x x x x新能源场站电力监控系统安全防护总体方案-v2.0(总18页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除XXXX新能源场站电力监控系统安全防护总体方案XXXXXX新能源场站2017年xx月xx目录1.概述................................ 错误!未指定书签。

2.适用范围............................ 错误!未指定书签。

3.方案依据............................ 错误!未指定书签。

4.总体目标............................ 错误!未指定书签。

5.防护原则............................ 错误!未指定书签。

5.1安全分区....................... 错误!未指定书签。

5.2网络专用....................... 错误!未指定书签。

5.3横向隔离....................... 错误!未指定书签。

5.4纵向认证....................... 错误!未指定书签。

5.5综合防护....................... 错误!未指定书签。

6.电力监控系统基本情况介绍............ 错误!未指定书签。

6.1监控系统....................... 错误!未指定书签。

6.2系统2 .......................... 错误!未指定书签。

6.3系统3 .......................... 错误!未指定书签。

6.4系统4 .......................... 错误!未指定书签。

6.5系统5 .......................... 错误!未指定书签。

7.总体安全防护措施.................... 错误!未指定书签。

7.1安全区划分..................... 错误!未指定书签。

7.1.1控制区（安全区I）......... 错误!未指定书签。

7.1.2非控制区（安全区II）...... 错误!未指定书签。

7.1.3管理信息大区.............. 错误!未指定书签。

7.2安全区边界防护................. 错误!未指定书签。

7.2.1生产控制大区和管理信息大区边界安全防护错误!未指定书签。

7.2.2安全区I与安全区II边界安全防护错误!未指定书签。

7.2.3系统间安全防护............ 错误!未指定书签。

7.2.4纵向边界防护.............. 错误!未指定书签。

7.2.5横向隔离.................. 错误!未指定书签。

7.2.6管理信息大区与外部网络之间边界防护错误!未指定书签。

7.2.7第三方边界安全防护 ........ 错误!未指定书签。

8.技术防护措施........................ 错误!未指定书签。

8.1入侵检测....................... 错误!未指定书签。

8.2主机设备加固................... 错误!未指定书签。

8.3安全审计....................... 错误!未指定书签。

8.4专用安全产品的管理............. 错误!未指定书签。

8.5备用与容灾..................... 错误!未指定书签。

8.6恶意代码防范................... 错误!未指定书签。

8.7设备选型及漏洞整改............. 错误!未指定书签。

9.管理安全措施........................ 错误!未指定书签。

9.1安全管理制度................... 错误!未指定书签。

9.2安全管理机构................... 错误!未指定书签。

9.3人员安全管理................... 错误!未指定书签。

9.4系统建设管理................... 错误!未指定书签。

9.5系统运维管理................... 错误!未指定书签。

10.应急保障措施....................... 错误!未指定书签。

10.1应急指挥机构.................. 错误!未指定书签。

10.2安全应急预案.................. 错误!未指定书签。

10.3应急响应与处置................ 错误!未指定书签。

10.4应急培训与演练................ 错误!未指定书签。

附件xx：xx系统网络拓扑结构图......... 错误!未指定书签。

附件xx：xx系统资产清单............... 错误!未指定书签。

附件xx：xx系统安全产品清单........... 错误!未指定书签。

附件xx：xx系统安全产品资质证明....... 错误!未指定书签。

附件xx：《保密协议》................. 错误!未指定书签。

附件xx：《外来人员访问管理规定》 ..... 错误!未指定书签。

附件xx：《信息安全培训管理规范》 ..... 错误!未指定书签。

附件xx：《xx新能源场站机房管理规定》. 错误!未指定书签。

附件xx：《xx新能源场站设备及系统安全维护管理规范》错误!未指定书签附件xx：《xx新能源场站存储介质管理规范》错误!未指定书签。

附件xx：《xx新能源场站恶意代码防护管理规范》错误!未指定书签。

附件xx：《xx新能源场站数据及系统备份管理规范》错误!未指定书签。

附件xx：《xx新能源场站系统用户及密码安全管理规范》错误!未指定书签附件xx：《xx新能源场站电力监控系统信息安全应急预案》错误!未指定书1.概述为贯彻落实《中华人民共和国网络安全法》、《电力监控系统安全防护规定》（国家发展改革委员会第14号令）、《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范》（国能安全[2015]36号文）、《电力行业网络与信息安全管理办法》（国能安全[2014]317号文）、《电力行业信息安全等级保护管理办法》（国能安全[2014]318号文）等国家有关规定，加强发电厂电力监控系统安全防护，抵御黑客及恶意代码等对发电厂电力监控系统发起的恶意破坏和攻击，以及其它非法操作，防止发电厂电力监控系统瘫痪和失控，防止由此导致的电力监控系统一次系统事故和其它事故，确保电力监控系统的安全、稳定、可靠运行，制定本方案。

新能源场站概况：介绍机组数量、装机容量、使用的监控系统等主要电力监控系统的品牌等。

电力调度数据网络承载着电力调度生产各类业务数据的传输，xx新能源场站作为接入节点接入xx省调电力调度数据网络，为电站相关应用系统的数据交换和资源共享提供传输平台。

2.适用范围本安全防护总体方案适用于xx新能源场站电力监控系统等工控系统的规划设计、项目审查、工程实施、系统改造、运行管理等相关工作内容。

3.方案依据本方案制定过程中依据以下标准：《电力监控系统安全防护规定（国家发改委〔2014〕年第14号）《电力监控系统安全防护总体方案》（国能安全〔2015〕36号）《发电厂电力监控系统安全防护方案》《信息安全等级保护管理办法》（公通字〔2007〕43号）《电力行业信息安全等级保护管理办法》（国能安全[2014]318号）《电力行业网络与信息安全管理办法》（国能安全[2014]317号）《电力行业信息安全等级保护基本要求》《电力监控系统安全防护评估规范》4.总体目标xx新能源场站电力监控系统安全防护的总体目标：坚持“安全分区、网络专用、横向隔离、纵向认证”的总体原则，明确分层分区，以生产控制大区和管理信息大区之间的安全防护为重点，有效抵御黑客、病毒、恶意代码等通过两个大区的边界连接对电厂生产网络系统发起的恶意破坏和攻击，防止由此导致的一次系统事故或大面积停电事故，以及电力监控系统的崩溃或瘫痪；防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作；不发生电力监控系统的人为责任事故，不因电力监控系统的安全问题引发电网事故。

5.防护原则5.1安全分区按照《电力监控系统安全防护规定》，将xx新能源场站基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区I)及非控制区(安全区II)，重点保护生产控制以及直接影响电力生产(机组运行)的系统。

5.2网络专用电力调度数据网是与生产控制大区相连接的专用网络，承载电力实时控制等业务。

发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。

5.3横向隔离横向隔离是电力监控系统安全防护体系的横向防线。

应当采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。

生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离。

防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。

5.4纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线。

电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。

5.5综合防护综合防护是结合国家及电力行业信息安全管理的相关要求对电力监控系统从主机安全、网络及安全设备安全、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。

6.电力监控系统基本情况介绍6.1监控系统描述新能源场站监控系统（如风机监控系统）的基本情况。

分四个部分介绍，分别是（1）系统情况简介、（2）系统边界分析、（3）网络拓扑结构、（4）设备清单。

其中网络拓扑结构和设备清单需要以附件的形式提供：xxxx系统网络拓扑结构图见附件xx。

xxxx系统资产清单。

6.2系统26.3系统36.4系统46.5系统57.总体安全防护措施7.1安全区划分根据电力监控系统防护“安全分区、网络专用、横向隔离、纵向认证”的原则，对xx新能源场站的监控系统、功率预测系统、天气预报系统、AVC、五防系统、调度数据网等进行安全防护。