2023新能源集控中心网络建设通用技术方案.docx

新能源集控中心网络建设通用技术方案2023目录网络集成方案 3一、 网络架构原则 31. 安全分区 32. 网络专用 43. 横向隔离 54. 纵向认证 5二、 标准拓扑图 6三、 系统部署说明 71. 设备部署 72. 线路租用 83. 线路分区 84. 安全接入区 85. 调度 8四、 电力安全二次安全防护 91. 横向边界防护 92.控制区（安全区I）与非控制区（安全区II）边界安全防护 93.系统间安全防护 92. 纵向边界防护 103. 第三方边界安全防护 10五、 网络信息安全防护 101. 主机和网络设备加固 102. 运维审计 113. 日志审计 114. 数据库审计 125. 防范恶意代码 12六、 信息系统网络规划 13一、 网络架构原则1. 安全分区根据电力系统二次防护安全要求，结合项目实际状况以及电力监控系统安全防护的特点，各相关系统的重要程度和数据流程、目前状况和安全要求，将整个中心系统分为三个安全区：安全区Ⅰ、安全区Ⅱ（Ⅰ、Ⅱ合称生产控制大区）和安全区Ⅲ（管理信息大区）1)生产控制大区安全区Ⅰ：实时控制区安全区Ⅰ是中心系统中最重要的部分，安全等级最高，是安全防护的重点与核心。

中心侧：安全区Ⅰ部署前置采集服务器、实时服务器、数据库服务器、监控工作站等，实现安全区Ⅰ的实时监视和控制功能新能源场站侧：安全区Ⅰ部署远动终端，采集风力发电机组、升压站、箱变、AGC、AVC等设备的数据安全区Ⅰ的典型系统包括升压站综自系统、监控系统、五防系统、继电保护系统、AVC、AGC等这类系统对数据通信的实时性要求为毫秒级或秒级2)安全区Ⅱ：非控制生产区中心侧：在符合电力安全规定的情况下，不单独设置安全区Ⅱ，新能源场站侧安全Ⅱ区的数据在场站端汇集到安全区Ⅰ的远动终端，经其统一上传，接入安全区Ⅰ的SCADA服务器新能源场站侧：安全Ⅱ区与安全Ⅰ区之间通过防火墙进行逻辑隔离，安全区Ⅱ的典型系统包括故障录波信息系统、电能量计量系统、功率预测系统、保护信息终端等，通过数据接口接入部署在安全区Ⅰ的远动终端，统一上传到集控中心3)安全区Ⅲ：管理信息区中心侧：安全区Ⅲ部署数据库及大数据平台服务器、应用服务器、生产管理服务器、WEB服务器、接口服务器、GPU视频处理服务器等，实现生产管理区的数据存储、统计、分析和展示等功能新能源场站侧：安全区Ⅲ典型系统有视频监控系统等视频监控系统通过运营商VPN专线接入中心侧安全区Ⅲ的GPU视频处理服务器。

其中I区、II区之间的网络边界隔离和访问控制措施，部署防火墙，满足等级保护中针对访问控制、入侵检测、入侵防护、恶意代码隔离的功能I区作为工业生产环境，网络协议为专门的工业控制类协议，需要部署单独的工控防火墙进行边界隔离和访问控制II区通过部署下一代防火墙实现对网络边界的访问控制、入侵检测与防御，同时接入该区的安全感知平台，连同潜伏威胁探针采集的实时可疑流量上报分析，实现对II区网络安全威胁的集中检测和发现同时，通过以软件定义安全的形式部署安全资源池，满足等级保护三级对运维审计、日志审计、基线核查等的需求，同时实现安全资源的随需分配和灵活部署III区部署防火墙作为网络出口的防护，实现边界隔离与入侵防御功能的一体化防护，同时减少单点故障可能带来的安全风险因为生产控制区和管理信息区的网络物理隔离，日志和数据不能互通，Ⅱ区与III区的运维管理区分别基于云安全资源池部署日志审计系统、运维审计系统、数据库审计系统和主机安全检测响应平台，满足等保合规要求另外在各个数据中心区部署终端杀毒软件，保护服务器终端安全针对生产网中可能潜伏的勒索病毒和威胁，使用潜伏威胁探针进行数据抓取，最终通过加密隧道汇总到II区的感知平台进行分析；由于探针传输的数据属于网络潜伏威胁二次分析数据因此不存在I区II区源数据互通的问题2. 网络专用中心主站与风电场子站之间的数据通信线路，采用加密、单向认证等技术保护关键场站及关键业务，在本项目中配置纵向加密及防火墙设备。

所用网络设备应关闭或限定网络服务、避免使用默认路由、网络边界关闭OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、使用安全的管理方式、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等3. 横向隔离横向隔离是电力监控系统安全防护体系的横向防线应当采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试4. 纵向认证在新能源场站侧安全区Ⅰ远动终端与集控中心侧生产控制大区的监控系统通过运营商专线网络搭建的通讯链路上，在两侧分别部署电力专用纵向加密装置，采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护对于场站、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。

暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替并接入到地调内网安全监控平台二、 标准拓扑图 三、 系统部署说明 集控中心安全I区部署系统：核心交换机2台、路由器2台、纵向加密设备2台、光交换机2台、存储1台中、数据采集与集中控制系统包含集控数据服务器2台、集控应用服务器2台、前置接口服务器3台，调度系统1台、时钟同步系统1台、中心侧安全接入区（正、反向数据隔离装置各1台，前置接口服务器2台）、等保合规系统2台，和安全III区边界部署正、反向隔离装置各1台集控中心安全III区部署系统：核心交换机2台、路由器1台、防火墙2台、大数据平台（基础底层平台4台服务器）、虚拟化平台（底层4台服务器，上层应用包含安全生产管理系统、集中监控系统、生产运行分析等）、银企直连服务器1台、移动一体化应用系统服务器1台，大屏展示系统、OA系统（现有）、财务系统（现有）等厂站侧（控制厂站）安全I区部署系统：交换机1台、数据采集系统服务器2台、厂站侧安全接入区（数据转发服务器1台，正、反向隔离装置各1台）；安全II区：交换机1台厂站侧（监视厂站）安全I区部署系统：交换机1台、数据采集系统服务器2台；安全II区：交换机1台；安全III区部署系统：数据转发系统服务器1台。

1. 设备部署集控系统采取二级网络结构建设，分为集控中心侧和电站侧集控中心实现远程监视、运行控制、报警提示以及大屏展示等功能；电站侧负责相关系统的数据采集、数据上传同时，集控中心侧与电站侧通过租用电力和运营商专线来组建广域网，实现数据传输在集控中心的I区和III区之间布置正隔离装置各1台、实现在I区和III区的物理隔离在场站的I区和II区之间部署防火墙，进行逻辑隔离；在II区与III区之间进行物理隔离电站I区与集控中心的I区相连接的每个广域网通道上，集控中心部署的1台千兆加密装置通过不同端口与每个电站部署百兆加密装置对接在集控中心的III区和电站相连的III区边界布置防火墙1台，在集控中心的互联网出口部署防火墙2台（双机），实现访问控制在集控中心的I区通过2台核心交换机搭建核心网络，以支撑I区的网络数据采集与控制网络的高效与稳定在集控中心的III区通过2台核心交换机搭建核心网络，以支撑III区的虚拟化平台和大数据平台的应用在集控中心I区部署1台等保一体机，配置堡垒机功能、日志审计、数据库审计以及服务终端防护功能模块，实现对I区等保的基本要求在每个电站部署2台采集服务哭喊 和1台转发服务器；在集控中心部署集控应用服务器与采集转发服务器。

每个电站的不同安全区部署1台交换机在集控中心通过4台服务器部署分布式架构的大数据平台；通过4台服务器部署虚拟化服务器，构建服务器应用平台2. 线路租用根据业务需求的不同或距离的远近，省内7家电站将各租用电力专线和运营商2条专线，可实现主备链路切换，以及满足远程运行控制的要求；而省外4家电站将租用1条运营商专线，实现对相关系统的远程监视要求3. 线路分区需要实现远程控制的7家省内电站将直接从生产控制大区进行数据采集，数据相应上传到集控中心的生产控制区；进行远程监视的4家省外电站将从管理信息大区查看相关系统的4. 安全接入区针对电网对非电力专线的线路安全的要求，XX公司对经过运营商专线的链路在集控中心侧和厂站侧分别设置独立的安全接入区，电站数据上传到集控中心需要通过正向网闸，控制信号从集控中心发往电站需通过反向网闸，从而保证两侧的网络安全隔离的要求5. 调度当调度拨打场站调度(含市政)时默认转到集控中心，集控中心语音识别场站性质来源并可视化提示，场站侧和集控中心侧调度同时振铃，任意一方都可接通，可同时接通多路；集控中心可同时接通多路，例：调度同时拨打下属两个不同风电时，集控中心可同时接听（最大接听数量为6路）。

集控中心回拨调度，调度接到均显示为各场站，不显示集控中心功能，符合管理要求；集控拨调度时，可选择任意选择一个场站在调度侧显示，例：下属风电要向调度打，集控可选择用下属风电场的号码拨向调度集控中心对未接或已接可实现号码和场站对应查询功能，避免回电或接时发生错误；带杂音屏蔽功能，两个同时接时，确保通话质量按照电网公司录音要求，在集控中心的调度都能实现录音保存存储大小为10000分钟，可存储1年时间四、 电力安全二次安全防护1. 横向边界防护1.生产控制大区与管理信息大区边界安全防护场站生产控制大区与管理信息大区之间通信应当部署电力专用横向单向安全隔离装置2.控制区（安全区I）与非控制区（安全区II）边界安全防护安全区I与安全区II之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设备，实现逻辑隔离、报文过滤、访问控制等功能所选设备的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试场站（DCS）系统部署在安全区I与运行在安全区II 的场站厂级监控系统（SIS）优化功能进行信息交换应当 采用逻辑隔离的安全防护措施3.系统间安全防护场站内同属于安全区I的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间，尤其是机组监控系统与输变电部分控制系统之间，根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、 VLAN 等。

场站内同属于安全区II的各系统之间、各不同位置的 厂站网络之间，根据需要可以采取一定强度的逻辑访问控制 措施，如防火墙、VLAN等场站内同属于管理信息大区的各系统之间、各不同位置的厂站网络之间，根据需要可以采取一定强度的逻辑访问 控制措施，如防火墙、VLAN等场站电力市场报价终端部署在非控制区，与运行在管理信息大区的报价辅助决策系统信息交换应当釆用电力专用横向单向安全隔离装置发电企业的市场报价终端与同安全区内其它业务系统进行数据交换时，应当采取必要的安全措施，以保证敏感数据的安全2. 纵向边界防护场站生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时，应当采用认证、加密、访问控制等 技。