光伏电站用户站电力监控系统安全防护方案.pdf
1 光伏电厂电力监控系统安全防护技术方案编制:审核:批准:单位名称(加盖公章)2017 年 6 月 22 日2 一、 方案编制依据《中华人民共和国计算机信息系统安全保护条例》 国务院 1994 年 147 号令( 2011年修订)《电力监控系统安全防护规定》 中华人民共和国国家发展和改革委员会2014 年第 14 号令《电力行业网络与信息安全管理办法》 国能安全〔 2014〕 317 号《电力行业等级保护管理办法》 国能安全〔 2014〕 318 号《电力监控系统安全防护总体方案》 国能安全〔 2015〕 36 号二、 总体目标和原则(一 ) 总体目标确保新特汇能电厂电力监控系统和电力调度数据网络的安全,抵御黑客、病毒、 恶意代码等各种形式的恶意破坏和攻击, 特别是抵御集团式攻击, 防止电力监控系统的崩溃或瘫痪,以及由此造成的电力系统事故或大面积停电事故。(二 ) 总体原则坚持“安全分区、网络专用、横向隔离、纵向认证”总体原则,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。三、 安全防护方案(一 ) 电力监控系统概述1. 分散控制系统( DCS)无2. 网络监控系统( SCADA )本厂 SCADA 系统包括( 2)台主机兼工作站、( 4)台工作站,操作系统主要采用 LINUX 系统,数据库主要采用 MySQL 数据库。系统外部通信接口如下,均采用 TCP/IP 协议进行数据通讯:序号 互联系统或设备 接口型式1 SCADA 系统 TCP/IP 协议2 功率预测系统 TCP/IP 协议3 3 综合自动化装置 TCP/IP 协议4 自动电压 AVC TCP/IP 协议5 自动发电 AGC TCP/IP 协议3. 相量测量装置( PMU )无。4. 电能量采集装置本厂电能采集装置采用兰吉尔 FFG_Plus,电能表通过 RS485 与电能采集装置进行数据传输,后经过采集装置通过 TCP/IP 协议进行数据通讯。5. 总体网络拓扑图(二 ) 安全分区按照《电力监控系统安全防护规定》,原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区, 并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区 (安全区Ⅰ) 及非控制区(安全区Ⅱ),重点保护生产控制及直接影响机组运行的系统。本厂 安全分区如下:4 安全Ⅰ区:光伏区环网、工作站、保护装置、直流系统、 ups、站用变、站控设备组成的控制网络,与安全Ⅱ区通过防火墙实现硬件隔离。安全Ⅱ区:电能采集、功率预测数据,安全Ⅱ区与安全Ⅲ区通过反向隔离装置实现硬件隔离。安全Ⅲ区: MIS 管理系统,此链路独立无其他连接,气象站通过反向隔离装置与安全Ⅱ区功率预测实现硬件隔离。汇能库尔勒光伏一电站安全分区表序号 业务系统及设备控制区安全一区非控制区安全二区管理信息大区1 光伏电站运行监控系统 电站运行监控2 无功电压控制 无功电压控制3 发电功率控制 发电功率控制4 开关柜监控系统 开关柜监控5 继电保护装置及管理终端 保护装置6 故障录波 故障录波装置7 电能量采集装置 电能量采集8 光伏功率预测系统 光功率预测9 天气预报系统 数字天气预报10 管理信息系统 MIS MIS (三 ) 网络专用调度数据网是生产控制大区相连接的专用网络,电力实时控制、在线生产交易等业务。 我厂的电力调度数据网使用电力光缆且网络设备独立, 物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。 厂端电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。5 (四 ) 横向隔离横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区, 在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置, 隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、 安全可靠的硬件防火墙或者相当功能的设施, 实现逻辑隔离。 防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。我厂控制区与非控制区配置 SECWORLD 防火墙,规则合理运行正常,除此链接外无其他链路链接控制区与非控制区。(五 ) 纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制其他安全措施。我厂信息管理大区(天气预测系统)与安全二区装设反向隔离装置 Stone wall-2000 单向数据传递正常,信息管理区除此连接外并无其他链路介入安全二区。 MIS 系统为独立链路,无其他接入。1. 防病毒我站生产区域内的计算机信息系统,要与 Internet 网分开,并建立计算机病毒防火墙, 对服务器, 要采用先进的网络防计算机病毒软件, 并对经过服务器的信息进行监控, 防止计算机病毒通过邮件服务器扩散、 传播。 随时注意各种异常现象, 一旦发现, 应立即用查毒软件仔细检查。 经常更新与升级防杀计算机病毒软件的版本。对生产区域内的要定点、定时、定人作查毒杀毒巡检。当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络并进行处理,不应带“毒”继续运行; 发现计算机病毒后, 一般应利用防杀计算机病毒软件清除文件中的计算机病毒, 对于杀毒软件无法杀除的计算机病毒, 应及时请专业人员解决。 对新购进的计算机及设备, 为防止原始计算机病毒的侵害, 要组织专业人员检查后方可安装运行; 联网计算机、 重要系统的关键计算机要安装防计算机病毒软件, 并定期或及时更新计算机病毒防范产品的版本; 要使用国家规定的、 具有计算机使用系统安全专用产品销售许可证的计算机防计算机病毒产品。 系统中的程序要定6 期进行比较测试和检查。 严禁使用盗版软件, 特别是盗版的杀毒软件, 严禁在工作计算机上安装、运行各类游戏软件。2. 主机加固我厂准备安装主机加固,主机加固软件为信达 S-numen,强制进行权限分配,保证对系统资源(包括数据和进程)的访问符合定义的主机安全策略,防止主机权限被滥用。3. 入侵检测当系统发生入侵行为或者违反安全策略的操作时, S-numen 利用自身功能对用户(程序)在网络层和系统内部对该用户(程序)进行阻断,并且由系统向管理员进行报警。 在报警条件中添加相应的报警规则, S-numen可对入侵行为和违反安全策略的用户(程序)进行阻断。当有违反安全规则的情况出现时,S-numen服务器端会向特定的系统发送报警信息, S-numen监控程序会以多中方式进行报警。在后台可以提供告警。4. 安全审计日志审计和日志管理对于网络安全会起到重要作用, S-numen 拥有独立的日志审计系统, 通过方便的检索可以方便安全管理员的工作。 S-numen的日志生成实在内核级上实现的, 日志根据设置也可不生成, 当生成时, 还可以设置是否按项目设置生成,所以应视系统存储空间的大小进行适当设置来使用。 S-numen提供多种检索功能,方便管理的工作。5. 等级测评5.1.1 保护及远动通信系统定级序号 定级对象 系统级别1 电力调度数据网 2 级2 SCADA系统 3 级3 故障录波器系统 3 级4 电量计量系统 2 级5 AVC系统 3 级6 时间同步装置 2 级7 保护装置 3 级8 调度综合数据网 2 级9 通信电源系统 2 级10 光端机系统 2 级11 PCM系统 2 级7 12 调度交换机系统 2 级13 行政交换机系统 2 级5.1.2 信息专业设备定级序号 定级对象 系统级别1 全厂网络 2 级2 视频监控系统 2 级3 电子围栏系统 2 级4 软件系统 2 级5.2 生产控制大区内部安全防护技术要求( 1) 禁止生产控制大区内部的 E-Mail 服务, 禁止控制区内通用的 WEB 服务,并进行安全加固。( 2)生产控制大区重要业务的远程维护采用身份认证机制。( 3)生产控制大区内的业务系统间采取 VLAN 和访问控制等安全措施,限制系统间的直接互通。( 4)生产控制大区部署恶意代码防护系统,采取防范恶意代码措施。病毒库、木马库以及 IDS 规则库的更新应该离线进行。( 5)各层面的数据网络之间通过路由限制措施进行安全隔离,保证网络故障和安全事件限制在局部区域之内。