DLT 2202-2020标准规范下载简介
DLT 2202-2020 发电厂监控系统信息安全防护技术规范.pdfICS27.100 CCS F 30
中华人民共和宝电力行业标
L/T22022020
电厂监控系统信息安全防护技术规范
04S531-2《湿陷性黄土地区给水排水检漏管沟》Technicalspecificationforinformation securityofpowerplant monitoringandcontrolsystem
DL/T 22022020
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国电力企业联合会提出。 本文件由电力行业热工自动化与信息标准化技术委员会(DL/TC28)归口。 本文件起草单位:国网河南省电力公司电力科学研究院、淮浙煤电有限责任公司凤台发电分公 司、国网浙江省电力有限公司电力科学研究院、华能集团有限公司、大唐集团有限公司、浙江大唐乌 沙山发电有限责任公司、大唐陕西发电有限公司延安热电厂、中电华创电力技术研究有限公司、浙江 浙能技术研究院有限公司、润电能源科学技术有限公司、北京天地和兴科技有限公司、杭州安恒信息 技术有限公司、北京信达探索者科技有限公司、沈阳凯风技术股份有限公司、上海工业控制安全创新 科技有限公司、浙江国华浙能发电有限公司、大唐中南电力试验研究院、杭州聚盛广科技有限公司。 本文件主要起草人:郭志民、吕卓、刘道远、李辉、莫坚松、郝振、苏烨、俞荣栋、陈小强、 冯博、李国胜、陶振国、余程、吴永存、张之刚、郝涛、叶鹏、金光宇、谢东、陈君、刘虹、陈岑、 郭祥富、杨文、李敏、杜永春、倪华、孙长生。 本文件为首次发布。 本文件在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心(北京市白广路二 条一号,100761)。
DL/T22022020
发电厂监控系统信息安全防护技术规范
本文件规定了发电厂监控系统信息安全防护的基本要求、技术要求和安全评估要求。 本文件适用于发电厂监控系统信息安全防护工作。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适 用于本文件。 GB/T22239—20191 信息安全技术网络安全等级保护基本要求 GB/T22240 信息安全技术信息系统安全保护等级定级指南 GB/T25058 信息安全技术网络安全等级保护实施指南 GB/T 25069 信息安全技术术语 GB/T26863 火电站监控系统术语 GB/T30976.1 工业控制系统信息安全第1部分:评估规范 国能安全(2014)318号电力行业信息安全等级保护管理办法 电监信息(2007)44号电力行业信息系统等级保护定级工作指导意见
GB/T25069、GB/T26863、GB/T30976.1界定的以及下列术语和定义适用于本文件。 3.1 发电厂监控系统powerplantmonitoringandcontrolsystem 用于监视和控制发电厂生产过程、基于计算机及网络技术的业务系统及智能设备,以及作为基础 支撑的通信及数据网络等,包括发电厂的主控制系统(3.7)、辅助控制系统(3.8)、控制区电气二次系 统(3.9)、现场总线设备与智能化仪表等控制区(3.2)实时系统,以及厂级监控信息系统等非控制区 监控系统(3.10)。
益视和控制发电厂生产过程、基于计算机及网络技术的业务系统及智能设备,以及作为基础 信及数据网络等,包括发电厂的主控制系统(3.7)、辅助控制系统(3.8)、控制区电气二次系 现场总线设备与智能化仪表等控制区(3.2)实时系统,以及厂级监控信息系统等非控制区 (3.10)。
由具有实时监控功能、纵向连接使用电力调度数据网的实时子网或者专用通道的各业务 的安全区域。
DL/T2202=2020
DL/T22022020
管理信息大区managementinformationzone 发电厂生产控制大区以外的管理业务系统的集合。 3.6 安全管理中心securitymanagementcenter 对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管 理的平台或区域。
对发电厂发电过程实施集中或分布式控制的主要监控系统、独立控制装置与智能仪表等 括火电厂单元机组的分散控制系统与可编程控制器系统、水电厂集中监控系统、梯级水电站 系统、风电场监控系统、光伏电站运行监控系统等。
辅助控制系统auxiliarycontrolsystems
对发电厂全厂公用的外围辅助设备系统进行控制的监控系统、独立控制装置与智能仪表等,主要 包括燃煤电厂外围公用的水、煤、灰控制系统,燃气轮机电厂全厂辅助控制系统、火警探测系统,以 及其他电厂全厂辅助设备的相关控制系统等。
对发电厂电气设备与发电机实施保护、测控与调度的自动化系统与设备,主要包括升压站监控系 统、自动发电控制系统(automaticgenerationcontrol,AGC)和自动电压控制系统(automaticvoltage control.AVC)、发电机励磁系统、五防监控系统、继电保护及安全自动化装置、相量测量装置等。
动作。 3.16 安全域securitydomain 在信息系统中,单一安全策略下运行的实体的汇集。
4监控系统信息安全基本要求
DL/T22022020
4.1.1发电厂监控系统实行国家网络安全等级保护制度,信息安全防护应满足信息安全等级保护的相 关要求。 4.1.2发电厂信息安全等级保护坚持自主定级、自主保护的原则,根据不同安全区域的安全防护要 求,确定其安全等级和防护水平,从安全物理环境、安全通信网络、安全区域边界和安全计算环境等 方面进行安全防护。 4.1.3发电厂应按照GB/T22239一2019、GB/T25058及《电力行业信息安全等级保护管理办法》的规 定具体实施等级保护工作。 4.1.4发电厂监控系统的定级,应按照GB/T22240和《电力行业信息系统等级保护定级工作指导意 见》的规定进行。
关键信息基础设施安全保
被认定为关键信息基础设施的发电厂监控系统,其信息安全防护工作应满足国家对关键信息基础 设施的安全保护要求。
4.3.1.1发电厂监控网络与系统,应遵循“安全分区、网络专用、横向隔离、纵向认证、综合防护”的 总体原则。安全防护的主要对象,应包括用于监视和控制电力生产及供应过程的、基于计算机及网络 技术的业务系统及智能设备,以及作为基础支撑的通信网络。 4.3.1.2发电厂监控系统根据不同的功能特性,应划分为不同的安全区域,重点强化边界的安全防护; 同时应加强安全区域内部的物理安全、网络安全、主机安全、应用安全和数据安全,加强安全管理制 度、机构、人员、系统建设、系统运维的管理。 4.3.1.3发电厂监控系统的分区结构与边界防护,应满足图1的基本形式。发电厂监控系统与企业的管 理信息系统之间,只允许进行单向通信,应采用物理隔离方式保证其边界安全,且所有的网络安全措 施不应影响监控系统的基本功能和运行性能,
.1发电厂网络与信息系统应按业务功能划分为生产控制大区和管理信息大区。 .2 发电厂监控系统属于生产控制大区,应满足下述要求: a 生产控制大区应根据系统的重要性和对电力系统的影响,进一步划分为控制区(安全区I)及 非控制区(安全区I)。 b)在生产控制大区内,个别业务系统或其功能模块(或子系统)需要使用公用通信网、无线通信 网,以及处于非可控状态 应设立安全接入区
4.3.3.1电力调度数据网应是为生产控制大区服务的专用数据网络。 4.3.3.2发电厂端的电力调度数据网,应在专用通道上使用独立的网络设备组网,在物理层面上实现与 电厂其他数据网及外部公共信息网络的安全隔离。 4.3.3.3发电厂端的电力调度数据网,应划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和 非控制区。
4.3.4.1生产控制大区与管理信息大区之间,应设置经国家指定部门检测认证的电力专用横 女生 隔离装置,隔离强度应接近或达到物理隔离。 4.3.4.2生产控制大区内部的安全区之间,应采用具有访问控制功能的网络设备、防火墙或者相当功能 的设施,实现逻辑隔离。 4.3.4.3安全接入区与生产控制大区中的其他部分的连接处,应设置经国家指定部门检测认证的电力专 用横向安全隔离装置(包括正向隔离装置和反向隔离装置)
DL/T22022020
发电厂生产控制大区中的业务系统与调度端的系统,通过电力调度数据网进行远程通信时, 经过国家指定部门检测认证的电力专用纵向加密认证装置,或者加密认证网关及相应设施。
发电厂应在实现4.3.1~4.3.5要求的基础上,结合国家信息安全等级保护工作的相关要求,对发电 监控系统从上位机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行 信息安全的综合防护。
5监控系统信息安全技术要求
5.1.1物理位置的选择
5.1.1.1物理位置的选择包括下列要求: a)控制设备间的场地应选择在具有防震、防风和防雨等能力的建筑内。 b)控制设备间的场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 c)控制设备间外安装的设备应符合发电行业相关标准对所选用设备使用的物理和环境的要求。 d)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固,箱体或装置具有 透风、散热、防盗、防雨和防火等能力。 e)室外控制设备的放置应远离强电磁干扰、强热源等环境。 5.1.1.2物理位置选择的不同等级保护系统有下列要求:等级保护一、二、三级系统应满足5.1.1.1中 a)e)的要求。
5.1.2电源系统安全
5.1.2.1电源系统安全包括下列要求: a)应在控制设备间的供电线路上配置稳压器和过电压保护设备。 b)应为控制设备间提供短期的备用电力供应,至少应满足设备在断电情况下的正常运行要求。 c)应设置穴余或并行的电力电缆线路为计算机系统供电。 5.1.2.2电源系统安全的不同等级保护系统有下列要求: a)等级保护一级系统应满足5.1.2.1中a)的要求。 b)等级保护二级系统应满足5.1.2.1中a)、b)的要求。 c)等级保护三级系统应满足5.1.2.1中a)~c)的要求。
5.1.2.1电源系统安全包括下列要
5.1.3 温、湿度控制
5.1.3.1温、湿度控制包括下列要求: a) 应设置必要的温、湿度调节设施,使控制设备间温、湿度的变化在设备运行所允许的范围之内。 b) 控制设备间应设置温、湿度自动调节设施,使控制设备间温、湿度的变化在设备运行所允许的 范围之内。 c) 控制设备间外安装的设备应符合发电行业相关标准对所应用的物理和环境的要求。 5.1.3.2 温、湿度控制的不同等级保护系统有下列要求: a) 等级保护一级系统应满足5.1.3.1中a)、c)的要求。
CJT520-2017 齿环卡压式薄壁不锈钢管件DL/T22022020
DL/T2202=2020
等级保护二、三级系统应满足5.1.3.1中b)、c)
5.1.4.1防火包括下列要求
a)控制设备间应设置相应的灭火设备。 b)控制设备间应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。 c)控制设备间及相关的工作房间和辅助房间应采用具有耐火等级的建筑材料。 d)应对控制设备间划分区域进行管理,区域和区域之间应设置隔离防火措施。 5.1.4.2 防火的不同等级保护系统有下列要求: a)等级保护一级系统应满足5.1.4.1中a)的要求。 b)等级保护二级系统应满足5.1.4.1中b)、c)的要求。 c)等级保护三级系统应满足5.1.4.1中b)、c)、d)的要求。
.1.5.1防水和防潮包括下列要求: a)水管安装,不应从控制设备间的屋顶和活动地板下穿过。 b)控制设备间应采取措施防止雨水通过控制设备间的窗户、屋顶和墙壁渗入。 c)控制设备间应采取措施防止控制设备间内的水蒸气结露和地下积水的转移与渗透。 d)控制设备间应安装对水敏感的检测仪表或元件,对控制设备间进行防水检测和报警。 e)控制设备间外安装的设备应符合发电行业相关标准对其所选用设备使用的物理和环境的要求 1.5.2 防水和防潮的不同等级保护系统有下列要求: a 等级保护一、二级系统应满足5.1.5.1中a)、b)、c)、e)的要求。 b)等级保护三级系统应满足5.1.5.1中a)~e)的要求。
5.1.6.1防雷包括下列要求
5.1.6.1防雷包括下列要求: a)应将各类机柜、设施和设备等通过接地系统安全接地,接地电阻应满足相关标准的要求; b)应采取措施防止感应雷,如设置防雷保安器或过电压保护装置等。 5.1.6.2防雷的不同等级保护系统有下列要求: a)等级保护一、二级系统应满足5.1.6.1中a)的要求。 b)等级保护三级系统应满足5.1.6.1中a)、b)的要求。
5.1.6.1防雷包括下列要求: a)应将各类机柜、设施和设备等通过接地系统安全接地浅谈某大桥箱梁悬灌施工工艺,接地电阻应满足相关标准的要求; b)应采取措施防止感应雷,如设置防雷保安器或过电压保护装置等。 5.1.6.2防雷的不同等级保护系统有下列要求: a)等级保护一、二级系统应满足5.1.6.1中a)的要求。 b)等级保护三级系统应满足5.1.6.1中a)、b)的要求。