電廠監(jiān)控系統(tǒng)安全防護方案

1、-. z.核心商密長期*千伏*變/電廠電力監(jiān)控系統(tǒng)安全防護方案*公司*年*月*千伏*變/電廠電力監(jiān)控系統(tǒng)安全防護方案 批準： 審核： 校核： 編制： *公司*年*月*電廠電力監(jiān)控系統(tǒng)安全防護總體方案1、概述簡要介紹本次項目情況，包含一次、二次系統(tǒng)的介紹。為防黑客及惡意代碼等對*千伏*變（或電廠）電力監(jiān)控系統(tǒng)的攻擊侵害，避免由此引發(fā)的電力系統(tǒng)事故，保障電力系統(tǒng)的正常穩(wěn)定運行，依據(jù)電力監(jiān)控系統(tǒng)安全防護規(guī)定（國家發(fā)改委2014年第14號令）和電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)（國能安全201536號）等要求，結合*千伏*變（或電廠）電力監(jiān)控系統(tǒng)的安全防護實際情況，特制訂本方案。2.編

2、制依據(jù)及使用圍2.1本方案編制依據(jù)電力監(jiān)控系統(tǒng)安全防護規(guī)定(發(fā)改委14號令)；國家能源局關于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等（國能安全201536號文）；電力監(jiān)控系統(tǒng)安全防護總體方案（國家能源局36號文配套文件）發(fā)電廠監(jiān)控系統(tǒng)安全防護方案（國家能源局36號文配套文件）變電站監(jiān)控系統(tǒng)安全防護方案（國家能源局36號文配套文件）電力行業(yè)網(wǎng)絡與信息安全管理（國能安全2014317號）電力行業(yè)信息安全等級保護管理辦法（國能安全2014318號）關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公安部公信安2007861號）電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見（電力監(jiān)管委員會電監(jiān)信息200734號

3、）2.2適用圍本電力監(jiān)控系統(tǒng)安全防護方案適用于*千伏*變（或者電廠）電力監(jiān)控系統(tǒng)中各類應用系統(tǒng)和網(wǎng)絡，包括與*變（或者電廠）電力生產(chǎn)（或者使用）過程直接相關的變電站監(jiān)控系統(tǒng)、發(fā)電廠控制系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)、電能量計量采集裝置、繼電保護等。注：根據(jù)現(xiàn)場實際情況填寫應用系統(tǒng)。請注意，發(fā)電廠的專業(yè)系統(tǒng)名稱可參照發(fā)電廠監(jiān)控系統(tǒng)安全防護方案，升壓站或者開關站專業(yè)系統(tǒng)名稱可參照變電站監(jiān)控系統(tǒng)安全防護方案3.總體目標電力監(jiān)控系統(tǒng)安全防護的重點是確保電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的安全，目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導致一次系統(tǒng)事

4、故或大面積停電事故及電力監(jiān)控系統(tǒng)的崩潰或癱瘓。結合*千伏*變（或電廠）的實際情況，*千伏*變（或電廠）電力監(jiān)控系統(tǒng)安全防護的總體目標包括：防止*千伏*變（或電廠）監(jiān)控系統(tǒng)服務等核心業(yè)務中斷。防止*千伏*變（或電廠）監(jiān)控系統(tǒng)本身崩潰。抵御外部人員對*千伏*變（或電廠）監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊及可能對相連的調(diào)度自動化系統(tǒng)的影響。防止黑客人員利用病毒、木馬等惡意程序，以*千伏*變（或電廠）監(jiān)控系統(tǒng)網(wǎng)絡為跳板，對電網(wǎng)電力監(jiān)控系統(tǒng)進行入侵攻擊和惡意破壞。保護*千伏*變（或電廠）監(jiān)控系統(tǒng)實時和歷史數(shù)據(jù)，主要防止數(shù)據(jù)被非授權修改。4.管理措施4.1.組織機構4.1.1 領導小組組長：（聯(lián)系方式）副組長：

5、（聯(lián)系方式）成員：（聯(lián)系方式）最好兩人及以上4.1.2 領導小組職責(1)負責組織建立、健全*千伏*變（或電廠）電力監(jiān)控系統(tǒng)安全防護管理的組織機構；負責組織制定、完善*千伏*變（或電廠）電力監(jiān)控系統(tǒng)安全防護管理分級負責的責任制。(2)負責組織*千伏*變（或電廠）電力監(jiān)控系統(tǒng)總體設計方案的安全審查和完善；負責組織各專業(yè)電力監(jiān)控系統(tǒng)安全防護管理制度的審查和完善，保證*千伏*變（或電廠）電力監(jiān)控系統(tǒng)安全防護組織機構有效運轉(zhuǎn)；負責組織*千伏*變（或電廠）電力監(jiān)控系統(tǒng)安全防護方案的制定和實施；組織制定*千伏*變（或電廠）電力監(jiān)控系統(tǒng)安全評估制度。(3)負責建立*千伏*變（或電廠）電力監(jiān)控系統(tǒng)安全聯(lián)合防護

6、機制和應急機制；當*千伏*變（或電廠）電力監(jiān)控系統(tǒng)受到攻擊、病毒感染或發(fā)生嚴重故障時負責宣布應急預案的啟動。適當補充工作小組組 長：（聯(lián)系方式）副組長: （聯(lián)系方式）成 員：（聯(lián)系方式）至少兩人及以上4.1.4 工作小組職責（1）接受領導小組指令，根據(jù)工作目標確定工作計劃并負責實施。（2）檢查*千伏*變（或電廠）電力監(jiān)控系統(tǒng)的安全防護的執(zhí)行情況、審計結果，定期組織有關人員對系統(tǒng)進行安全評估，并及時向上級主管部門報告；（3）負責組織有關人員對本部門發(fā)生的安全事故進行認真分析并及時報告。（4）負責*千伏*變（或電廠）保障電力監(jiān)控系統(tǒng)安全各項組織、技術措置的落實及電力監(jiān)控系統(tǒng)的系統(tǒng)軟件、設備、網(wǎng)絡、

7、安全產(chǎn)品等的日常運行和維護；（5）負責*千伏*變（或電廠）基本安全知識、知識的教育和咨詢。4.2規(guī)章制度*千伏*變（或電廠）為確保電力監(jiān)控系統(tǒng)安全，特制定電力監(jiān)控系統(tǒng)網(wǎng)絡安全應急處置機制、二次系統(tǒng)運維管理制度、機房出入管理制度、外來人員工作管理制度等。應涵蓋但不限于上述容4.3運維管理（1）人員管理 設備巡視明確各級人員的安全職責，經(jīng)常進行安全防護培訓，定期檢查各級人員安全職責的實施情況。（2）權限管理針對不同的電力監(jiān)控系統(tǒng)，對不同的用戶實體、不同的使用人員賦予相應的訪問權限和操作權限。（3）訪問控制管理操作人員登錄進入關鍵的業(yè)務系統(tǒng)（如變電站監(jiān)控系統(tǒng)）以及對關鍵的控制操作應該進行身份認證及操

8、作權限控制。（4）設備及子系統(tǒng)的維護管理a.對設備及子系統(tǒng)的安全漏洞及時進行防護或加固；b.充分準備各個設備及子系統(tǒng)的維護資料及維護工具；c.充分準備設備及子系統(tǒng)故障處理的預案以及故障恢復所需的各種備份，并經(jīng)常進行預演；d.及時了解相關軟件漏洞發(fā)布信息，及時獲得補救措施或軟件補丁對軟件進行加固；e一旦出現(xiàn)安全故障應該及時報告、保護現(xiàn)場、恢復系統(tǒng)。（5）用戶口令的管理a.人員的ID及口令設立必須按照規(guī)定流程進行相應審批；b.ID及口令應該具有足夠的長度和復雜度，及時更新；c.系統(tǒng)的超級管理員的ID及口令必須由專人保管和修改，嚴格限定使用圍；d.用戶丟失或遺忘ID及口令，必須通過規(guī)定的流程向管理員

9、申請新的ID及口令；e.用戶調(diào)離后，管理員必須立即注銷其ID并取消相應權限。4.4嚴格外來人員管控（1）嚴禁非機房工作人員進入機房，特殊情況需經(jīng)所轄設備負責人和值班人員批準，登記后方可進入。（2）經(jīng)批準進入機房的外來人員，須有指定人員陪同，進出機房均應辦理登記手續(xù)。 （3）進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等對設備正常運行構成威脅的物品。（4）經(jīng)上級管理人員同意，外來人員可以實地操作設備。但必須有管理人員監(jiān)督、指導，不得調(diào)閱重要數(shù)據(jù)和設備配置信息。4.5應急機制（1）建立機構信息安全時間應急響應工作的策略與規(guī)劃，明確工作開展方針與目標；（2）建立有系統(tǒng)、分層次

10、的監(jiān)控系統(tǒng)安防應急響應工作組織架構，明確應急響應相關部門和單位的職責和權限，確立相關人員的崗位職責，確保各項環(huán)節(jié)工作的專人管理、各司其職；（3）根據(jù)安全事件的影響圍與嚴重程度，定義安全事件等級，確立與各類信息安全時間相應的處理以及應急相應處置與報告的流程；（4）針對機構可能發(fā)生的信息安全事件制定應急響應工作預案，為每一種可能發(fā)生的安全事件編制相應的應急處置預案；（5）在充分利用現(xiàn)有信息資源、系統(tǒng)和設備的基礎上，為機構信息安全事件應急響應工作配備相應的資源，包括人力、物力、財力等各方面的資源；（6）定期開展應急響應預案的培訓與演練，定期維護更新制定的應急響應預案，根據(jù)工作需要編制新的應急預案，確

11、保應急響應工作的有效性、適用性。4.6建立信息通報機制嚴格執(zhí)行安全防護事件通報制度，有關安全問題做好記錄。定期向所轄調(diào)度機構以及上級主管單位報送電力監(jiān)控系統(tǒng)安全防護情況，并及時上報電力監(jiān)控系統(tǒng)安全防護出現(xiàn)的異常現(xiàn)象、解決過程和最終結果。4.7信息電力監(jiān)控系統(tǒng)相關設備及系統(tǒng)的開發(fā)單位、供應商以合同條款或協(xié)議的方式保證其所提供的設備及系統(tǒng)符合規(guī)定要求，做好工作，禁止關鍵技術和設備信息的擴散。4.8項目資金保障落實專項資金，以確保安全防護總體方案的順利實施。填寫對本次電力監(jiān)控系統(tǒng)及其安全防護設備采購的資金情況、采購計劃等，可以根據(jù)自身情況，提供后續(xù)的維保計劃。5.技術措施5.1安全分區(qū)按照電力監(jiān)控系

12、統(tǒng)安全防護規(guī)定，原則上將*千伏*變（或電廠）基于計算機及網(wǎng)絡技術的業(yè)務系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，并根據(jù)業(yè)務系統(tǒng)的重要性和對一次系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)（安全區(qū)I）及非控制區(qū)（安全區(qū)II），重點保護生產(chǎn)控制區(qū)的業(yè)務安全。根據(jù)實際情況填寫，比如沒有管理信息大區(qū)的不應出現(xiàn)此類名詞。5.1.1生產(chǎn)控制大區(qū)的安全區(qū)劃分5.1.1.1安全區(qū)I：控制區(qū)控制區(qū)中的業(yè)務系統(tǒng)或其功能模塊（子系統(tǒng)）的典型特征為：直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，縱向使用數(shù)據(jù)網(wǎng)絡或?qū)Ｓ猛ǖ?，是安全防護的重點與核心。安全區(qū)I的業(yè)務主要包括：1變電站監(jiān)控系統(tǒng)簡單介紹系統(tǒng)功能實現(xiàn)、設備組成、部通信方式等相關容2

13、發(fā)電廠廠級分散控制系統(tǒng)（DCS系統(tǒng)）簡單介紹系統(tǒng)功能實現(xiàn)、設備組成、部通信方式等相關容3無功電壓自動控系統(tǒng)系統(tǒng)（AVC）簡單介紹系統(tǒng)功能實現(xiàn)、設備組成、部通信方式等相關容4發(fā)電自動控制系統(tǒng)（AGC）簡單介紹系統(tǒng)功能實現(xiàn)、設備組成、部通信方式等相關容若有其它相關系統(tǒng)，繼續(xù)補充注意：相關系統(tǒng)專業(yè)名詞可參考發(fā)電廠監(jiān)控系統(tǒng)安全防護方案，變電站監(jiān)控系統(tǒng)安全防護方案，一般發(fā)電廠系統(tǒng)比普通升壓站或者開關站要多；5.1.1.2安全區(qū)II：非控制區(qū)非控制區(qū)中的業(yè)務系統(tǒng)或其功能模塊的典型特征為：在線運行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡，與控制區(qū)中的業(yè)務系統(tǒng)或其功能模塊聯(lián)系緊密。安全區(qū)II的業(yè)務主要包括：保信

14、子站與錄障錄波系統(tǒng)簡單介紹系統(tǒng)功能實現(xiàn)、設備組成、部通信方式等相關容電能量信息采集裝置簡單介紹系統(tǒng)功能實現(xiàn)、設備組成、部通信方式等相關容水調(diào)自動化信息系統(tǒng)簡單介紹系統(tǒng)功能實現(xiàn)、設備組成、部通信方式等相關容若有其它相關系統(tǒng)，繼續(xù)補充注意：相關系統(tǒng)專業(yè)名詞可參考發(fā)電廠監(jiān)控系統(tǒng)安全防護方案，變電站監(jiān)控系統(tǒng)安全防護方案，一般發(fā)電廠系統(tǒng)比普通升壓站或者開關站要多；5.1.2 管理信息大區(qū)的安全區(qū)劃分主要業(yè)務包括：1調(diào)度生產(chǎn)管理系統(tǒng)按要求填寫，沒有則刪除本節(jié)容5.2網(wǎng)絡專用電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡，承載電力實時控制、在線生產(chǎn)交易等業(yè)務。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子

15、網(wǎng)，分別連接控制區(qū)和非控制區(qū)，并采用MPLS-VPN技術、靜態(tài)路由等構造子網(wǎng)。*千伏*變（或電廠）采用符合電力調(diào)度數(shù)據(jù)網(wǎng)規(guī)要求的專用網(wǎng)絡設備（共2套），配置的IP地址為調(diào)度機構統(tǒng)一分配，通過電力調(diào)度數(shù)據(jù)網(wǎng)實現(xiàn)與調(diào)度端的遠方數(shù)據(jù)通信。5.3 橫向隔離橫向隔離是電力監(jiān)控安全防護體系的橫向防線。在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應接近或達到物理隔離。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施，是橫向防護的關鍵設備。生產(chǎn)控制大區(qū)部的安全區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡設備、防火墻或者相當功能的

16、設施，實現(xiàn)邏輯隔離。*千伏*變（或電廠）采取的橫向邊界防護措施包括：1)在生產(chǎn)控制大區(qū)部控制區(qū)與非控制區(qū)之間部署了防火墻（共幾臺？）（或者相應的邏輯隔離設備）；2)同屬于*一安全的各系統(tǒng)之間、各不同位置的廠站網(wǎng)絡之間，根據(jù)需要采取了一定強度的邏輯訪問控制措施，如防火墻、VLAN等；3)在生產(chǎn)控制大區(qū)和管理信息大區(qū)間部署正向安全隔離裝置（共幾臺？）和反向安全隔離裝置（共幾臺？），其中正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。根據(jù)實際情況刪減，沒有則刪除本節(jié)

17、容5.4 縱向認證縱向加密認證是電力監(jiān)控系統(tǒng)安全防護體系的縱向防線，采用認證、加密、訪問控制等技術措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。*千伏*變（或電廠）生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處設置了經(jīng)過國家制定部分檢測認證的電力專用縱向加密認證裝置（共幾臺？），實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。5.5風險評估電力監(jiān)控系統(tǒng)風險評估是通過威脅分析、脆弱性發(fā)現(xiàn)等手段對電力監(jiān)控系統(tǒng)的安全風險狀況進行了解和掌握的過程。其主要目的是發(fā)現(xiàn)電力監(jiān)控系統(tǒng)現(xiàn)有的安全風險，并在對風險數(shù)據(jù)進行合理分析和判斷的基礎上為提高電力監(jiān)控系統(tǒng)的安全水平提供數(shù)據(jù)依據(jù)和實施依據(jù)。根據(jù)發(fā)改委14號令要求，*千伏*變（

18、或電廠）建立電力監(jiān)控系統(tǒng)安全評估制度，采取自評估為主、聯(lián)合評估為輔的方式，并納入電力系統(tǒng)安全評價體系。電力監(jiān)控系統(tǒng)安全評估工作按照常態(tài)化、周期性進行。在電力監(jiān)控系統(tǒng)的規(guī)劃、設計、建設改造、運維和廢棄都進行安全評估，確保系統(tǒng)全生命周期安全性。評估容主要包括以下幾個方面物理環(huán)境脆弱性對自動化機房的物理環(huán)境進行了評估，重點在物理位置選擇”、物理訪問控制”、防盜竊和防破壞”、防雷擊”、防火”、防水和防潮”、防靜電”、溫濕度控制”、電力供應”和電磁防護”等方面進行評估。網(wǎng)絡安全脆弱性 重點對電力監(jiān)控系統(tǒng)網(wǎng)網(wǎng)絡架構和網(wǎng)絡配置進行了評估，具體包括：對控制區(qū)（安全區(qū)）、非控制區(qū)（安全區(qū)）和信息管理大區(qū)的網(wǎng)絡架

19、構和網(wǎng)絡配置進行核實、并對整體的網(wǎng)絡架構進行分析。網(wǎng)絡安全脆弱性 通過對電力監(jiān)控系統(tǒng)網(wǎng)絡拓撲結構的分析，檢查調(diào)度網(wǎng)中是否未安裝專用縱向加密認證裝置，能否有效抵御黑客、病毒、惡意代碼等各種形式的惡意攻擊和破壞，系統(tǒng)整體防護是否存在潛在風險等。 安全管理脆弱性 通過檢查是否建立有效的自評估制度，以及是否進行周期性的檢查發(fā)現(xiàn)并解決電力監(jiān)控系統(tǒng)潛在的安全風險等。5.6主機加固站監(jiān)控系統(tǒng)等關鍵應用系統(tǒng)的的主服務器以及網(wǎng)絡邊界的通信網(wǎng)關機、WEB服務器等，使用凝思（按實際填寫）等安全加固的操作系統(tǒng)，提高系統(tǒng)的主機安全性和抗攻擊能力。目前已通過主機安全配置、安全補丁、采用專用軟件強化操作系統(tǒng)訪問控制能力，并

20、對主機的光盤驅(qū)動、USB 接口、串行口等外置接口進行嚴格管理。5.7設備備用和數(shù)據(jù)備份定期對關鍵業(yè)務的數(shù)據(jù)與系統(tǒng)進行備份，備份的數(shù)據(jù)必須存儲在可靠的介質(zhì)中并與系統(tǒng)分開存放，并制定使用數(shù)據(jù)備份進行數(shù)據(jù)庫故障情況恢復的預案。關鍵主機設備、網(wǎng)絡設備或關鍵部件應當進行相應的冗余配置。5.8防惡意代碼在惡意代碼可能入侵的網(wǎng)絡連接部位設置防護網(wǎng)關，攔截并清除企圖進入系統(tǒng)的惡意代碼，生產(chǎn)控制大區(qū)統(tǒng)一部署惡意代碼防護系統(tǒng)，不得與管理信息大區(qū)共用一套防惡意代碼管理服務器；定期查閱惡意代碼防護系統(tǒng)的日志記錄；病毒庫、木馬庫、IDS規(guī)則庫等進行定期更新升級，更新周期為半年。5.9入侵檢測為了及時發(fā)現(xiàn)入侵行為，在生產(chǎn)

21、控制大區(qū)統(tǒng)一部署了IDS系統(tǒng)（1套），利用入侵檢測技術，實時監(jiān)控網(wǎng)絡資源，精確識別各種入侵攻擊，防止入侵造成危害。5.10安全審計服務器、網(wǎng)絡設備等應當開啟審計功能，審計日志應至少可保存半年以上。6.信息安全等級保護信息安全等級保護是指根據(jù)信息系統(tǒng)在國家安全、社會穩(wěn)定、經(jīng)濟秩序和公共利益等方面的重要程度以及風險威脅、安全需求、安全成本等因素，將其劃分不同的安全保護等級并采取相應等級的安全保護技術、管理措施，以保障信息系統(tǒng)安全和信息安全。根據(jù)電力行業(yè)信息系統(tǒng)安全等級保護定級指導意見，本發(fā)電廠監(jiān)控系統(tǒng)符合等保二級（三級）要求，建成后會選擇符合電力行業(yè)信息安全等級保護管理辦法規(guī)定條件的測評機構，定期對電力信息系統(tǒng)安全等級狀況開展等級測評。二級系統(tǒng)每兩年一次，三級系統(tǒng)每年一次，并要求至當?shù)毓蚕到y(tǒng)進行備案。7.工作計劃填寫與電力監(jiān)控系統(tǒng)安全防護相關的工作計劃：對于新建的系統(tǒng)可以不予填寫；對于已經(jīng)投入運行的系統(tǒng)及設備，應當參照本方案限時整改，并提供整改計劃按要