电厂电力监控系统安全防护方案

**电厂电力监控系统安全防护方案

.

编制： 审核： 批准： **公司 **年**月

精品文档

第1章 电力监控系统安全防护方案

一、 总体概况

**共装**机组，其中**机容量**MW，**机容量**MW,于**年投运，接入福建电力调控中心和**集控中心。包括：**机组**系统、**升压站**系统、调度数据网以及厂级实时监控系统、**系统、**系统、**系统等。 二、安全分区

按照《电力二次系统安全防护规定》，原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度再将生产控制大区划分为控制区（安全区I）及非控制区（安全区II），重点保护生产控制以及直接影响电力生产(机组运行)的系统。  按照表2.1中示例，列举并说明厂内全部电力监控系统的安全分区情况（包括集控中心）。 序业务系统及设控制区 非控制区 信息管理大区 备注 号 备 1 调速和自动发调速、自动发 电功能AGC 2 3 故障录波 电控制 故障录波装置 优化功能 管理功能 B A2 A1 火电厂级信息监控功能 监控系统 4 . 电量采集装置 ... ... 电量采集装置 ... 表2.1 安全分区表 ... A1、B . .

精品文档

注：

A1：与调控中心有关的电厂监控系统 A2：电厂内部监控系统 B:调控中心监控的厂站侧设备

与调控中心无关的电力监控系统不接入调度数据网。 三、网络专用

 按3.1和3.2节示例要求，列举并说明厂内全部电力监控系统的网络描述（包括集控中心）。 3.1 调度数据网

 画出厂内调度数据网设备网络拓扑图，并说明使用的网络协议和通信方式。  填写表3.1：网络描述及设备清单。  描述网络的组网方式及拓扑结构。 表3.1：网络描述及设备清单

是否使用独立网络是否与其他网络相名称 用途 设备组网（请具体说连（请具体说明） 明） 生产控制大区专用调度数据网 网络 名称及数厂家及型号 量 路由器 (*台) 华三S1200 省调接入网路由器 用途 详细配置 安全加固措施 是，独立设备组网 否 .

精品文档

名称及数厂家及型号 量 华三S1200 省调接入网交换机 交换机 (*台) 3.2 升压站站控层网络

 画出升压站站控层网络拓扑图，并说明使用的网络协议和通信方式。  填写表3.2：网络描述及设备清单。  描述网络的组网方式及拓扑结构。 表3.2：网络描述及设备清单

是否使用独立网络设备组名称 用途 网（请具体说明） 连（请具体说明） 是，与机组控制系统通过4-20mA小信号线互联 升压站站控层网络 保护、测控等装置与后台、远动机通信 是，独立设备组网 与调度数据网I区交换机通过双绞线互联 ... 用途 详细配置 安全加固措施 是否与其他网络相

.

精品文档

名称及数厂家及型号 量 路由器 (*台)

用途 详细配置 安全加固措施 名称及数厂家及型号 量 华三S1200 交换机 (*台) 3.3 其他网络（根据现场实际情况补充）

...

用途 构建站控层A网 详细配置 安全加固措施 四、横向隔离

 按4.1节示例要求，列举并说明厂内全部电力监控系统的横向隔离情况（包括集控中心）。

4.1 生产控制大区与非生产控制大区的安全隔离  填写表4.1：安全设备描述及清单。 表4.1：安全设备描述及清单

.

精品文档

名称及数厂家及型号 量 科东*系统同*系统正向stonewall-横向隔离2000 装置 (*台)

详细配置 用途 (可截图) 策略： 数据传输 等 措施。 详细列出已采安全加固措施 系统配置： 取的安全加固名称及数厂家及型号 量 东软NETeye5200 防火墙 (*台) 4.2 生产控制大区与信息管理大区的安全隔离

...

详细配置 用途 (可截图) 策略： *系统同*系统数据系统配置： 取的安全加固传输 等 措施。 详细列出已采安全加固措施 4.3 非生产控制大区与信息管理大区的安全隔离

...

4.4 安全接入区的安全隔离

.

精品文档

...

五、纵向认证

 按5.1节示例要求，列举并说明厂内全部电力监控系统的纵向认证情况（包括集控中心）。

5.1 生产控制大区与电力调控中心的纵向认证  填写表5.1：安全设备描述及清单。 表5.1：安全设备描述及清单 名称及数厂家及型号 量 南瑞I区省调接入网同netkeeper2纵向加密000 装置 (*台) 5.2 生产控制大区与集控中心的纵向认证 ...

5.3 III区与调控中心的纵向认证 ...

.

详细配置 用途 (可截图) 隧道： 详细列出已采策略： 取的安全加固中调通信 系统配置： 措施。 等 安全加固措施 精品文档

5.4 安全接入区与公网的纵向认证 ...

六、整体安全防护现状

 要求图6.1中画出厂内各系统的互联关系，并说明各系统间的互联方式及相关安全防护措施，按要求填写表格6.1,6.2，及附表。

 要求在表格6.1中列出接入电厂内各系统的厂外网络类型（互联网、集团网、政府专网、集控中心专网、调度数据网等）。 **电厂电力监控系统总体方案的框架结构图：

外部网络安全接入区P5P1I区生产控制大区P2II区信息管理大区P3P4外部网络机组控制系统I1SIS系统I2MIS系统I0NCS系统...故障录波系统外网PMU系统电能计量系统保护信息子站...发电计划工作站AGC系统...公用通信网公网前置机P1:控制大区电力调度生产管理系统OMSP2:非控制大区P3:信息管理大区P4:外部网络P5:安全接入区防火墙I区II区III区实时子网非实时子网隔离设备纵向加密电力调度数据网电力企业综合数据网6.1 **电厂系统安全部署示意图

.

精品文档

表格6.1 **电厂监控系统安全分区表（按实际情况填写）

序号 控制大区（图中P1） 非控制大区（图中P2） /厂外网络接入类型 1 /厂外网络接入类型 信息管理大区（图中P3） 外部网络 /厂外网络接入类型 安全接入区 （图中P4） （图中P5） ... NCS系统调度数据电量采集装置 调度数据调控管理系电力综合通... （含AVC、网 AGC功能模块） 网 统工作站 信数据网 2 PMU 调度数据故障录波装置 调度数据... 网 网 ... 3 保信子站 调度数据发电计划工作调度数据 网 站 SIS系统 网 无 4 机组控制无 系统 5 ... ... ... ... 表格6.2 **电厂监控系统接口描述表（按实际情况填写）

编号 接口描述 .

数据传输方向 数据类型 通信方式及协议 安全防护措施 精品文档

I0 NCS系统AGC模块与机组AGC模块->机组控制系AGC指令值 控制系统接口 统 4-20mA小信号 无 I1 机组控制系统与SIS系统机组控制系统->SIS系机组实时数据 接口 统接口 双绞线，TCP/IP 防火墙（对应表4.4中“东软NETeye5200”） I2 SIS系统接口与MIS系统SIS系统->MIS系统 接口 生产数据 双绞线 单向隔离设备（对应表**中**） .. ... ... ... ... ... .

精品文档

七、控制大区系统概况

 参照模板，补充各大区的全部系统的概况及其相应示部署意图和网络连接图（集控中心也按各大区分类补充）。

控制大区主要包括：自动发电控制模块（AGC）、自动电压控制模块（AVC）、升压站监控系统（NCS）、相量测量装置（PMU）、保护信息子站、相应调度数据网安防及网络设备、***等。 (1)NCS系统现状

NCS系统采用的是**公司的**系统，提供对**电厂的**功能，为外部**系统提供**数据，部署在安全控制大区，通过远动设备与调度之间使用纵向加密设备传输**数据。**系统主要包括**模块、**装置等。**系统的边界防护的措施较为完善，与**系统之间存在数据交互，部署了电力行业**装置进行了隔离，与**系统之间通过串口线连接。（按实际情况编写） (2)AGC模块现状

AGC系统采用的是**公司的**系统，提供对**电厂的功率调节功能，为外部**系统提供**数据，部署在控制大区，通过远动设备与调度之间使用纵向加密设备传输**数据。（按实际情况编写） (3)AVC模块现状 ...

(N)**系统现状 ...

7.1.1 控制大区系统部署示意图:

 要求详细画出厂内控制大区内全部系统，并说明各系统互联情况及相关安全防护措施，并填写表格7.1.1。

.

精品文档

地调接入网I区纵向加密省调接入网I区交换机地调接入网I区交换机省调接入网I区纵向加密PMU集中器APMU集中器B保信子站远动机A远动机BPMU采集器APMU采集器B保护测控机组测控I1I0机组控制系统图7.1.1 控制大区系统部署示意图

表格7.1.1 **电厂监控系统接口描述表（按实际情况填写）

编接口描述 号 数据传输方向 数据类型 通信方式及安全防护措协议 施 小无 I0 NCS系统AGC模AGC模块->机AGC指令值 4-20mA块与机组控制系组控制系统 统接口 I1 PMU采集器与机PMU采集器->PMU采集数4-20mA组控制系统接口 机组控制系统 据 信号 小无 信号和硬接线 .

精品文档

.. ... ... ... ... ... 7.1.2 控制大区系统实际网络连接图:  要求详细画出控制大区内全部系统，及所使用的全部网络、安全设备（包括调度数据网设备），并说明设备型号、各端口用途。

八．非控制大区系统概况 ...

九．信息管理大区系统概况 ...

十、安全接入区概况 ...

十一、集控中心控制大区系统概况 ...

第2章 电厂电力监控系统安全管理概况

一、规章制度

 要求列出与网络安全相关的管理制度，并将材料作为附件上传（根据实际情况上报）。 序号 名称 编制日期 .

精品文档

二、相关人员职责

 要求列出相关人员职责与名单，并将材料作为附件上传（根据实际情况上报）。 序号 三、应急预案

 要求列出相关的应急预案，并将材料作为附件上传（根据实际情况上报）。 序号 名称 编制日期 姓名 岗位 职责 联系方式 第3章 等级保护

一、信息安全等级保护

 要求各电厂根据实际情况说明是否完成电力监控系统定级、备案工作，且开展定期测评。

序属单位号 名称 系统所系统名称 系统定级情况 系统等级 **系* 备案情况 备案号 公安机关 福建省公安厅 测评工作情况 测评单位 上次测评时间 1 2 .

** 精品文档

第4章 通用安全防护措施



要求各电厂依据国能安全2015年36号文件和国网福建电力调控中心关于印发《福建电力监控系统安全防护专项检查“回头看”工作方案》的通知（调自〔2016〕59号）补充通用防护措施的开展情况（根据实际情况上报），按照示例补充各章节内容。

一．物理安全

 要求各电厂列出厂内机房环境及UPS电压等物理设施信息，补充下表。 名称 温湿度监控设防潮、防水情视频监控系统... 备部署情况 自动化机房 名称 UPS电源 ...

二、主机加固

 要求各电厂列出厂内全部主机信息，补充下表。

名称及数量 厂家及型号 操作系统类型 用途 主机加固情况 详细列出主机的服务器 (*台) 联想P7000 凝思 加固措施，如取消主机默认路由，关闭无用端.

况 部署情况 设备容量 当前负载 设备冗余情况 UPS间环境 ... 精品文档

口，密码复杂度等

名称及数量 厂家及型号 操作系统类型 用途 主机加固情况 详细列出主机的加固措施，如取联想P7000 工程师站 (*台) 凝思 消主机默认路由，关闭无用端口，密码复杂度等 .. 三、恶意代码防范

 此处描述是否部署有恶意代码防范，若有，说明部署的安全区、厂家、型号、版本、更新周期等 四、入侵检测

 此处描述是否部署有入侵检测，若有，说明部署的安全区、厂家、型号、版本、更新周期等。 五、备用与容灾

 此处描述对关键业务数据的备份管理，如主机双机热备，数据定期备份，网络设备和关键部件的冗余配置等。

.

精品文档

六、远程拨号访问

 此处说明厂内是否存在远程拨号访问，如有则说明访问方式、安全防护措施和审计行为等。 七、安全审计

此处说明网络设备、操作系统、数据库、业务应用等开启审计功能，对操作行为进行安全审计等。 八、其它 ...

第5章 自我评估



要求各电厂认真学习《电力监控系统安全防护总体方案》及《发电厂监控系统安全防护方案》（国能安全〔2015〕36号），摸排本厂电力监控系统现状，列出不符合文件要求的安全隐患点，并评估、说明改造难易度。

备注：



表示各电厂需补充的内容。

.