光伏电站二次安防实施方案.pdf
光伏电站电力二次系统防护实施方案调度审核:批准:审核:编写:目录一、前言 3二、系统简介 3三、二次系统安全防护总体原则 31.安全防护目标 32.相关的安全法规 43.系统安全防护策略 44.本站安全区的划分 55.网络安全防护 56.安全区之间的隔离 57.纵向传输的安全防护 5四、实施方案 61.站内二次系统整体的网络拓扑图 62.计算机监控系统拓扑图 63.光功率预测拓扑图 64.AGC/AVC拓扑图 75. 电量采集拓扑图 76.信息申报发布系统拓扑图 87.PMU 同步相量拓扑图 . 错 误!未定义书签。8.调度数据网拓扑图 错 误!未定义书签。五、其他安全措施 91. 入侵检测 92. 防病毒 93. 主机加固 94. 日常安全管理制度 95. 安全防护培训工作 10六、安全防护设备清单 10附件:二次安防应急处置预案 错 误!未定义书签。一、前言为了认真贯彻落实《国家能源局关于引发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全【 2015】36 号)、国家发改委 2014 年第 14 号令《电力监控系统安全防护规定》等有关文件的精神,确保电网安全、优质、稳定运行,根据本站二次系统和网络实际情况, 结合电力二次安防相关文件要求, 特制定本实施方案。二、系统简介电力二次系统包括:计算机监控系统、光功率预测系统及附属设备、 AGC/AVC系统、电量采集装置、信息申报系统、 PUM同步相量系统、调度数据网系统。三、二次系统安全防护总体原则1.安全防护目标二次系统安全防护的重点是确保电力监控系统及调度数据网络的安全,目标是抵御黑客、 病毒、恶意代码等通过各种形式对电力监控系统发起恶意破坏和攻击, 特别是能够抵御集团式攻击, 防止由此导致的一次系统事故、大面积停电事故及二次系统的崩溃或瘫痪。电站安全防护的重要措施是强化发电厂二次系统的边界防护。2.相关的安全法规《国家能源局关于引发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全【 2015】 36 号)、国家发改委 2014 年第 14 号令《电力监控系统安全防护规定》等3.系统安全防护策略安全分区:分区防护,突出重点。根据二次系统中的业务的重要性和对一次系统的影响程度进行分区, 所有系统必须置于相应的安全区内, 对实时控制系统等关键业务采用认证、 加密等技术实施重点保护。网络专用:建立专用的电力数据网络,采用青海电力调度数据网,实现与其他数据网络的物理隔离,在技术手段上形成实时、非实时相互隔离的子网。 保障上下级各安全区的纵向互联在相同安全区进行,避免安全区纵向交叉。横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,即安全 I 区与安全 II 区之间采用逻辑隔离;安全I、 II 与安全 III 区之间隔离水平必须接近物理隔离。纵向认证:采用认证、加密、访问控制等手段实现数据的安全传输以及纵向边界的安全防护。安全 I、 II 区的纵向边界应部署 IP 认证加密装置;安全 III 区的纵向边界应该部署硬件防火墙。4.本站安全区的划分序号 安全 I 区 安全 II 区 管理信息大区(安全 III 和 IV 区)1 光伏电站计算 机监控系统2 光功率预测3 电能量采集装置4 AGC/AVC 5 同步相量测量 装置6 信息申报系统5.网络安全防护6.6.安全区之间的隔离生产控制大区(站内监控系统)与管理信息大区(天气预报服务器) 之间配置经国家指定部门检测认证的由中国电力科学研究院生产的型号为 Stonewall-2000 的电力专用反向安全隔离装置;站内生产控制大区与功率预测系统之间配置由网神生产的型号为 secgate3600的防火墙; 进入站内的外网经过由网神生产的型号为 secgate3600 的防火墙进行隔离。7.纵向传输的安全防护调度数据网路由器与实时交换机和非实时交换机之间分别安装了一台纵向加密装置,作为安全 I 区和安全 II 区纵向边界。四、实施方案1.站内二次系统整体的网络拓扑图上级调度2.计算机监控系统拓扑图3.光功率预测拓扑图功能: 站内功率预测系统以高精度的数值气象预报为基础, 搭建完备的数据库系统, 并通过隔离措施采集光伏电站后台监控的环境监测数据, 为光伏电站管理提供辅助手段, 有助于上级调度机构统筹安排常规能源和新能源的协同配合。4.AGC/AVC 拓扑图功能 :用于自动发电控制并利用无功调节电压支持电网整体电压调节。5. 电量采集拓扑图功能:用于上传电站计量点计量底码等数据。6.信息申报发布系统拓扑图功能: 负责接收上级调度下发的发电计划曲线、 通知、 并上报调度要求的报表。五、其他安全措施1. 入侵检测无2. 防病毒( 1)后台监控主机因南瑞程序与网络杀毒软件不兼容,未安装杀毒软件。( 2)禁止在控制区和管理区服务器外插 U盘,对服务器 UPS端口加封签。3. 主机加固( 1)后台监控关闭不安全的 telnet 等远程拨号,并开启系统安全审计功能。( 2) 信息申报与发布: 采取 Linux 操作系统屏蔽显示系统版本等敏感信息的内容。4. 日常安全管理制度为加强电站电力二次系统安全防护, 本站制定了 《晖海共和光伏电站二次安全防护管理制度》, 《晖海共和光伏电站二次安全防护巡检记录》,设立二次安全专工岗位,对本站二次防护设备进行日常巡检和维护; 并对本站所有服务器、 工作站的 USB接口用标签封口, 对系统口令密码分级设置权限, 不得越级使用。 超级用户的密码由二次安全专工保管,并定期更换密码,严防密码泄露;个人用户的密码由用户负责保管,定期更改密码。5. 安全防护培训工作电站投运前, 由二次安全专工组织操作人员进行培训, 通过培训使有关人员熟练掌握电站二次安全防护管理程序和制度。电站投运后, 本站在每班巡视检查二次安全防护装置后, 由二次安全专工对二次安全防护装置巡视检查项目进行培训并随机提问; 结合交接班制度组织班会学习二次安防知识并进行考试, 每季度邀请二次安防设备厂家专业技术人员对本站运行人员进行二次安防知识培训; 每年联系二次安防设备厂家组织开展一次突发时间应急处置演练活动, 保证站内二次安防系统出现突发事件时, 本站二次安全专工及运行维护人员能及时有效的进行处置,力争将影响降到最低。六、安全防护设备清单序号 设备名称 型号 厂家 数量 用途1 2 3