中國風(fēng)電光伏電站電力二次系統(tǒng)防護實施方案

1、貴南縣10MW 并網(wǎng)光伏2015扶貧項目電力二次系統(tǒng)防護實施方案調(diào)度審核：批準：審核：編寫：貴南縣協(xié)和新能源有限公司（蓋章）目錄、前言4二、 系統(tǒng)簡介4三、二次系統(tǒng)安全防護總體原則 51. 安全防護目標52. 相關(guān)的安全法規(guī)63. 系統(tǒng)安全防護策略64. 本站安全區(qū)的劃分65網(wǎng)絡(luò)安全防護76. 安全區(qū)之間的隔離87. 縱向傳輸?shù)陌踩雷o9四、 實施方案91站二次系統(tǒng)整體的網(wǎng)絡(luò)拓撲圖 92. 光功率預(yù)測拓撲圖 1.0.3. AGC/AVC 拓撲圖 1.1.4. 柔控拓撲圖12.5. 電量采集拓撲圖 1.3.6信息申報發(fā)布系統(tǒng)拓撲圖1.47調(diào)度數(shù)據(jù)網(wǎng)拓撲圖 1.4.8故障錄波系統(tǒng)拓扌卜圖 14.五

2、、其他安全措施 17.1. 入侵檢測1.7.2. 防病毒17.3. 主機加固.1.8.5. 安全防護培訓(xùn)工作 1.8.六、安全防護設(shè)備清單 1.9.附件：二次安防應(yīng)急處置預(yù)案 1.9.Word專業(yè)資料一、前言為了認真貫徹落實國家能源局關(guān)于引發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)的通知（國能安全【2015】36號）、國家發(fā)改委2014年第14號令電力監(jiān)控系統(tǒng)安全防護規(guī)定等有關(guān)文件的精神，確保電網(wǎng)安全、優(yōu)質(zhì)、穩(wěn)定運行，根據(jù)本站二次系統(tǒng)和網(wǎng)絡(luò)實際情況， 結(jié)合電力二次安防相關(guān)文件要求，特制定本實施方案。二、系統(tǒng)簡介本光伏電站二次系統(tǒng)主要包括光伏電站計算機監(jiān)控系統(tǒng)，功率預(yù)測系統(tǒng)，調(diào)度數(shù)據(jù)網(wǎng)

3、，信息申報與發(fā)布系統(tǒng)，電能量采集裝置，故障 錄波，柔性功率控制系統(tǒng)。1. 光伏電站計算機監(jiān)控系統(tǒng)中國風(fēng)電光伏電站監(jiān)控系統(tǒng)采用南瑞繼保 PCS-9700廠站監(jiān)控系統(tǒng)，具備光伏電站運行所需的全部功能，對站并 網(wǎng)設(shè)備狀態(tài)，功率及網(wǎng)絡(luò)通訊進行實時監(jiān)控。2. 功率預(yù)測系統(tǒng)本光伏電站采用南瑞繼保提供的光功率預(yù)測系統(tǒng)一套，負責(zé)光伏電站短期與超短期功率預(yù)測，并上傳上級調(diào)度。3. 調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)光伏電站調(diào)度自動化系統(tǒng)包括調(diào)度數(shù)據(jù)網(wǎng)傳輸設(shè)備，縱向加密認證裝置，是電力安全生產(chǎn)及調(diào)度自動化系統(tǒng)的重要組成 部分，是傳輸電力生產(chǎn)信息的網(wǎng)絡(luò)，負責(zé)站實時信息，非實 時信息采集，并上傳上級調(diào)度。4. 信息申報與發(fā)布系統(tǒng)光伏電站

4、配置南瑞提供的 D5000信息申報與發(fā)布系統(tǒng)，負責(zé) 接收上級調(diào)度下發(fā)的發(fā)電計劃曲線、通知、并上報調(diào)度要求 的報表。5. 電能量采集系統(tǒng)光伏電站配置WFET-2000S電能量采集裝置，負責(zé)光伏電站 相關(guān)計量點電量采集，并上傳上級調(diào)度。6. 柔性功率 控制系統(tǒng)光伏電站配置南瑞繼保 PCS-9721A柔性功率控制裝置一套， 配合省調(diào)整體進行順勢負荷調(diào)節(jié)7. 故障錄波系統(tǒng)全站配置故障錄波系統(tǒng)一套，用于記錄故障前后電流，電壓 波形，便于事故分析，進一步實施相關(guān)安全措施，保證電站 安全運行。三、二次系統(tǒng)安全防護總體原則1. 安全防護目標二次系統(tǒng)安全防護的重點是確保電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò) 的安全，目標是

5、抵御黑客、病毒、惡意代碼等通過各種形式對電力監(jiān) 控系統(tǒng)發(fā)起惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此 導(dǎo)致的一次系統(tǒng)事故、大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。電站安全防護的重要措施是強化發(fā)電廠二次系統(tǒng)的邊界防護。2. 相關(guān)的安全法規(guī)國家能源局關(guān)于引發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)的通知（國能安全【2015】36號）、國家發(fā)改委 2014年第14號令電力監(jiān)控系統(tǒng)安全 防護規(guī)定等。3. 系統(tǒng)安全防護策略安全分區(qū)：分區(qū)防護，突出重點。根據(jù)二次系統(tǒng)中的業(yè)務(wù)的重要 性和對一次系統(tǒng)的影響程度進行分區(qū)，所有系統(tǒng)必須置于相應(yīng)的安全 區(qū)，對實時控制系統(tǒng)等關(guān)鍵業(yè)務(wù)采用認證、加密等技術(shù)

6、實施重點保護。網(wǎng)絡(luò)專用：建立專用的電力數(shù)據(jù)網(wǎng)絡(luò)，采用電力調(diào)度數(shù)據(jù)網(wǎng)，實 現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)的物理隔離，在技術(shù)手段上形成實時、非實時相互 隔離的子網(wǎng)。保障上下級各安全區(qū)的縱向互聯(lián)在相同安全區(qū)進行，避免安全區(qū)縱向交叉。橫向隔離：采用不同強度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系 統(tǒng)得到有效保護，即安全I區(qū)與安全II區(qū)之間采用邏輯隔離；安全I、 II與安全III區(qū)之間隔離水平必須接近物理隔離?？v向認證：采用認證、加密、訪問控制等手段實現(xiàn)數(shù)據(jù)的安全傳 輸以及縱向邊界的安全防護。安全I、II區(qū)的縱向邊界應(yīng)部署IP認證 加密裝置；安全III區(qū)的縱向邊界應(yīng)該部署硬件防火墻。4. 本站安全區(qū)的劃分序號業(yè)務(wù)系統(tǒng)安全1

7、區(qū)安全II區(qū)管理信息大區(qū)（安全III和IV區(qū)）1光伏電站計算機監(jiān)控系統(tǒng)變電站監(jiān)控、繼電保護2發(fā)電功率控制發(fā)電功率控制功能3無功電壓控制無功電壓控制功臺匕冃匕4柔性控制系統(tǒng)AGC/AVC5故障錄波故障錄波裝置6電能量采集裝置電能量采集裝置7光伏功率預(yù)測系統(tǒng)光伏功率預(yù)測8天氣預(yù)報系統(tǒng)數(shù)字天氣預(yù)報9信息發(fā)布與信息申報系統(tǒng)信息申報5. 網(wǎng)絡(luò)安全防護（1 ）網(wǎng)路路由防護：按照電力調(diào)度管理體系及數(shù)據(jù)網(wǎng)路技術(shù)規(guī)， 采用虛擬專網(wǎng)技術(shù)，將電力調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對獨立的實時 子網(wǎng)和非實時子網(wǎng)，分別對應(yīng)控制業(yè)務(wù)和非控制業(yè)務(wù)，保證實時業(yè)務(wù) 的封閉性和高等級的網(wǎng)絡(luò)服務(wù)質(zhì)量。（2）網(wǎng)絡(luò)邊界防護：采用嚴格的接入控制措

8、施，確保業(yè)務(wù)系統(tǒng) 接入的可信性，沒有經(jīng)過授權(quán)的節(jié)點不允許接入調(diào)度數(shù)據(jù)網(wǎng)。 各監(jiān)控 系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)邊界采取必要的措施對訪問進行控制。生產(chǎn)控制區(qū)的廣域網(wǎng)邊界防護在為本系統(tǒng)提供一個網(wǎng)絡(luò)屏障同時，也為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認證和加密服務(wù)，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性，完整性保護。在本地安全區(qū)1/11提供一個網(wǎng)絡(luò)屏障同時， 也為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認證和加密服務(wù)，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性，完整性保護。(3)網(wǎng)絡(luò)設(shè)置的安全配置：安全配置包括關(guān)閉和限定網(wǎng)絡(luò)服務(wù)， 避免使用默認路由，關(guān)閉網(wǎng)絡(luò)邊界OSPF路由功能，采取安全增強的 SNMPv2及以上版本的網(wǎng)管協(xié)議，設(shè)置受信任的網(wǎng)絡(luò)地址圍，記

9、錄 設(shè)備日志，設(shè)置高強度的密碼，開啟訪問控制列表，封閉空閑的網(wǎng)絡(luò) 端口等。6. 安全區(qū)之間的隔離1) 生產(chǎn)控制大區(qū)與信息管理大區(qū)邊界安全防護生產(chǎn)控制大區(qū)與管理信息大區(qū)之間以網(wǎng)絡(luò)方式相連，部署電力專 用橫向單向安全隔離裝置。光伏功率預(yù)測系統(tǒng)部署在安全區(qū)II，與運行在管理信息大區(qū)的天氣預(yù)報系統(tǒng)進行信息交換采用專用反向安全 隔離裝置，采用南瑞信息公司生產(chǎn)的 SysKeeper-2000型設(shè)備。公共數(shù)據(jù)網(wǎng)與天氣預(yù)報系統(tǒng)之間的連接采用華三通信技術(shù)有限公司F1020型防火墻進行隔離。2) 控制區(qū)與非控制區(qū)邊界安全防護光伏電站運行監(jiān)控系統(tǒng)部署在安全區(qū)I，與運行在安全區(qū)II的光 伏功率預(yù)測系統(tǒng)進行信息交換采用

10、邏輯隔離的安全防護措施。 安全區(qū) I與安全區(qū)II之間部署華三通信技術(shù)有限公司 F1020型防火墻進行隔 離。1臺，實現(xiàn)兩個區(qū)域的邏輯隔離、報文過濾、訪問控制等功能， 其訪問控制規(guī)則可實現(xiàn)正確有效。7. 縱向傳輸?shù)陌踩雷o光伏電站生產(chǎn)控制大區(qū)系統(tǒng)與調(diào)度端系統(tǒng)通過電力調(diào)度數(shù)據(jù)網(wǎng)實現(xiàn)遠程通信，采用認證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠 方安全傳輸以及縱向邊界的安全防護。光伏電站與電力調(diào)度數(shù)據(jù)網(wǎng)的 縱向連接處設(shè)置鴻瑞SGW07-A型縱向加密認證裝置，與調(diào)度端實現(xiàn) 雙向身份認證、數(shù)據(jù)加密和訪問控制。四、實施方案1. 站二次系統(tǒng)整體的網(wǎng)絡(luò)拓撲圖2. 光功率預(yù)測拓撲圖功能：站功率預(yù)測系統(tǒng)以高精度的數(shù)值氣

11、象預(yù)報為基 礎(chǔ)，搭建完備的數(shù)據(jù)庫系統(tǒng)，并通過隔離措施采集光伏電站 后臺監(jiān)控的環(huán)境監(jiān)測數(shù)據(jù)，為光伏電站管理提供輔助手段， 有助于上級調(diào)度機構(gòu)統(tǒng)籌安排常規(guī)能源和新能源的協(xié)同配 合。內(nèi)車預(yù)利工作沾交換啊防吠謫站控層盤推機2U3. AGC/AVC 拓撲圖功能：用于自動發(fā)電控制并利用無功調(diào)節(jié)電壓支持電網(wǎng)整體電壓調(diào)節(jié)。霜由器實旳辦向加密 +謹訊管理臥測腔慕甕SVG川_T1詁控層交犍機通孤置隍機4. 柔控拓撲圖功能：用于配合省調(diào)整體進行順勢負荷調(diào)節(jié)臬性惶制工乍站5. 電量采集拓撲圖功能：用于上傳電站計量點計量底碼等數(shù)據(jù)地調(diào)核心1罪粢寸交換機地調(diào)核心26 .信息申報發(fā)布系統(tǒng)拓撲圖通知、功能：負責(zé)接收上級調(diào)度下

12、發(fā)的發(fā)電計劃曲線、 并上報調(diào)度要求的報表。地調(diào)核心1地調(diào)核心2JL非實時縱問加密非丈時交檢機叫F信息申報麥布7.調(diào)度數(shù)據(jù)網(wǎng)拓撲圖地調(diào)核爐實日按換機非知環(huán)機非實時縱向 加巒劉寸縱向 力疇路由曙8. 故障錄波系統(tǒng)拓撲圖PCS-996R故障錄波器五、其他安全措施1.入侵檢測無2.防病毒(1)禁止廠家或其他人員將個人優(yōu)盤插入后臺計算機，以免造 成后臺監(jiān)控中毒，導(dǎo)致后臺監(jiān)控系統(tǒng)崩潰或異常運行（2后臺監(jiān)控主機，信息申報與發(fā)布工作站，光功率預(yù)測系統(tǒng)， 柔性功率控制系統(tǒng)，AGC/AVC服務(wù)器均采用linux操作系統(tǒng)，并配 置一定的安全防護策略。故障錄波系統(tǒng)，五防工作站采用win dows操作系統(tǒng)，并安裝最新的

13、瑞星殺毒軟件。3. 主機加固（1）關(guān)閉后臺監(jiān)控機兩臺，五防主機，功率預(yù)測系統(tǒng)三臺，AGC/AVC系統(tǒng)一臺的tel net、WEB、ftp、遠程桌面等不安全 的遠程管理方式。（2）開啟了系統(tǒng)審計功能，設(shè)置了負荷強度要求的登陸密碼。（3）對站計算機設(shè)備的光驅(qū)、無用的USB端口、無用的交 換機網(wǎng)口進行了封閉，粘貼了封條 。（4）對于三層交換機根據(jù)實際應(yīng)用情況綁定了 MAC地址。4. 日常安全管理制度在全站管理制度匯編有關(guān)于二次安全防護系統(tǒng)日常管理的二次系統(tǒng)安全防護管理制度、二次系統(tǒng)安全防護管應(yīng)急處置預(yù)案、二次系統(tǒng)安全防護巡檢制度等制度。5. 安全防護培訓(xùn)工作結(jié)合本站建設(shè)，安排專人配合南瑞廠家開展二次系統(tǒng)安全防護設(shè) 備調(diào)試，并編制二次安防設(shè)備調(diào)試的標準化操作指導(dǎo)書。此外，結(jié)合交接班及安全例會等機會開展二次安全防護設(shè)備運行 交底及站培訓(xùn)，另結(jié)合廠家技術(shù)人員現(xiàn)場服務(wù)的機會開展電力二次安全防護知識培訓(xùn)六、安全防護設(shè)備清單序號設(shè)備名稱型號廠家數(shù)量用途1防火墻F1020華三1安全1區(qū)與功率預(yù)測系統(tǒng)邊界2防火墻F1020華三1氣象預(yù)報服務(wù)器與外網(wǎng)間邊界3反向隔離裝置SysKeeper-2000南瑞1生產(chǎn)控制大區(qū)與管理大區(qū)邊界4縱向加密裝置SGW07-A鴻瑞2安全1區(qū)/安全II區(qū) 縱向邊界（非實時、