光伏电站监控系统安全防护实施方案Word文件下载.docx

光伏电站监控系统安全防护实施方案Word文件下载.docx

《光伏电站监控系统安全防护实施方案Word文件下载.docx》由会员分享，可在线阅读，更多相关《光伏电站监控系统安全防护实施方案Word文件下载.docx（25页珍藏版）》请在冰豆网上搜索。

制大区控制区和非控制区。

2.适用范围

2．1 

本方案适用于***光伏电站监控系统，范围为***光伏电站。

1

2．**光伏电站简介

**光伏电站公司名称为****有限公司，位于**省**市**县**镇**

村，距**变电站南侧约 

5.5 

公里，于 

2018 

年 

4 

月 

日开工建设，于

2015 

12 

31 

日成功实现并网发电，总装机容量 

20MW，建设电池板

组件全部采用固定式安装。

*****有限公司光伏发电系统采用“分块发

电，集中并网”的总体设计方案，总装机容量为 

20MWp,分为 

15 

个光伏

发电单元，2 

个集电线路接入 

35 

千伏开关站，通过 

回 

千伏线路接

入***110 

千伏变电站。

每 

22 

件光伏组件串联为一个支路，共 

个支

路；

个或 

个支路并联接入一台汇流箱；

7 

台直流汇流箱通

过各自的交流电缆分别连接到一台 

1250kVA 

集中式光伏逆变器内。

逆

变后输出 

480v 

三相交流，每 

台集中式光伏逆变器接入 

台 

35kv 

变

压器，升压后接至 

35kV 

线路。

共 

2 

条集电线路接入综合楼高压配电室

母线后汇流 

条 

高压线路汇流至 

35kV**线。

由 

线输

送至**变电站，**光伏电站调度管辖权隶属国网电力公司江西调控中

心管辖。

3.系统概况

3.1 

系统概述

**光伏电站监控系统主要由服务器、工作站、各类装置、网络设

备、安全防护设备、操作系统、数据库、应用软件等部分组成。

系统

通过电力数据网络与上级调度机构进行业务通信。

**光伏电站各业务通过 

104、102 

协议与调度主站相关系统通讯，

发送实时遥信、遥测、电量、预测等信息，接收有功、无功控制命令。

3.2 

等级保护定级

2

序号

业务系统

控制区

非控制区

管理信息大区

厂站监控系统

（AGC/AVC）

五防系统

3

电能质量在线监测

电能采集装置

4

继电保护

继电保护装置

5

故障录波

故障录波装置

6

安全自动控制系统

安全自动控制装置

7

光功率预测

光功率预测系统

外网服务器

按照等级保护定级备案要求，**光伏电站监控系统作为一个定级

对象定为等保二级。

4.**光伏电站监控系统安全防护实施方案

4.1 

安全防护总体原则

**光伏电站监控系统安全防护的基本原则为“安全分区、网络专

用、横向隔离、纵向认证”。

采用“纵深防御”策略和 

“适度安全”

策略，安全防护主要针对基于网络的生产控制系统，重点强化边界防

护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安

全。

4.2 

安全分区

根据安全分区原则，结合**光伏电站应用系统和功能模块的特点，

将各功能模块分别置于控制区、非控制区和管理信息大区。

**光伏电站监控系统安全分区表

8

OMS 

客户端

9

火灾报警系统

火灾报警

4.3 

网络专用

电力调度数据网是为生产控制大区服务的专用数据网络，承载电

力实时控制、在线生产交易等业务。

安全区的外部边界网络之间的安

全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹

配。

电力调度数据网应当在专用通道上使用独立的网络设备组网，采

用基于 

SDH/PDH不同通道、不同光波长、不同纤芯等方式，在物理层

面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别

连接控制区和非控制区。

可采用 

MPLS-VPN技术、安全隧道技术、PVC

技术、静态路由等构造子网。

电力调度数据网应当采用以下安全防护措施：

（1）网络路由防护

按照电力调度管理体系及数据网络技术规范，采用虚拟专网技术，

将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网，

分别对应控制业务和非控制生产业务，保证实时业务的封闭性和高等

级的网络服务质量。

（2）网络边界防护

应当采用严格的接入控制措施，保证业务系统接入的可信性。

经

过授权的节点允许接入电力调度数据网，进行广域网通信。

数据网络

与业务系统边界采用必要的访问控制措施，对通信方式与通信业务类

型进行控制；

在生产控制大区与电力调度数据网的纵向交接处应当采

取相应的安全隔离、加密、认证等防护措施。

对于实时控制等重要业

务，应该通过纵向加密认证装置或加密认证网关接入调度数据网。

（3）网络设备的安全配置

网络设备的安全配置包括关闭或限定网络服务、避免使用默认路

由、关闭网络边界 

OSPF 

路由功能、采用安全增强的 

SNMPv2 

及以上版

本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高

强度的密码、开启访问控制列表、封闭空闲的网络端口等。

（4）数据网络安全的分层分区设置

电力调度数据网采用安全分层分区设置的原则。

省级以上调度中

心和网调以上直调厂站节点构成调度数据网骨干网（简称骨干网）。

省

调、地调和县调及省、地直调厂站节点构成省级调度数据网（简称省

网）。

地调和配网内部生产控制大区专用节点构成县级专用数据网。

县

调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可

采用专用数据网络，不具备专网条件的也可采用公用通信网络（不包

括因特网），且必须采取安全防护措施。

各层面的数据网络之间应该通

过路由限制措施进行安全隔离。

当地调或配调内部采用公用通信网时，

禁止与调度数据网互联。

保证网络故障和安全事件限制在局部区域之

内。

企业内部管理信息大区纵向互联采用电力企业数据网或互联网，

电力企业数据网为电力企业内网。

4.4 

横向隔离

4.4.1横向隔离是电力二次安全防护体系的横向防线。

采用不同

强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间

必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，

隔离强度应接近或达到物理隔离。

电力专用横向单向安全隔离装置作

为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防

护的关键设备。

生产控制大区内部的安全区之间应当采用具有访问控

制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。

4.4.2按照数据通信方向电力专用横向单向安全隔离装置分为正

向型和反向型。

正向安全隔离装置用于生产控制大区到管理信息大区

的非网络方式的单向数据传输。

反向安全隔离装置用于从管理信息大

区到生产控制大区单向数据传输，是管理信息大区到生产控制大区的

唯一数据传输途径。

反向安全隔离装置集中接收管理信息大区发向生

产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，

转发给生产控制大区内部的接收程序。

专用横向单向隔离装置应该满

足实时性、可靠性和传输流量等方面的要求。

4.4.3严格禁止 

E-Mail、WEB、Telnet、Rlogin、FTP 

等安全风

险高的通用网络服务和以 

B/S 

或 

C/S 

方式的数据库访问穿越专用横向

单向安全隔离装置，仅允许纯数据的单向安全传输。

控制区与非控制

区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能

的设施进行逻辑隔离。

4.5 

纵向认证

4.5.1纵向加密认证是电力监控系统安全防护体系的纵向防线。

采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及

纵向边界的安全防护。

对于重点防护的调度中心、发电厂、变电站在

生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测

认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实

现双向身份认证、数据加密和访问控制。

暂时不具备条件的可以采用

硬件防火墙或网络设备的访问控制技术临时代替。

并接入到地调内网

安全监控平台。

4.5.2纵向加密认证装置及加密认证网关用于生产控制大区的广

域网边界防护。

纵向加密认证装置为广域网通信提供认证与加密功能，

实现数据传输的机密性、完整性保护，同时具有类似防火墙的安全过

滤功能。

加密认证网关除具有加密认证装置的全部功能外，还应实现

对电力系统数据通信应用层协议及报文的处理功能。

4.5.3对处于外部网络边界的其他通信网关，应进行操作系统的

安全加固，对于新上的系统应支持加密认证的功能。

4.5.4重点防护的调度中心和重要厂站两侧均应配置纵向加密认

证装置；

当调度中心侧已配置纵向加密认证装置时，与其相连的小型

厂站侧可以不配备该装置，此时至少实现安全过滤功能。

4.5.5传统的基于专用通道的数据通信不涉及网络安全问题，新

建系统可逐步采用加密等技术保护关键厂站及关键业务。

4.6 

其他安全措施

4.6.1 

防病毒

本电站生产区域内的计算机信息系统，要与Internet网分开，

并建立计算机病毒防火墙，对服务器，要采用先进的网络防计算机病

毒软件，并对经过服务器的信息进行监控，防止计算机病毒通过邮件

服务器扩散、传播。

随时注意各种异常现象，一旦发现，应立即用查

毒软件仔细检查。

经常更新与升级防杀计算机病毒软件的版本。

对生

产区域内的要定点、定时、定人作查毒杀毒巡检。

当出现计算机病毒

传染迹象时，立即隔离被感染的系统和网络并进行处理，不应带“毒”

继续运行；

发现计算机病毒后，一般应利用防杀计算机病毒软件清除

文件中的计算机病毒，对于杀毒软件无法杀除的计算机病毒，应及时

请专业人员解决。

对新购进的计算机及设备，为防止原始计算机病毒

的侵害，要组织专业人员检查后方可安装运行；

联网计算机、重要系

统的关键计算机要安装防计算机病毒软件，并定期或及时更新计算机

病毒防范产品的版本；

要使用国家规定的、具有计算机使用系统安全

专用产品销售许可证的计算机防计算机病毒产品。

系统中的程序要定

期进行比较测试和检查。

严禁使用盗版软件，特别是盗版的杀毒软件，

严禁在工作计算机上安装、运行各类游戏软件。

4.6.2 

主机加固

操作系统安全是计算机网络系统安全的基础，而服务器上的业务数

据又是被攻击的最终