收藏 分享(赏)

渑池电厂电力二次系统安全防护方案.doc

上传人:精品资料 文档编号:9459479 上传时间:2019-08-08 格式:DOC 页数:25 大小:1.92MB
下载 相关 举报
渑池电厂电力二次系统安全防护方案.doc_第1页
第1页 / 共25页
渑池电厂电力二次系统安全防护方案.doc_第2页
第2页 / 共25页
渑池电厂电力二次系统安全防护方案.doc_第3页
第3页 / 共25页
渑池电厂电力二次系统安全防护方案.doc_第4页
第4页 / 共25页
渑池电厂电力二次系统安全防护方案.doc_第5页
第5页 / 共25页
点击查看更多>>
资源描述

1、华能渑池热电有限责任公司电力二次系统安全防护方案报告人:杨新旭 张 雷企业简介:华能渑池电厂装机容量 700MW,装机容量为 2350MW 超临界机组,1号机于 2016 年 12 月 02 日投产发电,2 号机于 2016 年 12 月 25 日投产发电;渑池电厂以 2回 220kv 线路砥柱变 I 线和砥柱变 II 线接入电网。二次系统安全分区及防护目标1.1 二次系统安全分区华能渑池热电有限责任公司安全二次系统分为两个大区:生产控制大区和管理信息大区。生产控制大区(1)安全区 I:实时控制区安全区 I 的典型系统包括机组 DCS、烟气脱硫 DCS、电气网络控制系统ECMS、 PMU、NC

2、S、实时平衡调度系统。控制区内的1、2 机组控制系统 DCS、辅网 DCS、网络监控系统 NCS 以及非控制区电能量采集装置通过防火墙和接口机与厂级监控信息系统 SIS 相连,以向 SIS 中传送数据。相量测量装置 PMU、远动装置 RTU,无功调压装置 AVC 通过五类双绞线与调度数据网相连,接入实时子网 VPN1;继电保护及故障信息管理子站、电能量采集装置、实时调度系统通过五类双绞线与调度数据网相连,接入非实时子网 VPN2。渑池电厂1、2 机励磁系统、继电保护装置是不存在外部网络联系的孤立的业务系统,不存在安全防护的问题。安全区 I 是电力二次系统中最重要的系统,安全等级最高,是安全防护

3、的重点与核心。(2)安全区 II:非实时控制生产区安全区 II 的系统包括厂级监控系统 SIS(含核心交换机以及各应用服务器) 、保护及故障录波信息子站系统、电能量计量系统、烟气脱硫系统等。安全区 II 的 SIS 系统需采集安全区 I 的 DCS、TDM、ECMS 等系统的信息。管理信息大区安全区 III 业务系统或功能模式的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,该区包括管理信息系统(MIS) 、办公自动化系统(OA)客户服务、辅助报价决策系统等。该区的外部通信边界为发电企业的广域网络及因特网。1.2 二次系统安全防护部署方案遵照国家经贸委第 30 号令 电网和电

4、厂计算机监控系统及调度数据网络安全防护的规定以及国家电力监管委员会200634 号文件印发的电力二次系统安全防护总体方案等安全防护方案及招标文件的要求。二次系统安全防护可分为电厂内安全区域间的横向防护以及广域网边界纵向防护两部分。1.3 .横向安全防护二次系统安全防护项目横向安全防护整体部署拓扑图如图 1-1 所示。图 1-1 渑池电厂二次系统横向安全防护部署拓扑图安全 I 区实时控制区安全 I I 区非实时控制区安全 I I I 区管理信息大区非控制区入侵防御装置P M U 系统保护及故障信息子站调度数据网I 区接入交换机调度数据网I I 区接入交换机实时调度系统 电能量计量系统烟气 ( 脱

5、硫脱硝 ) 系统S I SD F - F W 1 0 0防火墙远动 R T U ( 含 A V C 、A G C 功能 )N C S 系统五防工控机正向隔离装置工控机M I S 系统 O A 系统# 1 D C S # 2 D C S励磁系统继电保护装置安全稳定装置串口通信采集故障录波电力市场纵向加密纵向加密国际互联网2 M 专线华能国际股份有限公司路由器外网1.4 硬件设备部署:1) 安全 I 区与安全 II 区在厂站端、区之间部署 1 台防火墙用于安全区和安全区之间的逻辑隔离(如图 1-2 所示) 。D F - F W 1 0 0防 火 墙保 护安 控P M U公 共 设 备 控 制 辅

6、机 控 制闸 门 控 制 机 组 控 制开 关 站 控 制监 控 系 统监控系统自 动 化 系 统电 能 量 采 集 装 置市 场 报 价 终 端故 障 录 波 装 置安 全 I 区 安 全 I I 区图 1-2 渑池电厂安全区 I 和 II 之间的安全防护部署图通过以下方式保护网络:1) 为防火墙配置适当的网络访问规则,可以防止不同安全区之间的未经授权访问;2) 通过对网络流量的流量模式进行整型和服务质量保证措施,保证网络应用的可用性和可靠性;3) 可以根据时间定义防火墙的安全规则,满足网络在不同时间有不同安全需求的现实需要;4) 可以提供用户认证机制,使网络访问规则和用户直接联系起来,安全

7、更为有效和针对性;5) 对网络攻击进行检测,可与专业 IDS 系统共同组建一个多级网络检测体系。目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,状态检测防火墙具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能,同时具有广泛的适应能力。在不损失网络性能的同时,能够实现网络安全策略的准确制定与执行,同时有效地抵御来自非可信任网络的攻击,并具有对防火墙系统安全性能的诊断功能。其内置的入侵检测系统,可以自动识别黑客的入侵,并对其采取确切的响应措施,有效保护网络的安全,同时使防火墙系统具备无可匹敌的安全稳定性。2) 安全 I 区/II 区与安全 III 区

8、控制区、非控制区和管理信息大区之间采用电力系统专用安全隔离装置隔离,每个区内使用各自区内的横向互联交换机连接各应用系统网段,同一区内不同业务用不同的虚拟局域网分割,如图 3-3 所示。生产控制大区管理信息大区根据需要划分安全区生产控制区安全区 1非控制区安全区 1 1逻辑隔离图 3-3 安全区 I/II 与 III 区之间的安全防护部署图正向隔离装置应用专用安全隔离装置(正向单 bit)用于从安全区 I/II 到安全区 III 传递数据,是安全区 I/II到安全区 III 的唯一一个数据传递途径。3)网络三层交换机的部署在安全 I、II、区需布署一台交换机用于各区内设备的组网,统一 I、II

9、、III 区业务的对外联系和接口。4)纵向认证加密装置的部署纵向认证加密装置用于实时控制区的广域网边界防护,实现本地包过滤功能以及广域网通信提供认证与加密功能,保证数据传输的机密性、完整性。)工控机的部署在安全区内布署一台工控机,并将其通过区的非实时网段交换机接入到电力专用横向正向隔离装置的内网口,用于读取和上传电力专用横向正向隔离装置的日志信息。6)通信网关机的部署在安全 I 区、安全 II 区、安全 III 区内各部署一台通信网关机,做为实现安全 I 区、安全II 区与安全 III 区之间通过物理隔离装置的文件传输的平台7)入侵防御装置的部署在安全 I 区部署一套 IPS 入侵防御系统。I

10、PS 探头主要部署在安全 I 区的边界点。1.5 软件部署:1) 、跨正向物理隔离装置安全传输软件的部署原站长管理工作站由于经过防火墙、电力专用横向正向隔离装置后,无法接收来自安全I 区的监控系统数据,因此要在工控机上安装跨物理隔离装置安全文件传输软件(IT-SFTP)的发送端和接收端,用于现有系统数据交换的应用改造,以适应加装电力专用横向正向隔离装置后的文件传输。2)电力专用横向正向隔离装置日志收集及上传软件为了解设备本身运行工作状态是否正常等信息,一旦发现问题,应该对问题的内容及处理结果有所记录,因此需在工控机上配置电力专用横向正向隔离装置日志收集及上传软件,以便于实施监控正向隔离设备的运

11、行情况。3)电力专用横向正向隔离装置日志信息接入主站监视系统目前调度主站端已经建设了一套网络安全产品集中监视管理系统,用于集中展现电力专用横向正向隔离装置的运行工况、配置信息、日志信息、报警信息等并加以综合利用,以便于系统维护,保证系统安全稳定运行。4)杀毒软件部署在安全 III 区的工作站上安全瑞星杀毒软件,针对网络中所有可能的病毒攻击点设置全方位、多层次的防毒系统配置,使企业网络免受病毒的入侵和危害。设备屏柜的部署:本期电厂配备 1 面二次系统安全防护屏,保护故障信息子站屏内安装 1 台防火墙,调度数据专网的 2 面屏内安装 4 台电力专用纵向加密认证装置等其他附件。1.6 纵向安全防护1

12、)调度数据网安全防护的部署如图 3-4 所示:实 时 区 系 统非 实 时 区 系 统省 调 接 入 网路 由 器 1地调接入网路 由 器 2纵 向 加 密 设 备 纵 向 加 密 设 备图 3-1 电厂二次系统纵向安全防护部署拓扑图在厂站端安全 I 区、II 区调度数据网交换机和路由器之间分别部署 2 台纵向加密装置用于安全 I 区、II 区与上级调度系统纵向边界上安全防护。采用东方京海公司的 DF-FW 100 系列防火墙。将防火墙放置在非实时区纵向边界处,这样可以通过以下方式保护网络:1.为防火墙配置适当的网络访问规则,可以防止不同安全区之间的未经授权访问;2.通过对网络流量的流量模式进

13、行整型和服务质量保证措施,保证网络应用的可用性和可靠性;3.可以根据时间定义防火墙的安全规则,满足网络在不同时间有不同安全需求的现实需要;4.可以提供用户认证机制,使网络访问规则和用户直接联系起来,安全更为有效和针对性;1.7 主要电力监控设备及安全分析1.机组控制系统 DCS渑池电厂分散控制系统采用 ABB 公司基于现场总线技术的 Symphony Plus 系统,单元机组及辅网各配置一套 DCS 系统,每套 DCS 系统控制网络均为平行网络结构。两台机组公用系统设置 DCS 公用控制网络,通过通讯接口与每台单元机组的通讯总线相连。DCS 功能包括数据采集系统(DAS)、模拟量控制系统(MC

14、S)、顺序控制系统(SCS)、锅炉炉膛安全监控系统(FSSS)、电气发变组厂用电控制系统(ECS)。Symphony Plus 系统通信网络最上层的通信结构为总线网络。它是符合以太网标准,主要用来构成管理层数据交换的结构,通过通信介质与计算机连接。另一网络层是继续保持 INFI-net 相关技术的组合平行网络结构。它主要用来进行现场 I/O 状态采集、过程控制操作、过程及系统报警等管理数据交换的工作。DCS 所提供的数据通讯总线是冗余的(包括冗余的总线接口模件)。冗余的数据通讯总线在任何时候都同时工作,通讯总线采用光缆及双绞线。主厂房与远程 I/O 之间、不同地点交换机间的连接采用冗余铠装光纤

15、。DCS 系统与其它控制系统的通讯接口支持 RS232C,RS485/422 和以太网方式连接,支持TCP/IP、MODBUS、MODBUSPLUS 通讯协议。DCS 系统所有 USB 接口实现禁用管理。每套 DCS 向 SIS 系统传输实时数据。2.励磁系统渑池电厂励磁系统包含电力系统稳定器 PSS、自动电压调节器 AVR 功能。励磁装置通过屏蔽硬接线与其它设备相连接。励磁系统是不存在外部网络联系的孤立的业务系统。参与无功调节部分与 AVC 相连,连接方式为硬接线,无网络通信部分。3.远动装置 RTU(包含 AGC、AVC 功能)渑池电厂远动装置采用上海惠安 GR90 RTU。远动装置除通过

16、屏蔽硬接线与其它设备相连接外,当地功能设备以太网接口与 GR90 相连,RTU 满足与河南省调和三门峡地调自动化主站系统进行通信的要求。RTU 双主机配置,具有交流采集功能,能采集、转换和处理模拟量、脉冲量、数字量、状态量等信息并向主站传送的功能,还有接收、处理和执行遥控、遥调命令的能力。数据采集、处理及远传功能,满足河南省调调度自动化总体功能的要求,数据包括开关量、模拟量,对厂内 220kV 线路、主变高压侧、起备变的断路器、反映系统运行状态的隔离开关和接地刀闸等主要设备的运行状况和参数进行远方监视;远动系统通过 DCS 系统下发省调有关发电机功率的命令,其与单元控制 DCS 系统采用信息交

17、换硬接线方式。该装置与调度中心通信,除采用传统的基于专用通道的数据通信外,GR90 主模块还接入同属于控制区的调度数据网的实时子网 VPN1,进行信息的传送和接受。远动装置上海惠安 GR90 RTU 装置上进行扩展AVC 及 AGC 功能。4.相量测量装置 PMU渑池电厂相量测量装置 PMU 按照河南电网的统一设计、实施,采用的是上海铱控公司 VP-EC203 同步相量测量装置。其中两个独立的网络接口分别接至两台调度数据网接入设备。本厂功角测量装置接入到河南省调主站系统,按主站的功能要求提供相关的实时数据、录波数据等。5.继电保护系统220kV 线路保护装置分别采用南瑞、四方等公司的保护产品。

18、线路保护装置与保护对象的对端进行保护信息传输采用的通信方式是传统的基于专用通道的数据通信,线路保护装置通过屏蔽硬接线与机组控制系统 DCS、远动设备 RTU 及相应的 CT 和 PT、相关断路器操作回路相连,通过网口与继电保护及故障信息管理子站相连。发变组保护及高备变装置采用的是南瑞继保电气有限公司保护设备,通过屏蔽硬接线与机组控制系统 DCS、励磁调节系统 AVR、远动设备 RTU 及相应的 CT 和 PT、相关断路器操作回路相连,通过网口与继电保护及故障信息管理子站相连。厂用电保护装置通过硬接线和屏蔽双绞线串口两种方式与 DCS 连接,其中硬接线完成遥合遥跳功能,重要保护信号以及电流信号也

19、采用硬接线方式完成,通信串口完成所有信号的上传工作,但通信上传信号不参与各种逻辑判断,仅做为显示使用。保护装置是不存在外部网络联系的孤立的业务系统。6.故障录波装置我厂发变组、高备变故障录波均采用的是浪拜迪故障录波装置。线路故障录波采用南京银山的故障录波装置。故障录波装置的管理终端为就地管理终端,线路、发变组、高备变故障录波装置以太网接口与属于一个控制区继电保护及故障信息管理子站相连。7. 继电保护及故障信息管理子站渑池电厂故障信息管理子站采用的是南京航天银山电气有限公司的 YS-3000A,与线路保护装置、发变组保护装置通过 RS485 串口相连。 (PPT)保护及故障信息管理系统子站能以两

20、个独立的100Mbit/s 以太网接口与两套调度数据网接入设备连接,经数据网实现保护、故录信息传输,保护、故录信息送至河南省调和地调。保护及故障信息管理系统子站同时应具备拨号传输作为备用方式,经 MODEM 接口,实现保护信息、故录信息送至调度端。 故障信息管理子站属于非控制区,满足安全防护的要求。8.电能量采集装置渑池电厂电能量采集装置采用的是上海惠安的数据采集器 MGS200。计费关口表和考核表经光纤以 RS485 串口与数据采集器相连。电能量采集装置与河南省调主站通信方式以数据网或专线方式传输,满足数据网络双平面接入条件。当地计费主站通过以太网经防火墙将计量信息送入控制区的厂级监控信息系

21、统 SIS。9.电力市场报价终端根据要求即时信息系统终端机已接入调度数据网非实时子网部分。发电厂调度管理与实时调度系统可提供功能:数据申报系统、省调调度员与电厂值长在线互动式管理系统、运行考核系统(包括调度员分班考核) 、发电厂出力实时监视、节能发电相关应用功能、两个细则考核功能等。10.烟气在线检测系统烟气在线监测系统采用上海惠安公司设备。接入调度数据网非实时子网部分。11.厂级监控信息系统 SIS渑池电厂 SIS 由河南电力设计院设计,西安热工研究院有限公司负责实施。SIS 系统分别使用 2台交换机构成冗余星形双网结构。SIS 系统实时数据库服务器及磁盘阵列集群采用 HP DL388P G

22、en8 系列服务器,镜像实时数据库服务器,应用服务器采用 HP DL388P Gen8 两颗八核英特尔至强处理器 E5-2640 V2 2.0G,64G 内存,两块冗余 750W 热插拔电源; WINDOWS 2012 Server 标准版许可协议带介质、带许可,工程师站采用DELL OptiPlex 7020 Monitower,交换机采用华为公司的 S5700-28C-EI-AC。SIS 与 DCS 系统接口机采用研华工控机 ipc610h,通过 DCS 防火墙 CISCO2811 和 SIS 防火墙天融信 NGFWARES TG-1503 将数据接入 SIS,最终送至厂内信息中心再由信息

23、中心综合处理。机组 DCS 系统、辅机网控系统、炉膛爆管监测系统、辅网 DCS 系统、RTU 系统、厂用电监测管理系统等生产过程监控系统通过 OPC 站按 OPC 协议经防火墙与 SIS 系统通讯。SIS 系统安装了 Symantec12.1.5 网络版防病毒软件,并定期升级病毒库。14、厂级 SAP、OA 办公自动化系统厂级 SAP、OA 办公自动化系统,通过路由器、防火墙对外与股份公司相联系。二、电力监控系统网络业务及安全分区按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则,对渑池电厂电力监控系统系统进行安全分区,重点对电力生产控制系统的边界采取有效的安全防护措施,以满足电力监控系

24、统网络安全防护的要求。电力监控系统网络业务序号业务系统及设备控制区(I区)非控制区(II区)生产管理区(III 区)办公管理区(IV 区) 备注1 火电机组控制系统 DCS电厂内部的监控系统2 脱硫 DCS 系统脱硫 DCS 系统电厂内部的监控系统3 烟气监测系统 CEMS 与公网相连4励磁系统和无功电压控制AVRB1:调度中心监控系统的厂站侧设备B2:与调度数据网有关的电厂监控系统与调度数据网有关的电厂监控系统5 远动系统 RTU与调度数据网有关的电厂监控系统6 相量测量装置 PMU调度中心监控系统的厂站侧设备7 自动电压控制系统 AVC与调度数据网有关的电厂监控系统8 电能量采集装置 电能

25、量采集调度中心监控系统的厂站侧设备9 保护管理信息系统 继保管理终端调度中心监控系统的厂序号业务系统及设备控制区(I区)非控制区(II区)生产管理区(III 区)办公管理区(IV 区) 备注站侧设备10 故障录波 故障录波装置调度中心监控系统的厂站侧设备11调度生产管理系统(OMS)调度生产管理系统与综合数据网有关的电厂监控系统12 省公司视频会议省公司视频会议与综合数据网有关的电厂监控系统13 火灾报警系统 火灾报警电厂内部的监控系统14厂级监控信息系统(SIS)监控功能(采集接口机)优化功能(主服务器)管理功能(镜像服务器等)电厂内部的监控系统15管理信息系统、办公自动化SAP、0A电厂管

26、理信息系统附图一:渑池电厂电力监控系统安全防护结构示意图发变组保护2 2 0 K V 线路保护柜机组录波器2 2 0 K V 线路录波器保护信息子站非实时业务交换机电力纵向加密认证装置实时业务交换机电力纵向加密认证装置路由器 通信机房远动 R T UP M U电能量计量电力市场S I S 系统光纤省调附图二:渑池电厂电力监控系统安全防护省调结构示意图发变组保护2 2 0 K V 线路保护柜机组录波器2 2 0 K V 线路录波器保护信息子站非实时业务交换机电力纵向加密认证装置实时业务交换机电力纵向加密认证装置路由器 通信机房远动 R T UP M U电能量计量电力市场S I S 系统光纤省调附

27、图三:渑池电厂电力监控系统安全防护地调结构示意图安全 I 区实时控制区安全 I I 区非实时控制区安全 I I I 区管理信息大区非控制区发变组保护2 2 0 K V 线路保护柜机组录波器2 2 0 K V 线路录波器保护信息子站非实时业务交换机电力纵向加密认证装置实时业务交换机电力纵向加密认证装置路由器 通信机房远动 R T UP M U电能量计量电力市场S I S 系统光纤地调附图四:渑池电厂网络微机监控系统(NCS)示意图升压站继电器楼工程师站监控网监控网对时网工程师站起备变及公用测控柜母线 母联 P T 测控柜2 2 0 K V 出线测控柜卫星同步对时N C S 公用管理机柜卫星同步对

28、时扩展屏 发变组测控柜升压站继电器室# 1 机电子间集控室五防工作站 操作员站 1 操作员站 2光纤 光纤电力二次系统安全防护处置方案事件特征电力二次系统安全防护可能发生的不安全情况及主要风险如下:1.1 在通信机房、电子间、继电器室等地,所使用的电气二次系统继电保护及安全自动装置,可能受到计算机病毒感染。1.2 继电器室及工程师站 NCS 系统至 SIS 系统防火墙故障,可能造成 NCS 至 SIS 系统通信信号中断。1.3 电能量采集系统至 SIS 系统防火墙故障,可能导致 SIS 系统无法采集电量计费数据。1.4 卫士通纵向加密认证装置故障,可能造成电气二次系统控制区调度数据网承载的信号

29、中断,影响调度数据网的运行。1.5 非控制区调度数据网防火墙故障,造成非控制区调度数据网承载的信号中断,影响非控制区调度数据网不能正常运行。1.6 继电保护装置故障引起的保护误跳、拒跳及“三误”等原因,造成事故范围扩大。应急组织及职责2.1 电力二次系统安全防护应急处置领导小组组 长:张振乙 余映照副组长:颜廷学 崔国胜 成 员:生产管理部、安监部、运行部、检修部、经理工作部等部门负责人本处置方案日常管理办公室设在安监部,安监部主任任日常管理办公室主任。2.2 应急处置领导小组职责3.2.1 提出修订应急预案,负责定期组织演练,监督检查各部门在本预案中履行职责情况。3.2.2 领导小组成员在事

30、故发生后,应立即赶赴事故现场进行现场指挥,对发生事件启动应急救援预案进行决策,迅速组织力量赶赴现场进行事故处理,全面指挥应急救援工作。3.2.3 负责向上级报告公司的事故情况和事故处理进展情况。3.2.4 组织实施事故恢复所必须采取的措施。3.2.5 组织事故调查,认真分析事故发生的原因,总结应急救援的事故教训,并形成总结报告上报上级有关部门。2.3 应急工作小组职责2.3.1 对可能产生的问题提出事故预想,负责提供技术指导。2.3.2 定期组织演练,加强技术培训。2.3.3 定期巡查设备,及时发现设备隐患并采取措施予以消除。2.3.4 督促职工严格遵守安全工作规程和运行、检修规程,正确执行各

31、项运行操作、做好日常维护检查和检修消缺工作。2.3.5 根据事故情况对设备采取相应保护、隔离措施。2.3.6 及时向事故应急领导小组报告重大事故隐患或事故情况,及时通知专业应急小组和其它事故应急小组赶赴现场进行应急处理、救援。2.3.7 参加调查事故原因,进行事故分析。2.3.8 根据故障情况提出整改意见,按照审批程序审核后及时落实整改。应急处置3.1 电力二次系统现场应急处置程序当发生突发事件时,应急处置人员应当第一时间赶往现场,判断事件的性质、影响的范围、以及对电网及机组是否有影响,影响电网调度的自动化系统和通信系统的突发事件应急处置按照调度有关的要求进行及时处理。经过判断后立即通知网、省

32、调度自动化值班人员以及电厂有关领导,配合并指导事件的处理,在处理突发事件时需要记录所做的每步工作。3.2 电力二次系统故障的现场应急处置措施在处理突发事件时,应当尽量让其恢复,杜绝事件扩大,如不能及时恢复,应当立即通知网、省调度值班员以及公司有关领导,经网、省调度和公司有关领导同意后在不影响其它设备正常运行的情况下可以暂缓事件处理,等设备专责或厂家到现场后处理,具体处置情况如下:3.2.1 继电保护及安全自动装置受到计算机病毒感染时,应及时更新病毒库,对业务终端计算机杀毒。4.2.2 NCS 系统至 SIS 系统防火墙故障,导致信号中断,首先中断防火墙,NCS 系统至 SIS 系统直接联通;然

33、后排查防火墙故障或更新防火墙。3.2.3 电能量采集系统至 SIS 系统防火墙故障,导致信号中断,首先中断防火墙,电能量采集系统至 SIS系统直接联通;然后排查防火墙故障或更新防火墙。3.2.4 卫士通纵向加密认证装置故障,导致控制区调度数据网承载的信号中断,首先纵向加密认证装置打到旁路状态,及时沟通调度数据网信号。排查纵向加密认证装置故障或更换纵向加密认证装置。3.2.5 非控制区调度数据网防火墙故障,导致非控制区调度数据网承载的信号中断,首先中断防火墙,非控制区调度数据网直接联通;然后排查防火墙故障或更新防火墙。3.2.6 继电保护装置故障引起的保护误跳、拒跳及“三误”等原因,核对保护定值

34、输入是否正确,即时查明装置故障原因,更换故障元件。3.3 应急处置基本原则当突发事件处理完毕,故障恢复后,立即通知网、省调度值班员以及公司有关领导并宣布解除应急状态,与网、省调度核对数据。及时组织事件处理人员召开事件处理分析会议,对事件的起因、经过、结果进行分析、评估,及时制定反事故措施及防范措施。应急人员联系方式:应急通讯录序号 姓 名 手 机 职务及岗位1 张振乙 18039265187 总经理2 余映照 18039268166 党委书记(兼副总经理)3 颜廷学 18039265177 副总经理4 崔国胜 15203986966 副总经理5 钮 宾 18039268877 总经理助理8 姚

35、宏伟 18039268039 副总经济师9 刘新海 18039265122 工程部负责人10 王宏涛 18039265169 安监部负责人11 李丰亮 18039265129 安监部安全负责人19 杨哲晏 18039268857 安监部安全负责人12 冯国臣 18039265118 燃料部负责人12 赵洪峰 18039268833 行政部负责人(医务联系人)12 夏 琦 18039268868 人资部负责人13 荆海东 18039265117 运行部主任14 王长海 18039265123 运行部副主任15 陈映波 18039265185 财务与预算部负责人16 徐 阳 18039265110

36、 物资部负责人17 陈少东 18039265180 计划部负责人20 值班(值长) 0398-2318000 应急值班21 值班室 0398-2307041 应急值班22 报 警 110(匪警) 119(火警) 120(急救中心)电力二次系统安全防护方案及其应急预案第 I 条 电力二次系统安全防护管理制度1. 总则1.1. 为了防范黑客及恶意代码等对电力二次系统的攻击侵害,保障我公司电力二次系统的安全可靠、稳定运行,提高电力二次系统的安全管理水平,根据国家电监会颁布的电力二次系统安全防护规定 (电监会5号令)及电力二次系统安全防护总体方案(电监安全200634号),特制定本管理办法。1.2.

37、我公司电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则。1.3. 我公司电力二次系统安全防护工作以“安全第一、预防为主,管理和技术并重、综合防范”为方针,遵循“统一领导、统一规划、统一标准、统一组织开发”的原则。1.4. 本管理办法适用于我公司电力二次系统,所有涉及电力二次系统的规划、设计、系统改造、工程实施、运行管理等均应符合本管理办法的要求。1.5. 引用标准及规范:1.5.1. 电网和电厂计算机监控系统及调度数据网络安全防护规定国家经贸委 30号令1.5.2. 电力二次系统安全防护规定国家电监会5号令1.5.3. 电力二次系统安全防护总体方案国家电监会电监安全

38、200634号文2. 管理职责2.1. 我公司根据国家电监会电力二次系统安全防护总体方案要求,按照“谁主管谁负责,谁运营谁负责”的原则,建立电力二次系统安全管理制度,明确运行、检修、调试和信息化等部门相关人员的安全职责。2.2. 电力调度机构负责直接调度范围内的下一级电力调度机构和变电站的二次系统安全防护的技术监督。发电厂内涉及到电力调度的生产控制系统和装置,如发电厂的输变电二次系统、自动发电控制功能、无功电压控制功能、电厂报价终端、电能量采集装置、故障录波装置、继电保护装置和安全自动控制装置等,由电力调度机构和我公司主管单位共同实施技术监督,我公司其它二次系统安全防护可由其上级主管单位实施技

39、术监督。2.3.二次系统安全防护技术监督的单位对管辖范围内的技术2.3. 方案负责审核,对涉及电力二次系统安全防护的产品选用提出指导意见。2.4. 成立由主管生产安全领导为组长的电力二次系统安全防护工作组,工作组成员名单并报相应电力调度部门、电监会备案。3. 技术管理3.1. 我公司电力二次系统安全防护工作必须坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。3.2. 根据各自二次系统情况制定电力二次系统安全防护方案,防护方案应每年滚动修订、完善。3.3. 涉及电力二次系统安全防护的产品应具备国家网络与信息安全主管部门(国家电监会信息中心)认可的有关证

40、明。3.4. 未完成电力二次系统安全防护措施前应制订安全防护改造应急措施。3.5. 在对电力二次系统进行安全检查过程中,如发现部分应用系统及网络未按照电力二次系统安全防护规定执行的应限期整改,若限期之内还不能完成,则对责任人进行通报批评并依据相关规定进行处罚。4. 应急管理4.1. 制定本单位电力二次系统安全防护应急预案,内容包括突发事件发现、应急安全隔离措施、事件上报、安全处理、事件反馈等几个方面并定期开展演练。4.2. 应急预案的制定和修改必须履行一定的审核手续,存放在规定的地方,并根据演习的结果不断完善应急预案。4.3. 对在电力二次系统中发生的安全技术事故和安全事件,要采取妥善措施,防

41、止事件扩大,保护好现场,并在立即向东北公司电力调度通信中心、东北电监会报告,并在8 小时内提供书面报告。对隐报、缓报、谎报或未在上述时间内报告的将按国家有关规定,追究相关单位和当事人的责任。5. 培训与评估5.1. 每年需举办电力二次系统安全防护知识培训,提高电力二次系统安全防护技能和意识。5.2. 在进行安全评估和监督检查中应严格控制风险,确保电力系统安全稳定运行。参加评估的人员应将遵守有关保密规定。5.3. 对电力二次系统安全防护工作监督检查专家组对本公司单位电力二次安全防护实施情况进行监督检查,提出整改意见进行整改。6. 附则6.1. 本管理办法由自发布之日起执行。第 II 条 权限密码

42、管理制度1. 总则1.1. 为确保继电保护装置及网络安全运行,保护公司权益不受侵害,特制订此管理制度。2. 服务器密码及口令管理2.1. 监控机、网络路由器以及继电保护装置的口令和密码,由安生部门负责人和系统管理员商议确定,必须两人同时在场设定。2.2. 监控机、网络路由器以及继电保护装置的口令须部门负责人在场时要由系统管理员记录封存。2.3. 密码及口令要定期更换(视网络具体情况) ,更换后系统管理员要销毁原记录,将新密码或口令记录封存(方式同2.2)2.4. 如发现密码及口令有泄密迹象,系统管理员要立刻报告部门负责人,经生产副总批示后再更换密码和口令。3. 用户密码及口令的管理3.1. 对

43、于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知) ,之后系统管理员设定密码及口令,并保存用户档案。3.2. 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向网络服务管理部门提交申请单,由部门负责人或系统管理员核实后,履行本条1款所规定的手续,并对用户档案做更新记载。3.3. 如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。4. 附则4.1. 本管理办法由自发布之日起执行。第 III 条 门禁管理和机房人员登记制度1. 总则1

44、.1. 为确保计算机网络系统安全、高效运行和各类设备处于良好状态,真确使用和维护各种设备,管理有章、职责明确,特制定本制度。本制度分为5个部分:1.1.1. 值班制度1.1.2. 巡视制度1.1.3. 日常管理制度1.1.4. 运行维护制度1.1.5. 安全保密制度2. 值班制度2.1. 机房实行24小时值班制度2.2. 值班人员要遵守值班守则2.3. 值班守则2.3.1. 要培养值班人员有一定的综合素质,有一定的应变和事故判断能力。2.3.2. 值班人员的主要职责是要在第一时间发现故障和故障隐患,并及时报告,使相关管理人员能及时赶到现场尽最大可能缩短故障恢复时间。2.3.3. 熟知工作内容和

45、责任规范。值班时间内不得作与工作、业务无关的任何私事,不得擅自离开岗位。2.3.4. 值班人员负责机房的安全和机房环境卫生。认证履行机房的各项规定,并督促进入机房人员严格遵守。2.3.5. 负责机房的环境设备与网络系统的安全运行;负责完成规定的日常操作和故障监测记录,简单故障的排除,负责环境设备的日常巡视。2.3.6. 值班人员必须以严肃、严格的态度,认证执行机房巡视制度负责每日对机房网络设备、机房设备、机房环境的巡视、认真填写巡视记录表,发现问题及时向相关管理人员反映。2.3.7. 值班人员要定时对网络管理监控机进行巡视并认真进行记录。2.3.8. 当遇到故障报警时,应及时判断处故障点,并立

46、即通知相关的系统管理员现场排除故障。发生重大故障时,还应及时报告直接领导。2.3.9. 值班人员应按时到岗,认真交接,双方签字后交班人员方可离岗。2.3.10. 必须严格遵守各项相关管理规定和消防管理规定。3. 巡视制度3.1. 网络运行设备的巡视3.1.1. 各服务器的 CPU 和内存的工作状况3.1.2. 防火墙的工作状况3.1.3. 网站的工作状况3.1.4. 邮件服务器的工作状况3.1.5. 网络交换机的工作状况3.1.6. 客户端的网络运行速度3.1.7. 认真做好记录3.2. 机房环境的巡视3.2.1. 机房门窗的关闭情况3.2.2. 机房的卫生状况3.2.3. 机房的灯光状况3.

47、2.4. 机房的温度、湿度及空气状况3.2.5. 认真做好记录3.3. 机房设备的巡视3.3.1. 对机房的 UPS、空调、消防报警等系统的运行情况进行经常性巡视,密切注意工作负荷、电池容量、室内温湿度等数值,以保证网络安全、正常的运行3.3.2. 主配电柜的供电电压、电流。3.3.3. UPS 的输出电压、电流和负载功率。3.3.4. UPS 电池的状况。3.3.5. 空调的工作状况。3.3.6. 新风机和空气净化器的工作状况。3.3.7. 消防报警系统的工作状况。3.3.8. 查看所有机房设备的报警记录。3.3.9. 认真做好巡视记录。4. 日常管理制度4.1. 每日清理机房的环境卫生。4

48、.2. 到机房工作的人员要听从值班人员管理4.3. 到机房工作的人员进入机房前需换上机房专用工作服和工作鞋,并定期清理自己的装用工作服和工作鞋。4.4. 到机房工作的人员不得在机房内吃食品,饮水,吸烟或其他与工作无关的事宜。4.5. 到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。4.6. 到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备。4.7. 机房内不能存放任何食品。4.8. 严禁在机房内使用其他用电器。4.9. 严禁在机房内存放杂物4.10. 严禁在机房大声喧哗、玩电子游戏、聊天等4.11. 严禁在机房的服务器上浏览 I

49、NTERNET 的网页和接收电子邮件。4.12. 在机房工作必须按操作规程正确操作、使用各类设备。5. 运行维护制度5.1. 配电柜一年进行至少2次维护检查。维护内容:清扫灰尘、检查各接点、触电的温升,松紧。注:双路供电还应检查互投开关的吃否可靠5.2. UPS 一年进行2次巡检。维护内容:清扫灰尘、检查 UPS 逆变器工作状况及 UPS 整机的工作状况、检查电池组机每节电池的状况并对电池进行放电。5.3. 机房专用空调每月进行一次巡检。维护内容:清扫及更换各过滤网、清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电流,检查下水管道是否畅通及漏水报警是否正常、进行软化水更换。5.4. 新风机每年进行两次维护。维护内容:更换过滤网 ,检查电机的工作状况5.5. 空气净化每季度要进行一次维护。维护内容:对设备进行清洗、跟换活性炭。5.6. 机房消防系统每年进行一次检测。维护内容:检查个监测点及报警设备的可靠性、检查消防设备的电池、喷头。5.7. 机房防雷设施每年检查一次。维护内容:检测个防雷器的可靠性、检查接地状况、5.8. 机房每年进行两次专业保洁。维护内容:对机房的地板进行调整和清洁、对底板下、天棚板上进行清洁。6. 安全保密制度6.1. 门禁管理6.1.1. 机房必须设有门禁,机房的工作人员需登记进入

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报