電力二次系統(tǒng)安全防護系統(tǒng)在洪家渡發(fā)電廠應用 本文檔格式為 WORD,感謝你的閱讀。 摘要：洪家渡發(fā)電廠電力二次系統(tǒng)安全防護，是根據(jù)電監(jiān)會第 5 號令電力二次系統(tǒng)安全防護規(guī)定及電力二次系統(tǒng)安全防護方案的要求來實施的。本系統(tǒng)在統(tǒng)籌考慮烏江公司洪家渡發(fā)電廠業(yè)務需求和發(fā)展的基礎上，合理的兼顧網絡安全防護，構建一個高效、穩(wěn)定、安全可靠的網絡。重點是確保電力實時閉環(huán)監(jiān)控系統(tǒng)及調度數(shù)據(jù)網絡的安全，目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞 和攻擊，防止由此導致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。 關鍵詞：電二次系統(tǒng)安全防護；調度數(shù)據(jù)網絡安全 ； 防止惡意破壞和攻擊 Abstract: the flood home over power plant power secondary system security protection, is based on the fifth supervisor will order the power secondary system security protection rules, and the power secondary system safety protection plan to the requirements of the implementation. This system in wujiang river flood company considered business requirements and crossing home power plant development, and on the basis of reasonable give consideration to the network safe protection, building an efficient, stable, safe and reliable network. Key is to ensure that the closed-loop control system and power real-time dispatching data network security, the aim is to resist the hackers, viruses, malicious code through various forms of the system such as launched malicious damage and attacks, prevent which led to a system accident or massive blackout accidents and secondary system collapse or paralysis. Key words: the second system safety protective； Dispatching data network security； Prevent malicious damage and attack U664.156 A 概述 : 為了防范黑客及惡意代碼等對電力二次系統(tǒng)的攻擊侵害及由此引發(fā)電力系統(tǒng)事故，特建立電力二次系統(tǒng)安全防護體系，保障電力系統(tǒng)的安全穩(wěn)定運行，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例和國家電力監(jiān)管委員會發(fā)布 20055 號令電力二次系統(tǒng)安全防護規(guī)定等有關文件精神建設洪家渡發(fā) 電廠二次安全防護系統(tǒng)，確保我廠機組安全、優(yōu)質、穩(wěn)定運行。 洪家渡發(fā)電廠二次系統(tǒng)安全防護在生產控制大區(qū)與管理信息大區(qū)添加防火墻、網絡安全隔離裝置、認證系統(tǒng)等，是為了防范來自外部網絡的攻擊，加強電廠內部網絡的安全性，有效的防止不同部門及非法用戶跨權限訪問，通過獨特的加密體系認證，避免數(shù)據(jù)在傳輸過程中被非法劫持及篡改，確保了用戶訪問網絡資源的合法性、安全性。 一、電力二次系統(tǒng)安全防護策略 電力二次系統(tǒng)安全防護總體框架要求電廠二次系統(tǒng)的安全防護技術方案必須按照國家經貿委 2002第 30 號令電網和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網絡安全防護的規(guī)定和國家電力監(jiān)管委員會 2005第 5 號令電力二次系統(tǒng)安全防護規(guī)定進行設計。 1安全防護的基本原則 系統(tǒng)性原則 (木桶原理 )； 簡單性和可靠性原則； 實時、連續(xù)、安全相統(tǒng)一的原則； 需求、風險、代價相平衡的原則； 實用性與先進性相結合的原則； 方便性與安全性相統(tǒng)一的原則； 全面防護、突出重點的原則； 分層分區(qū)、強化邊界的原則； 整體規(guī)劃、分布實施的原則； 責任到人，分級管理，聯(lián)合防護的原則。 2安全策略 安全策略是安全防護體系的核心，是安全工程的中心。安全策略可以分為總體策略、面向每個安全目標的具體策略兩個層次。策略定義了安全風險的解決思路、技術路線以及相配合的管理措施。安全策略是系統(tǒng)安全技術體系與管理體系的依據(jù)。 電力二次系統(tǒng)的安全防護策略為： 安全分區(qū)：根據(jù)系統(tǒng)中各業(yè)務的重要性和對一次系統(tǒng)的影響程度劃分為二個大區(qū)：生產控制大區(qū) I、管理信息大區(qū) ，所有系統(tǒng)都必須置于相應的安全區(qū)內。 網絡專用：建立專用電力調度數(shù)據(jù)網絡，與電力企業(yè)數(shù)據(jù)網絡實現(xiàn)物理隔離，在調度數(shù)據(jù)網上形成 相互邏輯隔離的實時子網和非實時子網，避免安全區(qū)縱向交叉連接。 橫向隔離：采用不同強度的安全設備隔離各安全區(qū)，尤其是在生產控制大區(qū)與管理信息大區(qū)之間實行有效安全隔離，隔離強度應接近或達到物理隔離。 縱向認證：采用認證、加密、訪問控制等技術實現(xiàn)生產控制數(shù)據(jù)的遠程安全傳輸以及縱向邊界的安全防護。 3電力二次系統(tǒng)的安全區(qū)劃分 根據(jù)電力二次系統(tǒng)的特點，各相關業(yè)務系統(tǒng)的重要程度和數(shù)據(jù)流程、目前狀況和安全要求，將電力二次系統(tǒng)分為二個安全區(qū)：生產控制大區(qū) I、管理信息大區(qū) ，不同 的安全區(qū)確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。其中安全區(qū) 的安全等級最高，安全區(qū) 次之。 在各安全區(qū)之間，均需選擇適當?shù)慕泧矣嘘P部門認證的隔離裝置。生產控制大區(qū)與管理信息大區(qū)之間必須采用經國調中心認可的電力專用安全隔離裝置。 在安全區(qū)中內部局域網與外部邊界通信網絡之間應采用功能上相當于通信網關或強于通信網關的內外網的隔離裝置。 4業(yè)務系統(tǒng)或功能模塊置于安全區(qū)的規(guī)則 根據(jù)該系統(tǒng)的實時性、使用者、功能、場所、在各業(yè)務系統(tǒng)的相互關系、廣域網通信的 方式以及受到攻擊之后所產生的影響，將其分置于兩個安全區(qū)之中。 實時控制系統(tǒng)或未來可能有實時控制功能的系統(tǒng)需置于安全區(qū) 。如：機組監(jiān)控系統(tǒng)，實時性很強。用于在線控制，所以置于安全區(qū) I。 電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務系統(tǒng)遷移到低安全區(qū)。允許把屬于低安全區(qū)的業(yè)務系統(tǒng)的終端設備放置于高安全區(qū)，由屬于高安全區(qū)的人員使用。 某些業(yè)務系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時，可根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊（或子系統(tǒng)）分置于各安全區(qū)中，各功能模塊（或子系統(tǒng)）經 過安全區(qū)之間的通信來構成整個業(yè)務系統(tǒng)。 自我封閉的業(yè)務系統(tǒng)為孤立業(yè)務系統(tǒng)，其劃分規(guī)則不作要求，但需遵守所在安全區(qū)的安全防護規(guī)定。 5安全區(qū)之間的橫向隔離要求 在各安全區(qū)之間均需選擇適當安全強度的隔離裝置，尤其在生產控制大區(qū)和管理信息大區(qū)之間要選擇使用達到或接近物理強度的專用隔離裝置。具體隔離裝置的選擇不僅需要考慮網絡安全的要求，還需要考慮帶寬及實時性的要求。隔離裝置必須是國產設備并經過國家或電力系統(tǒng)有關部門認證。 洪家渡發(fā)電廠二次系統(tǒng)安全防護總體結構拓樸圖 三、我廠電力二次系統(tǒng)安全防護實施方案 二次安防網絡安全設備放置于監(jiān)控機房專用機柜，電源使用監(jiān)控系統(tǒng) UPS 電源。 1.設備柜上分布情況 2.設備配置命名 設備命名規(guī)則按照簡單，直觀，整體性，邏輯性，并充分預留的原則，采用字母與數(shù)字結合的方法，洪家渡電廠二次系統(tǒng)安全防護工程的設備命名如下： 3端口描述 為便于識別和維護，定義 VLAN 和 VLAN 端口、物理端口描述的規(guī)則如下： 交換機之間互聯(lián)用 VLAN、 VLAN 接口的描述規(guī)則為：description to-設備名稱 例如：本設備連接到縱向加密 A， VLAN 接口的描述為： description TO-ZhongXiangJiaMi_A 交換機連接服務器或者用戶的 VLAN 及 VLAN 接口的描述為： Description 服務器名或用戶組名 例如：本 VLAN 連接遠動系統(tǒng) EMS，描述為：DescriptionEMS 4路由協(xié)議部署 路由協(xié)議用于學習和維護路由，為網絡通訊提供最佳路徑，路由協(xié)議選擇原則如下： 開放性和標準化 :必須使用國際標準的路由協(xié)議，保 證網絡的開放性，支持不同廠商設備的路由互連。 可擴展性 :使用的路由協(xié)議必須具備良好的擴展能力，能夠支持網絡規(guī)模的持續(xù)增長。 支持數(shù)據(jù)分流 :路由協(xié)議應該支持靈活的路由策略，通過調整路由策略，可以實現(xiàn)數(shù)據(jù)分流。 安全性及穩(wěn)定性 :必須確保數(shù)據(jù)在傳輸過程中必須中，不被非法者劫持或篡改。 基于以上四點選擇原則，洪家渡發(fā)電廠電網調度二次安全防護改造工程宜采用 BGP+OSPF+MPLS-VPN 的路由結構體系，結合 BGP 和 OSPF 各自的優(yōu)勢，非常容易實現(xiàn)數(shù)據(jù)分流，通過 MPLS-VPN 構建出一條虛擬隧道，使得業(yè)務間 建立安全的通信鏈路。 省調度網 省調度網使用 BGP 路由協(xié)議。 烏江水電開發(fā)有限公司調度網的路由器與洪家渡發(fā)電廠電網調度二次安全防護的路由器之間建立 eBGP 鄰居關系，相互交換路由， eBGP 路由邊界在烏江水電開發(fā)有限公司調度網和洪家渡發(fā)電廠電網調度網路由器上。 局域網 烏江水電開發(fā)有限公司調度網、洪家渡發(fā)電廠電網調度網與省調度網路由器相連，使用 OSPF 協(xié)議。局域網的CISCO 2800 為局域網與省調度網的路由邊界點，負責 OSPF 與BGP 的路由再發(fā)布。將 BGP 的路由導入 OSPF，使局域網學到外部路由，同時也將 OSPF 的路由以 network 的方式導入BGP，使省調度網學到局域網的路由。 結語： 洪家渡發(fā)電廠電力系統(tǒng)二次安全防護項目的規(guī)劃和實施過程中，始終遵循國家對電力二次系統(tǒng)安全防護的規(guī)定并明確本項目系統(tǒng)在電廠信息自動化系統(tǒng)中所處位置，配置的設備都得到國家相關部門認證的正反向隔離裝置用于安全區(qū) I到安全區(qū) II 之間，確保數(shù)據(jù)單向傳遞，對數(shù)據(jù)傳遞的穩(wěn)定性、完整性、實時性提供了保證。整個系統(tǒng)嚴格堅持安全分區(qū)、網絡專用、橫向隔離、縱向認證的原則 ,能有效 保障我廠電力監(jiān)控系統(tǒng)和電力調度數(shù)據(jù)網絡的安全。 閱讀相關文檔 :折流桿換熱器的設計制作 淺議公路工程中高性能混凝土配合比的設計 鋼筋混凝土框架改擴建結構設計分析 公路隧道施工滲水問題及防治 淺議創(chuàng)新型電力施工企業(yè)人才機制 淺議公路工程施工安全管理 山區(qū)橋梁施工方案與施工技術安全控制論述 淺議如何提高工程預結算文件質量 黔西南及貴州各部近年來連年干旱的應對措施 淺談變壓器的繼電保護 淺