1、发电厂二次系统的防护措施发电厂二次系统的防护措施 发电厂安全防护的重要措施是强化发电发电厂安全防护的重要措施是强化发电厂二次系统的边界防护,保证生产控制厂二次系统的边界防护,保证生产控制网络专用。网络专用。合理的安全分区是强化边界防护的基础。合理的安全分区是强化边界防护的基础。网络隔离是边界防护的基本手段。网络隔离是边界防护的基本手段。发电厂升压站或开关站部分的安全防护发电厂升压站或开关站部分的安全防护按照按照变电站二次系统安全防护方案变电站二次系统安全防护方案执行。执行。电力企业应当按照电力企业应当按照“谁主管谁负责,谁主管谁负责,谁运营谁负责谁运营谁负责”的原则,落实分级的原则,落实分级负
2、责的责任制。负责的责任制。电力调度机构负责发电厂输变电部电力调度机构负责发电厂输变电部分的二次系统安全防护的技术监督,分的二次系统安全防护的技术监督,发电厂内其它二次系统可由其上级发电厂内其它二次系统可由其上级主管单位实施技术监督。主管单位实施技术监督。根据五号令根据五号令“电力二次系统安全防护规定电力二次系统安全防护规定”电力调度机构、发电厂、变电站等运行电力调度机构、发电厂、变电站等运行单位的电力二次系统安全防护实施方案单位的电力二次系统安全防护实施方案须经上级信息安全主管部门和相应电力须经上级信息安全主管部门和相应电力调度机构的审核,方案实施完成后应当调度机构的审核,方案实施完成后应当由
3、上述机构验收。由上述机构验收。接入电力调度数据网络的设备和应用系接入电力调度数据网络的设备和应用系统,其接入技术方案和安全防护措施须统,其接入技术方案和安全防护措施须经直接负责的电力调度机构核准。经直接负责的电力调度机构核准。建立电力二次系统安全评估制度,采取以建立电力二次系统安全评估制度,采取以自评估为主、联合评估为辅的方式,将电自评估为主、联合评估为辅的方式,将电力二次系统安全评估纳入电力系统安全评力二次系统安全评估纳入电力系统安全评价体系。价体系。建立健全电力二次系统安全的联合防护和建立健全电力二次系统安全的联合防护和应急机制,制定应急预案。电力调度机构应急机制,制定应急预案。电力调度机
4、构负责统一指挥调度范围内的电力二次系统负责统一指挥调度范围内的电力二次系统安全应急处理。当电力生产控制大区出现安全应急处理。当电力生产控制大区出现安全事件,应当立即向其上级电力调度机安全事件,应当立即向其上级电力调度机构报告,并联合采取紧急防护措施,同时构报告,并联合采取紧急防护措施,同时注意保护现场。注意保护现场。安全分区安全分区发电厂安全分区原则发电厂安全分区原则发电厂生产控制大区发电厂生产控制大区发电厂管理信息大区发电厂管理信息大区 发电厂安全分区原则发电厂安全分区原则发电厂二次系统分为生产控制大区和管理信息大发电厂二次系统分为生产控制大区和管理信息大区。区。对于省级以上调度机构直调的发
5、电厂,其对于省级以上调度机构直调的发电厂,其生产控生产控制大区又分为:控制区和非控制区。制大区又分为:控制区和非控制区。对于其他并网发电厂,特别是小型电厂,安全防对于其他并网发电厂,特别是小型电厂,安全防护措施可以根据具体情况进行简化,对生产控制护措施可以根据具体情况进行简化,对生产控制大区可不再细分,相当于只有控制区。大区可不再细分,相当于只有控制区。重点保重点保护监控系统,护监控系统,发电厂生产控制大区发电厂生产控制大区 发电厂的控制区主要包括以下业务系统和功能模块:发电厂的控制区主要包括以下业务系统和功能模块:火电厂厂级监控功能、火电机组控制系统火电厂厂级监控功能、火电机组控制系统DCS
6、DCS、调速、调速系统和自动发电控制功能、励磁系统和无功电压控系统和自动发电控制功能、励磁系统和无功电压控制功能、水电厂监控系统、梯级调度监控系统、网制功能、水电厂监控系统、梯级调度监控系统、网控系统、相量测量装置控系统、相量测量装置PMUPMU、各种控制装置、各种控制装置(电力系电力系统稳定器统稳定器PSSPSS、快关汽门装置等、快关汽门装置等)、五防系统等。、五防系统等。发电厂的非控制区主要包括以下业务系统和功能模发电厂的非控制区主要包括以下业务系统和功能模块:梯级水库调度自动化系统、水情自动测报系统、块:梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、电能量采集装置、
7、短水电厂水库调度自动化系统、电能量采集装置、短期电力市场报价终端、继电保护和故障录波信息管期电力市场报价终端、继电保护和故障录波信息管理终端等。理终端等。发电厂管理信息大区发电厂管理信息大区 发电厂的管理信息大区主要包括以发电厂的管理信息大区主要包括以下业务系统和功能模块:电厂生产下业务系统和功能模块:电厂生产管理系统、雷电监测系统、气象信管理系统、雷电监测系统、气象信息系统、大坝自动监测系统、防汛息系统、大坝自动监测系统、防汛信息系统、报价辅助决策系统、检信息系统、报价辅助决策系统、检修管理系统以及办公自动化(修管理系统以及办公自动化(OAOA)和管理信息系统(和管理信息系统(MISMIS)
8、等。)等。发电厂与调度机构接口发电厂与调度机构接口 控制区:开关场网控系统、机组控制区:开关场网控系统、机组AGCAGC、电、电厂厂AGCAGC、机组、机组AVCAVC、PSSPSS、快关汽门、梯级、快关汽门、梯级调度监控系统等。调度监控系统等。非控制区:电能量采集装置、继电保护非控制区:电能量采集装置、继电保护和故障录波信息管理终端、短期电力市和故障录波信息管理终端、短期电力市场报价终端、水情自动测报系统等。场报价终端、水情自动测报系统等。火电厂二次系统安全防护火电厂二次系统安全防护总体部署总体部署 火电厂的监控系统火电厂的监控系统火电厂分散分层控制系统火电厂分散分层控制系统 火电厂的监控系
9、统火电厂的监控系统火电厂监控系统主要包括机组单元火电厂监控系统主要包括机组单元控制、自动发电控制、机组保护和控制、自动发电控制、机组保护和自动装置、辅机控制、公用系统;自动装置、辅机控制、公用系统;输变电部分包括数据采集、控制保输变电部分包括数据采集、控制保护和自动装置等;公用系统包括厂护和自动装置等;公用系统包括厂用电、化学水、输煤、燃油、循环用电、化学水、输煤、燃油、循环水等。机炉电辅系统的监控系统涉水等。机炉电辅系统的监控系统涉及火电厂监控系统的核心业务。及火电厂监控系统的核心业务。火电厂分散分层控制系统(火电厂分散分层控制系统(1)第一级为生产过程控制级:直接面第一级为生产过程控制级:
10、直接面向生产过程的现场仪表,完成生产向生产过程的现场仪表,完成生产过程的数据采集、自动调节控制、过程的数据采集、自动调节控制、顺序控制和批量控制等。安全防护顺序控制和批量控制等。安全防护的重点是防止外部的非法访问或入的重点是防止外部的非法访问或入侵。侵。火电厂分散分层控制系统(火电厂分散分层控制系统(2)第二级为生产监控操作级:以监控操作为主要第二级为生产监控操作级:以监控操作为主要任务,面向现场运行操作人员、系统工程师,任务,面向现场运行操作人员、系统工程师,提供现场操作过程的全部信息,指导现场工作提供现场操作过程的全部信息,指导现场工作人员的相关操作。并配备各种外部设备,存储人员的相关操作
11、。并配备各种外部设备,存储生产过程全部实时数据。另外还提供计算机接生产过程全部实时数据。另外还提供计算机接口单元及专用通信协议对外通信,通信方式有口单元及专用通信协议对外通信,通信方式有网络、现场总线、串口和并口等。应当在与厂网络、现场总线、串口和并口等。应当在与厂级监控系统及调度中心的通信接口处采取安全级监控系统及调度中心的通信接口处采取安全防护措施。防护措施。火电厂分散分层控制系统(火电厂分散分层控制系统(3)第三级厂级监控系统管理一个或多第三级厂级监控系统管理一个或多个监控操作级别,通常采用基于个监控操作级别,通常采用基于TCP/IPTCP/IP的数据网络通信。主要对发的数据网络通信。主
12、要对发电厂全厂生产过程进行综合优化、电厂全厂生产过程进行综合优化、实时管理和监控。应当在生产控制实时管理和监控。应当在生产控制大区与管理信息大区之间部署强隔大区与管理信息大区之间部署强隔离的安全防护措施。离的安全防护措施。水电厂二次系统安全防护水电厂二次系统安全防护总体部署总体部署 水电厂二次系统水电厂二次系统梯级水电厂安全防护部署梯级水电厂安全防护部署 水电厂二次系统水电厂二次系统水电厂二次系统主要包括:水情自动测报系水电厂二次系统主要包括:水情自动测报系统、水电厂监控系统、统、水电厂监控系统、继电保护和故障录波继电保护和故障录波信息管理终端、信息管理终端、电能量采集装置、大坝自动电能量采集
13、装置、大坝自动监测系统、交直流电源控制系统、电力市场监测系统、交直流电源控制系统、电力市场报价终端等。报价终端等。水电厂监控系统包括机组单元控制、机组保水电厂监控系统包括机组单元控制、机组保护和自动装置、辅机控制、公用系统控制、护和自动装置、辅机控制、公用系统控制、闸门控制;输变电部分包括数据采集、控制闸门控制;输变电部分包括数据采集、控制保护和自动装置;公用系统包括厂用电、油、保护和自动装置;公用系统包括厂用电、油、水、气系统等。水、气系统等。梯级水电厂安全防护部署梯级水电厂安全防护部署梯级调度中心安全防护部署可梯级调度中心安全防护部署可参照省级调度中心及地级集控参照省级调度中心及地级集控中
14、心安全防护方案执行。中心安全防护方案执行。当水电厂监控系统与梯级调度当水电厂监控系统与梯级调度中心或监控中心之间通过广域中心或监控中心之间通过广域网络连接时,应当采取必要的网络连接时,应当采取必要的安全防护措施。安全防护措施。发电厂二次系统安全防护的总体要求发电厂二次系统安全防护的总体要求 发电厂安全大区间防护要求发电厂安全大区间防护要求 发电厂控制区内各系统间防护要求发电厂控制区内各系统间防护要求 发电厂的电力调度数据网边界配置要求发电厂的电力调度数据网边界配置要求 直调发电厂直调发电厂二次系统安全防护要求二次系统安全防护要求 小型发电厂小型发电厂二次系统安全防护要求二次系统安全防护要求 发
15、电厂电能量采集装置发电厂电能量采集装置 发电厂短期发电厂短期电力市场报价终端部署电力市场报价终端部署 发电厂发电厂管理信息大区管理信息大区发电厂安全大区间防护要求发电厂安全大区间防护要求 发电厂的生产控制大区与管理信发电厂的生产控制大区与管理信息大区间相连必须采取接近于物息大区间相连必须采取接近于物理隔离强度的隔离措施理隔离强度的隔离措施 。如以。如以网络方式相连,必须部署电力专网络方式相连,必须部署电力专用横向单向安全隔离装置。用横向单向安全隔离装置。发电厂控制区内各系统间防护要求发电厂控制区内各系统间防护要求 发电厂内同属于控制区的各机发电厂内同属于控制区的各机组监控系统之间、机组监控系组
16、监控系统之间、机组监控系统与公用控制系统之间,尤其统与公用控制系统之间,尤其与输变电部分控制系统之间应与输变电部分控制系统之间应当采取必要的访问控制措施。当采取必要的访问控制措施。发电厂的电力调度数据网边界配置发电厂的电力调度数据网边界配置要求要求 对于没有对于没有DCSDCS系统,或不参与系统,或不参与AGCAGC、AVCAVC调调节的发电厂,其电力调度数据网边界配节的发电厂,其电力调度数据网边界配置的安全防护措施可根据具体情况进行置的安全防护措施可根据具体情况进行简化。简化。参与系统参与系统AGCAGC、AVCAVC调节的发电厂应当在调节的发电厂应当在电力调度数据网边界配置纵向加密认证电力
17、调度数据网边界配置纵向加密认证装置或纵向加密认证网关进行安全防护。装置或纵向加密认证网关进行安全防护。省级以上直调发电厂二次系统安全省级以上直调发电厂二次系统安全防护要求防护要求 对于省级以上调度机构直调发电厂的二对于省级以上调度机构直调发电厂的二次系统,可在厂级层面构造控制区和非次系统,可在厂级层面构造控制区和非控制区。将故障录波装置和电能量采集控制区。将故障录波装置和电能量采集装置置于非控制区;对于发电厂的控制装置置于非控制区;对于发电厂的控制区内具有电能量采集装置,可以只将计区内具有电能量采集装置,可以只将计量通信网关置于非控制区。对于具有远量通信网关置于非控制区。对于具有远方设置功能的
18、继电保护管理终端应当置方设置功能的继电保护管理终端应当置于控制区,否则可以置于非控制区。于控制区,否则可以置于非控制区。小型发电厂小型发电厂二次系统安全防护要求二次系统安全防护要求 对于没有对于没有DCSDCS的小型发电厂的二次系统,的小型发电厂的二次系统,其生产控制大区可以不再细分,可将各其生产控制大区可以不再细分,可将各业务系统和装置均置于控制区,其中在业务系统和装置均置于控制区,其中在控制区中的故障录波装置和电能量采集控制区中的故障录波装置和电能量采集装置可以通过调度数据网或拨号方式与装置可以通过调度数据网或拨号方式与相应调度中心通信。需要考虑内部各系相应调度中心通信。需要考虑内部各系统
19、间的访问控制。统间的访问控制。调度中心控制区调度中心控制区调度中心非控制区调度中心非控制区电力调度数据网实时子网非实时子网电厂管理信息大区电厂管理信息大区逻逻辑辑隔隔离离电厂控制区电厂控制区专用安全专用安全隔离装置隔离装置发电厂发电厂电能量采集装置电能量采集装置 非控制区内厂站端电能量采集装非控制区内厂站端电能量采集装置与电厂其它的业务系统不存在置与电厂其它的业务系统不存在网络方式连接、只接受调度端电网络方式连接、只接受调度端电能量计量系统的拨入请求、且使能量计量系统的拨入请求、且使用专用通信协议时,可以不采取用专用通信协议时,可以不采取安全防护措施。安全防护措施。发电厂短期发电厂短期电力市场
20、报价终端部署电力市场报价终端部署发电厂短期电力市场报价终端部署在发电厂短期电力市场报价终端部署在非控制区,与运行在管理信息大区的非控制区,与运行在管理信息大区的报价辅助决策系统信息交换应当采用报价辅助决策系统信息交换应当采用电力专用横向单向安全隔离装置。发电力专用横向单向安全隔离装置。发电企业的市场报价终端与同安全区内电企业的市场报价终端与同安全区内其它业务系统进行数据交换时,应当其它业务系统进行数据交换时,应当采取必要的安全措施,以保证敏感数采取必要的安全措施,以保证敏感数据的安全。据的安全。发电厂发电厂管理信息大区管理信息大区发电厂管理信息大区的业务主要发电厂管理信息大区的业务主要运行在发
21、电企业数据网或公共数运行在发电企业数据网或公共数据网,发电企业可遵照安全防护据网,发电企业可遵照安全防护规定的原则,根据各自实际情况,规定的原则,根据各自实际情况,自行决定其安全防护策略和措施。自行决定其安全防护策略和措施。发电厂二次系统的特点(一)发电厂二次系统的特点(一)电厂二次系统与调度中心二次系统相比具有电厂二次系统与调度中心二次系统相比具有不同特点:地域分散、参与人员众多、需加不同特点:地域分散、参与人员众多、需加强物理设备安全,所以技术措施不可能解决强物理设备安全,所以技术措施不可能解决一切问题,需要加强管理,保证高安全区基一切问题,需要加强管理,保证高安全区基本的物理安全。电厂二
22、次系统安全防护中管本的物理安全。电厂二次系统安全防护中管理重于技术。理重于技术。发电厂的控制属于工业过程控制范畴,是典发电厂的控制属于工业过程控制范畴,是典型分散分层控制系统,系统结构复杂,所以型分散分层控制系统,系统结构复杂,所以对生产控制大区安全区内各系统的访问控制对生产控制大区安全区内各系统的访问控制要加以特别注意。要加以特别注意。发电厂二次系统的特点(二)发电厂二次系统的特点(二)因原有设备部署限制、地域、扩建、产权因原有设备部署限制、地域、扩建、产权不同和自动化水平等因素,同一电厂内或不同和自动化水平等因素,同一电厂内或者梯级内可能平行存在多个相互独立的设者梯级内可能平行存在多个相互
23、独立的设备控制系统,所以同一电厂内可以存在多备控制系统,所以同一电厂内可以存在多个相同级别的但并不互连的安全区。生产个相同级别的但并不互连的安全区。生产控制大区与管理信息大区之间隔离方案可控制大区与管理信息大区之间隔离方案可根据实际情况处理。根据实际情况处理。在电厂中有可能安全区内部以广域网互连在电厂中有可能安全区内部以广域网互连则连接端点应视为纵向边界,采取相应安则连接端点应视为纵向边界,采取相应安全措施。全措施。发电厂二次系统安全防护实施(一)发电厂二次系统安全防护实施(一)在保证满足安全防护的前提下进行安全分区、在保证满足安全防护的前提下进行安全分区、应用系统改造时应尽可能简化网络系统,
24、保应用系统改造时应尽可能简化网络系统,保证系统的可靠性、稳定性,并节约投资。证系统的可靠性、稳定性,并节约投资。在保证边界清晰、通信安全的前提下,对已在保证边界清晰、通信安全的前提下,对已有系统控制区和非控制区内子系统不必强行有系统控制区和非控制区内子系统不必强行分割。例如中小型电厂监控系统整合了生产分割。例如中小型电厂监控系统整合了生产控制大区内多数功能,不易分割。控制大区内多数功能,不易分割。与调度中心相连接的系统应处于相当的安全与调度中心相连接的系统应处于相当的安全区。区。发电厂二次系统安全防护实施(二)发电厂二次系统安全防护实施(二)发电厂二次系统生产控制大区各系统应只面向现场发电厂二
25、次系统生产控制大区各系统应只面向现场运行操作人员和系统工程师运行操作人员和系统工程师 。通信网关机使用通信网关机使用TCP/IPTCP/IP等网络协议,不能承担边界等网络协议,不能承担边界防护的功能。跨安全区的通信必须采取安全隔离措防护的功能。跨安全区的通信必须采取安全隔离措施,保证相应的安全隔离强度。施,保证相应的安全隔离强度。串口在非网络方式下可认为二端系统处于逻辑隔离。串口在非网络方式下可认为二端系统处于逻辑隔离。如非网络方式保证单向可认为接近于物理隔离(仅如非网络方式保证单向可认为接近于物理隔离(仅用于正向)。用于正向)。由于恶意代码会严重干扰发电厂二次系统终端、服由于恶意代码会严重干
26、扰发电厂二次系统终端、服务器甚至网络的运行,破坏系统可用性,且具有普务器甚至网络的运行,破坏系统可用性,且具有普遍性,需加强恶意代码防护。遍性,需加强恶意代码防护。火力发电厂的监控信息系统火力发电厂的监控信息系统 对于监控信息系统对于监控信息系统SIS(Supervisory information SIS(Supervisory information systemsystem)由于各电厂的实际情况和个人对其功能的理解)由于各电厂的实际情况和个人对其功能的理解有较大差异,所以可根据总体方案的要求,依其各模块有较大差异,所以可根据总体方案的要求,依其各模块功能而分置入不同安全区。功能而分置入不
27、同安全区。具有生产控制功能的模块必须属于控制区,具有生产控制功能的模块必须属于控制区,SISSIS的主的主体属于生产控制大区,体属于生产控制大区,SISSIS的生产管理信息或使用电力的生产管理信息或使用电力企业数据网通信部份属于管理信息大区。企业数据网通信部份属于管理信息大区。如果如果SISSIS与短期报价终端相连,必须有严格安全防护与短期报价终端相连,必须有严格安全防护措施。一般来说措施。一般来说SISSIS与与MISMIS系统间要使用电力专用安全隔系统间要使用电力专用安全隔离装置。离装置。火电厂二次系统安全防护火电厂二次系统安全防护方案举例方案举例 某火电厂二次系统说明某火电厂二次系统说明
28、某火电厂二次系统安全防护方案某火电厂二次系统安全防护方案主站/控制站/操作员站DP/PLC现场总线网关机网关机主站/控制站/操作员站DP/PLC现场总线网关机网关机某火电厂二次系统说明(一)某火电厂二次系统说明(一)某电厂利用以太网将原有独立的机组某电厂利用以太网将原有独立的机组DCSDCS系统、系统、升压站控制系统和公共系统控制单元(升压站控制系统和公共系统控制单元(PLCPLC)联结。该生产控制网络利用二层交换机级联联结。该生产控制网络利用二层交换机级联构成。构成。两台机组两台机组DCSDCS仍然独立,无外部控制信号接入,仍然独立,无外部控制信号接入,但将来技术改造要求升级但将来技术改造要
29、求升级DCSDCS系统并与系统并与SISSIS系系统融合,实现集中操控。升压站控制系统为统融合,实现集中操控。升压站控制系统为该网络核心,形成该网络核心,形成SCADASCADA系统和实时数据库。系统和实时数据库。其他系统控制单元使用网络或者硬线连接通其他系统控制单元使用网络或者硬线连接通信网关机接入生产控制网,部分控制单元可信网关机接入生产控制网,部分控制单元可由由SISSIS系统直接管理和控制。系统直接管理和控制。某火电厂二次系统说明(二)某火电厂二次系统说明(二)该网络有两个外部出口,分别连接该网络有两个外部出口,分别连接企业管理网和其集团公司电力生产企业管理网和其集团公司电力生产数据网
30、,均采用防火墙进行网络隔数据网,均采用防火墙进行网络隔离。离。除集控室系统及终端外,该厂主要除集控室系统及终端外,该厂主要领导及生产部门领导桌面均有领导及生产部门领导桌面均有SISSIS系系统终端。统终端。主站/控制站/操作员站DP/PLC现场总线网关机网关机主站/控制站/操作员站DP/PLC现场总线网关机网关机某火电厂二次系统安全防护方案(一某火电厂二次系统安全防护方案(一)生产控制网络与企业管理信息网使用专用安全隔离生产控制网络与企业管理信息网使用专用安全隔离装置进行隔离;集团公司远程生产数据上报系统从装置进行隔离;集团公司远程生产数据上报系统从管理信息数据库取数,不与生产控制网络连接。管
31、理信息数据库取数,不与生产控制网络连接。生产控制网络主交换机更改为支持生产控制网络主交换机更改为支持VLANVLAN划分和完善划分和完善访问控制的三层交换机,下联交换机也必须支持访问控制的三层交换机,下联交换机也必须支持VLANVLAN划分,将各控制系统单元置于不同的划分,将各控制系统单元置于不同的VLANVLAN中,中,主交换机设置合理的访问策略。主交换机设置合理的访问策略。其其SISSIS系统子应用间不易隔离,都需要访问系统子应用间不易隔离,都需要访问SISSIS数据数据库。应将无直接控制功能的服务器和终端置于非控库。应将无直接控制功能的服务器和终端置于非控制区的制区的VLANVLAN中,
32、禁止直接访问控制单元边界。中,禁止直接访问控制单元边界。某火电厂二次系统安全防护方案(二)某火电厂二次系统安全防护方案(二)严格管理生产控制网内网络设备严格管理生产控制网内网络设备及终端,保证不被非授权人员使及终端,保证不被非授权人员使用;收回领导桌面生产网络终端。用;收回领导桌面生产网络终端。原防病毒系统与管理信息网分离,原防病毒系统与管理信息网分离,单独设立防病毒系统,定期在保单独设立防病毒系统,定期在保证安全的前提下离线升级。证安全的前提下离线升级。水电厂二次系统安全防护水电厂二次系统安全防护方案举例方案举例 某水电厂二次系统说明某水电厂二次系统说明某水电厂安全防护方案某水电厂安全防护方
33、案主站/控制站/操作员站DP/PLC现场总线网关机路由器主站/控制站/操作员站DP/PLC现场总线网关机网关机某水电厂二次系统说明(一)某水电厂二次系统说明(一)某电厂有两个梯级电站,在下游电站内实现某电厂有两个梯级电站,在下游电站内实现集中梯级监控调度。集中梯级监控调度。上游电站有完善的电站生产监控系统,提供上游电站有完善的电站生产监控系统,提供远程控制和工程师站功能,该系统连接至梯远程控制和工程师站功能,该系统连接至梯级监控中心。当地无外接其他信息系统。级监控中心。当地无外接其他信息系统。下游电站也有相对独立完善的电站生产监控下游电站也有相对独立完善的电站生产监控系统还兼作梯级监控中心。系
34、统还兼作梯级监控中心。两级电站其他二次系统均直接连接至梯调中两级电站其他二次系统均直接连接至梯调中心,组成梯级监控系统。心,组成梯级监控系统。某水电厂二次系统说明(二)某水电厂二次系统说明(二)该网络有一个外部出口,连接企业管理网,该网络有一个外部出口,连接企业管理网,采用防火墙进行网络隔离。但其气象水文采用防火墙进行网络隔离。但其气象水文系统可穿越防火墙直接访问互联网以获得系统可穿越防火墙直接访问互联网以获得相应数据。相应数据。水文、气象、水情自动测报和大坝监测系水文、气象、水情自动测报和大坝监测系统等相对独立于梯级监控系统。统等相对独立于梯级监控系统。防火墙集成防火墙集成VPNVPN功能,
35、该厂主要领导及生产功能,该厂主要领导及生产部门领导可通过该系统访问梯级监控系统。部门领导可通过该系统访问梯级监控系统。主站/控制站/操作员站DP/PLC现场总线网关机路由器主站/控制站/操作员站DP/PLC现场总线网关机网关机某水电厂二次系统安全防护方案说明某水电厂二次系统安全防护方案说明 生产控制网络与企业管理信息网使用专用安生产控制网络与企业管理信息网使用专用安全隔离设备进行隔离,不支持全隔离设备进行隔离,不支持VPNVPN访问。访问。生产控制网络主交换机更改为支持生产控制网络主交换机更改为支持VLANVLAN划分划分和完善访问控制的三层交换机,下联交换机和完善访问控制的三层交换机,下联交
36、换机也必须支持也必须支持VLANVLAN划分,将各子电站置于不同划分,将各子电站置于不同的的VLANVLAN中,主交换机设置合理的访问策略。中,主交换机设置合理的访问策略。非控制子系统间较为独立,可以使用防火墙非控制子系统间较为独立,可以使用防火墙与控制区隔离,外界数据需要通过专用安全与控制区隔离,外界数据需要通过专用安全隔离装置摆渡。隔离装置摆渡。应保证远程通信手段的安全性和稳定性。应保证远程通信手段的安全性和稳定性。电厂二次系统安全防护几个专题电厂二次系统安全防护几个专题 对大型电厂和小型电厂界定的思考对大型电厂和小型电厂界定的思考短期电力市场接口要求短期电力市场接口要求报价终端系统要求报
37、价终端系统要求发布信息接收安全发布信息接收安全WEB厂内专用市场信息厂内专用市场信息WEB电厂拨号访问服务电厂拨号访问服务在文中比较笼统地把电厂分为大型电厂和小型电厂,在文中比较笼统地把电厂分为大型电厂和小型电厂,而二者的安全防护的要求也有较大差距,因而可能需而二者的安全防护的要求也有较大差距,因而可能需要对大型电厂和小型电厂做个界定。要对大型电厂和小型电厂做个界定。我们认为:严格地说,我们认为:严格地说,电厂应该按其对于电力系统的电厂应该按其对于电力系统的重要性来进行安全防护重要性来进行安全防护,当然电厂的容量大小无疑是,当然电厂的容量大小无疑是区分电厂重要性的很重要的方面,但并不是绝对的。
38、区分电厂重要性的很重要的方面,但并不是绝对的。比如机组类型、容量、调节容量、负荷升降速度可能比如机组类型、容量、调节容量、负荷升降速度可能影响带基荷影响带基荷/调峰调峰/调频;是否是枢纽点电压调节和防调频;是否是枢纽点电压调节和防止电压失稳的电压支撑点;不同运行方式下可能造成止电压失稳的电压支撑点;不同运行方式下可能造成线路过负荷或失稳;黑起动要求甚至与电厂是嵌入的线路过负荷或失稳;黑起动要求甚至与电厂是嵌入的还是经电源线路接入电网的有关。还是经电源线路接入电网的有关。因而因而“规定规定”会规定发电厂二次系统安全防护实施方会规定发电厂二次系统安全防护实施方案须经上级信息安全主管部门和相应电力调
39、度机构的案须经上级信息安全主管部门和相应电力调度机构的审核,方案实施完成后应当由上述机构验收。审核,方案实施完成后应当由上述机构验收。与短期电力市场有关的电能量采集、发与短期电力市场有关的电能量采集、发布信息接收和价格申报都在发电厂的非控制布信息接收和价格申报都在发电厂的非控制区中。区中。电能量采集可以采用网络方式或拨号服电能量采集可以采用网络方式或拨号服务,电能量计量装置通常在开关场网控室。务,电能量计量装置通常在开关场网控室。发布信息接收终端和报价终端通常均在发布信息接收终端和报价终端通常均在厂内办公楼厂内办公楼。与交易中心主要访问方式是双与交易中心主要访问方式是双向文本通信,通信内容包括
40、发布信息接收和向文本通信,通信内容包括发布信息接收和报价。拨号通信是仅作电厂的备用报价方式。报价。拨号通信是仅作电厂的备用报价方式。与交易中心的纵向与交易中心的纵向WEBWEB通信仅用于信息发布通信仅用于信息发布而且不推荐此种方式。而且不推荐此种方式。电能量和市场报价这二种数据都属于敏感电能量和市场报价这二种数据都属于敏感数据,因而不仅要处理纵向通信安全防护数据,因而不仅要处理纵向通信安全防护而且涉及敏感数据的信息安全。而且涉及敏感数据的信息安全。对具有敏感市场数据设备的访问必须经身对具有敏感市场数据设备的访问必须经身份认证及控制访问权限,以实现具有证书份认证及控制访问权限,以实现具有证书的用
41、户的授权访问。对具有敏感市场数据的用户的授权访问。对具有敏感市场数据设备的端口应加装入侵检测探头;具有敏设备的端口应加装入侵检测探头;具有敏感市场数据设备应提供可靠而及时的关于感市场数据设备应提供可靠而及时的关于访问设备的信息,以实现对重要事件的检访问设备的信息,以实现对重要事件的检测和审计能力。测和审计能力。发电厂二次系统非控制区的纵向边界应设置具备逻发电厂二次系统非控制区的纵向边界应设置具备逻辑隔离功能的接入交换机,经专用纵向加密认证装辑隔离功能的接入交换机,经专用纵向加密认证装置和路由器接入调度数据网非实时子网。置和路由器接入调度数据网非实时子网。可采用三层交换机的二级级联。三层交换机应
42、起到可采用三层交换机的二级级联。三层交换机应起到信号汇聚和访问控制作用,所以接入交换机的信号汇聚和访问控制作用,所以接入交换机的VLANVLAN划分应以地域为主,而下级交换机的划分应以地域为主,而下级交换机的VLANVLAN划分以就划分以就地访问控制为主。地访问控制为主。在开关场网控系统处的专用电能量采集拨号(如有)在开关场网控系统处的专用电能量采集拨号(如有)和升压站电能量采集系统;在厂内的专用报价拨号和升压站电能量采集系统;在厂内的专用报价拨号(如有)、报价终端和信息发布(如有)、报价终端和信息发布WEBWEB客户端(如有)客户端(如有)都经各自都经各自VLANVLAN接入到下级交换机。接
43、入到下级交换机。如有必要,可在有关端口安装入侵检测如有必要,可在有关端口安装入侵检测(IDS)(IDS)的探的探头。头。短期电力市场报价终端在非控制区,短期电力市场报价终端在非控制区,目前必需是独立系统。报价终端应该目前必需是独立系统。报价终端应该有基于数字证书的登录身份认证,应有基于数字证书的登录身份认证,应该实现在应用层与网调和省、市调端该实现在应用层与网调和省、市调端对端的基于数字证书的身份认证与加对端的基于数字证书的身份认证与加密通信,应该完成对报价表的数字签密通信,应该完成对报价表的数字签名,以提供数据完整性。名,以提供数据完整性。电厂的报价辅助决策系统必定会大量得到应用。电厂的报价
44、辅助决策系统必定会大量得到应用。该系统位于管理信息大区。该系统位于管理信息大区。报价决策系统不仅需要当前和历史的市场发布信报价决策系统不仅需要当前和历史的市场发布信息、当前和历史的自身报价而且需要发电成本和息、当前和历史的自身报价而且需要发电成本和服务成本来进行报价决策。因而该系统不仅要处服务成本来进行报价决策。因而该系统不仅要处理纵向数据通信的安全而且涉及与厂内经济成本理纵向数据通信的安全而且涉及与厂内经济成本分析软件的接口。分析软件的接口。除纵向数据通信的安全措施外,建议与位于非控除纵向数据通信的安全措施外,建议与位于非控制区的报价终端通信要采用具有强身份认证和加制区的报价终端通信要采用具
45、有强身份认证和加密功能的反向专用安全隔离装置。密功能的反向专用安全隔离装置。如有必要,在管理信息大区内可构造厂内专用市如有必要,在管理信息大区内可构造厂内专用市场信息场信息WEB。采用安全采用安全WEBWEB技术,浏览端设备使技术,浏览端设备使用用HTTPSHTTPS协议。协议。浏览端设备应位于接入交换机的专浏览端设备应位于接入交换机的专用纵向用纵向WEBWEB网段,且该网段与非控网段,且该网段与非控制区的其它业务系统隔离。制区的其它业务系统隔离。浏览端设备用户必须具有证书。浏览端设备用户必须具有证书。厂内可以为有关领导开通位于管理信息大区厂内可以为有关领导开通位于管理信息大区的专用市场信息的
46、专用市场信息WEBWEB。市场信息。市场信息WEBWEB必需是独必需是独立系统,必须符合立系统,必须符合VLANVLAN端口专用、局域网专端口专用、局域网专用、用、WEBWEB服务器专用和服务器专用和WEBWEB客户端专用原则,客户端专用原则,必须定时从报价辅助决策系统的报价服务器必须定时从报价辅助决策系统的报价服务器主动导出市场信息到此主动导出市场信息到此WEBWEB服务器,可使用服务器,可使用HTTPSHTTPS协议采用安全协议采用安全WEBWEB技术。浏览市场信息技术。浏览市场信息WEBWEB服务器的用户必须具有证书。服务器的用户必须具有证书。电厂拨号访问服务(一)电厂拨号访问服务(一)
47、使用拨号访问服务的业务有远程维护、远方值班、使用拨号访问服务的业务有远程维护、远方值班、传输传输故障录波信息、故障录波信息、电能量采集和市场报价。电能量采集和市场报价。对于对于远程维护和远方值班可发生在任何安全区中,远程维护和远方值班可发生在任何安全区中,要求要求用户端使用用户端使用UNIXUNIX或或LINUXLINUX操作系统且采取操作系统且采取专号、专号、反叫、不得呼叫转移、反叫、不得呼叫转移、证书认证或语音认证、加证书认证或语音认证、加密、访问控制等安全防护措施。密、访问控制等安全防护措施。对于对于故障录波信息,目前是调度端发出请求,电故障录波信息,目前是调度端发出请求,电厂端以拨号方
48、式传输故障录波文件,因而通信是厂端以拨号方式传输故障录波文件,因而通信是随机的。随机的。要求电厂端使用要求电厂端使用UNIXUNIX或或LINUXLINUX操作系统且操作系统且采取专号、反叫、不得呼叫转移、语音认证或证采取专号、反叫、不得呼叫转移、语音认证或证书认证、加密、访问控制等安全防护措施。书认证、加密、访问控制等安全防护措施。电厂拨号访问服务(二)电厂拨号访问服务(二)拨号通信可能是电能量采集方式之一。拨号通信可能是电能量采集方式之一。可采取专号和反叫等措施。只允许从可采取专号和反叫等措施。只允许从调度端向电厂端单向拨号且不得有拨调度端向电厂端单向拨号且不得有拨号转移,要求电厂端的计量
49、装置与电号转移,要求电厂端的计量装置与电厂其它二次系统必须有相应的安全隔厂其它二次系统必须有相应的安全隔离措施。(目前要求电厂端计量装置离措施。(目前要求电厂端计量装置与当地系统分离)与当地系统分离)电厂拨号访问服务(三)电厂拨号访问服务(三)拨号通信是仅作为市场报价的备用方式,拨号通信是仅作为市场报价的备用方式,传递标准格式的报价文件。电厂报价终端传递标准格式的报价文件。电厂报价终端可采取专号和反叫等措施。报价终端应该可采取专号和反叫等措施。报价终端应该有基于数字证书的登录身份认证。应该实有基于数字证书的登录身份认证。应该实现在应用层与网调和省、市调端对端的基现在应用层与网调和省、市调端对端的基于数字证书的身份认证与加密通信,应该于数字证书的身份认证与加密通信,应该完成对报价表的数字签名。若无条件实现完成对报价表的数字签名。若无条件实现安全防护时,则禁止开通拨号访问的市场安全防护时,则禁止开通拨号访问的市场报价。报价。
