7.1安全区划分
根据电力监控系统防护“安全分区、网络专用、横向隔离、纵向认证”的原则,对xx新能源场站的监控系统、功率预测系统、天气预报系统、AVC、五防系统、调度数据网等进行安全防护。
以风电场为例,各系统所处安全分区如下所示: 序号 1 业务系统及设备 风电场监控系统 控制区 风机监控 风电场监控 无功电压控制非控制区 管理信息大区 备注 故障录波装置 电能量采集装置 风功率预测 风机状态监测 测风塔 A2 2 无功电压控制 功能 发电功率控制A1 3 发电功率控制 功能 升压站监控功A1 4 升压站监控系统 能 A1 5 向量测量装置PMU PMU 继电保护装置B 6 继电保护 及管理终端 B 7 故障录波 B 8 电能量采集装置 A1、B 9 风功率预测系统 A1 10 状态监测系统 A2 11 测风塔系统 A2
12 13 天气预报系统 管理信息系统MIS 数字天气预报 管理信息系统 A2 A2 注:
A1:与调度中心有关的电厂监控系统 A2:电厂内部监控系统
B:调度中心监控系统的厂站侧设备 与调度中心无关的电力监控系统不能接入调度数据网。 控制区中的业务系统或其功能模块(子系统)的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用调度数据网或专用通道,是安全防护的重点与核心。 介绍一下新能源场站控制区的主要业务系统。 介绍一下新能源场站非控制区的主要业务系统。 介绍一下新能源场站管理信息大区的主要业务系统。 7.2安全区边界防护 xx新能源场站在生产控制大区与管理信息大区之间部署了电力专用横向单向安全隔离装置。 xx新能源场站在安全区I与安全区II之间部署了逻辑隔离装置。
介绍一下xx新能源场站同属于安全区I的各系统之间安全防护措施。
xx新能源场站调度数据网与生产控制大区控制区纵向边界之间部署经有关部门认可的纵向认证加密装置,通过建
立加密隧道,实现网络层双向身份认证、数据加密和访问控制。
xx新能源场站非控制区(安全区II)调度数据网与生产控制大区非控制区纵向边界之间部署经有关部门认可的纵向认证加密装置,通过建立加密隧道,实现网络层双向身份认证、数据加密和访问控制。 调度数据网相关的交换机、路由器、纵向加密认证装置由对应的xx新能源场站进行端口配置、策略配置,而数据备份等运维管理工作则由xx新能源场站及调度共同组织工作。电站负责供电保障、巡视检查、信息报送等工作。 按照相关要求生产控制大区与管理信息大区之间部署了接近于物理隔离强度的正向隔离装置2台。采用符合国家和电力行业要求的正向网络安全隔离装置。 I区与II区之间通过IP、端口、MAC地址绑定进行数据单向传输,II区无法进行与I区的数据回传,II区III区采用相同方式进行单向隔离。 管理信息大区信息内网与外部网络之间边界防护应遵循“双网双机”的物理隔离防护要求,严禁出现“非法外联、一机两用”的现象,严禁通过电话拨号、无线等方式与信息外网和互联网联接。
xx新能源场站生产控制大区中的业务系统未与政府部门进行数据传输,因此无需部署第三方边界防护。
8.技术防护措施(以下为全部综合安全防护方面,请根据场内实际情况进行填写)
8.1入侵检测
xx新能源场站在生产控制大区(控制区和非控制区统一部署一套)边界部署一套xxxx入侵检测系统,用以监测核心节点异常业务流量。应当合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为和异常行为,分析潜在威胁并进行安全审计。 8.2主机设备加固 以电力监控系统安全防护评估规范等标准为依据,描述本单位开展主机加固工作的具体内容,例如从身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等方面对加固的具体措施进行描述。 8.3安全审计 xx新能源场站调度数据网上配备了一套xxxx日志审计系统,部署方式是旁路与核心交换机相连。具备安全审计功能,能够对操作系统、数据库、业务应用的重要操作进行记录、分析,以便及时发现各种违规行为以及病毒和黑客的攻击行为。 8.4专用安全产品的管理 安全防护工作中涉及使用横向单向安全隔离装置、纵向加密认证装置、防火墙、入侵检测系统等专用安全产品的,按照国家有关要求做好保密工作,禁止关键技术和设备的扩散。
需提供本单位安全防护工作中使用的安全产品清单和产品资质证书,清单中需要列出设备名称、类型、品牌、部
署位置、所属业务系统;重要安全设备的资质证书需要包括公安部颁发的“计算机信息系统安全产品销售许可证明”;电力专用安全产品(横向隔离装置、纵向加密认证装置)应提供公安部信息安全产品检测中心的检查报告;国家密码管理局出具的商用密码产品销售许可证明。
本单位安全防护工作中使用的安全产品清单见附件xx。 安全产品的相关资质证书见附件xx。 8.5备用与容灾 应当定期对关键业务的数据进行备份,并实现历史归档数据的异地保存。关键主机设备、网络设备或关键部件应当进行相应的冗余配置。控制区的业务系统(应用)应当采用冗余方式。 8.6恶意代码防范 xx新能源场站在生产控制大区(控制区和非控制区统一部署一套)边界部署一套xx恶意代码防御系统。生产控制大区内Windows操作系统应安装防恶意代码程序,防恶意代码程序应当及时手动更新特征库,并查看查杀记录。恶意代码更新文件的安装应当经过测试。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。 8.7设备选型及漏洞整改
电力监控系统在设备选型及配置时,xx新能源场站运维人员没有选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备;对于已经投入运行的
新能源场站电力监控系统安全防护总体方案新能源场站v
