扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程初步设计调整修改版1.docx

1、扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程初步设计调整修改版1检索号：D0064编 号：D0064-C扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程初步设计设计说明能拓电力建设有限公司工程设计证书： 乙级 A2320309992012年12月扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程初步设计设计说明批 准：审 核：校 核：编 写：1 工程概况：电力调度数据网是电力调度生产服务的专用数据网络，是承载并实现各级调度中心之间及调度中心与厂站之间实时生产数据及传输及交换的基础网络，是供电公司实现应急技术支持系统和备用调度中心功能的支持

2、平台。电网调度是电网运行控制主要方式，关系电网安全运行。随着电网技术及网络技术的飞速发展，对电力调度数据网的安全性及连续性的要求日益提高。江苏电网是华东电网的重要组成部分，并已在2012年完成了江苏电力调度数据网网络结构优化为骨干网和接入网的重要步骤。其中，骨干网包括数据网第一、二平面，接入网包括省级接入网和市级接入网。覆盖了江苏省调、13个地调、51个区县调、98座统调电厂、35座500kV变电站、426座220kV变电站、1422座110kV变电站、889座35kV 变电站，调度数据网双平面的建成和完善为调度监控自动化系统、电网协调防御决策支持系统、电能量自动采集系统、电力市场交易系统和继

3、电保护信息远传等应用业务提供了可靠的支持。为确保调度实时系统和调度生产管理系统的安全可靠运行，根据上级相关要求，江苏省电力公司积极开展电力二次系统安全防护工作，按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则，从制定方案、规范标准入手，统一部署了安全防护设备及访问控制策略，现已初步形成了覆盖省、市、县及所属厂站的二次系统安全防护体系。在“安全分区”方面，在省公司统一部署下，将电力二次系统分为生产控制大区和管理信息大区，生产控制大区划分为安全I区和安全II区，将EMS系统、功角量测等实时控制系统划入安全I区，将电能量系统、DTS等非实时系统划入安全II区，将调度生产管理系统（OMS系统）

4、划入管理信息大区。根据电监会34号文要求，2007 年底之前，江苏省电力公司系统地级以上调度机构、220kV以上变电站（含开关站、换流站）、总 装机1000兆瓦或含有单机容量300兆瓦以上机组的发电厂及其它重要厂站要具备二次系统安全防护的主要功能；20082009年 110 kV以上变电站、含有单机容量100兆瓦以上机组的发电厂、县级调度中心和配电调度中心等要具备二次系统安全防护的主要功能，有条件的地方应尽量提前；2010 年之前建成比较完善的电力二次系统安全防护体系。江苏省电力公司积极贯彻上级要求，逐步开展了二次系统安全防护工作，目前已初步建成了二次系统安全防护体系，但二次系统安全防护体系尚

5、不完备，需要逐步完善。目前，江苏电力调度数据网省、地、县、500kV 变电站、220kV变电站、统调电厂已经部署加密网关、防火墙等安全访问控制设备，但110kV变电站只有部分变电站部署防火墙、纵向加密认证网关等安全设备，不能满足国家电网2011684号“110kV变电站需配置I区纵向加密认证装置(低端)”的要求，亟需进一步完善。1.1 设计依据（1） 国家电网调（2011）684号关于加强地县级电网备用调度建设工作的意见（附件1）（2） 国家电网调（2011）1366号关于江苏省电力公司地县备调建设框架方案及通信网络容灾建设方案的可研批复（附件2）（3） 苏电运检（2012）2021号江苏省电

6、力公司关于下达2013年二次技改和通信技改第一批计划项目的通知（4） 电力二次系统安全防护规定（国家电力监管委员会第5号令）（5） 电监安全200634号文附件1：电力二次系统安全防护总体方案；（6） 电监安全200634号文附件2：省级以上调度中心二次系统安全防护方案；（7） 电监安全200634号文附件3：地、县级调度中心二次系统安全防护方案；（8） 电监安全200634号文附件4：变电站二次系统安全防护方案；（9） 扬州供电公司“关于委托开展扬州地区110kV及以下变电站数据网一平面二次安防设备完善工程初步设计的函”1.2 工程现状截止2012年底，扬州地区所属系统内共130座110kV

7、及以下变电站，其中已完成69座变电站与第一平面的二次系统安全防护体系的建设，拟在本期继续建设所属61座110kV及以下变电站与第一平面相连的二次安全防护体系，并根据工程建设情况建设市区部分110kV及以下变电站与第二平面连接的二次安全防护体系。同时根据扬州地区地调主站的实际情况，增加扬州地调端一、二平面千兆纵向加密装置及加密管理机，完善现有地调主站二次安全防护体系。扬州本期工程旨在完善已建的扬州地区的110kV及以下变电站的二次系统安全防护系统。已建二次安防的变电站分散于扬州所属的各个区县，但是各区县均有未做二次安防的变电站，本期根据省公司规划及扬州地区实际情况，选取本期68座变电站作为工程实

8、施的地点，并根据实际情况优先建设厂站至第一平面的二次安防系统。1.3 设计原则（1） 110kV变电站统计原则：至2013年底已投运和计划投运的110kV及以下变电站；（2） 不考虑用户变；（3） 设备选型原则：考虑到目前国产加密认证装置日趋成熟，从经济性及维护方便性角度考虑，同时根据国家电网2011684号的要求，本期110kV及以下变电站配置的纵向加密认证装置推荐采用国产设备，相关费用估算以国产设备价格为依据。1.4 设计范围1) 扬州110kV及以下变电站数据网一平面二次安全防护设备完善工程建设方案2) 主要设备材料清册3) 工程概算1.5 主要经济技术指标本工程静态投资： 563 万元

9、本工程动态投资： 563 万元2 项目必要性电力行业是国家重要的能源支柱行业，是我们日常各项工作和生活的基础和保障。随着电网的信息网络化建设进程，二次系统的网络安全问题越来越需要引起重视。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。为保证电力企业计算机网络系统物理安全、网络安全、平台安全、数据与信息内容安全、信息基础设施安全，国家电监会发布了电力二次系统安全防护总体方案（电监安全200634号），要求所有的电力企业自身二次系统网络化建设中应严格按照总体方案进行。变电站二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击，以及其他非法

10、操作，防止变电站二次系统瘫痪和失控，并由此导致的变电站一次系统事故。按照电力二次系统安全防护规定（电监会5号令）要求，“电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则，保障电力监控系统和电力调度数据网络的安全。”变电站二次系统安全防护的重点是强化变电站边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。扬州本期110kV及以下变电站二次安防完善工程是在上一期二次安防系统建设的基础上，继续在扬州地区其他未建设二次安防系统的110kV及以下变电站推广建设二次系统安全防护系统。3 二次系统安全防护体系要求3.1 安全分区安全分区是电力二次系统安全防护体

11、系的结构基础，电力企业内部基于计算机和网络的各应用系统原则上划分为生产控制大区和管理信息大区，生产控制大区又可以进一步划分为控制区（安全I区）和非控制区（安全II区）。控制区（安全I区）的应用系统是电力生产的核心环节，直接实现对电网一次系统的实时监控。控制区的典型业务系统包括：厂站端远动系统、计算机监控系统、调度端能量管理系统、广域相量测量系统、配网自动化系统等，其数据通信采用电力调度数据网的实时子网和专线通道。非控制区（安全II区）的应用系统是电力生产的必要环节，在线运行，但不具备控制功能。非控制区的典型业务系统包括：继电保护和故障录波信息管理系统、电能量计量系统、调度员培训模拟系统、电力市

12、场运营系统等，其数据通信采用电力调度数据网的非实时子网。管理信息大区是生产控制大区以外的电力企业管理业务系统，其典型业务系统包括：OMS系统、视频传输系统、电视电话会议系统、MIS系统等，数据通信采用电力综合数据网。3.2 网络专用电力调度数据网是为电力系统生产控制大区服务的专用数据网络，应该在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网以及外部公告信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。电力调度数据网采用虚拟专网技术划分为多个逻辑隔离的子网，实现网络路由防护。数据网络与业务系统的边界同样需采用必要的访问控制措施

13、和安全隔离措施保证网络边界防护。网络设备需要进行安全配置，关闭或限定网络服务，避免使用默认路由，设置高强度的密码，开启访问控制列表，封闭空闲的网络端口。另外，电力调度数据网的建设还应按照安全分层分区的原则进行。各层面的数据网络之间应通过路由限制措施进行安全隔离。3.3 横向隔离横向隔离是电力二次系统安全防护体系的横向防线。采用不同强度的安全设备隔离各个安全分区，在生产控制大区和管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。按照数据通信方向，电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区

14、的非网络方式的单向数据传输；反向安全隔离装置用于管理信息大区到生产控制大区的单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。控制区和非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。禁止生产控制大区内部的Email服务，禁止控制区内通用的WEB服务。允许提供纵向安全WEB服务，可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。生产控制大区内的系统间应采用VLAN和访问控制等措施，限制系统间的直接互通。3.4 纵向认证纵向认证是电力二次系统安全防护体系的纵向防线。纵向加密认证装置为广域网通信提供认证与加密功能，实现数据传输

15、的机密性、完整性保护，同时具有类似防火墙的安全过滤功能。变电站在生产控制大区与广域网的纵向连接处应设置经国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关，实现双向身份认证、数据加密和访问控制。加密认证网关除具备加密认证装置的所有功能外，还应实现对电力系统数据通信应用层协议及报文的处理功能。4 调度数据网现状4.1 江苏省调度数据网现状江苏电力调度数据网络分为骨干网和省网两大部分，根据“国网扩充工程”可研要求，各个省网需组织配套建设相应的接入网络，在省网层面，接入网分为省级接入网以及市级接入网。至2011年底，通过第二平面调度数据网工程建设工程，建设第一、二平面骨干网络及省级接入网

16、络，并将现有的调度数据网整体改造为“市级接入网”。1) 第一平面骨干网网络省调、省调备调及13个地调，采用POS接口互联，形成环网拓扑网络结构，网络带宽为155M。省调、备调核心路由器设备型号为ZXR10-M6000；13个地调骨干路由器设备型号为ZXR10-T600。第一平面骨干网拓扑结构示意详见图4.1-1。图4.1-1：第一平面骨干网网络结构示意图2) 第二平面骨干网网络省调、省调备调及13个地调，采用POS接口互联，形成环网拓扑网络结构，网络带宽为155M。省调、备调核心路由器设备型号为ZXR10-M6000；13个地调骨干路由器设备型号为ZXR10-T600。第二平面骨干网拓扑结构示

17、意详见图4.1-2。图4.1-2: 第二平面骨干网拓扑结构示意3) 市级接入网市级接入网以地区为建设单位，且网络结构相同，共13个。市级接入网由各地区市、县供电公司、统调电厂、220kV及以下变电站组成，采用星型结构组网，核心层为各市供电公司，汇聚层为各县公司，接入层为全省220kV及以下厂站。市、县供电公司之间采用FE接口互联，220kV变电站采用E1接口上联至所在市、县的路由器；110kV、35kV变电站通过E1接口上联至所在市、县汇接路由器，市、县两台路由器间采用背靠背方式互联。市公司骨干路由器设备型号为Cisco12410，县公司汇聚路由器均采用Cisco75、76系列设备；汇接路由器

18、采用ZXR10 T64E、RT-SR6608-H3等设备；220kV变电站接入路由器均采用Cisco37、36系列的设备；110kV、35kV变电站接入路由器主要采用RT-AR28-10-DC-H3、ZXR1842设备。市级接入网网络结构示意详见图4.1-3。图4.1-3：市级接入网网络结构示意图4) 省级接入网网络省级接入网以地区为单位建设，由环型和星型组成，覆盖地区500kV、220kV变电站。环型网络由各地区地调和500kV汇聚节点组成，采用POS接口互联，带宽按155M计；星型网络由500kV、220kV变电站（不作为汇聚节点的变电站）组成，采用E1接口就近接入500kV汇聚节点带宽按

19、2M计。13个地调骨干路由器设备型号为ZXR10-T600；500kV汇聚节点汇聚路由器设备型号为ZXR10-GER08；接入节点（不作为汇聚节点的变电站）接入路由器设备型号为ZXR10-ZSR3884。省级接入网网络结构示意详见图4.1-4。图4.1-4：省级接入网网络结构示意图省级接入网核心节点（地调）采用FE接口分别上联至第一、二平面骨干网。4.2 扬州调度数据网现状1) 省级接入网扬州地区省级接入网节点由扬州地调、江都县调和2个汇聚节点（500kV扬州西变、500kV江都变）组成，采用POS接口互联，带宽按155M计，其中，500kV汇聚节点的汇聚路由器下联采用CPOS接口，带宽按15

20、5M计；不作为汇聚节点的500kV、220kV变电站上联至所属500kV汇聚节点，组成星形结构，采用E1接口上联，带宽按2M计。 2) 市级接入网扬州地区市级接入网由骨干层、汇聚层和接入层组成，网络拓扑采用星型结构。骨干层为市公司，汇聚层为县公司，采用FE接口互联；接入层为220kV及以下厂站，其中，市、县220kV变电站采用单路E1接口分别上联至地调骨干路由器和县调汇聚路由器；市、县110kV、35kV变电站采用单路E1接口分别上联至市、县汇接路由器，市、县2台路由器采用背靠背方式互联。扬州地区市级接入网，通过扬州地区电力调度数据网第二汇聚点改造工程，网络结构调整为具有双核心节点的星型网络结

21、构，实现110kV、35kV变电站双路由上联。扬州地区调度数据网网络结构示意详见图4.2-1。图4.2-1：扬州地区调度数据网网络拓扑结构示意图 扬州地区地调与下属县调及本地区110kV变电站调度数据网设备连接如下图4.2-2：图4.2-2 扬州地区调度数据网通信连接图5 扬州地区二次安防现状5.1扬州地区二次安防主站端扬州供电公司地调主站端按省公司统一部署规划，采用三角形结构，具体配置为:I、II区间横向防护采用防火墙；I区纵向采用2台纵向加密认证装置；II区纵向与I、II区防护均采用防火墙；II区与III区采用正、反向电力专用隔离装置隔离。每个区使用各自区内交换机连接各应用系统网段，且各区

22、已布置防病毒系统，能根据实际情况对应用系统进行病毒检测和处理。扬州供电公司地调主站端生产控制大区与管理信息大区部署入侵检测系统、漏洞管理系统、安全拨号系统；管理信息大区部署访问控制服务系统。具体配置为：入侵检测系统采用2台入侵检测引擎，2台入侵检测管理工作站；安全拨号系统采用2台安全拨号认证网关；漏洞管理系统采用1台漏洞管理装置；访问控制服务系统采用2台有线网络认证服务器。扬州地调二次系统安全防护现在拓扑示意图如下5-1：图5-1扬州地调二次系统安全防护设备组网拓扑图5.2扬州地区二次安防厂站端 扬州地区110kV及以下变电站已有69座变电站与第一平面连接通道间的二次系统安全防护系统建设完毕。

23、本期建设方案参考上期已建方案完善扬州地区已建二次安全防护系统。根据扬州地区110kV及以下变电站一平面二次安防已建设方案，如图5-2：图5-2扬州地区已建110kV及以下变电站二次安全设备连接图根据上述扬州地区二次安防系统情况，在本期扬州地区68座110kV及以下变电站改造二次安全防护设备。并根据省公司规划及资金规模优先建设变电站至调度数据网第一平面的二次安防系统，同时根据需要建设部分110kV及以下变电站至第二平面的二次安防。在本期完善工程建设完善后，本期110kV及以下变电站与扬州地区数据网一平面连接将满足数据网安全性的需要。6 工程建设方案根据国家电网调2011684号“110kV变电站

24、需配置I区纵向加密认证装置(低端)”，结合苏电调201289号文“各电压等级厂站二次安全防护设备冗余配置，每套含I区纵向认证加密装置一台、II区硬件防火墙或纵向认证加密装置一台”的要求，本期在110kV及以下变电站I、II区各配置1台纵向加密认证装置（低端）。并根据江苏地区数据网实际情况优先建设厂站至第一平面连接通道（部分变电站建设第二平面），改造后的110kV及以下变电站网络拓扑见图6.1：图6-1：本期改造的扬州地区110kV及以下变电站网络拓扑图本期110kV及以下变电站在I、II区与第一平面(部分变电站内为第二平面)连接通道间各配置一台纵向加密认证装置（低端），本期部分第一平面已建变电

25、站则建设站内至第二平面间的连接通道的，并根据本期变电站现有机柜空余现状，在部分变电站添加40面机柜以满足设备安装的需要，其他均布置于站内原有机柜，不需新增，每站配置设备连接所需电源线、网络线等辅材。扬州州地区68座变电站共需配置136台纵向加密认证装置（低端）。并根据扬州地调的实际情况，在地调端补齐相应的加密网络管理机。地调端配置一、二平面I、II区配置加密装置管理机，共4台加密装置管理机。 本期添加后扬州地调端二次安全防护系统拓扑结构如图6-2：图6-2扬州地调端二次安防在本期添加后的拓扑图7 设备配置清单根据省公司规划及关于二次安防设备的相关要求，结合扬州所属110kV及以下变电站实际情况

26、，配置相应的设备及辅材，设备列表如下：表7.1 扬州二次安防设备材料列表序号设备名称单位数量型号规格备注1纵向加密认证装置(低端)台136不少于4个10/100M加密网络接口，1个终端接口（RS232），1个智能IC卡接口，AC220V。110kV及以下变电站配置2台2加密管理装置台44个千兆网卡接口，1个百兆网卡接口，1个智能IC卡接口。双电源。地调一、二平面I、II区各配置1台3机柜面40双电源，单路至少9口PDU、空开缺少机柜的110kV及以下变电站配置1面4辅材套68网线40m/站，电源线25m/站110kV及以下变电站各配置1套8 设备技术参数110kV变电站纵向加密认证装置（低端）

27、需满足国网公司对二次安防设备的相关技术规范，具体要求如下：1) 配置要求 加密网络接口：不少于4个10/100M接口。 外设接口：1个终端接口（RJ45、RS232）+ 1个智能IC卡接口。 电源：冗余电源，AC220V。 设备厚度不超过1U，可安装于19英寸标准机柜。2) 技术指标 最大并发加密隧道数：大于1024条。 100M LAN环境下，加密隧道建立延迟小于1s。 明文数据包吞吐量：大于 50Mbps （50 条安全策略，1024 报文长度）。 密文数据包吞吐量：大于5Mbps （10条安全策略，1024报文长度）。 数据包转发延迟：小于2ms （50密文数据包吞吐量）。 满负载数据包

28、丢弃率：0。3) 功能要求（1） 基本功能 该装置应具有状态指示，开机自检功能。 该装置应具有故障告警功能。 该装置应能进行密文通信。 该装置应支持10/100M自适应以太网口。 该装置应可以通过异步串行口对装置进行管理，异步串行口速率为115200bps。 该装置应可以接受装置管理系统的远程监控和管理。 该装置应支持软件升级。 网络适应性：装置可适应VLAN TRUNK网络环境。 为便于故障应急处理，该装置应支持硬旁路明通模式，不允许软件方式。 该装置支持与其它厂家同类装置的互联互通。 通过装置的管理中心准确可靠实现远程的访问和管理；支持装置重启、隧道初始化和策略添加等。 （2） 扩展功能

29、网络环境适应性：装置支持路由模式与透明模式。现有的网络拓扑结构无须变动，即可实现各种实时信息的加密传输。保证不同网段应用的无缝透明接入，支持多种网络接入环境包括标准的802.1Q多VLAN环境、地址借用的网络环境等。 安全加固：操作系统内核应用最新的安全补丁；自定义协议栈，网络数据的处理完全可控。只有符合本机安全策略的数据才能到达装置网络层以上协议；加密网关支持对电力应用进行应用层选择性加密保 护，所有应用都采用定制的安全协议，可有效防御攻击。 可靠性与自愈能力：有专门的系统监控模块，负责对密码模块、远程管理模块和密钥同步模块等进行监控，一旦发现软、硬件异常情况， 监控进程将予以审计记录，同时

30、尝试进行修复。支持双机热备，支持双 电源冗余工作，保证系统的高可靠性。 为了便于网络运行的可靠性，加密装置一旦发现隧道对端装置断开或者明通则支持明通自适应功能，自动将加密处理的报文转为明通处理。 支持手工批量配置明通或密通策略。 提供证书管理软件，软件要求能对异构系统颁发证书。 采用电力专用密码算法对传输的数据进行加密保护，保证数据的真实性、机密性和完整性。 纵向加密设备之间支持基于电力数字证书的认证。 支持透明工作方式与设备工作方式，支持NAT。 具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能。 应支持基于加密隧道的明通功能，根据安全策略，可以对不同的隧道分别设置加密或明传。

31、 必需具备对电力应用协议的特殊报文进行选择性加密保护。 符合IP加密认证装置技术规范的技术要求，支持不同厂家设备的互联互通。 必须能够识别、处理网络正常运行所需要的路由协议报文及其他协议报文。 必须能够识别、过滤、转发 Trunk 协议的报文，装置本地配置功能必须支持设置VLanID。 提供完备的日志审计功能，如时间、IP、MAC、PORT等日志信息。对通过加密设备进入监控内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录，以便事后审计；此外，也应具有对加密认证 设备的操作维护日志信息。 支持系统告警，支持完备的安全事件告警机制，当发生非法入侵、装置异常、通信中断或丢失应用数据时，可通过加密认证设备专用的告 警串口或网络输出报警信息，日志格式遵循Syslog标准。 安全、方便的维护管理方式：基于图形化的管理界面，方便对装 置进行设置、监视和控制运行。4) 安全性要求 该装置使用认证卡进行身份验证，通过异步串行口对装置进行管理。 必须通过国家密码管理委员会办公室组织的安全