发电厂监控系统安全防护方案.docx

内部资料注意保存附件4：发电厂监控系统安全防护方案1. 总则1.1为了加强发电厂电力监控系统安全防护，抵御黑客及恶意代码 等对发电厂监控系统发起的恶意破坏和攻击，以及其它非法操作，防 止发电厂电力监控系统瘫痪和失控，和由此导致的发电厂一次系统事 故和其他事故，制定本方案。1.2本方案是电力监控系统安全防护总体方案配套的系列文件 之一，其它文件包括：省级以上调度中心监控系统安全防护方 案、地（县）级调度中心监控系统安全防护方案、变电站监 控系统安全防护方案、配电监控系统安全防护方案和电力监 控系统安全防护评估规范。1.3本方案适用于火电厂、水电厂、核电站、风电场、光伏电站、 燃机电厂等各种类型发电厂。2. 基本原则2.1安全分区按照电力监控系统安全防护规定，原则上将发电厂基于计算 机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根 据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为 控制区（安全区I）及非控制区（安全区II），重点保护生产控制以 及直接影响电力生产（机组运行）的系统。2.2网络专用电力调度数据网是与生产控制大区相连接的专用网络，承载电力 实时控制、在线生产交易等业务。发电厂端的电力调度数据网应当在专 用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其 它数据网及外部公共信息网的安全隔离。发电厂端的电力调度数据网 应当划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非 控制区。2.3横向隔离横向隔离是电力监控系统安全防护体系的横向防线。应当采用不 同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之 间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装 置，隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之 间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或 者相当功能的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性 必须经过国家相关部门的认证和测试。2.4纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂 生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门 检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密 和访问控制。2.5综合防护综合防护是结合国家信息安全等级保护工作的相关要求对电力监 控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份 及容灾等多个层面进行信息安全防护的过程。3. 安全区的划分3.1控制区（安全区I）火电厂和水电厂的控制区主要包括以下业务系统和功能模块：火 电机组分散控制系统（DCS）、火电机组辅机控制系统、自动发电控制 系统（AGC）、自动电压控制系统（AVC）、火电厂厂级信息监控系统 的监控功能、水电厂集中监控系统、梯级调度监控系统、网控系统、相 量测量装置（PMU）、继电保护、各种控制装置（调速系统、励磁系统、 快关汽门装置等）、五防系统等。核电站的控制区主要包括以下业务系统和功能模块：核电站厂级 分散控制系统（DCS）、自动电压控制系统（AVC）、厂级信息监控系 统的监控功能、网控系统、继电保护、辅机控制系统、相量测量装置 （PMU）和自动控制装置（安控、电力系统稳定器等），其中辅机控制 系统包括三废处理系统、循环水处理系统、凝结水精处理系统和除盐水 系统等。风电场的控制区主要包括以下业务系统和功能模块：风电场监控 系统、无功电压控制、发电功率控制、升压站监控系统、继电保护和相 量测量装置（PMU）等。光伏电站的控制区主要包括以下业务系统和功能模块：光伏电站 运行监控系统、无功电压控制、发电功率控制、升压站监控系统、继 电保护等。燃机电厂的控制区主要包括以下业务系统和功能模块：燃机电厂 厂级分散控制系统（DCS）、燃气轮机控制系统（TCS）.厂级信息监 控系统的监控功能、自动发电控制系统（AGC）、自动电压控制系统（AVC）、相量测量装置（PMU）、火警探测系统、升压站监控系 统、继电保护等。对于没有分散控制系统（DCS）的小型发电厂的监控系统，其生 产控制大区可以不再细分，可将各业务系统和装置均置于控制区，其 中在控制区中的故障录波装置和电能量采集装置可以通过调度数据网 或拨号方式与相应的调度中心通信。3.2非控制区（安全区II）火电厂和水电厂的非控制区主要包括以下业务系统和功能模块： 火电厂厂级信息监控系统的优化功能、梯级水库调度自动化系统、水情 自动测报系统、水电厂水库调度自动化系统、电能量采集装置、电力市 场报价终端、故障录波信息管理终端等。核电站的非控制区主要包括以下业务系统和功能模块：厂级信息 监控系统的优化功能、电能量采集装置和故障录波装置等。风电场的非控制区主要包括以下业务系统和功能模块：风功率预 测系统、状态监测系统、电能量采集装置和故障录波装置等。光伏电站的非控制区主要包括以下业务系统和功能模块：光伏功 率预测系统、电能量采集装置和故障录波装置等。燃机电厂的非控制区主要包括以下业务系统和功能模块：厂级信 息监控系统的优化功能、电能量采集装置和故障录波装置等。对于将电能量采集装置置于发电厂控制区内的情况，可以只将计 量通信网关置于非控制区。3.3管理信息大区火电厂和水电厂的管理信息大区主要包括以下业务系统和功能模 块：火电厂厂级信息监控系统的管理功能、雷电监测系统、气象信息系 统、大坝自动监测系统、防汛信息系统、报价辅助决策系统、检修管理 系统和管理信息系统(MIS)等。核电站的管理信息大区主要包括以下业务系统和功能模块：厂级 信息监控系统的管理功能、检修管理系统和管理信息系统(MIS)。风电场的管理信息大区主要包括以下业务系统和功能模块：天气 预报系统、检修管理系统、测风塔系统和管理信息系统(MIS)等。光伏电站的管理信息大区主要包括以下业务系统和功能模块：天 气预报系统、检修管理系统和管理信息系统(MIS)等。燃机电厂的管理信息大区主要包括以下业务系统和功能模块：厂 级信息监控系统的管理功能和管理信息系统(MIS)等。发电厂管理信息大区的业务主要运行在发电企业数据网或公共数 据网，各发电企业可以遵照安全防护规定的原则，根据各自实际情况， 自行决定其安全防护策略和措施。此外，核电站的辐射监测系统、地震监测系统、环境监测系统、实 物保护系统、应急分析与指挥系统等信息系统，与电力生产没有直接关 系，不属于电力监控系统，不在本规定的防护范围内。建议核电站应尽 可能将上述系统划分在管理信息大区，并按照相关主管部门的要求进 行安全防护。4. 边界安全防护4.1横向边界防护4.1.1生产控制大区与管理信息大区边界安全防护发电厂生产控制大区与管理信息大区之间通信应当部署电力专用横向单向安全隔离装置。4.1.2控制区（安全区I）与非控制区（安全区II）边界安全防护安全区I与安全区II之间应当采用具有访问控制功能的网络设 备、安全可靠的硬件防火墙或者相当功能的设备，实现逻辑隔离、报文 过滤、访问控制等功能。所选设备的功能、性能、电磁兼容性必须经过 国家相关部门的认证和测试。发电厂（DCS ）系统部署在安全区I,与运行在安全区II的发电 厂厂级监控系统（SIS）优化功能进行信息交换应当采用逻辑隔离的安 全防护措施。4.1.3系统间安全防护发电厂内同属于安全区I的各机组监控系统之间、机组监控系统 与控制系统之间、同一机组的不同功能的监控系统之间，尤其是机组监 控系统与输变电部分控制系统之间，根据需要可以采取一定强度的逻 辑访问控制措施，如防火墙、VLAN等。发电厂内同属于安全区II的各系统之间、各不同位置的厂站网络 之间，根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、 VLAN 等。发电厂内同属于管理信息大区的各系统之间、各不同位置的厂站 网络之间，根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、 VLAN 等。发电厂电力市场报价终端部署在非控制区，与运行在管理信息大 区的报价辅助决策系统信息交换应当采用电力专用横向单向安全隔离 装置。发电企业的市场报价终端与同安全区内其它业务系统进行数据 交换时，应当采取必要的安全措施，以保证敏感数据的安全。4.2纵向边界防护发电厂生产控制大区系统与调度端系统通过电力调度数据网进行 远程通信时，应当采用认证、加密、访问控制等技术措施实现数据的远 方安全传输以及纵向边界的安全防护。发电厂的纵向连接处应当设置 经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认 证网关及相应设施，与调度端实现双向身份认证、数据加密和访问控 制。参与系统AGC、AVC调节的发电厂应当在电力调度数据网边界配置 纵向加密认证装置或纵向加密认证网关进行安全防护。对于没有DCS 系统，或不参与AGC、AVC调节的发电厂，其电力调度数据网边界配置 的安全防护措施可以根据具体情况进行简化。对于不具备建立调度数据网的小型发电厂可以通过拨号、无线等 方式接入相应调度机构的安全接入区，其他发电厂禁止使用远程拨号 方式与调度端进行数据通信。4.3第三方边界安全防护如果发电厂生产控制大区中的业务系统与环保、安全等政府部门 进行数据传输，其边界防护应当采用生产控制大区与管理信息大区之 间的安全防护措施。管理信息大区与外部网络之间应采取防火墙、VPN和租用专线等 方式，保证边界与数据传输的安全。禁止设备生产厂商或其它外部企业（单位）远程连接发电厂生产控制大区中的业务系统及设备。5. 综合安全防护5.1入侵检测生产控制大区可以统一部署一套网络入侵检测系统，应当合理设 置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为， 分析潜在威胁并进行安全审计。发电厂厂级信息监控系统等关键应用系统的主服务器，以及网络 边界处的通信网关机、Web服务器等，应当使用安全加固的操作系 统。加固方式包括：安全配置、安全补丁、采用专用软件强化操作系 统访问控制能力以及配置安全的应用程序，其中配置的更改和补丁的 安装应当经过测试。非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控 制、会话控制等安全配置加固。可以应用电力调度数字证书，在网络 设备和安全设备实现支持HTTPS的纵向安全Web服务，能够对浏览器 客户端访问进行身份认证及加密传输。应当对外部存储器、打印机等外设的使用进行严格管理。生产控制大区中除安全接入区外，应当禁止选用具有无线通信功 能的设备；管理信息大区业务系统使用无线网络传输业务信息时，应当 具备接入认证、加密等安全机制。5.3应用安全控制发电厂厂级信息监控系统等业务系统应当逐步采用用户数字证书 技术，对用户登录应用系统、访问系统资源等操作进行身份认证，提供 登录失败处理功能，根据身份与权限进行访问控制，并且对操作行为进 行安全审计。对于发电厂内部远程访问业务系统的情况，应当进行会话控制， 并采用会话认证、加密与抗抵赖等安全机制。5.4安全审计生产控制大区的监控系统应当具备安全审计功能，能够对操作系 统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规 行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的 操作行为，应该进行严格的安全审计。可以采用安全审计功能，对网络运行日志、操作系统运行日志、数 据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中 收集、自动分析。5.5专用安全产品的管理安全防护工作中涉及使用横向单向安全隔离装置、纵向加密认证 装置、防火墙、入侵检测系统等专用安全产品的，应当按照国家有关要 求做好保密工作，禁止关键技术和设备的扩散。5.6备用与容灾应当定期对关键业务的数据进行备份，并实现历史归档数据的异 地保存。关键主机设备、网络设备或关键部件应当进行相应的冗余配 置。控制区的业务系统（应用）应当采用冗余方式。5.7恶意代码防范应当及时更新特征码，查看查杀记录。恶意代码更新文件的安装 应当经过测试。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。5.8设备选型及漏洞整改发电厂电力监控系统在设备选型及配置时，应当禁止选用经国家 相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及 设备；对于已经投入运行的系统及设备，应当按照国家能源局及其派出 机构的要求及时进行整改，同时应当加强相关系统及设备的运行管理 和安全防护。生产控制大区中除安全接入区外，应当禁止选用具有无线 通信功能的设备。序号业务系统及设备控制区非控制区管理信息大区备 注1火电机组分散控制系 统DCSDCSA22火电机组辅机控制系 统辅机 PLC/DCSA23火电厂厂级信息监控 系统监控功能优化功能管理功能A24调速系统和自动发电 控制功能AGC调速、自动发 电控制A15励磁系统和自动电压 控制功能AVC励磁、自动电 压控制A16水电厂监控系统水电厂监控A17梯级调度监控系统梯级调度监控A18网控系统网控系统A19相量测量装置PMUPMUB10自动控制装置PSS、汽门快关 等B、A111五防系统五防系统A212继电保护继电保护装置 及管理终端B13故障录波故障录波装置B14梯级水库调度自动化 系统梯级水库调度 自动化A115水情自动测报系统水情自动测报A116水电厂水库调度自动 化系统水电厂水库调 度自动化A117电能量采集装置电能量采集B、A118电力市场报价终端电力市场报价B19管理信息系统MISMISA220雷电监测系统雷电监测A221气象信息系统气象信息A222大坝自动监测系统大坝自动监测A223防汛信息系统防汛信息A224报价辅助决策系统报价辅助决策A225检修管理系统检修管理A226火灾报警系统火灾报警A2表1火电厂、水电厂监控系统安全分区表A1：与调度中心有关的电厂监控系统注:A2：电厂内部监控系统B：调度中心监控系统的厂站侧设备与调度中心无关的电力监控系统不接入调度数据网。表2核电站监控系统安全分区表序 号业务系统及设备控制区非控制区管理信息大区备 注1核电站厂级分散控制 系统DCSDCSA22自动电压控制AVC自动电压控制功能A13厂级信息监控系统监控功能优化功能管理功能A24相量测量装置PMUPMUB5网控系统网控系统A16火警探测系统火警探测系统A27辅机控制系统辅机控制系统（三 废处理系统、循环 水处理系统、凝结 水精处理系统、除 盐水系统）A28继电保护继电保护装置及管 理终端B9自动控制装置安控、电力系统稳 定器PSS等A1、B10故障录波故障录波装置B11电能量采集装置电能量采集装置Al、B12管理信息系统MIS管理信息系统A213检修管理系统检修管理系统A2注:A1：与调度中心有关的电厂监控系统A2：电厂内部监控系统B：调度中心监控系统的厂站侧设备与调度中心无关的电力监控系统不接入调度数据网0表3风电场监控系统安全分区表序 号业务系统及设备控制区非控制区管理信息大区备 注1风电场监控系统风机监控风电场监控A22无功电压控制无功电压控制功能A13发电功率控制发电功率控制功能A14升压站监控系统升压站监控功能A1m序 号业务系统及设备控制区非控制区管理信息大区5相量测量装置PMUPMUB6继电保护继电保护装置及管理 终端B7故障录波故障录波装置B8电能量采集装置电能量采集装置Al、B9风功率预测系统风功率预测Al、A210状态监测系统风机状态监测A211测风塔系统测风塔A212天气预报系统数字天气预报A213管理信息系统MIS管理信息系统A2注:Al：与调度中心有关的电厂监控系统A2：电厂内部监控系统B：调度中心监控系统的厂站侧设备表4光伏电站监控系统安全分区表序 号业务系统及设备控制区非控制区管理信息大 区备注1光伏电站运行监控系统电站运行监控A22无功电压控制无功电压控制功 能A13发电功率控制发电功率控制功 能A14升压站监控系统升压站监控功能A15相量测量装置PMUPMUB6继电保护继电保护装置及 管理终端B7故障录波故障录波装置B8电能量采集装置电能量采集装置A1、B9光伏功率预测系统光伏功率预测A110天气预报系统数字天气预报A211管理信息系统管理信息系 统A2注:A1：与调度中心有关的电厂监控系统A2：电厂内部监控系统B：调度中心监控系统的厂站侧设备表5燃机电厂监控系统安全分区表一序 号业务系统及设备控制区非控制区管理信息大区1燃机电厂厂级分散控制系 统DCS机组单元控制、自 动发电控制、机组 保护、辅机控制、公共系统等A22燃气轮机控制系统TCS燃气轮机控制功能A23自动电压控制AVC自动电压控制功能Al4厂级信息监控系统监控功能优化功能管理功能A25升压站监控系统升压站监控功能Al6相量测量装置PMU相量测量功能B7自动发电控制AGC自动发电控制功能Al8火警探测系统火警探测系统A29变电站综合自动化系统变电站监控、继 保、故障录波RTUAl10继电保护继电保护装置及管 理终端B11故障录波故障录波装置B12电能量采集装置电能量采集装 置Al、13管理信息系统管理信息系统A2注:A1：与调度中心有关的电厂监控系统A2：电厂内部监控系统B：调度中心监控系统的厂站侧设备火电厂监控系统安全分区及边界防护如图1所示。;m上"出辫网'：il ：-i KfiWM /圜力BE3yM/c rt图1火电厂监控系统安全部署示意图水电厂监控系统安全分区及边界防护如图2所示。眼峻 Wftr-r-AH当水电厂监控系统与监控中心或梯级调度中心之间通 过广域网络连接时，应当采取纵向加密认证措施进行安全防护。梯级水电厂的安全防护部署如图3所示。排调中心 京电厂调境中心岫业6光伏电站监控系统安全部署示意图J IJ图3梯级水电厂监控系统安全部署示意图核电站监控系统系统安全分区及边界防护如图4所示度也站村洲区（祝食区I ）yjff耕.见 "i箫费点度瞥理菌息大IX物版全眉阿坦英 点株Affl图4核电站曲控系统安全部署示意图孙却网端C53I 叫*膏融n；图 + 正肉史*普耳物皖 J 4=风电场监控系统安全分区及边界防护如图5所示。掉利区（安全区I>外ffll句帮迥也氏监蛛寮统|安电站氐有内部此昂阮n菊发电梅*监ckw.pun氏向安士府藏HP1蝴哓-EPftHiSAVC土向里史的禹HE图5风电场监控系统安全部署示意图光伏电站监控系统安全分区及边界防护如图6所示。控iwiit r 安全 LH I)光忧ili站韭出整理合占购此箪境|非择割国（安全区ID管闻徊0大区外部河毕m岫h圳骨机I图? H由京生m离辗且:i耳* 应向圭主IN离坂E ftAfl图6光伏电站监控系统安全部署示意图控削医（.贫金区I：非控制区（*Kn）;瞥理伯忌太区外啊网培图1燃机电厂监控系统安全部署示意图