【下载本文档,可以自由复制内容或自由编辑修改内容,更多精彩文章,期待你的好评和关注,我将一如既往为您服务】
仰天湖电厂电力监控系统安全防护实施方案
编 写 单 位: 湖南华电郴州风力发电有限公司
编 写 日 期: 2017年5月10日
受理审查单位: (盖章) 受 理 日 期:
.
一、安全防护目标
为了加强发电厂电力监控系统安全防护,抵御核可及恶意代码等对发电厂电力监控系统发起的恶意破坏和攻击,以及其他非法操作,防止发电厂电力监控系统瘫痪和失控,和由此导致的发电厂一次系统事故和其他事故。
二、组织体系
仰天湖电厂专门成立了电力监控系统安全防护领导小组和工作小组,明确人员职责,将电力监控系统安全防护及其信息报送纳入日常安全生产管理体系,具体名单如下:
(一)领导小组
组 长:关然(总经理)
成 员:王新、胡健、徐志杰、侯昭彬、黄继涛、冷玉波、张国庆、乔凤君、施亮、张祥
工作职责:负责提出安全防护工作目标和要求,审定工作方案,协调和指导相关工作。
(二)工作小组
组 长:施亮(部门主任)
成 员:李博、刘海峰、王小泽、王超、范博文 专 责:范博文(信息专责)
工作职责:工作小组制定工作方案并负责工作方案的实施。 三、电力监控系统概况
仰天湖电厂电力监控系统9套,依次为风机集中监控系统、
. 2
.
升压站监控系统、无功电压与发电功率控制(AVC、AGC)系统、同步相量测量装置(PMU)、风功率预测系统、故障录波装置、电能量采集装置、生产与营销系统、视频监控系统。其中位于安全Ⅰ的4套,为风机集中监控系统、升压站监控系统、无功电压与发电功率控制(AVC、AGC)系统、同步相量测量装置(PMU),安全Ⅱ区3套,为风功率预测系统、故障录波装置、电能量采集装置,管理信息大区2套,分别为生产与营销系统、视频监控系统。(注意:请参考能源局36号文中“附件4发电厂监控系统安全防护方案”附录1中各系统统计)
(一)风机集中监控系统情况
风机集中监控系统为中国南车股份有限公司,于2009年12月正式投运,系统承担风机数据采集、故障报警、远程启停风机等作用。系统采用C/S模式,分3个部分,依次为风机箱变部分、服务器部分、工作站部分,部署在综合楼二楼机房。
系统共有服务器1台,工作站3台,网络设备4台(路由器、交换机)。
1、系统具备的功能模块为: 1) 风机数据采集及展示功能 2) 风机故障告警功能 3) 风机远程控制功能 2、与其他系统数据交互情况
1)与安全Ⅰ区无功电压与发电功率控制(AVC、AGC)系统、
. 3
.
升压站监控系统有交互。与安全Ⅱ区风功率预测系统有交互。
(二)升压站监控系统情况
升压站监控系统为国电南京自动化股份有限公司,于2009年12月正式投运,系统承担升压站一次系统设备状态展示、远程控制等作用。系统采用C/S模式,分3个部分,依次为一次设备部分、服务器部分、工作站部分,部署在综合楼二楼机房。
系统共有服务器4台,工作站2台,网络设备1台(路由器、交换机)。
1、系统具备的功能模块为:
1)升压站一次系统设备状态展示功能 2)故障告警功能 3)远程控制功能
2、与其他系统数据交互情况
1)与安全Ⅰ区风机集中监控系统、同步相量测量装置(PMU)有交互。与安全Ⅱ区故障录波装置、电能量采集装置有交互。与安全Ⅲ区生产与营销系统有交互。与调度数据有交互。
(三)无功电压与发电功率控制(AVC、AGC)系统情况 无功电压与发电功率控制(AVC、AGC)系统为国电南京自动化股份有限公司,于2009年12月正式投运,系统承担自动无功电压控制、自动发电功率控制作用。系统采用C/S模式,分2个部分,依次为服务器部分、工作站部分,部署在综合楼二楼机房。
系统共有服务器1台,工作站2台,网络设备1台(路由器、
. 4
.
交换机)。
1、系统具备的功能模块为: 1)自动无功电压控制功能 2)自动发电功率控制功能 2、与其他系统数据交互情况
1)与安全Ⅰ区风机集中监控系统有交互。与调度数据有交互。
(四)同步相量测量装置(PMU)情况
同步相量测量装置(PMU)为国电南京自动化股份有限公司,于2009年12月正式投运,装置承担电力系统的动态监测、系统保护、系统分析和预测作用。系统采用C/S模式,分1个部分,依次为服务器部分,部署在综合楼二楼机房。
系统共有服务器1台,工作站0台,网络设备0台(路由器、交换机)。
1、装置具备的功能模块为: 1)电力系统的动态监测功能 2)系统保护功能 3)系统分析和预测功能 2、与其他系统数据交互情况
1)与安全Ⅰ区升压站监控系统有交互。与调度数据有交互。 如与Ⅲ区其他系统,与气象、水情、等数据交互情况。...(五)风功率预测系统情况
. 5
.
风功率预测系统为北京东润环能科技股份有限公司,于2016年7月正式投运,系统承担实时功率采集、数值天气预报、短期预测、超短期预测等作用。系统采用B/S模式,分2个部分,依次为服务器部分、工作站部分,部署在综合楼二楼机房。
系统共有服务器2台,工作站2台,网络设备1台(路由器、交换机)。
1、系统具备的功能模块为: 1)实时功率采集功能 2)数值天气预报功能 3)短期预测功能 4)超短期预测功能 2、与其他系统数据交互情况
1)与安全Ⅰ区风机集中监控系统有交互。与调度数据有交互。与气象数据有交互。
(六)故障录波装置情况
故障录波装置为国电南京自动化股份有限公司,于2009年12月正式投运,装置承担故障前后记录各种电气量的变化情况等作用。系统采用C/S模式,分2个部分,依次为服务器部分、工作站部分,部署在综合楼二楼机房。
系统共有服务器1台,工作站1台,网络设备0台(路由器、交换机)。
1、装置具备的功能模块为:
. 6
.
1)故障前后记录各种电气量的变化情况功能 2)对分析处理事故、判断保护是否正确动作功能 2、与其他系统数据交互情况
1)与安全Ⅰ区升压站监控系统有交互。与调度数据有交互。 (七)电能量采集装置情况
电能量采集装置为国电南京自动化股份有限公司,于2009年12月正式投运,装置承担电量远端采集、存储、远传作用。系统采用C/S模式,分1个部分,依次为服务器部分,部署在综合楼二楼机房。
系统共有服务器1台,工作站0台,网络设备0台(路由器、交换机)。
1、装置具备的功能模块为: 1)电量远端采集、存储、远传功能 2、与其他系统数据交互情况
1)与安全Ⅰ区升压站监控系统有交互。与调度数据有交互。 (八)生产与营销系统情况
生产与营销系统为国电南京自动化股份有限公司,于2009年12月正式投运,系统承担实时数据采集、数据标准化、数据存储与上传等作用。系统采用C/S模式,分2个部分,依次为服务器部分、工作站部分,部署在综合楼二楼机房。
系统共有服务器3台,工作站1台,网络设备1台(路由器、交换机)。
. 7
.
1、系统具备的功能模块为: 1)实时数据采集功能 2)数据标准化功能 3)数据存储与上传功能 2、与其他系统数据交互情况
1)与安全Ⅰ区升压站监控系统有交互。与华电集团数据有交互。
(九)视频监控系统情况
视频监控系统为国电南京自动化股份有限公司,于2009年12月正式投运,系统承担对升压站周围环境实时监控作用。系统采用C/S模式,分2个部分,依次为服务器部分、工作站部分,部署在综合楼二楼机房。
系统共有服务器1台,工作站2台,网络设备0台(路由器、交换机)。
1、系统具备的功能模块为: 1)升压站周围环境实时监控功能 2、与其他系统数据交互情况 1)无交互情况。 四、安全防护方案 (一)安全分区情况
根据国家2014年第14号令《电力监控系统安全防护规定》及国家能源局国能安全【2015】36号文中对安全区的划
. 8
.
分原则,结合本厂的电力监控系统实际情况,将本厂电力监控系统分别放置于相应的安全分区,具体情况参见表1。
表1 仰天湖电厂电力监控系统安全分区表
安全分区 应用系统 网络分段 设备类型 设备名称 采集数据网段:193.168.1.130-193.16风机集中8.22.130; 监控系统 服务器心跳网段:193.168.1.100 Ⅰ区(实时控制区) 主机 风机监控服务器 风机数据采集交换机1 风机数据采集交换机2 网络设备 风机数据采集交换机3 南车风机交换机 远动服务器1 升压站监控系统 服务器心跳网段:172.20.110.101,172.20.110.102 主机 远动服务器2 通信服务器1 通信服务器2 网络设备 无功电压与发电功率控制(AVC、AGC)系统 .
AGC/AVC服务器 主机 网络设备 智能服务终端 AGC/AVC交换机 9
.
同步相量测量装置(PMU) 风功率预测系统 主机 网络设备 主机 网络设备 主机 网络设备 主机 网络设备 主机 网络设备 主机 网络设备 同步相量数据集中器 同步相量测量装置 气象服务器 风功率服务器 风功率交换机 故障录波及测距装置 电能量采集装置 备用接口机 风机监控接口机 升压站接口机 生产与营销系统交换机 视频监控装置 Ⅱ区(非控制生故障录波产区) 装置 电能量采集装置 生产与营Ⅲ区(生销系统 产管理区) 视频监控系统 服务器心跳网段:202.119.100.81-202.119.100.83 (二)网络连接情况 1)广域网
电厂与长沙本部通过联通专网相连,路由器及防火墙由集团统一部署。电厂与调度数据网通过专线相连,场站侧与调度数据网间部署了加密认证网关。生活用网为电信网络。
2)局域网
公司内部网络结构采用三层网络拓扑结构,系统实现快速性、可靠性、安全性,具有良好的运行性能及容错能力。对局域网内IP地址进行规划,采用集团统一分配的IP地址进行VLAN或子网划分。
. 10
.
(三)横向安全防护情况 1、风功率预测系统 1)基本情况
Ⅱ、Ⅲ区正向隔离装置,互联网气象数据采集服务器与Ⅲ区交换机间反向隔离装置。Ⅰ、Ⅱ区防火墙,Ⅲ区与办公网间防火墙。
2)安全设备部署情况
包括设备的品牌、型号,并详细描述设备的部署位置与配置策略,如表2所示。
表2 仰天湖电厂风功率预测系统横向安全防护设备表
序号 设备名称 1 设备型号 安装地点 安全防护策略 珠海鸿瑞综合楼2楼 HRwall-85M-Ⅱ 继保室机房 隔离装置 互联网气象数据采集服国电南瑞综合楼2楼2 务器与Ⅲ区SysKeeper-200 继保室机房 反向隔离装0 置 Ⅰ、Ⅱ区防火众至 综合楼2楼3 墙1 LB-2206 继保室机房 Ⅱ、Ⅲ区正向 集团统一管控 Ⅲ区与办公Juniper SSG 综合楼2楼4 140 继保室机房 网间防火墙 (四)纵向安全防护情况 1、数据调度网 1)基本情况
. 11
.
调度数据网与场站侧Ⅰ区连接间有纵向加密设备1,调度数据网与场站侧Ⅱ区连接间有纵向加密设备2。
2)安全设备部署情况
包括设备的品牌、型号,并详细描述设备的部署位置与配置策略,如表3所示。
表3 仰天湖电厂数据调度网纵向防护设备表
序号 设备名称 1 设备型号 安装地点 安全防护策略 2 北京科东Ⅰ区纵向加综合楼2楼PSTunnel-2000 密1 继保室机房 L 北京科东Ⅱ区纵向加综合楼2楼PSTunnel-2000 密2 继保室机房 L (五)综合安全防护情况 1、入侵检测
电厂生产控制大区工部署了0套网络入侵检测系统。 2、主机与网络设备加固
仰天湖电厂电力监控系统机房生产控制大区共有服务器8台,网络设备6台。对1台主机,4台网络设备进行了主机加固。
加固的主要措施如下:
1)安全配置,风机集中监控系统1台服务器,风功率交换机,风机交换机,Ⅰ区交换机,Ⅱ区交换机。
. 12
.
2)安全补丁,风机集中监控系统1台服务器。
生产控制大区未采用无线通信功能设备。管理信息大区业务系统未使用无线网络传输业务。
3、安全审计
生产控制大区的监控系统不具备安全审计功能。 4、备用与容灾
电厂关键业务的数据备份情况:对历史归档数据采用异地保存,关键主机设备、网络设备或部件进行了冗余配置,控制区的业务系统(应用)采用冗余方式。
5、恶意代码防范
生产控制大区不具备防恶意代码管理服务器。
(六)监控系统网络拓扑图 1、生产控制大区拓扑图
以viso格式插入,分生产控制大区总图,安全区分图两大部分。每张图应包含系统或分区的所有设备,包括服务器、工作站、路由器、交换机、防火墙、隔离装置、纵向加密等设备,调度数据网电厂节点应包含在内。
1)生产控制大区总图
. 13
.
仰天湖风电场电力监控系统安全防护网络拓扑总图(安全区Ⅰ)接入路由器纵向加密1仰天湖风电场电力监控系统安全防护网络拓扑总图(安全区Ⅱ)接入路由器纵向加密2仰天湖风电场电力监控系统安全防护网络拓扑总图(安全区Ⅲ)内部资料切勿外传调度数据网Ⅰ区交换机 调度数据网Ⅱ区交换机 互联网调度数据网 应用及维护工作站调度数据网 应用及维护工作站气象采集服务器 PMU功率控制服务器服务器故障录波装置应用及维护工作站Ⅱ/Ⅲ区正向隔离装置视频监控反向隔离装置风功率预测服务器Ⅰ区汇聚交换机同步时钟(北斗和GPS)Ⅰ/Ⅱ区防火墙Ⅱ区汇聚交换机Ⅲ区汇聚交换机风机监控服务器远动服务器1远动服务器2生产与营销实时监管系统关口能量数据采集终端备用接口机风机监控接口机升压站接口机通信服务器1通信服务器2核心交换机 Ⅲ区/办公网防火墙 OA网 风机数据采集通道远动采集通道关口能量采集通道制图 范博文日期 2017年5月
2)安全区分图 A、安全Ⅰ区分图
仰天湖风电场电力监控系统安全防护网络拓扑总图(安全区Ⅰ)接入路由器调度数据网Ⅰ区交换机 内部资料切勿外传纵向加密1调度数据网 应用及维护工作站PMU功率控制服务器服务器至Ⅱ区Ⅰ区汇聚交换机同步时钟(北斗和GPS)风机监控服务器远动服务器1远动服务器2Ⅰ/Ⅱ区防火墙通信服务器1通信服务器2 风机数据采集通道远动采集通道绘制 范博文日期 2017年5月
B、安全Ⅱ区分图
. 14
.
仰天湖风电场电力监控系统安全防护网络拓扑总图(安全区Ⅱ)接入路由器纵向加密2调度数据网Ⅱ区交换机 内部资料切勿外传调度数据网 故障录波装置应用及维护工作站至Ⅲ区风功率预测服务器至Ⅰ区Ⅱ/Ⅲ区正向隔离装置Ⅱ区汇聚交换机Ⅰ/Ⅱ区防火墙关口能量数据采集终端 关口能量采集通道绘制 范博文日期 2017年5月
C、管理信息大区分图
仰天湖风电场电力监控系统安全防护网络分区图(安全区Ⅲ)互联网内部资料切勿外传应用及维护工作站气象采集服务器 至Ⅱ区视频监控反向隔离装置Ⅱ/Ⅲ区正向隔离装置Ⅲ区汇聚交换机生产与营销实时监管系统备用接口机风机监控接口机升压站接口机核心交换机 Ⅲ区/办公网防火墙 OA网制图 范博文日期 2017年5月
15
.
(七)其他补充说明 无
. .
16
