光伏电站电力监控系统安全防护实施方案培训资料.docx
《光伏电站电力监控系统安全防护实施方案培训资料.docx》由会员分享,可在线阅读,更多相关《光伏电站电力监控系统安全防护实施方案培训资料.docx(53页珍藏版)》请在冰豆网上搜索。
光伏电站电力监控系统安全防护实施方案培训资料
溧阳新晖光伏电站
电力监控系统安全防护实施方案
溧阳新晖光伏电站
2017年12月5日
(盖章)
一、电厂基本情况
常州溧阳新晖光伏20MW农光互补项目位于江苏省溧阳市埭头镇山前村东北侧,距离西侧239省道1.7km,241省道约6km,南面的长深高速15km,104国道13km,与西南方向的溧阳市相距11km。
项目经纬度为东经119°40′21",北纬31°29′57.52"。
本项目总装机容量为20MW,选用多晶硅组件TP672P-300W共69660块,选用28KW组串型并网逆变器,每1.3932MW为一个单元,每单元52台逆变器。
采用分块发电、集中并网方案。
光伏组件方阵采用固定式安装,组件安装倾角为27°。
共分为15个1.3932MW光伏发电单元,1个发电单元由52台28KW并网逆变器、9台交流盒与1台1400kVA、35kV箱式升压变电站组合而成。
经系统效率影响分析后得出系统效率为81%,计算得出本光伏电站第一年发电量为2326.69万度电,剩下24年按照每年约0.8%递减计算,可计算出年平均发电量为2116.44万度电,25年总共发电52911.00万度电。
本项目采用分散发电、集中控制、单点并网的技术方案。
本电站15个发电单元共分为4条汇集线路,3条集电线路接入4个光伏发电单元和1条集电线路接入3个光伏发电单元,4条集电线路分段接入35kV母线,以1回35kV出线接入附近7.5km处220kV溧阳变电站35KV侧。
全站设1套计算机监控系统,其监控范围有:
逆变器、箱变、35kV进线开关、35kV馈线开关、35kV母线PT、站用电和直流系统等。
监控系统具有远动功能,根据调度运行的要求,本电站端采集到的各种实时数据和信息,经处理后可传送至上级调度中心。
二、方案依据及适用范围
本次电力监控系统安全防护方案设计的范围包括电厂电力监控系统规划设计、工程实施、系统改造和升级、运行管理等。
2.1本方案编制依据
1)《信息安全等级保护管理办法》(公通字[2007]43号)
2)《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008
3)《信息安全技术信息系统安全等级保护定级指南》GB/T22240-2008
4)《信息安全技术信息系统安全等级保护实施指南》GB/T25058-2010
5)《信息安全技术信息安全风险评估规范》GB/T20984-2007
6)《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号)
7)《电力监控系统安全防护规定》(国家发展和改革委员会2014年第14号)
8)《电力监控系统安全防护总体方案》(国能安全[2015]36号)
9)《电力监控系统安全防护评估规范》(国能安全[2015]36号)
10)《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)
11)《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)
12)《信息安全技术信息系统安全等级保护测评要求》GB/T28448-2012
13)《信息安全技术信息系统安全等级保护测评过程指南》GB/T8449-2012
14)《电力行业信息安全等级保护管理办法》(国能安全[2014]318号)
15)《电力行业网络与信息安全管理办法》(国能安全[2014]317号)
2.2适用范围
本次电力监控系统安全防护方案的范围包括电厂电力监控系统规划设计、工程实施、系统改造和升级、运行管理等。
涉及业务范围如5.1章节所示。
三、总体目标
电力监控系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及电力监控系统的崩溃或瘫痪。
结合发电厂的实际情况,本发电厂电力监控系统安全防护的总体目标包括:
⏹防止发电厂监控系统服务等核心业务(即电力生产)中断。
⏹防止发电厂监控系统本身崩溃。
⏹抵御外部人员对发电厂监控系统发起的恶意破坏和攻击,及可能对相连的调度自动化系统的影响。
⏹防止利用病毒、木马等恶意程序,从发电厂监控系统局域网内部发起的对电力生产及相连的调度自动化系统的恶意破坏和攻击。
保护发电厂监控系统实时和历史数据,主要防止数据被非授权修改。
四、管理制度
4.1溧阳新晖光伏电站电力监控系统安全防护管理制度
本制度规定了溧阳新晖光伏电站(以下简称“公司”)信息系统管理内容,主要包括网络的接入管理、信息安全管理和信息化设备采购及修理流程等,此规定同时包含了公司各部门间协调等方面的工作原则。
本制度适用于公司于信息系统有关的各项管理工作,内容详见附件一。
4.2溧阳新晖光伏电站电力监控系统安全联合防护应急预案
本预案为提高电力监控系统的安全防护水平,保证电力系统的安全稳定运行,有效防止、控制溧阳新晖光伏电站生产大区监控系统由于遭到黑客、恶意代码攻击及其他人为破坏时造成重大损失及系统瘫痪,缩小故障时的故障范围。
本预案适用于本企业电力监控系统故障事件的应急处置和应急救援工作,内容详见附件二。
4.3溧阳新晖光伏电站信息系统机房管理标准
本标准规定了公司信息系统机房安全管理职责、管理内容与要求,检查与考核。
本标准适用于公司信息系统机房管理,内容详见附件三。
4.4溧阳新晖光伏电站教育培训管理制度
本制度规定了公司职工教育培训管理的职责、管理内容与方法、报告和记录。
本制度适用于公司对人员教育培训管理,内容详见附件四。
4.5溧阳新晖光伏电站外来人员管理制度
为确保机房信息及设备的安全运行,本制度规范了外来人员进入机房的操作行为及流程管理。
本制度适用于公司对外来人员管理,内容详见附件五。
4.6溧阳新晖光伏电站计算机系统管理制度
本制度为保证电厂生产办公用计算机设备本身和计算机网络系统的安全稳定运行,以及相关工作的正常开展,保证存储在计算机中的信息和数据不被破坏,防止操作系统程序及应用软件系统不被非法更改或破坏。
本制度适用于公司对投运计算机系统的管理,内容详见附件六。
4.7溧阳新晖光伏电站电力监控系统安全评估制度
为提高电力监控系统的安全防护水平,保证电力系统的安全稳定运行,有效防止、控制溧阳新晖光伏电站生产大区监控系统遭到黑客、恶意代码攻击及其他人为破坏而造成重大损失及系统瘫痪,缩小故障时的故障范围。
本着“安全第一,预防为主”的原则,防范与未然,特制定电力监控系统安全评估制度。
本制度适用于公司对电力监控系统安全评估方法的管理,内容详见附件七。
4.8溧阳新晖光伏电站主机加固安全管理制度
加强对关键服务器的安全控制,是增强系统总体安全性的核心一环。
完成主机加固,一是对主机密码进行修改加固;二是对账户进行权限分配,保证对系统资源(包括数据和进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
本制度适用于公司对电力监控系统主机加固方案的管理,内容详见附件八。
五、技术措施
5.1业务分类
5.1.1安全分区
按照《电力监控系统安全防护规定》,将本厂的业务系统划分为生产控制大区和管理信息大区,根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区I)及非控制区(安全区II)。
重点保护生产控制以及直接影响电力生产的系统。
控制区:
本厂的控制区主要包括以下业务系统和功能模块:
发电厂综合自动化系统和继电保护装置。
非控制区:
本厂的非控制区主要包括以下业务系统和功能模块:
电能量采集装置。
管理信息大区:
本厂暂无。
序号
业务系统
控制区(一区)
非控制区
(二区)
管理信息大区(三区)
1
监控系统
监控35kV系统等设备,向无锡市调传送相应数据
2
继电保护
继电保护装置
3
电能采集终端
电能量采集、处理
4
电厂信息网
厂站与企业管理通信
5.1.2网络专用
溧阳新晖光伏电站厂站端的电力调度数据网在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。
电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。
5.1.3横向隔离
本厂需从控制区单向接收数据至管理信息大区(三区),部署正向隔离。
5.1.4纵向认证
溧阳新晖光伏电站电站生产控制大区与调度数据网的纵向连接处设置纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
5.2各业务系统防护
5.2.1发电厂综合自动化系统
1、系统介绍
本电站后台监控系统采用国电南自PS6000+监控系统,国电南自PS6000+监控系统是为满足当代电力系统综合自动化建设和发展的需要,在总结国内外该领域多年应用经验的基础上,研发出的一套基于厂站监控系统自动化整体解决方案的拳头产品。
该监控系统集先进的计算机软硬件技术、自动控制技术和网络通信技术于一身,主要用于变电站内部测控,保护以及其他数据的监控,设计完全根据国际国内最新的行业标准,能够最大限度地满足电力系统安全、稳定和高效运行的要求。
2、系统组成部分及其部署位置
国电南自PS6000+监控系统采用分层分布式的结构,按物理位置可分为间隔层和站控层。
间隔层主要由保护和测控装置组成。
通过精心的设计,保护和测控装置的功能既相互独立又相互融和。
国电南自PS6000+监控系统的站控层设备同样采用分布式、开放式的设计,主要由当地后台监控和远动设备组成。
站控层交换机用于站内网络设备组网。
远动机用于传输站内数据至调度,负责和常州市调主站通信。
组成监控系统的监控主机、站控层交换机、远动主机设备均位于生产控制大区I区内部,因此所有数据交互都是在生产控制大区I区内部进行交互,不存在跨区数据交互过程。
5.3、系统数据交互方式
1、后台监控系统内部数据交互方式
全站采用网络组网配置,以太网103规约通过网线接入站控层交换机,采集站内保护和测控的数据,其他不支持以太网103规约通讯的设备经过通信管理机转换后再以以太网103规约通过网线接入交换机。
监控系统通过网线对接入站控层交换机的所有设备进行数据监控。
2、后台监控系统与调度的数据交互方式
后台监控系统通过远动主机与无锡市调主站进行通讯,采用标准104调度规约。
3、接入调度数据网方式
远动主机通过接入双平面调度数据网交换机的方式将数据上传至无锡市调自动化,在本方案中,远动机与生产控制大区(I平面和II平面)I区接入交换机相连。
4、安全防护策略配置
由于远动数据通过I区接入交换机上传至电力公司,因此通过纵向加密装置可以保证数据安全,加密的传输。
纵向加密需要在策略上将厂内地址和调度端系统前置机地址以及2404TCP端口上进行限制。
5.2.2电量采集系统
1、系统介绍
本电站的电能采集系统通过电力调度数据网以网络方式将电能量数据上传至调度端。
2、组成及其部署位置
电能量采集系统中关口上网电量经电能量采集装置上传至调度数据网,其设备布置在生产控制大区Ⅱ区内部。
3、系统数据交互方式
3.1、电量采集系统内部数据交互方式
关口计量表数据通过通讯接口计入电量采集装置,电量采集装置在通过网络接入数据网交换机。
最终通过一平面非控制区将电量上送到调度。
3.2、电量采集系统与厂内其他系统的数据交互方式
无
3.3、电量采集系统与调度的数据交互方式(与调度互传)
电量采集系统通过调度数据网与调度主站进行通讯。
4、接入调度数据网方式
电量采集系统通过接入调度数据网交换机的方式将数据上传至调度控制中心,在本方案中,电量终端服务器与生产控制大区Ⅱ区接入交换机相连。
5、防
升级会员 