电厂电力监控系统安全防护方案

1、*电厂电力监控系统安全防护我厂根据相关文件要求,开展了电力监控系统安全防护的自查和整改工作,在前阶段安全防护工作的基础上,对现有系统进行必要的结构性边界调整或完善,重点对电力生产控制系统的边界采取有效的安全防护措施;按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则,制定了本单位的监控系统安全防护方案如下:1 总则1.1设计依据为了加强发电厂监控系统安全防护,确保电力监控系统及电力调度数据网络的安全,依据中华人民共和国网络安全法、电力监控系统安全防护规定(国家发展改革委第14号令、电力监控系统安全防护总体方案等安全防护方案和评估规范(国能安全201536号等文件规定,以及国家能源局相关文

2、件、国家电网公司电力监控系统安全防护相关管理规定的要求1.2设计范围设计范围包括体系结构安全、系统本体安全、全方位安全管理、安全应急措施、基础设施物理安全等五个方面。2电力监控系统安全防护的意义发电厂监控系统安全防护意义是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机 、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。3 电力监控系统安全防护总体要求3.1 电力监控系统安全防护的特点电力监控系统安全防护工作应当落实国家信息安全等级保护制度,按照国家信息安全等级保护的有关要求,坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,保障电力监控系

3、统的安全。3.2 安全防护的目标及重点发电厂监控系统的防护目标是抵御黑客、病毒、恶意码等通过各种形式对发电厂监控系统发起的恶意破坏和攻击,以及其它非法操作,防止发电厂电力监控系统瘫痪和失控,并由此导致的发电厂一次系统事故。发电厂安全防护的重点是强化发电厂监控系统的边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统维护的管理、提高系统整体安全防护能力,保证电力监控系统及重要数据的安全。3.3 安全防护总体策略监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证、综合防护”。安全防护主要针对电力监控系统,即用于监视和控制电力生产及

4、供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。3.4 安全防护总体方案根据电力监控系统安全防护规定的要求,水电厂监控系统原则上划分为生产控制大区和管理信息大区。 生产控制大区可分为控制区(安全区I区和非控制区(安全区II区和非控制区(安全III区,保证电厂监控系统的安全可靠。4 电厂电力监控系统安全防护分析4.1电力监控系统现状电力监控系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。4.2电力监控系统连接关系 4.3电力监控系统接口边界电力监控系统接口边界要求:接入电力监控系

5、统的安全区及安全区中的通用安全产品,必须使用经过国家有关安全部门认证的国产产品;接入电力监控系统的专用安全产品必须使用国产产品并经过有关的电力主管部门的认证;优先选用国家电力主管部门推荐的优秀安全产品。(一横向边界防护生产控制大区与管理信息大区边界安全防护:生产控制大区与管理信息大区之间通信应当部署电力专用横向单向安全隔离装置。控制区(安全区I与非控制区(安全区II边界安全防护:控制区(安全区I与非控制区(安全区II之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙。实现逻辑隔离、报文过滤、访问控制功能,所选设备的功能、性能、电磁兼容性经过国家相关部门的认证和测试。电厂内同属于安全区

6、I的各机组监控系统、机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间,尤其是机组监控系统与输变电部分控制系统之间,采取一定强度的逻辑访问控制措施。电厂内同属于安全区II的各系统之间、各不同位置的厂站网络之间,采取一定强度的逻辑访问控制措施。(二纵向边界防护电厂生产控制大区系统与调度系统通过电力调度数据网进行远程通信时,应当采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。在电力调度数据网边界配置纵向加密认证装置进行安全防护。5 电厂电力监控系统安全防护方案5.1 安全防护目标发电厂监控系统的防护目标是抵御黑客、病毒、恶意码等通过各种形式对发电厂监控系统

7、发起的恶意破坏和攻击,以及其它非法操作,防止发电厂电力监控系统瘫痪和失控,并由此导致的发电厂一次系统事故。5.2 总体安全需求在已经建立安全防护体系的电力监控系统中,接入任何新的设备和应用及服务,均必须立案申请备案,经过我公司电力监控系统防护安全组长的审查批准后,方可在专人的监管下实施接入。电力监控系统的安全区及安全区中的工作站、服务器原则上不得开通拨号功能;若确需开通拨号服务,必须配置强认证机制,否则该应用必须与安全区及安全区彻底隔离。在所有电力监控系统的安全区及安全区中的任何工作站、服务器均严格禁止以各种方式开通与互联网、其它安全区及任何外部网络的连接,各专业负责人负责监督检查。电力监控系

8、统的安全区及安全区中的PC机及其它微机原则上应该将软盘驱动、光盘驱动、USB接口全部贴上封条或通过安全管理平台实施严格管理,以防止病毒等恶意代码的传播。各专业负责人负责监督检查。若个别PC机确有必要插接USB-key,应该严格管理。5.3 安全分区按照电力监控系统安全防护规定,原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区及非控制区(安全区,重点保护生产控制及直接影响机组运行的系统。本发电厂的控制区主要包括以下业务系统和功能模块:监控系统、调速器系统、励磁系统、无功电压控制功能等本发电

9、厂的非控制区主要包括以下业务系统和功能模块:电能量采集装置、继电保护、故障录波信、水库调度自动化系统等 本发电厂的管理信息大区主要包括以下业务系统和功能模块:检修管理系统、管理信息系统等5.4安全措施(一网络专用电力调度数据网是生产控制大区相连接的专用网络,承载电力实时控制、在线生产交易等业务。发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。(二横向隔离横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备

10、隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施,实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。(三纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。5.5项目实施与设备部署安全防护工作中涉及使用横向单向安全隔离装置、纵向加密

11、认证装置。防火墙、入侵检测系统等专用安全产品的,应当按照国家有关要求做好保密工作,禁止关键技术和设备的扩散。6 安全产品技术要求由I、II区组成的系统包含计算机、通信、自动控制和显示等技术,是通常概念上的机组级DCS/PLC系统。其内部通信/控制协议是标准协议(如TCP/IP,Telnet等,也可以是专用协议。要求该系统为全封闭的闭环系统,绝对禁止任何外部访问。系统内部使用者必须有清晰的操作权限级别。此系统提供数据接口能主动对外传送数据,应通过数据采集(前端机从计算机接口单元(模件采集数据,必须是单向数据传输。7 安全管理体系建设7.1 建立完善的安全组织机(一组织机构组 长: *副组长: *

12、、*成 员:信息安全主管、网络管理员、安全管理员(二职责 :a.组长、副组长职责 :负责组织有关人员建立或编制本单位所管辖的电力监控系统安全防护管理规定、实施方案、评估制度及应急预案。经常检查电力监控系统安全防护的执行情况,定期组织有关人员对电力监控系统进行安全评估;对于存在问题的,提出整改期限。负责组织有关人员对发生的安全事故进行认真分析,并及时向上级主管单位上报安全事故分析报告。全面管理电力监控系统运行工作;掌握电力监控系统的配置情况;熟悉电力监控系统的分布情况;了解电力监控系统的安全情况;定期组织讨论电力监控系统安全情况,协调各专业之间接口安全问题。b.成员职责:负责本专业应用系统已部署

13、的安全产品的安全策略的设置和调整,对该产品日常运行进行精心的维护。定期对安全产品的日志进行审计。精心观察和分析该系统的安全状况,并及时上报组长、副组长。使用数字证书管理系统进行数字证书的申请,生成、发放和撤消。精心维护数字证书管理系统,保证系统的安全、可靠、稳定运行。精心保护证书管理系统的数字证书,防止遗失。参照国家对涉密设备的有关规定,建立有效的数字证书及密钥管理制度。保护本专业的口令、数字证书、密钥等安全设施;一旦泄露或丢失,应该立即报告,对造成恶劣后果者,要按国家有关规定追究其责任。全面掌握本专业电力监控系统的分区情况、配置情况、硬件设置情况及接口、数据流向等;做好数据备份和日常管理工作

14、。对电力监控系统安全评估的所有评估资料和评估结果,应当按国家有关要求做好保密工作。7.2建立日常运行的安全管理制度(一安全分级负责制本着“谁主管谁负责,谁运营谁负责”的原则,落实电力监控系统的各专业的安全责任。安全防护组组长负责我厂的电力监控系统网络的安全管理,是安全管理第一负责人。(二电气及监控信息专业负责人所属范围内计算机及数据网络的安全管理各专业对所属范围内计算机及数据网络设置安全防护小组或专职人员,负责设备的日常维护及管理,是设备的直接负责人。严格管理各终端设备的接口使用。把相关电力监控系统终端设备的USB接口和光驱接口采用拆除、贴封条等方式禁止无关人员使用;必须要进行接口连接作业的,

15、要进行登记记录,并对外连设备进行杀毒确认后才可进行。对终端设备的用户登录口令加强管理,禁止有弱口令和空口令的现象;禁止电力监控系统设备终端之间有物理上的连接。加强电力监控设备的巡视力度。对工程师站、机房、励磁、UPS 电源和直流电源及通信机房等重要系统设备和系统设备相对集中的地方,每值至少要巡视两遍并进行记录。对巡视中发现的缺陷和隐患及时消除,定期对设备维护记录和消缺记录进行分析、归纳。定期对各电力监控系统终端设备数据进行数据备份,整理和收集相关资料,以备异常情况下的数据恢复和设备重启。加强对现有电力监控设备公共安全设施的管理,禁止通过任何方式对外泄露本单位的网络安全防护情况。加强对电力监控系

16、统设备的专业管理,对专用硬盘,数据备份等,采用专人负责,专人管理的方式,严禁其他人员接触。7.3 设备、应用及服务的管理(一常规设备及各系统的维护管理在保证电力监控系统的正常运行的前提下,为了加强系统的安全性和实时性,及时妥善处理安全故障,应该对常规设备及各系统的安全漏洞及时进行防护或加固。保管好各个设备及各系统的维护资料及维护工具。制定各系统及设备故障处理的预案,准备好故障恢复所需的各种备份,并经常进行预演。及时了解相关系统软件(操作系统、数据库系统、各种工具软件漏洞发布信息,及时获得补救措施或软件补丁,及时对软件进行加固;一旦出现安全故障应该及时报告、保护现场、恢复系统。(二数据及系统的备

17、份管理a.数据备份电力监控系统的实时数据库以及历史数据库必须定期进行备份,备份的数据必须存储在可靠的介质中并与系统分开存放;并制定详尽的使用数据备份进行数据库故障恢复的预案,并进行预演。b.运行环境与应用软件的备份电力监控系统的计算机操作系统、应用系统要有存储在可靠介质的全备份,软件以及计算机和网络设备的配置和设置的全部参数及也必须进行备份;与系统安装和恢复相关的软硬件、资料等应该放置在安全的地方。制定完善可靠的针对系统各种故障状态使用备份进行系统快速恢复的方案。方案必须经过充分的测试,以保证实施的完全可靠。(三 用户口令、密钥及数字证书的管理a. 口令的管理人员的登录名及口令设立必须按照规定

18、流程进行相应审批。人员的登录名及口令应该具有足够的长度和复杂度,及时更新。系统的超级管理员的登录名及口令必须由专人保管和修改,严格限定使用范围。用户丢失或遗忘登录名及口令,必须通过规定的流程向管理员申请新的登录名及口令。用户调离单位后,管理员必须立即注销其登录名并取消其相应的权限。b.密钥和数字证书的管理必须设立专职人员使用专用设备对密钥和数字证书进行管理(注册证书、分发证书、撤消证书、使用证书。数字证书中的有关信息一旦失效,应该将证书及时撤消。数字证书持有人必须妥善保护证书,不容许转借他人,遗失后必须立即报告。如果由此造成严重后果,必须按有关规定严肃处理。建立可靠的数字证书丢失之后的注销机制

19、。建立定期更新数字证书的机制。7.4联合防护和应急机制电力监控系统必须制定应急处理方案,并必须经过预演或模拟验证。一旦出现安全事故(遭到黑客、病毒攻击和其他人为破坏,必须立即采取安全应急措施,及时向公司及安全防护小组报告。并进行事故现场的保护,认真进行事故的分析。发现系统正被黑客攻击的维护:一旦发现攻击,应该按照按预先制订的应急方案进行处理。根据不同情况分别采用加强保护、中断对方连接、反跟踪以及其它处理措施。灾难恢复维护:当系统因自然或人为的原因遭到破坏,应当按照预先制定的应急方案实施系统恢复,可采用立即完全恢复、部分恢复或启用备份系统恢复(保护现场等措施。8安全防护评估实施和管理关键系统应配

20、备必要的安全扫描及检测工具,自己进行常规安全检查。安全评估的内容包括:风险评估、攻击演习、漏洞扫描、安全体系的评估、安全设备的部署及性能评估、安全管理措施的评估等。安全评估过程的任何记录、数据、结果等均不容许以任何形式携带出公司。对新建的电力监控系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略。对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞。对安全体系的各种日志(如:入侵检测日志等审计结果进行认真的研究,及时发现系统的安全漏洞;定期分析系统的安全风险及漏洞、分析当前黑客非法入侵的特点,及时调整安全策略。9主要设备材料序号 系统名称 设备名称 安全分区类别1