一、总则
为满足风电、光伏快速发展和大规模并网需要,有效治理并网新能源场站电力监控系统涉网安全防护问题,指导公司调控机构做好涉网安全防护技术监督,制定本方案。
本方案是在《电力监控系统安全防护总体方案》、《发电厂监控系统安全防护方案》(国能安全〔2015〕36 号)等行业文件的基础上,补充完善了新能源场站第三方边界、终端通信安全、安全接入区、监测应急等方面的要求,适用于并网风电场、光伏电站,以及通过数据网络与其生产控制大区相连接的汇集站及集控中心。
方案未及内容,应遵照《中华人民共和国网络安全法》、
《电力监控系统安全防护规定》、《信息安全等级保护管理办法》、《电力监控系统安全防护总体方案》等国家法律法规和行业规范执行。
二、安全分区及边界防护1.安全分区
新能源场站电力监控系统原则上划分为生产控制大
区和管理信息大区。根据业务功能可能对一次设备造成的影响,生产控制大区可进一步划分为控制区(安全Ⅰ区)和非控制区(安全Ⅱ区),管理信息大区可进一步划分为安全Ⅲ区和安全Ⅳ区。生产控制大区内业务系统使用公用通信网络、无线通信网络以及其他安全不可控网络与终端进行通信的,应设立安全接入区。
新能源场站电力监控系统原则上应严格遵循安全分区的部署要求。对于装机规模较小的场站,可在保持生产控制大区与管理信息大区之间物理隔离的前提下,简化两个大区内部的分区,但低安全区的系统和功能应按照高安全等级分区的要求进行管理。
不同安全分区的交换机或相当功能的网络设备,必须单独使用,严禁通过划分 VLAN 的方式将不同安全分区的设备接入同一交换机。
不同分区的设备必须连接到不同的网段,严禁主机设备通过双网卡等手段实现跨区连接。同一安全区内部不同业务系统进行数据交互时,应采取 VLAN 划分、访问控制等安全措施,控制交互的规模和频度,禁用 E-Mail、RLOGIN、FTP 等公共服务,控制区内禁止通用的 WEB 服务。
不同分区的设备不宜安装在同一屏柜内,确需组装在同一屏柜的,设备及网线必须要有明显规范的分区标识。
2.横向边界防护(1)生产控制大区与管理信息大区的边界防护生产控制大区与管理信息大区之间必须采取物理隔离措施,部署经国家指定部门检测认证的电力专用横向单向隔离装置。信息由生产控制大区传输到管理信息大区必须经过正向型隔离装置,信息由管理信息大区传输到生产控制大区必须经过反向型隔离装置。(2)安全Ⅰ区与安全Ⅱ区之间的边界防护生产控制大区分设安全Ⅰ区与Ⅱ区的,Ⅰ区与Ⅱ区之间的数据通信应采取逻辑隔离措施,边界上应部署硬件防火墙或功能相当的设备。防火墙相关功能、性能必须经过国家指定机构的认证和检测。(3)安全Ⅲ区与安全Ⅳ区之间的边界防护安全Ⅲ区与安全Ⅳ区之间的边界处必须部署硬件防火墙或功能相当的设备,防火墙的安全策略应采用白名单方式,禁止开启与业务无关的地址和服务端口。与生产管理无关的办公业务或生活网络应划分到安全Ⅳ区。
3.纵向边界防护
(1)新能源场站生产控制大区在调度数据网入口的纵向边界,必须配备电力专用纵向加密认证装置,实现双向身份认证、访问控制和数据加密。纵向加密认证装置的隧道配置策略应细化至 IP 地址和服务端口,保证与主站的数据通信均为密通状态,并全面关闭不必要的服务和端口。场站侧纵向加密认证装置必须使用调控机构签发的调度数字证书,并接入调控机构网络安全管理平台。
(2)新能源发电企业若采用汇聚站对区域内多个场站进行集中监视时,应通过专用网络组网并在场站纵向连接处部署电力专用纵向加密认证装置或加密认证网关。
(3)新能源场站要制定运行管理制度,加强纵向加密认证装置的操作员卡(包括主卡及备卡)、Ukey 等身份认证工具的使用与管理,保证调试工作结束后及时收回并妥善保管相关卡证。
(4)接入调度数据网的路由器、交换机必须采取有效的安全加固措施,关闭通用网络服务和网络边界的 OSPF 路由功能,避免使用默认路由,采用安全增强的 SNMP V2 及以上版本的网管协议,密码强度应满足国家规定要求,开启访问控制列表等安全措施。
4.其他网络边界的安全防护
新能源场站与远程集控中心、远程监视中心、设备制造厂商的纵向边界安全防护实施方案必须经调控机构审核, 安全设备配置策略必须经过现场验证确认安全。
(1)新能源发电企业远程集控中心与站端监控系统的数据传输通道,必须在物理层面实现与其他数据网络的安全隔离,应采用基于 SDH/PDH(推荐使用 SDH)不同通道、不同光波长、不同纤芯等方式的专用独立网络。当采用 EPON、GPON 或光以太网络等技术时应使用独立纤芯或波长。场站与集控中心纵向连接处应当设置经国家指定部门检测认证的电力专用加密认证装置或者加密认证网关,实现双向身份认证、访问控制和数据加密。远程集控中心监控系统严格遵守《电力监控系统安全防护规定》及其配套文件的要求,并按照等保三级系统进行规划、建设、运维和管理。
(2)新能源企业远程监视中心(具备场站数据的采集、监视和收集功能,但不具备控制功能),原则上应遵循与远程集控中心相同的网络和安全防护要求。如若通过运营商专用网络或 VPN 通道进行数据传输,必须在场站生产控制大区出口处部署电力专用横向单向隔离装置(正向型),实现数据从生产控制大区向外部的安全单向传输,禁止数据从外部向生产控制大区传输、开展远程控制和运维业务。
(3)严格控制新能源场站生产控制大区与设备厂商之间的网络连接。确需将设备运行数据发送给设备厂商的,需在明确数据使用范围的前提下,设立专用服务器,并经过电力专用正向型隔离装置实现数据从生产控制大区向外部的安全单向传输。禁止数据从外部向生产控制大区传输、开展远程控制和运维业务。
(4)网络边界部署的安防设备(防火墙、正向隔离装置、纵向加密认证装置等)应按照最小化原则配置安全策略。
(5)严格保证与调控机构通信的采集服务器的独立性,严禁将其用于给非调控机构的其他单位转发数据。
5.就地终端接入防护
(1)新能源场站须加强户外就地采集终端(如风机控制终端、光伏发电单元测控终端等)的物理防护,强化就地采集终端的通信安全。站控系统与终端之间网络通信应部署加密认证装置,实现身份认证、数据加密、访问控制等安全措施。终端连接的网络设备需采取 IP/MAC 地址绑定等措施,禁止外部设备的接入,防止单一风机或光伏发电单元的安全风险扩散到站控系统。
(2)生产控制大区严禁任何具有无线通信功能设备的直接接入。站控系统与就地终端的连接使用无线通信网或者基于外部公用数据网的虚拟专用网络(VPN)等的,应当设立安全接入区。安全接入区与生产控制大区连接处应部署电力专用单向隔离装置,实现内外部的有效隔离。
三、综合安全防护管理1.新能源场站应按照现场实际的网络拓扑和安全设备部署情况,编制新能源场站电力监控系统安全防护实施方案并提交审核,网络结构变更或业务系统增加时,应及时修订安全防护实施方案并重新提交审核。2.新能源场站应严格落实用户身份认证、权限合理划分要求,实施用户的实名制和身份的安全认证。严禁网络设备、服务器、工作站、安全设备使用默认用户和口令。3.新能源场站应建立电力监控系统安全防护日常巡视制度。现场运维工作需严格履行工作票制度,并做好安全措施,禁生产控制大区随意接入移动介质和便携式电脑。严禁运维过程中出现跨区直连、生产控制大区设备接入互联网、停运安防设备、开启空闲端口等行为。4.新能源场站应按照《电力行业信息安全等级保护管理办法》要求,及时到公安机构开展电力监控系统定级备案;选择具有国家认可资质的测评机构,开展电力监控系统等级保护测评及安全防护评估,及时整改测评或评估发现的问题。5.生产控制大区涉网部分的服务器、工作站、路由器等设备,应使用安全操作系统并加强安全配置管理。对于已经运行且使用非安全操作系统的设备,要采取防病毒、加强配置管理、强化访问控制等安全加固措施,并结合后续技术改造升级更换为安全操作系统。6.生产控制大区中的业务系统应选用符合国家安全要求、无安全漏洞的产品,相关设备应通过相关部门指定的入网检测。四、监测与应急1.新能源场站应按照国家主管部门要求,在站内部署网络安全监视手段,实现涉网主机设备(包括服务器、工作站、网络设备、安全防护设施等)网络安全的实时监视、告警、分析和审计,并将重要告警信息接入相应的调控机构。2.新能源场站要制定切实可行的安全防护应急预案,定期开展应急演练,提高网络安全应急事件的处置能力。3.健全厂网联动的网络安全应急处置机制,当站内遭受网络攻击、发生网络安全事件时,应立即向相关调控机构报告, 并按应急预案采取应急处置措施,防止事态扩大。
