Ⅰ 電網和電廠計算機監控系統及調度數據網路安全防護規定
第一條 為防範對電網和電廠計算機監控系統及調度數據網路的攻擊侵害及由此引起的電力系統事故,保障電力系統的安全穩定運行,建立和完善電網和電廠計算機監控系統及調度數據網路的安全防護體系,依據全國人大常委會《關於維護網路安全和信息安全的決議》和《中華人民共和國計算機信息系統安全保護條例》及國家關於計算機信息與網路系統安全防護的有關規定,制定本規定。第二條 本規定適用於與電力生產和輸配過程直接相關的計算機監控系統及調度數據網路。
本規定所稱「電力監控系統」,包括各級電網調度自動化系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電網自動化系統、微機保護和安全自動裝置、水調自動化系統和水電梯級調度自動化系統、電能量計量計費系統、實時電力市場的輔助控制系統等;「調度數據網路」包括各級電力調度專用廣域數據網路、用於遠程維護及電能量計費等的調度專用撥號網路、各計算機監控系統內部的本地區域網絡等。第三條 電力系統安全防護的基本原則是:電力系統中,安全等級較高的系統不受安全等級較低系統的影響。電力監控系統的安全等級高於電力管理信息系統及辦公自動化系統,各電力監控系統必須具備可靠性高的自身安全防護設施,不得與安全等級低的系統直接相聯。第四條 電力監控系統可通過專用區域網實現與本地其他電力監控系統的互聯,或通過電力調度數據網路實現上下級異地電力監控系統的互聯。各電力監控系統與辦公自動化系統或其他信息系統之間以網路方式互聯時,必須採用經國家有關部門認證的專用、可靠的安全隔離設施。第五條 建立和完善電力調度數據網路,應在專用通道上利用專用網路設備組網,採用專線、同步數字序列、准同步數字序列等方式,實現物理層面上與公用信息網路的安全隔離。電力調度數據網路只允許傳輸與電力調度生產直接相關的數據業務。第六條 電力監控系統和電力調度數據網路均不得和互聯網相連,並嚴格限制電子郵件的使用。第七條 建立健全分級負責的安全防護責任制。各電網、發電廠、變電站等負責所屬范圍內計算機及信息網路的安全管理;各級電力調度機構負責本地電力監控系統及本級電力調度數據網路的安全管理。
各相關單位應設置電力監控系統和調度數據網路的安全防護小組或專職人員,相關人員應參加安全技術培訓。單位主要負責人為安全防護第一責任人。第八條 各有關單位應制定切實可行的安全防護方案,新接入電力調度數據網路的節點和應用系統,須經負責本級電力調度數據網路機構核准,並送上一級電力調度機構備案;對各級電力調度數據網路的已有節點和接入的應用系統,應當認真清理檢查,發現安全隱患,應盡快解決並及時向上一級電力調度機構報告。第九條 各有關單位應制定安全應急措施和故障恢復措施,對關鍵數據做好備份並妥善存放;及時升級防病毒軟體及安裝操作系統漏洞修補程序;加強對電子郵件的管理;在關鍵部位配備攻擊監測與告警設施,提高安全防護的主動性。在遭到黑客、病毒攻擊和其他人為破壞等情況後,必須及時採取安全應急措施,保護現場,盡快恢復系統運行,防止事故擴大,並立即向上級電力調度機構和本地信息安全主管部門報告。第十條 與電力監控系統和調度數據網路有關的規劃設計、工程實施、運行管理、項目審查等都必須嚴格遵守本規定,並加強日常安全運行管理。造成電力監控系統或調度數據網路安全事故的,給予有關責任人行政處分;造成嚴重影響和重大損失的,依法追究其相應的法律責任。第十一條 本規定施行後,各有關單位要全面清理和審查現行相關技術標准,發現與本規定不一致或安全防護方面存在缺陷的,應及時函告國家經貿委;屬於企業標準的,應由本企業及時予以修訂。第十二條 本規定由國家經貿委負責解釋。第十三條 本規定自2002年6月8日起施行。
Ⅱ 電力無線網路
無線網路在電力企業的應用
2.1企業區域網
南京供電公司在2002年進行了市公司生產調度大樓的改造,採用了大開間的辦公格局,將各部室的辦公地點進行了重新安排。同時在綜合布線的基礎上,使用了無線組網的技術,通過安裝AP和PCMCIA無線網卡或USB無線網卡,在公司內部架構起無線區域網,使得辦公區、會議室、會客室、展示廳及休息區都可以移動上網,為移動辦公創造了條件。
一開始南京供電公司無線網路是在11M AP的基礎上建立起來,經過勘察和測試後發現在每個樓層只需要部署2個無線AP,就可以把無線信號覆蓋到整個樓層。
由於無線網路的覆蓋范圍廣,而且用戶不需要雙絞線等其他輔助設備就可以進行網路接入,因此在網路的安全管理方面尤為重要。對於南京供電公司的無線網路,我們採取了以下的安全管理方案:
· 用戶許可權和網路訪問控制
根據實際的業務需要,採用了MAC地址綁定方式,只有指定的MAC地址,並通過對應的用戶名和密碼進行認證,才能合法接入網路,對南京供電公司的網路資源進行訪問。
· 用戶管理
用戶管理是一個基於WEB方式的管理員界面,在其中可以添加新用戶,添加新的用戶組別,修改用戶屬性以及修改用戶組的屬性,另外,可以對每個用戶是否允許使用VPN、是否需要進行MAC地址的驗證等內容進行設置。
同時我們還記錄用戶上網日誌,日誌包括用戶名、目的IP地址、訪問時間、用戶的主機IP地址、MAC地址、VLAN接入位置等信息。用戶訪問日誌可以記錄用戶的整個網上活動過程,便於追查惡意用戶的物理位置,實現網路的安全控制。
· 無線網路設備管理
為了便於對整個無線網路進行有效的管理,我們建立了一個管理平台,提供對無線接入控制伺服器(AC)和無線接入點(AP)的管理。對AC的管理包括對AC運行等參數的配置,各模塊運行狀況監控等;對無線接入點的管理包括掃描指定網段的所有AP,實時報告所有AP運行狀態,發現非法AP立即報警,群組更改AP的設置,如ESSID等,以便對所有AP進行集中化的管理。
在南京供電公司區域網採用無線網路技術之後,由於貫徹國家電網公司的改革方案,南京供電公司進行了多次的部室改建、部室辦公地點的搬遷、人員的變動等。而由於採用了無線網路技術,我們很好了解決了由於上述變動而造成的網路結構和接入點的更改。
2.2無人值班變電站應用
隨著計算機技術、網路通訊技術以及電力系統保護及自控技術的發展,變電站的自動化水平不斷提高,大大減少了人為操作事故,使變電站的無人值守逐步變成了可能,並已成為電力系統的發展趨勢。
隨著南京供電公司無人值守變電站技術改造的不斷發展,各變電站都配備了變電運行管理系統、遠程圖像監控系統和電能量採集系統等。這些系統都需要聯接電力信息網,實現聯網運行、遠程數據採集與實時控制等功能。
無人值守變電站的網路建設的關鍵在於是站內的網路敷設,目前南京供電公司的35kV以上的變電站都已實現了光纖聯網,但在變電站內部的綜合布線上則有所欠缺。加之老變電站重新布線的施工難度較大,存在不安全因數,因此,在變電站採用無線網路技術,可大大方便變電站網路的接入。
南京供電公司變電站採用的無線接入設備提供11Mbps/54Mbps的可用帶寬,可以滿足變電站遠程監控、電能數據採集以及MIS應用的需求。
系統特點:
1、替代了雙絞線和同軸細纜布線,降低了網路建設成本; 2、工程建設難度大大降低,工期也大為縮短; 3、擴展性好,可方便的隨時增加網路接入點; 4、可靈活方便地進行安裝部署;
Ⅲ 電力監控系統網路安全管理平台已經部署在哪些調度機構
變電站、發電廠。電力監控系統網路安全管理平台已經部署在變電站、發電廠調度機構,實現對本地電力監控系統內監測對象的數據採集與處理。