推荐-电力系统二次安全防护方案 精品

中卫第四光伏电站

电力系统二次安全防护方案

调度审核：

批准：

审核：

编写：

中卫第四光伏电站

20XX年11月

为了落实国家和国网公司网络与信息安全相关要求，确保宁夏电力监控系统及电力调度数据网络的安全，我站根据《关于开展宁夏电力二次系统安全防护专项检查的通知》、国家发改委第14号令《电力监控系统安全防护规定》等文件要求，开展了电力二次系统安全防护的自查和清理，在前阶段安全防护工作的基础上，对现有系统进行必要的机构性边界调整或完善，重点对电力生产控制系统的边界采取有效的安全防护措施，按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则，特制定了本单位的二次系统安全防护方案如下：１、电力安全防护的总体原则

1.1、安全防护目标

电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。

1.2、相关的安全防护法规

1.2.1、20XX年12月20日国家电力监管委员会发布[20XX]5号令《电力二次系统安全防护规定》

1.2.2、20XX年5月，国家经贸委发布30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》

1.2.3、20XX年12月，全国电力二次系统安全防护专家组和工作组发布《全国电力二次系统安全防护总体方案》

1.2.4．20XX年《电力系统安全性评价体系》

1.2.5．《中华人民共和国计算机信息系统安全保护条例》

1.2.6．《计算机信息系统安全保护等级划分准则》

2、电力二次系统安全防护策略

电力二次系统安全防护总体框架要求电厂二次系统的安全防护技术方案必须按照国家经贸委[20XX]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和国家电力监管委员会[20XX]第5号令《电力二次系统安全防护规定》进行设计。同时，要严格遵循电力二次系统安全防护技术方案的相关技术要求。

2.1、安全防护的基本原则

（1）系统性原则(木桶原理)；

（2）简单性和可靠性原则；

（3）实时、连续、安全相统一的原则；

（4）需求、风险、代价相平衡的原则；

（5）实用性与先进性相结合的原则；

（6）方便性与安全性相统一的原则；

（7）全面防护、突出重点的原则；

（8）分层分区、强化边界的原则；

（9）整体规划、分布实施的原则；

（10）责任到人，分级管理，联合防护的原则。

2.2、安全策略

安全策略是安全防护体系的核心，是安全工程的中心。安全策略

可以分为总体策略、面向每个安全目标的具体策略两个层次。策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全技术体系与管理体系的依据。

电力二次系统的安全防护策略为：

（1）网络专用：建立专用电力调度数据网络，与电力企业数据网络实现物理隔离，在调度数据网上形成相互逻辑隔离的实时子网和非实时子网，避免安全区纵向交叉连接。

（2）横向隔离：采用不同强度的安全设备隔离各安全区，尤其是在生产控制大区与管理信息大区之间实行有效安全隔离，隔离强度应接近或达到物理隔离。

（3）纵向认证：采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护。

2.3、各通信设备之间的横向隔离要求

在各通信设备之间均需选择适当安全强度的隔离装置，尤其在生产控制区和管理信息区之间要选择使用达到或接近物理强度的专用隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。

3、实施方案及保护等级定级

在项目的规划和实施过程中，我公司始终遵循国家对电力二次系统安全防护的规定并明确本项目系统在电厂信息自动化系统中所处位置，配置一套得到国家相关部门认证的正向隔离装置用于各通信设

备之间，确保数据单向传递，对数据传递的稳定性、完整性、实时性提供了保证。集中监控中心位于中卫第四光伏电站监控室内。20XX 年9月在中卫市公安局进行了备案，确定业务信息安全等级为二级。

4、安全分区

4.1、本光伏电站控制区主要包括以下几个业务系统和功能模块

4.1.1、远动系统

4.1.2、监控系统

4.2、本光伏电站非控制区主要包括以下业务系统和功能模块

4.2.1、电量

4.3、本光伏电站管理信息大区主要包括以下业务系统和功能模块4.3.1、OMS客户服务端

4.4、应用系统安全分区划分如下表所示：

5、安全防护的总体部署

根据《电力二次系统安全防护规定》的要求，电站二次系统原则上划分为生产控制大区和信息管理大区，生产控制区可分为控制区

（安全区Ⅰ）和非控制区（安全区Ⅱ）。安全防护的重点是保证电站监控系统的可靠，中卫第四光伏电站二次系统安全防护总体方案如下图所示：

5.1、生产控制大区内部安全防护要求

5.1.1、禁止生产控制大区内部的Email服务，禁止控制区内通用的WEB服务。

5.1.2、允许非控制区内部业务系统采用B/S结构，但仅限于业务系统内部使用。运行提供纵向安全的WEB服务，可以采用经安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。

5.1.3、生产控制大区重要业务的远程通信采用加密认证机制，

对已有系统应逐步改造。

5.1.4、生产控制大区内的业务系统间采取VLAN和访问控制等安全措施，限制系统间的直接互通。

5.1.5、生产控制大区的拨号访问服务，服务器和客户端均应使用经国家指定部门认证的安全加固的操作系统，并采取加密、认证和访问控制等安全措施。

5.1.6、生产控制大区边界上部署入侵监测系统IDS。

5.1.7、生产控制大区应部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登陆认证和授权、应用访问权限相结合。

5.1.8、生产控制大区统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应离线进行。

5.2、管理信息大区安全要求

管理信息大区统一部署防火墙、IDS、恶意代码防护系统等通用安全防护设施。

5.3、安全防护实施基本原则

5.3.1、系统性原则（木桶原理）

5.3.2、简单性和可靠性原则

5.3.3、实时、连续、安全相统一的原则

5.3.4、需求、风险、代价相平衡的原则

5.3.5、实用与先进相结合的原则

5.3.6、方便与安全相统一的原则