涞源县烟煤洞乡南李庄村50兆瓦一期20兆瓦光伏项目电力监控系统安全防护方案

涞源县烟煤洞乡南李庄村50兆瓦一

期20兆瓦光伏项目 电力监控系统安全防护方案

2017年05月

涞源县烟煤洞乡南李庄村50兆瓦一期20兆瓦光

伏项目

电力监控系统安全防护方案

前言

为贯彻落实《电力二次系统安全防护规定》（发改委14号令）、《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范》（国能安全[2015]36号文）及其配套文件的精神及要求，做好涞源县烟煤洞乡南李庄村50兆瓦一期20兆瓦光伏项目电力二次系统安全防护工作，制定本防护方案。

1 防护目标及主要风险 1.1 防护目标

涞源县烟煤洞乡南李庄村50兆瓦一期20兆瓦光伏项目电力二次系统安全防护方案的总体目标是：确保电力监控系统及电力调度数据网络的安全，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力二次系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。

1.2 主要风险和防护重点

涞源县烟煤洞乡南李庄村50兆瓦一期20兆瓦光伏项目电力二次系统可能存在的风险来源有：

1） 相关部门或人员不遵守二次系统安全防护制度。 2） 内外在系统维护、调试期间使用笔记本和移动介质。 3） 公司生产网络与电力调度数据网的数据传输。 4） 公司生产网络与管理信息系统或其它广域网络等非电力

数据调度网之间的数据传输。

上述风险来源可能造成计算机病毒的泛滥、恶意代码的攻击

和黑客的入侵、涉及到以下几个方面的安全隐患：

1） 计算机病毒、恶意代码有机会从笔记本或移动介质进入

到电力二次系统。

2） 来自管理信息网络或其它连接网络病毒、恶意代码和黑

客攻击有可能通过与生产网络的接口进入到电力二次系统。

3） 公司生产网络与电力调度数据网之间的连接有可能病

毒、恶意代码和黑客攻击等数据通过。

因此防护的重点是确保河北南部电网电力二次系统及调度数据网络的安全、确保公司内部电力二次系统的安全，防护措施是强化电力二次系统的边界防护，提高内部安全防护能力。

2 安全防护方案 2.1 防护范围

2.1.1 NRS7000光伏电站监控系统：上海正泰自动化软件

系统有限公司光伏电站监控系统,通过网络方式实现RTU数据的传送。

2.1.2 AVC：北京四方继保自动化股份有限公司AVC系统，

通过网络方式进行数据传送。

2.1.3 AGC：北京四方继保自动化股份有限公司AGC系统，

通过网络方式进行数据传送。

2.1.4 远动系统上海正泰自动化软件系统有限公司公用远

动系统,通过网络方式实现RTU数据的传送

2.1.5 电能量计量系统：由深圳科陆电子科技股份有限公

司市关口表电能计量通过北京煜邦电力技术有限公司的电能量采集系统通过网络方式进行数据传送。

2.1.6 故障录波器：南京悠阔电气科技有限公司机组和线

路故障录波器。

2.1.7 调度数据网：网络设备采用中兴路由器ZXR 10 3800

交换机2950，纵向加密采用科东PSTunnel2000L。

2.1.8 光功率预测系统：北京四方继保自动化股份有限公

司生产的太阳能光伏电站功率预测系统，通过网络方式进行数据传送。

2.1.9 电力报表系统：采用北京嘉豪电力报表系统，经调

度数据网上传至省调。

2.1.10

三区OMS管理终端：涞源县烟煤洞乡南李庄村

50兆瓦一期20兆瓦光伏项目系统终端OMS系统，采用北京嘉豪OMS系统终端，通过防火墙接入到综合数据网中，经综合数据网上传至省调。

2.2 安全分区

电力二次系统安全防护原则为：“安全分区、网络专用、横向隔离、纵向认证”。

生产控制大区 业务系统及设序号 备 （一区） 1 2 3 4 5 6 7 NRS7000光伏电站监控系统 自动发电控制系统AGC 自动电压控制系统AVC 远动系统 故障录波 发电计划及电力报表机 光功率预测系统 监控功能 AGC 管理信息大区 办公网 （四区） 控制区 非控制区 调度管理区 （二区） （三区） AVC 通讯管理机 故障录波 报表终端 功率预测及上传

8 9 10 电能量计量系统 继电保护 三区管理终端（OMS） 继电保护装置及管理终端 电量采集 检修申请

2.3 安全防护设备

安全防护设备列表

编号 1 名称 横向隔离1（反向） 类型 横向隔离装置 位置 气象服务器与光功率预测服务器之间 2 3 4 6 7 8 纵向认证1（主） 纵向认证2（主） 纵向认证3（主） 纵向认证4（主） 防火墙1 防火墙2 纵向加密装置 纵向加密装置 纵向加密装置 纵向加密装置 防火墙 防火墙 一平面数据网出口 一平面数据网出口 二平面数据网出口 二平面数据网出口 OMS与综合数据网之间 科东 科东 科东 科东 华为 华为 南瑞 厂商 一区与二区之间 2.4 涞源县烟煤洞乡南李庄村50兆瓦一期20兆瓦光伏项目配置

涞源县烟煤洞乡南李庄村50兆瓦一期20兆瓦光伏项目配置的系统和设备包括综合终端、光伏功率预测（具有中期、短期负荷、超短期负荷预测）子系统、电能量远方终端（含关口表）、电能质量监测装置、时间监测装置、调度运行管理终端（检修申请等）、调度数据网（路由器、交换机）、调度管理信息网（路由器、交换机）及二次系统安全防护（物理隔离装置、硬件防火墙）等。

光伏电站后台监控功能由综合终端完成，综合终端安装在光