【正文】 XXX光伏電站 監(jiān)控 系統(tǒng)安全防護 實施 方案 批 準： 審 核： 編 寫： 地調(diào)批準： 地調(diào)審核： XXX公司 1 監(jiān)控系統(tǒng)安全防護實施方案 1 總則 光伏電站 監(jiān)控 系統(tǒng) 屬于寧夏電力 監(jiān)控系統(tǒng) 安全防護體系管理范疇。 為了加強 XXX 光伏電站 監(jiān)控系統(tǒng) 安全防護，確保電力監(jiān)控系統(tǒng)及電力數(shù)據(jù)網(wǎng)絡的安全，依據(jù)國家發(fā)改委第 14 號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力 監(jiān)控系統(tǒng) 安全防護總體方案》及其配套方案，制定本方案。 XXX 光伏電站 監(jiān)控系統(tǒng) 的防護目標是抵御黑客、病毒、惡意代碼等通過各種形式對電力 監(jiān)控系統(tǒng) 發(fā)起的惡意破壞和攻擊，以及其它非法操作，防止 XXX 光伏電站 監(jiān)控系統(tǒng) 癱瘓和失控，并由此導致的電網(wǎng)一次系統(tǒng)事故。 本方案重點描述 XXX 光伏電站 監(jiān)控系統(tǒng) 各業(yè)務系統(tǒng)的安全防護，按照《電力 監(jiān)控系統(tǒng) 安全防護總體方案》安全分區(qū)的要求，基于系統(tǒng)業(yè)務的特點，確定 XXX 光伏電站 監(jiān)控系統(tǒng) 按照業(yè)務特點分為安全生產(chǎn)控制大區(qū)控制區(qū)和非控制區(qū)。 2． 1 本方案適用于 XXX 光伏電站 監(jiān)控系統(tǒng) ，范圍為 XXX 公司 XXX光伏電站。 2． 2XXX 光伏電站簡介 XXX 光伏電站公司名稱為 XXX 公司 ， 位于 XXX，距 XXX 變電站西北側(cè)約 公里， 于 X年 X月 X 日開工建設(shè)，于 X年 X月 X 日成功實現(xiàn)并網(wǎng)發(fā)電， 總裝機容量 10MW， 建設(shè)電池板組件全部采用固定式安裝 。 公司 2 光伏發(fā)電系統(tǒng)采用 “ 分塊發(fā)電，集中并網(wǎng) ” 的總體 設(shè)計方案， 建設(shè)有 10個 1MW 光伏發(fā)電單元，每個 1MW 光伏發(fā)電單元共安裝 X件 XXX 光伏板組件；每 X件光伏組件串聯(lián)為一個支路，共 X 個支路；每 X 個或 X 個支路并聯(lián)接入一面直流接線箱； X 面接線箱接入 1 面直流屏，共 2 面直流屏。每面直流屏出現(xiàn) 3 回，分別接入 X 面 XkW 逆變器，逆變器輸出 300V 三相交流，通過各自的交流電纜分別連接到 1000kVA 箱變內(nèi)各自的低壓側(cè)斷路器，升壓后接至 10kV 線路。共 2 條集電線路接入綜合樓高壓配電室 10kV 母線后匯流 1條 10kV 高壓線路匯流至 10kV柳尚線。 由 10kVX線輸送至 X 電站， XXX 光伏電站調(diào)度管轄權(quán)隸屬國網(wǎng)電力公司 XXX 調(diào)控中心管轄。 系統(tǒng)概述 XXX 光伏電站 監(jiān)控系統(tǒng) 主要由服務器、工作站、各類裝置、網(wǎng)絡設(shè)備、安全防護設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應用軟件等部分組成。系統(tǒng)通過電力數(shù)據(jù)網(wǎng)絡與上級調(diào)度機構(gòu)進行業(yè)務通信。 XXX 光伏電站各業(yè)務通過 10 102 協(xié)議與調(diào)度主站相關(guān)系統(tǒng)通訊，發(fā)送實時遙信、遙測、電量、預測等信息，接收有功、無功控制命令。 等級保護定級 按照等級保護定級備案要求， XXX 光伏電站 監(jiān)控系統(tǒng) 作為一個定級對象定為等保二級。 監(jiān)控系統(tǒng) 安全防護實施方案 安全防護總體原則 XXX 光伏電站 監(jiān)控系統(tǒng) 安全防護的基本原則為“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”。 采用“縱深防御”策略和 “適度安全” 策 3 略，安全防護主要針對基于網(wǎng)絡的生產(chǎn)控制系統(tǒng)，重點強化邊界防護，提高內(nèi)部安全防護能力，保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全。 安全分區(qū) 根據(jù)安全分區(qū)原則，結(jié)合 XXX光伏電站應用系統(tǒng)和功能模塊的特點，將各功能模塊分別置于控制區(qū)、非控制區(qū)和管理信息大區(qū)。 XXX 光伏電站 監(jiān)控系統(tǒng) 安全分區(qū)表 序號 業(yè)務系統(tǒng) 控制區(qū) 非控制區(qū) 管理信息大區(qū) 1 廠站監(jiān)控系統(tǒng) 廠站監(jiān)控系統(tǒng) （ AGC/AVC） 2 五防系統(tǒng) 五防系統(tǒng) 3 電能質(zhì)量在線監(jiān)測 電能采集裝置 4 繼電保護 繼電保護裝置 5 故障錄波 故障錄波裝置 6 安全自動控制系統(tǒng) 安全自動控制裝置 7 光功率預測 光功率預測系統(tǒng) 外網(wǎng)服務器 8 OMS 客戶端 OMS 客戶端 9 火災報警系統(tǒng) 火災報警 網(wǎng)絡專用 電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務的專用數(shù)據(jù)網(wǎng)絡，承載電力實時控制、在線生產(chǎn)交易等業(yè)務。安全區(qū)的外部邊界網(wǎng)絡之間的安全防護隔 離強度應該和所連接的安全區(qū)之間的安全防護隔離強度相匹配。 4 電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡設(shè)備組網(wǎng)，采用基于 SDH/PDH 不同通道、不同光波長、不同纖芯等方式，在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。 電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。可采用 MPLSVPN 技術(shù)、安全隧道技術(shù)、 PVC 技術(shù)、靜態(tài)路由等構(gòu)造子網(wǎng)。 電力調(diào)度數(shù)據(jù)網(wǎng)應當采用以下安全防護措施： （ 1）網(wǎng)絡路由防護 按照電力調(diào)度管理體 系及數(shù)據(jù)網(wǎng)絡技術(shù)規(guī)范，采用虛擬專網(wǎng)技術(shù)，將電力調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對獨立的實時子網(wǎng)和非實時子網(wǎng)，分別對應控制業(yè)務和非控制生產(chǎn)業(yè)務，保證實時業(yè)務的封閉性和高等級的網(wǎng)絡服務質(zhì)量。 （ 2）網(wǎng)絡邊界防護 應當采用嚴格的接入控制措施，保證業(yè)務系統(tǒng)接入的可信性。經(jīng)過授權(quán)的節(jié)點允許接入電力調(diào)度數(shù)據(jù)網(wǎng)，進行廣域網(wǎng)通信。數(shù)據(jù)網(wǎng)絡與業(yè)務系統(tǒng)邊界采用必要的訪問控制措施，對通信方式與通信業(yè)務類型進行控制；在生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應當采取相應的安全隔離、加密、認證等防護措施。對于實時控制等重 要業(yè)務，應該通過縱向加密認證裝置或加密認證網(wǎng)關(guān)接入調(diào)度數(shù)據(jù)網(wǎng)。 （ 3）網(wǎng)絡設(shè)備的安全配置 網(wǎng)絡設(shè)備的安全配置包括關(guān)閉或限定網(wǎng)絡服務、避免使用默認路由、關(guān)閉網(wǎng)絡邊界 OSPF 路由功能、采用安全增強的 SNMPv2 及以上版本的網(wǎng)管協(xié)議、設(shè)置受信任的網(wǎng)絡地址范圍、記錄設(shè)備日志、設(shè)置高強度的密碼、開啟訪問控制列表、封閉空閑的網(wǎng)絡端口等。 5 （ 4）數(shù)據(jù)網(wǎng)絡安全的分層分區(qū)設(shè)置 電力調(diào)度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設(shè)置的原則。省級以上調(diào)度中心和網(wǎng)調(diào)以上直調(diào)廠站節(jié)點構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)（簡稱