电力二次系统安全防护方案
一、前言
为认真贯彻落实国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和2004年12月20日国家电力监管委员会公布[2005]5号令《电力二次系统安全防护规定》等有关文件精神,确保我公司机组安全、优质、稳定运行,依照《全国电力二次系统安全防护总体方案》,结合公司SIS系统当前的实际情况,特制定本方案。
二、电力安全防护的总体原则 (一)安全防护目标
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。
(二)相关的安全防护法规
1、2004年12月20日国家电力监管委员会公布[2005]5号令《电力二次系统安全防护规定》
2。2002年5月,国家经贸委公布30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》
3、2003年12月,全国电力二次系统安全防护专家组和工作组公布《全国电力二次系统安全防护总体方案》
4、2003年《电力系统安全性评价体系》 5。《中国国电集团公司广域网管理方法》 6、《中国国电集团公司安全管理规范》
7、《中国国电集团公司信息化建设和管理技术路线》 8、《中华人民共和国计算机信息系统安全保护条例》 9、《计算机信息系统安全保护等级划分准则》 (三)电力二次系统安全防护策略
电力二次系统安全防护总体框架要求电厂二次系统的安全防护技术方案必须依照国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和国家电力监管委员会[2005]第5号令《电力二次系统安全防护规定》进行设计。同时,要严格遵循集团公司颁布的《中国国电集团公司信息化建设和管理技术路线》中对电力二次系统安全防护技术方案的相关技术要求。
1。安全防护的基本原则 (1)系统性原则(木桶原理); (2)简单性和可靠性原则;
(3)实时、连续、安全相统一的原则; (4)需求、风险、代价相平衡的原则; (5)实用性与先进性相结合的原则; (6)方便性与安全性相统一的原则; (7)全面防护、突出重点的原则;
(8)分层分区、强化边界的原则; (9)整体规划、分布实施的原则;
(10)责任到人,分级管理,联合防护的原则。 2、安全策略
安全策略是安全防护体系的核心,是安全工程的中心。安全策略能够分为总体策略、面向每个安全目标的具体策略两个层次、策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全技术体系与管理体系的依据。
电力二次系统的安全防护策略为:
(1)安全分区:依照系统中各业务的重要性和对一次系统的影响程度划分为四个安全区:控制区Ⅰ、生产区Ⅱ、管理区Ⅲ、信息区Ⅳ,所有系统都必须置于相应的安全区内。
(2)网络专用:建立专用电力调度数据网络,与电力企业数据网络实现物理隔离,在调度数据网上形成相互逻辑隔离的实时子网和非实时子网,幸免安全区纵向交叉连接。
(3)横向隔离:采纳不同强度的安全设备隔离各安全区,尤其是在生产控制大区与管理信息大区之间实行有效安全隔离,隔离强度应接近或达到物理隔离。
(4)纵向认证:采纳认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护、
3、电力二次系统的安全区划分
依照电力二次系统的特点,各相关业务系统的重要程度和数
电力二次系统安全防护方案
