【正文】 實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。 采用“縱深防御”策略和 “適度安全” 策 3 略，安全防護主要針對基于網(wǎng)絡的生產(chǎn)控制系統(tǒng)，重點強化邊界防護，提高內(nèi)部安全防護能力，保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全。系統(tǒng)通過電力數(shù)據(jù)網(wǎng)絡與上級調(diào)度機構(gòu)進行業(yè)務通信。每面直流屏出現(xiàn) 3 回，分別接入 X 面 XkW 逆變器，逆變器輸出 300V 三相交流，通過各自的交流電纜分別連接到 1000kVA 箱變內(nèi)各自的低壓側(cè)斷路器，升壓后接至 10kV 線路。 本方案重點描述 XXX 光伏電站 監(jiān)控系統(tǒng) 各業(yè)務系統(tǒng)的安全防護，按照《電力 監(jiān)控系統(tǒng) 安全防護總體方案》安全分區(qū)的要求，基于系統(tǒng)業(yè)務的特點，確定 XXX 光伏電站 監(jiān)控系統(tǒng) 按照業(yè)務特點分為安全生產(chǎn)控制大區(qū)控制區(qū)和非控制區(qū)。 XXX光伏電站 監(jiān)控 系統(tǒng)安全防護 實施 方案 批 準： 審 核： 編 寫： 地調(diào)批準： 地調(diào)審核： XXX公司 1 監(jiān)控系統(tǒng)安全防護實施方案 1 總則 光伏電站 監(jiān)控 系統(tǒng) 屬于寧夏電力 監(jiān)控系統(tǒng) 安全防護體系管理范疇。 2． 1 本方案適用于 XXX 光伏電站 監(jiān)控系統(tǒng) ，范圍為 XXX 公司 XXX光伏電站。共 2 條集電線路接入綜合樓高壓配電室 10kV 母線后匯流 1條 10kV 高壓線路匯流至 10kV柳尚線。 XXX 光伏電站各業(yè)務通過 10 102 協(xié)議與調(diào)度主站相關系統(tǒng)通訊，發(fā)送實時遙信、遙測、電量、預測等信息，接收有功、無功控制命令。 安全分區(qū) 根據(jù)安全分區(qū)原則，結(jié)合 XXX光伏電站應用系統(tǒng)和功能模塊的特點，將各功能模塊分別置于控制區(qū)、非控制區(qū)和管理信息大區(qū)。 電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。經(jīng)過授權(quán)的節(jié)點允許接入電力調(diào)度數(shù)據(jù)網(wǎng)，進行廣域網(wǎng)通信。 5 （ 4）數(shù)據(jù)網(wǎng)絡安全的分層分區(qū)設置 電力調(diào)度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設置的原則?？h調(diào)自動化、配網(wǎng)自動化、負荷管理系統(tǒng)與被控對象之間的數(shù)據(jù)通信可采用專用數(shù)據(jù)網(wǎng)絡，不具備專網(wǎng)條件的也可采用公用通信網(wǎng)絡（不包括因特網(wǎng)），且必須采取安全防護措施。 企業(yè)內(nèi)部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng) ，電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)網(wǎng)。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。 縱向認證 縱向加密認證是電力 監(jiān)控系統(tǒng) 安全防護體系的縱向防線。 并接入到地調(diào)內(nèi)網(wǎng)安全監(jiān)控平臺。 對處于外部網(wǎng)絡邊界的其他通信 網(wǎng)關，應進行操作系統(tǒng)的 7 安全加固，對于新上的系統(tǒng)應支持加密認證的功能。隨時注意各種異?，F(xiàn)象，一旦發(fā)現(xiàn)，應立即用查毒軟件仔細檢查。對新購進的計算機及設備，為防止原始計算機病毒的侵害，要 組織專業(yè)人員檢查后方可安裝運行；聯(lián)網(wǎng)計算機、重要系統(tǒng)的關鍵計算機要安裝防計算機病毒軟件，并定期或及時更新計算機病毒防范產(chǎn)品的版本；要使用國家規(guī)定的、具有計算機使用系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機防計算機病毒產(chǎn)品。 XXX 光 伏電站已完成主機加固，主機加固軟件為信達 Snumen，強制進行權(quán)限分配，保證對系統(tǒng)資源（包括數(shù)據(jù)和進程）的訪問符合定義的主機安全策略，防止主機權(quán)限被濫用。 在后臺可以提供告警。 二次安全 防護實施方案 拓撲圖 功率預測及控制系統(tǒng)拓撲圖 9 通信接口類型： 2路以太 網(wǎng)接口，支持綜自廠家的以太網(wǎng) 103 規(guī)約；變電站內(nèi)采用 GPS 衛(wèi)星對時，減少誤碼、亂碼的可能性，提高設備的數(shù)據(jù)傳輸準確性，符合 IEC 61850 的相關標準。 （ 3）生產(chǎn)控制大區(qū)重要業(yè)務的遠程維護必須采用身份認證機制。 （ 6）各層面的數(shù)據(jù)網(wǎng)絡之間應該通過路由限制措施進行安全隔離，保證網(wǎng)絡故障和安全事件限制在局部區(qū)域之內(nèi)。 本管理方法適用于本電站電力 監(jiān)控系統(tǒng) ，所有涉及電力 監(jiān)控系統(tǒng) 的規(guī)劃、設計、系統(tǒng)改造、工程實施、運行管理等均應符合本管理辦法的要求。 電力調(diào)度機構(gòu)負責直接調(diào)度范圍內(nèi)的下一級電力調(diào)度機構(gòu)和變電站的 監(jiān)控系統(tǒng) 安全防護的技術(shù) 監(jiān)督。 根據(jù)各自 監(jiān)控系統(tǒng) 情況制定電力 監(jiān)控 系統(tǒng) 安全 防護實施方案 ，防護實施方案 應每年滾動修訂、完善。 14 制定本單位電力 監(jiān)控系統(tǒng) 安全防護應急預案，內(nèi)容包括突發(fā)事件發(fā)現(xiàn)、應急安全隔 離措施、事件上報、安全處理、事件反饋等幾個方面并定期開展演練。 培訓與評估 每年需舉辦電力 監(jiān)控系統(tǒng) 安全防護知識培訓，提高電力 監(jiān)控系統(tǒng) 安全防護技能和意識。 15 附則 2：權(quán)限密碼管理制度 總則 為確保繼電保護裝置及網(wǎng)絡安全運行，保護電站權(quán)益不受侵害，特制訂此管理制度。 如發(fā)現(xiàn)密碼及口令有泄密跡象，系統(tǒng)管理員要立刻報告部門負責人，經(jīng)生產(chǎn)副站長批準后再更換新密碼和口令。 16 附則 3：門禁管理和機房人員登記記錄 總則 為確保計算機網(wǎng)絡系統(tǒng)安全、高效運行和各類設備處于良好狀態(tài)，正確使用和維護各種設備，管理有章、職責明確，特制訂本制度。 熟知工作內(nèi)容和責任規(guī)范。 負責機房的環(huán)境設備與網(wǎng)絡系統(tǒng)的安全運行；負責完成規(guī)定的日常操作和故障監(jiān)測記錄，簡單故障的排除，負責環(huán)境設備的日常巡視。發(fā)生重大故障時，還應及時報 告直接領導。 防火墻的工作狀況 網(wǎng)站的工作狀況 郵件服務器的工作狀況 網(wǎng)絡交換機的工作狀況 客戶端的網(wǎng)絡運行速度 認證做好記錄 機房環(huán)境的巡視 機房門窗的關閉情況 機房的衛(wèi)生狀況 機房的燈光狀況 機房的溫度、濕度及空氣狀況 認真做好記錄 機房設備的巡視 18 對機房的 UPS、空調(diào)、消防報警等系統(tǒng)的運行情況進行經(jīng)常性巡視，密切注意工作負荷、電池容量、室內(nèi)溫濕度等數(shù)值，以保障網(wǎng)絡安全、正常的運行。