【正文】 XXX光伏電站 監(jiān)控 系統(tǒng)安全防護(hù) 實(shí)施 方案 批 準(zhǔn)： 審 核： 編 寫： 地調(diào)批準(zhǔn)： 地調(diào)審核： XXX公司 1 監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案 1 總則 光伏電站 監(jiān)控 系統(tǒng) 屬于寧夏電力 監(jiān)控系統(tǒng) 安全防護(hù)體系管理范疇。 為了加強(qiáng) XXX 光伏電站 監(jiān)控系統(tǒng) 安全防護(hù)，確保電力監(jiān)控系統(tǒng)及電力數(shù)據(jù)網(wǎng)絡(luò)的安全，依據(jù)國家發(fā)改委第 14 號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》、《電力 監(jiān)控系統(tǒng) 安全防護(hù)總體方案》及其配套方案，制定本方案。 XXX 光伏電站 監(jiān)控系統(tǒng) 的防護(hù)目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對(duì)電力 監(jiān)控系統(tǒng) 發(fā)起的惡意破壞和攻擊，以及其它非法操作，防止 XXX 光伏電站 監(jiān)控系統(tǒng) 癱瘓和失控，并由此導(dǎo)致的電網(wǎng)一次系統(tǒng)事故。 本方案重點(diǎn)描述 XXX 光伏電站 監(jiān)控系統(tǒng) 各業(yè)務(wù)系統(tǒng)的安全防護(hù)，按照《電力 監(jiān)控系統(tǒng) 安全防護(hù)總體方案》安全分區(qū)的要求，基于系統(tǒng)業(yè)務(wù)的特點(diǎn)，確定 XXX 光伏電站 監(jiān)控系統(tǒng) 按照業(yè)務(wù)特點(diǎn)分為安全生產(chǎn)控制大區(qū)控制區(qū)和非控制區(qū)。 2． 1 本方案適用于 XXX 光伏電站 監(jiān)控系統(tǒng) ，范圍為 XXX 公司 XXX光伏電站。 2． 2XXX 光伏電站簡(jiǎn)介 XXX 光伏電站公司名稱為 XXX 公司 ， 位于 XXX，距 XXX 變電站西北側(cè)約 公里， 于 X年 X月 X 日開工建設(shè)，于 X年 X月 X 日成功實(shí)現(xiàn)并網(wǎng)發(fā)電， 總裝機(jī)容量 10MW， 建設(shè)電池板組件全部采用固定式安裝 。 公司 2 光伏發(fā)電系統(tǒng)采用 “ 分塊發(fā)電，集中并網(wǎng) ” 的總體 設(shè)計(jì)方案， 建設(shè)有 10個(gè) 1MW 光伏發(fā)電單元，每個(gè) 1MW 光伏發(fā)電單元共安裝 X件 XXX 光伏板組件；每 X件光伏組件串聯(lián)為一個(gè)支路，共 X 個(gè)支路；每 X 個(gè)或 X 個(gè)支路并聯(lián)接入一面直流接線箱； X 面接線箱接入 1 面直流屏，共 2 面直流屏。每面直流屏出現(xiàn) 3 回，分別接入 X 面 XkW 逆變器，逆變器輸出 300V 三相交流，通過各自的交流電纜分別連接到 1000kVA 箱變內(nèi)各自的低壓側(cè)斷路器，升壓后接至 10kV 線路。共 2 條集電線路接入綜合樓高壓配電室 10kV 母線后匯流 1條 10kV 高壓線路匯流至 10kV柳尚線。 由 10kVX線輸送至 X 電站， XXX 光伏電站調(diào)度管轄權(quán)隸屬國網(wǎng)電力公司 XXX 調(diào)控中心管轄。 系統(tǒng)概述 XXX 光伏電站 監(jiān)控系統(tǒng) 主要由服務(wù)器、工作站、各類裝置、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等部分組成。系統(tǒng)通過電力數(shù)據(jù)網(wǎng)絡(luò)與上級(jí)調(diào)度機(jī)構(gòu)進(jìn)行業(yè)務(wù)通信。 XXX 光伏電站各業(yè)務(wù)通過 10 102 協(xié)議與調(diào)度主站相關(guān)系統(tǒng)通訊，發(fā)送實(shí)時(shí)遙信、遙測(cè)、電量、預(yù)測(cè)等信息，接收有功、無功控制命令。 等級(jí)保護(hù)定級(jí) 按照等級(jí)保護(hù)定級(jí)備案要求， XXX 光伏電站 監(jiān)控系統(tǒng) 作為一個(gè)定級(jí)對(duì)象定為等保二級(jí)。 監(jiān)控系統(tǒng) 安全防護(hù)實(shí)施方案 安全防護(hù)總體原則 XXX 光伏電站 監(jiān)控系統(tǒng) 安全防護(hù)的基本原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。 采用“縱深防御”策略和 “適度安全” 策 3 略，安全防護(hù)主要針對(duì)基于網(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng)，重點(diǎn)強(qiáng)化邊界防護(hù)，提高內(nèi)部安全防護(hù)能力，保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全。 安全分區(qū) 根據(jù)安全分區(qū)原則，結(jié)合 XXX光伏電站應(yīng)用系統(tǒng)和功能模塊的特點(diǎn)，將各功能模塊分別置于控制區(qū)、非控制區(qū)和管理信息大區(qū)。 XXX 光伏電站 監(jiān)控系統(tǒng) 安全分區(qū)表 序號(hào) 業(yè)務(wù)系統(tǒng) 控制區(qū) 非控制區(qū) 管理信息大區(qū) 1 廠站監(jiān)控系統(tǒng) 廠站監(jiān)控系統(tǒng) （ AGC/AVC） 2 五防系統(tǒng) 五防系統(tǒng) 3 電能質(zhì)量在線監(jiān)測(cè) 電能采集裝置 4 繼電保護(hù) 繼電保護(hù)裝置 5 故障錄波 故障錄波裝置 6 安全自動(dòng)控制系統(tǒng) 安全自動(dòng)控制裝置 7 光功率預(yù)測(cè) 光功率預(yù)測(cè)系統(tǒng) 外網(wǎng)服務(wù)器 8 OMS 客戶端 OMS 客戶端 9 火災(zāi)報(bào)警系統(tǒng) 火災(zāi)報(bào)警 網(wǎng)絡(luò)專用 電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，承載電力實(shí)時(shí)控制、在線生產(chǎn)交易等業(yè)務(wù)。安全區(qū)的外部邊界網(wǎng)絡(luò)之間的安全防護(hù)隔 離強(qiáng)度應(yīng)該和所連接的安全區(qū)之間的安全防護(hù)隔離強(qiáng)度相匹配。 4 電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于 SDH/PDH 不同通道、不同光波長、不同纖芯等方式，在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。 電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接控制區(qū)和非控制區(qū)?？刹捎?MPLSVPN 技術(shù)、安全隧道技術(shù)、 PVC 技術(shù)、靜態(tài)路由等構(gòu)造子網(wǎng)。 電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)采用以下安全防護(hù)措施： （ 1）網(wǎng)絡(luò)路由防護(hù) 按照電力調(diào)度管理體 系及數(shù)據(jù)網(wǎng)絡(luò)技術(shù)規(guī)范，采用虛擬專網(wǎng)技術(shù)，將電力調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對(duì)獨(dú)立的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別對(duì)應(yīng)控制業(yè)務(wù)和非控制生產(chǎn)業(yè)務(wù)，保證實(shí)時(shí)業(yè)務(wù)的封閉性和高等級(jí)的網(wǎng)絡(luò)服務(wù)質(zhì)量。 （ 2）網(wǎng)絡(luò)邊界防護(hù) 應(yīng)當(dāng)采用嚴(yán)格的接入控制措施，保證業(yè)務(wù)系統(tǒng)接入的可信性。經(jīng)過授權(quán)的節(jié)點(diǎn)允許接入電力調(diào)度數(shù)據(jù)網(wǎng)，進(jìn)行廣域網(wǎng)通信。數(shù)據(jù)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)邊界采用必要的訪問控制措施，對(duì)通信方式與通信業(yè)務(wù)類型進(jìn)行控制；在生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應(yīng)當(dāng)采取相應(yīng)的安全隔離、加密、認(rèn)證等防護(hù)措施。對(duì)于實(shí)時(shí)控制等重 要業(yè)務(wù)，應(yīng)該通過縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)接入調(diào)度數(shù)據(jù)網(wǎng)。 （ 3）網(wǎng)絡(luò)設(shè)備的安全配置 網(wǎng)絡(luò)設(shè)備的安全配置包括關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由、關(guān)閉網(wǎng)絡(luò)邊界 OSPF 路由功能、采用安全增強(qiáng)的 SNMPv2 及以上版本的網(wǎng)管協(xié)議、設(shè)置受信任的網(wǎng)絡(luò)地址范圍、記錄設(shè)備日志、設(shè)置高強(qiáng)度的密碼、開啟訪問控制列表、封閉空閑的網(wǎng)絡(luò)端口等。 5 （ 4）數(shù)據(jù)網(wǎng)絡(luò)安全的分層分區(qū)設(shè)置 電力調(diào)度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設(shè)置的原則。省級(jí)以上調(diào)度中心和網(wǎng)調(diào)以上直調(diào)廠站節(jié)點(diǎn)構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)（簡(jiǎn)稱