本文目录一览:
电力二次系统安全防护规定
第一章 总则第一条 为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和国家有关规定,制定本规定。第二条 电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。第三条 电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等应当符合本规定的要求。第二章 技术措施第四条 发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。
生产控制大区可以分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。
根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。第五条 电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。
电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。第六条 在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。
生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。第七条 在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。第八条 安全区边界应当采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。
生产控制大区中的业务系统应当具有高安全性和高可靠性,禁止采用安全风险高的通用网络服务功能。第九条 依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系统,生产控制大区中的重要业务系统应当采用认证加密机制。第三章 安全管理第十条 国家电力监管委员会负责电力二次系统安全防护的监管,制定电力二次系统安全防护技术规范并监督实施。
电力企业应当按照“谁主管谁负责,谁运营谁负责”的原则,建立健全电力二次系统安全管理制度,将电力二次系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制。
电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂输变电部分的二次系统安全防护的技术监督,发电厂内其它二次系统可由其上级主管单位实施技术监督。第十一条 建立电力二次系统安全评估制度,采取以自评估为主、联合评估为辅的方式,将电力二次系统安全评估纳入电力系统安全评价体系。
对生产控制大区安全评估的所有记录、数据、结果等,应按国家有关要求做好保密工作。第十二条 建立健全电力二次系统安全的联合防护和应急机制,制定应急预案。电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。
当电力生产控制大区出现安全事件,尤其是遭受黑客或恶意代码的攻击时,应当立即向其上级电力调度机构报告,并联合采取紧急防护措施,防止事件扩大,同时注意保护现场,以便进行调查取证。第十三条 电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证其所提供的设备及系统符合本规定的要求,并在设备及系统的生命周期内对此负责。
电力二次系统专用安全产品的开发单位、使用单位及供应商,应当按国家有关要求做好保密工作,禁止关键技术和设备的扩散。第十四条 电力调度机构、发电厂、变电站等运行单位的电力二次系统安全防护实施方案须经过上级信息安全主管部门和相应电力调度机构的审核,方案实施完成后应当由上述机构验收。
接入电力调度数据网络的设备和应用系统,其接入技术方案和安全防护措施须经直接负责的电力调度机构核准。第十五条 电力企业和相关单位必须严格遵守本规定。
对于不符合本规定要求的,应当在规定的期限内整改;逾期未整改的,由国家电力监管委员会根据有关规定予以行政处罚。
对于因违反本规定,造成电力二次系统故障的,由其上级单位按相关规程规定进行处理;发生电力二次系统设备事故或者造成电力事故的,按国家有关电力事故调查规定进行处理。
二次安防的实施要求
法律分析:为了确保场站电力监控系统及电力调度数据网络的安全,抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击,防止电力二次系统崩溃和瘫痪,以及由此造成的电力系统事故,制定本办法。新能源电站电力监控系统安全防护的总方针基本原则为“安全分区、网络专用、横向隔离、纵向认证”。采用“纵深防御”策略,“适度安全”策略,安全防护主要针对基于网络的生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统级重要数据的安全。
法律依据:《中华人民共和国电力法》
第五十二条 任何单位和个人不得危害发电设施、变电设施和电力线路设施及其有关辅助设施。
在电力设施周围进行爆破及其他可能危及电力设施安全的作业的,应当按照国务院有关电力设施保护的规定,经批准并采取确保电力设施安全的措施后,方可进行作业。
第五十三条 电力管理部门应当按照国务院有关电力设施保护的规定,对电力设施保护区设立标志。
任何单位和个人不得在依法划定的电力设施保护区内修建可能危及电力设施安全的建筑物、构筑物,不得种植可能危及电力设施安全的植物,不得堆放可能危及电力设施安全的物品。
在依法划定电力设施保护区前已经种植的植物妨碍电力设施安全的,应当修剪或者砍伐。
第五十四条 任何单位和个人需要在依法划定的电力设施保护区内进行可能危及电力设施安全的作业时,应当经电力管理部门批准并采取安全措施后,方可进行作业。
第五十五条 电力设施与公用工程、绿化工程和其他工程在新建、改建或者扩建中相互妨碍时,有关单位应当按照国家有关规定协商,达成协议后方可施工。
电力系统的二次安防有什么要求,我们作为广东省一电厂侧的施工变,可以采购哪些品牌的二次安防系统?
电力二次系统是指各级电力监控系统和调度数据网络以及各级电网管理信息系统、电厂管理信息系统、电力通信系统及电力数据通信网络等构成的超级复杂的巨大系统。
安全防护总体要求是:安全分区、网络专用、横向隔离、纵向认证。具体指:
1)安全分区。根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。
2)网络专用。在专用通道上建立调度专用数据网络,实现与其他数据网络物理隔离。并通过采用MPLS-VPN或IPsec-VPN在专网上形成多个相互逻辑隔离的VPN,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。
3)横向隔离。采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与办公自动化系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。
4)纵向认证。采用认证、加密等手段实现数据的远方安全传输。
电力二次系统安全防护方案的实施必须分阶段进行,大致可分为以下六个阶段:
第一阶段是理清流程,修补漏洞。需要对本地系统的物理配置、连接关系,以及信息流程有明晰的认识,必须有业务系统的详细的物理连线图及数据流图。
第二阶段是调整结构,清理边界。按照安全防护方案,做好相应的安全区规划,将各类系统置于对应的安全区内,并增加必要的设备,对各类应用系统和网络设备的配置进行相应的修改。
第三阶段为研究部署专用安全隔离装置(横向)。
第四阶段为研究部署IP认证加密装置(纵向)。
第五阶段全面部署认证机制。在研究部署各类专用装置和与认证机制的基础上,全面部署认证机制。
第六阶段为现系统改造和新系统开发。要求二次系统各研究、生产单位按照方案的要求研制新系统,并对现有系统进行改造。
调度中心各系统安全区的划分为:
1)安全区Ⅰ:具有实时控制功能的系统,以及实时性要求很高的系统。目前包括实时闭环控制的SCADA/EMS系统、广域相量测量系统(WAMS)和安全自动控制系统,保护设置工作站(有改定值、远方投退功能)。
2)安全区Ⅱ:没有实时控制业务但需要通过SGDnet进行远方通信的准实时业务系统。目前包括水调自动化系统、调度员培训模拟系统(DTS)、电力交易系统、电能量计量系统、考核系统、继保及故录管理系统(没有改定值、远方投退功能)等。
3)全区Ⅲ:通过SGTnet进行远方通信的调度生产管理系统。目前包括雷电监测系统、气象信息、日报/早报、DMIS等。
4)全区IV:包括办公自动化(OA)和管理信息系统(MIS)等。