二次安全防护预案(2016年修改版)

琥珀(安吉)燃机热电有限公司二次系统安全防护预案编制：张坤审核：沈强徐立批准：盛树浩方案版本：2015版发布部门：浙江琥珀（安吉）燃机热电有限公司技术管理部发布日期：2015年6月1日浙江琥珀（安吉）燃机热电有限公司11总则1.1编制目的电力二次系统是电力生产系统的重要组成部分。随着通信和网络技术的发展，也随着各级管理的深入，接入电力二次系统各安全区域的相关控制和管理系统也越来越多，对电力二次系统的安全性、可靠性、实时性都提出了更高的要求。为了加强浙江琥珀（安吉）燃机热电有限公司（以下简称吉能电厂）电力二次系统的安全防护，特根据吉能电厂实际情况制定本方案。1.2编制依据依据国家电力监管委员会5号令《电力二次系统安全防护规定》、电监安全[2006]34号《电力二次系统安全防护总体方案》、附件5《发电厂二次系统安全防护方案》及国家电网公司印发的《国家电网公司应急方案编制规范》(国家电网安监〔2007〕98号)的要求，结合吉能电厂的有关规定制定本方案。1.3适用范围吉能电厂二次系统安全防护相关问题的处理。1.4工作总原则在二次系统安全防护方案中，必须遵循“预防为主、安全第一”的方针，贯彻“集中领导、统一指挥”的总原则。2方案概况2.1吉能电厂二次系统安全防护分区2.1.1吉能电厂二次系统安全防护总体示意图浙江琥珀（安吉）燃机热电有限公司22.1.2吉能电厂的控制区（I区）2.1.2.1安全区Ⅰ是实时控制区，安全保护的重点与核心。控制区中的业务系统或功能模块的典型特征为：是电力生产的重要环节、安全防护的重点与核心；直接实现对一次系统运行的实时监控；纵向使用电力调度数据网络或专用通道。2.1.2.2吉能电厂控制区的典型系统包括以下业务系统和功能模块：机组控制系统DCS、调速系统和自动发电控制功能AGC、励磁系统和无功电压控制功能、网络监控系统NCS、各种控制装置、五防系统等。2.1.3吉能电厂的非控制区（II区）2.1.3.1安全区Ⅱ是非控制生产区。非控制区中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节；在线运行，但不具备控制功能；使用电力调度数据网络，与控制区中的系统或功能模块联系紧密。2.1.3.2非控制区的典型系统包括以下业务系统和功能模块：电能量采集装置、继电保护管理终端、故障录波装置、调度指令下发系统等。2.2吉能电厂二次系统安全防护的总体要求2.2.1吉能电厂二次系统安全的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对发电厂二次系统发起的恶意破坏和攻击，以及其他非法操作，防止发电厂电力二次系统瘫痪和失控，并由此导致的发电厂一次系统事故。浙江琥珀（安吉）燃机热电有限公司32.1.2吉能电厂二次系统安全防护工作的重点对象是生产控制大区（I区和II区）的各个业务系统。2.2.3电力二次系统安全的重要措施是强化发电厂二次系统的边界防护。具体为：同属于控制区的各机组监控系统之间、机组监控系统与公用控制系统之间，尤其与输变电部分控制系统之间应当采用必要的访问控制措施；在电力调度数据网边界配置纵向加密认证装置或纵向加密认证网关进行安全防护。2.3吉能电厂二次系统安全防护的具体原则2.3.1确保电力监控系统及电力调度数据网络等电力二次系统的安全，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力二次系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。防止未经授权用户访问系统或非法获取信息和侵入以及重大的非法操作。2.3.2业务系统置于安全区的原则：1、不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域；但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域；2、在满足安全防护总体原则的前提下，可以根据应用系统实际情况，简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。2.4吉能电厂二次系统安全区的防护要求：2.4.1生产控制大区高于管理信息大区；控制区中关键业务系统安全等级3－4级；禁止生产控制大区内部的E-Mail服务；禁止控制区内通用的web服务；生产控制大区远程通信必须采用加密认证机制；生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通；生产控制大区的拨号访问服务；生产控制大区边界上可以部署IDS；生产控制大区应部署安全审计措施；生产控制大区应该统一部署恶意代码防护系统；离线升级。2.4.2横向隔离的要求：两种类型的隔离；两种型号的隔离产品；严格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输逻辑隔离采用国产防火墙；禁止安全风险高的通用网络服务穿越该边界。2.4.3纵向认证的要求：采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护；电力专用纵向加密认证装置或者加密认证网关；实现双向身份认证、数据加密和访问控制，加密认证网关除具有加密认证装置的全部功能外，实现对电力系统数据通信应用层协议及报文的处理功能；新上的系统应支持加密认证的功能。2.5吉能电厂二次系统安全防护的技术措施浙江琥珀（安吉）燃机热电有限公司42.5.1划分生产控制大区和管理信息大区避免通过广域网形成不同安全区的纵向交叉连接。2.5.2电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。2.5.3生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离,吉能电厂目前无管理信息大区。2.5.4在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，吉能电厂目前无生产控制大区与广域网相联。2.5.5安全区边界应当采取必要的安全防护措施，禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。2.5.6依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系统，生产控制大区中的重要业务系统应当采用认证加密机制。2.6吉能电厂二次系统安全防护的管理措施2.6.1“谁主管谁负责，谁运营谁负责”，将吉能电厂二次系统安全防护工作及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。2.6.2建立电力二次系统安全评估制度，采取以自评估为主、联合评估为辅的方式，将电力二次系统安全评估纳入电力系统安全评价体系。2.6.3建立健全电力二次系统安全的联合防护和应急机制，制定应急预案。电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。2.6.4电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证其所提供的设备及系统符合本规定的要求，并在设备及系统的生命周期内对此负责。2.6.5吉能电厂二次系统安全防护实施方案经过上级信息安全主管部门和相应电力调度机构的审核，方案实施完成后应当由上述机构验收。3吉能电厂二次系统安全防护的应急预案3.1应急力量的组成、各自的应急能力及分布情况：应急力量由当班值长、当班运行人员、检修人员等组成。现场运行人员主要负责巡视检查设备、在值长的指浙江琥珀（安吉）燃机热电有限公司5令下进行电力二次系统的恢复、检查及监视故障情况和影响范围，同时应做好现场汇报联系工作，检修人员负责配合运行人员处理恢复过程中遇到的设备缺陷，保证在最短的时间内恢复电力二次系统运行。3.2上级应急机构或社会的可用应急资源情况：本省电力调度中心与集团归口部门。3.3危险分析3.3.1吉能电厂正常运行方式：吉能电厂正常运行有属于发电厂的控制区（I区）的机组控制系统DCS、调速系统和自动发电控制功能AGC、励磁系统和无功电压控制功能、网络监控系统NCS、各种控制装置、五防系统等；另正常运行属于发电厂的非控制区（II区）的电能量采集装置、继电保护管理终端、故障录波装置、调度指令下发系统等。3.3.2可能造成吉能电厂二次系统安全防护危险源主要有：自然灾害袭击，如水灾、火灾、地震和雷击；电子化系统故障，如硬件故障、软件故障、网络故障和电力系统故障、职员无意识行为，如编程错误、误操作、无意损坏和无意泄密；人为蓄意破坏，如非法访问、非法调用、篡改数据，病毒，恶意攻击。3.3.3电力二次系统故障对设备造成的危害和应采取的措施：因黑客、病毒、恶意代码等各种形式的恶意破坏和攻击以及系统设备故障，可能造成电力二次系统的崩溃或瘫痪，以及由此可能造成电力系统事故或大面积停电事故；鉴于电力二次系统故障的危害性我们应建立健全分级负责的安全防护责任制度，确定单位主要负责人为安全防护第一责任人；制定安全应急措施和故障恢复措施，在关键部位配备攻击监测或告警设施，提高安全防护的主动性；进行数据与系统备份及设备备用；对主机进行安全配置、安全补丁、加固；对传统专线RTU，保护装置，安控装置通道上数据进行加密保护，防止篡改数据，3.4应急保障3.4.1机构与职责3.4.1.1吉能电厂设立安全紧急处理小组（以下简称紧急处理小组）组长：总经理(盛树浩)副组长：安全专职（徐立）成员：技术管理部经理（葛海春）、生产发电部（韩国华）、当值值长、办公室主任（付立芳）3.4.2各部门主要负责人联系电话见附件。3.5管理职责3.5.1安全紧急处理小组浙江琥珀（安吉）燃机热电有限公司63.5.1.1对电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等内容全面负责，严格遵守《吉能电厂二次系统安全防护规定》的要求。3.5.1.2制定公司二次系统安全防护技术规范和各项管理制度，并监督实施。3.5.1.3建立健全公司二次系统安全联合防护和应急机制，制定应急方案与考核办法，应对电力二次系统各种突发事故。3.5.1.4负责公司电力二次系统安全事件的考核。3.5.2安全专职3.5.2.1负责吉能电厂二次系统安全防护应急时协调监督各应急部门人员到位3.5.2.2监督方案的执行3.5.2.3督促方案的编制3.5.2.4组织、督促方案的演习3.5.3生产技术管理部3.5.3.1负责吉能电厂二次系统安全防护事故中的应急指挥和处理3.5.3.2根据现场情况，保障对备品备件的供应3.5.3.3负责制定实施电力二次系统内各项业务系统的具体安全防护技术措施。3.5.3.4负责公司电力二次系统安全措施的实施监督。3.5.3.5负责公司电力二次系统安全事件的组织调查和上报。3.5.3.6负责控制区（I区）各个生产系统和非控制区（II区）的电能量采集装置、故障录波装置等生产系统的日常维护和定期检测，及时发现不安全问题或异常情况，并负责检修维护处理。3.5.3.7负责相关二次系统备品备件的保管和充实，以确保监控系统的安全正常运行。3.5.3.8负责相关二次系统安全防护措施的具体实施工作。3.5.3.9负责全厂应急事故方案的演习浙江琥珀（安吉）燃机热电有限公司73.5.3.10负责监视控制区（I区）各个生产系统的运行状况，及时发现不安全事件或异常情况。3.5.3.11当发现控制区生产系统出现不安全事件或异常情况时，发现人员应立即将事件通知值长，并按运行规程及时做好相关问题的应急处理。3.5.3.12根据发现的电力二次系统安全事故情况，当班值长立即通知公司领导及相关部门并向省调通信中心报告，同时决策和启动电力二次系统防护应急方案，统一组织和指挥紧急应变工作。3.5.3.13负责监视非控制区（II区）的电力市场相关系统的运行状况，及时发现不安全事件或异常情况，并及时通知生产技术部处理。3.6办公室的应急职责3.6.1应急中负责对外联系工作。3.6.2配合好生产发电部的应急工作，做好相关辅助应急措施。3.7物资与装备物资与装备（见附件）3.8通信与信息事故发生后，运行值班人员应利用已有的调度电话、程控