1、- 1 -XX(填写调度命名 )电力监控系统安全防护实施方案xxx 公司20XX 年 X 月 XX 日(盖章)- 2 - 3 -目 录一、 电厂基本情况 .- 3 -二、 方案依据及适用范围 .- 3 -三、 总体目标 .- 3 -四、 管理措施 .- 3 -五、 技术措施 .- 3 -5.1 业务分类 - 3 -5.2 各业务系统防护 - 3 -5.3 通用防护措施 - 3 -5.4 主机加固 - 3 -5.5 设备备用和数据备份 - 4 -5.6 防范恶意代码 - 4 -5.7 入侵检测 - 4 -5.8 安全审计 - 4 -六、 软硬件设备清单 .8七、 定级备案 .8- 4 -一、 电
2、厂基本情况二、 方案依据及适用范围三、 总体目标四、 管理措施五、 技术措施业务分类序号 业务系统 控制区 非控制区 管理信息大区1235.2 各业务系统防护- 5 -根据业务分类,系统情况描述,边界情况描述,每个系统的拓扑图。5.3 通用防护措施按照 36 号文相关内容要求,部署了 XX 等措施手段。5.4 主机加固加固范围,技术手段,加固内容,至少应包括操作系统、数据库、网络安全设备、服务加固、口令加固等内容5.5 设备备用和数据备份主要说明关键系统如:计算机监控系统、核心网络设备、主要安全防护设备等系统的数据、应用程序、备份方式、周期、介质。5.6 防范恶意代码主要说明是否按照 36 号
3、文要求部署了防病毒服务器,部署的方式和病毒代码更新周期。- 6 -5.7 入侵检测主要说明是否按照 36 号文要求部署了入侵检测系统,部署的方式和规则更新周期。5.8 安全审计主要说明是否按照 36 号文要求部署了安全审计系统,部署的方式和审计的内容(数据库审计、日志审计、行为审计) 。- 7 -5.9 拓扑图(电厂监控系统安全部署示意图及详细说明 (I、 II、 III 区 ),主要指局域网网络及安防设备、DCS、 NCS、 SIS、 MIS 等内容的拓扑图)- 8 -安 全 I区 安 全 I区防 火 墙AGC/AVC功 率 服 务 器以 太 网 交 换 机以 太 网 交 换 机规 约 转
4、换 器 风 机 监 视 系 统 主 机主 机 兼 操 作 员 工 作 站 1操 作 员 工 作 站 2PMU 远 动 主 机 1远 动 主 机 2第 一 平 面 实 时 交 换 机 第 一 平 面 实 时 纵向 加 密 装 置 第 一 平 面 路由 器第 一 平 面第 二 平 面电 能 采 集 终 端故 障 录 波 器 风 功 率 预 测交 换 机 反 向 隔 离正 向 隔 离第 一 平 面 接入 网第 二 平 面 接入 网办 公 管 理 气 象 数 据 服 务 器调 度 管 理 工 作 站 防 病 毒 系 统路 由 器防 火 墙I区 接 入交 换 机IDS省 调信 息 管 理 大 区 外 网
5、交 换 机 当 地 气 象站防 病 毒 系 统第 一 平 面 非 实 时纵 向 加 密 装 置 第 一 平 面 非 实 时 交 换 机第 二 平 面 实 时 交 换 机 第 二 平 面 实 时 纵向 加 密 装 置 第 二 平 面 路由 器 第 二 平 面 非 实 时纵 向 加 密 装 置 第 二 平 面 非 实 时 交 换 机IDS- 9 -防火墙公共测控柜主变测控柜主变保护柜1 1 0 K V 线路保护柜2 2 0 K V 线路保护柜频率电压紧急控制3 5 K V风机进线保护测控装置3 5 K V母分断路器保护测控装置3 5 K V动补 S V G进线保护测控装置3 5 K V接地变保护测
6、控装置3 5 K V场用变进线保护测控装置3 5 K V母线 P T保护测控装置规约转换器 时钟同步装置其他智能设备多功能电度表直流系统U P S 电源柜风机监控系统主机柜P M U同步向量测量A G CA V C控制单元运动工作站 1 运动工作站 2防火墙数据网路由器 A纵向加密装置 A 1数据网交换机 A 1综合通讯管理终端 A数据网路由器 B数据网交换机 B 1综合通讯管理终端 B纵向加密装置 B 1主机兼操作员工作站 1主机兼操作员工作站 2网络打印机安 装 于 开 关 柜安全 I 区实时信息 实时信息北斗天线 G P S 天线以太网交换机 A 网以太网交换机 B 网对时网络 ( 屏蔽
7、双绞线 )数据网交换机 A 2纵向加密装置 A 2非实时信息数据网交换机 B 2纵向加密装置 B 2非实时信息功率预测工作站电能采集终端关口电能表故障录播器至 调 度 数 据 网 至 调 度 数 据 网风功率预测服务器网络交换机 反向隔离正向隔离防火墙 网络交换机办公管理 当地气象站气象数据服务器安全 I I 区 信息管理大区 外网网络交换机调度管理系统电 网 调 度 中 心10六、 软硬件设备清单序号 设备/系统名称 型号 软件版本 生产厂家 操作系统 数据库七、 定级备案附件:管理制度1XX 发电厂电力监控系统安全防护管理规定应包含安全防护工作组织机构与岗位职责分工、电力监控系统运行管理、
8、机房管理、人员管理、保密管理、培训管理、应急管理、安全评估和等级保护等章节内容,也可单独成册。1112编写说明:一、电厂基本情况编写说明:概述电厂基本情况,电厂发电量、机组容量,结合实际情况叙述发电厂各系统作用(DCS、SIS、NCS、MIS、风电场 SCADA 等) ,以及系统定级情况、等级保护测评开展情况。二、方案依据及适用范围编写说明:本方案制定所依据的规范、文件,以及本方案使用的范围。三、总体目标编写说明:本方案的防护目标,从管理和技术两个方面写。四、管理措施编写说明:简述电厂电力监控系统安全防护管理措施,以及相关管理制度,具体管理制度附在附件中。五、技术措施编写说明:结合电厂实际情况
9、,编写以下技术措施,必须谈到具体系统。以下9 项内容,如果发电厂没有相关措施请说明,并编写各项计划采用的防护方法。5.1 业务分类编写说明:将发电厂各系统按 I、II、III 区进行分类,如:DCS、NCS、SIS、MIS、SCADA、AGC、AVC、PMU、RTU、保护信息子站、故障录播、功率预测、负荷考核系统等。5.2 各业务系统防护135.2.1 XX 系统编写说明:将该系统从横向、纵向层面详细说明数据交互过程及安全防护措施。如 XX 系统纵向层面需与调度主站进行数据交互,经过电厂纵向加密认证装置进行安全防护。XX 系统数据源在生产控制大区采集,经横向隔离装置发送至管理信息大区服务器,再
10、经管理信息大区纵向防火墙上送至省调。5.2.2 XX 系统5.3 通用防护措施5.4 主机加固编写说明:各个系统如何进行主机加固以及加固方法。如:对 XXX 系统进行主机加固,主要加固措施有 XXXX;XXX 系统进行主机加固,加固的主要措施有XXXX。5.5 设备备用和数据备份编写说明:重要系统的关键设备需要冗余配置,或者有备用设备。如:XXX 系统 XX 设备(服务器等)采用冗余配置,实现热备(或冷备) ,当发生设备故障时,备份设备可以 XXX;对各系统重要数据进行备份,以及备份方式(离线备份或在线备份) ,备份周期等。如:对 XXX 系统 XXX 数据进行备份,备份存储在XXX 中,备份
11、周期为 XXX 天。5.6 防范恶意代码编写说明:发电厂采用防恶意代码的具体措施。如:XXX 系统采用 XXX 品牌的防恶意代码软件(如杀毒软件) ,对 XXX 进行病毒和恶意代码查杀,具体查杀周期,查杀出病毒后处理方式。5.7 入侵检测编写说明:编写发电厂入侵检测采用的方法,以及使用的效果。如:在 XXX 边界部署 XXX 品牌的入侵检测系统,实现 XXX 功能。145.8 安全审计5.9 拓扑图编写说明:新建、扩建发电厂,必须附上电厂监控系统设计图,同时附上系统及网络安防图,具体包括:I、II、III 区,一二平面路由器、局域网网络安防设备、AGC/AVC、电量、保护等与调度主站通信的系统,以及发电厂的监控系统连接方式。六、软硬件设备清单编写说明:发电厂内部监控系统采用的品牌、型号、生产厂家信息。交换机、路由器、安防设备的品牌、型号、生产厂家信息。七、信息安全等级保护编写说明:附上发电厂系统在公安厅定级备案表和开展的等级保护测评(封面、主要问题)扫描件。附件附上管理制度具体内容
