XX水電廠電力監(jiān)控系統安全防護整體方案

1、福建省*水電廠電力監(jiān)控系統安全防護方案編制：*審核：*批準：*開發(fā)有限公司2017年05月第1章電力監(jiān)控系統安全防護方案一i、總體概況*水電廠共裝4臺機組，其中#1#砒單機容量75MWF1987年投運，接入福建電力調控中心。包括：#1#的組監(jiān)控系統、一次升壓站監(jiān)控系統、調度數據網以及廠級實時監(jiān)控系統、水情調度系統、故障錄波系統、廣域網相量測量（PMU系統等。二、安全分區(qū)按照電力二次系統安全防護規(guī)定，原則上將發(fā)電廠基于計算機及網絡技術的業(yè)務系統劃分為生產控制大區(qū)和管理信息大區(qū)，并根據業(yè)務系統的重要性和對一次系統的影響程度再將生產控制大區(qū)劃分為控制區(qū)（安全區(qū)I）及非控制區(qū)（安全區(qū)II）,重點保護生

2、產控制以及直接影響電力生產（機組運行）的系統。按照表2.1中示例，列舉并說明廠內全部電力監(jiān)捽系統的安全分區(qū)情況（包括集控中心）。序號業(yè)務系統及設備控制區(qū)非控制區(qū)信息管理大區(qū)備注1調速和自動發(fā)電功能AGC調速、自動發(fā)電控制A12故障錄波故障錄波裝置B3弧門控制系統監(jiān)控功能A24電量采集裝置電量采集裝置A1、B5水電廠監(jiān)控系發(fā)電機組控.A1統及自動電壓AVC空制系統制，勵磁調節(jié)器自動電壓調節(jié)。6水情信息系統水情信息B7廣域網相量測量（PMU系統省調所轄機組、線路相戰(zhàn)測量A1表2.1安全分區(qū)表注：A1:與調控中心有關的電廠監(jiān)控系統A2:電廠內部監(jiān)控系統B:調控中心監(jiān)控的廠站側設備與調控中心無關的電力

3、監(jiān)控系統不接入調度數據網。三、網絡專用按3.1和3.2節(jié)示例要求，列舉并說明廠內全部電力監(jiān)控系統的網絡描述（包括集控中心）。3.1 調度數據網畫出廠內調度數據網設備網絡拓撲圖、并說明使用的網絡協議和通信方式。5gDfljrfhjf省調接入網電廠側TRUNK】區(qū)縱向如雷認證翌通電調接入網交挑機H3C-S36O0地蜩接入網路由器H3C-3020H區(qū)IRUKK地調接入可填寫表3.1:網絡描述及設備清單。描述網絡的組網方式及拓撲結構。表3.1:網絡描述及設備清單名稱用途是否使用獨立網絡設備組網（請具體說明）是否與具他網絡相連（請具體說明）調度數據網生產控制大區(qū)專用是，獨立設備組網否網絡名稱及數量廠家及

4、型號用途詳細配置安全加固措施路由器（2臺）華三MSR3020省調接入網路由器華三MSR3020地調接入網路由器名稱及數量廠家及型號用途詳細配置安全加固措施交換機（4臺）華三S3600V2省調接入網交換機（安全I區(qū)）華三S3600V2地調接入網交換機（安全I區(qū)）華三S3600V2省調接入網交換機（安全II區(qū)）華三S3600V2地調接入網交換機（安全II區(qū)）3.2 升壓站站控層網絡畫出升壓站站捽層網絡拓撲圖，并說明使用的網絡協議和通信方式填寫表3.2:網絡描述及設備清單。描述網絡的組網方式及拓撲結構。表3.2:網絡描述及設備清單名稱用途是否使用獨立網絡設備組網（請具體說明）是否與其他網絡相連（請具

5、體說明）升壓站站控層網絡開關站一次設備的監(jiān)控否，與四臺機組監(jiān)控單元、公用監(jiān)控單元及上位機等監(jiān)控系統設備組成廠內監(jiān)控系統。通過光纖接入站控層內網交換機，通過通訊機接入調度數據網安全I區(qū)交換機。.名稱及數量廠家及型號用途詳細配置安全加固措施交換機（2臺）MOXA*構建站控層A網、B網3.3 其他網絡（根據現場實際情況補充）.無四、橫向隔離按4.1節(jié)示例要求，列舉并說明廠內全部電力監(jiān)捽系統的橫向隔離情況（包括集捽中心）。4.1 生產控制大區(qū)與非生產控制大區(qū)的安全隔離填寫表4.1:安全設備描述及清單。表4.1:安全設備描述及清單名稱及數量廠家及型號用途詳細配置（可截圖）安全加固措施橫向隔離裝置（1臺）

6、南京南瑞Sky-keeper-2000監(jiān)控系統向WEES艮務器正向數據傳輸策略：單向傳輸系統配置：等詳細列出已采取的安全加固措施。4.2 生產控制大區(qū)與信息管理大區(qū)的安全隔離生產控制大區(qū)一區(qū)機組監(jiān)控系統接口機與二區(qū)水情測報系統接口機通過東軟防火墻進行隔離，一區(qū)機組監(jiān)控系統實時數據與二區(qū)水情測報系統實時數據通過南瑞Sky-Keeper2000正向隔離網閘，傳輸至信息管理大區(qū)EDNA5時數據庫服務器。4.3 非生產控制大區(qū)與信息管理大區(qū)的安全隔離非生產控制大區(qū)與信息管理大區(qū)無系統間數據傳輸，完全物理隔離。4.4 安全接入區(qū)的安全隔離無安全接入區(qū)五、縱向認證按5.1節(jié)示例要求，列舉并說明廠內全部電力

7、監(jiān)捽系統的縱向認證情況（包括集控中心）。5.1 生產控制大區(qū)與電力調控中心的縱向認證填寫表5.1:安全設備描述及清單。表5.1:安全設備描述及清單名稱及數量廠家及型號用途詳細配置（可截圖）安全加固措施縱向加密裝置（4臺）南瑞NetKeeper2000I區(qū)省調接入網同中調通信隧道：策略：系統配置：等詳細列出已采取的安全加固措施。南瑞NetKeeper2000I區(qū)地調接入網同中調通信南瑞NetKeeper2000II區(qū)省調接入網同中調通信南瑞NetKeeper2000II區(qū)地調接入網同中調通信5.2 生產控制大區(qū)與集控中心的縱向認證無集控中心5.3 III區(qū)與調控中心的縱向認證III區(qū)與調控中心無

8、連接。5.4 安全接入區(qū)與公網的縱向認證無連接公網。六、整體安全防護現狀要求圖6.1中畫出廠內各系統的互聯關系：并說明客系統間的互聯方式及相關安全防護措施，按要求填寫表格6.1,6.2,及附表。要求在表格6.1中列出接入電廠內各系統的廠外網絡類型（互聯網、集團網、政府專網、集控中心專網、調度數據網等）。*電廠電力監(jiān)控系統總體方案的框架結構圖生產控制大區(qū)隨管聯區(qū)ri；挖啾X除熊韻K區(qū)同屏的明吃:凝熟區(qū)仆熄國點解匚5蝦酬.6.1*電廠系統安全部署示意圖序號控制大區(qū)（圖中P1）/廠外網絡接入類型非控制大區(qū)（圖中P2）/廠外網絡接入類型信息管理大區(qū)（圖中P3）/廠外網絡接入類型外部網絡（圖中P4）安全

9、接入區(qū)（圖中P5）1NC2000監(jiān)控系統（含AVCAGC功能模塊）調度數據網電量采集裝置調度數據網調控管理系統工作站電力綜合通信數據網.2PMU調度數據網故障錄波裝置調度數據網.3發(fā)電計劃工作站調度數據網4水情信息系統調度數據網表格6.1*電廠監(jiān)控系統安全分區(qū)表（按實際情況填寫）表格6.2*電廠監(jiān)控系統接口描述表（按實際情況填寫）編號接口描述數據傳輸方向數據類型通信方式及協議安全防護措施I0NC200（05控系統AGCI塊與機組控制系統接口AGCI塊，機組控制系統AGG旨令值光纖TCP/IP無I1機組控制系統與SIS系統接口機組控制系統->SIS系統接口機組實時數據雙絞線，TCP/IP防

10、火墻（對應表4.4中“東軟NETeye5200）I2SIS系統接口與MIS系統接口SIS系統->MIS系統生產數據雙絞線單向隔離設備（對應表*中*）七、控制大區(qū)系統概況參照模板，補充各大區(qū)的全部系統的概況及其相應示部署意圖和網絡連接圖（集控中心也按各大區(qū)分類補充）?？刂拼髤^(qū)主要包括：自動發(fā)電控制模塊（AG。、自動電壓控制模塊（AV。、升壓站監(jiān)控系統（NCS、機組監(jiān)控系統、公用系統監(jiān)控系統、相量測量裝置（PMU、相應調度數據網安防及網絡設備等。（1）NCS系統現狀NCS系統采用的是南京南瑞集團公司的NC2000系統，提供對*電廠的監(jiān)控功能，為外部調度數據網系統提供監(jiān)控數據，部署在安全控制大

11、區(qū)，通過遠動設備與調度之間使用縱向加密設備傳輸遙測、遙信數據。NC200琮統主要包括AGCAV微塊、LC原置等。監(jiān)控系統的邊界防護的措施較為完善，與調度數據網系統之間存在數據交互，部署了電力行業(yè)縱向加密認證裝置進行了隔離，與五防系統之間通過串口線連接。（2）AGC模塊現狀AGC（統采用的是南京南瑞集團公司的NC2000系統，提供對*電廠的有功功率調節(jié)功能，為外部發(fā)電機調速器系統提供調節(jié)數據，部署在控制大區(qū)，通過遠動設備與調度之間使用縱向加密設備傳輸控制數據。（按實際情況編寫）（3）AVC模塊現狀AVC系統采用的是南京南瑞集團公司的NC2000系統，提供對*電廠的無功功率調節(jié)功能，為外部發(fā)電機勵

12、磁系統提供調節(jié)數據，部署在控制大區(qū)，通過遠動設備與調度之間使用縱向加密設備傳輸控制數據。（4）AVC、AGC（統現狀*電廠AGCAVC系統隨2007年監(jiān)控系統改造投運后，經單機調節(jié)、成組調節(jié)試驗，各項指標符合均要求，交付系統正常使用。運行近10年，系統運行正常，未發(fā)生三類以上缺陷及系統考核等安全事件。7.1.1控制大區(qū)系統部署示意圖：要求詳細畫出廠內控制大區(qū)內全部系統，并說明各系統互聯情況及相關安全防護措施，并填寫表格7.1.1。機組控制系統圖7.1.1控制大區(qū)系統部署示意圖表格7.1.1*電廠監(jiān)控系統接口描述表（按實際情況填寫）編號接口描述數據傳輸方向數據類型通信方式及協議安全防護措施I0N

13、C2000監(jiān)控系統AGC模塊與機組控制系統接口AGC模塊->機組控制系統AGG旨令值4-20mA小信號無I1PMU采集器與機組控制系統接口PMU采集器->機組控制系統PMU采集數據4-20mA小彳口勺和硬接線無7.1.2控制大區(qū)系統實際網絡連接圖：要求詳細畫出控制大區(qū)內全部系統，及所使用的全部網絡、安全設備（包括調度數據網設備），并說明設備型號、各端口用途?？刂拼髤^(qū)主要有機組及開關站等生產監(jiān)控系統、弧門監(jiān)控系統和廣域網相量測量系統（PMU）、五防系統。弧門監(jiān)控系統為獨立系統，與外界不相連，五防系統通過串口通訊與通訊機相連，讀取監(jiān)控系統狀態(tài)量，與其它系統均無連接，機組及開站等生產監(jiān)控

14、系統由雙星形網絡結構的內網組成，兩臺通訊機接內網接收、轉發(fā)監(jiān)控系統和省調調度數據網數據，廠站層內網交換機使用臺灣MOXA（型號EDS726-10G）工業(yè)級交換機，調度數據網使用華為網絡交換機（型號3600）,路由器使用華為MSR3020路由器。監(jiān)控系統有自己的通訊機，通過雙平面2M調度專用數據網經縱向加密認證裝置（南京南瑞NetKeeper-2000）上送調度遠動信息。安全I區(qū)與其它分區(qū)及系統聯網情況：安全I區(qū)與安全II區(qū)、III區(qū)間目前沒有聯網，均相互獨立。全廠生產控制大區(qū)和非控制大區(qū)均無通過撥號訪問對生產控制系統安全I區(qū)進行遠程維護等功能?？刂拼髤^(qū)均已完成二平面改造，冗余配置分別接入省調接

15、入網和地調接入網。八.非控制大區(qū)系統概況安全II區(qū)主要有電能量系統、故障錄波系統、水情測報系統、調度計劃工作站系統組成，安全II區(qū)聯網情況：安全II區(qū)的數據量通過正向物理隔離裝置隔離，將數據送到III區(qū)服務器上發(fā)布。其他各系統均各自獨立，未與其它系統聯網。九.信息管理大區(qū)系統概況信息管理大區(qū)系統包含本公司在用公司內網網站、MIS管理系統、EDNA實時數據庫系統、工程圖檔系統、錄音管理系統等，提供本公司局域網內部信息系統應用服務，不涉及對互聯網外的信息系統應用發(fā)布。十、安全接入區(qū)概況無對外網連接，未設安全接入區(qū)。十一、集控中心控制大區(qū)系統概況無集控中心。第2章電廠電力監(jiān)控系統安全管理概況一、規(guī)章

16、制度要求列出與網絡安全相關的管理制度，并將材料作為附件上傳（根據實際情況上報）。序號名稱編制日期01信息系統應急管理規(guī)定201弭8月14日02信息系統安全管理規(guī)定201弭9月30日03計算機信息系統數據備份管理規(guī)定201弭10月30日04調度數據網運行維護管理規(guī)定201弭11月30日二、相關人員職責要求列出相關人員職責與名單，并將材料作為附件上傳（根據實際情況上報）。序號姓名崗位職責聯系方式1蔣*自動化點檢電自動化管理及監(jiān)督1385099*2葉*信息主管信息系統管理及建設1370600*三、應急預案要求列出相關的應急預案，并將材料作為附件上傳（根據實際情況上報）序號名稱編制日期01電力監(jiān)控系統

17、應急預案201弭11月30日02弧門集控系統應急預案201弭11月30日03水情水調系統應急預案201弭11月30日第3章等級保護一、信息安全等級保護要求各電廠根據實際情況說明是否完成電力監(jiān)控系統定級、備案工作，且開展定期測評。序號系統所屬單位名稱系統名稱系統定級情況備案情況測評工作情況系統等級備案號公安機關測評單位上次測評時間1*電廠監(jiān)控系統二級35070000034福建省*市公安局公共信息網絡安全監(jiān)察科福建省電力調控中2016年10月27日第4章通用安全防護措施要求各電廠依據國能安全201許36號文件和國網福建電力調控中心關于印發(fā)福建電力監(jiān)控系統安全防護專項檢查“回頭看”工作方案的通知（調

18、自201659號）補充通用防護措施的開展情況（根據實際情況上報），按照示例補充各章節(jié)內容。一.物理安全要求各電廠列出廠內機房環(huán)境及UPS1壓等物理設施信息，補充下表。名稱溫濕度監(jiān)控設備部署情況防潮、防水情況視頻監(jiān)控系統部署情況自動化機房接入監(jiān)控系統符合要求接入工業(yè)電視系統，符合要求。名稱設備容量當前負載設備冗余情況UPS間環(huán)境#1UPS電源10KVA20%電源側電源及容量冗余，負載側可切換。放置繼保室，符合要求。#2UPS電源10KVA18%電源側電源及容量冗余，負載側可切換。放置繼保室，符合要求。二、主機加固要求各電廠列出廠內全部主機信息，補充下表。名稱及數量廠家及型號操作系統類型用途主機加固情況服務器（4臺）美國HP*Linux*