标准规范下载简介
DL/T 2393-2021 火力发电厂监控系统信息安全技术监督导则.pdfICS27.100 CCSF23
火力发电厂监控系统信息安全技术
Directivesformonitoringandcontrolsysteminformationsecurity technologysupervisioninthermalpowerplant
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国电力企业联合会提出。 本文件由电力行业热工自动化与信息标准化技术委员会(DL/TC28)归口并解释。 本文件起草单位:浙江浙能技术研究院有限公司、浙江省能源集团有限公司、国网浙江电力有限 公司电力科学研究院、华润润电能源科学技术有限公司、浙能乐清发电有限责任公司、中电永新运营 有限公司、安徽淮南平圩发电有限责任公司、中国华能集团有限公司、国家电力投资集团有限公司、 中国大唐集团公司、国家能源集团新能源技术研究院有限公司、淮浙煤电有限责任公司凤台发电分公 司、浙江省电力学会、华电电力科学研究院、中亘兰谷安全科技(上海)有限公司、江苏未来智慧信 息科技有限公司。 本文件主要起草人:俞荣栋、林楠、孟瑜炜、孙科达、檀炜、邢伟、林彤、郝涛、蔡钧宇、唐龙胜、 崔青汝、李辉、华志刚、李国胜、郑彪、吴侃侃、丁俊宏、郑彪、倪仲俊、张瑞臣、高峰、王淑全、 宫照海、石永恒、孙长生。 本文件为首次发布。 本文件在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心(北京市白广路二 条一号,100761)。
标准层空调水管安装技术交底火力发电厂监控系统信息安全技术监督导则
本文件规定了火力发电厂监控系统信息安全技术监督的原则、主要内容、职责和管理要求。 本文件适用于火力发电厂监控系统信息安全的技术监督全过程,核电、水电、新能源发电可参照执行,
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅 该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22080信息技术安全技术信息安全管理体系要求 GB/T22081信息技术安全技术信息安全控制实践指南 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T32919信息安全技术工业控制系统安全控制应用指南 GB/T36572一2018电力监控系统网络安全防护导则 DL/T838燃煤火力发电企业设备检修导则 DL/T2202一2020发电厂监控系统信息安全防护技术规范 DL/T2203一2020发电厂监控系统信息安全管理导则 DL/T5226发电厂电力网络计算机监控系统设计技术规程
GB/T22080、GB/T22081、GB/T25069界定的以及下列术语和定义适用于本文件。
3.1 火力发电厂监控系统monitoringandcontrolsysteminthermalpowerplant 用于监视和控制火力发电厂生产及供应过程的、基于计算机及网络技术的业务系统及智能设备: 以及作为基础支撑的通信及数据网络等,包括主控制系统、辅助控制系统、电力调度自动化系统发电 侧子系统、电力数据采集与监控系统(SCADA)、电力网络计算机监控系统(NCS)、电力远程终端控 制系统(RTU)、相量测量装置(PMU)、微机继电保护和安全自动装置、现场总线设备与智能化仪表 等控制区实时系统,以及厂级监控信息系统等非控制区实时系统、电能量计量系统、实时电力市场的 辅助控制系统、电力调度数据网络等。
控制区(安全I区)controlsubzone(securityIzone) 由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或者专用通道的各业务系统构成 的安全区域,一般包括火电机组分散控制系统(DCS),三废处理系统、化水处理系统等火电机组辅机
4.10监督发电厂将涉网信息安全技术监督工作及其信息报送纳入日常安全生产监督体系中。 4.11监控系统信息安全技术监督工作范围,应覆盖用于监视和控制电力生产及供应过程的、基于计算 机及网络技术的业务系统及智能设备、作为基础支撑的通信网络与电力调度相关的纵向联接部分,以 及监控系统内部和边界的安全设备,主要监督对象如下: a)分散控制系统(DCS)等; b)独立监测控制系统,如汽轮机数字电液控制系统(DEH)、汽轮机紧急跳闸系统(ETS)、汽轮 机旁路控制系统(BPC)、汽轮机监测保护系统(TSI)、火检系统、开关量控制系统(OCS), 以及各类可编程控制器(PLC)等; c)就地设备控制系统、智能仪表; d)电力网络计算机监控系统(NCS)、电力远程终端控制系统(RTU)、相量测量装置(PMU); e)继电保护装置; f)厂级监控信息系统(SIS)生产控制大区内部分; g)安全I区与安全Ⅱ区之间的边界安全设备; h)生产控制大区内部不同系统之间的边界安全设备; i)生产控制大区与电力调度数据网之间的边界安全设备; j)生产控制大区与管理信息大区之间的边界安全设备(正、反向单向物理隔离器); k)与电力调度数据网有直接或间接关系的纵向联接部分; 1)与电力调度管理专网有直接或间接关系的纵向联接部分; m)接入电力调度机构安全接入区的纵向联接部分; n)时钟对时系统。
5.2.1.1监督过程应包括规划、设计、建设到试生产和峻工验收结束等环节。监督范围应包括可行性研 究报告、设计方案合规性,以及网络安全产品选型、监造、安装、调试、试运行和峻工验收阶段的监督。 5.2.1.2监督工程类型应包括新建、扩建、改建项目信息安全技术评价标准落实。新建项目监督应由上 级部门或者有相应资质单位承担。
5.2.2规划设计阶段
5.2.2.1规划阶段应监督发电厂监控系统规划是否根据未来监控系统的应用对象、应用环境、业务状 况、操作要求等进行威胁分析和安全审计,以及是否明确安全防护工作任务,确定监控系统建设应达 到的安全防护目标。
5.2.2.2发电厂监控系统规划阶段的监督应符合GB/T36572—2018的规定。由发电厂自行对监控系 统开展等级保护定级,并根据其安全防护目标提出安全防护方案,经评估后列入发电厂监控系统整
DL/T2393—2021
体规划。 5.2.2.3发电厂监控系统信息安全方案设计的监督应符合GB/T36572一2018中的“安全分区、网络专 用、横向隔离、纵向加密”原则,并选用技术先进、可靠且经济实用的方案。 5.2.2.4对于发电厂监控系统信息安全防护方案设计完成后的监督,应组织召开方案评审,由电力调度 机构、并网电厂上级主管部门、网络信息安全主管部门审查,方案修改完成后应及时向电网调度等有 关上级主管部门备案报批,审批通过后方可实施。 5.2.2.5监督发电厂监控系统应根据GB/T22239一2019有关发电厂监控系统等保定级的要求,对等保 定级、安全防护方案进行审核。 5.2.2.6监督发电厂监控系统应根据规划阶段明确的系统安全目标,对系统设计方案安全功能设计做出 判断,确保设计方案满足系统安全目标,并作为采购过程中风险控制的依据。
应根据系统安全需求和运行环境对系统开发实施过程的安全风险识别,提出安全防护建设过程 中的控制措施,并用于实施时的质量控制和系统建成后的安全防护功能验证。应以电力调度机构、 并网电厂上级主管部门、网络信息安全主管部门审查批复同意的发电厂监控系统信息安全防护方案 及相关文件为依据进行施工,施工过程中,有涉及网络结构和设备再次变更应按照5.2.2.4的要求补 充审查审批。
5.2.3.3发电厂监控系统投运前监督
应根据系统等级情况,自行组织或委托评估机构对系统进行上线安全评估,评估应包括系统或产 品获取、系统交付、实施安全性评估。
5.2.3.4文档资料监督
安装、调试单位应将设计单位、设备制造厂家和供货单位提供的技术资料、专用工具、备品配件 以及仪表检定记录、调试记录、调试总结等有关档案材料列出清单,并全部移交生产单位。
5.2.4试运行和竣工验收
5.2.4.1试运行和峻工验收应监督发电厂监控系统投运前的现场验收,现场验收应由电力调度机构、并 网电厂上级主管部门、网络信息安全主管部门人员共同参与。 5.2.4.2发电厂监控系统峻工验收监督应按照等级保护以及安全防护要求,检查系统测评备案、安全评 估报告、调试记录及报告,完成峻工信息安全验收。监督相关单位对未达到设计要求或不符合国家、 行业规定的项目进行整改。
5.3.1.1监督过程应从峻工验收起,对运行阶段的发电厂监控系统进行全面信息安全监督。
5.3.1.2监督范围应包括组织体系及监控系统信息安全标准和制度制定、落实、执行情况,监 体防护架构评价,等级保护管理等。 5.3.1.3总体架构评价监督应包括下列内容:
5.3.1.2监督范围应包括组织体系及监控系统信息安全标准和制度制定、落实、执行情
a)物理环境评价; b)发电厂监控系统安全分区、网络专用、横向隔离、纵向加密合规性评价; c)生产控制大区、网络安全接入区安全评价。
5.3.2生产控制大区监督
5.3.2.1生产控制大区监督应按照“谁主管、谁负责,谁运营、谁负责”的原则,监督子系统责任主体 落实状态。 5.3.2.2应根据GB/T22239中有关监控系统生产控制大区的信息安全管理要求,监督设置安全策略和 安全措施、建立信息安全管理制度、建设管理组织体系以及开展人员管理和上岗培训的状况。 5.3.2.3生产阶段对子系统技改和建设期间的监督:应开展安全规划与建设评估工作,根据分析的威胁 和建设的安全控制措施,在实施及验收时进行质量控制。在系统投运前,根据系统等级情况,应组织 或委托评估机构对系统进行上线安全评估。应对系统的开发与技术或产品获取、系统交付实施过程 评估。 5.3.2.4信息安全防护方案有重大变更的监督:应重新组织召开方案评审会,修改完成后,涉网部分应 及时向电网调度备案报批,非涉网部分应及时向有关上级主管部门备案报批,根据批复文件开展下一 步工作。
5.3.3.1发电厂监控系统在使用无线通信网、非电力调度数据网或外部公用数据网的虚拟专用网 (VPN)等通信时,应设立网络安全接入区。 5.3.3.2生产控制大区与网络安全接入区的联接处,应设置经国家指定部门检测认证的电力专用横向单 向安全隔离装置。安全隔离装置宜支持深度报文解析功能(DPI)。 5.3.3.3安全接入区的设计评审监督:应组织召开方案评审会,由电力调度机构、并网电厂上级主管部 门、网络信息安全主管部门审查,根据评审意见修改设计方案,涉网部分应及时向电网调度备案报 批,非涉网部分应及时向上级主管部门备案报批。安全接入区接入方案有重大变更应重新组织召开方 案评审会,方案修改完成后,涉网部分应及时向电网调度备案报批,非涉网部分应及时向上级主管部 门备案报批,根据批复文件开展下一步工作。 5.3.3.4网络安全接入区资产管理监督:应建立网络安全接入区信息安全管理台账,涵盖资产、设备、 资料、运维等重要信息,便于日常管理和监督检查。
5.4.1.1监督过程应包括监控系统检修计划、检修过程、检修后期等环节。 5.4.1.2监督范围应包括检修全过程的检修方案、测试记录、处置记录、测评和评估记录、检查记录等 技术资料。
5.4.2检修计划监督
5.4.2.1检修计划宜随主设备的检修同时进行,检修周期应按DL/T838的规定执
2.2 :应制定检修计划。检修、检定和调试均应符合检修工艺要求。改进项目应有设计图纸与说 相关人员技术论证后,方可列入检修计划,
GB/T 40781-2021 军民通用资源 异构系统互连参考模型.pdf5.4.3检修过程监督
5.4.3.1机组运行期间发电厂监控系统的检修工作,应在不影响机组安全运行条件下,用合格设备、软 件替换,进行轮换式检修,并监督实施人员访问权限,禁止非授权人员访问系统。 5.4.3.2发电厂监控系统检修期间,应监督检修对监控系统信息安全防护系统功能与对应产品性能,以 及对监控系统实时性影响分别进行系统测试并记录。 5.4.3.3发电厂监控系统检修过程中,应监督当新增系统及网络测试记录、新增加应用或应用与外部连 接发生调整时,以及系统升级改造、新机房(电子设备间)投入使用或局域网、广域网结构发生变化 等网络结构和连接状况发生调整时,重新组织防护功能与性能测试。 5.4.3.4检修期间,应监督监控系统风险处置实施结果,包括检查等保测评、安全评估、专项检查等整 改措施落实。
5.4.4检修后期监督
5.4.4.1发电厂监控系统检修验收应根据DL/T5226、GB/T32919、GB/T22239的规定,监督对内容和 质量进行的分级验收,并对检修内容和检修质量做出评定。 5.4.4.2发电厂监控系统检修资料归档监督:检修、技改、检定、校验和试验记录等技术资料应在检修 工作结束后及时整理归档。
监督废弃系统或设备数据应正确备份,且备份数据应在规定期限内有效。 监督废弃系统或设备中的剩余信息应得到可靠的清除,包括内存缓冲区、磁盘空间和其他 者体跨青银高速公路48 80 48m连续梁安全专项施工方案,以及对涉密存储介质的物理销毁,确保不发生信息泄露。
6.1.1监督发电厂已建立健全厂技术监督负责人、监控系统信息安全技术监督专职、专业部门网络安