XX電廠電力監(jiān)控系統(tǒng)安全防護技術方案（風電場）（場站網絡安全專責）（發(fā)電集團信息安全主管部門（發(fā)電集團分管領導）單位名稱（加蓋公章）xxxxxxxx1一、方案編制依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務院1994年147號令（2011年修訂）《電力監(jiān)控系統(tǒng)安全防護規(guī)定》中華人民共和國國家發(fā)展和改革委員會2014年第14號令《電力行業(yè)網絡與信息安全管理辦法》 國能安全〔2014〕317號《電力行業(yè)等級保護管理辦法》 國能安全〔2014〕318號《電力監(jiān)控系統(tǒng)安全防護總體方案》 國能安全〔2015〕36號二、總體目標和原則(一)總體目標確保（）電力監(jiān)控系統(tǒng)和電力調度數(shù)據(jù)網絡的安全，能夠抵御(二)總體原則堅持“安全分區(qū)、網絡專用、橫向隔離、縱向認證”總體原則，重點強化邊界防護，同時強化系統(tǒng)綜合防護，提高廠站電力監(jiān)控系統(tǒng)內部安全防護能力，保證新疆電網電力生產控制系統(tǒng)及重要數(shù)據(jù)的安全。(一)電力監(jiān)控系統(tǒng)概述（發(fā)電廠名稱）于**年**月**日正式并網運行，站內電力監(jiān)控系統(tǒng)合計**套，分別是***、***、……。具體分析如下：1——***電廠網絡安全拓撲圖1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列2……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：

數(shù)據(jù)內容 數(shù)據(jù)交互對象 傳輸方式簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。1——***電廠網絡安全拓撲圖1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。發(fā)電功率控制系統(tǒng)（生產/集成廠家為****，投運時間****年**月）1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。31——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。PMU（生產/集成廠家為****，投運時間****年**月）1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。1——***電廠網絡安全拓撲圖1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……4系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：

數(shù)據(jù)內容 數(shù)據(jù)交互對象 傳輸方式簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。1——***電廠網絡安全拓撲圖1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。保信子站（生產/集成廠家為****，投運時間****年**月）1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。電能量采集裝置（生產/集成廠家為****，投運時間****年**月）51——***電廠網絡安全拓撲圖1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。1——***電廠網絡安全拓撲圖1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。狀態(tài)監(jiān)測系統(tǒng)（生產/集成廠家為****，投運時間****年**月）1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界6數(shù)據(jù)類型數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：

數(shù)據(jù)內容 數(shù)據(jù)交互對象 傳輸方式簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。1——***電廠網絡安全拓撲圖1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。天氣預報系統(tǒng)（生產/集成廠家為****，投運時間****年**月）1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。系統(tǒng)結構參見附圖1——***電廠網絡安全拓撲圖MIS（生產/集成廠家為****，投運時間****年**月）系統(tǒng)結構參見附圖1——***電廠網絡安全拓撲圖7系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。1——***電廠網絡安全拓撲圖1——***電廠網絡安全拓撲圖系統(tǒng)硬件組成、操作系統(tǒng)及數(shù)據(jù)庫序號設備名稱生產廠家/型號操作系統(tǒng)類型/版本號數(shù)據(jù)庫類型/版本號1***服務器2***工作站3***交換機4***磁盤陣列……系統(tǒng)數(shù)據(jù)流及網絡邊界數(shù)據(jù)類型數(shù)據(jù)內容數(shù)據(jù)交互對象傳輸方式數(shù)據(jù)流入……數(shù)據(jù)輸出……網絡邊界：簡要說明系統(tǒng)橫向和縱向網絡邊界，重點說明與其他系統(tǒng)在硬件上的分界面。(二)安全分區(qū)安全一區(qū)部署系統(tǒng)包括：風電場監(jiān)控系統(tǒng)、無功電壓控制、發(fā)電功率控制、升壓站監(jiān)控系統(tǒng)、相量測量裝置PMU（加。安全一區(qū)橫向網絡邊界設備為**，縱向網絡邊界設備為**；安全二區(qū)部署系統(tǒng)包括：故障錄波、保信子站、電能量采集裝置、風功（如有其它系統(tǒng)請繼續(xù)添加界設備為**，縱向網絡邊界設備為**；管理信息大區(qū)部署系統(tǒng)包括：測風塔系統(tǒng)、天氣預報系統(tǒng)、管理信息系8統(tǒng)MIS。管理信息大區(qū)橫向網絡邊界設備為**，縱向網絡邊界設備為**。(三)網絡專用電力通信傳輸通道（2*2M）有**條，租用運營商SDH純物理通道（1*2M）有**條，租用運營商SDH通道（10M）有**條，互聯(lián)網（寬帶）接入有**條，互聯(lián)網（IPsec-VPN）接入有**條。序號1通信通道省調調度數(shù)據(jù)網通道數(shù)量2通信通道類型電力通信傳輸通道，2*2M2省調OMS通道1電力通信傳輸通道，1*2M3地調調度數(shù)據(jù)網2電力通信傳輸通道，2*2M4遠程集控中心數(shù)據(jù)上送2租用移動、聯(lián)通SDH通道，2*2M5(四)……橫向隔離生產控制大區(qū)與管理信息大區(qū)邊界安全防護電力專用橫向單向隔離裝置部署方案序號1隔離裝置正向隔離裝置數(shù)量電力專用橫向單向隔離裝置部署方案序號1隔離裝置正向隔離裝置數(shù)量12反向隔離裝置13……部署位置……功率預測系統(tǒng)交換機與天氣預報系統(tǒng)之間……跨安全區(qū)業(yè)務數(shù)據(jù)交互需求……功率預測服務器與天氣預報服務器數(shù)據(jù)交互……安全一區(qū)與安全二區(qū)邊界安全防護序號硬件防火墻數(shù)量1百兆硬件防火墻12……序號硬件防火墻數(shù)量1百兆硬件防火墻12……硬件防火墻部署方案部署位置 業(yè)務數(shù)據(jù)互訪需求站控層安全一區(qū)交換機 保信子站與保護裝置數(shù)與安全二區(qū)交換機之間 交互…… ……系統(tǒng)間安全防護根據(jù)36號文要求，同屬于同一安全區(qū)的應用系統(tǒng)之間根據(jù)需要可以采取一9VLAN序號12系統(tǒng)名稱VLAN序號12系統(tǒng)名稱……VLAN-id100訪問控制策略配置要求允許***系統(tǒng)***服務器/工作站訪問VLAN12功率預測系統(tǒng)……200允許***系統(tǒng)***服務器/工作站訪問(五)縱向認證縱向加密認證裝置部署方案配置要求使用省調頒發(fā)的調度數(shù)字證書使用地調頒發(fā)的調度數(shù)字證書使用發(fā)電集團頒發(fā)的調縱向加密認證裝置部署方案配置要求使用省調頒發(fā)的調度數(shù)字證書使用地調頒發(fā)的調度數(shù)字證書使用發(fā)電集團頒發(fā)的調度數(shù)字證書序號縱向加密認證裝置數(shù)量部署位置1省調2省調接入網路由器與一、二區(qū)交換機之間各1臺2地調2地調接入網路由器與一、二區(qū)交換機之間各1臺3遠程集控中心2集控中心接入網路由器與一、二區(qū)交換機之間各1臺4……(六)其他安全措施防病毒可以采取的方式包括（實際編制方案，以下方式自行確定選擇一個：部署網絡版（單機版）防病毒軟件，增加1線方式升級病毒庫，站端各應用系統(tǒng)服務器/工作站將防病毒服務器設置為升級管理中心，實現(xiàn)局域網內網絡方式自動升級病毒庫。各應用系統(tǒng)服務器/工作站帶來病毒/10移動存儲介質的使用。部署可信計算安全模塊。原則上，防病毒措施應覆蓋站端電力監(jiān)控系統(tǒng)所有的服務器、工作站，采UNIX/LINUX（如遠動裝置）用非安全操作系統(tǒng)的則必須制定防病毒措施。主機加固說明生產控制大區(qū)系統(tǒng)或設備帳號、口令、權限、網絡服務、訪問控制策略、審計策略、漏洞補丁等涉及操作系統(tǒng)、數(shù)據(jù)庫及應用系統(tǒng)的安全加固措施，配置策略應細化至IP地址（段）和使用的端口等。主機加固應當覆蓋關鍵應用系統(tǒng)的主要服務器，以及網絡邊界處通信網關Web入侵檢測生產控制大區(qū)可以統(tǒng)一部署一套網絡入侵檢測系統(tǒng)，應當合理設置檢測規(guī)行安全審計。本章節(jié)應當明確生產控制大區(qū)網絡入侵檢測系統(tǒng)部署方案，包括設備部署位置、檢測規(guī)則、運行情況、日志的存儲位置及瀏覽方式等。安全審計生產控制大區(qū)的監(jiān)控系統(tǒng)應當具備安全審計功能，能夠對操作系統(tǒng)、數(shù)據(jù)