《2022年XX电厂电力监控系统安全防护方案 .pdf》由会员分享,可在线阅读,更多相关《2022年XX电厂电力监控系统安全防护方案 .pdf(18页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XX电厂电力监控系统安全防护方案XX电厂二一八年十二月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 18 页 - - - - - - - - - 1批准:_ _ 审核:_ _ 编制:_ _ 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 18 页 - - - - - - - - - 2目录1 总则. 32 XX 电厂厂基本情况 . 33 XX 电厂
2、安全防护总体方案. 54 安全区的划分 . 65 边界安全防护 . 76 综合安全防护 . 9附录 1XX 电厂安全分区表 . 12附录 2 合肥第二厂监控系统安全防护示意图. 13附录 3 用语的解释 . 13附录 4 主要术语中英文对照 . 14附录 5 XX 电厂计算机监控系统拓扑图. 14名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 18 页 - - - - - - - - - 3XX电厂监控系统安全防护方案1 总则1.1 为了加强 XX 电厂电力监控系统安全防
3、护,抵御黑客及恶意代码等对监控系统发起的恶意破坏和攻击,以及其它非法操作,防止电力监控系统瘫痪和失控,和由此导致的发电厂一次系统事故和其他事故,制定本方案。1.2 本方案由设备部门编制,报公司审核,并报安徽调控中心备案。2 XX 电厂厂基本情况2.1 总体情况:XX 电厂位于安徽省肥东县桥头集镇王油坊村;属于中加合资企业;我厂装机容量为2*350MW 燃煤机组, 1、2 机组分别于 2001 年 6 月16 日和 8 月 21 日移交商业运行。规划装机4*350MW 容量。上网电压等级 220KV、归安徽省调和合肥地调管理。2.2 监控系统情况监控系统或设备列表序号系统或设备名称生产厂商及型号
4、操作系统投运年份备注1 监控系统( SCADA )国电南自NDE5000 Windows 2013.4.252 AGC 子站 (RTU) 上海惠安GR90-D200 Linux 2009.3.283 AVC 子站安徽立卓LZ-A VC5000 Windows 2013.4.9 计 划2017年 改造 为麒 麟软 件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 18 页 - - - - - - - - - 4的 操作 系统4 PMU 装置北 京 电 科 院PAC2000
5、Linux 2007.6.29计 划2016年 改造5 卫星时钟 (PMU) 北京电科院PAC2000G Linux 2007.6.29计 划2016年 改为 北斗+GPS双 时源6 线路故障录波许继电气WGL-800 Windows 2007.5 计 划2016年9月 整改 为武 汉中 原ZH5系统7 五防系统珠海优特UT2000-LV Windows 2011.9.20 厂 内独 立系 统与 外部 不连接8 电能量采集系统山大积成ies-60 VxWorks 2012.8.21 9 报票系统Windows-xp 10 11 调度数据网络及安全防护设备列表序号系统或设备名称生产厂商及型号操作
6、系统投运年份备注1 地调接入网路由器华 3 H3C MHR 3040 VxWorks 2008 2 地调接入网I 区交换机华 为Quidway S3900series VxWorks 2008 3 地调接入网I I 区交换机华 为Quidway S3900series VxWorks 2008 4 地调接入网I 区纵向加密认证装置南瑞NARI Netkeeper2000 Linux 2008 计划2016年10月改名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 18 页
7、- - - - - - - - - 5为纵向加密装置5 地调接入网调II 区防火墙天融信TOPSEC NGFW4000 Linux 2008 计划2016年10月改为纵向加密装置6 省调接入网路由器ZTE中兴ZXR10 3800 VxWorks 2012 7 省调接入网I 区交换机ZTE中兴ZXR10 2928 VxWorks 2012 8 省调接入网II 区交换机ZTE中兴ZXR10 2928 VxWorks 2012 9 省调接入网I 区纵向加密认证装置南瑞NARI Netkeeper2000 Linux 2012 10 省调接入网II 区防火墙东软Neusoft NetEye防 火 墙V
8、3.2 FW5120 Linux 2012 计划2016年10月改为纵向加密装置11 12 13 3 XX 电厂安全防护总体方案3.1 安全分区按照电力监控系统安全防护规定,将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区 I)及非控制区(安全区II) ,重点保护生产控制以及直接影响电力生产(机组运行)的系统。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 18 页 -
9、- - - - - - - - 63. 2网络专用XX 电厂端的电力调度数据网在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。 XX 电厂端的电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。3.3 横向XX 电厂电厂端的电力调度数据网的实时子网和非实时子网实行逻辑隔离,在生产控制大区与管理信息大区之间物理隔离。生产控制大区内部的业务无数据交互,是逻辑隔离。3. 4纵向认证XX 电厂生产控制大区与调度数据网的纵向连接处设置纵向加密认证装置,实现双向身份认证、数据加密和访问控制。目前,地调接入网I 区,省调接入网I
10、区均实现双向身份认证、数据加密和访问控制,地调接入网 II 区,省调接入网 II 区现在是防火墙, 计划 2016年 10 月更换为纵向加密认证装置4 安全区的划分4.1 控制区(安全区 I)XX 电厂监控系统控制区主要包括以下业务系统和功能模块:火电机组分散控制系统( DCS) 、火电机组辅机控制系统、自动发电控制系统(AGC) 、自动电压控制系统( AVC) 、相量测量装置( PMU) 、继电保护装置、各种控制装置(调速系统、励磁系统、快关汽门装置等)、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -
11、 - - - - 第 7 页,共 18 页 - - - - - - - - - 7五防系统 4.2 非控制区(安全区II)合肥第二厂的非控制区主要包括以下业务系统和功能模块:电能量采集装置、线路故障录波信息管理终端、#1、2 机组脱硫脱硝 CEMS 数据。4.3 管理信息大区XX 电厂的管理信息大区主要包括以下业务系统和功能模块:调度工作票报票系统、合二厂信息集中平台。5 边界安全防护5.1 横向边界防护5.1.1 生产控制大区与管理信息大区边界安全防护XX 电厂生产控制大区与管理信息大区之间完全物理隔离。5.1.2 控制区(安全区 I)与非控制区(安全区II)边界安全防护安全区 I 与安全区
12、 II 之间,实现逻辑隔离、报文过滤、访问控制等功能。设备的功能、性能、电磁兼容性经过国家相关部门的认证和测试。发电厂( DCS)系统部署在安全区I,与运行在安全区II 的发电厂数据信息不进行信息交换,釆用逻辑隔离。5.1.3 系统间安全防护发电厂内同属于安全区I 的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间,尤其是机组监控系统与输变电部分控制系统之间,均没有数据交换。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 18 页 - -
13、- - - - - - - 8发电厂内同属于安全区II 的各系统之间、 各不同位置的厂站网络之间,均是逻辑隔离。没有数据交互。发电厂内同属于管理信息大区的各系统之间、各不同位置的厂站网络之间,釆取物理隔离,无数据交互。5.2 纵向边界防护发电厂生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时,按要求需要釆用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。目前XX 电厂生产控制大区与调度数据网的纵向连接处设置纵向加密认证装置,实现双向身份认证、数据加密和访问控制。目前,地调接入网I 区,省调接入网I 区均是纵向加密装置,省调接入网I 区已实现双向身份认证、
14、数据加密和访问控制。地调接入网 II 区,省调接入网 II 区现在仍是防火墙, 地调接入网 I 区的低版本纵向加密装置,计划2016年 10 月全部更换为纵向加密认证装置。5.3 第三方边界安全防护本厂生产控制大区中的脱硫、脱硝业务系统采用硬接线方式与我厂RTU 及 II 区交换机连接。与环保的数据交换通过就地服务器取数据采用无线发射方式与环保局数据交互。调度工作票系统在我厂为单独一套系统,专网专用,与其他系统物理隔离。厂内管理信息大区与外部网络之间釆取防火墙、VPN 和租用专线等方式,保证边界与数据传输的安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -
15、- - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 18 页 - - - - - - - - - 9没有设备生产厂商或其它外部企业(单位远程连接发电厂生产控制大区中的业务系统及设备。6 综合安全防护6.1 入侵检测我厂生产控制大区没有部署网络入侵检测系统。6.2 主机与网络设备加固发电厂厂级信息监控系统等关键应用系统的主服务器,以及网络边界处的通信网关机、 WEB 服务器等,使用安全加固的操作系统。加固方式包括:安全配置、安全补丁、釆用专用软件强化操作系统访问控制能力以及配置安全的应用程序,其中配置的更改和补丁的安装已经过测试。非控制区的网络设备与安全设备
16、已经过身份鉴别、访问权限控制、会话控制等安全配置加固。应用电力调度数字证书,在网络设备和安全设备实现支持 HTTPS 的纵向安全 WEB 服务,能够对浏览器客户端访问进行身份认证及加密传输。目前,我厂为防火墙方式,计划今年10 月完成更换为纵向加密装置的改造。以满足要求。对外部存储器、打印机等外设的使用进行严格管理。生产控制大区中,没有选用具有无线通信功能的设备。均采用接入认证、加密等安全机制。对不符合安防要求的主机及系统,部分已纳入整改计划:AVC、线路故障录波系统、远动后台SCADA 的操作系统均为名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -
17、 - - - - - 名师精心整理 - - - - - - - 第 10 页,共 18 页 - - - - - - - - - 10windows 系统。其中线路故障录波系统纳入今年改造。远动后台 SCADA通过封闭 USB 端口,加强弱口令升级及严格级别维护口令管理方式,病毒库补丁方式进行加固。AVC 已申报明年改造项目。6.3 应用安全控制发电厂厂级信息监控系统等业务系统釆用用户名、口令的登录方式,对用户登录应用系统、访问系统资源等操作进行不同级别的口令,并有登录记录。生成操作日志。对于发电厂内部远程访问业务系统的情况,进行会话控制,仅限高级别的管理员。6.4 安全审计目前,我厂生产控制大
18、区的监控系统均没有实现安全审计功能。6.5 专用安全产品的管理安全防护工作中涉及使用横向单向安全隔离装置、纵向加密认证装置、防火墙等专用安全产品的,按照国家有关要求做好保密工作,没有关键技术和设备的扩散。6.6 备用与容灾定期对关键业务的数据进行备份,并实现历史归档数据的异地保存。关键主机设备、网络设备或关键部件进行相应的冗佘配置。控制区的业务系统(应用)采用冗余方式。RTU 实现最新数据库实现磁盘异地备份,在每次修改数据后均保留最新配置,在RTU 厂家及我们自己均留一份。关键主机设备、网络设备实现冗佘配置。如RTU、AVC 及远动后台的双主机主备运行方式。名师资料总结 - - -精品资料欢迎
19、下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 18 页 - - - - - - - - - 116.7 恶意代码防范我厂地调接入网I、II 区的交换机均采用国产三层交换机,对不用的端口实施关闭。物理上,封闭USB 端口,禁止非法用户登录。生产控制大区与管理信息大区没有共用一套防恶意代码管理服务器。6.8 设备选型及漏洞整改XX 电厂电力监控系统在设备选型及配置时,未选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。生产控制大区中,无具有无线通信功能的设备。6.9 等保测评开展情
20、况目前,我厂还未开展等保测评工作。下一步,将按省调统一安排,配合省调进行厂站端调度设备的等保测评工作。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 18 页 - - - - - - - - - 12附录 1XX 电厂安全分区表表 1 XX电厂监控系统安全分区表序号业务系统及设备控制区非控制区管理信息大区备注1 火电机组分散控制系统DCS DCS A2 2 火电机组辅机控制系统辅机 PLC/DCS A2 3 调速系统和自动发电控制功能 AGC 调速、自动发电控制A1 4
21、 励磁系统和自动电压控制功能 AVC 励磁、自动电压控制A1 5 相量测量装置PMU PMU B 6 自动控制装置PSS、汽门快关等B、A1 7 五防系统五防系统A2 8 继电保护继电保护装置管理终端B 9 故障录波故障录波装置B 10 电能量釆集装置电能量采集B、A1 11 电力市场报价终端电力市场报价B 12 管理信息系统MIS MIS A2 13 报票系统调 度 工 作票 申 报 系统B 14 报价辅助决策系统报 价 辅 助决策A2 15 检修管理系统检修管理A2 16 火灾报警系统火灾报警A2 17 18 注: A1:与调度中心有关的电厂监控系统A2:电厂内部监控系统B:调度中心监控系
22、统的厂站侧设备与调度中心无关的设备不接入调度数据网名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 18 页 - - - - - - - - - 13附录 2 合肥第二厂监控系统安全防护示意图XX 电厂监控系统安全分区及边界防护如图1 所示。火电厂调速系统励磁系统RTU线路稳控装置PMUAGCAVC.控制区非控制区管理信息大区#1 、 2机脱硫CEMS电能量采集装置线路故障录波装置调度报票系统合二厂信息集中平台MIS实时子网非实时子网电力调度数据网发电企业数据网或公共数据
23、网调度中心WAMS 系统EMS系统故障信息管理系统电能量计量系统电力市场运营系统防火墙纵向加密认证装置图例市场报价终端#1 、 2机脱硝CEMS一次调频横向安全隔离装置图 1XX电厂监控系统安全布署示意图序号安全设备名称IP 地址1 地调接入网I 区纵向加密装置10.34.44.252/255.255.255.02 地调接入网II区防火墙10.34.45.252/255.255.255.0 3 省调接入网I 区纵向加密装置34.103.192.252/255.255.255.04 省调接入网II区防火墙34.102.192.252/255.255.255.05 6 7 8 附录 3 用语的解释
24、安全接入区:如果生产控制大区内个别业务系统或其功能模块(或子系统)需使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信,其安全防护水平低于生产控制大区内其他名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 18 页 - - - - - - - - - 14系统时,应设立安全接入区。安全接入区不是独立分区,与生产控制大区相连时,应当釆用电力专用横向单向安全隔离装置进行集中互联。附录 4 主要术语中英文对照DCS(Distributed Contro
25、l System) :分散控制系统AGC(Automatic Generation Control):自动发电控制AVC(Automatic Voltage Control) :自动电压控制PMU(Phasor Measurement Unit) :相量测量装置PSS(Power System Stabilizer):电力系统稳定器TCS(Turbine Control System) :燃气轮机控制系统SIS(Supervisory Information System) :厂级信息监控系统OA(Office Automation) :办公自动化系统MIS(Managerment Infor
26、mation System) :管理信息系统VLAN(Virtual Local Area Network):虚拟局域网HTTPS(Hypertext Transfer Protocol over Secure Socket Layer) :超文本传输安全协议PLC(Programmable Logic Controller):可编程逻辑控制器RTU(Remote Terminal Unit) :远方终端装置附录 5 XX 电厂计算机监控系统拓扑图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -
27、- - 第 15 页,共 18 页 - - - - - - - - - 15 电话招测AGC 图 2 微波机房I 区II 区光纤路由器微 波 机 房4E1 光端机I, 第 1 个 2M 远 动 机 房4E1 光端机I, 第 1 个 2M 加密认证实时交换机(三层)光 电转换RTU (实时数据、AGC、高周切机)线路稳控非实时交换机(三层)光 电转换脱硝CEMS 脱硫CEMS IES-60 内置MODEMAVC 上位机上下行专线微波机房数配架微波机房音频配线架微 波 机 房PCM 下行专线远动当地功能系统(SCADA )AVC 下位机光缆传入省调电话招测光 电转换图 1 调度数据网I 平面系统构
28、架图D C S 系统防火墙下行专线PMU 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 18 页 - - - - - - - - - 16 电话招测AGC 微波机房I 区II 区光纤路由器微波机房4E1光端机II ,第1、2 两个 2M 远动机房4E1光端机II,第1、2 两个 2M 加密认证实时交换机(二层)RTU (实时数据、AGC、高周切机)非实时交换机(二层)IES-60 内置MODEMAVC 上位机上下行专线微波机房数配架微波机房音频配线架微 波 机 房PC
29、M 下行专线远动当地功能系统(SCADA )AVC 下位机光缆传入省调电话招测图 2 调度数据网II 平面系统构架图D C S 系统防火墙下行专线线路故障录波I 平面实时交换机名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 18 页 - - - - - - - - - 17 审核意见:审核意见发电企业信息安全管理部门签字(盖章) :年月日调度机构签字(盖章):年月日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 18 页 - - - - - - - - -