电厂监控系统安全防护方案
- 格式:doc
- 大小:94.00 KB
- 文档页数:14
XX千伏XX变/电厂
电力监控系统安全防护方案
XXX公司
XXX年XX月
核心商密·长期
XX千伏XX变/电厂
电力监控系统安全防护方案
批准:
审核:
校核:
编制:
XXX公司
XXX年XX月
XX电厂电力监控系统安全防护总体方案
1、概述
简要介绍本次项目情况,包含一次、二次系统的介绍。
为防范黑客及恶意代码等对XX千伏XX变(或电厂)电力监控系统的攻击侵害,避免由此引发的电力系统事故,保障电力系统的正常稳定运行,依据《电力监控系统安全防护规定》(国家发改委2014年第14号令)和《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国能安全[2015]36号)等要求,结合XX千伏XX变(或电厂)电力监控系统的安全防护实际情况,特制订本方案。
2.编制依据及使用范围
2.1本方案编制依据
《电力监控系统安全防护规定》(发改委14号令);
《国家能源局关于印发电力监控系统安全防护总体方案等》(国能安全[2015]36号文);
《电力监控系统安全防护总体方案》(国家能源局36号文配套文件)
《发电厂监控系统安全防护方案》(国家能源局36号文配套文件)
《变电站监控系统安全防护方案》(国家能源局36号文配套文件)
《电力行业网络与信息安全管理》(国能安全〔2014〕317号)
《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公安部公信安[2007]861号)
《电力行业信息系统等级保护定级工作指导意见》(电力监管委员会电监信息[2007]34号)
2.2适用范围
本电力监控系统安全防护方案适用于XX千伏XX变(或者电厂)电力监控系统中各类应用系统和网络,包括与XX变(或者电厂)电力生产(或者使用)过程直接相关的变电站监控系统、发电厂控制系统、电力调度数据网、电能量计量采集装置、继电保护等。
注:根据现场实际情况填写应用系统。请注意,发电厂的专业系统名称可参照《发电厂监控系统安全防护方案》,升压站或者开关站专业系统名称可参照《变电站监控系统安全防护方案》 3.总体目标
电力监控系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及电力监控系统的崩溃或瘫痪。结合XX千伏XX变(或电厂)的实际情况,XX千伏XX变(或电厂)电力监控系统安全防护的总体目标包括:
防止XX千伏XX变(或电厂)监控系统服务等核心业务中断。
防止XX千伏XX变(或电厂)监控系统本身崩溃。
抵御外部人员对XX千伏XX变(或电厂)监控系统发起的恶意破坏和攻击及可能对相连的调度自动化系统的影响。
防止黑客人员利用病毒、木马等恶意程序,以XX千伏XX变(或电厂)监控系统网络为跳板,对宁波电网电力监控系统进行入侵攻击和恶意破坏。
保护XX千伏XX变(或电厂)监控系统实时和历史数据,主要防止数据被非授权修改。
4.管理措施
4.1.组织机构
4.1.1 领导小组
组长: 姓名(联系方式)
副组长:姓名(联系方式)
成员:姓名(联系方式)最好两人及以上
4.1.2 领导小组职责
(1)负责组织建立、健全XX千伏XX变(或电厂)电力监控系统安全防护管理的组织机构;负责组织制定、完善XX千伏XX变(或电厂)电力监控系统安全防护管理分级负责的责任制。
(2)负责组织XX千伏XX变(或电厂)电力监控系统总体设计方案的安全审查和完善;负责组织各专业电力监控系统安全防护管理制度的审查和完善,保证XX千伏XX变(或电厂)电力监控系统安全防护组织机构有效运转;负责组织XX千伏XX变(或电厂)电力监控系统安全防护方案的制定和实施;组织制定XX千伏XX变(或电厂)电力监控系统安全评估制度。
(3)负责建立XX千伏XX变(或电厂)电力监控系统安全联合防护机制和应急机制;当XX千伏XX变(或电厂)电力监控系统受到攻击、病毒感染或发生严重故障时负责宣布应急预案的启动。
适当补充 4.1.3工作小组
组 长:姓名(联系方式)
副组长: 姓名(联系方式)
成 员:姓名(联系方式)至少两人及以上
4.1.4 工作小组职责
(1)接受领导小组指令,根据工作目标确定工作计划并负责实施。
(2)检查XX千伏XX变(或电厂)电力监控系统的安全防护的执行情况、审计结果,定期组织有关人员对系统进行安全评估,并及时向上级主管部门报告;
(3)负责组织有关人员对本部门发生的安全事故进行认真分析并及时报告。
(4)负责XX千伏XX变(或电厂)保障电力监控系统安全各项组织、技术措置的落实及电力监控系统的系统软件、设备、网络、安全产品等的日常运行和维护;
(5)负责XX千伏XX变(或电厂)基本安全知识、保密知识的教育和咨询。
4.2规章制度
XX千伏XX变(或电厂)为确保电力监控系统安全,特制定《电力监控系统网络安全应急处置机制》、《二次系统运维管理制度》、《机房出入管理制度》、《外来人员工作管理制度》等。
应涵盖但不限于上述内容
4.3运维管理
(1)人员管理 设备巡视
明确各级人员的安全职责,经常进行安全防护培训,定期检查各级人员安全职责的实施情况。
(2)权限管理
针对不同的电力监控系统,对不同的用户实体、不同的使用人员赋予相应的访问权限和操作权限。
(3)访问控制管理
操作人员登录进入关键的业务系统(如变电站监控系统)以及对关键的控制操作应该进行身份认证及操作权限控制。
(4)设备及子系统的维护管理
a.对设备及子系统的安全漏洞及时进行防护或加固;
b.充分准备各个设备及子系统的维护资料及维护工具; c.充分准备设备及子系统故障处理的预案以及故障恢复所需的各种备份,并经常进行预演;
d.及时了解相关软件漏洞发布信息,及时获得补救措施或软件补丁对软件进行加固;
e一旦出现安全故障应该及时报告、保护现场、恢复系统。
(5)用户口令的管理
a.人员的ID及口令设立必须按照规定流程进行相应审批;
b.ID及口令应该具有足够的长度和复杂度,及时更新;
c.系统的超级管理员的ID及口令必须由专人保管和修改,严格限定使用范围;
d.用户丢失或遗忘ID及口令,必须通过规定的流程向管理员申请新的ID及口令;
e.用户调离后,管理员必须立即注销其ID并取消相应权限。
4.4严格外来人员管控
(1)严禁非机房工作人员进入机房,特殊情况需经所辖设备负责人和值班人员批准,登记后方可进入。
(2)经批准进入机房的外来人员,须有指定人员陪同,进出机房均应办理登记手续。
(3)进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
(4)经上级管理人员同意,外来人员可以实地操作设备。但必须有管理人员监督、指导,不得调阅重要数据和设备配置信息。
4.5应急机制
(1)建立机构内信息安全时间应急响应工作的策略与规划,明确工作开展方针与目标;
(2)建立有系统、分层次的监控系统安防应急响应工作组织架构,明确应急响应相关部门和单位的职责和权限,确立相关人员的岗位职责,确保各项环节工作的专人管理、各司其职;
(3)根据安全事件的影响范围与严重程度,定义安全事件等级,确立与各类信息安全时间相应的处理以及应急相应处置与报告的流程;
(4)针对机构内可能发生的信息安全事件制定应急响应工作预案,为每一种可能发生的安全事件编制相应的应急处置预案;
(5)在充分利用现有信息资源、系统和设备的基础上,为机构内信息安全事件应急响应工作配备相应的资源,包括人力、物力、财力等各方面的资源; (6)定期开展应急响应预案的培训与演练,定期维护更新制定的应急响应预案,根据工作需要编制新的应急预案,确保应急响应工作的有效性、适用性。
4.6建立信息通报机制
严格执行安全防护事件通报制度,有关安全问题做好记录。定期向所辖调度机构以及上级主管单位报送电力监控系统安全防护情况,并及时上报电力监控系统安全防护出现的异常现象、解决过程和最终结果。
4.7信息保密
电力监控系统相关设备及系统的开发单位、供应商以合同条款或保密协议的方式保证其所提供的设备及系统符合规定要求,做好保密工作,禁止关键技术和设备信息的扩散。
4.8项目资金保障
落实专项资金,以确保安全防护总体方案的顺利实施。
填写对本次电力监控系统及其安全防护设备采购的资金情况、采购计划等,可以根据自身情况,提供后续的维保计划。
5.技术措施
5.1安全分区
按照《电力监控系统安全防护规定》,原则上将XX千伏XX变(或电厂)基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区I)及非控制区(安全区II),重点保护生产控制区内的业务安全。
根据实际情况填写,比如没有管理信息大区的不应出现此类名词。
5.1.1生产控制大区的安全区划分
5.1.1.1安全区I:控制区
控制区中的业务系统或其功能模块(子系统)的典型特征为:直接实现对电力一次系统的实时监控,纵向使用数据网络或专用通道,是安全防护的重点与核心。安全区I的业务主要包括:
1.变电站监控系统
简单介绍系统功能实现、设备组成、内部通信方式等相关内容
2.发电厂厂级分散控制系统(DCS系统)
简单介绍系统功能实现、设备组成、内部通信方式等相关内容
3.无功电压自动控系统系统(AVC)
简单介绍系统功能实现、设备组成、内部通信方式等相关内容
4.发电自动控制系统(AGC)
简单介绍系统功能实现、设备组成、内部通信方式等相关内容