电厂电力监控系统安全防护方案

1、word 格式文档* 电厂电力监控系统安全防护方案编制 ：审核 ：批准 ：* 公司专业整理word 格式文档* 年* 月第 1 章 电力监控系统安全防护方案一、 总体概况* 共装 * 机组，其中 * 机容量 *MW ，* 机容量 *MW, 于* 年投运，接入福建电力调控中心和 * 集控中心 。包括 ：* 机组 * 系统、*升压站 * 系统、调度数据网以及厂级实时监控系统 、* 系统、* 系统、*系统等 。二、安全分区按照电力二次系统安全防护规定 ，原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区 ，并根据业务系统的重要性和对一次系统的影响程度再将生产控制大区划分为控

2、制区 （安全区 I）及非控制区（安全区 II），重点保护生产控制以及直接影响电力生产 (机组运行 )的系统。按照表 2.1中示例，列举并说明 厂内全部 电力监控系统的安全分区情况 （包括集控中心 ）。专业整理word 格式文档序业务系统及设 控制区非控制区信息管理大区备注号备1调速和自动发 调速、自动发A1电功能 AGC电控制2故障录波故障录波装置B3火电厂级信息 监控功能优化功能管理功能A2监控系统4电量采集装置电量采集装置A1、B.表2.1安全分区表注：A1：与调控中心有关的电厂监控系统A2：电厂内部监控系统B:调控中心监控的厂站侧设备与调控中心无关的电力监控系统不接入调度数据网。三、网络

3、专用按3.1和3.2节示例要求 ，列举并说明 厂内全部 电力监控系统的网络描述（包括集控中心 ）。3.1 调度数据网专业整理word 格式文档画出厂内调度数据网设备网络拓扑图，并说明使用的网络协议和通信方式。填写表 3.1：网络描述及设备清单 。描述网络的组网方式及拓扑结构。表 3.1：网络描述及设备清单是否使用独立网络是否与其他网络相名称用途设备组网 （请具体连（请具体说明 ）说明）生产控制大区专用调度数据网网络是，独立设备组网否名称及数厂家及型号用途详细配置安全加固措施量华三 S1200省调接入网路由器路由器(* 台)名称及数厂家及型号用途详细配置安全加固措施量交换机华三 S1200省调接

4、入网交换机专业整理word 格式文档(* 台)3.2 升压站站控层网络画出升压站站控层网络拓扑图，并说明使用的网络协议和通信方式。填写表 3.2：网络描述及设备清单 。描述网络的组网方式及拓扑结构。表 3.2：网络描述及设备清单是否使用独立网络设备组是否与其他网络相名称用途网（请具体说明 ）连（请具体说明 ）是，与机组控制系统通过 4-20mA 小信号线互保护、测控等联升压站站装置与后台 、是，独立设备组网与调度数据网 I 区交换控层网络远动机通信机通过双绞线互联.名称及数厂家及型号用途详细配置安全加固措施量专业整理word 格式文档路由器(* 台)名称及数厂家及型号用途详细配置安全加固措施量

5、华三 S1200构建站控层 A 网交换机(* 台)3.3 其他网络 （根据现场实际情况补充）.四、横向隔离按4.1节示例要求 ，列举并说明 厂内全部 电力监控系统的横向隔离情况 （包括集控中心 ）。4.1 生产控制大区与非生产控制大区的安全隔离填写表 4.1：安全设备描述及清单 。表 4.1：安全设备描述及清单专业整理word 格式文档名称及数详细配置厂家及型号用途安全加固措施量(可截图 )科东策略：详细列出已采stonewall-2*系统同 *系统正向系统配置 ：取的安全加固横向隔离数据传输000等措施。装置(*台)名称及数详细配置厂家及型号用途安全加固措施量(可截图 )东软策略：详细列出已

6、采NETeye520*系统同 *系统数据系统配置 ：取的安全加固0传输防火墙等措施。(*台)4.2 生产控制大区与信息管理大区的安全隔离.4.3 非生产控制大区与信息管理大区的安全隔离专业整理word 格式文档.4.4 安全接入区的安全隔离.五、纵向认证按5.1节示例要求 ，列举并说明 厂内全部 电力监控系统的纵向认证情况 （包括集控中心 ）。5.1 生产控制大区与电力调控中心的纵向认证填写表 5.1：安全设备描述及清单 。表 5.1：安全设备描述及清单名称及数详细配置厂家及型号用途安全加固措施量(可截图 )隧道：南瑞I 区省调接入网同中详细列出已采netkeeper2策略：取的安全加固纵向加

7、密调通信系统配置 ：000措施。装置等(*台)5.2 生产控制大区与集控中心的纵向认证专业整理word 格式文档.5.3 III 区与调控中心的纵向认证.5.4 安全接入区与公网的纵向认证.六、整体安全防护现状要求图 6.1中画出厂内各系统的互联关系，并说明各系统间的互联方式及相关安全防护措施 ，按要求填写表格 6.1,6.2，及附表 。要求在表格6.1 中列出接入电厂内各系统的厂外网络类型（互联网、集团网、政府专网 、集控中心专网 、调度数据网等 ）。* 电厂电力监控系统总体方案的框架结构图：专业整理word 格式文档外部网络公用通信网安全接入区生产控制大区信息管理大区P5P1P2P3I区I

8、I区机组控制系统I1I2I0SIS系统MIS系统NCS系统.故障录波系统PMU系统电能计量系统保护信息子站发电计划工作站.AGC系统.公网前置机I区电力调度生产管II 区III 区理系统OMS实时子网非实时子网电力调度数据网电力企业综合数据网6.1 * 电厂系统安全部署示意图外部网络P4外网P1:控制大区P2:非控制大区P3:信息管理大区P4:外部网络P5:安全接入区防火墙隔离设备纵向加密专业整理word 格式文档表格 6.1 * 电厂监控系统安全分区表 （按实际情况填写 ）序号控制大区 （图中 P1） 非控制大区 （图中 P2）信息管理大区 （图中 P3）外部网络安全接入区/ 厂外网络接入类

9、型/ 厂外网络接入类型/ 厂外网络接入类型（图中（图中P4）P5）1NCS系统 调度数据电量采集装置调度数据调控管理系电力综合通 .（含 网网统工作站信数据网AVC、AGC 功能模块）2PMU调度数据故障录波装置调度数据.网网3保信子站调度数据发电计划工作 调度数据专业整理word 格式文档网站网4机组控制无SIS系统无系统5.表格 6.2 * 电厂监控系统接口描述表（按实际情况填写 ）编号接口描述数据传输方向数据类型通信方式及协议安全防护措施I0NCS 系统 AGC 模块与机AGC 模块 - 机组控制AGC 指令值4-20mA 小信号无组控制系统接口系统I1机组控制系统与 SIS 系统机组控

10、制系统 -SIS 系 机组实时数据双绞线，TCP/IP防火墙 （对应表接口统接口4.4 中“东软NETeye5200”）专业整理word 格式文档I2SIS 系统接口与 MIS 系统SIS 系统 -MIS 系统生产数据双绞线单 向 隔 离 设 备接口（对应表*中* ）.专业整理word 格式文档七、控制大区系统概况参照模板 ，补充各大区的全部系统的概况及其相应示部署意图和网络连接图（集控中心也按各大区分类补充）。控制大区主要包括 ：自动发电控制模块 （AGC）、自动电压控制模块（ AVC）、升压站监控系统 （NCS）、相量测量装置 （PMU ）、保护信息子站、相应调度数据网安防及网络设备 、*

11、 等。(1)NCS系统现状NCS 系统采用的是 * 公司的 * 系统，提供对 * 电厂的 * 功能，为外部 * 系统提供 * 数据，部署在安全控制大区 ，通过远动设备与调度之间使用纵向加密设备传输 * 数据 。* 系统主要包括 * 模块、 * 装置等 。* 系统的边界防护的措施较为完善 ，与* 系统之间存在数据交互，部署了电力行业* 装置进行了隔离，与* 系统之间通过串口线连接。（按实际情况编写 ）(2)AGC 模块现状AGC 系统采用的是 * 公司的 *系统，提供对 * 电厂的功率调节功能 ，为外部* 系统提供 * 数据，部署在控制大区 ，通过远动设备与调度之间使用纵向加密设备传输 * 数据

12、 。（ 按实际情况编写 ）(3)AVC 模块现状.(N)* 系统现状专业整理word 格式文档.7.1.1 控制大区系统部署示意图:要求详细画出厂内控制大区内全部系统 ，并说明各系统互联情况及相关安全防护措施 ，并填写表格 7.1.1。地调接入网省调接入网I 区纵向加密I 区纵向加密省调接入网I 区交换机地调接入网I 区交换机PMUPMU集中器 A集中器 B保信子站远动机 A远动机 BPMUPMU保护测控机组采集器 A采集器 B测控I1I0机组控制系统图7.1.1 控制大区系统部署示意图表格 7.1.1 * 电厂监控系统接口描述表（按实际情况填写 ）编接口描述数据传输方向数据类型通信方式及安全

13、防护措专业整理word 格式文档号协议施I0NCS 系统AGCAGC 模块 - 机AGC 指令值4-20mA小无模块与机组控制组控制系统信号系统接口I1PMU采集器与PMU采 集 器PMU 采集数4-20mA小无机组控制系统接- 机组控制系据信号和硬接口统线.7.1.2 控制大区系统实际网络连接图:要求详细画出控制大区内全部系统，及所使用的全部网络 、安全设备 （包括调度数据网设备 ），并说明设备型号 、各端口用途 。八非控制大区系统概况.九信息管理大区系统概况.十、安全接入区概况专业整理word 格式文档.十一、集控中心控制大区系统概况.第 2 章 电厂电力监控系统安全管理概况一、规章制度要

14、求列出与网络安全相关的管理制度，并将材料作为附件上传（根据实际情况上报 ）。序号名称编制日期二、相关人员职责要求列出相关人员职责与名单，并将材料作为附件上传 （根据实际情况上报）。序号姓名岗位职责联系方式专业整理word 格式文档三、应急预案要求列出相关的应急预案，并将材料作为附件上传 （根据实际情况上报）。序号名称编制日期第3章等级保护一、信息安全等级保护要求各电厂根据实际情况说明是否完成电力监控系统定级、备案工作 ，且开展定期测评 。系统定级情系统所备案情况测评工作情况序况属单位系统名称号测评名称系统等级备案号公安机关上次测评时间单位1* 系 *福建省公安厅*2专业整理word 格式文档第

15、 4 章 通用安全防护措施要求各电厂依据国能安全2015 年36号文件和国网福建电力调控中心关于印发福建电力监控系统安全防护专项检查“回头看 ”工作方案 的通知（调自2016 59号）补充通用防护措施的开展情况（根据实际情况上报 ），按照示例补充各章节内容 。一物理安全要求各电厂列出厂内机房环境及UPS电压等 物理设施信息 ，补充下表 。名称温湿度监控设防潮、防水情视频监控系统.备部署情况况部署情况自动化机房名称设备容量当前负载设备冗余情况UPS间环境.UPS 电源专业整理word 格式文档.二、主机加固要求各电厂列出厂内 全部主机 信息，补充下表 。名称及数量厂家及型号操作系统类型用途主机加固情况详细列出主机的加固措施 ，如取消主机默认路联想 P7000凝思由，关闭无用端服务器口，密码复杂度(*台)等名称及数量厂家及型号操作系统类型用途主机加固情况详细列出主机的工程师站联想 P7000凝思加固措施 ，如取(*台)消主机默认路专业整理word 格式文档由，关闭无用端口，密码复杂度等.三、恶意代码防范此处描述是否部署有恶意代码防范，若有，说明部署的安全区 、厂家、型号、版本、更新周期等四、入侵检测此处描述是否部署有入侵检测，若有，说明部署的安全区 、厂家、型号、版本、更新周期等 。五、备用与容灾此处描述对关键业务数据的备份管理，如主机双机热备 ，数据定期备份 ，网络设备和关键