 根据《电力监控系统安全防护规定》的要求，在调度数据网划分两个 VPN ，分别是：实时控制 VPN 和非控制生产 VPN ，分别供安全区 I( 实时 控制区 )、安全区 II（非控制生产区）。站调度数据网作为数据采集汇聚中 心，由调度数据网接入省调、地调骨干节点，实现集控中心的调度自动化 信息经过调度数据网向省调、地调传送。安全分区如图所示 专业资料 . 图 10 光伏电站监控系统安全部署示意图 6.4 安全措施部署情况 发电站电力监控系统安全防护部署拓扑图： 图 11 XX 光伏发电站电力监控系统安全防护部署拓扑图 6.4.1 电站横向通信防护 光伏电站设置管理信息大区， 生产控制大区与管理信息大区业务交互、部署横向隔离装置，安全一区与安全二区之间部署硬件防火墙实现逻辑隔离。 6.4.2 纵向通信防护 发电站一平面、二平面安全区Ⅰ区已部署两套纵向加密认证装置采用 专业资料 . 电力专用分组密码算法和公钥密码算法，支持身份鉴别、信息加密、数字 签名和密钥生成与保护， 提供基于 RSA、SM2 公私密钥对的数字签名和采 用专用加密算法进行数字加密的功能 ,实现业务系统数据的远安全传输以 及纵向边界的安全防护，与调度端实现双向身份认证、数据加密和访问控 制。 发电站一平面、二平面安全区ⅠⅠ区已部署两套纵向加密认证装置采 用电力专用分组密码算法和公钥密码算法，支持身份鉴别、信息加密、数 字签名和密钥生成与保护， 提供基于 RSA、SM2 公私密钥对的数字签名和 采用专用加密算法进行数字加密的功能 ,实现业务系统数据的远安全传输 以及纵向边界的安全防护，与调度端实现双向身份认证、数据加密和访问 控制。 纵向加密认证装置需采用双向加密认证、禁止明文通信， VPN 安全策 略源地址只允站端通信主机、目的地址必须限制为调度主站端主机地址、 且需指定业务系统协议和端口号。 6.4.3 防病毒 发电站统一配置一套网络版防病毒系统，配置一台管理中心服务器， 服务器部署安装于安全二区，安全一区客户端通过一、二区之间防火墙实 专业资料 . 现交互；生产控制大区局域网笔记本、工作站、服务器部署安装客户端， 服务端管理各个客户端，对客户端进行升级和监控管理，提高对病毒及木 马的防护能力，包括进行病毒定义码的更新、防病毒政策的设定、病毒情 况的监控，手动的、定时的病毒扫描及清除、病毒日志及汇总报表以及集 中隔离未知病毒，并能隔离有病毒的客户端，手工定期升级恶意代码防护 系统病毒库。病毒库采用离线升级式更新。 6.4.4 实时入侵检测 发电站安全区 I 与安全区 II 部署一套网络入侵检测系统，并开通四个 监听口。保证安全防护能实时、动态应对安全事件，增强对网络行为的监 察、控制和审计能力，检测探头部署在电力调度数据网接入交换机侧。检 测规则合理设置，以及时捕获网络异常行为、分析潜在威胁、进行安全审 计。 6.4.5 漏洞扫描 发电站安全 I 区与安全 II 区统一配置一套工控漏洞扫描系统，授权两 路扫描口、定期手动扫描主机服务器系统、 数据库及脆弱配置并进行加固； 定期对网络的不同断面进行漏洞扫描，及时发现安全隐患。 专业资料 . 6.4.6 安全审计 安全审计部署在安全区Ⅱ，通过网络（ TCP、UDP ）、串口等多种通 讯式，采用 SNMP 、