電廠電力監(jiān)控系統(tǒng)安全防護方案

1、 *電廠電力監(jiān)控系統(tǒng)安全防護方案編制：審核：批準：*公司*年*月第1章電力監(jiān)控系統(tǒng)安全防護方案一、 總體概況*共裝*機組，其中*機容量*MW，*機容量*MW,于*年投運，接入某電力調(diào)控中心和*集控中心。包括：*機組*系統(tǒng)、*升壓站*系統(tǒng)、調(diào)度數(shù)據(jù)網(wǎng)以及廠級實時監(jiān)控系統(tǒng)、*系統(tǒng)、*系統(tǒng)、*系統(tǒng)等。2、 安全分區(qū)按照電力二次系統(tǒng)安全防護規(guī)定，原則上將發(fā)電廠基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，并根據(jù)業(yè)務(wù)系統(tǒng)的重要性和對一次系統(tǒng)的影響程度再將生產(chǎn)控制大區(qū)劃分為控制區(qū)（安全區(qū)I）及非控制區(qū)（安全區(qū)II），重點保護生產(chǎn)控制以及直接影響電力生產(chǎn)(機組運行)的系統(tǒng)。 l 按照表2.

2、1中示例，列舉并說明廠內(nèi)全部電力監(jiān)控系統(tǒng)的安全分區(qū)情況（包括集控中心）。序號業(yè)務(wù)系統(tǒng)及設(shè)備控制區(qū)非控制區(qū)信息管理大區(qū)備注1調(diào)速和自動發(fā)電功能AGC調(diào)速、自動發(fā)電控制A12故障錄波故障錄波裝置B3火電廠級信息監(jiān)控系統(tǒng)監(jiān)控功能優(yōu)化功能管理功能A24電量采集裝置電量采集裝置A1、B.表2.1 安全分區(qū)表注：A1：與調(diào)控中心有關(guān)的電廠監(jiān)控系統(tǒng)A2：電廠內(nèi)部監(jiān)控系統(tǒng)B:調(diào)控中心監(jiān)控的廠站側(cè)設(shè)備與調(diào)控中心無關(guān)的電力監(jiān)控系統(tǒng)不接入調(diào)度數(shù)據(jù)網(wǎng)。三、網(wǎng)絡(luò)專用l 按3.1和3.2節(jié)示例要求，列舉并說明廠內(nèi)全部電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)描述（包括集控中心）。3.1 調(diào)度數(shù)據(jù)網(wǎng)l 畫出廠內(nèi)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備網(wǎng)絡(luò)拓撲圖，并說明使用

3、的網(wǎng)絡(luò)協(xié)議和通信方式。l 填寫表3.1：網(wǎng)絡(luò)描述及設(shè)備清單。l 描述網(wǎng)絡(luò)的組網(wǎng)方式及拓撲結(jié)構(gòu)。表3.1：網(wǎng)絡(luò)描述及設(shè)備清單名稱用途是否使用獨立網(wǎng)絡(luò)設(shè)備組網(wǎng)（請具體說明）是否與其他網(wǎng)絡(luò)相連（請具體說明）調(diào)度數(shù)據(jù)網(wǎng)生產(chǎn)控制大區(qū)專用網(wǎng)絡(luò)是，獨立設(shè)備組網(wǎng)否名稱及數(shù)量廠家及型號用途詳細配置安全加固措施路由器(*臺)華三S1200省調(diào)接入網(wǎng)路由器名稱及數(shù)量廠家及型號用途詳細配置安全加固措施交換機(*臺)華三S1200省調(diào)接入網(wǎng)交換機3.2 升壓站站控層網(wǎng)絡(luò)l 畫出升壓站站控層網(wǎng)絡(luò)拓撲圖，并說明使用的網(wǎng)絡(luò)協(xié)議和通信方式。l 填寫表3.2：網(wǎng)絡(luò)描述及設(shè)備清單。l 描述網(wǎng)絡(luò)的組網(wǎng)方式及拓撲結(jié)構(gòu)。表3.2：網(wǎng)絡(luò)描

4、述及設(shè)備清單名稱用途是否使用獨立網(wǎng)絡(luò)設(shè)備組網(wǎng)（請具體說明）是否與其他網(wǎng)絡(luò)相連（請具體說明）升壓站站控層網(wǎng)絡(luò)保護、測控等裝置與后臺、遠動機通信是，獨立設(shè)備組網(wǎng)是，與機組控制系統(tǒng)通過4-20mA小信號線互聯(lián)與調(diào)度數(shù)據(jù)網(wǎng)I區(qū)交換機通過雙絞線互聯(lián).名稱及數(shù)量廠家及型號用途詳細配置安全加固措施路由器(*臺)名稱及數(shù)量廠家及型號用途詳細配置安全加固措施交換機(*臺)華三S1200構(gòu)建站控層A網(wǎng)3.3 其他網(wǎng)絡(luò)（根據(jù)現(xiàn)場實際情況補充）.四、橫向隔離l 按4.1節(jié)示例要求，列舉并說明廠內(nèi)全部電力監(jiān)控系統(tǒng)的橫向隔離情況（包括集控中心）。4.1 生產(chǎn)控制大區(qū)與非生產(chǎn)控制大區(qū)的安全隔離l 填寫表4.1：安全設(shè)備描述

5、及清單。表4.1：安全設(shè)備描述及清單名稱及數(shù)量廠家及型號用途詳細配置(可截圖)安全加固措施橫向隔離裝置(*臺)科東stonewall-2000*系統(tǒng)同*系統(tǒng)正向數(shù)據(jù)傳輸策略：系統(tǒng)配置：等詳細列出已采取的安全加固措施。名稱及數(shù)量廠家及型號用途詳細配置(可截圖)安全加固措施防火墻(*臺)東軟NETeye5200*系統(tǒng)同*系統(tǒng)數(shù)據(jù)傳輸策略：系統(tǒng)配置：等詳細列出已采取的安全加固措施。4.2 生產(chǎn)控制大區(qū)與信息管理大區(qū)的安全隔離.4.3 非生產(chǎn)控制大區(qū)與信息管理大區(qū)的安全隔離.4.4 安全接入?yún)^(qū)的安全隔離.五、縱向認證l 按5.1節(jié)示例要求，列舉并說明廠內(nèi)全部電力監(jiān)控系統(tǒng)的縱向認證情況（包括集控中心）。

6、5.1 生產(chǎn)控制大區(qū)與電力調(diào)控中心的縱向認證l 填寫表5.1：安全設(shè)備描述及清單。表5.1：安全設(shè)備描述及清單名稱及數(shù)量廠家及型號用途詳細配置(可截圖)安全加固措施縱向加密裝置(*臺)南瑞netkeeper2000I區(qū)省調(diào)接入網(wǎng)同中調(diào)通信隧道：策略：系統(tǒng)配置：等詳細列出已采取的安全加固措施。5.2 生產(chǎn)控制大區(qū)與集控中心的縱向認證.5.3 III區(qū)與調(diào)控中心的縱向認證.5.4 安全接入?yún)^(qū)與公網(wǎng)的縱向認證.六、整體安全防護現(xiàn)狀l 要求圖6.1中畫出廠內(nèi)各系統(tǒng)的互聯(lián)關(guān)系，并說明各系統(tǒng)間的互聯(lián)方式及相關(guān)安全防護措施，按要求填寫表格6.1,6.2，及附表。l 要求在表格6.1中列出接入電廠內(nèi)各系統(tǒng)的廠

7、外網(wǎng)絡(luò)類型（互聯(lián)網(wǎng)、集團網(wǎng)、政府專網(wǎng)、集控中心專網(wǎng)、調(diào)度數(shù)據(jù)網(wǎng)等）。*電廠電力監(jiān)控系統(tǒng)總體方案的框架結(jié)構(gòu)圖：6.1 *電廠系統(tǒng)安全部署示意圖表格6.1 *電廠監(jiān)控系統(tǒng)安全分區(qū)表（按實際情況填寫）序號控制大區(qū)（圖中P1）/廠外網(wǎng)絡(luò)接入類型非控制大區(qū)（圖中P2）/廠外網(wǎng)絡(luò)接入類型信息管理大區(qū)（圖中P3）/廠外網(wǎng)絡(luò)接入類型外部網(wǎng)絡(luò)（圖中P4）安全接入?yún)^(qū)（圖中P5）1NCS系統(tǒng)（含AVC、AGC功能模塊）調(diào)度數(shù)據(jù)網(wǎng)電量采集裝置調(diào)度數(shù)據(jù)網(wǎng)調(diào)控管理系統(tǒng)工作站電力綜合通信數(shù)據(jù)網(wǎng).2PMU調(diào)度數(shù)據(jù)網(wǎng)故障錄波裝置調(diào)度數(shù)據(jù)網(wǎng).3保信子站調(diào)度數(shù)據(jù)網(wǎng)發(fā)電計劃工作站調(diào)度數(shù)據(jù)網(wǎng)4機組控制系統(tǒng)無SIS系統(tǒng)無5.表格6.2

8、*電廠監(jiān)控系統(tǒng)接口描述表（按實際情況填寫）編號接口描述數(shù)據(jù)傳輸方向數(shù)據(jù)類型通信方式及協(xié)議安全防護措施I0NCS系統(tǒng)AGC模塊與機組控制系統(tǒng)接口AGC模塊->機組控制系統(tǒng)AGC指令值4-20mA小信號無I1機組控制系統(tǒng)與SIS系統(tǒng)接口機組控制系統(tǒng)->SIS系統(tǒng)接口機組實時數(shù)據(jù)雙絞線，TCP/IP防火墻（對應(yīng)表4.4中“東軟NETeye5200”）I2SIS系統(tǒng)接口與MIS系統(tǒng)接口SIS系統(tǒng)->MIS系統(tǒng)生產(chǎn)數(shù)據(jù)雙絞線單向隔離設(shè)備（對應(yīng)表*中*）.七、控制大區(qū)系統(tǒng)概況l 參照模板，補充各大區(qū)的全部系統(tǒng)的概況及其相應(yīng)示部署意圖和網(wǎng)絡(luò)連接圖（集控中心也按各大區(qū)分類補充）?？刂拼髤^(qū)主要

9、包括：自動發(fā)電控制模塊（AGC）、自動電壓控制模塊（AVC）、升壓站監(jiān)控系統(tǒng)（NCS）、相量測量裝置（PMU）、保護信息子站、相應(yīng)調(diào)度數(shù)據(jù)網(wǎng)安防及網(wǎng)絡(luò)設(shè)備、*等。(1)NCS系統(tǒng)現(xiàn)狀NCS系統(tǒng)采用的是*公司的*系統(tǒng)，提供對*電廠的*功能，為外部*系統(tǒng)提供*數(shù)據(jù)，部署在安全控制大區(qū)，通過遠動設(shè)備與調(diào)度之間使用縱向加密設(shè)備傳輸*數(shù)據(jù)。*系統(tǒng)主要包括*模塊、*裝置等。*系統(tǒng)的邊界防護的措施較為完善，與*系統(tǒng)之間存在數(shù)據(jù)交互，部署了電力行業(yè)*裝置進行了隔離，與*系統(tǒng)之間通過串口線連接。（按實際情況編寫）(2)AGC模塊現(xiàn)狀A(yù)GC系統(tǒng)采用的是*公司的*系統(tǒng)，提供對*電廠的功率調(diào)節(jié)功能，為外部*系統(tǒng)提供*

10、數(shù)據(jù)，部署在控制大區(qū)，通過遠動設(shè)備與調(diào)度之間使用縱向加密設(shè)備傳輸*數(shù)據(jù)。（按實際情況編寫）(3)AVC模塊現(xiàn)狀.(N)*系統(tǒng)現(xiàn)狀.7.1.1 控制大區(qū)系統(tǒng)部署示意圖:l 要求詳細畫出廠內(nèi)控制大區(qū)內(nèi)全部系統(tǒng)，并說明各系統(tǒng)互聯(lián)情況及相關(guān)安全防護措施，并填寫表格7.1.1。圖7.1.1 控制大區(qū)系統(tǒng)部署示意圖表格7.1.1 *電廠監(jiān)控系統(tǒng)接口描述表（按實際情況填寫）編號接口描述數(shù)據(jù)傳輸方向數(shù)據(jù)類型通信方式及協(xié)議安全防護措施I0NCS系統(tǒng)AGC模塊與機組控制系統(tǒng)接口AGC模塊->機組控制系統(tǒng)AGC指令值4-20mA小信號無I1PMU采集器與機組控制系統(tǒng)接口PMU采集器->機組控制系統(tǒng)PMU

11、采集數(shù)據(jù)4-20mA小信號和硬接線無.7.1.2 控制大區(qū)系統(tǒng)實際網(wǎng)絡(luò)連接圖:l 要求詳細畫出控制大區(qū)內(nèi)全部系統(tǒng)，及所使用的全部網(wǎng)絡(luò)、安全設(shè)備（包括調(diào)度數(shù)據(jù)網(wǎng)設(shè)備），并說明設(shè)備型號、各端口用途。八非控制大區(qū)系統(tǒng)概況.九信息管理大區(qū)系統(tǒng)概況.十、安全接入?yún)^(qū)概況.十一、集控中心控制大區(qū)系統(tǒng)概況.第2章電廠電力監(jiān)控系統(tǒng)安全管理概況一、規(guī)章制度l 要求列出與網(wǎng)絡(luò)安全相關(guān)的管理制度，并將材料作為附件上傳（根據(jù)實際情況上報）。序號名稱編制日期2、 相關(guān)人員職責l 要求列出相關(guān)人員職責與，并將材料作為附件上傳（根據(jù)實際情況上報）。序號某崗位職責聯(lián)系方式3、 應(yīng)急預(yù)案l 要求列出相關(guān)的應(yīng)急預(yù)案，并將材料作為附

12、件上傳（根據(jù)實際情況上報）。序號名稱編制日期第3章 等級保護一、信息安全等級保護l 要求各電廠根據(jù)實際情況說明是否完成電力監(jiān)控系統(tǒng)定級、備案工作，且開展定期測評。 序號系統(tǒng)所屬單位名稱系統(tǒng)名稱系統(tǒng)定級情況備案情況測評工作情況系統(tǒng)等級備案號公安機關(guān)測評單位上次測評時間1*系*某省公安廳2第4章 通用安全防護措施l 要求各電廠依據(jù)國能安全2015年36號文件和國網(wǎng)某電力調(diào)控中心關(guān)于印發(fā)某電力監(jiān)控系統(tǒng)安全防護專項檢查“回頭看”工作方案的通知（調(diào)自201659號）補充通用防護措施的開展情況（根據(jù)實際情況上報），按照示例補充各章節(jié)內(nèi)容。1 物理安全l 要求各電廠列出廠內(nèi)機房環(huán)境及UPS電壓等物理設(shè)施信息

13、，補充下表。名稱溫濕度監(jiān)控設(shè)備部署情況防潮、防水情況視頻監(jiān)控系統(tǒng)部署情況.自動化機房名稱設(shè)備容量當前負載設(shè)備冗余情況UPS間環(huán)境.UPS電源.2、 主機加固l 要求各電廠列出廠內(nèi)全部主機信息，補充下表。名稱及數(shù)量廠家及型號操作系統(tǒng)類型用途主機加固情況服務(wù)器(*臺)聯(lián)想P7000凝思詳細列出主機的加固措施，如取消主機默認路由，關(guān)閉無用端口，密碼復(fù)雜度等名稱及數(shù)量廠家及型號操作系統(tǒng)類型用途主機加固情況工程師站(*臺)聯(lián)想P7000凝思詳細列出主機的加固措施，如取消主機默認路由，關(guān)閉無用端口，密碼復(fù)雜度等.三、惡意代碼防Xl 此處描述是否部署有惡意代碼防X，若有，說明部署的安全區(qū)、廠家、型號、版本、更新周期等4、 入侵檢測l 此處描述是否部署有入侵檢測，若有，說明部署的安全區(qū)、廠家、型號、版本、更新周期等。5、 備用與容災(zāi)l 此處描述對關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份管理，如主機雙機熱備，數(shù)據(jù)定期備份，網(wǎng)絡(luò)設(shè)備和關(guān)鍵部件的冗余配置等。 6、 遠程撥號訪問l 此處說