Q／GDW 46 10025-2019 水电厂电力监控安全防护配置导则

5.3非控制区（安全区I）

D/GDW 46 10022. 32018

5.3.1非控制区中的业务系统或功能模块的典型特为：是电力生产的必要环节，在线运行但不具备控 制功能，使用电力调度数据网络，与控制区中的系统或其功能模块联系紧密。 5.3.2非控制区的典型业务系统包括：故障录波、保护信息子站、梯级水库调度自动化系统、水情自 动测报系统、水电厂水库调度自动化系统、电能量采集装置、主设备状态监测系统等。详见附录B、附 录C。 5.3.3如果生产控制大区内个别业务系统或其功能模块（或子系统）需使用公用通信网络、无线通信 网络以及处于非可控状态下的网络设备与终端等进行通信，其安全防护水平低于生产控制大区内其他系 统时，应设立安全接入区

5.4.1管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合，典型业务系统包括：生 产管理系统、管理信息系统MIS、协同办公系统、门户网站系统。详见附录B、附录C

竣工资料6.1横向边界安全防护

6.1.1水电厂在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向 单向安全隔离装置，隔离强度应当接近或达到物理隔离。正向安全隔离装置用于生产控制大区到管理信 息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区的非网络 方式的单向数据传输。 6.1.2按所辖调度机构的要求，在调度数据网主站和厂站端统一部署恶意代码防护系统，采取防范恶 意代码措施，病毒库、木马库以及IDS规则库应经过安全检测并应离线进行更新。 6.1.3水电厂生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备（如路由器）、 防火墙或者相当功能的设施，实现逻辑隔离。 6.1.4水电厂内同属于安全区I的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的 不同功能的监控系统之间，尤其是机组监控系统与输变电部分控制系统之间，根据需要可以采取一定强 度的逻辑访问控制措施，如防火墙、VLAN等。 6.1.5水电厂内同属于安全区II的各系统之间、各不同位置的厂站网络之间，根据需要可以采取一定 强度的逻辑访问控制措施，如防火墙、VLAN等。

6. 2 纵向边界安全防护

6.2.1水电厂的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，与调 度端实现双向身份认证、数据加密和访问控制。 6.2.2安全I区实时数据，通过实时交换机、纵向加密认证装置、路由器，接入电力调度数据网；安 全II区非实时数据，通过非实时交换机、纵向加密认证装置、路由器，接入电力调度数据网。厂站端接 入电力调度数据网划分为两个平面，按照调控机构要求将相应业务分别接入一、二平面。

6.3第三方边界安全防护

6.3.1生产控制大区内的业务系统与环保、安全等政府部门进行数据传输，其边界防护应当采用生产 控制大区与管理信息大区之间的安全防护措施。

Q/GDW 46 10022. 32018

7.1.1在水电厂电力监控系统的安全1区、1区分别部署网络安全监测装置。通过监测代理程序 （agent）对服务器（工作站）、网络设备及安全防护设备安装监测代理程序（agent），采集网络管理 协议（SNMP）、日志协议（syslog）等信息。 7.1.2在安全区IⅡ区部署水电厂网络安全管理平台连接网络安全监测装置，网络安全管理平台集中收 集水电厂电力监控系统内网络设备、安全防护设备、操作系统、业务应用、数据库等系统的日志，进行 安全监视、安全审计、安全告警、安全核查、安全分析，实现设备自身感知、监测装置就地采集、平台 统一管控。 7.1.3网络安全监测装置分别接入调度数据网，将相应的事件报警报送调控机构，水电厂网络安全管 理平台将事件报警转发至水电厂管理信息大区的数据网关机，接入相应的管理信息系统。

7.2.1水电厂生产控制大区宜 系统，分别监视网络、系统的运行状况和异常 量，检测发现隐藏于流经网络边界正常信息 人侵行为，分析潜在威胁并进行安全审计

.3主机与网络设备加固

7.3.1水电厂控制区监控系统等关键应用系统的主服务器、以及网络边界处的通信网关机、WEB服务 器等，应当使用安全加固的操作系统，水电厂电力监控新建或改造时宜采用非Windows操作系统。加固 方式包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力以及配置安全的应用程序， 其中配置的更改和补丁的安装应当经过测试。

7.4.1水电厂应定期对计算机监控系统等关键业务系统的数据进行备份，并实现历史归档数据的异地 存储。 7.4.2计算机监控系统主机设备、网络设备等应当进行相应的允余配置，控制区的业务系统（应用软 件）应当采用元余方式部置

7.5.1水电厂电力监控部署的网络设备及安全防护设备均需国家指定机构安全检测证明，其中隔离类 置和纵向加密装置应选择国家指定部门检测的电力专用产品。 7.5.2网络设备及安全防护设备应具备双电源接口，且供电电源相互独立。 7.5.3生产控制大区中除安全接入区外，应当禁止选用具有无线通信功能的设备。 7.5.4网络设备、安全设备、服务器应支持安全策略配置功能，如修改管理员账号口令、关闭空闲端 口服务等。

制大区的各种业务系统禁止以各种方式与互联网连

/GDW4610022.32018

7.6.2生产控制大区的各种业务系统关闭或拆除主机上不必要的软盘驱动、光盘驱动、USB接口、串 行口、无线、蓝牙等。 7.6.3水电厂生产控制大区（安全区I）内禁止移动存储介质经USB接口接入。 7.6.4严格控制生产控制大区内使用的便携式计算机园林绿化标准规范范本，应通过安全管理及技术措施实施严格监控便携 式计算机的使用

Q/GDW 46 10022. 32018

附录A （资料性附录） 水电厂电力监控系统典型网络结构拓扑图

附录A （资料性附录） 水电厂电力监控系统典型网络结构拓扑图

Q/GDW 46 10022. 32018

别墅标准规范范本Q/GDW 46 10022. 32018

附录C （资料性附录） 水电厂电力监控系统安全分区表

D/GDW 46 10022.32018