Ⅰ 电网和电厂计算机监控系统及调度数据网络安全防护规定
第一条 为防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行,建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系,依据全国人大常委会《关于维护网络安全和信息安全的决议》和《中华人民共和国计算机信息系统安全保护条例》及国家关于计算机信息与网络系统安全防护的有关规定,制定本规定。第二条 本规定适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。
本规定所称“电力监控系统”,包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等;“调度数据网络”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。第三条 电力系统安全防护的基本原则是:电力系统中,安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。第四条 电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。第五条 建立和完善电力调度数据网络,应在专用通道上利用专用网络设备组网,采用专线、同步数字序列、准同步数字序列等方式,实现物理层面上与公用信息网络的安全隔离。电力调度数据网络只允许传输与电力调度生产直接相关的数据业务。第六条 电力监控系统和电力调度数据网络均不得和互联网相连,并严格限制电子邮件的使用。第七条 建立健全分级负责的安全防护责任制。各电网、发电厂、变电站等负责所属范围内计算机及信息网络的安全管理;各级电力调度机构负责本地电力监控系统及本级电力调度数据网络的安全管理。
各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员,相关人员应参加安全技术培训。单位主要负责人为安全防护第一责任人。第八条 各有关单位应制定切实可行的安全防护方案,新接入电力调度数据网络的节点和应用系统,须经负责本级电力调度数据网络机构核准,并送上一级电力调度机构备案;对各级电力调度数据网络的已有节点和接入的应用系统,应当认真清理检查,发现安全隐患,应尽快解决并及时向上一级电力调度机构报告。第九条 各有关单位应制定安全应急措施和故障恢复措施,对关键数据做好备份并妥善存放;及时升级防病毒软件及安装操作系统漏洞修补程序;加强对电子邮件的管理;在关键部位配备攻击监测与告警设施,提高安全防护的主动性。在遭到黑客、病毒攻击和其他人为破坏等情况后,必须及时采取安全应急措施,保护现场,尽快恢复系统运行,防止事故扩大,并立即向上级电力调度机构和本地信息安全主管部门报告。第十条 与电力监控系统和调度数据网络有关的规划设计、工程实施、运行管理、项目审查等都必须严格遵守本规定,并加强日常安全运行管理。造成电力监控系统或调度数据网络安全事故的,给予有关责任人行政处分;造成严重影响和重大损失的,依法追究其相应的法律责任。第十一条 本规定施行后,各有关单位要全面清理和审查现行相关技术标准,发现与本规定不一致或安全防护方面存在缺陷的,应及时函告国家经贸委;属于企业标准的,应由本企业及时予以修订。第十二条 本规定由国家经贸委负责解释。第十三条 本规定自2002年6月8日起施行。
Ⅱ 电力无线网络
无线网络在电力企业的应用
2.1企业局域网
南京供电公司在2002年进行了市公司生产调度大楼的改造,采用了大开间的办公格局,将各部室的办公地点进行了重新安排。同时在综合布线的基础上,使用了无线组网的技术,通过安装AP和PCMCIA无线网卡或USB无线网卡,在公司内部架构起无线局域网,使得办公区、会议室、会客室、展示厅及休息区都可以移动上网,为移动办公创造了条件。
一开始南京供电公司无线网络是在11M AP的基础上建立起来,经过勘察和测试后发现在每个楼层只需要部署2个无线AP,就可以把无线信号覆盖到整个楼层。
由于无线网络的覆盖范围广,而且用户不需要双绞线等其他辅助设备就可以进行网络接入,因此在网络的安全管理方面尤为重要。对于南京供电公司的无线网络,我们采取了以下的安全管理方案:
· 用户权限和网络访问控制
根据实际的业务需要,采用了MAC地址绑定方式,只有指定的MAC地址,并通过对应的用户名和密码进行认证,才能合法接入网络,对南京供电公司的网络资源进行访问。
· 用户管理
用户管理是一个基于WEB方式的管理员界面,在其中可以添加新用户,添加新的用户组别,修改用户属性以及修改用户组的属性,另外,可以对每个用户是否允许使用VPN、是否需要进行MAC地址的验证等内容进行设置。
同时我们还记录用户上网日志,日志包括用户名、目的IP地址、访问时间、用户的主机IP地址、MAC地址、VLAN接入位置等信息。用户访问日志可以记录用户的整个网上活动过程,便于追查恶意用户的物理位置,实现网络的安全控制。
· 无线网络设备管理
为了便于对整个无线网络进行有效的管理,我们建立了一个管理平台,提供对无线接入控制服务器(AC)和无线接入点(AP)的管理。对AC的管理包括对AC运行等参数的配置,各模块运行状况监控等;对无线接入点的管理包括扫描指定网段的所有AP,实时报告所有AP运行状态,发现非法AP立即报警,群组更改AP的设置,如ESSID等,以便对所有AP进行集中化的管理。
在南京供电公司局域网采用无线网络技术之后,由于贯彻国家电网公司的改革方案,南京供电公司进行了多次的部室改建、部室办公地点的搬迁、人员的变动等。而由于采用了无线网络技术,我们很好了解决了由于上述变动而造成的网络结构和接入点的更改。
2.2无人值班变电站应用
随着计算机技术、网络通讯技术以及电力系统保护及自控技术的发展,变电站的自动化水平不断提高,大大减少了人为操作事故,使变电站的无人值守逐步变成了可能,并已成为电力系统的发展趋势。
随着南京供电公司无人值守变电站技术改造的不断发展,各变电站都配备了变电运行管理系统、远程图像监控系统和电能量采集系统等。这些系统都需要联接电力信息网,实现联网运行、远程数据采集与实时控制等功能。
无人值守变电站的网络建设的关键在于是站内的网络敷设,目前南京供电公司的35kV以上的变电站都已实现了光纤联网,但在变电站内部的综合布线上则有所欠缺。加之老变电站重新布线的施工难度较大,存在不安全因数,因此,在变电站采用无线网络技术,可大大方便变电站网络的接入。
南京供电公司变电站采用的无线接入设备提供11Mbps/54Mbps的可用带宽,可以满足变电站远程监控、电能数据采集以及MIS应用的需求。
系统特点:
1、替代了双绞线和同轴细缆布线,降低了网络建设成本; 2、工程建设难度大大降低,工期也大为缩短; 3、扩展性好,可方便的随时增加网络接入点; 4、可灵活方便地进行安装部署;
Ⅲ 电力监控系统网络安全管理平台已经部署在哪些调度机构
变电站、发电厂。电力监控系统网络安全管理平台已经部署在变电站、发电厂调度机构,实现对本地电力监控系统内监测对象的数据采集与处理。