电力监控系统安全防护总体方案.doc

《电力监控系统安全防护总体方案.doc》由会员分享，可在线阅读，更多相关《电力监控系统安全防护总体方案.doc（17页珍藏版）》请在麦多课文档分享上搜索。

1、1 目 次 1 总则 2 2 安全防护方案 2 3 通用安全防护措施 . 11 4 安全管理 . 12 5 安全防护评估 . 14 6 附则 . 15 附录 1 相 关 安全防护法规和标准 16 附 录 2 主要术语中英文对照 17 2 1 总则 1.1 本方案确定了电力监控系统安全防护体系的总体框架 ,细化了电力监控系统安全防护总体原则 ,定义了通用和专用的安 全 防护技术与设备 ,提出了 梯级 调度中心、发电厂、变电站、配电等的电力监控系统安全防护方案及电力监控系统安全防护评估规范 。 1.2 电力监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证 ” 。安全防护主要 针

2、 对电力监控系统 ,即用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备 , 以及作为基础支撑的通信及数据网络等。 重点强化边界防护 ,同时加强内部的物理、网络、主机、应用和数据安全 ,加强安全管理制度、机构、人员、系统建设、系统运维的管理 ,提高系统整体安全防护能力 , 保证电力监控系统及重要数据的安全。 1.3 电力监控系统安全防护是复杂的系统工程 ,其总体安全防护水平取决于系统中最薄弱点的安全水平。 电力监控系统安全防护过程是长期的动态过程 , 各单位应当严格落实安全防护的总体原则 , 建立和完善以安全防护总体原则为中心的安全监测、响应处理、安全措施、审计评估等

3、环节组成的闭环机制 。 1.4 本方案适用于电力监控系统的规划设 计、项日审查、工程实施、系统改造、运行管理等。 2 安全防护方案 根据 电力监控系统安全防护规定 的要求 ,电力 .监控系统安全防护总体方案的框架结构如图 1所示。 3 生产控 制 大区 管理 信息 大区 生产控 制 大区 管理 信息 大区 图例 ： 正向安全 隔 离装置 反向安全 隔 离装 置 纵向加密认证装置 加密 认 证措施 防火墙 图 1电力监控系统安全防护总体框架结构示意图 2.1安全分区 安全分区是电力监控系统安全防护体系的结构基础 。 发电企业、 电网企业内部基于计算机和网络技术的业务系统 , 原则上划分为产控制大

4、区和管理信息大区。 生产控制大区可以分为控制区 (又称安全区 I)和非控制区 (又称安全区 II)。 在满足安全防护总体原则的前提下 , 可以根据业务系统实际情况 ,简化安全区的设置 ,但是应当 避 免形成不同安全区的纵向交叉联接 。 2. 1. 1 生产控制大区的安全区划分 (1)控制区 (安全区 I) : 控制区中的业务系统或其功能模块 (或子系统 )的典型特征为 :是电力生产的重要环节 ,直接实现对电力一次系统的实时监控 ,纵向使用电力调度数据网络或专用通道 ,是安全防护的重点与核心 。 控制区的传统典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配网自动化系统、

5、变电站自动化系统、发电厂自动监控系统等 ,其主要使用者为调度员和运行操作人员 , 数据传输实时性为毫 秒 级或 秒 级 , 其数据通信使用电力调度数据网的实时子网或专用通道进行传输 。 该区内还包括有采用专用通道的控制系统 , 如 : 继电保护、安全自动控制系统、低频 (或低压 )自动减负荷系统、负荷控制管理系统等 ,这类系统对数据传输的实时性要求为毫移级或秒级 , 其中负荷控制管理系统为分钟级。 (2)非控制区 (安全区 II) : 4 非控制区中的业务系统或其功能模块的典型特征为 : 是电力生产的必要环节 ,在线运行但不具备控制功能 ,使用电力调度数据网络 , 与控制区中的业务系统或其功能

6、模块联系紧密。 非控制区的传统典型业务系统包括调度员培训模拟系统、水库调度自动化系统、 故障录波信息管理系统、电能量计量系统等 ,其主要使用者分别为调度员、继电保护人员及等 。 在厂站端还包括电能量远方终端、 故障录波装置等。非控制区的数据来 采 集度是分钟级或小时级 , 其数据通信使用电力调度数据网的非实时子网。此外 , 如果生产控制大区内个别业务系统或其功能模決 (或子系统 ) 需使用公用通信网络、 无线通信网络以及处于非可控状态下的网络设备与终端等进行通信 , 其安全防护水平低于生产控制大区内其他系统时 ,应设立安全接入区 ,典型的业务系统或功能模块包括配电网自动化系统的前置采集模块 (

7、终端 )、负荷控制管理系统、某些分布式电源控制系统等 ,安全接入区的典型安全防护框架结构如图 2所示。 图 2安全接入区的典型安全防护框架结构示意图 2.1.2 管理信息大区的安全区划分 管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。管理信息大区的传统典型业务系统包括调度生产管理系统、行政电话网管系统、电力企业数据网等。 电力企业可以根据具体情况划分安全区 , 但不应影响生产控制大区的安全。 2.1.3 业务系统分置于安全区的原则 根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统 间 的相5 互关系、广域网通信方式以及对电力系统的影响程 度等 , 按

8、以下规则将业务系统或其功能模 块 置于相应的安全区 : (1)实时控制系统、有实时控制功能的业务模块以及未来有实时控制功能的业务系统应当置于控制区 。 (2)应当尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时 , 可以将其功能模块分置于相应的安全区中 , 经过安全区之间的安全隔离 设施进行通信 。 ( 3)不允许把应当属于高安全等级区域的业务系统或其功能模 块 迁移到低安全等级区域 ； 但允许把属于低安全等级区域务系统或其功能模块放置于高安全等级区域 。 ( 4 )对不存在外部网络联系的孤立业务系统 , 其安全分区无特殊要求 ,但需 遵 守所

9、在安全区的防护要求。 (5)对小型县调、配调、小型电厂和变电站的电力监控系统可以根据具体情况不设非控制区 , 重点防护控制区。 (6)对于新一代电网调度控制系统 ,其实时监控与预警功能模块应当置于控制区 , 调度计划和安全校核功能模块应当置于非控制区 , 调度管理功能模決应当置于管理信息大区。 2.1.4 信息安全等级保护划分 根据不同安全区域的安全防护要求 ,确定其安全等级和防护水平。生产控制 大区的安全等级高于管理信息大区 ,系统定级按 电力行业信息系统安全等级保护定级工作指导意见 进行定级 ,具体等级标准见表 1。 表 1 电力监控系统安全保护等级标准 6 2. 1. 5 生产控制大区内

10、部安全防护要求 (1)禁止生产控制大区内部的 E-Mai1服务 ,禁止控制区内通用的 WEB服务。 (2)允许非控制区内部业务系统采用 B/S结构 ,但仅限于业务系统内部使用。允许提供纵向安全WEB服务 ,但应当优先采用专用协议和专用浏览器的图形浏览技术 ,也可以采用经过安全加固且支持HTTPS的安全 WEB服务。 (3)生产控制大区重要业务 (如 SCADA/AGC/AVC、实时电力市场交易等 )的远程通信应当采用加密认证机制 。 (4)生产控制大区内的业务系统间应该采取 VLAN和访问控制等安全措施 ,限制系统间的直接互通。 类别 定级对象 系统级别 省级以上地级及以下 电力 能量管理系统

11、 (具有 SCADA、 AGC、 AVC等控制功能 ) 4 3 变电站自动化系统 (含开 关 站、换流站、集控站 ) 220千伏及以上变电站为 3级 ,以下为 2级 火电监控 (含燃气电厂 )系统 DCS(含辅机控制系统 ) 单机容量 300MW及以上为 3级 ,以下为 2级 水电厂监控系统 总装机 1000MW及以上为 3级 ,以下为 2级 水电厂梯级调度监控系统 3 核 电 站监控系统 DCS(含辅机拒制系统 ) 3 风电场监控系统 风电场总装机容量 200MW及以上为 3级 , 以下为2级 光伏电站监控系统 光伏电站总装机容堂 200MW及以上为 3级 , 以下为 2级 电能量计量系统

12、3 2 广域相量测量系统 (WAMS) 3 无 电网动态预警系统 3 无 监控 调度交易计划系统 3 无 系统 水调自动化系统 2 调度管理系统 2 雷电监测系统 2 电力调度数据网络 3 2 通信设备网管系统 3 2 通信资源管理系统 3 2 综合数据通信网络 2 故障录波信息管理系统 . 3 配电监控系统 3 负荷控制管理系统 3 新一代电网调度控制系统的实时监控与预警功能模块 4 3 新一代电网调度控制系统的调度计划功能模块 3 2 新一代电网调度控制系统的安全校核功能模块 3 2 新一代电网调度控制系统的调度管理功能模块 2 7 (5)生产控制大区的 拨 号访问服务 ,服务器和用户端均

13、应当使用经国家指定部门认证的安 全加固的操作系统 ,并采取加密、认证和访问控制等安全防护 措 施。 (6)生产控制大区边界上可以采用入侵检测措施 。 (7)生产控制大区应当采取安全审计措施 ,把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、关键业务应用访问权限相结合。 (8)生产控制大区内主站端和重要的厂站端应该统一部署 恶 意代码防护系统 ,采取防范 恶 意代码措施。病毒库 、 木马库以及 IDS规则库应经过安全检测并应离线进行更新。 2. 1.6 管理信息大区安全要求 应当统一部署防 火墙、 IDS、恶意代码防护系统及桌面终端控制系统等通用安全防

14、护设施。 2. 1. 7 安全区拓扑结构 电力监控系统安全区连接的拓扑结构有 4连式、 三角和星形结构三种 。 键式结构中的控制区具有较高的累 积 安全强度 ,但总体层次较多 ； 三角结构各区可以直接相连 ,效率较高 ,但所用隔离设各较多 ； 星形结构所用设备较少、易于实施 ,但中心点故障影响范围大。三种模式均能满足电力监控系统安全防护体系的要求 , 可以根据具体情况选用 , 见图 3。 2.1.8 监管信息接入要求 按照国家有关规定 , 在满足电力监控系统安全防护要求的前 提下 ,将相关信息接入电力监管信8 息系统。 2.2 网络专用 电力调度数据网是为生产控制大区服务的专用数据网络 ,承载

15、电力实时控制、在线生产交易等业务。安全区的外部边界网络之问的安全防护隔离强度应该和所 连 接的安全区之问的安全防护隔离强度相匹配。 电力调度数据网应当在专用通道上使用独立的网络设备组网 ,采用基于 SDH/PDH不同通道、不同光波长、不同纤芯等方式 , 在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。当采用 EPON、 GPON或光以太网络等技术时应当使用独立纤芯或波长 。 电力调度数据网划分 为逻辑隔 离 的实时子网和非实时子网 ,分别 连 接控制区和非控制区。可以采用 MPLS-VPN技术、安全 隧 道技术、 PVC技术、静态路由等构造子网。 电力调度数据网应当采用以下安全

16、防护措施 : (1)网络路由防护 按照电力调度管理体系及数据网络技术规范 , 采用虚拟专网技术 , 将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网 , 分别对应控制业务和非控制生产业务 , 保证实时业务的封闭性和高等级的网络服务质量 。 （ 2） 网络边界防护 应当采用严格的接入控制措施 , 保证业务系统接入的可信性。经过授权的节点允许接入电力调度 数据网 ,进行广域网通信 。 数据网络与业务系统边界采用必要的访问控制措施 ,对通信方式与通信业务类型进行控制 ； 在生产控制大区与电力调度数据网的纵向交接处应当釆取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务 ,应该通

17、过纵向加密认证装置或加密认证网关接入调度数据网。 ( 3)网络设备的安全配置 网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界 OSPF路由功能、采用安全增强的 SNMPv2及以上版本的网管协议、设置受信任的网络地址范国、记录设备日志、设置高强度的密码、开启访问控制 列表、封闭空闲的网络端口等。 (4)数据网络安全的分层分区设置 电力调度数据网采用安全分层分区设置的原则 。 调度数据网由骨干网和接入网组成。地级以上调度中心节点构成调度数据网骨干网 (简称骨干网 )。各级调度的业务节点及直调厂站节点构成分层接入网 ,各厂站按照调度关系接入两层接入网。 调度数据网未覆盖到的

18、电力监控系统 (如配电网自动化、负荷控制管理、分布式能源接入等 )的数据通信优先釆用电力专用通信网络 , 不具备条件的也以可采用公用通信网络 (不包括因特网 )、无9 线网络 (GPRS、 CDMA、 230MHz、 WLAN 等 )等通信方 式 ,使用上述通信方式时应当设立安全接入区 , 并采用安全隔离、访问控制、认证及加密等安全措施。 各层面的数据网络之 间 应该通过路由限制措施进行安全隔离。当县调或配调内部采用公用通信网时 ,禁止与调度数据网互联 ,保证网络故障和安全事件限制在局部区域之内。 企业内部管理信息大区纵向互联采用电力企业数据网或互联网 , 电力企业数据网为电力企业内联网。 2

19、.3 横向隔离 2.3.1 横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区 , 在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认 证的电力专用横向单向安全隔离装置 , 隔离强度应当接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施 ,是横向防护的关键设备。生产控制大区内部的安全区之问应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施 ,实现 逻 辑隔离。安全接入区与生产控制大区相连时 ,应当采用电力专用横向单向安全隔离装置进行集中互联。 2.3.2 按照数据通信方向电力专用横向单向安全隔离装置

20、分为正向型和反向型。 正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输 。反向安全隔离装置用于从管理信息大区到生产控制大区的非网络方式的单向数据传输 , 是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据 ,进行签 名 验证、内容过 滤 、有效性检查等处理后 ,转发给生产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面的要求。 2.3.3 严格禁止 E-Mai1、 WEB、 Telnet、 R1ogin、 FTP等安全风险高的通用网络服务和以 B/S或 C/S方式的数据库访问 穿

21、越专用横向单向安全隔离装置 ,仅允许纯 数据的单向安全传输。 控制区与非控制区之间应当采用具有访问控制功能的设备或相当功能的设施进行逻辑隔离 。 2.4 纵向认证 2.4.1 纵向加密认证是电力监控系统安全防护体系的纵向防线。采用认证、加密、访 问 控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施 , 实现双向身份认证、数据 加 密和访问控制。安全接入区内纵向通信应当采用基于非对称密钥技 术的单向认证等安全措施 , 重要业务可以

22、采用双向认证 。 2.4.2 纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能 ,实现数据传输的机密性、完整性保护 ,同时具有安全过滤功能。加密认证网关除具有加密认证装置的全部功能外 , 还应实现对电力系统数据通信应用层协议及报文10 的处理功能。 2.4.3 对处于外部网络边界的其他通信网关 , 应当进行操作系统的安全加 固 ,对于新上的系统应当支持加密认证的功能。 2.4. 4 调度中心和重要厂站两侧均应当配置纵向加密认证装置或纵向加密认证网关 ； 小型厂站 侧至少应当实现单向认证、数据加密和安全过滤功能 。 2.4.5 传统的

23、基于专用通道的数据通信可以逐步采用加密、身份认证等技术进行安全防护。 2.4.6 具有远方 遥 控功能的业务 (如 AGC、 AVC、继电保护定值远方修改 )应采用加密、身份认证等技术措施进行安全防护。 2.5 电力调度数字证书系统 2.5.1 电力调度数字证书系统是基于公钥技术的分布式的数字证书系统 ,主要用于生产控制大区 ,为电力监控系统及电力调度数据网 上的关键应用、关键用户和关键设备提供数字证书服务 ,实现高强度的身份认证、安全的数据传输以及可靠的行为审计。 2.5.2 电力调度数字证书应当经过国家有关检测机构检测认证 ,符合国家相关安全要求 ,分为人员证书、程序证书、设备证书三类。人

24、员证书指用户在访问系统、进行操作时对其身份进行认证所需要持有的证书 ； 程序证书指关键应用的模块、进程、服务器程序运行时需要持有的证书 ； 设备证书指网络设各、安全专用设备、服务器主机等 ,在接入本地网络系统与其它实体通信过程中需要持有的证书 。 2.5.3 电力调度数字证书系统的建设 运行应当符合如下要求 : (1)统一规划数字证书的信任体系 ， 各级电力调度数字证书系统用于颁发本调度中心及调度对象相关人员、程序和设备证书 。 上下级电力调度数字证书系统通过信任 链 构成认证体系 ； (2)采用统一的数字证书格式 ,采用满足国家有关要求的加密算法 ； (3)提供规范的应用接口 ,支持相关应用

25、系统和安全专用设备嵌入电力调度数字证书服务 ； (4)电力调度数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络 ,独立运行。 2.5.4 电力调度数字证书系统按照电力调度管理体系进行配置 ,省级以上调度中心和有实际业务需要的地区调度中心应该 建立电力调度数字证书系统。 2.5.5 应当利用数字证书技术提高系统安全强度 ,新建设的电力监控系统应当支持电力调度数字证书的应用 , 现有应用系统的外部通信接口部分应当逐步进行相应的改造。 2.5.6 安全标签是具有数字签名的权限授权标记。安全标签应当纳入电力调度数字证书系统管理。新建设的电力监控系统 , 应当采用调度数字证书和安全标签实现安全

26、授权的强制访问控制及强制执行控制 。 11 3 通用安全防护措施 3.1 物理安全 电力监控系统机房所处建筑应当采取有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措 施 ,应当配置电子门 禁 系统以加强物理访问控制 , 必要时应当安排专人值守 , 应当对关键区域实施电磁屏蔽。 3.2 备用与容灾 电力企业应当定期对关键业务的数据与系统进行备份 , 建立历史归档数据的异地存放制度。关键主机设备、网络设备或关键部件应当进行相应的冗余配置。控制区的业务应当 采用热备用方式。重要调度中心应当逐步实现实时数据、电力监控系统、实时调度业务三个层面 的备用 ,形成分布式备用调度体系。 3.3 恶意代码

27、防范 应当及时更新经测试验证过的特征码 , 查看查杀记录。禁止生产控制大区与管理信息大区共用一套防 恶 意代 码管理服务器 。 3.4 逻 辑 隔离 控制区与非控制区之间应采用逻辑隔离措施 ,实现两个区域的逻辑隔离、报文过滤、访问控制等功能 ,其访问控制规则应当正确有效。生产控制大区应当选用安全可靠硬件防火墙 ,其功能、性能、电磁兼容性必须经过国家相关部门的检测认证。 3.5 入侵检测 生产控制大区可以统一部署一套网络入侵检测系统 , 应当合理设置检测规则 , 及时捕获网络异常行为、分析潜在 威胁 、进行安全审计。 3.6 主机加固 生产控制大区主机操作系统应当进行安全加固。加固方式包括 ：

28、安全配置、安全补丁、采用专用软件强化操作系统 访问控制能力、以及配置安全的应用程序。关键控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。 3.7 安全 Web服务 非控制区的接入交换机应当支持 HTTPS的纵向安全 WEB服务 ,采用电力调度数字证书对浏览器客户端访问进行身份认证及加密传输。 3.8 计算机系统访问控制 能量管理系统、厂站端生产控制系统、电能量计量系统及电力市场运营系统等业务系统 , 应当12 逐步采用电力调度数字证书 ,对用户登录本地操作系统、 访问系统资源等操作进行身份认证 ,根据身份与 权限进行访问控制 ,并且对操作行为进行安全审计。 3.9 远程 拨 号

29、访问 需通过远程 拨 号访问生产控制大区的 ,要求远方用户使用安全加固的操作系统平台 ,结合数字证书技术 ,进行登录认证和访问认证。 对于通过 拨 号服务器 (RAS)访问本地网络与系统的远程 拨 号访问的方式 ,应当采用网络层保护 ,应用 VPN技术建立加密通道。对于以远方终端直接 拨 号访问的方式 ,应当采用 链 路层保护 ,使用专用的链 路加密设备。 对于远程用户登录到本地系统中的操作行为 , 应该进行严格的安全审计。 3.10 线路加密措施 对远方终端装置 (RTU)、继电保护装 置、安全自动装置、负荷控制管理系统等基于专线通道与调度主站进行的数据通信 ,应采用必要的身份认证或加解密措

30、施进行防护 。 3.11 安全审计 生产控制大区应当具备安全审计功能 ,可以对网络运行日志、操作系统运行日志、数据库重要操作日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析 ,及时发现各种违规行为以及病毒和黑客的攻击行为。 3.12 安全 免 疫 生产控制大区具备控制功能的系统应当逐步推广应用以密 码 硬件为核心的可信计算技术 ,用于实现计算环境和网络环境安全可信 ,免疫未知恶意代码破坏 ,应对高级别的 恶 意攻击。 3.13 内网安全监视 生产控制大区应当逐步推广内网安全监视功能 ,实时监测电力监控系统的计算机、网络及安全设备运行状态 , 及时发现非法外联、外部入侵等安全

31、事件并告警。 3.14 商用密码管理 电力监控系统中商用密码产品的配备、使用和管理等 ,应当严格执行国家商用密 码 管理的有关规定。 4 安全管理 4.1 安全分级负责制 国家能源局及其派出机构负 责 电力监控系统安全防护的监管 ,组织制定电力监控系统安全防护13 技术规范并监督实施。国家能源局信息中心负 责 承担电力监控系统安全防护监管的技术支持。电力企业应当按 照“谁主管谁 负责 ,谁运营谁负责”的原则 ,建立电力监控系统安全管理制度 ,将电力监控系统安全防护及其信息报送纳入日常安全生产管理体系 ,各电力企业负责所 辖 范围内电力监控系统的安全管理。各相关单位应当设置电力生产监控系统的安全

32、防护小组或专职人员。 4.2 相关人员的安全职责 电力企业应当明确电力监控系统安全防护管理部门 , 由主管安全生产的领导作为电力监控系统安全防护的主要责任人 ,并指定专人负责管理本单位所 辖 电力监控系统的公共安全设施 ,明确各业务系统专 责 人的安全管理责任。 电力调度机构应当指定专人负责管理本级调度数字 证书系统。 4.3 工程实施的安全管理 电力监控系统相关设备及系统应当采用安全可靠的 软 硬件产品 ,开发单位、供应商应以合同条款或协议的方式保证所提供的设备及系统符合 电力监控系统安全防护规定 和本方案以及国家与行业信息系统安全等级保护的要求 , 并在设备及系统全生命周期内对其负责。 电

33、力监控系统专用安全产品的开发单位、使用单位及供应商 ,应当按国家有关要求做好保密工作 ,禁止安全防护关键技术和设备的扩散。 应当加强重要电力监控系统及关键设备全生命周期的安全管理 ,系统上线前应当由具有测评资质的机构开展系统漏洞分析 及控制功能源代 码 安全检测。 电力企业各单位的电力监控系统安全防护实施方案必须严格 遵 守 电力监控系统安全防护规定 以及本方案的有关规定 ,并经过本企业上级专业主管部门、信息安全主管部门以及相应电力调度机构的审核 ,方案实施完成后应当由上述机构验收。 4.4 设备和应用系统的接入管理 接入电力调度数据网络的节点、设备和应用系统 ,其接入技术方案和安全防护措施必

34、须经直接负责 的电力调度机构同意 。 生产控制大区的各业务系统禁止以各种方式与互联网 连 接 ； 限制开通拔号功能 ； 关 闭 或拆除主机上不必要的软盘驱动、光盘驱动、 USB接 口、串行口、无线、蓝牙等 ,严格控制在生产控制大区和管理信息大区之问交又使用移动存储介质以及便携式计算机。确需保留的必须通过安全管理及技术措施实施严格监控。 接入电力监控系统生产控制大区中的安全产品 , 应当获得国家指定机构安全检测证明 ,用于厂站的设备还需有电力系统电磁兼容检测证明。 4.5 设备选型及漏洞整改 电力监控系统在设备选型及配置时 ,应当禁止选用经国家相关管理部门检测认定并经国家能源14 局通报存在漏洞

35、和风险的系统及设备 ； 对于已经投入运行的系统及设备 ,应当按照国家能源局及其派出机构的要求及时进行整改 ,同时 应当加强相关系统及设备的运行管理和安全防护。生产控制大区中除安全接入区外 ,应当禁止选用具有无线通信功能的设备。 4.6 日常安全管理 电力企业应当建立电力监控系统安全管理制度 , 主要包括 :门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、思意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。 应当对关键安全设备、服务器的日志进行统一管理 ,及时发现安全管理体系中存在的安全隐患和异常访

36、问行为。 应当特别加强内部人员的保 密教育、录用 离 岗等的管理。包括对录用人员身份背景、专业资格和资质进行严格审查 ,关键岗位录用人员、接触内部敏感信息第三方人员应当签署保密协议 ； 应当严格关键岗位人员离岗管理 ,取回各种身份证件、 钥匙 、微章等以及机构提供的 软硬 件设备 ,承 诺 调离后保密义务后方可离开。 4.7 联合防护和应急处理 建立健全电力监控系统安全的联合防护和应急机制 。 由国家能源局及其派出机构负责对电力监控系统安全防护的监管 , 电力调度机构负 责 统一指挥调度范围内的电力监控系统安全应急处理。各电力企业的电力监控系统必须制定应急处理预案并经过预演或模 拟验证。 当电

37、力生产控制大区出现安全事件 ,尤其是遭到黑客、恶意代 码 攻击和其他人为破坏时 ,应当立即向其上级电力调度机构以及当地国家能源局派出机构报告 , 同时接应急处理预案采取安全应急措施。 相应电力调度机构应当立即组织采取紧急联合防护措施 , 以防止事件扩大。同时注意保护现场 , 以便进行调查取证和分析。事件发生单位及相应调度机构应当及时将事件情况向相关能源监管部门和信息安全主管部门报告。 5 安全防护评估 5.1 应当依据本方案的要求对电力监控系统的总体安全防护水平进行安全评估。安全防护评估贯穿于电力监控系 统的规划、设计、实施、运维和 废 弃阶段。 5.2 应当建立健全电力监控系统安全防护评估制

38、度 ,采取以自评估为主、检查评估为辅的方式 ,将安全防护评估纳入电力系统安全评价体系。应当掌握基本的白评估技术和方法 ,配备必要的评估工具。 5.3 电力监控系统在上线投运之前、升级改造之后必须进行安全评估 ； 已投入运行的系统应该定期进行安全评估 ,对于电力生产监控系统应该每年进行一次安全评估。评估方案及结果应当及时向上级主管部门汇报、备案。 15 5.4 参与评估的机构及人员必须稳定、可靠、可控 ,并与被评估单位签署长期保密协议。对 生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式携带出被评估单位 ,按国家有关要求做好保密工作。 5.5 电力监控系统安全防护评估应当严格控制实施

39、风险 , 确保评估工作不影响电力监控系统的安全稳定运行。评估前制定相应的应急预案 , 实施过程应当符合电力监控系统的相关管理规定。 6 附则 本方案中下列用语的含义 : 6.1 新一代电网调度控制系统 :随 着 技术的发展 ,省级以上调度中心监控系统以及功能模块都会发生较大的变化 ,特别是在智能电网建设的过程中 ,原有各个系统大多都集成为一个整体 ， 并统称新一代电网调 度控制系统。 6.2 重要厂站是指接入 220千伏以上电网的发电厂和变电站 (合开关站和换流站 ) ； 小型厂站是指接入 110/66千伏及以下电网的发电厂和变电站 (合开关站和换流站 ) 。 6.3 电力一次系统是构成电力系

40、统的主体 ,它由直接生产、输送和分配电能的各种设各所构成 , 主要包括发电机、变压器、断路器、隔离开关、电力母线、输电线路和电力电 揽 等。16 附录 1 相 关 安全防护法规和标准 中华人民共和国保守秘密法 中华人民共和国计算机信息系统安全保护条例 电力监管条例 电力工业中涉及的国家秘密及具体 范围的规定 计算机信息系统安全专用产品检测和销售许可证管理办法 计算机信息系统保密管理 暂 行规定 涉及国家秘密的通信、办公自动化和计算机信息系统审批 暂 行办法 计算机信息网络国际联网安全保护管理办法 信息安全等级保护管理办法 计算机信息系统安全保护等级划分准则 商用密码管理条例 计算机病毒防治管理

41、办法 关于维护网络安全和信息安全的决议 电力监控系统安全防护规定 关于加强工业控制系统信息安全管理的通知 GB/T22239-2008 信息安全技术 信息系统安全等级 保护基本要求 GB/T22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T25058-2010 信息安全技术 信息系统安全等级保护实施指南 GBT25070-2010 信息安全技术 信息系统等级保护安全设计技术要求 IEC TR62210 技术报告电力系统控制和相关通信一数据和通信安全 IS0/IEC17799 信息技术保密安全技术信息保密安全管理惯例法规 1S0/IEC13335-1 信息技术安全管理指南

42、 1IT安全的概念与模型 IS0/IEC13335-2 信息技术安全管理指南 2IT安全管理与策划 IS0/IEC13335-3 信息技术安全管理指南 3IT安全管理技术 IS0/IEC13335-4 信息技术安全管理指南 4 防护措施的选择 IS0/IEC13335-5 信息技术安全管理指南 5 网络安全管理指南 IS021827系统安全工程能力成熟度模型 (SSE-CMM) 信息安全风险管理指南 信息安全风险评估指南 17 附 录 2 主要术语中英文对照 AGC (Automatic Generation Contro1): 自动发电控制 CDMA(code-division multip

43、Ie access)码分多址 DAS(DistributionAutomation Systtem): 配电网自动化系统 DCS(DistributedControi Systems): 分散控制系统 DMIS (Dispatoh Management Infiormation System): 调度生产管理系统 EMS (Energy Management System): 能量管理系统 EPON(Ethemet Passive Optioa1 Network): 以太网无源光网络 GPON (Gigabit-Capable Passive OpticalNetwork): 千兆比特无源光网

44、络 GPRS(General Packet Radio Service)通用分组无线服务技术 HTTPS(HypertextTrans1ferProtoco1 Secure):安全超文本传输协议 IDS (Intrusion Detection System): 入侵检测系统 MPLS-VPN(Multi-Protoco1 Labe1 Switching- Virtua1 Private Networks): 多 协 议标记交换一虚拟专用网 PLC(ProgrammableLogicContro1ler) : 可编程序逻 辑 控制器 PVC(PermanenceVirtua1 Circuit)

45、: 永久虚电路 MS(RemoteAccess Server):远程访问服务器 RTU (Remote Termiaal Unit): 远方终端装置 SCADA/EMS(Supervisory Control And Data Acquisition/Energy Management System) : 监控和数据采集 /能量管理系统 SDWPDH(Synchronous Digital Hierarohy/Plesiochronous Digita1 Hierarchy): 同步数字传输体系 /准同步数字体系 SNMP (Simple Network Management Protoco1): 简单 网络管理协议 TMR(Tele-MeterReading): 电能量计量系统 USB(Universa1 Seria1 Bus): 通用串行总线 VLAN (Virtual LocalArea Network): 虚拟局域网 VPN(VirtualPrivateNetworks):虚拟专用网 MMS (WideArea Measurement System): 广域相量测量系统