电厂电力监控系统安全防护实施计划方案.doc

. . . 电厂电力监控系统安全防护实施方案一、安全防护目标为了加强发电厂电力监控系统安全防护，抵御核可与恶意代码等对发电厂电力监控系统发起的恶意破坏和攻击，以与其他非法操作，防止发电厂电力监控系统瘫痪和失控，和由此导致的发电厂一次系统事故和其他事故二、组织体系某电厂专门成立了电力监控系统安全防护领导小组和工作小组，明确人员职责，将电力监控系统安全防护与其信息报送纳入日常安全生产管理体系，具体如下：（一）领导小组组 长：xx（总经理）成 员：xx工作职责：负责提出安全防护工作目标和要求，审定工作方案，协调和指导相关工作二）工作小组组 长：xx（部门主任）成 员：xx专 责：xx（信息专责）工作职责：工作小组制定工作方案并负责工作方案的实施三、电力监控系统概况某电厂电力监控系统9套，依次为风机集中监控系统、升压站监控系统、无功电压与发电功率控制（AVC、AGC）系统、同步相量测量装置（PMU）、风功率预测系统、故障录波装置、电能量采集装置、生产与营销系统、视频监控系统其中位于安全Ⅰ的4套，为风机集中监控系统、升压站监控系统、无功电压与发电功率控制（AVC、AGC）系统、同步相量测量装置（PMU），安全Ⅱ区3套，为风功率预测系统、故障录波装置、电能量采集装置，管理信息大区2套，分别为生产与营销系统、视频监控系统。

注意：请参考能源局36号文中“附件4发电厂监控系统安全防护方案”附录1中各系统统计）（一）风机集中监控系统情况风机集中监控系统为中国南车股份，于2009年12月正式投运，系统承担风机数据采集、故障报警、远程启停风机等作用系统采用C/S模式，分3个部分，依次为风机箱变部分、服务器部分、工作站部分，部署在综合楼二楼机房系统共有服务器1台，工作站3台，网络设备4台（路由器、交换机）1、系统具备的功能模块为：1) 风机数据采集与展示功能2) 风机故障告警功能3) 风机远程控制功能2、与其他系统数据交互情况1）与安全Ⅰ区无功电压与发电功率控制（AVC、AGC）系统、升压站监控系统有交互与安全Ⅱ区风功率预测系统有交互二）升压站监控系统情况升压站监控系统为国电自动化股份，于2009年12月正式投运，系统承担升压站一次系统设备状态展示、远程控制等作用系统采用C/S模式，分3个部分，依次为一次设备部分、服务器部分、工作站部分，部署在综合楼二楼机房系统共有服务器4台，工作站2台，网络设备1台（路由器、交换机）1、系统具备的功能模块为：1)升压站一次系统设备状态展示功能2)故障告警功能3)远程控制功能2、与其他系统数据交互情况1）与安全Ⅰ区风机集中监控系统、同步相量测量装置（PMU）有交互。

与安全Ⅱ区故障录波装置、电能量采集装置有交互与安全Ⅲ区生产与营销系统有交互与调度数据有交互三）无功电压与发电功率控制（AVC、AGC）系统情况无功电压与发电功率控制（AVC、AGC）系统为国电自动化股份，于2009年12月正式投运，系统承担自动无功电压控制、自动发电功率控制作用系统采用C/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房系统共有服务器1台，工作站2台，网络设备1台（路由器、交换机）1、系统具备的功能模块为：1)自动无功电压控制功能2)自动发电功率控制功能2、与其他系统数据交互情况1）与安全Ⅰ区风机集中监控系统有交互与调度数据有交互四）同步相量测量装置（PMU）情况同步相量测量装置（PMU）为国电自动化股份，于2009年12月正式投运，装置承担电力系统的动态监测、系统保护、系统分析和预测作用系统采用C/S模式，分1个部分，依次为服务器部分，部署在综合楼二楼机房系统共有服务器1台，工作站0台，网络设备0台（路由器、交换机）1、装置具备的功能模块为：1)电力系统的动态监测功能2)系统保护功能3)系统分析和预测功能2、与其他系统数据交互情况1）与安全Ⅰ区升压站监控系统有交互。

与调度数据有交互如与Ⅲ区其他系统，与气象、水情、政府等数据交互情况五）风功率预测系统情况风功率预测系统为东润环能科技股份，于2016年7月正式投运，系统承担实时功率采集、数值天气预报、短期预测、超短期预测等作用系统采用B/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房系统共有服务器2台，工作站2台，网络设备1台（路由器、交换机）1、系统具备的功能模块为：1)实时功率采集功能2)数值天气预报功能3)短期预测功能4)超短期预测功能2、与其他系统数据交互情况1）与安全Ⅰ区风机集中监控系统有交互与调度数据有交互与气象数据有交互六）故障录波装置情况故障录波装置为国电自动化股份，于2009年12月正式投运，装置承担故障前后记录各种电气量的变化情况等作用系统采用C/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房系统共有服务器1台，工作站1台，网络设备0台（路由器、交换机）1、装置具备的功能模块为：1)故障前后记录各种电气量的变化情况功能2)对分析处理事故、判断保护是否正确动作功能2、与其他系统数据交互情况1）与安全Ⅰ区升压站监控系统有交互与调度数据有交互。

七）电能量采集装置情况电能量采集装置为国电自动化股份，于2009年12月正式投运，装置承担电量远端采集、存储、远传作用系统采用C/S模式，分1个部分，依次为服务器部分，部署在综合楼二楼机房系统共有服务器1台，工作站0台，网络设备0台（路由器、交换机）1、装置具备的功能模块为：1)电量远端采集、存储、远传功能2、与其他系统数据交互情况1）与安全Ⅰ区升压站监控系统有交互与调度数据有交互八）生产与营销系统情况生产与营销系统为国电自动化股份，于2009年12月正式投运，系统承担实时数据采集、数据标准化、数据存储与上传等作用系统采用C/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房系统共有服务器3台，工作站1台，网络设备1台（路由器、交换机）1、系统具备的功能模块为：1)实时数据采集功能2)数据标准化功能3)数据存储与上传功能2、与其他系统数据交互情况1）与安全Ⅰ区升压站监控系统有交互与某集团数据有交互九）视频监控系统情况视频监控系统为国电自动化股份，于2009年12月正式投运，系统承担对升压站周围环境实时监控作用系统采用C/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房。

系统共有服务器1台，工作站2台，网络设备0台（路由器、交换机）1、系统具备的功能模块为：1)升压站周围环境实时监控功能2、与其他系统数据交互情况1）无交互情况四、安全防护方案（一）安全分区情况根据国家发改委2014年第14号令《电力监控系统安全防护规定》与国家能源局国能安全[2015]36号文中对安全区的划分原则，结合本厂的电力监控系统实际情况，将本厂电力监控系统分别放置于相应的安全分区，具体情况参见表1表1 某电厂电力监控系统安全分区表安全分区应用系统网络分段设备类型设备名称Ⅰ区（实时控制区）风机集中监控系统采集数据网段：193.168.1.130-193.168.22.130;服务器心跳网段：193.168.1.100主机风机监控服务器网络设备风机数据采集交换机1风机数据采集交换机2风机数据采集交换机3南车风机交换机升压站监控系统服务器心跳网段：172.20.110.101,172.20.110.102主机远动服务器1远动服务器2通信服务器1通信服务器2网络设备无功电压与发电功率控制（AVC、AGC）系统主机AGC/AVC服务器智能服务终端网络设备AGC/AVC交换机同步相量测量装置（PMU）主机同步相量数据集中器同步相量测量装置网络设备Ⅱ区（非控制生产区）风功率预测系统主机气象服务器风功率服务器网络设备风功率交换机故障录波装置主机故障录波与测距装置网络设备电能量采集装置主机电能量采集装置网络设备Ⅲ区（生产管理区）生产与营销系统服务器心跳网段：202.119.100.81-202.119.100.83主机备用接口机风机监控接口机升压站接口机网络设备生产与营销系统交换机视频监控系统主机视频监控装置网络设备（二）网络连接情况1）广域网电厂与本部通过联通专网相连，路由器与防火墙由集团统一部署。

电厂与调度数据网通过专线相连，场站侧与调度数据网间部署了加密认证网关生活用网为电信网络2） 局域网公司部网络结构采用三层网络拓扑结构，系统实现快速性、可靠性、安全性，具有良好的运行性能与容错能力对局域网IP地址进行规划，采用集团统一分配的IP地址进行VLAN或子网划分三）横向安全防护情况1、风功率预测系统1）基本情况Ⅱ、Ⅲ区正向隔离装置，互联网气象数据采集服务器与Ⅲ区交换机间反向隔离装置Ⅰ、Ⅱ区防火墙，Ⅲ区与办公网间防火墙2）安全设备部署情况包括设备的品牌、型号，并详细描述设备的部署位置与配置策略，如表2所示表2 某电厂风功率预测系统横向安全防护设备表序号设备名称设备型号安装地点安全防护策略1Ⅱ、Ⅲ区正向隔离装置鸿瑞HRwall-85M-Ⅱ综合楼2楼继保室机房2互联网气象数据采集服务器与Ⅲ区反向隔离装置国电南瑞SysKeeper-2000综合楼2楼继保室机房3Ⅰ、Ⅱ区防火墙1众至LB-2206综合楼2楼继保室机房4Ⅲ区与办公网间防火墙Juniper SSG 140综合楼2楼继保室机房集团统一管控（四）纵向安全防护情况1、数据调度网1）基本情况调度数据网与场站侧Ⅰ区连接间有纵向加密设备1，调度数据网与场站侧Ⅱ区连接间有纵向加密设备2。

2）安全设备部署情况包括设备的品牌、型号，并详细描述设备的部署位置与配置策略，如表3所示表3 某电厂数据调度网纵向防护设备表序号设备名称设备型号安装地点安全防护策略1Ⅰ区纵向加密1科东PSTunnel-2000L综合楼2楼继保室机房2Ⅱ区纵向加密2科东PSTunnel-2000L综合楼2楼继保室机房（五）综合安全防护情况1、入侵检测电厂生产控制大区工部署了0套网络入侵检测系统2、主机与网络设备加固某电厂电力监控系统机房生产控制大区共有服务器8台，网络设备6台对1台主机，4台网络设备进行了主机加固加固的主要措施如下：1） 安全配置，风机集中监控系统1台服务器，风功率交换机，风机交换机，Ⅰ区交换机，Ⅱ区交换机2） 安全补丁，风机集中监控系统1台服务器生产控制大区未采用无线通信功能设备管理信息大区业务系统未使用无线网络传输业务3、安全审计生产控制大区的监控系统不具备安全审计功能4、备用与容灾电厂关键业务的数据备份情况：对。