国家能源集团电力产业技术监督实施细则-第18部分 火电产业生产监控系统安全防护技术监督.pdfVIP

国家能源集团电力产业技术监督实施细则 第18部分 火电产业生产监控系统安全防护技术监督 1 范围 本标准规定了生产监控系统安全防护技术监督的监督范围、主要指标、监督内容等基本要求。 本标准适用于国家能源集团火电机组（含自备电站）的生产监控系统安全防护技术监督工作。 2 规范性引用文件 本细则引用了附录A中的文件和标准。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 3 总则 3.1 为了加强火电企业生产监控系统安全防护，抵御黑客及恶意代码等对火电企业生产监控系统 发起的攻击和侵害，以及其它非法操作，防止火电企业生产监控系统瘫痪和失控和由此导致的火 电企业系统事故和其他事故，制定本细则。 3.2 生产监控系统安全防护工作应坚持“安全分区、网络专用、横向隔离、纵向认证、综合防护” 的原则，保障生产监控系统的安全，并按照统一标准和分级管理的原则，实行从设计、制造、监 造、施工、调试、试运、运行、检修、技改、停备的全过程、全方位技术监督。 3.3 根据不同安全区域的安全防护要求，确定其安全等级和防护水平。系统定级按GB/T 37138 以及国家能源集团公司火电厂监控系统网络安全防护规范进行定级。 4 监督范围及主要指标 4.1 监督范围 生产控制大区的生产监控系统，包括用于监视和控制电力生产及供应过程的、基于计算机及 网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络和作为防护目的的软件及 装置等。 4.2 主要指标 表1 主要监督指标 监督项目 单位 指标 等保定级为3的系统每月断网次数 次/台·月 0 1 每月关键业务主机系统瘫痪死机 次/台·月 0 5 主要监督内容 5.1 安全分区 5.1.1 按照业务系统的重要性和对生产系统的影响程度将生产控制大区划分为控制区 （安全区 I）及非控制区 （安全区II），重点保护生产控制及直接影响电力生产 （机组运行）的系统。 5.1.2 根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统的 相互关系、广域网通信方式以及对生产的影响程度等，将业务系统置于相应的安全区。 5.1.3 火电厂的生产监控系统安全分区表可根据本厂实际情况，参照附录A编制。 5.2 网络专用 5.2.1 电力调度数据网是与生产控制大区相连接的专用网络，承载电力实时控制、在线生产交易 等业务。火电企业端的电力调度数据网应在专用通道上使用独立的网络设备组网，在物理层面上 实现与电力企业其它数据网及外部公共信息网的安全隔离。火电企业端的电力调度数据网应划分 为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。 5.2.2 对不具备建立调度数据网的小型火电厂，可以通过拨号、无线等方式接入相应调度机构的 安全接入区，其他火电厂禁止使用远程拨号方式与调度端进行数据通信。 5.2.3 如果生产控制大区内个别业务系统或其功能模块 （或子系统）需使用公用通信网络、无线 通信网络以及处于非可控状态下的网络设备与终端等进行通信，其安全防护水平低于生产控制大 区内其他系统时，应设立安全接入区。安全接入区不是独立分区，与生产控制大区相连时，应采 用电力专用横向单向安全隔离装置进行集中互联，见附录B。 5.3 横向隔离 5.3.1 横向隔离是生产监控系统安全防护体系的横向防线。火电厂生产控制大区与管理信息大区 之间连接的拓扑结构有链式、三角和星型结构三种。链式结构中的控制区具有较高的累积安全强 度，但总体层次设备较多，适合信息化程度较好的电厂；三角结构各区可直接相连，效率较高， 但所用隔离设备较多，适合临时增加的生产监控系统与管理信息大区相连；星型结构所用设备较 少，易于实施，但中心点故障影响范围大，适合小型发电厂。三种模式均能满足生产监控系统安 全防护体系要求，可根据具体情况选用，见附录C。 5.3.2 在生产控制大区与管理信息大区之间