- 1、本文档共34页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
.
6 XX 光伏电站监控系统安全防护案
6.1 安全防护目标
电站监控系统安全防护主要针对网络信息安全,目标是:
1 )抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起的
恶意破坏和攻击,尤其是集团式攻击;
防止部未授权用户访问系统或非法获取信息以及重大违规操作行
为。
防护重点是通过各种技术和管理措施,对实时闭环监控系统及调度数
据网的安全实施保护,防止电力监控系统瘫痪和失控,并由此导致电力系
统故障。
6.2 总体安全需求
根据对电站监控系统现状的分析,现提出以下总体安全需求说明:
1) 通信安全需求
厂各系统设备之间采用以太网式连接则必须采取符合相关规定的横
向隔离措施。
生产业务系统设备与调度端专线通信式不考虑安全防护。
生产业务系统设备与调度端采用语音拨号通信不考虑安全防护。
专业资料
.
生产业务系统设备与调度端经调度数据网和保护专用网络通信须采
取隔离措施,防止网络攻击、病毒和非法操作。
)各系统安全需求
电站各业务系统应逐步采用电力调度数字证书, 对用户登录本地操
作系统、访问系统资源等操作进行身份认证, 根据身份与权限进行访问
控制,并且对操作行为进行安全审计。
3)全局安全需求
重点强化边界防护,同时加强部的物理、网络、主机、应用和数据
安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理,提
供系统整体安全防护能力,保证电力监控系统及重要数据的安全。
6.3 安全分区
根据《电力监控系统安全防护规定》的要求,在调度数据网划分两个
VPN ,分别是:实时控制 VPN 和非控制生产 VPN ,分别供安全区 I( 实时
控制区 )、安全区 II(非控制生产区)。站调度数据网作为数据采集汇聚中
心,由调度数据网接入省调、地调骨干节点,实现集控中心的调度自动化
信息经过调度数据网向省调、地调传送。安全分区如图所示
专业资料
.
图 10 光伏电站监控系统安全部署示意图
6.4 安全措施部署情况
发电站电力监控系统安全防护部署拓扑图:
图 11 XX 光伏发电站电力监控系统安全防护部署拓扑图
6.4.1 电站横向通信防护
光伏电站设置管理信息大区, 生产控制大区与管理信息大区业务交互、部署横向隔离装置,安全一区与安全二区之间部署硬件防火墙实现逻辑隔离。
6.4.2 纵向通信防护
发电站一平面、二平面安全区Ⅰ区已部署两套纵向加密认证装置采用
专业资料
.
电力专用分组密码算法和公钥密码算法,支持身份鉴别、信息加密、数字
签名和密钥生成与保护, 提供基于 RSA、SM2 公私密钥对的数字签名和采
用专用加密算法进行数字加密的功能 ,实现业务系统数据的远安全传输以
及纵向边界的安全防护,与调度端实现双向身份认证、数据加密和访问控
制。
发电站一平面、二平面安全区ⅠⅠ区已部署两套纵向加密认证装置采
用电力专用分组密码算法和公钥密码算法,支持身份鉴别、信息加密、数
字签名和密钥生成与保护, 提供基于 RSA、SM2 公私密钥对的数字签名和
采用专用加密算法进行数字加密的功能 ,实现业务系统数据的远安全传输
以及纵向边界的安全防护,与调度端实现双向身份认证、数据加密和访问
控制。
纵向加密认证装置需采用双向加密认证、禁止明文通信, VPN 安全策
略源地址只允站端通信主机、目的地址必须限制为调度主站端主机地址、
且需指定业务系统协议和端口号。
6.4.3 防病毒
发电站统一配置一套网络版防病毒系统,配置一台管理中心服务器,
服务器部署安装于安全二区,安全一区客户端通过一、二区之间防火墙实
专业资料
.
现交互;生产控制大区局域网笔记本、工作站、服务器部署安装客户端,
服务端管理各个客户端,对客户端进行升级和监控管理,提高对病毒及木
马的防护能力,包括进行病毒定义码的更新、防病毒政策的设定、病毒情
况的监控,手动的、定时的病毒扫描及清除、病毒日志及汇总报表以及集
中隔离未知病毒,并能隔离有病毒的客户端,手工定期升级恶意代码防护
系统病毒库。病毒库采用离线升级式更新。
6.4.4 实时入侵检测
发电站安全区 I 与安全区 II 部署一套网络入侵检测系统,并开通四个
监听口。保证安全防护能实时、动态应对安全事件,增强对网络行为的监
察、控制和审计能力,检测探头部署在电力调度数据网接入交换机侧。检
测规则合理设置,以及时捕获网络异常行为、分析潜在威胁、进行安全审
计。
6.4.5 漏洞扫描
发电站安全 I 区与安全 II 区统一配置一套工控漏洞扫描系统,授权两
路扫描口、定期手动扫描主机服务器系统、 数据库及脆弱配置并进行加固;
定期对网络的不同断面进行漏洞扫描,及时发现安全隐患。
专业资料
.
6.4.6 安全审计
安全审计部署在安全区Ⅱ,通过网络( TCP、UDP )、串口等多种通
讯式,采用 SNMP 、
您可能关注的文档
- 光伏幕墙施工工法.docx
- 光伏支架及组件安装施工及方案.docx
- 光伏支架基础.docx
- 光伏混凝土钻孔灌桩基础施工与方案.docx
- 光伏电站个人总结.docx
- 光伏电站安全技术劳动保护和反事故措施计划管理制度.docx
- 光伏电站安全管理制度.docx
- 光伏电站安全验收预检查表.docx
- 光伏电站并网调试方案.docx
- 光伏电站施工组织设计.docx
- 2024年中国钽材市场调查研究报告.docx
- 2024年中国不锈钢清洗车市场调查研究报告.docx
- 2024年中国分类垃圾箱市场调查研究报告.docx
- 2024年中国水气电磁阀市场调查研究报告.docx
- 2024年中国绿藻片市场调查研究报告.docx
- 2010-2023历年初中毕业升学考试(青海西宁卷)数学(带解析).docx
- 2010-2023历年福建厦门高一下学期质量检测地理卷.docx
- 2010-2023历年初中数学单元提优测试卷公式法(带解析).docx
- 2010-2023历年初中毕业升学考试(山东德州卷)化学(带解析).docx
- 2010-2023历年初中毕业升学考试(四川省泸州卷)化学(带解析).docx
文档评论(0)