光伏电站用户站电力监控系统安全防护方案VIP专享VIP免费

光伏电厂电力监控系统安全防护技术方案编制：审核：批准：单位名称（加盖公章）2017年6月22日一、方案编制依据《中华人民共和国计算机信息系统安全保护条例》国务院1994年147号令（2011年修订）《电力监控系统安全防护规定》中华人民共和国国家发展和改革委员会2014年第14号令《电力行业网络与信息安全管理办法》国能安全〔2014〕317号《电力行业等级保护管理办法》国能安全〔2014〕318号《电力监控系统安全防护总体方案》国能安全〔2015〕36号二、总体目标和原则(一)总体目标确保新特汇能电厂电力监控系统和电力调度数据网络的安全，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。(二)总体原则坚持“安全分区、网络专用、横向隔离、纵向认证”总体原则，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。三、安全防护方案(一)电力监控系统概述1.分散控制系统（DCS）无2.网络监控系统（SCADA）本厂SCADA系统包括（2）台主机兼工作站、（4）台工作站，操作系统主要采用LINUX系统，数据库主要采用MySQL数据库。系统外部通信接口如下，均采用TCP/IP协议进行数据通讯：序号互联系统或设备接口型式1SCADA系统TCP/IP协议2功率预测系统TCP/IP协议3综合自动化装置TCP/IP协议4自动电压AVCTCP/IP协议5自动发电AGCTCP/IP协议3.相量测量装置（PMU）无。4.电能量采集装置本厂电能采集装置采用兰吉尔FFG_Plus，电能表通过RS485与电能采集装置进行数据传输，后经过采集装置通过TCP/IP协议进行数据通讯。5.总体网络拓扑图(二)安全分区按照《电力监控系统安全防护规定》，原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区Ⅰ）及非控制区（安全区Ⅱ），重点保护生产控制及直接影响机组运行的系统。本厂安全分区如下：安全Ⅰ区：光伏区环网、工作站、保护装置、直流系统、ups、站用变、站控设备组成的控制网络，与安全Ⅱ区通过防火墙实现硬件隔离。安全Ⅱ区：电能采集、功率预测数据，安全Ⅱ区与安全Ⅲ区通过反向隔离装置实现硬件隔离。安全Ⅲ区：MIS管理系统，此链路独立无其他连接，气象站通过反向隔离装置与安全Ⅱ区功率预测实现硬件隔离。汇能库尔勒光伏一电站安全分区表序号业务系统及设备控制区安全一区非控制区安全二区管理信息大区1光伏电站运行监控系统电站运行监控2无功电压控制无功电压控制3发电功率控制发电功率控制4开关柜监控系统开关柜监控5继电保护装置及管理终端保护装置6故障录波故障录波装置7电能量采集装置电能量采集8光伏功率预测系统光功率预测9天气预报系统数字天气预报10管理信息系统MISMIS(三)网络专用调度数据网是生产控制大区相连接的专用网络，电力实时控制、在线生产交易等业务。我厂的电力调度数据网使用电力光缆且网络设备独立，物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。厂端电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。(四)横向隔离横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。我厂控制区与非控制区配置SECWORLD防火墙，规则合理运行正常，除此链接外无其他链路链接控制区与非控制区。(五)纵向认证纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制其他安全措施。我厂信息管理大区（天气预测系统）与安全二区装...