电力监控系统安全防护方案及实施细则

新能源公司陶日木风场企业标准

电力监控系统安全防护

总体方案(试行)

2016-01-01发布 2016-02-01实施新能源有限公司陶日木风场发布

目次

1 范围................................................................. 错误!未定义书签。

2 规范性引用文件....................................................... 错误!未定义书签。

3 定义与术语........................................................... 错误!未定义书签。

4 职责................................................................. 错误!未定义书签。

5 系统设备定级及安全区划分 ............................................. 错误!未定义书签。

6 技术防护措施......................................................... 错误!未定义书签。

7 安全管理............................................................. 错误!未定义书签。

前言

本标准是根据内蒙古能源发电投资集团新能源公司（以下简称“公司”）标准体系工作的需要编制，是公司标准体系建立和实施的个性标准。目的是规范公司生产管理工作，从而规范并加快公司标准体系的完善，适应集团标准和国家标准的需要。

本标准由公司设备管理部提出并归口管理

本标准起草部门：生产部

本标准起草人：杨晓春

本标准主要修改人：乔俊芳

本标准审核人：刘宇

本标准复核人：王宝清

本标准批准人：周跃宇

本标准于2016 年01月首次发布。

电力监控系统安全防护总体方案

1 范围

为了加强我公司电力监控系统安全防护，抵御黑客及恶意代码等对我公司电力监控系统发起的恶意破坏和攻击，以及其他非法操作，防止我公司电力监控系统瘫痪和失控，和由此导致的一次系统事故和其他事故，特制定本方案。

本方案确定了我公司电力监控系统安全防护体系的总体框架，细化了电力监控系统安全防护总体原则，定义了通用和专用的安全防护技术与设备，提出了我公司电力监控系统安全防护方案及实施措施。

我公司电力监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证、综合防护”。安全防护主要针对电力监控系统，即用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。重点强化边界防护，同时加强内部的物理、网络、主机、应用和数据安全，加强安全管理制度、机构、人员、系统建设、系统维护的管理、提高系统整体安全防护能力，保证电力监控系统及重要数据的安全。

本方案适用于我公司电力监控系统的规划设计、项目审查、工程实施、系统改造、运行管理等。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

国家发改委2014年第14号令《电力监控系统安全防护规定》

国家发改委2014年第14号令《电力监控系统安全防护总体方案》

国家发改委2014年第14号令《发电厂监控系统安全防护方案》

GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》

公通字[2007]43号《信息系统安全等级保护管理办法》

GB/T 22240-2008 《信息安全技术信息系统安全等级保护定级指南》

GB/T 25058-2010 《信息安全技术信息系统安全等级保护实施指南》

GB/T 20984-2007 《信息安全技术信息安全风险评估规范》

GB/T 28448-2012 《信息系统安全等级保护测评要求》

GB/T 28449-2012 《信息系统安全等级保护测评过程指南》

电监信息[2007]34号《关于开展电力行业信息系统安全等级保护定级工作的通知》电监信息[2007]44号《电力行业信息系统等级保护定级工作指导意见》

电监信息[2012]62号《电力行业信息系统安全等级保护基本要求》

3 定义与术语

下列定义和术语适用于本标准：

电力监控系统

电力监控系统，是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及做为基础支撑的通信及数据网络等。

安全分区

按照《电力监控系统安全防护规定》，原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区Ⅰ）及非控制区（安全区Ⅱ），重点保护生产控制及直接影响机组运行的系统。

网络专用

电力调度数据网是生产控制大区相连接的专用网络，承载电力实时控制、在线生产交易等业务。发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。

横向隔离

横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。

纵向认证

纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。

综合防护

综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备用及容灾等多个层面进行信息安全防护的过程。

4 职责

组织机构

组长：秦立新

副组长：石彦鹏、任晓鹏、赵秀琴

成员：继电保护室成员、热控成员、信息成员。

职责

4.2.1 组长、副组长职责

4.2.1.1 负责组织有关人员建立或编制本单位所管辖的电力监控系统安全防护管理规定、实施方案、评估制度及应急预案。

4.2.1.2 经常检查我公司的电力监控系统安全防护的执行情况，定期组织有关人员对电力监控系统进行安全评估；对于存在问题的，提出整改期限。

4.2.1.3 负责组织有关人员对我公司发生的安全事故进行认真分析，并及时向上级主管单位上报安全

事故分析报告。

4.2.1.4 全面管理电力监控系统运行工作；掌握电力监控系统的配置情况；熟悉电力监控系统的分布情况；了解电力监控系统的安全情况；定期组织讨论电力监控系统安全情况，协调各专业之间接口安全问题。

4.2.2 成员职责

4.2.2.1 负责本专业应用系统已部署的安全产品的安全策略的设置和调整，对该产品日常运行进行精心的维护。

4.2.2.2 定期对安全产品的日志进行审计。

4.2.2.3 精心观察和分析该系统的安全状况，并及时上报组长、副组长。

4.2.2.4 使用数字证书管理系统进行数字证书的申请，生成、发放和撤消。

4.2.2.5 精心维护数字证书管理系统，保证系统的安全、可靠、稳定运行。

4.2.2.6 精心保护证书管理系统的数字证书，防止遗失。

4.2.2.7 参照国家对涉密设备的有关规定，建立有效的数字证书及密钥管理制度。

4.2.2.8 保护本专业的口令、数字证书、密钥等安全设施；一旦泄露或丢失，应该立即报告，对造成恶劣后果者，要按国家有关规定追究其责任。

4.2.2.9 全面掌握本专业电力监控系统的分区情况、配置情况、硬件设置情况及接口、数据流向等；做好数据备份和日常管理工作。

4.2.2.10 对电力监控系统安全评估的所有评估资料和评估结果，应当按国家有关要求做好保密工作。

5 系统设备定级及安全区划分

系统设备定级

5.1.1 保护及远动通信系统定级

5.2.1 保护及远动通信设备安全区的划分

5.3.1 保护及远动通信系统网络拓扑图

保护及远动图

远动系统图

5.3.2 火灾消防设备拓扑图

5.3.3 信息系统网络拓扑图

6 技术防护措施

由I、II区组成的系统包含计算机、通信、自动控制和显示等技术，是通常概念上的机组级DCS/PLC系统。其内部通信/控制协议是标准协议（如TCP/IP，DECnet,Telnet等），也可以是专用协议。要求该系统为全封闭的闭环系统，绝对禁止任何外部访问。系统内部使用者必须有清晰的操作权限级别。此系统提供数据接口能主动对外传送数据，应通过数据采集（前端）机从计算机接口单元（模件）采集数据，必须是单向数据传输，将数据单向提交给管理信息系统（ERP）。

7 安全管理

安全管理组织机构

电力监控系统安全防护组织机构

7.1.1 安全分级负责制

7.1.1.1 本着“谁主管谁负责，谁运营谁负责”的原则，落实电力监控系统的各专业的安全责任。7.1.1.2 安全防护组组长负责我厂的电力监控系统网络的安全管理，是安全管理第一负责人。

7.1.1.3 热工、电气及信息专业负责人所属范围内计算机及数据网络的安全管理。

7.1.1.4 各专业对所属范围内计算机及数据网络络设置安全防护小组或专职人员，负责设备的日常维护及管理，是设备的直接负责人。

安全评估的管理

7.2.1 我公司关键系统应配备必要的安全扫描及检测工具，自己进行常规安全检查。

7.2.2 安全评估的内容包括：风险评估、攻击演习、漏洞扫描、安全体系的评估、安全设备的部署及性能评估、安全管理措施的评估等。

7.2.3 安全评估过程的任何记录、数据、结果等均不容许以任何形式携带出我公司。

安全策略的管理

7.3.1 对新建的电力监控系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略。

对已投运且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞。

7.3.3 对安全体系的各种日志（如：入侵检测日志等）审计结果进行认真的研究，及时发现系统的安全漏洞；

7.3.4 定期分析本系统的安全风险及漏洞、分析当前黑客非法入侵的特点，及时调整安全策略。

设备、应用及服务的接入管理

7.4.1 在已经建立安全防护体系的电力监控系统中，接入任何新的设备和应用及服务，均必须立案申请备案，经过我公司电力监控系统防护安全组长的审查批准后，方可在专人的监管下实施接入。

7.4.2 电力监控系统的安全区Ⅰ及安全区Ⅱ中的工作站、服务器原则上不得开通拨号功能；若确需开通拨号服务，必须配置强认证机制，否则该应用必须与安全区Ⅰ及安全区Ⅱ彻底隔离。

7.4.3 在所有电力监控系统的安全区Ⅰ及安全区Ⅱ中的任何工作站、服务器均严格禁止以各种方式开通与互联网、其它安全区及任何外部网络的连接。各专业负责人负责监督检查。

7.4.4 电力监控系统的安全区Ⅰ及安全区Ⅱ中的PC机及其它微机原则上应该将软盘驱动、光盘驱动、USB接口拆除，或通过安全管理平台实施严格管理，以防止病毒等恶意代码的传播。各专业负责人负责监督检查。若个别PC机确有必要插接USB-key，应该严格管理。

7.4.5 接入电力监控系统的安全区Ⅰ及安全区Ⅱ中的通用安全产品，必须使用经过国家有关安全部门认证的国产产品；接入电力监控系统的专用安全产品必须使用国产产品并经过有关的电力主管部门的认证；优先选用国家电力主管部门推荐的优秀安全产品。

安全管理制度

7.5.1 严格管理各终端设备的接口使用。把相关电力监控系统终端设备的USB接口和光驱接口采用拆除、贴封条等方式禁止无关人员使用；必须要进行接口连接作业的，要进行登记记录，并对外连设备进行杀毒确认后才可进行。对终端设备的用户登录口令加强管理，禁止有弱口令和空口令的现象；对重要的机组控制DCS终端设备加装硬件狗；禁止电力监控系统设备终端之间有物理上的连接。

7.5.2 在纵向加密装置没有安装之前，必须要从电力市场下载的数据或资料，每次下载只能使用专用移动硬盘，经过格式化杀毒后才能从机房的客户端下载，严禁从集控室终端下载，集控室终端只能利用与其相连的打印机打印相关通知等重要内容。电力市场系统的客户端和服务器之间连接加装硬件防火墙保护，机房要有非专业人员进出登记记录。电力市场系统安装的KILL安全胄甲安全软件，要不定期的在内蒙古电力公司的主站上进行升级，并定期进行杀毒作业。

7.5.3 加强电力监控设备的巡视力度。对工程师站、机房、励磁间、UPS电源和直流电源间、电子间及通信机房等重要系统设备和系统设备相对集中的地方，每个工作日至少要巡视一遍并进行记录。对巡视中发现的缺陷和隐患及时消除，定期对设备维护记录和消缺记录进行分析、归纳。

7.5.4 定期对各电力监控系统终端设备数据进行数据备份，整理和收集相关资料。以备异常情况下的数据恢复和设备重启。

7.5.5 加强对现有电力监控设备公共安全设施的管理，禁止通过任何方式对外泄露本单位的网络安全防护情况。

7.5.6 加强对电力监控系统设备的专业管理.对专用硬盘,数据备份等,采用专人负责,专人管理的方式,严禁其他人员接触.

运行管理

7.6.1 人员管理

明确各级人员的安全职责，经常进行安全防护培训，定期检查各级人员安全职责的实施情况。

7.6.2 权限管理

针对不同专业的电力监控系统，对不同的用户实体、不同的使用人员赋予相应的访问权限和操作权限。

7.6.3 访问控制管理

操作人员登录进入关键的业务系统实施双因子安全访问控制，应持有数字证书和口令；对关键的控制操作应该进行身份认证及操作权限控制。

7.6.4 安全防护系统的维护管理

在电力监控系统的各个安全区分别设立安全防护系统的软硬结合的维护机制，负责采集有关各个安全装置的日志记录、状态，并进行综合处理，以便及时发现安全事故、非法入侵、安全漏洞以及安全装置的故障。

7.6.5 常规设备及各系统的维护管理

在保证电力监控系统的正常运行的前提下，为了加强系统的安全性和实时性，及时妥善处理安全故障，应该：

7.6.5.1 对常规设备及各系统的安全漏洞及时进行防护或加固。

7.6.5.2 保管好各个设备及各系统的维护资料及维护工具。

7.6.5.3 制定各系统及设备故障处理的预案，准备好故障恢复所需的各种备份，并经常进行预演。7.6.5.4 及时了解相关系统软件（操作系统、数据库系统、各种工具软件）漏洞发布信息，及时获得补救措施或软件补丁，及时对软件进行加固；

7.6.5.5 一旦出现安全故障应该及时报告、保护现场、恢复系统。

7.6.6 数据及系统的备份管理

7.6.6.1 数据备份

电力监控系统的实时数据库以及历史数据库必须定期进行备份，备份的数据必须存储在可靠的介质

中并与系统分开存放；并制定详尽的使用数据备份进行数据库故障恢复的预案，并进行预演。

7.6.6.2 运行环境与应用软件的备份

7.6.6. 电力监控系统的计算机操作系统、应用系统要有存储在可靠介质的全备份，软件以及计算机和网络设备的配置和设置的全部参数及也必须进行备份；与系统安装和恢复相关的软硬件、资料等应该放置在安全的地方。

7.6.6. 制定完善可靠的针对系统各种故障状态使用备份进行系统快速恢复的方案。方案必须经过充分的测试，以保证实施的完全可靠。

7.6.7 用户口令、密钥及数字证书的管理（整改完成后）

7.6.7.1 口令的管理

7.6.7. 人员的登录名及口令设立必须按照规定流程进行相应审批。

7.6.7. 人员的登录名及口令应该具有足够的长度和复杂度，及时更新。

7.6.7. 系统的超级管理员的登录名及口令必须由专人保管和修改，严格限定使用范围。

7.6.7. 用户丢失或遗忘登录名及口令，必须通过规定的流程向管理员申请新的登录名及口令。

7.6.7. 用户调离单位后，管理员必须立即注销其登录名并取消其相应的权限。

7.6.7.2 密钥和数字证书的管理

7.6.7. 必须设立专职人员使用专用设备对密钥和数字证书进行管理（注册证书、分发证书、撤消证书、使用证书）。

7.6.7. 数字证书中的有关信息一旦失效，应该将证书及时撤消。

7.6.7. 数字证书持有人必须妥善保护证书，不容许转借他人，遗失后必须立即报告。

7.6.7. 如果由此造成严重后果，必须按有关规定严肃处理。

7.6.7. 建立可靠的数字证书丢失之后的注销机制。

7.6.7. 建立定期更新数字证书的机制。

应急处理

电力监控系统必须制定应急处理方案，并必须经过预演或模拟验证。

7.7.1 一旦出现安全事故（遭到黑客、病毒攻击和其他人为破坏），必须立即采取安全应急措施，及时向公司及安全防护小组报告。并进行事故现场的保护，认真进行事故的分析。

7.7.2 发现系统正被黑客攻击的维护：一旦发现攻击，应该按照按预先制订的应急方案进行处理。根据不同情况分别采用加强保护、中断对方连接、反跟踪以及其它处理措施。

7.7.3 灾难恢复维护：当系统因自然或人为的原因遭到破坏，应当按照预先制定的应急方案实施系统恢复，可采用立即完全恢复、部分恢复或启用备份系统恢复（保护现场）等措施。