4 风电场电力监控系统安全防护基本原则
4.1 安全分区
按照《电力监控该系统安全防护规定》,本方案将风电场基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产大区分为控制区(安全区I)及非控制区(安全区II),重点保护生产控制以及之间影响风电场生产的系统。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。 4.2 网络专用
电力调度数据网是与生产控制大区相连接的专用网络,承载电力实时控制、在线生产交易等业务。风电场端的调度数据网在专用通道上使用独立的网络设备组网,在物理层面上实现与电力其他企业及外部公共信息网络的安全隔离。风电场端的电力调度数据网划分为逻辑隔离实时子网和非实时子网,分别连接控制区和非控制区。 4.3 横向隔离
横向隔离是电力监控系统安全防护体系的横向防线。风电场在生产控制大区与信息管理大区之间部署经国家指定部门检测认证的电力专用安全横向单向隔离装置,隔离强度接近物理隔离。
生产控制大区内的安全区之间采用具有访问控制功能的网络设备、安全可靠的硬件防火墙,实现逻辑隔离,且防火墙的功能、性能、电磁兼容性均经过国家相关部门的认证和测试。 4.4 纵向认证
纵向加密认证是电力监控系统安全防护体系的纵向防护线。风电
场生产控制大区与调度数据网之间纵向连接出设置经过国家指定部门检测认证的电力专用纵向认证装置,实现双向身份认证、数据加密和访问控制。 4.5 综合防护
结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行的安全防护过程。
5 风电场电力监控系统安全分区
5.1 控制区(安全区I)
星火风电场的控制区主要包括以下业务系统和功能模块:风机监控系统、无功电压控制(AVC)、有功功率控制系统(AGC)、升压站监视系统、相量测量装置(PMU)、继电保护等。 5.2 非控制区(安全区II)
星火风电场的非控制区主要包括以下业务系统和功能模块:风功率预测系统、电能量采集装置和故障录波装置等。 5.3 管理信息大区
星火风电场的管理信息大区主要包括以下业务系统和功能模块:天气预报系统、检修管理系统、测风塔系统和办公信息系统等。 5.4 风电场电力监控系统安全分区表
序号 业务系统及设备 1 2 风机监控系统 无功电压控制 控制区 非控制区 管理信息大区 备注 A2 A1 3 4 5 6 7 8 风机监控系统 无功电压控制(AVC) 升压站监视系统: 线路测控装置 升压站监视系统 110kV主变测控装置 公用测量装置 失步解列装置 相量测量装置相量测量装置PMU PMU 继电保护装置及管理继电保护 终端 故障录波故障录波 装置 电能量采电能量采集装置 集装置 风功率预测系统 风机功率 A1 B B B A1、B A1、序号 业务系统及设备 9 测风塔系统 控制区 非控制区 预测 管理信息大区 测风塔 天气预报系统 备注 A2 A2 A2 10 天气预报系统 注:1、A1与调度中心有关的风电场设备;2、A2风电场内部监控系统;3、B调度中心监控系统的厂站侧设备
6 边界安全防护
6.1 横向边界防护
6.1.1生产控制大区与管理信息大区边界安全防护
风电场生产控制大区与管理信息大区之间通信部署1台南瑞SysKeeper-2000(正向型)电力专用正向安全隔离装置和1台SysKeeper-2000(反向型)电力专用反向安全隔离装置。 6.1.2 控制区与非控制区边界防安全防护
风电场在控制区和非控制区之间部署1台具有访问控制功能的迪普FW1000-MA-N型防火墙,以实现逻辑隔离、报文过滤、访问控制等功能。该防火墙经过国家相关部门的认证和测试,符合安全防护要求。
6.1.3 系统间的安全防护
风电场内属于安全区I的各监视控制系统之间、风机监控系统与控制系统之间、同一风电场的不同风机的不同监视功能之间,尤其是风机监视系统与输变电部分控制系统之间,采取划分归属不同VLAN的逻辑访问控制措施。
风电场内同属安全II的个网络之间,各不同位置的风机、厂站网络之间,采取划分归属不同VLAN的逻辑访问控制措施。
风电场内同属管理信息大区内的各系统之间、不同位置的风机、厂站网络之间,采取划分归属不同VLAN的逻辑访问控制措施。
华润星火风电场电力监控系统安全防护方案更新
