1、电力监控系统二次安防总体技术介绍1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光伏电站调度数据网结构图4二次安防违规事例5自查要点国家对配电网提出新的安全防护要求;电力系统中的某些国外厂商的工业交换机、网络PLC设备安全性存在问题;在新能源应用背景下,风电、燃气电厂发展迅速,但是缺乏对应的安全防护技术要求。以“震网”和“火焰”病毒为代表的“网络攻击武器”肆虐中东,打响了网络战争的第一枪;同时,从2006年起,美国着眼未来信息安全战争,已组织3次“网络风暴”演习,高规格地操演网络攻防战。背景及概述背景及概述2015年12月23日,乌克兰电网遭遇突发停电事故,据媒体报道,本次停电事故由
2、7个变电站开关动作引起,导致80000个用户停电,停电时间为36h不等。事故后,调查机构在电力调度通信网络中获取部分恶意软件的样本,结合停电过程的特征及影响,信息安全组织SANSICS于2016年1月9日明确宣称,本次事件确定为“网络协同攻击”造成的乌克兰电网停电事故。乌克兰乌克兰12.2312.23停电事件停电事件电力监控系统安全防护规定电力监控系统安全防护规定(发改委(发改委201414201414号令)号令)1.1.电力监控系统安全防护总体方案电力监控系统安全防护总体方案2.2.省级以上调度中心监控系统安全防护方案省级以上调度中心监控系统安全防护方案3.3.地(县)级调度中心监控系统安全
3、防护方案地(县)级调度中心监控系统安全防护方案国家能源局关于印发电力监控系统安全防护总体方案和评估规范的通知(国能安全201536号)中低压配电网自动化系统安全防护补充规定国网调2011168号文国家电网公司智能电网信息安全防护总体方案国家电网信息20111727号文信息安全技术 信息安全风险评估规范GB/T20984-2007电力行业信息系统安全等级保护基本要求 电监信息201262号 在原有电监会5号令的基础上,发改委第14号令针对近年来的突出问题,做了重要补充和修订。背景及概述1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光伏电站调度数据网结构图4二次安防违规事例5自查要点评
4、估规范与评估机制的建立 电力二次系统安全评估在二次系统安全防护电力二次系统安全评估在二次系统安全防护体系建设和运行管理过程中具有重要作用,及时体系建设和运行管理过程中具有重要作用,及时发现系统中存在的安全评估安全隐患,并指导完发现系统中存在的安全评估安全隐患,并指导完善安全防护措施,应当纳入日常安全生产管理要善安全防护措施,应当纳入日常安全生产管理要求常态化开展。求常态化开展。背景及概述安全防护总体方案安全防护总体方案安全防护总体方案控制区(控制区(I I区)区)非控制区(非控制区(IIII区)区)管理信息大区管理信息大区安全防护总体方案控制区(控制区(I I区)区)非控制区(非控制区(III
5、I区)区)管理信息大区管理信息大区安全防护总体方案控制区(控制区(I I区)区)非控制区(非控制区(IIII区)区)管理信息大区管理信息大区类别定级对象系统级别省级以上地级及以下电力 监控 系统能量管理系统(具有SCADASCADA、AGCAGC、AVCAVC等控制功能)4 43 3变电站自动化系统(含开关站、换流站、集控站)220220千伏及以上变电站为3 3级,以下为2 2级火电厂监控系统DCSDCS单机容量300MW300MW及以上为3 3级,以下为2 2级水电厂监控系统总装机1000MW1000MW及以上为3 3级,以下为2 2级水电厂梯级调度监控系统3 3核电站监控系统DCSDCS3
6、 3风电场监控系统风电场总装机容量200MW200MW及以上为3 3级,以下为2 2级光伏电站监控系统光伏电场总装机容量200MW200MW及以上为3 3级,以下为2 2级电能量计量系统3 32 2广域相量测量系统(WAMSWAMS)3 3无电网动态预警系统3 3无调度交易计划系统3 3无水调自动化系统2 2调度管理系统2 2雷电监测系统2 2电力调度数据网络3 32 2通信设备网管系统3 32 2通信资源管理系统3 32 2综合数据通信网络2 2故障录波信息管理系统3 3配电监控系统3 3负荷控制管理系统3 3新一代电网调度控制系统的实时监控与预警功能模块4 43 3新一代电网调度控制系统的
7、调度计划功能模块3 32 2新一代电网调度控制系统的安全校核功能模块3 32 2新一代电网调度控制系统的调度管理功能模块2 2电力监电力监控系统控系统安全保安全保护等级护等级标准标准序号业务系统及设备控制区非控制区管理信息大区备注1光伏电站运行监控系统电站运行监控A22无功电压控制无功电压控制功能A13发电功率控制发电功率控制功能A14升压站监控系统升压站监控功能A15相量测量装置PMUPMUB6继电保护继电保护装置及管理终端B7故障录波故障录波装置B8电能量采集装置电能量采集装置A1、B9光伏功率预测系统光伏功率预测A110天气预报系统数字天气预报A211管理信息系统管理信息系统A2安全防护
8、总体方案安全防护总体方案1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光伏电站调度数据网结构图4二次安防违规事例5自查要点调度数据网结构调度数据网结构调度数据网结构调度数据网结构1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光伏电站调度数据网结构图4二次安防违规事例5自查要点二次安防违规事例2015年6月,XX供电公司对某光伏电站二次安防现场检查中,发现将自动化监控系统信息远传至集团总部监控中心,虽配置了正向隔离装置,但正向隔离装置进、出线均挂接至站内站控层交换机,未真正发挥安全隔离作用,导致安全I区与Internet网络直接相连11.防火墙测量级别不够,部分路由器、交
9、换机需要进一步加固,对不需要服务没有及时进行限制;2服务器存在无用账户,地址控制需要进一步强化,服务器操作系统和网络设备在安全策略、日志审计、开启服务和端口方面还需要进一步优化;3.部分隔离装置投运较早,未使用最新版本;部分系统没有采用最新版本的防毒软件,软件没有及时升级;4.各单位大量采用winodows操作系统,易受病毒感染和黑客攻击,系统安全管理、操作系统补丁和病毒库离线升级工作需要强化;5.大部分单位没部署纵向加密认证网关二次安防违规事例二次安防违规事例1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光伏电站调度数据网结构图4二次安防违规事例5自查要点自查要点是否安装电子门禁
10、系统、鉴别和记录人员出入情况是否安装电子门禁系统、鉴别和记录人员出入情况机房窗户是否未密封及上锁,从机房外是否可推开窗户侵入机房机房窗户是否未密封及上锁,从机房外是否可推开窗户侵入机房机房是否部署视频监控和红外监测系统,及时发现机房入侵行为机房是否部署视频监控和红外监测系统,及时发现机房入侵行为机房线缆标识是否清晰机房线缆标识是否清晰线缆敷设是否进行强弱电分离线缆敷设是否进行强弱电分离自查要点新能源厂站是否存在网络攻击路径;对于建立集控站的公司,检查新能源厂站是否存在网络攻击路径;对于建立集控站的公司,检查时重点检查其电站信息接入(时重点检查其电站信息接入(I I区监控)是否采用公用网络接入主
11、区监控)是否采用公用网络接入主站,是否设置安全接入区,光功率预测系统、光伏监控信息是否存站,是否设置安全接入区,光功率预测系统、光伏监控信息是否存在在非法外联,存在远程维护非法外联,存在远程维护检查隔离装置、防火墙、纵向加密认证装置检查隔离装置、防火墙、纵向加密认证装置是否存在关停,网络接线是否存在关停,网络接线错误、安全策略配置不合理错误、安全策略配置不合理,未配置有效地访问控制策略,造成设备,未配置有效地访问控制策略,造成设备未发挥应有的作用情况未发挥应有的作用情况自查要点需具有中国信息安全认证中心颁发的需具有中国信息安全认证中心颁发的信息安全风险评估服务资质信息安全风险评估服务资质二级及
12、以上资质二级及以上资质具有中国合格评定国家认可委员会颁发的具有中国合格评定国家认可委员会颁发的CNASCNAS证书证书自查要点核查发电厂监控系统、安全自动装置、控制保护设备是否采用核查发电厂监控系统、安全自动装置、控制保护设备是否采用非安全非安全操作系统操作系统核查服务器、交换机、路由器等设备是否关闭核查服务器、交换机、路由器等设备是否关闭空闲网络端口空闲网络端口、多余服、多余服务,是否进行务,是否进行安全加固安全加固;核查故障录波系统是否是采用;核查故障录波系统是否是采用非安全操作系非安全操作系统统;核查非安全操作系统设备是否已采取有效防护手段;核查非安全操作系统设备是否已采取有效防护手段核查系统内部是否存在核查系统内部是否存在弱口令弱口令和供应商和供应商缺省账号缺省账号;核查系统用户权限;核查系统用户权限管理是否合理管理是否合理自查要点