发布时间 : 星期五 文章电力监控系统安全防护方案及实施细则更新完毕开始阅读6aaa24ff6337ee06eff9aef8941ea76e58fa4a8f
电力监控系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。 3.2 安全分区
按照《电力监控系统安全防护规定》,原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区Ⅰ)及非控制区(安全区Ⅱ),重点保护生产控制及直接影响机组运行的系统。 3.3 网络专用
电力调度数据网是生产控制大区相连接的专用网络,承载电力实时控制、在线生产交易等业务。发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。 3.4 横向隔离
横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施,实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。 3.5 纵向认证
纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。 3.6 综合防护
综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备用及容灾等多个层面进行信息安全防护的过程。 4 职责 4.1 组织机构
组 长: 秦立新
副组长: 石彦鹏、任晓鹏、赵秀琴
成 员:继电保护室成员、热控成员、信息成员。 4.2 职责
4.2.1 组长、副组长职责
4.2.1.1 负责组织有关人员建立或编制本单位所管辖的电力监控系统安全防护管理规定、实施方案、评估制度及应急预案。
4.2.1.2 经常检查我公司的电力监控系统安全防护的执行情况,定期组织有关人员对电力监控系统进
下载文档可编辑
行安全评估;对于存在问题的,提出整改期限。
4.2.1.3 负责组织有关人员对我公司发生的安全事故进行认真分析,并及时向上级主管单位上报安全事故分析报告。
4.2.1.4 全面管理电力监控系统运行工作;掌握电力监控系统的配置情况;熟悉电力监控系统的分布情况;了解电力监控系统的安全情况;定期组织讨论电力监控系统安全情况,协调各专业之间接口安全问题。
4.2.2 成员职责
4.2.2.1 负责本专业应用系统已部署的安全产品的安全策略的设置和调整,对该产品日常运行进行精心的维护。
4.2.2.2 定期对安全产品的日志进行审计。
4.2.2.3 精心观察和分析该系统的安全状况,并及时上报组长、副组长。 4.2.2.4 使用数字证书管理系统进行数字证书的申请,生成、发放和撤消。 4.2.2.5 精心维护数字证书管理系统,保证系统的安全、可靠、稳定运行。 4.2.2.6 精心保护证书管理系统的数字证书,防止遗失。
4.2.2.7 参照国家对涉密设备的有关规定,建立有效的数字证书及密钥管理制度。
4.2.2.8 保护本专业的口令、数字证书、密钥等安全设施;一旦泄露或丢失,应该立即报告,对造成恶劣后果者,要按国家有关规定追究其责任。
4.2.2.9 全面掌握本专业电力监控系统的分区情况、配置情况、硬件设置情况及接口、数据流向等;做好数据备份和日常管理工作。
4.2.2.10 对电力监控系统安全评估的所有评估资料和评估结果,应当按国家有关要求做好保密工作。 5 系统设备定级及安全区划分 5.1 系统设备定级
5.1.1 保护及远动通信系统定级
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 定级对象 电力调度数据网 NCS系统 故障录波器系统 远方电量计量系统 故障信息子站系统 功角测量系统 AVC系统 时间同步装置 发变组保护装置 励磁系统 母线保护装置 线路保护装置 调度综合数据网 通信电源系统 光端机系统 PCM系统 系统级别 2级 3级 3级 2级 2级 2级 3级 2级 3级 3级 3级 3级 2级 2级 2级 2级 下载文档可编辑
17 18 调度交换机系统 行政交换机系统 2级 2级 5.1.2 信息专业设备定级 序号 1 2 3 4 5 6 定级对象 全厂网络 门禁系统 监控系统 电子围栏系统 视频会议系统 软件系统 系统级别 2级 2级 2级 2级 2级 2级 5.2 安全区的划分 5.2.1 保护及远动通信设备安全区的划分
序号 系统名称 电力调度数据网 设备名称 路由器 实时交换机 实时纵向加密装置 非实时交换机 非实时纵向加密装置 远动主机 2 NCS系统 五防系统 测控装置 3 4 故障录波器 远方电量计量系统 故障信息子站系统 功角测量系统 AVC系统 时间同步装置 发变组保护装置 励磁系统 母线保护装置 线路保护装置 调度综合数据网 通信电源系统 发变组故障录波装置 线路故障录波装置 电能量远方终端(中调) 电能量远方终端(地调) 嵌入式信息管理装置(子站主机) 硬件防火墙 串口通讯服务器 网络交换机 数据集中处理单元 相量测量单元 上位机 7 8 9 10 11 下位机 AVC子站后台机 主同步对时系统装置 从同步对时系统装置 发变组保护装置 非电量保护装置 高备变保护 发电机励磁系统 母线保护装置一 母线保护装置二 251陶库Ⅰ线纵联电流差动保护 路由器 24口以太网交换机 防火墙 交流配电单元 高频开关整流 直流分配单元 蓄电池 马可尼光端机 西门子光端机 设备型号 H3C MSR 50-40 S3600V2-28TP-SI PSTunnel-2000 S3600V2-28TP-SI PSTunnel-2000 RCS-9698H RCS-9200 RCS-9705C WY9F WDGL-VI PSM-ID CHL034-11C SDL-8003 FW5120 MOXA Nport5630 MOXA ES-1026 CSC-361A CSC-361B UC630 上位机 UC630 下位机 IEI 4U工控机 RCS9785D RCS9785E PCS-985A PCS-974FG PCS-985T UNITROL 6000 BP-2C RCS-915AB-090455 CSC-103D RCS-931BMV AR3260 S3700-28TP-SI-AC M890 ACSB-CO1-V1.0 ZL4830SA ZLPFU-13 300Ah 2V/只24只/组 OMS1664 HIT7065 安全分区类别 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 非控制区(安全区II) 非控制区(安全区II) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 非控制区(安全区II) 非控制区(安全区II) 非控制区(安全区II) 非控制区(安全区II) 非控制区(安全区II) 非控制区(安全区II) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 非控制区(安全区II) 非控制区(安全区II) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 控制区(安全区I) 1 5 6 12 14 管理信息大区 15 非控制区(安全区II) 下载文档可编辑
16 17 18 19 光端机系统 PCM系统 调度交换机系统 行政交换机系统 至中调PCM 至区调PCM 调度程控交换机 交换机主机 FMX-12 FMX-12 IXP3000 S8000C 非控制区(安全区II) 非控制区(安全区II) 非控制区(安全区II) 非控制区(安全区II) 管理信息大区 5.2.2 信息专业设备安全区的划分 序号 系统名称 设备名称 外网路由器 入侵防御、检测 防毒墙 防火墙/VPN 核心交换机 24口POE接入交换机 48口接入交换机 1 全厂网络硬件设备 24口接入交换机 SFP-GE-LH40-SM1310 无线控制器 无线接入点 安全审计 终端准入设备 域控制器 DNS服务器/网管服务器 其他服务器 2 视频会议系统 视频会议主机 POLYCOM IP550 夏普液晶显示器 服务器企业版操作系统 客户端操作系统 档案管理系统软件 网关软件 3 软件系统 数据库软件 邮件系统 三维地下管网系统 全厂门禁系统 ERP系统 财务系统 OA系统 企业版杀毒软件 集团专网路由器 4 其他硬件 RT-HIM-2CPOS/STM1-H3 设备型号 Huawei AR3260-SRU40-AC 路由器主机(AC) 华为 NIP2000 网御 POWER V6000-U1160 华为 USG5150 华为 9312 华为 S2326TP-PWR-EI 华为 S5700-48TP-SI-AC 华为S2700-26TP-SI-AC 光模块-SFP-GE-单模模块-(1310nm,10km,LC) Huawei AC6605-26-PWR 华为AP6610DN-AGN 网康NF-1000上网行为管理 艾科网信 A110, IBMX3650M4 IBMX3650M4 IBMX3650M4 POLYCOM HDX8000 HDX 8002 XL(摄像头) 分会场应急保障分机 46” (包括两个电视推车) Windows Server 2008 企业版 Windows 7专业版支持新技术 紫光电子档案管理系统软件(V8.0) 华为 eSight 企业运维系统(V200R001) Oracle数据库10g 标 Winmail5.5.1 WIZ GIS深圳 ZKAccess5.0 SAP系统 用友U8 协同管理软件 瑞星杀毒软件网络版8个服务器端,120PC端 Cisco2811路由器 2端口OC-3/STM-1通道化E1/T1 POS接口模块(SFP) 安全分区类别 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 管理信息大区 5.3 各系统间的关联 下载文档可编辑