标准规范下载简介
Q/GDW 46 10025-2019 水电厂电力监控安全防护配置导则.pdfQ/GDW4610025—2019
水电厂电力监控系统安全防护配置导则
《建筑施工临时支撑结构技术规范》JGJ300-2013GuideforsafeguardconfigurationofHydraulicpowerstation
monitorandcontrolsystem
Q/GDW46100252019
Q/GDW46100252019
本标准依据《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)和《电力 监控系统安全防护总体方案》等安全防护方案和评估规范(国能安全(2015)36号)编制。 本标准由国网新源控股有限公司运维检修部提出并负责解释。 本标准由国网新源控股有限公司科技信息部归口。 本标准起草单位:国网新源控股有限公司、华东宜兴抽水蓄能有限公司、南京南瑞信息通信科技有 限公司。 本标准主要起草人:吕志娟、徐杰、杨斌、张亚武、郝国文、狄洪伟、徐伟、朱佳。 本标准为首次发布。 本标准在执行过程中的意见或建议反馈至国网新源控股有限公司科技信息部
Q/GDW4610022.32018
水电厂电力监控系统安全防护配置导则
本标准规定了水电厂电力监控系统内部及其边界的安全防护总体原则、分区原则、边界防护及综合 防护配置要求等内容。 本标准适用于国网新源控股有限公司所辖电厂(公司)
下列术语和定义适用于本
基础支撑的通信及数据网络等,主要包括计算机监控系统、水电厂辅机控制系统、梯级调度监控系统 改障录波、保护信息子站、梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统 电能量采集装置、主设备状态监测系统等
3.2网络安全监测装置Safetymonitoringequipmentforcybersapce
3.43.4异地存储Remotebackup
D/GDW4610022.32018
为防止本地发生灾难性事故造 应对重要信息和数据进行备份, 将备份介质场外存放。原则上备份介 安装位置应超过25kM。
4.1.1水电厂电力监控系统安全防护应遵照“安全分区、网络专用、横向隔离、纵向认证”的总体 护原则,安全防护主要针对水电厂电力监控系统,重点强化边界防护,同时加强内部的物理、网络、 机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理,提高系统整体 全防护能力,保证电力监控系统及重要数据的安全。
,之.1合单位电力监控系统安生防护实施方案应经公司专业主官部及相应电力调度机构审核,方 实施完成后应由上述机构验收。 .2.2水电厂电力监控系统部署的防火墙、交换机、安全防护设备、调度数据网设备应放置于专用网 络信息机房内,且分区布置, 4.2.3水电厂接入电力调度数据网络的节点、设备和应用系统,其接入技术方案和安全防护措施必须 经直接负责的电力调度机构同意 .2.4水电厂电力监控系统在设备选型及配置时,应当禁止选用国家相关管理部门检测认定并经国家 能源局通报存在漏洞和风险的系统及设备,对于已投入运行的系统及设备,应当按照国家能源局及其派 出机构的要求及时进行整改,同时应加强相关系统及设备的运行管理和安全防护
5.1.1水电厂内部基于计算机及网络技术的业务系统原则上划分为生产控制大区和管理信息大区,并 根据业务系统的重要性和对生产设备的影响程度将生产控制大区以分为控制区(安全区I)及非控制区 (安全区II) 5.1.2在满足安全防护总体原则的前提下,可以根据业务系统实际情况,简化安全区的设置,但是应 当避免形成不同安全区的纵向交叉联接, 5.1.3水电厂电力监控系统典型网络结构拓扑图见附录A。
5.2控制区(安全区I)
5.2.1控制区中的业务系统或功能模块的典型特征为:是电力生产的重要环节,直接实现对电力生产 设备的实时监控,纵向使用电力调度数据网络或专用通道。安全区I是实时控制区、安全保护的重点与 核心。
设备的实时监控,纵向使用电力调度数据网络或专用通道。安全区I是实时控制区、安全保护的重点与 核心。 5.2.2控制区的典型业务系统包括:计算机监控系统、水电厂辅机控制系统、梯级调度监控系统、调 速系统和自动发控制功能AGC、励磁系统和自动电压控制功能AVC、相量测量装置PMU、安全稳定控制 系统、继电保护、五防系统、火灾报警系统、泄洪闸门控制、远动系统等各种控制装置。详见附录B、 附录C。
JGJ168-2009 建筑外墙清洗维护技术规程5.3非控制区(安全区I)
D/GDW 46 10022. 32018
5.3.1非控制区中的业务系统或功能模块的典型特为:是电力生产的必要环节,在线运行但不具备控 制功能,使用电力调度数据网络,与控制区中的系统或其功能模块联系紧密。 5.3.2非控制区的典型业务系统包括:故障录波、保护信息子站、梯级水库调度自动化系统、水情自 动测报系统、水电厂水库调度自动化系统、电能量采集装置、主设备状态监测系统等。详见附录B、附 录C。 5.3.3如果生产控制大区内个别业务系统或其功能模块(或子系统)需使用公用通信网络、无线通信 网络以及处于非可控状态下的网络设备与终端等进行通信,其安全防护水平低于生产控制大区内其他系 统时,应设立安全接入区
5.4.1管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合,典型业务系统包括:生 产管理系统、管理信息系统MIS、协同办公系统、门户网站系统。详见附录B、附录C
6.1横向边界安全防护
6.1.1水电厂在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向 单向安全隔离装置,隔离强度应当接近或达到物理隔离。正向安全隔离装置用于生产控制大区到管理信 息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区的非网络 方式的单向数据传输。 6.1.2按所辖调度机构的要求,在调度数据网主站和厂站端统一部署恶意代码防护系统,采取防范恶 意代码措施,病毒库、木马库以及IDS规则库应经过安全检测并应离线进行更新。 6.1.3水电厂生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备(如路由器)、 防火墙或者相当功能的设施,实现逻辑隔离。 6.1.4水电厂内同属于安全区I的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的 不同功能的监控系统之间,尤其是机组监控系统与输变电部分控制系统之间,根据需要可以采取一定强 度的逻辑访问控制措施,如防火墙、VLAN等。 6.1.5水电厂内同属于安全区II的各系统之间、各不同位置的厂站网络之间JGT466-2015 建筑光伏系统 无逆流并网逆变装置,根据需要可以采取一定 强度的逻辑访问控制措施,如防火墙、VLAN等。
6. 2 纵向边界安全防护