【正文】 向傳輸信息須采用正向隔離裝置，由安全區(qū)Ⅲ往安全 區(qū)Ⅱ甚至安全區(qū)Ⅰ的單向數(shù)據(jù)傳輸必須采用反向隔離裝置。 3）安全區(qū)Ⅳ的防護(hù)應(yīng)嚴(yán)格遵照電力二次系統(tǒng)安全防護(hù)總體方案執(zhí)行。 ﹡ 對(duì)安全區(qū)Ⅰ和安全區(qū)Ⅱ進(jìn)行撥號(hào)訪問(wèn)服務(wù)，用戶端應(yīng)該使用 Unix 或 Linux 操作系統(tǒng)且采取認(rèn)證、加密、訪問(wèn)控制等安全防護(hù)措施。 5）自我封閉的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則 不作要求，但 23 需遵守所在安全區(qū)的安全防護(hù)規(guī)定。 非控制區(qū)中業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：是電力生產(chǎn)的必要環(huán)節(jié)，在線運(yùn)行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊聯(lián)系緊密。 總體防護(hù)方案 安全區(qū)劃分 電力二次系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務(wù)系統(tǒng)的重要性的差別。同時(shí)二次系統(tǒng)內(nèi)部也在不斷更新、擴(kuò)充、結(jié)合，安全要求也相應(yīng)改變。 20 12 水電站二次系統(tǒng)安全防護(hù)總體框架要 求 電力二次系統(tǒng)安全防護(hù)的特點(diǎn) 電力二次系統(tǒng)安全防護(hù)的特點(diǎn)是具有系統(tǒng)性和動(dòng)態(tài)性。低層通信傳輸設(shè)備一般采用聯(lián)合接地方式，與大樓接地體連接，而 計(jì)算機(jī)應(yīng)用系統(tǒng)一般與大樓接地體是隔離的。 （ 2） 耐地震能力 1）地面水平加速度： 2）地面垂直加速度： 3） 地震基本烈度 ： VII （ 3） 工作環(huán)境溫度 1）長(zhǎng)期工作條件： 10℃～ 35℃ 2） 短期工作條件： 0℃～ 45℃（短期工作條件連續(xù)不超過(guò) 48h，每年累計(jì)不超過(guò) 15 天） （ 4） 工作相對(duì)濕度 1）長(zhǎng)期工作條件： 20%～ 80% 2） 短期工作條件： 10%～ 90%（短期工作條件連續(xù)不超過(guò) 48h，每年累 計(jì)不超過(guò) 15 天） （ 5）路由器等設(shè)備應(yīng)能適應(yīng)不同的地域環(huán)境條件，并能在無(wú)空調(diào)條件下運(yùn)輸和存儲(chǔ)，而不影響裝機(jī)開(kāi)通后的正常運(yùn)行。 17 詳細(xì)技術(shù)指標(biāo) 功能及技術(shù)指標(biāo) 參數(shù)要求 交換背板容量 =8G 最大轉(zhuǎn)發(fā)性能 =6Mpps 處理器內(nèi)存 ＝ 64M 可支持接口類(lèi)型 10/100BaseT、百兆光口（單模、多模 ）、 GE 可擴(kuò)展千兆模塊 =2 固定 FE 接口數(shù)量 =24 路由表容量 =2K 時(shí)延 線速交換 VLAN 特性 支持基于端口 的 VLAN， Vlan 封裝， Spanningtree，最大 Vlan 數(shù) =256，支持 GVRP MAC 地址表 =8K 路由表項(xiàng) ＝ 8K 基本功能 端口鏡像；優(yōu)先權(quán) /；流量控制 /；端口 聚集 /， =8；堆疊數(shù)量 =16；支持 QoS 協(xié)議特性 ， RSTP 組播協(xié)議 支 持 GMRP 、 PIMDM 、 PIMSM 、 IGMPI 、 GMP Snooping 等協(xié)議 生產(chǎn)樹(shù)協(xié)議 支持 STP/RSTP 協(xié)議 ，符合 、 標(biāo)準(zhǔn) 安全 分級(jí)命令保護(hù)機(jī)制， ACL 過(guò)濾 設(shè)備管理 集群管理數(shù)量 =256；SNMP；RMON 1/2/3/9；Syslog； 支持 WEB 網(wǎng)管，支持 MIBII 設(shè)備機(jī)械結(jié)構(gòu)及工藝要求 （ 1） 設(shè)備的總體機(jī)械結(jié)構(gòu)應(yīng)充分考慮安裝維護(hù)的方便和擴(kuò)充容量或調(diào)整設(shè)備數(shù)量的靈活性，實(shí)現(xiàn)硬件的模塊化。 （ 5） IP 包轉(zhuǎn)發(fā)功能：按照路由表內(nèi)容在各端口（包括邏輯端口）間轉(zhuǎn)發(fā)數(shù)據(jù)包并且改寫(xiě)鏈路層數(shù)據(jù)包頭信息。 15 區(qū)分業(yè)務(wù)協(xié)議（ DiffServ） 路由器應(yīng)支持區(qū)分業(yè)務(wù)協(xié)議。 14 SDH 接口 STM1 光 /電接口物理層特性應(yīng)符合 ITUT 和國(guó)標(biāo)要求。 千兆比以太網(wǎng)接口 1000Mbit/s 以太網(wǎng)物理接口可以支持 1000BaseSX、 1000BaseLX 以 及 1000BaseT 。特別是，支持多個(gè) E1/ 接口的綁定功能。對(duì)于所提供路由器設(shè)備，投標(biāo)人 應(yīng) 結(jié)合下述功能要求詳細(xì)進(jìn)行逐條說(shuō)明。 圖 81 廠站業(yè)務(wù)系統(tǒng)接入方案示意圖 遠(yuǎn)動(dòng)信息接入 通過(guò) XX、 XX梯級(jí)電站站內(nèi)綜合 計(jì)算機(jī)監(jiān)控系統(tǒng)的 主備雙 通信服務(wù)器，采用調(diào)度數(shù)據(jù)網(wǎng) 網(wǎng)絡(luò)傳輸鏈路 為主通道，常規(guī)專線通道為備用通道，通過(guò) 10 104 規(guī)約向 四川 省 主 調(diào) 和備調(diào) 傳送相關(guān) 遠(yuǎn)動(dòng)數(shù)據(jù) 信息。 （ 7） 實(shí)時(shí)性 網(wǎng)絡(luò)應(yīng)滿足調(diào)度業(yè)務(wù)實(shí)時(shí)性要求。 5 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) （ 1） 分層結(jié)構(gòu) 基于業(yè)務(wù)量的需求和網(wǎng)絡(luò)可擴(kuò)展性的原則，考慮 網(wǎng)絡(luò)運(yùn)行維護(hù)要求，四川調(diào)度數(shù)據(jù)網(wǎng)采用三層結(jié)構(gòu)，即核心層、骨干層、接入層。 （ 2） IP+SDH 網(wǎng)絡(luò)開(kāi)銷(xiāo)小，傳輸效率高。 3 業(yè)務(wù)種類(lèi)及傳輸需求分析 業(yè)務(wù)種類(lèi) （ 1） 調(diào)度自動(dòng)化數(shù)據(jù)業(yè)務(wù) 調(diào)度自動(dòng)化數(shù)據(jù)有兩類(lèi)，一類(lèi)是保證電網(wǎng)安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行所必需的電網(wǎng)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)；另一類(lèi)是 EMS系統(tǒng)實(shí)現(xiàn)網(wǎng) 絡(luò)分析的高級(jí)應(yīng)用軟件所需要的準(zhǔn)實(shí)時(shí)數(shù)據(jù)。 （ 3） 提出各類(lèi)承載業(yè)務(wù)系統(tǒng)的接入方案。 根據(jù) 四川電網(wǎng) “ 十一五 ” 二次系統(tǒng)規(guī)劃 方案， 按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》和《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》的要求，為防范對(duì)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行，建立和完善電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)體系。 XX水電站距 XX縣城約 138km，距平武縣 城約 65km； 電站裝機(jī)容量2 22MW， 發(fā)電機(jī)變壓器組合為單元接線，分別接容量為 90MVA和 的主變壓器各一臺(tái)， 90MVA變壓器為三圈變壓器， 110kV側(cè)吸收 XX電站電能升壓至 220kV， 1機(jī)電能， 2機(jī)與 2主變接為單元接線； 220kV 側(cè)采用單母線接線 。 2 設(shè)計(jì)總則 設(shè)計(jì)依據(jù) （ 1） 四川電網(wǎng)“十一五”二次系統(tǒng)規(guī)劃； （ 2） 國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)總體設(shè)計(jì)技術(shù)方案； （ 3） 四川電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)初步設(shè)計(jì)和技術(shù)規(guī)范書(shū)； （ 4）《 電力二次系統(tǒng)安全防護(hù)總體方案》， 電 監(jiān)安全 [2021]34 號(hào) 文。 （ 3）接入方案應(yīng)滿足四川電力調(diào)度生產(chǎn)各種業(yè)務(wù)的需要，并應(yīng)充分考慮網(wǎng)絡(luò)技術(shù)的發(fā)展方向，網(wǎng)絡(luò)平臺(tái)應(yīng)具有高度的靈活性、適應(yīng)性和良好 5 的可擴(kuò)展性，以滿足目前和未來(lái)的網(wǎng)絡(luò)需求。 四川電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)男畔? 四川電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)男畔⒖梢苑譃橐韵露?lèi)： （ 1） 實(shí)時(shí)和準(zhǔn)實(shí)時(shí)信 息： ﹡ 遠(yuǎn)動(dòng)信息 ﹡ 水調(diào)自動(dòng)化信息 ﹡ 保護(hù)故障信息處理系統(tǒng)信息 6 ﹡ 相角監(jiān)測(cè)信息 ﹡ EMS 系統(tǒng)之間交換的用于網(wǎng)絡(luò)分析的準(zhǔn)實(shí)時(shí)數(shù)據(jù) ﹡ 電力市場(chǎng)實(shí)時(shí)信息交換 ﹡ 通信監(jiān)測(cè)系統(tǒng)信息 （ 2） 非實(shí)時(shí)信息 ﹡ 電力市場(chǎng)數(shù)據(jù)（含電能量計(jì)量數(shù)據(jù)） ﹡ 繼電保護(hù)類(lèi)信息 ﹡ 安全穩(wěn)定控制系統(tǒng)數(shù)據(jù) ﹡ 運(yùn)方類(lèi)信息 網(wǎng)絡(luò)業(yè)務(wù)傳輸需求分析 上述各類(lèi)業(yè)務(wù)信息的傳輸優(yōu)先級(jí)、傳輸頻度、傳輸時(shí)延、傳輸?shù)目煽啃缘纫蟾鞑幌嗤?，其傳輸需求的分析結(jié)果可參見(jiàn)下表： 表 31 各類(lèi)業(yè)務(wù)數(shù)據(jù)傳輸需求一覽表 序號(hào) 業(yè)務(wù) 種類(lèi) 傳輸優(yōu)先級(jí) 傳輸頻度 可靠性 1 實(shí)時(shí)數(shù)據(jù) （ 1） 遠(yuǎn)動(dòng)數(shù)據(jù) 高 秒級(jí) 高 （ 2） EMS 實(shí)時(shí)數(shù)據(jù) 高 秒級(jí) 高 （ 3） 電力市場(chǎng)實(shí)時(shí)數(shù)據(jù) 高 秒級(jí) 高 2 非實(shí)時(shí)數(shù)據(jù) （ 1） 電能量計(jì)量數(shù)據(jù) 較高 分鐘級(jí) 高 （ 2） 電力市場(chǎng)非實(shí)時(shí)數(shù)據(jù) 較高 分鐘級(jí) 高 （ 3） 水調(diào)自動(dòng)化數(shù)據(jù) 較高 分鐘級(jí) 高 （ 4） 保護(hù)故障數(shù)據(jù) 較高 隨機(jī) 高 4 技術(shù)體制 在四川電力調(diào)度數(shù)據(jù)網(wǎng)一期工程已經(jīng)明確電力調(diào)度數(shù)據(jù)網(wǎng)采用 IP技術(shù)體制，即采用 IP Over SDH 技術(shù)組網(wǎng)，實(shí)現(xiàn)調(diào)度數(shù) 據(jù)網(wǎng)和電力綜合業(yè) 7 務(wù)數(shù)據(jù)網(wǎng)的物理隔離（ SDH 層面隔離）。 根據(jù) IP 技術(shù)發(fā)展的趨勢(shì)和調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)的需求，根據(jù)國(guó)調(diào)《二次系統(tǒng)安全防護(hù)體系》的要求，采用基于 BGP/MPLS VPN的技術(shù)在調(diào)度數(shù)據(jù)網(wǎng)內(nèi)劃分兩個(gè) VPN： 實(shí)時(shí)控制 VPN和非控制生產(chǎn) VPN，分別供安全區(qū) I（實(shí)時(shí)控制區(qū)）和安全區(qū) II（非控制生產(chǎn)區(qū)）廣域數(shù)據(jù)傳輸用。 （ 4） 統(tǒng)一網(wǎng)管 網(wǎng)絡(luò)采用統(tǒng)一的分級(jí)、分權(quán)管理能力的網(wǎng)管系統(tǒng)。省調(diào)為核心層，地調(diào)為骨干層， XX、 XX 梯級(jí)電站 數(shù)據(jù)網(wǎng)絡(luò)位于接入層 。如下圖所示： 圖 83 電能量采集裝置 、發(fā)電計(jì)劃申報(bào)系統(tǒng) 接入 12 9 調(diào)度數(shù)據(jù)網(wǎng)設(shè)備配置及技術(shù)要求 網(wǎng)絡(luò)設(shè)備的配置原則 ﹡ 必須具備高可靠性及高冗余性； ﹡ 必須能夠提供故障隔離功能； ﹡ 必須具有迅速升級(jí)能力； ﹡ 必須具有較少的時(shí)延； ﹡ 必須具有良好的可管理性。 （ 3）應(yīng)能提供系統(tǒng)網(wǎng)絡(luò)管理和控制機(jī)制，包括存儲(chǔ) /上載配置、診 斷、升級(jí)、狀態(tài)報(bào)告、異常情況報(bào)告及控制等。 （ 9） 應(yīng)能夠與其他廠家的路由器設(shè)備互聯(lián)互通，并列出清單（型號(hào)）。 E1 電接口 E1 電接口的物理層特性應(yīng)符合 ITUT 、 建議。 互聯(lián)網(wǎng)層協(xié)議 應(yīng)能支持 IP、 ICMP、 IGMP 等協(xié)議 互聯(lián)網(wǎng)層轉(zhuǎn)發(fā)協(xié)議 路由器的包轉(zhuǎn)發(fā)過(guò)程應(yīng)符合 RFC79 RFC950、 RFC92 RFC79 RFC1349 互聯(lián)網(wǎng)層協(xié)議；應(yīng)支持傳輸控制協(xié)議（ TCP）、用戶數(shù)據(jù)包協(xié) 議（ UDP）。 （ 2） 邏輯鏈路層功能：以太網(wǎng)交換機(jī)必須實(shí)現(xiàn)一類(lèi) LLC 支持類(lèi)型 1 操作。 （ 10） 任意配置下，所有端口線速交換轉(zhuǎn)發(fā)。 （ 3） 設(shè)備應(yīng)有良好的表面處理，表面處理層應(yīng)是牢固的，易銹、易氧化的部件應(yīng)進(jìn)行特殊表面處理，以便設(shè)備能長(zhǎng)期抗腐蝕、防蛀、 防生銹。 （ 9） 采用單相、額定電壓為 220V 的交流電源時(shí)，路由器等設(shè)備應(yīng)能在一定的電壓變動(dòng)范圍之內(nèi)正常工作。 5％。 動(dòng)態(tài)性 二次系統(tǒng)安全防護(hù)的動(dòng)態(tài)性由兩方面決定。特別強(qiáng)調(diào)，為保護(hù)生產(chǎn)控制業(yè) 務(wù)應(yīng)建設(shè)電力調(diào)度數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)與其它數(shù)據(jù)網(wǎng)絡(luò)物理隔離，并以技術(shù)手段在專網(wǎng)上形成多個(gè)相互邏輯隔離的子網(wǎng)，保障上下級(jí)各安全區(qū)的縱向互聯(lián)僅在相同安全區(qū)進(jìn)行，避免安全區(qū)縱向交叉。 （ 1） 生產(chǎn)控制大區(qū) ﹡ 安全區(qū)Ⅰ（控制區(qū)） 是指由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。允許把屬于低安全區(qū)的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全區(qū)，由屬于高安全區(qū)的人員使用。 ﹡ 允許安全區(qū)Ⅱ內(nèi)部 B/S 結(jié)構(gòu)的系統(tǒng)，系統(tǒng)必須采取措施進(jìn)行封閉。 2）對(duì)安全區(qū)Ⅲ的要求： ﹡ 安全區(qū)Ⅲ允許開(kāi)通 Email、 Web 服務(wù)。 2） 安全區(qū) III 與安全區(qū) IV 之間的隔離要求： 安全區(qū)Ⅲ、Ⅳ之間采用經(jīng)有關(guān)部門(mén)認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進(jìn)行邏輯隔離、報(bào)文過(guò)濾、訪問(wèn)控制。安全區(qū)Ⅲ接入電力數(shù)據(jù)通信網(wǎng)應(yīng)配置硬件防火墻。計(jì)算機(jī)監(jiān) 控系統(tǒng)是實(shí)時(shí)生產(chǎn)監(jiān)控系統(tǒng)，是整個(gè)安全保護(hù)的核心。 ﹡ 安全區(qū) I配置一套漏洞掃描系統(tǒng)。管理層應(yīng)指定專人對(duì)安全小組的工作進(jìn)行統(tǒng)籌、安排和指導(dǎo)，并協(xié)調(diào)配合上級(jí)信息安全機(jī)構(gòu)的工作。 設(shè)備、應(yīng)用及服務(wù)的接入管理 1）在已經(jīng)建立安全防護(hù)體系的電力二次系統(tǒng)中，接入任何新的設(shè)備和應(yīng)用及服務(wù)，均必須立案申請(qǐng)，經(jīng)過(guò)本單位的安全管理員以及本單位安全主管的審查批準(zhǔn)后，方可在安全管理員的監(jiān)管下實(shí)施接入； 2）安全區(qū)Ⅰ及安全區(qū)Ⅱ中的工作站、服務(wù)器均嚴(yán)格禁止以各種方式開(kāi)通與互聯(lián)網(wǎng)、與其它安全區(qū)及任何外部網(wǎng)絡(luò)的連接；原則上不得開(kāi)通撥號(hào)功能，若確 需開(kāi)通撥號(hào)服務(wù)，必須配置強(qiáng)認(rèn)證機(jī)制；在安全區(qū)Ⅰ及安全區(qū)Ⅱ中的 PC 機(jī)及其它微機(jī)原則上應(yīng)該將軟盤(pán)驅(qū)動(dòng)、光盤(pán)驅(qū)動(dòng)、 USB 接口、串行口等拆除，或通過(guò)安全管理平臺(tái)實(shí)施嚴(yán)格管理，以防止病毒等惡意代碼的傳播。 32 ﹡ 定期檢查網(wǎng)絡(luò)設(shè)備安全設(shè)置，進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行及時(shí)修補(bǔ)。 ﹡ 禁止任何應(yīng)用程序以超級(jí)用戶身份運(yùn)行。 11）數(shù)據(jù)及系統(tǒng)的備份管理 ﹡ 數(shù)據(jù)備份：各專業(yè)系統(tǒng)的實(shí)時(shí)數(shù)據(jù)庫(kù)以及歷史數(shù)據(jù)庫(kù)必須定期進(jìn)