电力二次系统安全防护处置方案
一、 总则
为保证电力系统的安全稳定运行,当“黑客及恶意代码对电力二次系统的攻击侵害及由此引发电力系统事故,能迅速采取紧急防护措施,有效地控制事态发展,防止事件扩大。
根据《电力二次系统安全防护规定》(国家电力监管委员会〔2004〕第5号令)、《全国电力二次系统安全防护总体方案》(第7稿)、《关于河南电网二次系统安全防护工作的实施意见》(豫电〔2003〕953号)以及《关于进一步加强河南电网直调电厂二次系统安全防护工作的通知》(调〔2008〕22号)等相关文件的要求制定本方案。
本预案适用于郑新公司“电力二次系统出现安全事件”突发性事件的处理。
二、 事件特征
(一) 可能发生危险的区域
1. 控制区(安全I 区):郑新公司运行的监控系统主要有#1、2、3、
— 1 —
4、5机DCS 系统、热网DCS 系统、#1、2、3、4、5机组脱硫设施DCS 系统、干除灰控制系统、五、六期水处理控制系统、#3、#4、#5炉布袋除尘器控制系统。以及调度专网网络设备:#01、#02高备变、建大1、I 建徐、V 建徐、建221、建222、建223、建224电量计费子站。#1、2、3、4、5机功角测量、#1~2机远动RTU 、#3~5机远动RTU 、#1、2、#4、#5机AGC/AVC、全厂故障信息管理子站。
2. 非控制区(安全II 区):主要市场报价终端系统、#3、#4、#5机线路故障录波器。
3. 安全Ⅳ区::信息管理系统(MIS )、办公自动化(OA ) (二)、事故征兆
1. 信息完整性破坏,通过网上信息截获手段,获得信息后,对信息进行篡改、插入、删除,然后再转发出去。对控制、调度、信息系统的信息进行完整性破坏,从而骗取系统控制模块和权限控制模块进行错误的处理。
2. 恶意代码攻击,其中包括缓冲区溢出攻击、特洛伊木马攻击、病毒
— 2 —
攻击。
3. 拒绝服务攻击,拒绝服务攻击主要通过大量占用有限的系统资源,导致正常用户无法访问系统服务。拒绝服务攻击并不以侵入主机、窃取数据为目的,是纯粹的破坏型攻击。
4. 关键组件失效,关键组件包括系统内部组件(主机节点、存储、软件构件等) 和系统依赖的外部组件(路由器、网络线路等) 。关键组件失效可能是由于软件设计错误、硬件故障、人为误操作等原因引起。关键组件失效将造成服务中断、数据丢失等危害。
三、应急组织及职责
(一)电力二次系统安全防护处置组织机构
1.成立电力二次系统安全防护工作领导小组,负责公司电力二次系统安全防护的监管。
组长:程和平
副组长:章建民
组员: 李明 杨开国 崔建 周方
— 3 —
2. 成立电力二次系统安全防护工作小组,负责公司电力二次系统日常防护工作,执行领导小组的指令,制定技术规范并监督实施。
组长:杨开国
副组长:田志东 王永忠 张中伟
组员:李瑞 董欣 贺艳华 陈疆 付强
3. 职责
(1)领导小组组长作为郑新公司电力二次系统安全防护第一责任人。 (2)工作小组组长负责管理电力二次系统的安全管理监督. (3)热工队负责#1、2、3、4、5机DCS 系统、热网DCS 系统、五、六期水处理控制系统、#1、2、3、4、5机组脱硫DCS 系统、#3、4、5炉布袋除尘器控制系统。
(4)电气队负责#1、2、3、4、5机AGC/AVC、全厂故障信息管理子站和建新220母线故障录波器、#3、#4、#5机线路故障录波器、I 建徐1、建大1、V 建徐1、高备变电费计量子站、#1、2、3、4、5机功角测量装置、#1~2机RTU 、#3~5机RTU 。
— 4 —
(5)信息中心负责市场报价终端系统和管理信息系统(MIS )、办公自动化系统(OA )、公共安全设施。
(6)除灰分场负责干除灰控制系统。
(二)各应用系统应指定负责人管理
— 5 —
(三)权限管理
1. 所有DCS 系统、热网DCS 系统、干除灰控制系统、五、六期水处理控制系统、#3、4、5炉布袋除尘器控制系统按照系统软件用户级别进行权限管理,用户定义:工程师级和操作员级,运行人员为操作员级,检修人员按照授权级别使用。
2. AGC/AVC、线路故障录波器、电费计量子站、功角测量、RTU 由电气队设备负责人进行操作, 其他人员禁止操作。
四. 应急处置 (一)信息中心
1. 信息中心管理人员一旦发现管理区及市场支持系统出现安全事件,应立即汇报信息中心主任、当值值长,经同意后断开生产控制区与管理区的数据连接.
— 6 —
2. 信息中心检查IDS 系统,查找攻击来源, 做出应对措施。 (二)检修部(电气、热工)
1. 检修人员在接到生产系统出现安全事件警报后,检查受攻击的系统 2. 受攻击的系统是从管理区进入, 尽快通知信息中心, 并断开生产控制区与管理区的数据连接.
3. 检查受攻击系统的功能, 尽快恢复. (三)发电部
1. 运行人员一旦发现生产控制区应用系统出现安全事件, 应立即汇报班长、当值值长,并保护好现场。
2. 当值值长应及时掌握电力二次系统出现的安全事件的动向, 及时向生产副总、中调汇报,当生产控制系统出现网络瘫痪或死机不能操作时,应申请停机,并组织好停机操作,确保机组安全停机。
(四)报告制度和启动程序
1. 当电力生产控制大区出现安全事件,尤其是遭受黑客或恶意代码的攻击时,防护小组相应设备的负责人员应立即向组长、副组长汇报,向值
— 7 —
长汇报并通知信息中心。值长接到报告应向上一级调度部门汇报,并提出预警. 向有关领导汇报,组织应急处理小组。
2. 启动程序
(1)值长接到报告后,应立即通知热工将电力二次系统网络与其它网络断开。
(2)值长做好无法接受调度指令的准备。
(3)值长命令运行人员按照生产控制系统DCS 应急予案,调整运行方式。
(4)值长通知当值值班人员在操作过程中密切注意系统运行情况。 (5)受攻击系统的负责人检查二次系统各项功能,评估受损情况。 (6)生产控制系统准备好重要数据的备份,必要时进行恢复。 (7)信息中心检查IDS 系统,查找攻击来源,根据受攻击情况,做出应对措施。
(8)信息中心根据事先列出可能受攻击部位清单,逐一检查,对受损系统进行恢复。
— 8 —
(9)受攻击的系统在恢复后进行测试,若正常才可投运。 五. 注意事项
机组运行时,生产控制系统所在室内不得使用手机,因检修需要必须使用对讲机时,对讲机距离系统机柜应保持1米以上距离。
六. 附件
(一)人员联系方式
(二) 网络拓扑图说明
图一:(1)安全I 区的业务系统 (2)安全IV 区的业务系统
(3)二者之间的数据联系及横向正向隔离装置
— 10 —
II 区的业务系统
— 11 —
图二、安全
图三:主要分区示意图
— 12 —
— 13 —
电力二次系统安全防护处置方案
一、 总则
为保证电力系统的安全稳定运行,当“黑客及恶意代码对电力二次系统的攻击侵害及由此引发电力系统事故,能迅速采取紧急防护措施,有效地控制事态发展,防止事件扩大。
根据《电力二次系统安全防护规定》(国家电力监管委员会〔2004〕第5号令)、《全国电力二次系统安全防护总体方案》(第7稿)、《关于河南电网二次系统安全防护工作的实施意见》(豫电〔2003〕953号)以及《关于进一步加强河南电网直调电厂二次系统安全防护工作的通知》(调〔2008〕22号)等相关文件的要求制定本方案。
本预案适用于郑新公司“电力二次系统出现安全事件”突发性事件的处理。
二、 事件特征
(一) 可能发生危险的区域
1. 控制区(安全I 区):郑新公司运行的监控系统主要有#1、2、3、
— 1 —
4、5机DCS 系统、热网DCS 系统、#1、2、3、4、5机组脱硫设施DCS 系统、干除灰控制系统、五、六期水处理控制系统、#3、#4、#5炉布袋除尘器控制系统。以及调度专网网络设备:#01、#02高备变、建大1、I 建徐、V 建徐、建221、建222、建223、建224电量计费子站。#1、2、3、4、5机功角测量、#1~2机远动RTU 、#3~5机远动RTU 、#1、2、#4、#5机AGC/AVC、全厂故障信息管理子站。
2. 非控制区(安全II 区):主要市场报价终端系统、#3、#4、#5机线路故障录波器。
3. 安全Ⅳ区::信息管理系统(MIS )、办公自动化(OA ) (二)、事故征兆
1. 信息完整性破坏,通过网上信息截获手段,获得信息后,对信息进行篡改、插入、删除,然后再转发出去。对控制、调度、信息系统的信息进行完整性破坏,从而骗取系统控制模块和权限控制模块进行错误的处理。
2. 恶意代码攻击,其中包括缓冲区溢出攻击、特洛伊木马攻击、病毒
— 2 —
攻击。
3. 拒绝服务攻击,拒绝服务攻击主要通过大量占用有限的系统资源,导致正常用户无法访问系统服务。拒绝服务攻击并不以侵入主机、窃取数据为目的,是纯粹的破坏型攻击。
4. 关键组件失效,关键组件包括系统内部组件(主机节点、存储、软件构件等) 和系统依赖的外部组件(路由器、网络线路等) 。关键组件失效可能是由于软件设计错误、硬件故障、人为误操作等原因引起。关键组件失效将造成服务中断、数据丢失等危害。
三、应急组织及职责
(一)电力二次系统安全防护处置组织机构
1.成立电力二次系统安全防护工作领导小组,负责公司电力二次系统安全防护的监管。
组长:程和平
副组长:章建民
组员: 李明 杨开国 崔建 周方
— 3 —
2. 成立电力二次系统安全防护工作小组,负责公司电力二次系统日常防护工作,执行领导小组的指令,制定技术规范并监督实施。
组长:杨开国
副组长:田志东 王永忠 张中伟
组员:李瑞 董欣 贺艳华 陈疆 付强
3. 职责
(1)领导小组组长作为郑新公司电力二次系统安全防护第一责任人。 (2)工作小组组长负责管理电力二次系统的安全管理监督. (3)热工队负责#1、2、3、4、5机DCS 系统、热网DCS 系统、五、六期水处理控制系统、#1、2、3、4、5机组脱硫DCS 系统、#3、4、5炉布袋除尘器控制系统。
(4)电气队负责#1、2、3、4、5机AGC/AVC、全厂故障信息管理子站和建新220母线故障录波器、#3、#4、#5机线路故障录波器、I 建徐1、建大1、V 建徐1、高备变电费计量子站、#1、2、3、4、5机功角测量装置、#1~2机RTU 、#3~5机RTU 。
— 4 —
(5)信息中心负责市场报价终端系统和管理信息系统(MIS )、办公自动化系统(OA )、公共安全设施。
(6)除灰分场负责干除灰控制系统。
(二)各应用系统应指定负责人管理
— 5 —
(三)权限管理
1. 所有DCS 系统、热网DCS 系统、干除灰控制系统、五、六期水处理控制系统、#3、4、5炉布袋除尘器控制系统按照系统软件用户级别进行权限管理,用户定义:工程师级和操作员级,运行人员为操作员级,检修人员按照授权级别使用。
2. AGC/AVC、线路故障录波器、电费计量子站、功角测量、RTU 由电气队设备负责人进行操作, 其他人员禁止操作。
四. 应急处置 (一)信息中心
1. 信息中心管理人员一旦发现管理区及市场支持系统出现安全事件,应立即汇报信息中心主任、当值值长,经同意后断开生产控制区与管理区的数据连接.
— 6 —
2. 信息中心检查IDS 系统,查找攻击来源, 做出应对措施。 (二)检修部(电气、热工)
1. 检修人员在接到生产系统出现安全事件警报后,检查受攻击的系统 2. 受攻击的系统是从管理区进入, 尽快通知信息中心, 并断开生产控制区与管理区的数据连接.
3. 检查受攻击系统的功能, 尽快恢复. (三)发电部
1. 运行人员一旦发现生产控制区应用系统出现安全事件, 应立即汇报班长、当值值长,并保护好现场。
2. 当值值长应及时掌握电力二次系统出现的安全事件的动向, 及时向生产副总、中调汇报,当生产控制系统出现网络瘫痪或死机不能操作时,应申请停机,并组织好停机操作,确保机组安全停机。
(四)报告制度和启动程序
1. 当电力生产控制大区出现安全事件,尤其是遭受黑客或恶意代码的攻击时,防护小组相应设备的负责人员应立即向组长、副组长汇报,向值
— 7 —
长汇报并通知信息中心。值长接到报告应向上一级调度部门汇报,并提出预警. 向有关领导汇报,组织应急处理小组。
2. 启动程序
(1)值长接到报告后,应立即通知热工将电力二次系统网络与其它网络断开。
(2)值长做好无法接受调度指令的准备。
(3)值长命令运行人员按照生产控制系统DCS 应急予案,调整运行方式。
(4)值长通知当值值班人员在操作过程中密切注意系统运行情况。 (5)受攻击系统的负责人检查二次系统各项功能,评估受损情况。 (6)生产控制系统准备好重要数据的备份,必要时进行恢复。 (7)信息中心检查IDS 系统,查找攻击来源,根据受攻击情况,做出应对措施。
(8)信息中心根据事先列出可能受攻击部位清单,逐一检查,对受损系统进行恢复。
— 8 —
(9)受攻击的系统在恢复后进行测试,若正常才可投运。 五. 注意事项
机组运行时,生产控制系统所在室内不得使用手机,因检修需要必须使用对讲机时,对讲机距离系统机柜应保持1米以上距离。
六. 附件
(一)人员联系方式
(二) 网络拓扑图说明
图一:(1)安全I 区的业务系统 (2)安全IV 区的业务系统
(3)二者之间的数据联系及横向正向隔离装置
— 10 —
II 区的业务系统
— 11 —
图二、安全
图三:主要分区示意图
— 12 —
— 13 —