光伏电站微型纵向加密实施方案
- 格式:docx
- 大小:1.49 MB
- 文档页数:18
施工方案
工程施工步骤
前期准备
序号 工作分项 内容描述 责任人 工序确认
1、 机房环境确认 确认二次安防改造新增设备安装机柜、电源满足改造要求。 厂站二次安防改造负责人
2、 实施方案最终确认 确认二次安防设备的接口地址、网络管理地址、业务系统地址,访问控制策略等。 厂站二次安防改造负责人、实施人员
3、 通知实施人员到场,熟悉方案。 在开工批复时间前2个工作日联系实施人员到场,进行工作交底、确认二次安防设备可用。 厂站二次安防改造负责人
4、 加密装置证书申请及导入 在开工前1个工作日,将纵向加密网关的证书请求发给玉林供电局,并将玉林供电局相关证书导入厂站加密装置。 相关实施人员
第一阶段:调度数据网通道测试
序号 工作分项 备注 责任人 工序确认
1、 申请开工 根据检修票批复意见,联系玉林供电局相关人员进行开工许可。 厂站二次安防改造负责人
2、 调度数据网检查 调度数据网状态运行正常。 厂站二次安防改造负责人
3、 调整调度数据网拓扑结构 增加安防设备,纵向加密装置 实施人员
4、 调度数据网检查 确认调整后的调度数据网状态运行正常。 厂站二次安防改造负责人
5、 实施环境检查 工具、线缆到位 厂站二次安防改造负责人
第二阶段:部署加密装置
序号 工作分项 备注 责任人 工序确认
1. 部署纵向加密认证装置 按照方案实施 实施人员
2. 设备基本配置 结合改造方案和参数表配实施人员 置,包括端口IP、路由配置
3. 管理中心配置 配置完成后通知玉林供电局配合人员测试装置管理中心是否能对装置进行管理 实施人员
4. 隧道配置 与主站相关系统建立加密隧道。 实施人员
5. 访问控制策略配置 逐个系统配置访问控制策略 实施人员
6. 业务测试 与主站业务系统管理员确认各业务系统运行正常。 厂站二次安防改造负责人
第三阶段:业务割接
1、 再次检查系统状况 在二次安全防护整体架构完成后,再次检查二次系统以及所有安全设备是否状况良好,满足割接条件 厂站二次安防改造负责人、施工人员
2、 割接准备 准备好割接时所用到的相关工具材料,把新跳线放置到业务系统屏柜的位置 厂站二次安防改造负责人、施工人员
3、 报调度开始割接 向调度相关负责单位申报业务割接开始 厂站二次安防改造负责人、施工人员
4、 业务割接 对调度自动化业务进行增加纵向加密装置业务进行割接,跳接网线。 厂站二次安防改造负责人、施工人员
5、 业务测试 对刚进行割接的业务进行纵向可用性测试,若业务不可用,进行应急预案 厂站二次安防改造负责人
6、 填写最终测试表格 割接完成后双方确认,填写业务割接通过表格
第四阶段:完工
序号 工作分项 备注 责任人 工序确认
1、 报调度完工 业务测试正常,观察一天,待系统运行稳定后,报上级单位检修完工。 厂站二次安防改造负责人
设备端口分配
本端设备 本端端口 对端设备 对端端口 互联
VLAN 用途
调度数据网交换机 以太网口 1 纵向加密认证网关 内网口 纵向实时互联
以太网口 2 远动装置1 待定 设备互联
以太网口 3 远动装置2 待定 纵向实时互联
以太网口 23 调度数据网路由器 以太网口 0 设备互联
纵向加密认证网关 外网口 调度数据网路由器 以太网口 3
纵向实时互联
内网口 调度数据网交换机 以太网口 1 纵向实时互联
加密装置配置
1)远程管理配置:
序号 加密装置名称 加密装置地址 远程地址(装置管理系统) 系统类型 证书
1
XXX站 加密IP 管理中心地址 装置管理
2)系统配置
系统配置信息包括:装置标识、默认策略、审计点位置、审计地址、装置地址,该地址用途是:建立隧道与管理装置。
序号 装置位置 装置标识 默认策略 装置地址 备注
1 XXX站 XXX加密装置 禁止 加密IP
3)路由配置
路由配置包括两部分:
目的地址网段:需要访问的地址段,一般为对端的业务地址段。
下一跳地址:路由器内网地址,数据到达路由器内网后,查找路由表路由到对端设备上。
序号 地址名称 目的地址网段 下一跳地址 备注
1 XX地调专线 地调地址段 待定 专线数据网路由器地址
2 XX中调专线 中调地址段 待定 专线数据网路由器地址
4)隧道配置
对端隧道地址:对端装置的地址
对端隧道证书名:对端装置的证书名称
对端隧道备地址:对端装置的备地址,对端是双机冗余模式
隧道容量:隧道的个数
隧道周期:隧道对数据加密的密码更换时间
隧道配置中,隧道ID为:1,隧道模式为:加密,隧道容量为:50000,隧道周期:24。
序号 装置位置 本端装置地址 对端装置地址 对端隧道证书名
1 XXX站 加密装置IP 待定 XX中调 2 XXX站 加密装置IP 待定 XX地调
5)策略配置
纵向认证加密装置安全访问策略,即对源IP地址、源端口、目的IP地址、目的端口作控制,以下是制定的安全策略
序号 系统名称 源 源端口 目的 目的端口 协议类型 策略方向
1 Any 0-65535 any 0-65535 Icmp ICMP双向明通
2 地调业务策略
(地调业务地址) 0-65535
(站内业务地址)
2404 TCP 加密
4 中调业务策略
(中调业务地址) 0-65535
(站内业务地址) 2404 Tcp 加密
业务接入测试
1)纵向加密装置部分
测试项目: 纵向加密配置测试 测试日期: 年 月 日
测试子项目: 网管测试 测试编号:
测试类型: 功能测试 测试工具: 笔记本电脑
测试人员: 测试地点:
测试目的: 验证地调可以通过装置管理系统对厂站端加密装置管理
预置条件:
1、网络已互通;
2、厂站端加密装置已配置完毕。
测试过程:
1、在地调处通过装置管理系统对厂站端加密装置管理。
观察命令:
1、装置管理系统的管理介面上查看厂站端加密装置的状况;
预期目标:
1、地调可以通过装置管理系统对厂站端加密装置管理。
测试结果:可以管理
测试结果与结论: 通过 □不通过 □ 备注:
站端代表签名: 集成商代表签名:
2)业务系统接入测试
测试项目: 业务系统接入测试 测试日期: 年 月 日
测试子项目: 测试编号:
测试类型: 功能测试 测试工具: 笔记本电脑
测试人员: 测试地点:
测试目的: 验证地调可以正常访问站端的业务系统
预置条件:
1、网络已互通;
测试过程:
1、业务系统客户端能访问地调站端的业务系统服务器
预期目标:
1、业务系统客户端能访问地调站端的业务系统服务器
测试结果:能够访问
测试结果与结论: 通过 □不通过 □
备注:
站端代表签名: 测试方代表签名:
安装调试方案
根据《电力监控系统安全防护规定》(国家发改委2014年第14号令)以及《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国能安全〔2015〕36号)的要求,建设光伏电站安全接入区为光伏电站生产控制大区各类业务系统提供安全、可靠、稳定的数据传输平台
光伏电站主站安装调试方案
光伏电厂安全接入区主站建设主要涉及以下几个方面:接入区与无线公网的安全防护、接入区的纵向边界安全防护、接入区数据采集、接入区数据传输平台、安全接入区总线管控等。整体架构图如下图所示:
环网交换机光纤环网光纤环网协议转换装置汇聚交换机
图1 一期安全接入区主站架构示意图
中心纵向加密汇聚交换机采集装置1采集装置2采集装置3采集装置4环网交换机
图2 二期安全接入区主站架构示意图
安全接入区的纵向边界安全防护采用电力专用纵向加密认证装置进行安全防护,如下图所示:
图3安全接入区纵向边界安全防护部署图
安全接入区边界防护:部署纵向加密认证装置,其应具备以下功能: 安全接入区 纵向加密装置 光纤
环网 微型纵向加密装光符
厂区 序号 参数名称 内容 设备参数指标
1 密码算法支持 设备是否支持规定的数据加密算法 符合
设备是否支持规定的数字签名和数字信封的算法 符合
设备是否支持规定的验证数据完整性的散列算法 符合
设备是否支持是否支持随机数生成算法,产生随机数的芯片类型是否符合要求 符合
2 设备证书内置 设备是否支持内置证书的导入和删除 符合
3 认证与协商发起 设备是否支持设备认证和协商的发起方式 符合
4 通信加密和明文通信 设备之间的通信是否支持加密通信/明文通信 符合
5 本地安全管理 授权操作员是否进行登录口令验证 符合
设备是否支持设备登陆失败鉴别处理机制 符合
设备管理员是否通过管理员卡类的本地认证(如IC卡、口令卡、USBKEY等)进行设备的配置个管理 符合
检测设备管理员在未进行本地认证情况下,是否无法对设备进行重启和管理 符合
授权操作员是否可对管理员的口令进行更改 符合
设备是否支持口令复杂度的检测机制 符合
6 本地管理 设备是否支持初始化 符合
设备是否支持设备的重启 符合
操作员登录/退出是否有相关的审计记录 符合
设备是否支持授权操作员对设备进行进行配置和操作 符合
检测设备是否支持授权操作员对设备证书进行管理 符合
设备是否支持授权操作员对隧道进行管理 符合
设备是否支持授权操作员对安全策略进行管理 符合
设备中隧道和策略的静态ID号是否唯一 符合
设备是否支持授权操作员对设备状态的查询 符合
设备是否记录操作员的操作,并生成可读的审计日志 符合