10MW并網(wǎng)光伏2015扶貧項目電力二次系統(tǒng)防護(hù)實施方案

10MW并網(wǎng)光伏2015扶貧項目電力二次系統(tǒng)防護(hù)實施方案調(diào)度審核： 批準(zhǔn)：審核：編寫：年月日目錄一、前言 3二、系統(tǒng)簡介 3三、二次系統(tǒng)安全防護(hù)總體原則 41.安全防護(hù)目標(biāo) 42.相關(guān)的安全法規(guī) 53.系統(tǒng)安全防護(hù)策略 54.本站安全區(qū)的劃分 55.網(wǎng)絡(luò)安全防護(hù) 66.安全區(qū)之間的隔離 77.縱向傳輸?shù)陌踩雷o(hù) 7四、實施方案 81.站內(nèi)二次系統(tǒng)整體的網(wǎng)絡(luò)拓?fù)鋱D 82.光功率預(yù)測拓?fù)鋱D 93.AGC/AVC拓?fù)鋱D 104.柔控拓?fù)鋱D 115.電量采集拓?fù)鋱D 116信息申報發(fā)布系統(tǒng)拓?fù)鋱D 137調(diào)度數(shù)據(jù)網(wǎng)拓?fù)鋱D 138故障錄波系統(tǒng)拓?fù)鋱D 13五、其他安全措施 161.入侵檢測 162.防病毒 163.主機(jī)加固 165.安全防護(hù)培訓(xùn)工作 17六、安全防護(hù)設(shè)備清單 17附件：二次安防應(yīng)急處置預(yù)案 17

一、前言為了認(rèn)真貫徹落實《國家能源局關(guān)于引發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》（國能安全【2015】36號）、國家發(fā)改委2014年第14號令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》等有關(guān)文件的精神，確保電網(wǎng)安全、優(yōu)質(zhì)、穩(wěn)定運行，根據(jù)本站二次系統(tǒng)和網(wǎng)絡(luò)實際情況，結(jié)合電力二次安防相關(guān)文件要求，特制定本實施方案。二、系統(tǒng)簡介本光伏電站二次系統(tǒng)主要包括光伏電站計算機(jī)監(jiān)控系統(tǒng)，功率預(yù)測系統(tǒng)，調(diào)度數(shù)據(jù)網(wǎng)，信息申報與發(fā)布系統(tǒng)，電能量采集裝置，故障錄波，柔性功率控制系統(tǒng)。光伏電站計算機(jī)監(jiān)控系統(tǒng)中國風(fēng)電光伏電站監(jiān)控系統(tǒng)采用南瑞繼保PCS-9700廠站監(jiān)控系統(tǒng)，具備光伏電站運行所需的全部功能，對站內(nèi)并網(wǎng)設(shè)備狀態(tài)，功率及網(wǎng)絡(luò)通訊進(jìn)行實時監(jiān)控。功率預(yù)測系統(tǒng)本光伏電站采用南瑞繼保提供的光功率預(yù)測系統(tǒng)一套，負(fù)責(zé)光伏電站短期與超短期功率預(yù)測，并上傳上級調(diào)度。調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)光伏電站調(diào)度自動化系統(tǒng)包括調(diào)度數(shù)據(jù)網(wǎng)傳輸設(shè)備，縱向加密認(rèn)證裝置，是電力安全生產(chǎn)及調(diào)度自動化系統(tǒng)的重要組成部分，是傳輸電力生產(chǎn)信息的網(wǎng)絡(luò)，負(fù)責(zé)站內(nèi)實時信息，非實時信息采集，并上傳上級調(diào)度。信息申報與發(fā)布系統(tǒng)光伏電站配置南瑞提供的D5000信息申報與發(fā)布系統(tǒng)，負(fù)責(zé)接收上級調(diào)度下發(fā)的發(fā)電計劃曲線、通知、并上報調(diào)度要求的報表。電能量采集系統(tǒng)光伏電站配置WFET-2000S電能量采集裝置，負(fù)責(zé)光伏電站相關(guān)計量點電量采集，并上傳上級調(diào)度。柔性功率控制系統(tǒng)光伏電站配置南瑞繼保PCS-9721A柔性功率控制裝置一套，配合省調(diào)整體進(jìn)行順勢負(fù)荷調(diào)節(jié)故障錄波系統(tǒng)全站配置故障錄波系統(tǒng)一套，用于記錄故障前后電流，電壓波形，便于事故分析，進(jìn)一步實施相關(guān)安全措施，保證電站安全運行。三、二次系統(tǒng)安全防護(hù)總體原則1.安全防護(hù)目標(biāo)二次系統(tǒng)安全防護(hù)的重點是確保電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對電力監(jiān)控系統(tǒng)發(fā)起惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防止由此導(dǎo)致的一次系統(tǒng)事故、大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。電站安全防護(hù)的重要措施是強(qiáng)化發(fā)電廠二次系統(tǒng)的邊界防護(hù)。2.相關(guān)的安全法規(guī)《國家能源局關(guān)于引發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》（國能安全【2015】36號）、國家發(fā)改委2014年第14號令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》等。3.系統(tǒng)安全防護(hù)策略安全分區(qū)：分區(qū)防護(hù)，突出重點。根據(jù)二次系統(tǒng)中的業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度進(jìn)行分區(qū)，所有系統(tǒng)必須置于相應(yīng)的安全區(qū)內(nèi)，對實時控制系統(tǒng)等關(guān)鍵業(yè)務(wù)采用認(rèn)證、加密等技術(shù)實施重點保護(hù)。網(wǎng)絡(luò)專用：建立專用的電力數(shù)據(jù)網(wǎng)絡(luò)，采用青海電力調(diào)度數(shù)據(jù)網(wǎng)，實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)的物理隔離，在技術(shù)手段上形成實時、非實時相互隔離的子網(wǎng)。保障上下級各安全區(qū)的縱向互聯(lián)在相同安全區(qū)進(jìn)行，避免安全區(qū)縱向交叉。橫向隔離：采用不同強(qiáng)度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)，即安全I(xiàn)區(qū)與安全I(xiàn)I區(qū)之間采用邏輯隔離；安全I(xiàn)、II與安全I(xiàn)II區(qū)之間隔離水平必須接近物理隔離?？v向認(rèn)證：采用認(rèn)證、加密、訪問控制等手段實現(xiàn)數(shù)據(jù)的安全傳輸以及縱向邊界的安全防護(hù)。安全I(xiàn)、II區(qū)的縱向邊界應(yīng)部署IP認(rèn)證加密裝置；安全I(xiàn)II區(qū)的縱向邊界應(yīng)該部署硬件防火墻。4.本站安全區(qū)的劃分序號業(yè)務(wù)系統(tǒng)安全I(xiàn)區(qū)安全I(xiàn)I區(qū)管理信息大區(qū)（安全I(xiàn)II和IV區(qū)）1光伏電站計算機(jī)監(jiān)控系統(tǒng)變電站監(jiān)控、繼電保護(hù)2發(fā)電功率控制發(fā)電功率控制功能3無功電壓控制無功電壓控制功能4柔性控制系統(tǒng)AGC/AVC5故障錄波故障錄波裝置6電能量采集裝置電能量采集裝置7光伏功率預(yù)測系統(tǒng)光伏功率預(yù)測8天氣預(yù)報系統(tǒng)數(shù)字天氣預(yù)報9信息發(fā)布與信息申報系統(tǒng)信息申報5.網(wǎng)絡(luò)安全防護(hù)（1）網(wǎng)路路由防護(hù)：按照電力調(diào)度管理體系及數(shù)據(jù)網(wǎng)路技術(shù)規(guī)范，采用虛擬專網(wǎng)技術(shù)，將電力調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對獨立的實時子網(wǎng)和非實時子網(wǎng)，分別對應(yīng)控制業(yè)務(wù)和非控制業(yè)務(wù)，保證實時業(yè)務(wù)的封閉性和高等級的網(wǎng)絡(luò)服務(wù)質(zhì)量。（2）網(wǎng)絡(luò)邊界防護(hù)：采用嚴(yán)格的接入控制措施，確保業(yè)務(wù)系統(tǒng)接入的可信性，沒有經(jīng)過授權(quán)的節(jié)點不允許接入調(diào)度數(shù)據(jù)網(wǎng)。各監(jiān)控系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)邊界采取必要的措施對訪問進(jìn)行控制。生產(chǎn)控制區(qū)的廣域網(wǎng)邊界防護(hù)在為本系統(tǒng)提供一個網(wǎng)絡(luò)屏障同時，也為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證和加密服務(wù)，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性，完整性保護(hù)。在本地安全區(qū)I/II提供一個網(wǎng)絡(luò)屏障同時，也為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證和加密服務(wù)，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性，完整性保護(hù)。(3)網(wǎng)絡(luò)設(shè)置的安全配置：安全配置包括關(guān)閉和限定網(wǎng)絡(luò)服務(wù)，避免使用默認(rèn)路由，關(guān)閉網(wǎng)絡(luò)邊界OSPF路由功能，采取安全增強(qiáng)的SNMPv2及以上版本的網(wǎng)管協(xié)議，設(shè)置受信任的網(wǎng)絡(luò)地址范圍，記錄設(shè)備日志，設(shè)置高強(qiáng)度的密碼，開啟訪問控制列表，封閉空閑的網(wǎng)絡(luò)端口等。6.安全區(qū)之間的隔離1)生產(chǎn)控制大區(qū)與信息管理大區(qū)邊界安全防護(hù)生產(chǎn)控制大區(qū)與管理信息大區(qū)之間以網(wǎng)絡(luò)方式相連，部署電力專用橫向單向安全隔離裝置。光伏功率預(yù)測系統(tǒng)部署在安全區(qū)II，與運行在管理信息大區(qū)的天氣預(yù)報系統(tǒng)進(jìn)行信息交換采用專用反向安全隔離裝置，采用南瑞信息公司生產(chǎn)的SysKeeper-2000型設(shè)備。公共數(shù)據(jù)網(wǎng)與天氣預(yù)報系統(tǒng)之間的連接采用華三通信技術(shù)有限公司F1020型防火墻進(jìn)行隔離。2)控制區(qū)與非控制區(qū)邊界安全防護(hù)光伏電站運行監(jiān)控系統(tǒng)部署在安全區(qū)I，與運行在安全區(qū)II的光伏功率預(yù)測系統(tǒng)進(jìn)行信息交換采用邏輯隔離的安全防護(hù)措施。安全區(qū)I與安全區(qū)II之間部署華三通信技術(shù)有限公司F1020型防火墻進(jìn)行隔離。1臺，實現(xiàn)兩個區(qū)域的邏輯隔離、報文過濾、訪問控制等功能，其訪問控制規(guī)則可實現(xiàn)正確有效。7.縱向傳輸?shù)陌踩雷o(hù)光伏電站生產(chǎn)控制大區(qū)系統(tǒng)與調(diào)度端系統(tǒng)通過電力調(diào)度數(shù)據(jù)網(wǎng)實現(xiàn)遠(yuǎn)程通信，采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。光伏電站與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處設(shè)置珠海鴻瑞SGW07-A型縱向加密認(rèn)證裝置，與調(diào)度端實現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。實施方案1.站內(nèi)二次系統(tǒng)整體的網(wǎng)絡(luò)拓?fù)鋱D 2.光功率預(yù)測拓?fù)鋱D功能：站內(nèi)功率預(yù)測系統(tǒng)以高精度的數(shù)值氣象預(yù)報為基礎(chǔ)，搭建完備的數(shù)據(jù)庫系統(tǒng)，并通過隔離措施采集光伏電站后臺監(jiān)控的環(huán)境監(jiān)測數(shù)據(jù)，為光伏電站管理提供輔助手段，有助于上級調(diào)度機(jī)構(gòu)統(tǒng)籌安排常規(guī)能源和新能源的協(xié)同配合。3.AGC/AVC拓?fù)鋱D功能:用于自動發(fā)電控制并利用無功調(diào)節(jié)電壓支持電網(wǎng)整體電壓調(diào)節(jié)。4.柔控拓?fù)鋱D功能：用于配合省調(diào)整體進(jìn)行順勢負(fù)荷調(diào)節(jié)。5.電量采集拓?fù)鋱D功能：用于上傳電站計量點計量底碼等數(shù)據(jù)。6.信息申報發(fā)布系統(tǒng)拓?fù)鋱D功能：負(fù)責(zé)接收上級調(diào)度下發(fā)的發(fā)電計劃曲線、通知、并上報調(diào)度要求的報表。7.調(diào)度數(shù)據(jù)網(wǎng)拓?fù)鋱D故障錄波系統(tǒng)拓?fù)鋱D五、其他安全措施1.入侵檢測無2.防病毒（1）禁止廠家或其他人員將個人優(yōu)盤插入后臺計算機(jī)，以免造成后臺監(jiān)控中毒，導(dǎo)致后臺監(jiān)控系統(tǒng)崩潰或異常運行。（2后臺監(jiān)控主機(jī)，信息申報與發(fā)布工作站，光功率預(yù)測系統(tǒng)，柔性功率控制系統(tǒng)，AGC/AVC服務(wù)器均采用linux操作系統(tǒng)，并配置一定的安全防護(hù)策略。故障錄波系統(tǒng)，五防工作站采用windows操作系統(tǒng)，并安裝最新的瑞星殺毒軟件。3.主機(jī)加固（1）關(guān)閉后臺監(jiān)控機(jī)兩臺，五防主機(jī)，功率預(yù)測系統(tǒng)三臺，AGC/AVC系統(tǒng)一臺的telnet、WEB、ftp、遠(yuǎn)程桌面等不安全的遠(yuǎn)程管理方式。（2）開啟了系統(tǒng)審計功能，設(shè)置了負(fù)荷強(qiáng)度要求的登陸密碼。（3）對站內(nèi)計算機(jī)設(shè)備的光驅(qū)、無用的USB端口、無用的交換機(jī)網(wǎng)口進(jìn)行了封閉，粘貼了封條。（4）對于三層交換機(jī)根據(jù)實際應(yīng)用情況綁定了MAC地址。4.日常安全管理制度在全站管理制度匯編有關(guān)于二次安全防護(hù)系統(tǒng)日常管理的《二次系統(tǒng)安全防護(hù)管理制度》、《二次系統(tǒng)安全防護(hù)管應(yīng)急處置預(yù)案》、《二次系統(tǒng)安全防護(hù)巡檢制度》等制度。5.安全防護(hù)培訓(xùn)工作結(jié)合本站建設(shè)，安排專人配合南瑞廠家開展二次系統(tǒng)安全防護(hù)設(shè)備調(diào)試，并編制二次安防設(shè)備調(diào)試的標(biāo)準(zhǔn)化操作指導(dǎo)書。此外，結(jié)合交接班及安全例會等機(jī)會開展二次安全防護(hù)設(shè)備運行交底及站內(nèi)培訓(xùn)，另結(jié)合廠家技術(shù)人員現(xiàn)場服務(wù)的機(jī)會開展電力二次安全防護(hù)知識培訓(xùn)。六、安全防護(hù)設(shè)備清單序號設(shè)備名稱型號廠家數(shù)量用途1防火墻F1020華三1安全I(xiàn)區(qū)與功率預(yù)測系統(tǒng)邊界2防火墻F1020華三1氣象預(yù)報服務(wù)器與外網(wǎng)間邊界3反向隔離裝置SysKeeper-2000南京南瑞1生產(chǎn)控制大區(qū)與管理大區(qū)邊界4縱向加密裝置SGW07-A珠海鴻瑞2安全I(xiàn)區(qū)/安全I(xiàn)I區(qū)縱向邊界（非實時、實時）5局域網(wǎng)交換機(jī)S-5700華為2轉(zhuǎn)發(fā)實時與非實時數(shù)據(jù)6路由器AR2240華為1連接以太網(wǎng)和調(diào)度數(shù)據(jù)網(wǎng)7殺毒軟件瑞星2安裝于故障錄波系統(tǒng)以及五防主機(jī)七其他方面調(diào)度數(shù)據(jù)網(wǎng)，二次安防設(shè)備均采用站內(nèi)雙路UPS電源供電。調(diào)度數(shù)據(jù)網(wǎng)及二次安防建設(shè)嚴(yán)格遵循《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（發(fā)改委14號令），《國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)第二平面總體技術(shù)方案》和《國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)子區(qū)及接入網(wǎng)并網(wǎng)技術(shù)貴方（試行）》要求。附件：二次安防應(yīng)急處置預(yù)案目錄一、前言 3二、系統(tǒng)簡介 3三、二次系統(tǒng)安全防護(hù)總體原則 41.安全防護(hù)目標(biāo) 42.相關(guān)的安全法規(guī) 53.系統(tǒng)安全防護(hù)策略 54.本站安全區(qū)的劃分 55.網(wǎng)絡(luò)安全防護(hù) 66.安全區(qū)之間的隔離 77.縱向傳輸?shù)陌踩雷o(hù) 7四、實施方案 81.站內(nèi)二次系統(tǒng)整體的網(wǎng)絡(luò)拓?fù)鋱D 82.光功率預(yù)測拓?fù)鋱D 93.AGC/AVC拓?fù)鋱D 104.柔控拓?fù)鋱D 115.電量采集拓?fù)鋱D 116信息申報發(fā)布系統(tǒng)拓?fù)鋱D 137調(diào)度數(shù)據(jù)網(wǎng)拓?fù)鋱D 13\