光伏电站电力监控系统安全防护方案

光伏电站电力监控系统安全防护方案

ID:47309029

大小:196.05 KB

页数:25页

时间:2019-09-03

光伏电站电力监控系统安全防护方案_第1页
光伏电站电力监控系统安全防护方案_第2页
光伏电站电力监控系统安全防护方案_第3页
光伏电站电力监控系统安全防护方案_第4页
光伏电站电力监控系统安全防护方案_第5页
资源描述:

《光伏电站电力监控系统安全防护方案》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、6XX光伏电站监控系统安全防护方案6.1安全防护目标电站监控系统安全防护主要针对网络信息安全,目标是:1)抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起的恶意破坏和攻击,尤其是集团式攻击;2)防止内部未授权用户访问系统或非法获取信息以及重大违规操作行为。防护重点是通过各种技术和管理措施,对实时闭环监控系统及调度数据网的安全实施保护,防止电力监控系统瘫痪和失控,并由此导致电力系统故障。6.2总体安全需求根据对电站监控系统现状的分析,现提出以下总体安全需求说明:1)通信安全需求l厂内各系统设备之间采用以太网方式连接则必须采取符合相关规定的横向隔离措施。l生产业务系统设备与

2、调度端专线通信方式不考虑安全防护。l生产业务系统设备与调度端采用语音拨号通信不考虑安全防护。l生产业务系统设备与调度端经调度数据网和保护专用网络通信须采取隔离措施,防止网络攻击、病毒和非法操作。2)各系统安全需求电站各业务系统应逐步采用电力调度数字证书,对用户登录本地操作系统、访问系统资源等操作进行身份认证,根据身份与权限进行访问控制,并且对操作行为进行安全审计。253)全局安全需求重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理,提供系统整体安全防护能力,保证电力监控系统及重要数据的安全。6.3安全分区根

3、据《电力监控系统安全防护规定》的要求,在调度数据网内划分两个VPN,分别是:实时控制VPN和非控制生产VPN,分别供安全区I(实时控制区)、安全区II(非控制生产区)。站内调度数据网作为数据采集汇聚中心,由调度数据网接入省调、地调骨干节点,实现集控中心的调度自动化信息经过调度数据网向省调、地调传送。安全分区如图所示图10光伏电站监控系统安全部署示意图6.4安全措施部署情况发电站电力监控系统安全防护部署拓扑图:图11XX光伏发电站电力监控系统安全防护部署拓扑图256.4.1电站横向通信防护XX光伏电站设置管理信息大区,生产控制大区与管理信息大区业务交互、部署横向隔离装置,安全一区

4、与安全二区之间部署硬件防火墙实现逻辑隔离。6.4.2纵向通信防护发电站一平面、二平面安全区Ⅰ区已部署两套纵向加密认证装置采用电力专用分组密码算法和公钥密码算法,支持身份鉴别、信息加密、数字签名和密钥生成与保护,提供基于RSA、SM2公私密钥对的数字签名和采用专用加密算法进行数字加密的功能,实现业务系统数据的远方安全传输以及纵向边界的安全防护,与调度端实现双向身份认证、数据加密和访问控制。发电站一平面、二平面安全区ⅠⅠ区已部署两套纵向加密认证装置采用电力专用分组密码算法和公钥密码算法,支持身份鉴别、信息加密、数字签名和密钥生成与保护,提供基于RSA、SM2公私密钥对的数字签名和采

5、用专用加密算法进行数字加密的功能,实现业务系统数据的远方安全传输以及纵向边界的安全防护,与调度端实现双向身份认证、数据加密和访问控制。纵向加密认证装置需采用双向加密认证、禁止明文通信,VPN安全策略源地址只允许站端通信主机、目的地址必须限制为调度主站端主机地址、且需指定业务系统协议和端口号。6.4.3防病毒发电站统一配置一套网络版防病毒系统,配置一台管理中心服务器,服务器部署安装于安全二区,安全一区客户端通过一、二区之间防火墙实现交互;生产控制大区局域网笔记本、25工作站、服务器部署安装客户端,服务端管理各个客户端,对客户端进行升级和监控管理,提高对病毒及木马的防护能力,包括进

6、行病毒定义码的更新、防病毒政策的设定、病毒情况的监控,手动的、定时的病毒扫描及清除、病毒日志及汇总报表以及集中隔离未知病毒,并能隔离有病毒的客户端,手工定期升级恶意代码防护系统病毒库。病毒库采用离线升级方式更新。6.4.4实时入侵检测发电站安全区I与安全区II部署一套网络入侵检测系统,并开通四个监听口。保证安全防护能实时、动态应对安全事件,增强对网络行为的监察、控制和审计能力,检测探头部署在电力调度数据网接入交换机侧。检测规则合理设置,以及时捕获网络异常行为、分析潜在威胁、进行安全审计。6.4.5漏洞扫描发电站安全I区与安全II区统一配置一套工控漏洞扫描系统,授权两路扫描口、定

7、期手动扫描主机服务器系统、数据库及脆弱配置并进行加固;定期对网络的不同断面进行漏洞扫描,及时发现安全隐患。6.4.6安全审计安全审计部署在安全区Ⅱ,通过网络(TCP、UDP)、串口等多种通讯方式,采用SNMP、SNMPTrap、SysLog、ODBC/JDBC、网络SOCKET和可定制化接口等方式采集安全设备(如防火墙、IDS、专用隔离设备、防病毒系统等)、服务器、数据库及调度数据网设备的不同格式的日志信息和告警信息,对网络安全事件信息进行集中分析过滤、处理、保存。发生设备异常及异常的安全事

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。