-. -.可修编. 光伏电厂电力监控系统 平安防护技术方案 单位名称〔加盖公章〕 2017年6月22日 方案编制依据 ?中华人民国计算机信息系统平安保护条例?国务院1994年147号令〔2011年修订〕 ?电力监控系统平安防护规定?中华人民国开展和改革委员会2014年第14号令 ?电力行业网络与信息平安管理方法?国能平安〔2014〕317号 ?电力行业等级保护管理方法?国能平安〔2014〕318号 ?电力监控系统平安防护总体方案?国能平安〔2015〕36号 总体目标和原那么 总体目标 确保新特汇能电厂电力监控系统和电力调度数据网络的平安，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。 总体原那么 坚持“平安分区、网络专用、横向隔离、纵向认证〞总体原那么，重点强化边界防护，提高部平安防护能力，保证电力生产控制系统及重要数据的平安。 平安防护方案 电力监控系统概述 分散控制系统〔DCS〕 无 网络监控系统〔SCADA〕 本厂SCADA系统包括〔2〕台主机兼工作站、〔4〕台工作站，操作系统主要采用LINUX系统，数据库主要采用MySQL数据库。系统外部通信接口如下，均采用TCP/IP协议进展数据通讯： 序号互联系统或设备接口型式1SCADA系统TCP/IP协议2功率预测系统TCP/IP协议3综合自动化装置TCP/IP协议4自动电压AVCTCP/IP协议5自动发电AGCTCP/IP协议 相量测量装置〔PMU〕 无。 电能量采集装置 本厂电能采集装置采用兰吉尔FFG_Plus，电能表通过RS485与电能采集装置进展数据传输，后经过采集装置通过TCP/IP协议进展数据通讯。 总体网络拓扑图 平安分区 按照?电力监控系统平安防护规定?，原那么上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区〔平安区Ⅰ〕及非控制区〔平安区Ⅱ〕，重点保护生产控制及直接影响机组运行的系统。 本厂平安分区如下： 平安Ⅰ区：光伏区环网、工作站、保护装置、直流系统、ups、站用变、站控设备组成的控制网络，与平安Ⅱ区通过防火墙实现硬件隔离。 平安Ⅱ区：电能采集、功率预测数据，平安Ⅱ区与平安Ⅲ区通过反向隔离装置实现硬件隔离。 平安Ⅲ区：MIS管理系统，此链路独立无其他连接，气象站通过反向隔离装置与平安Ⅱ区功率预测实现硬件隔离。 汇能库尔勒光伏一电站平安分区表 序号业务系统及设备控制区 平安一区非控制区 平安二区管理信息大区1光伏电站运行监控系统电站运行监控2无功电压控制无功电压控制3发电功率控制发电功率控制4开关柜监控系统开关柜监控5继电保护装置及管理终端保护装置6故障录波故障录波装置7电能量采集装置电能量采集8光伏功率预测系统光功率预测9天气预报系统数字天气预报10管理信息系统MISMIS 网络专用 调度数据网是生产控制大区相连接的专用网络，电力实时控制、在线生产交易等业务。我厂的电力调度数据网使用电力光缆且网络设备独立，物理层面上实现与电力企业其他数据网及外部公共信息网的平安隔离。厂端电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。 横向隔离 横向隔离是电力监控系统平安防护体系的横向防线。应当采用不同强度的平安设备隔离各平安区，在生产控制大区与管理信息大区之间必须部署经指定部门检测认证的电力专用横向单向平安隔离装置，隔离强度应当接近或到达物理隔离。生产控制大区部的平安区之间应当采用具有访问控制功能的网络设备、平安可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过相关部门的认证和测试。 我厂控制区与非控制区配置SECWORLD防火墙，规那么合理运行正常，除此外无其他链路控制区与非控制区。 纵向认证 纵向加密认证是电力监控系统平安防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处应当设置经过指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制其他平安措施。 我厂信息管理大区〔天气预测系统〕与平安二区装设反向隔离装置Stonewall-2000单向数据传递正常，信息管理区除此连接外并无其他链路介入平安二区。MIS系统为独立链路，无其他接入。 防病毒 我站生产区域的计算机信息系统，要与Internet网分开，并建立计算机病毒防火墙，对效劳器，要采用先进的网络防计算机病毒软件，并对经过效劳器的信息进展监控，防止计算机病毒通过效劳器扩散、传播。随时注意各种异常现象，一旦发现，应立即用查毒软件仔细检查。经常更新与升级防杀计算机病毒软件的版本。对生产区域