电力系统二次安全防护方案

中卫第四光伏电站电力系统二次安全防护方案调度审核批准审核编写中卫第四光伏电站2015年11月为了落实国家和国网公司网络与信息安全相关要求，确保宁夏电力监控系统及电力调度数据网络的安全，我站根据关于开展宁夏电力二次系统安全防护专项检查的通知、国家发改委第14号令电力监控系统安全防护规定等文件要求，开展了电力二次系统安全防护的自查和清理，在前阶段安全防护工作的基础上，对现有系统进行必要的机构性边界调整或完善，重点对电力生产控制系统的边界采取有效的安全防护措施，按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则，特制定了本单位的二次系统安全防护方案如下、电力安全防护的总体原则11、安全防护目标电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。12、相关的安全防护法规121、2004年12月20日国家电力监管委员会发布20055号令电力二次系统安全防护规定122、2002年5月，国家经贸委发布30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定123、2003年12月，全国电力二次系统安全防护专家组和工作组发布全国电力二次系统安全防护总体方案1242003年电力系统安全性评价体系125中华人民共和国计算机信息系统安全保护条例126计算机信息系统安全保护等级划分准则2、电力二次系统安全防护策略电力二次系统安全防护总体框架要求电厂二次系统的安全防护技术方案必须按照国家经贸委2002第30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定和国家电力监管委员会2005第5号令电力二次系统安全防护规定进行设计。同时，要严格遵循电力二次系统安全防护技术方案的相关技术要求。21、安全防护的基本原则（1）系统性原则木桶原理；（2）简单性和可靠性原则；（3）实时、连续、安全相统一的原则；（4）需求、风险、代价相平衡的原则；（5）实用性与先进性相结合的原则；（6）方便性与安全性相统一的原则；（7）全面防护、突出重点的原则；（8）分层分区、强化边界的原则；（9）整体规划、分布实施的原则；（10）责任到人，分级管理，联合防护的原则。22、安全策略安全策略是安全防护体系的核心，是安全工程的中心。安全策略可以分为总体策略、面向每个安全目标的具体策略两个层次。策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全技术体系与管理体系的依据。电力二次系统的安全防护策略为（1）网络专用建立专用电力调度数据网络，与电力企业数据网络实现物理隔离，在调度数据网上形成相互逻辑隔离的实时子网和非实时子网，避免安全区纵向交叉连接。（2）横向隔离采用不同强度的安全设备隔离各安全区，尤其是在生产控制大区与管理信息大区之间实行有效安全隔离，隔离强度应接近或达到物理隔离。（3）纵向认证采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护。23、各通信设备之间的横向隔离要求在各通信设备之间均需选择适当安全强度的隔离装置，尤其在生产控制区和管理信息区之间要选择使用达到或接近物理强度的专用隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。3、实施方案及保护等级定级在项目的规划和实施过程中，我公司始终遵循国家对电力二次系统安全防护的规定并明确本项目系统在电厂信息自动化系统中所处位置，配置一套得到国家相关部门认证的正向隔离装置用于各通信设备之间，确保数据单向传递，对数据传递的稳定性、完整性、实时性提供了保证。集中监控中心位于中卫第四光伏电站监控室内。2012年9月在中卫市公安局进行了备案，确定业务信息安全等级为二级。4、安全分区41、本光伏电站控制区主要包括以下几个业务系统和功能模块411、远动系统412、监控系统42、本光伏电站非控制区主要包括以下业务系统和功能模块421、电量43、本光伏电站管理信息大区主要包括以下业务系统和功能模块431、OMS客户服务端44、应用系统安全分区划分如下表所示序号业务系统控制区非控制区管理信息大区1远动系统远动系统2监控系统监控系统3电能量采集终端电能量采集终端4OMS客户服务端OMS客户服务端5、安全防护的总体部署根据电力二次系统安全防护规定的要求，电站二次系统原则上划分为生产控制大区和信息管理大区，生产控制区可分为控制区（安全区）和非控制区（安全区）。安全防护的重点是保证电站监控系统的可靠，中卫第四光伏电站二次系统安全防护总体方案如下图所示51、生产控制大区内部安全防护要求511、禁止生产控制大区内部的EMAIL服务，禁止控制区内通用的WEB服务。512、允许非控制区内部业务系统采用B/S结构，但仅限于业务系统内部使用。运行提供纵向安全的WEB服务，可以采用经安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。513、生产控制大区重要业务的远程通信采用加密认证机制，对已有系统应逐步改造。514、生产控制大区内的业务系统间采取VLAN和访问控制等安全措施，限制系统间的直接互通。515、生产控制大区的拨号访问服务，服务器和客户端均应使用经国家指定部门认证的安全加固的操作系统，并采取加密、认证和访问控制等安全措施。516、生产控制大区边界上部署入侵监测系统IDS。517、生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登陆认证和授权、应用访问权限相结合。518、生产控制大区统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应离线进行。52、管理信息大区安全要求管理信息大区统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。53、安全防护实施基本原则531、系统性原则（木桶原理）532、简单性和可靠性原则533、实时、连续、安全相统一的原则534、需求、风险、代价相平衡的原则535、实用与先进相结合的原则536、方便与安全相统一的原则537、全面防护、突出重点的原则538、分层分区、强化边界的原则539、整体规划、分步实施的原则5310、责任到人、分组管理、联合防护的原则54、安全防护实施总体策略541、安全分区根据系统中业务的重要性和对一次系统的影响程度进行分区，所有的系统都必须置于相应的安全区内；对实时控制系统等关键业务采认证、加密等技术实施重点保护。542、网络专用建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专用上形成几个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联在相同的安全区进行，避免安全区纵向交叉。543、横向隔离采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与管理信息系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。544、纵向认证采用认证、加密、访问控制等手段实现数据的安全传输以及纵向界的安全防护。6、安全防护措施61、备份与冗余电站定期对关键业务的数据与系统进行备份，建立历史归档数据的异地存放制度。关键主机设备、网络设备、关键部件进行相应的冗余配置。控制区的业务采用热备份方式。62、恶意代码防范生产控制区区通过主站防病毒控制中心对子站WINDOWS系统级LINUX系统及时更新病毒库及定期查杀，并查看查杀记录。管理信息大区采用单独一套病毒查杀服务器进行实时对病毒进行监控和防范。63、主机加固电站监控系统等应用系统的主服务器，以及网络边界处的通信网关，都使用了安全加固的操作系统。加固方式包括安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应用程序。64、日常安全管理制度电站安全管理制度有设备巡回检查管理制度、防误闭锁管理系统、设备定期试验要换管理制度，以上制度包括门禁管理、安全防护系统的维护管理、常规设备及各系统的维护管理等。7、安全防护逻辑结构图T1电站监控信息与实时业务通信；T2电站控制区与非控制区业务信息通信；T3气象信息与系统业务通信；T4电站非实时业务信息与电站主控室通信；T5OMS客户端与电站OMS系统通信；8、安全防护设备清单序号设备名称型号数量生产厂家备注1电能量采集终端KLD64001石家庄科林电气2调制解调器MEL100FB13电表02SDSZ188三相三线制2宁波三星电气股份有限公司4光端机PLSPANETA1001桂林信通5PCM机XT30B2桂林信通6OMS8461安瑞克森7交换机H3CS36002华为通讯技术有限公司8通讯服务器PSX600U4国电南自9纵向加密NETKEEPER2000SJY974南瑞9、安全管理91、安全分级负责制中卫第四光伏电站二次系统按照“谁主管谁负责，谁运营谁负责”的原则，建立中卫第四光伏电站二次系统安全防护管理制度，将中卫第四光伏电站二次系统安全防护及其信息报送纳入日常安全生产管理体系。92、安全职责921、中卫第四光伏电站领导的安全职责贯彻执行国家、行业、国家发改委、国家电网公司颁发的有关二次系统安全防护规定、制度和标准。负责制定细则明确由主管安全生产的领导作为中卫第四光伏电站二次安全防护的主要责任人，并指定专人负责管理本单位所辖中卫第四光伏电站二次系统的安全防护设备，明确各业务系统专责任的安全管理责任。负责中卫第四光伏电站二次系统安全防护的技术监督和考核。负责信息安全事件的调查分析及制定反事故措施，协助上级调度部门做好安全防护工作。922、中卫第四光伏电站维护人员的安全职责负责审核本单位安全防护设备接入、安全访问配置策略、落实国家发改委电力监控系统安全防护规定。负责指定专人管理本站调度数字设备证书，检查安全防卫策略，并对安全防护措施进行有效监管。负责将本站安全防护设备接入内网安全监视平台并在线运行。负责系统等级保护备案和开展测评及风险评估工作。93、工程实施的安全管理中卫第四光伏电站二次系统相关设备及系统的开发单位、供应商应以合同条款或协议的方式保证所提供设备及系统符合电力监控系统防护规定和本方案的要求，并在设备和系统的生命期内对此负责。中卫第四光伏电站二次系统专用产品的开发单位、使用单位及供应商，应当按国家和公司有关要求签订保密协议，禁止安全防护关键技术和设备的扩散。中卫第四光伏电站二次系统安全防护实施方案必须严格遵守国家发改委14号令及本方案的有关规定，并经过上级信息安全主管部门和相应电力调度机构的审核，方案实施完成后应当由上述机构共同组织验收。94、设备和应用系统接入的安全管理接入中卫第四光伏电站二次系统数据网络的节点，设备和应用系统，其接入技术方案和安全防护措施须经负责本级电力调度数据网络的调度机构核准。生产控制大区的各业务系统禁止以各种方式与互联网相连；限制开通拨号功能；关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等，确需保留的必须通过安全管理措施实施严格监控。接入电力二次系统生产控制大区中的安全产品，应当获得国家指定机构安全检测证明，用于厂站的设备还需有电力系统电磁兼容检测证明。95、验收管理中卫第四光伏电站二次系统验收时需出具评估报告、整改报告、安全加固报告、安全防护设备清单、安全防护网络拓扑图、安全防护方案、测评报告、等级保护备案材料等。96、日常维护的安全管理日常维护的安全管理包括门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。97、应急防护的安全管理建立健全中卫第四光伏电站二次系统安全的联合防护和应急机制，上级调度控制中心负责统一指挥中卫第四光伏电站系统安全应急处理。当中卫第四光伏电站生产控制大区出现安全事件，尤其是遭到黑客、恶意代码攻击和其他人为破坏时，应当立即向相关调度机构报告，同时按应急处理预案采取安全应急措施，以防止事件扩大。同时注意保护现场，以便进行调查取证和分析。事件发生单位及相关调度机构应当及时将事件情况向宁夏电力调度控制中心和信息安全主管部门报告。10、安全防护管理体系电站成立二次系统安全领导小组和工作小组领导小组组长陈建华成员杨瑞峰、马英杰、叶立平工作小组组长杨瑞峰成员马英杰、余嘉喜、黄晓春、马晓华11、中卫第四光伏电站二次系统安全防护应急处置预案111、组织机构1111、成立二次系统防护突发事件应急处理小组以下简称应急处理小组,负责二次系统的处理和运行的恢复工作。1112、应急处理小组组长由领导担任，成员由系统专业及相关专业人员等组成。112、应急处理小组的职责1121、贯彻落实国家、宁夏电力公司有关突发事件应急救援与处理的法律、法规和有关规定；1122、接受上级电力调度所及上级调度机构应急处理指挥部门的领导；1123、根据情况提请宁夏电力公司突发事件应急指挥部和专业组宣布进入和解除二次系统安全预警状态、二次系统安全应急状态；1124、确定二次系统实施和终止实施应急处理预案；1125、指挥、协调二次系统运行突发事件的抢险及应急处理工作；根据应急处理需要，安排变电所有人值班，临时搭建临时过渡系统，对现场设备进行保护或隔离，紧急调集人员、备品备件、交通工具以及相关设施等指令；1126、根据应急处理需要对相关变电所和相关专业发布指令；对其突发事件的应急处理以及有关预防措施的制定和落实进行督察和指导；1127、及时了解、掌握二次系统运行突发事件的情况和处理进展；1128、负责向上级突发事件应急指挥部上级有关部门汇报突发事件及其应急处理的情况；1129、应急处理的评价与考核；11210、制定、评估、完善二次系统运行突发事件应急处理预案。113、应急分类1131、突发事件二次系统保护突发事件是指继电保护及安全自动装置、自动化系统在运行过程中，突受外界或内部因素影响，发生或可能发生二次系统崩溃，严重影响安全稳定运行的紧急事件。1132、突发事件分类按照突发事件的严重程度和对社会的影响，将突发事件分为预警和紧急两个等级。