变电站电力监控系统网络安全PPT课件.pptx

变电站电力监控系统 网络安全,三,投运前安防工作指引,,一,电力监控系统网络安全相关要求,,,一、电力监控系统网络安全相关要求,3,一、电力监控系统网络安全相关要求网络安全法,三、网络运行安全（一般规定）,（二级每两年一次， 三级系统每年一次， 四级系统每半年一次）,4,一、电力监控系统网络安全相关要求网络安全法,中华人民共和国网络安全法,,七大章，79条 “网络运行安全”篇幅比重最大，分2小节19条，与电力监控系统关系最密切 对企业现实意义 明确各管理线条职责，解决过往“九龙治水” 统一行政命令与行业规定，上升为法律条文及法律责任网络安全支撑与促进,二,一,总则,网络运行安全,三,网络信息安全,监测预警与应急处置,法律责任,附则,一般规定,关键信息基础设施的运行安全,四,五,六,七,5,一、电力监控系统网络安全相关要求网络安全法,三、网络运行安全（关键信息基础设施的运行安全）,,,第34条（进阶要求） 除本法第21条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务： （一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查； （二）定期对从业人员进行网络安全教育、技术培训和技能考核； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期进行演练； （五）法律、行政法规规定的其他义务。

第35条 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查 第38 条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估6,一、电力监控系统网络安全相关要求网络安全法,六、法律责任,,,对象 网络运营者 / 关键信息基础设施运营者 根据解释：被处罚的单位主体是公司、各省公司等独立法人实体，主管人员指公司法人代表、经营管理主要领导 违反相关条款义务，由有关主管部门责令改正，给予警告 拒不改正或者导致危害网络安全等后果的 （一般规定）处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款 （关键基础设施）处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款7,一、电力监控系统网络安全相关要求14号令,电力监控系统安全防护规定（14号令）,电力监控系统安全防护总体策略,落实等级保护制度,8,一、电力监控系统网络安全相关要求14号令,电力监控系统安全防护规定（14号令）,电力监控系统安全防护是电力安全生产管理体系的有机组成部分； 谁主管谁负责、谁运营谁负责； 建立健全电力监控系统安全防护管理制度，将电力监控系统安全防护工作及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。

电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系统安全防护的技术监督； 接入电力调度数据网络的设备和应用系统，其接入技术方案和安全防护措施必须经直接负责的电力调度机构同意； 将电力监控系统安全防护评估纳入电力系统安全评价体系 电力调度机构负责统一指挥调度范围内的电力监控系统安全应急处理 电力监控系统相关设备及系统的开发单位、供应商应当以合同条款或者保密协议的方式保证其所提供的设备及系统符合本规定的要求，并在设备及系统的全生命周期对其负责电力监控系统专用安全产品的开发单位、使用单位及供应商，应当按照国家有关要求做好保密工作，禁止关键技术和设备的扩散9,一、电力监控系统网络安全相关要求36号文,电力监控系统安全防护总体方案（36号文，为14号令配套文件）,2015年2月4日，国家能源局安全201536号文，印发电力监控系统安全防护总体方案等配套文件电力监控系统安全防护总体方案 省级以上调度中心监控系统安全防护方案 地县级调度中心监控系统安全防护方案 发电厂监控系统安全防护方案 变电站监控系统安全防护方案 配电监控系统安全防护方案 电力监控系统安全防护评估规范,10,一、电力监控系统网络安全相关要求36号文,本方案适用于变电站、换流站、开关站监控系统安全防护，包括发电厂的升压站或开关站。

变电站监控系统安全防护方案（36号文子方案）,11,变电站监控系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站监控系统发起的恶意破坏和攻击，以及其他非法操作，防止变电站监控系统瘫痪和失控，并由此导致的变电站一次系统事故 变电站监控系统安全防护的重点是强化变电站边界防护，加强物理、人员等内部安全措施，保障变电站安全稳定运行一、电力监控系统网络安全相关要求36号文,变电站监控系统安全分区表,12,一、电力监控系统网络安全相关要求36号文,220kV及以上变电站监控系统：在变电站层面构造控制区和非控制区，继电保护管理模块及安自装置管理模块应当置于控制区，故障录波装置、电能量采集装置和状态监测置于非控制区 110kV及以下变电站监控系统：生产控制大区可以不再细分，可以将各业务系统和装置均置于控制区，其中在控制区中的故障录波装置和电能量采集装置可以通过调度数据网将录波数据及计量数据传输到上级调控中心隶属于电网公司的变电站监控系统等级保护工作纳入所属电网调度机构统一开展，作为调度自动化系统子站部分统一定级备案，不作为独立系统定级备案，并保持防护标准不变，220千伏及以上变电站自动化系统仍按等级保护3级要求防护，其他产权的变电站监控系统等级保护工作由产权方负责。

变电站监控系统在设备选型及配置时，应当禁止选用经国家相关管理部门检测认定并经过国家能源局通报存在漏洞和风险的系统及设备；对于已经投入运行的系统及设备，应当按照国家能源局及其派出机构的要求及时整改，同时应当加强相关系统及设备的运行管理和安全防护生产控制大区中除安全接入区外，应当禁止选用具有无线通信功能的设备一、电力监控系统网络安全相关要求中国南方电网电力监控系统安全防护技术规范,术语和定义,具有实时控制功能、纵向连接使用电力调度数据网的实时VPN或专用通道的各业务系统构成的安全区域电力监控系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及职能设备，以及做为基础支撑的通信及数据网络等电力监控系统安全防护设备,实现电力监控系统网络及信息安全防护功能的系统或设备如电力专用横向单向安全隔离装置、电力专用纵向加密认证装置、电力专用拨号服务器、软硬件防火墙、IDS/IPS、恶意代码防护系统、部署在安全分区边界并设置了访问控制策略的交换机和路由器、电力调度数字证书系统、安全审计、网管、综合告警系统、配网主站安全防护设备、配网终端安全防护设备等控制区,非控制区,生产控制区范围内由运行但不直接参与控制、是电力生产过程的必要环节、纵向连接使用电力调度数据网的非实时VPN的各业务系统构成的安全区域。

电力监控系统安全防护主要针对网络系统和基于网络的生产控制系统 安全防护的总体目标是保护电力监控系统及调度数据网的安全，抵御黑客、病毒、恶意代码等的破坏和攻击，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力监控系统事故或大面积停电事故 安全防护的基于原则为“安全分区、网络专用、横向隔离、纵向认证” 安全防护的核心能力是“保护、监测、响应、恢复、审计”的闭环机制一、电力监控系统网络安全相关要求中国南方电网电力监控系统安全防护技术规范,安全分区 根据电力监控系统业务的重要性及其对电力一次系统的影响程度进行分区，南方电网电力监控系统分为生产控制大区和管理信息大区，其中生产控制大区分为控制区（又称安全区I）和非控制区（又称安全区II），生产控制大区是电力监控系统重点防护对象网络专用 南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离该网可采用MPLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网，即实时VPN和非实时VPN实时VPN用于控制区业务系统的远程数据通信，非实时VPN用于非控制区业务系统的远程数据通信一、电力监控系统网络安全相关要求中国南方电网电力监控系统安全防护技术规范,横向隔离 南方电网各级运行维护单位的生产控制大区和管理信息大区之间应设置电力专用横向安全隔离装置（或组成隔离阵列）实现物理隔离。

生产控制大区和管理信息大区内部的完全区之间应采用防火墙或带有控制功能的网络设备实现逻辑隔离纵向认证 南方电网各级运行维护单位在生产控制大区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或加密认证装置，为上下级调度机构或主站与子站端的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务一、电力监控系统网络安全相关要求中国南方电网电力监控系统安全防护技术规范,安全分区、网络专用、横向隔离、纵向认证,,隶属南方电网公司的变站作为调度自动化系统子部分一定级备案， 不作为独立系统定级备案，保持对应等级的防护标准一、电力监控系统网络安全相关要求中国南方电网电力监控系统安全防护技术规范,一、电力监控系统网络安全相关要求中国南方电网电力调度管理规程,调度管理规则 4.6电力监控系统网络安全 4.6.1电力调度机构负责下级电力调度机构和调管范围内变电站、发电厂涉网部分的电力监控系统网络安全的技术监督工作 4.6.2电力监控系统网络安全工作应当落实国家网络安全等级保护制度，按照国家网络安全等级保护的有关要求，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，保障电力监控系统的安全。

4.6.5电力监控系统及其网络安全措施的规划、设计、建设及运行，应符合国家网络与信息安全有关要求电力监控系统网络安全应随电力监控系统同步规划、同步设计、同步建设、同步验收、同步运行 4.6.6电力调度机构、生产运行单位必须编制电力监控系统网络安全实施方案并经相应的电力调度机构审核，实施后应经过相应的电力调度机构验收接入电力调度数据网络、综合数据网络的设备与应用系统，其接入技术方案和网络安全措施必须经过相应的电力调度机构批准 4.6.7电力监控系统网络安全设备选型应根据国家有关规定，选择经过国家有关部门的检测或审查的设备设备选型应安全、可靠 4.6.8新建或改扩建的电力监控系统，应通过信息安全等级保护测评、电力监控系统安全防护评估合格后方可上线投运电力监控系统应定期开展安全防护测评、评估，对于不符合相关规定要求的，应当在规定的期限内整改 4.6.16退出运行的电力监控系统应履行退役报废手续，并对相关数据存储介质进行彻底擦除，避免敏感信息泄漏一、电力监控系统网络安全相关要求中国南方电网电力调度管理规程,电力监控系统网络安全管理 19.1并网管理 19.1.1南网总调直调新建、改扩建厂站，在并网前须按规定同步完成有关电力监控系统的安全防护建设。

19.1.2南网总调直调新扩建、改造电厂，电力监控系统投运前，应通过网络安全等级保护测评和电力监控系统安全防护评估，对存在问题及时落实整改后才能并网运行，电力监控系统建设实施方案（含网络拓扑图及资产清单）、调试记录、验收报告、等级保护测评报告、电力监控系统安全防护评估报告等资料应于投运前按要求报送至南网总调19.1并网管理 19.1.1中调及地调直调新建、改扩建厂站，在并网前须按规定同步完成有关电力监控系统的安全防护建设 19.1.2中调及地调直调新扩建、改造电厂，电力监控系统投运前，应通过网络安全等级保护测评和电力监控系统安全防护评估，对存在问题及时落实整改后才能并网运行，电力监控系统建设实施方案（含网络拓扑图及资产清单）、调试记录、验收报告、等级保护测评报告、电力监控系统安全防护评估报告等资料应于投运前按要求报送至中调或地调04,03,02,01,2 接入方案审核 接入南网电力调度数据网络、综合数据网络的设备与系统，其接入技术方案和网络安全措施必须经过相应的电力。