仰天湖电厂电力监控系统安全防护实施方案.doc

.仰天湖电厂电力监控系统安全防护实施方案编 写 单 位： 湖南华电郴州风力发电有限公司 编 写 日 期： 2017年5月10日 受理审查单位： （盖章） 受 理 日 期： 一、安全防护目标为了加强发电厂电力监控系统安全防护，抵御核可及恶意代码等对发电厂电力监控系统发起的恶意破坏和攻击，以及其他非法操作，防止发电厂电力监控系统瘫痪和失控，和由此导致的发电厂一次系统事故和其他事故。二、组织体系仰天湖电厂专门成立了电力监控系统安全防护领导小组和工作小组，明确人员职责，将电力监控系统安全防护及其信息报送纳入日常安全生产管理体系，具体名单如下：（一）领导小组组 长：关然（总经理）成 员：王新、胡健、徐志杰、侯昭彬、黄继涛、冷玉波、张国庆、乔凤君、施亮、张祥工作职责：负责提出安全防护工作目标和要求，审定工作方案，协调和指导相关工作。（二）工作小组组 长：施亮（部门主任）成 员：李博、刘海峰、王小泽、王超、范博文专 责：范博文（信息专责）工作职责：工作小组制定工作方案并负责工作方案的实施。三、电力监控系统概况仰天湖电厂电力监控系统9套，依次为风机集中监控系统、升压站监控系统、无功电压与发电功率控制（AVC、AGC）系统、同步相量测量装置（PMU）、风功率预测系统、故障录波装置、电能量采集装置、生产与营销系统、视频监控系统。其中位于安全的4套，为风机集中监控系统、升压站监控系统、无功电压与发电功率控制（AVC、AGC）系统、同步相量测量装置（PMU），安全区3套，为风功率预测系统、故障录波装置、电能量采集装置，管理信息大区2套，分别为生产与营销系统、视频监控系统。（注意：请参考能源局36号文中“附件4发电厂监控系统安全防护方案”附录1中各系统统计）（一）风机集中监控系统情况风机集中监控系统为中国南车股份有限公司，于2009年12月正式投运，系统承担风机数据采集、故障报警、远程启停风机等作用。系统采用C/S模式，分3个部分，依次为风机箱变部分、服务器部分、工作站部分，部署在综合楼二楼机房。系统共有服务器1台，工作站3台，网络设备4台（路由器、交换机）。1、系统具备的功能模块为：1) 风机数据采集及展示功能2) 风机故障告警功能3) 风机远程控制功能2、与其他系统数据交互情况1）与安全区无功电压与发电功率控制（AVC、AGC）系统、升压站监控系统有交互。与安全区风功率预测系统有交互。（二）升压站监控系统情况升压站监控系统为国电南京自动化股份有限公司，于2009年12月正式投运，系统承担升压站一次系统设备状态展示、远程控制等作用。系统采用C/S模式，分3个部分，依次为一次设备部分、服务器部分、工作站部分，部署在综合楼二楼机房。系统共有服务器4台，工作站2台，网络设备1台（路由器、交换机）。1、系统具备的功能模块为：1)升压站一次系统设备状态展示功能2)故障告警功能3)远程控制功能2、与其他系统数据交互情况1）与安全区风机集中监控系统、同步相量测量装置（PMU）有交互。与安全区故障录波装置、电能量采集装置有交互。与安全区生产与营销系统有交互。与调度数据有交互。（三）无功电压与发电功率控制（AVC、AGC）系统情况无功电压与发电功率控制（AVC、AGC）系统为国电南京自动化股份有限公司，于2009年12月正式投运，系统承担自动无功电压控制、自动发电功率控制作用。系统采用C/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房。系统共有服务器1台，工作站2台，网络设备1台（路由器、交换机）。1、系统具备的功能模块为：1)自动无功电压控制功能2)自动发电功率控制功能2、与其他系统数据交互情况1）与安全区风机集中监控系统有交互。与调度数据有交互。（四）同步相量测量装置（PMU）情况同步相量测量装置（PMU）为国电南京自动化股份有限公司，于2009年12月正式投运，装置承担电力系统的动态监测、系统保护、系统分析和预测作用。系统采用C/S模式，分1个部分，依次为服务器部分，部署在综合楼二楼机房。系统共有服务器1台，工作站0台，网络设备0台（路由器、交换机）。1、装置具备的功能模块为：1)电力系统的动态监测功能2)系统保护功能3)系统分析和预测功能2、与其他系统数据交互情况1）与安全区升压站监控系统有交互。与调度数据有交互。如与区其他系统，与气象、水情、政府等数据交互情况。.（五）风功率预测系统情况风功率预测系统为北京东润环能科技股份有限公司，于2016年7月正式投运，系统承担实时功率采集、数值天气预报、短期预测、超短期预测等作用。系统采用B/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房。系统共有服务器2台，工作站2台，网络设备1台（路由器、交换机）。1、系统具备的功能模块为：1)实时功率采集功能2)数值天气预报功能3)短期预测功能4)超短期预测功能2、与其他系统数据交互情况1）与安全区风机集中监控系统有交互。与调度数据有交互。与气象数据有交互。（六）故障录波装置情况故障录波装置为国电南京自动化股份有限公司，于2009年12月正式投运，装置承担故障前后记录各种电气量的变化情况等作用。系统采用C/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房。系统共有服务器1台，工作站1台，网络设备0台（路由器、交换机）。1、装置具备的功能模块为：1)故障前后记录各种电气量的变化情况功能2)对分析处理事故、判断保护是否正确动作功能2、与其他系统数据交互情况1）与安全区升压站监控系统有交互。与调度数据有交互。（七）电能量采集装置情况电能量采集装置为国电南京自动化股份有限公司，于2009年12月正式投运，装置承担电量远端采集、存储、远传作用。系统采用C/S模式，分1个部分，依次为服务器部分，部署在综合楼二楼机房。系统共有服务器1台，工作站0台，网络设备0台（路由器、交换机）。1、装置具备的功能模块为：1)电量远端采集、存储、远传功能2、与其他系统数据交互情况1）与安全区升压站监控系统有交互。与调度数据有交互。（八）生产与营销系统情况生产与营销系统为国电南京自动化股份有限公司，于2009年12月正式投运，系统承担实时数据采集、数据标准化、数据存储与上传等作用。系统采用C/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房。系统共有服务器3台，工作站1台，网络设备1台（路由器、交换机）。1、系统具备的功能模块为：1)实时数据采集功能2)数据标准化功能3)数据存储与上传功能2、与其他系统数据交互情况1）与安全区升压站监控系统有交互。与华电集团数据有交互。（九）视频监控系统情况视频监控系统为国电南京自动化股份有限公司，于2009年12月正式投运，系统承担对升压站周围环境实时监控作用。系统采用C/S模式，分2个部分，依次为服务器部分、工作站部分，部署在综合楼二楼机房。系统共有服务器1台，工作站2台，网络设备0台（路由器、交换机）。1、系统具备的功能模块为：1)升压站周围环境实时监控功能2、与其他系统数据交互情况1）无交互情况。四、安全防护方案（一）安全分区情况根据国家发改委2014年第14号令电力监控系统安全防护规定及国家能源局国能安全【2015】36号文中对安全区的划分原则，结合本厂的电力监控系统实际情况，将本厂电力监控系统分别放置于相应的安全分区，具体情况参见表1。表1 仰天湖电厂电力监控系统安全分区表安全分区应用系统网络分段设备类型设备名称区（实时控制区）风机集中监控系统采集数据网段：193.168.1.130-193.168.22.130;服务器心跳网段：193.168.1.100主机风机监控服务器网络设备风机数据采集交换机1风机数据采集交换机2风机数据采集交换机3南车风机交换机升压站监控系统服务器心跳网段：172.20.110.101,172.20.110.102主机远动服务器1远动服务器2通信服务器1通信服务器2网络设备无功电压与发电功率控制（AVC、AGC）系统主机AGC/AVC服务器智能服务终端网络设备AGC/AVC交换机同步相量测量装置（PMU）主机同步相量数据集中器同步相量测量装置网络设备区（非控制生产区）风功率预测系统主机气象服务器风功率服务器网络设备风功率交换机故障录波装置主机故障录波及测距装置网络设备电能量采集装置主机电能量采集装置网络设备区（生产管理区）生产与营销系统服务器心跳网段：202.119.100.81-202.119.100.83主机备用接口机风机监控接口机升压站接口机网络设备生产与营销系统交换机视频监控系统主机视频监控装置网络设备（二）网络连接情况1）广域网电厂与长沙本部通过联通专网相连，路由器及防火墙由集团统一部署。电厂与调度数据网通过专线相连，场站侧与调度数据网间部署了加密认证网关。生活用网为电信网络。2） 局域网公司内部网络结构采用三层网络拓扑结构，系统实现快速性、可靠性、安全性，具有良好的运行性能及容错能力。对局域网内IP地址进行规划，采用集团统一分配的IP地址进行VLAN或子网划分。（三）横向安全防护情况1、风功率预测系统1）基本情况、区正向隔离装置，互联网气象数据采集服务器与区交换机间反向隔离装置。、区防火墙，区与办公网间防火墙。2）安全设备部署情况包括设备的品牌、型号，并详细描述设备的部署位置与配置策略，如表2所示。表2 仰天湖电厂风功率预测系统横向安全防护设备表序号设备名称设备型号安装地点安全防护策略1、区正向隔离装置珠海鸿瑞HRwall-85M-综合楼2楼继保室机房2互联网气象数据采集服务器与区反向隔离装置国电南瑞SysKeeper-2000综合楼2楼继保室机房3、区防火墙1众至LB-2206综合楼2楼继保室机房4区与办公网间防火墙Juniper SSG 140综合楼2楼继保室机房集团统一管控（四）纵向安全防护情况1、数据调度网1）基本情况调度数据网与场站侧区连接间有纵向加密设备1，调度数据网与场站侧区连接间有纵向加密设备2。2）安全设备部署情况包括设备的品牌、型号，并详细描述设备的部署位置与配置策略，如表3所示。表3 仰天湖电厂数据调度网纵向防护设备表序号设备名称设备型号安装地点安全防护策略1区纵向加密1北京科东PSTunnel-2000L综合楼2楼继保室机房2区纵向加密2北京科东PSTunnel-2000L综合楼2楼继保室机房（五）综合安全防护情况1、入侵检测电厂生产控制大区工部署了0套网络入侵检测系统。2、主机与网络设备加固仰天湖电厂电力监控系统机房生产控制大区共有服务器8台，网络设备6台。对1台主机，4台网络设备进行了主机加固。加固的主要措施如下：1） 安全配置，风机集中监控系统1台服务器，风功率交换机，风机交换机，区交换机，区交换机。2） 安全补丁，风机集中监控系统1台服务器。生产控制大区未采用无线通信功能设备。管理信息大区业务系统未使用无线网络传输业务。3、安全审计生产控制大区的监控系统不具备安全审计功能。4、备用与容灾电厂关键业务的数据备份情况：对历史归档数据采用异地保存，关键主机设