光伏電站用戶站電力監(jiān)控系統(tǒng)安全防護方案

1、光伏電廠電力監(jiān)控系統(tǒng)安全防護技術方案編制：審核：批準：單位名稱（加蓋公章）2017年6月22日方案編制依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例國務院1994年147號令（2011年修訂）電力監(jiān)控系統(tǒng)安全防護規(guī)定中華人民共和國國家發(fā)展和改革委員會 2014年第 14號令國能安全2014317號國能安全2014318號國能安全201536號電力行業(yè)網(wǎng)絡與信息安全管理辦法«電力行業(yè)等級保護管理辦法«電力監(jiān)控系統(tǒng)安全防護總體方案二、總體目標和原則（一） 總體目標確保新特匯能電廠電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡的安全，抵御黑客、病毒、惡 意代碼等各種形式的惡意破壞和攻擊，特別是抵御

2、集團式攻擊，防止電力監(jiān)控系統(tǒng)的崩 潰或癱瘓，以及由此造成的電力系統(tǒng)事故或大面積停電事故。（二）總體原則堅持“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”總體原則，重點強化邊界防 護，提高內(nèi)部安全防護能力，保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全。三、安全防護方案（一）電力監(jiān)控系統(tǒng)概述1 .分散控制系統(tǒng)（DCS）無2 .網(wǎng)絡監(jiān)控系統(tǒng)（SCADA ）本廠SCADA系統(tǒng)包括（2）臺主機兼工作站、（4）臺工作站，操作系統(tǒng)主要采用 LINUX系統(tǒng),數(shù)據(jù)庫主要采用 MySQL數(shù)據(jù)庫。系統(tǒng)外部通信接口如下，均采用 TCP/IP 協(xié)議進行數(shù)據(jù)通訊：廳P互聯(lián)系統(tǒng)或設備接口型式1SCADA系統(tǒng)TCP/IP協(xié)議2功率預測系

3、統(tǒng)TCP/IP協(xié)議3綜合自動化裝置TCP/IP協(xié)議4自動電壓AVCTCP/IP協(xié)議5自動發(fā)電AGCTCP/IP協(xié)議3.相量測量裝置（PMU ）無。4 .電能量采集裝置本廠電能采集裝置采用蘭吉爾 FFG_Plus,電能表通過RS485與電能采集裝置進 行數(shù)據(jù)傳輸，后經(jīng)過采集裝置通過 TCP/IP協(xié)議進行數(shù)據(jù)通訊。5 .總體網(wǎng)絡拓撲圖（二）安全分區(qū)按照電力監(jiān)控系統(tǒng)安全防護規(guī)定，原則上將發(fā)電廠基于計算機及網(wǎng)絡技術的業(yè) 務系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，并根據(jù)業(yè)務系統(tǒng)的重要性和對一次系統(tǒng)的 影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)（安全區(qū)I）及非控制區(qū)（安全區(qū)n）,重點保護生產(chǎn)控制及直接影響機組運行的

4、系統(tǒng)。本廠安全分區(qū)如下：安全I區(qū)：光伏區(qū)環(huán)網(wǎng)、工作站、保護裝置、直流系統(tǒng)、 ups站用變、站控設備組 成的控制網(wǎng)絡，與安全n區(qū)通過防火墻實現(xiàn)硬件隔離。安全R區(qū)：電能采集、功率預測數(shù)據(jù)，安全R區(qū)與安全田區(qū)通過反向隔離裝置實現(xiàn) 硬件隔離。安全田區(qū)：mis管理系統(tǒng)，此鏈路獨立無其他連接， 氣象站通過反向隔離裝置與安 全n區(qū)功率預測實現(xiàn)硬件隔離。匯能庫爾勒光伏一電站安全分區(qū)表序號業(yè)務系統(tǒng)及設備控制區(qū)安全一區(qū)非控制區(qū)安全二區(qū)管理信息大區(qū)1光伏電站運行監(jiān)控系統(tǒng)電站運行監(jiān)控2無功電壓控制無功電壓控制3發(fā)電功率控制發(fā)電功率控制4開關柜監(jiān)控系統(tǒng)開關柜監(jiān)控5繼電保護裝置及管理終端保護裝置6故障錄波故障錄波裝置7電

5、能量采集裝置電能量采集8光伏功率預測系統(tǒng)光功率預測9天氣預報系統(tǒng)數(shù)字天氣預報10管理信息系統(tǒng)MISMIS（三）網(wǎng)絡專用調(diào)度數(shù)據(jù)網(wǎng)是生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡，電力實時控制、在線生產(chǎn)交易等業(yè) 務。我廠的電力調(diào)度數(shù)據(jù)網(wǎng)使用電力光纜且網(wǎng)絡設備獨立，物理層面上實現(xiàn)與電力企業(yè) 其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。廠端電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時 子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。（四）橫向隔離橫向隔離是電力監(jiān)控系統(tǒng)安全防護體系的橫向防線。應當采用不同強度的安全設備 隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國家指定部門檢測認證 的電力專用橫向單向安全隔離裝置，隔離強度應

6、當接近或達到物理隔離。生產(chǎn)控制大區(qū) 內(nèi)部的安全區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡設備、安全可靠的硬件防火墻或者 相當功能的設施，實現(xiàn)邏輯隔離。防火墻的功能、性能、電磁兼容性必須經(jīng)過國家相關 部門的認證和測試。我廠控制區(qū)與非控制區(qū)配置 SECWORLD防火墻，規(guī)則合理運行正常，除此鏈接外 無其他鏈路鏈接控制區(qū)與非控制區(qū)。（五）縱向認證縱向加密認證是電力監(jiān)控系統(tǒng)安全防護體系的縱向防線。發(fā)電廠生產(chǎn)控制大區(qū)與調(diào) 度數(shù)據(jù)網(wǎng)的縱向連接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝 置，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制其他安全措施。我廠信息管理大區(qū)（天氣預測系統(tǒng)）與安全二區(qū)裝設反向隔離裝置

7、 Stone wall-2000 單向數(shù)據(jù)傳遞正常，信息管理區(qū)除此連接外并無其他鏈路介入安全二區(qū)。 MIS系統(tǒng)為獨 立鏈路，無其他接入。1 .防病毒我站生產(chǎn)區(qū)域內(nèi)的計算機信息系統(tǒng)，要與 Internet網(wǎng)分開，并建立計算機病毒防火墻，對服務器，要采用先進的網(wǎng)絡防計算機病毒軟件，并對經(jīng)過服務器的信息進行監(jiān)控， 防止計算機病毒通過郵件服務器擴散、傳播。隨時注意各種異常現(xiàn)象，一旦發(fā)現(xiàn)，應立即用查毒軟件仔細檢查。經(jīng)常更新與升級防殺計算機病毒軟件的版本。 對生產(chǎn)區(qū)域內(nèi)的要定 點、定時、定人作查毒殺毒巡檢。當出現(xiàn)計算機病毒傳染跡象時，立即隔離被感染的系統(tǒng) 和網(wǎng)絡并進行處理，不應帶“毒”繼續(xù)運行；發(fā)現(xiàn)計算機

8、病毒后，一般應利用防殺計算機 病毒軟件清除文件中的計算機病毒，對于殺毒軟件無法殺除的計算機病毒， 應及時請專業(yè) 人員解決。對新購進的計算機及設備，為防止原始計算機病毒的侵害，要組織專業(yè)人員檢 查后方可安裝運行；聯(lián)網(wǎng)計算機、重要系統(tǒng)的關鍵計算機要安裝防計算機病毒軟件，并定期或及時更新計算機病毒防范產(chǎn)品的版本； 要使用國家規(guī)定的、具有計算機使用系統(tǒng)安全 專用產(chǎn)品銷售許可證的計算機防計算機病毒產(chǎn)品。 系統(tǒng)中的程序要定期進行比較測試和檢 查。嚴禁使用盜版軟件，特別是盜版的殺毒軟件，嚴禁在工作計算機上安裝、運行各類游戲軟件。2 .主機加固我廠準備安裝主機加固，主機加固軟件為信達S-numen,強制進行權

9、限分配，保證對系統(tǒng)資源（包括數(shù)據(jù)和進程）的訪問符合定義的主機安全策略，防止主機權限被濫用。3 .入侵檢測當系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時，S-numen利用自身功能對用戶（程 序）在網(wǎng)絡層和系統(tǒng)內(nèi)部對該用戶（程序）進行阻斷，并且由系統(tǒng)向管理員進行報警。在 報警條件中添加相應的報警規(guī)則，S-numen可對入侵行為和違反安全策略的用戶（程序） 進行阻斷。當有違反安全規(guī)則的情況出現(xiàn)時，S-numen服務器端會向特定的系統(tǒng)發(fā)送報警 信息，S-numen監(jiān)控程序會以多中方式進行報警。在后臺可以提供告警。4 .安全審計日志審計和日志管理對于網(wǎng)絡安全會起到重要作用，S-numen擁有獨立的日志審計

10、系統(tǒng),通過方便的檢索可以方便安全管理員的工作。S-numen的日志生成實在內(nèi)核級上實現(xiàn)的，日志根據(jù)設置也可不生成，當生成時， 還可以設置是否按項目設置生成， 所以應視 系統(tǒng)存儲空間的大小進行適當設置來使用。S-numen提供多種檢索功能，方便管理的工作。5.等級測評5.1.1 保護及遠動通信系統(tǒng)定級序號定級對象系統(tǒng)級別1電力調(diào)度數(shù)據(jù)網(wǎng)2級2SCADA（統(tǒng)3級3故障錄波器系統(tǒng)3級4電量計量系統(tǒng)2級5AVC系統(tǒng)3級6時間同步裝置2級7保護裝置3級8調(diào)度綜合數(shù)據(jù)網(wǎng)2級9通信電源系統(tǒng)2級10光端機系統(tǒng)2級11PCM（統(tǒng)2級12調(diào)度交換機系統(tǒng)2級13行政交換機系統(tǒng)2級5.1.2信息專業(yè)設備定級序號定級對象系統(tǒng)級別1全廠網(wǎng)絡2級2視頻監(jiān)控系統(tǒng)2級3電子圍欄系統(tǒng)2級4軟件系統(tǒng)2級5.2生產(chǎn)控制大區(qū)內(nèi)部安全防護技術要求(1)禁止生產(chǎn)控制大區(qū)內(nèi)部的E-Mail服務，禁止控制區(qū)內(nèi)通用的 WEB服務，并進 行安全加固。(2)生產(chǎn)控制大區(qū)重要業(yè)務的遠