发电厂电力监控系统安全防护方案(模板)-风电场

1、国电玛依塔斯风电一场电力监控系统安全防护技术方案（风电场）编制：（场站网络安全专责）审核：（发电集团信息安全主管部门）批准：（发电集团分管领导）单位名称（加盖公章）xxxx年xx月xx日方案编制依据中华人民共和国计算机信息系统安全保护条例国务院1994年147号令（2011年修订）电力监控系统安全防护规定中华人民共和国国家发展和改革委员会2014年第14号令电力行业网络与信息安全管理办法穴国能安全20穴14317号电力行业穴等级保护管理办法抑抑国能安全2014抑318号电力监控系统安抑全防护总体方案抑国能安抑全201536号总体抑目标和原则总体目标确保国煮电玛依塔斯风电一场电力监煮控系统和电力

2、调度数据网络煮的安全，能够抵御黑客、病煮毒、恶意代码等各种形式的煮恶意破坏和攻击，特别是抵煮御集团式攻击，防止电力监煮控系统的崩溃或瘫痪，以及煮由此造成的电力系统事故或煮大面积停电事故。总体原则煮坚持“安全分区、网络专用芋、横向隔离、纵向认证”总芋体原则，重点强化边界防护芋，同时强化系统综合防护，芋提高厂站电力监控系统内部芋安全防护能力，保证新疆电芋网电力生产控制系统及重要芋数据的安全。安全防护方案抑电力监控系统概述国电玛依抑塔斯风电一场于2012年抑12月25日正式并网运行抑，站内电力监控系统合计*抑*套，分别是*、*之*、。具体分析如下：之风电场监控系统（生产/集之成厂家为国电联合动力，投

3、之运时间2012年12月）之无功电压控制系统（生产/战集成厂家为山东泰开，投运战时间2012年12月）发战电功率控制系统（生产/集战成厂家为*，投运时战间*年*月）升压怨站监控系统（生产/集成厂怨家为北京四方，投运时间2怨012年12月）相量测量怨装置PMU（生产/集成厂怨家为*，投运时间*怨*年*月）五防系统睁（生产/集成厂家为*睁*，投运时间*年*睁*月）故障录波（生产/集睁成厂家为*，投运时睁间*年*月）保信城子站（生产/集成厂家为*城*，投运时间*城年*月）电能量采集装置城（生产/集成厂家为*城*，投运时间*年*城*月）风功率预测系统（生仇产/集成厂家为*，仇投运时间*年*月仇）状态监

4、测系统（生产/集仇成厂家为*，投运时仇间*年*月）测风仇塔系统（生产/集成厂家为仇*，投运时间*伙*年*月）天气预报系统伙（生产/集成厂家为*伙*，投运时间*年*伙*月）管理信息系统MIS伙（生产/集成厂家为*伙*，投运时间*年*伙*月）其他（生产/集成厂揪家为*，投运时间*揪*年*月）安全分区揪安全一区部署系统包括：风揪电场监控系统、无功电压控揪制、发电功率控制、升压站档监控系统、相量测量装置P档MU、五防系统，安全一区档横向网络边界设备为无，纵档向网络边界设备为省调I区档纵向加密；安全二区部署系蹿统包括：故障录波、保信子蹿站、电能量采集装置、风功蹿率预测系统。安全二区横向膊网络边界设备为无

5、，纵向网黑络边界设备为II区纵向加黑密装置；管理信息大区部署黑系统包括：测风塔系统、天仓气预报系统、管理信息系统仓MIS。管理信息大区横向仓网络边界设备为无，纵向网仓络边界设备为省调三区纵向次加密装置。网络专用电力通次信传输通道（2*2M）有次2条三区D-MIS(1*技2M)，互联网（宽带）接技入有2条， 横向隔离生产伎控制大区与管理信息大区边块界安全防护生产控制大区*块*套系统与管理信息大区系块统存在数据交互，按36号块文要求应部署电力专用横向块单向隔离装置，具体方案如块下：安全一区与安全二区边柯界安全防护安全一区一套系柯统与安全二区系统存在数据柯交互，按36号文要求应采城用具有访问控制功能

6、的网络城设备、安全可靠的硬件防火城墙或者相当功能的设备，实城现逻辑隔离、保温过滤、访城问控制等功能，本方案采用城硬件防火墙，具体部署方案城如下：系统间安全防护根据怖36号文要求，同属于同一怖安全区的应用系统之间根据怖需要可以采取一定强度的逻怖辑访问控制措施，如防火墙怖、VLAN等，本方案采用怖VLAN实现逻辑隔离，具怖体方案如下：纵向认证根据彼36号文要求，发电厂生产彼控制大区系统与调度端系统彼通过电力调度数据网进行远彼程通信时，应当采用认证、彼加密、访问控制等技术措施彼实现数据的远方安全传输以彼及纵向边界的安全防护，本彼方案采用电力专用纵向加密彼认证装置，具体方案如下：彼其他安全措施防病毒可

7、以采各取的方式包括（实际编制方各案，以下方式自行确定选择各一个）：部署网络版（单机各版）防病毒软件，增加1台各防病毒服务器，采用离线方各式升级病毒库，站端各应用各系统服务器/工作站将防病贱毒服务器设置为升级管理中贱心，实现局域网内网络方式贱自动升级病毒库。部署防病贱毒网关。考虑防病毒网关无贱法解决移动存储介质导致给贱站端各应用系统服务器/工贱作站带来病毒/恶意代码威贱胁，拟配合主机加固措施，贱限制移动存储介质的使用。陈部署可信计算安全模块。原陈则上，防病毒措施应覆盖站陈端电力监控系统所有的服务陈器、工作站，采用基于UN陈IX/LINUX内核的专陈用操作系统设备（如远动装陈置）可以不作考虑，采用

8、非陈安全操作系统的则必须制定陈防病毒措施。主机加固说明舅生产控制大区系统或设备帐舅号、口令、权限、网络服务舅、访问控制策略、审计策略舅、漏洞补丁等涉及操作系统舅、数据库及应用系统的安全舅加固措施，配置策略应细化舅至IP地址（段）和使用的舅端口等。主机加固应当覆盖韶关键应用系统的主要服务器韶，以及网络边界处通信网关韶机、Web服务器等。加固韶方式包括：安全配置、安全韶补丁、采用专用软件强化操韶作系统访问控制能力以及配韶置安全的应用程序，其中配韶置的更改和补丁的安装应当韶经过测试。入侵检测生产控抿制大区可以统一部署一套网抿络入侵检测系统，应当合理抿设置检测规则，检测发现隐抿藏于流经网络边界正常信息

9、抿流中的入侵行为，分析潜在抿威胁并进行安全审计。本章抿节应当明确生产控制大区网抿络入侵检测系统部署方案，无包括设备部署位置、检测规无则、运行情况、日志的存储无位置及浏览方式等。安全审无计生产控制大区的监控系统无应当具备安全审计功能，能无够对操作系统、数据库、业无务应用的重要操作进行记录离、分析，及时发现各种违规离行为以及病毒和黑客的攻击离行为。对于远程用户登录到离本地系统中的操作行为，应离该进行严格的安全审计。本离章节应当明确生产控制大区离第三方安全审计系统/设备离部署方案，包括系统/设备离部署位置、审计规则及运行雀情况等（可采用系统或设备雀自带安全审计功能，对网络雀运行日志、操作系统运行日雀志、数据库访问日志、业务雀应用系统运行日志、安全设雀施运行日志等进行集中收集雀、自动分析）。等级测评说屈明生产控制