标准规范下载简介

NB／T 10921-2022 风电场监控系统信息安全防护技术规范.pdf简介：

NB/T 10921-2022《风电场监控系统信息安全防护技术规范》是中国国家标准（National Bureau of Standards, NB）中的一项技术规范，它主要针对风电场的监控系统（Wind Farm Monitoring System, WMS）的信息安全防护进行了详细的规定。该规范的出台目的是为了保障风电场的正常运行，防止因信息安全问题导致的数据泄露、系统瘫痪等风险，确保风电场的稳定、高效和可持续运营。

该规范可能包括以下几个方面：

1. 系统安全架构：定义了风电场监控系统的安全架构，包括物理安全、网络安全、数据安全和应用安全等层次，确保从硬件到软件的全方位保护。

2. 访问控制：规定了如何管理用户身份认证、权限分配和审计，以防止未经授权的访问和操作。

3. 数据加密：强调了对敏感数据的加密处理，防止数据在传输和存储过程中被窃取或篡改。

4. 安全防护措施：规定了应对各种安全威胁（如病毒、黑客攻击、内部欺诈等）的防护策略和应急响应机制。

5. 安全培训和管理：强调了工作人员的信息安全意识培训和管理制度，以降低人为因素导致的安全风险。

总的来说，NB/T 10921-2022《风电场监控系统信息安全防护技术规范》是风电行业信息安全的一个重要指导文件，旨在提升风电场监控系统的安全防护能力，保障风电产业的健康发展。

NB／T 10921-2022 风电场监控系统信息安全防护技术规范.pdf部分内容预览：

NB/T10921—2022

管理信息大区managementinformationzone

在电力监控系统的不同安全区域间禁止通用网络通信服务，仅允许单向数据传输GB／T 25370-2020 铸造机械 术语.pdf，采用访问控制、 签名验证、内容过滤、有效性检查等技术，实现接近或达到物理隔离强度的安全装置，按照数据通信方 向分为正向型和反向型。

电力专用纵向加密认证装置verticalencryptionandauthenticationdeviceforelectricpower 在生产控制大区广域网的边界处，采用认证、加密、访问控制等技术实现数据的远方安全传输 边界的安全防护的装置。

对信息系统的网络设备、安全设备、主机、应用系统等对象的安全机制实施统一管理的 具备统一管理、统一监控、统一审计、协同防护等功能。 [来源：GB/T36958—2018，3.3，有修改]

4.1风电场监控系统应建立人防、物防、技防结合的信息安全防护体系，应满足本文件提出的安全防护 技术要求和安全管理要求，具体包括基础设施安全、通信网络安全、区域边界安全、监控系统本体安全、 安全管理中心和安全管理要求。 4.2风电场监控系统应根据业务信息重要性和系统服务重要性进行安全保护等级的划分。系统的等级划分 应符合GB/T22240的相关规定，总装机容量200MW及以上风电场或220kV及以上变电站宜定为3级，其 他宜定为2级。不同安全防护等级的业务系统应采取相应级别的安全防护，应符合GB/T22239的相关规定。 4.3风电场监控系统结构应采用“安全分区、网络专用、横向隔离、纵向认证”的基本防护策略，符合 GB/T36572一2018的相关规定，风电场监控系统安全分区见附录A；总体网络架构应分为生产控制大区 和管理信息大区，大区之间应进行物理隔离；生产控制大区应分为控制区和非控制区，控制区和非控制 区之间、管理信息大区与外网之间应进行逻辑隔离；风电场各安全分区在纵向上应与电网调度侧或集控 中心侧相同级别的安全区进行连接，不应跨越安全区交叉互联。

机房的建设应满足以下要求：

a) 机房应选择建设在防风和防雨的建筑内，应满足乙类及以上防震、二级及以上防火。 b) 机房不宜建设在建筑物的顶层或地下室，否则应采取防雨水和防潮措施。 C） 机房不宜有给水、排水管道穿过，在有给水、排水管道穿过时，应有可靠的防渗漏措施。

5.1.2防盗窃和防破坏

机房的防盗窃和防破坏应满足以下要求： a） 2 机房出入口宜配置电子门禁系统，应能鉴别和记录访问人员。 b) 机房内设备应进行固定，设备与线路应设置明显、不易除去的标识。 C） 机房内应配备诱捕器、挡鼠板等装置，防止动物破坏。 d) 等级保护三级系统机房应设置防盗报警系统或配备有专人值守的视频监控系统。

机房、设备的环境防护应满足以下要求： a）机房宜采取区域隔离防火措施，将重要设备与其他设备隔离开。 b）机房宜配备自动气体灭火设备。 机房应配备温湿度自动调节设备，温度宜保持为15℃～30℃，湿度宜保持为30%～80%。 d）机房所在建筑物应配备防雷装置，电源和通信线路应安装雷电保护器，机柜及设备应通过接地 系统进行安全接地。 e) 机房内应采用防静电地板或地面，设备应采取接地防静电措施，宜配置防静电手环。 f) 2 通信线缆应使用电磁屏蔽线缆，电源线缆与通信线缆应隔离铺设，防止相互干扰。 g) ）机房宜对关键设备实施电磁屏蔽。 h) ）室外设备应具有透风、散热、防盗、防雨和防火等能力。 i) 室外控制设备放置应远离强电磁干扰、强热源等环境，应定期进行检修维护。

机房的电力供应满足以下要求： a) 17 机房应配备连续运行的不间断电源，宜能支持系统全负载运行120min以上。 b）机房宜设置余的电力线路为计算机系统供电，输入电源宜采用双路自动切换供电方式。

风电场监控系统的安全分区应满足以下要求： a) 1 风电场监控系统通信网络应分为生产控制大区和管理信息大区，大区之间应配备电力专用横向 单向安全隔离装置。 b）风电场生产控制大区应分为控制区和非控制区，控制区和非控制区之间应配备具备报文过滤、 访问控制等逻辑隔离功能的防火墙或者功能相当的设备。 c） 风电场管理信息大区与外部网络之间应配备具备报文过滤、访问控制等逻辑隔离功能的防火墙 或者功能相当的设备。 d）风电场生产控制大区和管理信息大区在纵向上应与调度中心或集控中心侧相同的安全分区分别 互联，不应跨越安全分区交叉互联；生产控制大区间的纵向互联应配备电力专用纵向加密认证 装置；生产控制大区与管理信息大区之间的互联应配备电力专用横向单向安全隔离装置；管理 信息大区间的纵向互联以及管理信息大区和外部公共网络之间的互联应配备防火墙等逻辑隔离

NB/T10921 2022

装置。风电场监控系统网络结构安全总体框架示意图见附录B中图B.1。 e）公用通信网络与风电场生产控制大区进行互联时，应设立安全接入区；安全接入区的公网 前置机应通过电力专用横向单向安全隔离装置与生产控制大区连接；终端设备与公网前置 机之间应通过身份认证和加密装置进行通信。安全接入区防护架构示意图见附录B中图 B.2。 f）风电场监控系统的控制区包括风电机组监控系统、变电站综合自动化系统、自动发电控制 （AGC）、自动电压控制（AVC）、电力系统同步相量测量装置（PMU）、“五防”系统等；非控 制区包括风功率预测系统（内网部分）、状态监测系统、故障录波装置、电能量采集装置、继电 保护信息站等；管理信息大区包括测风塔系统、风功率预测系统（外网部分）、天气预报系统、 生产管理系统、视频监控系统等。

风电场监控系统在网络专用方面应满足以下要求： a) ）风电场生产控制大区内部系统应合理划分虚拟局域网（VLAN)，应配备电力专用纵向加密 认证装置与调度中心、风电场集控中心进行通信，实现基于双向身份认证、数据加密和访 问控制。 b） ）管理信息大区应合理划分VLAN，宜通过安全路由、VPN等技术方式与外部网络进行通信。 c） 管理信息大区应统一互联网出口，禁止在未经授权的情况下连接至互联网。 d) 风电场监控系统应对无线网络通信的用户实现用户身份认证和基于用户身份的网络访问权限管 理，应对无线通信传输报文进行加密处理，保证通信过程的保密性。

风电场监控系统在网络可用性方面应满足以下要求： a）网络设备的CPU和内存使用率峰值不应大于设备处理能力的70%，高峰期流量不应高于其带宽 的70%。 b）通信线路、重要网络设备和计算设备宜实现硬件余，保证系统的可用性。

风电场监控系统的区域边界主要有风电场生产控制大区与调度数据网/集控中心侧边界、控制区 区边界、生产控制大区与管理信息大区边界、风电场管理信息大区与集控中心侧边界、管理信 市外部公共网络边界，应从边界防护和访问控制两方面开展安全防护工作。风电场网络安全防护 见附录C。

风电场监控系统在区域边界防护方面应满足以下要求： a) ）区域边界应实现网络安全监测，对非授权设备私自连接到内部网络的行为和内部用户非授权连 接到外部网络的行为进行检查和限制。 b） ）区域边界应配备入侵检测设备，配置合理的入侵检测策略，定期更新特征库，能对外部和内部 的非法网络攻击行为进行检测、防护和报警。 c）区域边界宜配备防病毒网关，恶意代码库应及时更新。

NB/T 109212022

风电场监控系统的区域边界在访问控制方面应满足以下要求： a) A 防火墙，隔离设备、纵向加密等边界设备应启用有效的访问控制策略，宜采用白名单机制限制 网络资源的访问权限。 b） 区域边界应根据业务访问需要，对源地址、目的地址、源端口、目的端口、协议等进行管控， 为进出网络的数据流提供明确的允许/拒绝访问能力。

5.4.1.1身份鉴别

5.4.1.2访问控制

5.4.1.3安全审计

5.4.1.4入侵防范

风电场监控系统的入侵防范应满足以下要求： a) 2 系统应关闭不需要的系统服务和135、445等高危端口。 b） 设备应禁用不需要的光驱、软驱、无线网卡、摄像头、USB口、串行口及网口等硬件接口。 系统应通过设定终端接入方式或网络地址范围对网络管理终端进行限制。 d） 安全设备和安全组件应定期检查访问控制的安全策略，及时删除失效或多余的安全策略。 e) 等级保护三级系统宜配备入侵检测系统（IDS）、主机入侵检测系统等措施，以检测重要网络节

GB3517化工钢制管道工程施工工艺标准NB/T10921—2022

点的入侵行为。 f） 系统设备宜具有可信根芯片或硬件，在检测到其可信度受到破坏后进行报警，并将审计记录送 至安全管理中心

5.4.1.5数据安全

风电场监控系统的数据安全防护满足以下要求： a）风电场监控系统的身份鉴别、业务、审计、配置等数据应进行分类分级保护。 b）风电机组监控与数据采集系统（SCADA）、变电站SCADA、风功率预测等重要业务数据在互联 网等不可控网络传输时DB32∕T 4174-2021 城市居住区和单位绿化标准，应采用HTTPS、SSH、VPN等加密传输技术保证其在传输过程中的完 整性和保密性。 C） ）风电机组SCADA、变电站SCADA、风功率预测等重要业务数据应使用AES、TDE等加密技 术保证其在存储过程中的完整性和保密性。 d） 重要业务数据和系统配置数据应提供的本地备份与恢复功能。等级保护三级系统应利用通信网 络将重要业务数据定时批量传送至异地

风电场监控系统的服务器和终端应满足以下专项要求： a） 操作系统应对重要功能模块、重要文件的访问设定身份鉴别、权限校验功能。 b 操作系统应遵循最小安装原则，仅安装业务所需的组件和应用程序。 C) 操作系统应关闭不需要的系统服务、默认共享及高危端口。 d) 2 操作系统宜开启主机防火墙，根据业务规则配置基于白名单的主机防火墙访问控制策略。 e) 操作系统应配备防病毒产品，并及时更新恶意代码库，宜与网络层恶意代码防范产品形成异构 模式。

5.4.3应用系统专项要求