光伏电站二次安防实施方案程序.docx

光伏电站电力二次系统防护实施方案调度审核：批准：审核：编写：目录一、前言3二、系统简介3三、二次系统安全防护总体原则31.安全防护目标32.相关的安全法规43.系统安全防护策略44.本站安全区的划分55.网络安全防护56.安全区之间的隔离67.纵向传输的安全防护6四、实施方案71.站内二次系统整体的网络拓扑图72.计算机监控系统拓扑图73.光功率预测拓扑图84.AGC/AVC拓扑图85. 电量采集拓扑图96.信息申报发布系统拓扑图97.PMU同步相量拓扑图108.调度数据网拓扑图10五、其他安全措施111.入侵检测112.防病毒113.主机加固114.日常安全管理制度115.安全防护培训工作12六、安全防护设备清单12附件：二次安防应急处置预案13一、前言为了认真贯彻落实《国家能源局关于引发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全【2015】36号）、国家发改委2014年第14号令《电力监控系统安全防护规定》等有关文件的精神，确保电网安全、优质、稳定运行，根据本站二次系统和网络实际情况，结合电力二次安防相关文件要求，特制定本实施方案。二、系统简介电力二次系统包括：计算机监控系统、光功率预测系统及附属设备、AGC/AVC系统、电量采集装置、信息申报系统、PUM同步相量系统、调度数据网系统。 三、二次系统安全防护总体原则1.安全防护目标二次系统安全防护的重点是确保电力监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致的一次系统事故、大面积停电事故及二次系统的崩溃或瘫痪。电站安全防护的重要措施是强化发电厂二次系统的边界防护。2.相关的安全法规《国家能源局关于引发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全【2015】36号）、国家发改委2014年第14号令《电力监控系统安全防护规定》等3.系统安全防护策略安全分区：分区防护，突出重点。根据二次系统中的业务的重要性和对一次系统的影响程度进行分区，所有系统必须置于相应的安全区内，对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用：建立专用的电力数据网络，采用青海电力调度数据网，实现与其他数据网络的物理隔离，在技术手段上形成实时、非实时相互隔离的子网。保障上下级各安全区的纵向互联在相同安全区进行，避免安全区纵向交叉。横向隔离：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，即安全I区与安全II区之间采用逻辑隔离；安全I、II与安全III区之间隔离水平必须接近物理隔离。纵向认证：采用认证、加密、访问控制等手段实现数据的安全传输以及纵向边界的安全防护。安全I、II区的纵向边界应部署IP认证加密装置；安全III区的纵向边界应该部署硬件防火墙。4.本站安全区的划分序号安全I区安全II区管理信息大区（安全III和IV区）1光伏电站计算机监控系统2光功率预测3电能量采集装置4AGC/AVC5同步相量测量装置6信息申报系统网络安全防护6.安全区之间的隔离生产控制大区（站内监控系统）与管理信息大区（天气预报服务器）之间配置经国家指定部门检测认证的由中国电力科学研究院生产的型号为Stonewall-2000的电力专用反向安全隔离装置；站内生产控制大区与功率预测系统之间配置由网神生产的型号为secgate3600的防火墙；进入站内的外网经过由网神生产的型号为secgate3600的防火墙进行隔离。7.纵向传输的安全防护调度数据网路由器与实时交换机和非实时交换机之间分别安装了一台纵向加密装置，作为安全I区和安全II区纵向边界。四、实施方案1.站内二次系统整体的网络拓扑图上级调度2.计算机监控系统拓扑图3.光功率预测拓扑图功能：站内功率预测系统以高精度的数值气象预报为基础，搭建完备的数据库系统，并通过隔离措施采集光伏电站后台监控的环境监测数据，为光伏电站管理提供辅助手段，有助于上级调度机构统筹安排常规能源和新能源的协同配合。4.AGC/AVC拓扑图功能:用于自动发电控制并利用无功调节电压支持电网整体电压调节。5. 电量采集拓扑图功能：用于上传电站计量点计量底码等数据。6.信息申报发布系统拓扑图功能：负责接收上级调度下发的发电计划曲线、通知、并上报调度要求的报表。五、其他安全措施1.入侵检测无2.防病毒（1）后台监控主机因南瑞程序与网络杀毒软件不兼容，未安装杀毒软件。（2）禁止在控制区和管理区服务器外插U盘，对服务器UPS端口加封签。3.主机加固（1）后台监控关闭不安全的telnet等远程拨号，并开启系统安全审计功能。（2）信息申报与发布：采取Linux操作系统屏蔽显示系统版本等敏感信息的内容。4.日常安全管理制度为加强电站电力二次系统