2023光伏电站工控网络信息安全防护技术监督word可编辑.docx

《2023光伏电站工控网络信息安全防护技术监督word可编辑.docx》由会员分享，可在线阅读，更多相关《2023光伏电站工控网络信息安全防护技术监督word可编辑.docx（52页珍藏版）》请在第一文库网上搜索。

1、新能源光伏电站技术监督工控系统网络信息安全防护10目次1前言错误!未定义书签。1 范围22 规范性引用文件23 总则24 监督内容34.1 工控系统网络信息安全防护部署示意图34.2 安全区划分监督44.3边界安全防护监督54.4综合防护监督65监督管理要求95.1监督基础管理工作95.2日常管理内容和要求115.3各阶段工控系统网络信息安全防护技术监督重点工作176监督评价与考核18附录A（规范性附录）工控系统网络信息安全防护技术监督预警项目19附录B（规范性附录）工控系统网络信息安全防护技术监督指标21附录C（规范性附录）太阳能光伏发电站工控系统网络信息安全防护典型部署参考示意图.22附录

2、D（规范性附录）工控系统网络信息安全等级标准26附录E（规范性附录）工控系统安全区划分28附录F（规范性附录）工控系统网络信息安全防护技术监督信息速报29附录G（规范性附录）工控系统网络信息安全防护技术监督月报30附录H（规范性附录）工控系统网络信息安全防护技术监督不符合项通知单31附录I（规范性附录）工控系统网络信息安全防护技术监督预警通知单32附录J（规范性附录）工控系统网络信息安全防护技术监督预警验收单34附录K（规范性附录）工控系统网络信息安全防护技术监督动态检查问题整改计划书.36附录1（规范性附录）工控系统网络信息安全防护技术监督检查表37光伏电站技术监督10：工控系统网络信息安全

3、防护技术监督1范围本标准规定了太阳能光伏发电站(以下简称“光伏电站”)工控系统的规划设计、项目审查、工程实施、系统改造、运行管理、设备退役的全过程技术管理要求、评价及考核标准。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T22240信息安全技术信息系统安全等级保护定级指南GB/T36047电力信息系统安全检查规范D1TT5226发电厂电力网络计算机电力工控系统设计技术规程电监信会(2012)62号电力行

4、业信息系统安全等级保护基本要求发改委(2014)14号能源局(2015)36号国网调(2018)1084号国能发安全(2018)72号电力监控系统安全防护规定关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知关于加快推进电力监控系统网络安全管理平台建设的通知关于加强电力行业网络安全工作的指导意见3总则3.1 一般要求3.1.1 1.1发电企业应贯彻落实国家、行业和集团公司技术标准、规章制度和有关要求，以安全和质量为中心，保证工控系统网络信息安全防护技术监督工作有效开展。3.1.2 工控系统网络信息安全防护技术监督工作依据国家网络安全等级保护制度和国家监管机构相关文件，按照能源局

5、(2015)36号、国网调(2018)1084号等文件要求，遵循“安全分区、网络专用、横向隔离、纵向认证”的基本原则；在建设规划方面，遵从网络安全与信息化工作同步规划、同步建设、同步运行的“三同步”原则，坚持“谁主管、谁负责，谁运营、谁负责”的要求，切实落实安全主体责任制。3.1.3 确保集团公司工控系统网络运行的合规性、稳定性，符合国内电力行业工业控制系统相关标准、规范和最佳实践，电力工控系统符合基本安全要求，且具有抵御黑客、病毒、恶意代码对网络与应用系统的破坏和攻击，阻止内部人员的非法访问，抵御外部攻击，在遭受攻击和破坏后能及时恢复系统的能力，确保关键业务数据的可用性、机密性、完整性。3.

6、1.4 按照集团公司有关技术监督管理制度和本标准的要求，各基层企业应结合本单位的实际情况，制定工控系统网络信息安全防护技术监督标准；依据国家和行业有关标准、规程和规范，编制或执行运行规程、检验及试验规程等相关支持性文件，以科学、规范的监控管理，保证工控系统网络信息安全技术监控工作目标的实现和持续改进。3.1.5 电力监控系统在设备选型及配置时，应当禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。对于已经投入运行的系统及设备，应当按照国家能源局及其派出机构的要求及时进行整改，同时应当加强相关系统及设备的运行管理和安全防护。3.1.6 从事工控系统网络信息安全防护技

7、术监督的人员，应熟悉和掌握本规程及GB/T36047、D1/T5226、电监信会(2012)62号、发改委(2014)14号、国能发安全(2018)72号等规范、要求中的规定。3.2监督目的3.2.1太阳能光伏发电站工控系统网络信息安全防护技术监督是对工控系统网络信息安全防护设备的设计选型、安装调试、运行维护的全过程进行监督和管理，以确保设备在良好状态下运行，防止因工控系统网络信息安全防护失效造成重大事故的发生。3.4.2工控系统网络信息安全防护技术监督指标及计算公式，见附录及3. 3监督范围太阳能光伏发电站工控系统网络信息安全防护技术监督范围主要：包括涉网侧系统及设备、光伏电站监控系统、无功

8、电压控制系统、发电功率控制系统、升压站监控系统、继电保护和相量测量装置等；其中涉网侧系统及设备包括AGC、AVC、RTU、PMU(220kV电压等级的光伏电站配置PMU装置)、电量计量、微机保护测控装置等，与远端调度中心进行通信设备，需满足电网安全防护要求。4监督内容4.1工控系统网络信息安全防护部署示意图电力工控系统的网络安全防护建设，在遵循电力监控系统安全防护的总体原则下，通过部署工业防火墙、入侵检测、日志审计等安全防护产品，以提升电力工控系统网络整体防护能力，部署示意图如下：图1工控系统网络信息安全部署示意图4.2安全区划分监督4. 2.1业务系统分置于安全区的原则根据业务系统或其功能模

9、块的实时性、使用者、主要功能、设备使用场所、各业务系统的相互关系、广域网通信方式以及对生产的影响程度等，应按照以下规则将业务系统置于相应的安全区：4.1.1.1 对电力生产实现直接控制的系统、有实时控制功能的业务模块以及未来对电力生产有直接控制功能的业务系统应置于控制区，其他电力工控系统置于非控制区。4.1.1.2 应尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时，可以将其功能模块分置于相应的安全区中，经过安全区之间的安全隔离设施进行通信。4.1.1.3 不允许把应属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域，但允许把属于低安

10、全等级区域的业务系统或其功能模块放置于高安全等级区域。4.1.1.4 不存在外部网络联系的孤立业务系统，其安全分区无特殊要求，但需遵守所在安全区的防护要求。4.1.1.5 对小型县调、配调、小型光伏电站和变电站的电力监控系统可以根据具体情况不设非控制区、重点防护控制区。4. 2.2控制区（安全区I）4.2.2.1控制区中的业务系统或其功能模块（或子系统）的典型特征为：是电力生产的重要环节，直接实现对生产的实时监控，是安全防护的重点和核心。422.2使用电力调度数据网的实时子网或专用通道进行数据传输的业务系统应划分为控制区。4.2.3非控制区（安全区II）423.1非控制区中的业务系统或其功能模

11、块（或子系统）的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，与控制区的业务系统或其功能模块联系紧密。4.232使用电力调度数据网的非实时子网进行数据传输的业务系统应按电网要求划分为独立的非控制区。4.2.4管理信息大区（安全区III、IV）管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。管理信息大区的传统典型业务系统包括调度生产管理系统、行政电话网管系统、电力企业数据网等。电力企业可以根据具体情况划分安全区，但不应影响生产控制大区的安全。4.3边界安全防护监督根据安全区划分，网络边界主要有以下几种：生产控制大区和管理信息大区之间的网络边界，生产控制大区内控制区（安

12、全区D与非控制区（安全区）之间的边界，生产控制大区内部不同的系统之间的边界，生产控制大区与电力调度数据网之间的边界，生产控制大区的业务系统与环保、安监等政府部门的第三方边界等。4. 3.1生产控制大区与管理信息大区边界安全防护4.1.1 1生产控制大区与管理信息大区之间的通信必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应达到或接近物理隔离。4.1.2 2电力横向单向安全隔离装置作为生产控制大区和管理信息大区之间的必备边界防护措施，是横向防护的关键设备，应满足实时性、可靠性、传输流量等方面的要求。4.3.13 按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向

13、型。正向安全隔离装置用于从生产控制大区到管理信息大区的非网络方式的单向数据传输，反向安全隔离装置用于从管理信息大区到生产控制大区的非网络方式的单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。431.4严格禁止E-Inai1、WEB、Te1net、R1ogin.FTP等安全风险高的网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置。4.3.2安全区I与安全区I1边界安全防护432.1安全区I与安全区H之间应采用具有访问控制功能的工业防火墙等硬件设备，并实现逻辑隔离、报文过滤、访问控制等功能；4.322如选用工业防火墙，其功能、性能、电磁兼容性须经过国家相关部门的

14、认证和测试，且满足太阳能光伏发电站对业务数据的通信要求；432.3对目前已在安全区I与安全区间部署的防火墙，应满足本标准要求。4.3.3生产控制大区系统间安全防护4.3.3.1同属安全区I的各系统之间，以及同属安全区II的各系统之间应采取一定强度的逻辑访问控制措施，如防火墙、V1AN等，限制系统间的直接互通。4.3.4纵向边界防护43.4.1生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时，应采用应经过国家指定部门检测认证的加密、访问控制等技术措施实现数据的远程安全传输以及纵向边界的安全防护，与调度端实现双向身份认证、数据加密和访问控制。434.2电力调度数据网是与生产控制大区相连

15、接的专用网络，承载电力实时控制、在线生产交易等业务。光伏电站端的电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。光伏电站端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。4.3.5第三方边界安全防护4.351 生产控制大区内个别业务系统或其功能模块（或子系统）需要使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信时，应设立安全接入区。4.352 生产控制大区内业务系统向环保、安全等政府部门进行数据传输时，网络联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。4.353 生产控制大区中除安全接入区外，应当禁止选用具有无线通信功能的设备。4.354 管理信息大区和外部网络之间应采取防火墙、VPN和租用专线等方式，保证边界与数据传输的安全。4.4综合防护监督4.4.1物理安全441.1工控系统机房所在建筑应采用有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施，应配置电子门禁系统以加强物理访问控制，并做好抗干扰措施。主要包括：4.4.1.2机房应选择在具有防震、防风和防雨等能力的建筑内。4.4.13机房应避免设