光伏电站电力监控系统二次安防课件

,0,电力监控系统二次安防总体技术介绍,电力监控系统二次安防总体技术介绍,1,1,背景及概述,课程内容目录,2,电力监控系统安全防护总体方案,3,光伏电站调度数据网结构图,4,二次安防违规事例,5,自查要点,1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光,2,国家对配电网提出新的安全防护要求；电力系统中的某些国外厂商的工业交换机、网络,PLC,设备安全性存在问题；在新能源应用背景下，风电、燃气电厂发展迅速，但是缺乏对应的安全防护技术要求。,以,“震网”和“火焰”病毒为代表的“网络攻击武器”肆虐中东，打响了网络战争的第一枪；同时，从,2006,年起，美国着眼未来信息安全战争，已组织,3,次“网络风暴”演习，,高规格地操演网络攻防战。,背景及概述,国家对配电网提出新的安全防护要求；电力系统中的某些国外厂商的,3,背景及概述,2015,年,12,月,23,日,乌克兰电网遭遇突发停电事故,据媒体报道,本次停电事故由,7,个变电站开关动作引起,导致,80000,个用户停电,停电时间为,3,6h,不等。事故后,调查机构在电力调度通信网络中获取部分恶意软件的样本,结合停电过程的特征及影响,信息安全组织,SANSICS,于,2016,年,1,月,9,日明确宣称,本次事件确定为“网络协同攻击”造成的乌克兰电网停电事故。,乌克兰,12.23,停电事件,背景及概述2015年12月23日,乌克兰电网遭遇突发停电事故,4,电力监控系统安全防护规定,（发改委,201414,号令）,1.,电力监控系统安全防护总体方案,2.,省级以上调度中心监控系统安全防护方案,3.,地（县）级调度中心监控系统安全防护方案,国家能源局关于印发电力监控系统安全防护总体方案和评估规范的通知,（国能安全,201536,号）,中低压配电网自动化系统安全防护补充规定,国网调,2011168,号文,国家电网公司智能电网信息安全防护总体方案,国家电网信息,20111727,号文,信息安全技术 信息安全风险评估规范,GB/T20984-2007,电力行业信息系统安全等级保护基本要求,电监信息,201262,号,在原有电监会,5,号令的基础上，发改委第,14,号令针对近年来的突出问题，做了重要补充和修订。,背景及概述,电力监控系统安全防护规定（发改委201414号令）,5,1,背景及概述,课程内容目录,2,电力监控系统安全防护总体方案,3,光伏电站调度数据网结构图,4,二次安防违规事例,5,自查要点,1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光,6,评估规范与评估机制的建立,电力二次系统安全评估在二次系统安全防护体系建设和运行管理过程中具有重要作用，及时发现系统中存在的安全评估安全隐患，并指导完善安全防护措施，应当纳入日常安全生产管理要求常态化开展。,背景及概述,评估规范与评估机制的建立 电力二次系统安全,7,安全防护总体方案,电力监控系统安全,防护主要目标,建立电力监控系统安全,防护体系,，防范黑客,、恶意代码等各种形式的攻击，尤其是集团式攻击，保障,电力监控系统安全,稳定，防止由此引起,电力设备事故或电力安全事故,。,电力监控系统安全防护总体原则,安全分区、网络专用、横向隔离、纵向认证,安全防护总体方案电力监控系统安全防护主要目标 建立电力,8,电力监控系统安全防护总体框架结构示意图,安全防护总体方案,电力监控系统安全防护总体框架结构示意图安全防护总体方案,9,安全防护总体方案,电力数据采集和监控系统,能量管理系统,广域相量测量系统,配网自动化系统,变电站自动化系统,发电厂自动监控系统,继电保护,安全自动控制系统,低频（低压）自动减负荷系统,1.,电力生产重要环节,2.,安全防护的重点与核心,调度员和运行操作人员,地位,使用对象,特点,2.,毫秒级或秒级、分钟级,1.,实时子网或专用通道,内容,控制区（,I,区）,非控制区（,II,区）,管理信息大区,安全防护总体方案电力数据采集和监控系统能量管理系统广域相量测,10,调度员培训模拟系统,水库调度自动化系统,故障录波信息管理系统,电能量计量系统,电力市场运营系统,电能量远方终端,故障录波装置,发电厂报价系统,安全防护总体方案,内容,1.,电力生产必要环节,2.,安全防护的重点与核心,电力调度员、水电调度员,地位,使用对象,特点,2.,分钟级或小时级,1.,非实时子网,继电保护人员、电力市场交易员,控制区（,I,区）,非控制区（,II,区）,管理信息大区,调度员培训模拟系统水库调度自动化系统故障录波信息管理系统电能,11,安全防护总体方案,调度生产管理系统,行政电话网管系统,电力企业数据网,配网自动化系统,生产控制大区以外的电力企业管理业务系统的集合,定义,内容,控制区（,I,区）,非控制区（,II,区）,管理信息大区,安全防护总体方案调度生产管理系统行政电话网管系统电力企业数据,12,类别,定级对象,系统级别,省级以上,地级及以下,电力 监控 系统,能量管理系统（具有,SCADA、AGC、AVC,等控制功能）,4,3,变电站自动化系统（含开关站、换流站、集控站）,220,千伏及以上变电站为,3,级，以下为,2,级,火电厂监控系统,DCS,单机容量,300MW,及以上为,3,级，以下为,2,级,水电厂监控系统,总装机,1000MW,及以上为,3,级，以下为,2,级,水电厂梯级调度监控系统,3,核电站监控系统,DCS,3,风电场监控系统,风电场总装机容量,200MW,及以上为,3,级，以下为,2,级,光伏电站监控系统,光伏电场总装机容量,200MW,及以上为,3,级，以下为,2,级,电能量计量系统,3,2,广域相量测量系统（,WAMS,）,3,无,电网动态预警系统,3,无,调度交易计划系统,3,无,水调自动化系统,2,调度管理系统,2,雷电监测系统,2,电力调度数据网络,3,2,通信设备网管系统,3,2,通信资源管理系统,3,2,综合数据通信网络,2,故障录波信息管理系统,3,配电监控系统,3,负荷控制管理系统,3,新一代电网调度控制系统的实时监控与预警功能模块,4,3,新一代电网调度控制系统的调度计划功能模块,3,2,新一代电网调度控制系统的安全校核功能模块,3,2,新一代电网调度控制系统的调度管理功能模块,2,电力监控系统安全保护等级标准,类别定级对象系统级别省级以上地级及以下电力 监控,13,序号,业务系统及设备,控制区,非控制区,管理信息大区,备注,1,光伏电站运行监控系统,电站运行监控,A2,2,无功电压控制,无功电压控制功能,A1,3,发电功率控制,发电功率控制功能,A1,4,升压站监控系统,升压站监控功能,A1,5,相量测量装置,PMU,PMU,B,6,继电保护,继电保护装置及管理终端,B,7,故障录波,故障录波装置,B,8,电能量采集装置,电能量采集装置,A1,、,B,9,光伏功率预测系统,光伏功率预测,A1,10,天气预报系统,数字天气预报,A2,11,管理信息系统,管理信息系统,A2,A1,：与调度中心有关的电厂监控系统,A2,：电厂内部监控系统,B,：调度中心监控系统的厂站侧设备,光伏电站监控系统安全分区表,序号业务系统及设备控制区非控制区管理信息大区备注1光伏电站运,14,安全防护总体方案,光伏电站监控系统安全部署示意图,安全防护总体方案光伏电站监控系统安全部署示意图,15,安全防护总体方案,链式结构,三角结构,星形结构,优点：累计安全强度较高,电力监控系统安全区连接拓扑结构,缺点：总体层次较多,优点：各区可直接相连，效率较高,缺点：所用隔离设备较多,优点：所用设备较少，易于实施,缺点：中心点故障影响范围大,安全防护总体方案链式结构三角结构星形结构优点：累计安全强度较,16,1,背景及概述,课程内容目录,2,电力监控系统安全防护总体方案,3,光伏电站调度数据网结构图,4,二次安防违规事例,5,自查要点,1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光,17,调度数据网结构,地调数据网,省调数据网,路由器,实时交换机,非实时交换机,实时纵向加密,非实时纵向加密,调度数据网结构地调数据网省调数据网路由器实时交换机非实时交换,18,调度数据网结构,光功率预测系统,防火墙,反向隔离装置,交换机,调度数据网结构光功率预测系统防火墙反向隔离装置交换机,19,光伏电站电力监控系统二次安防课件,20,PCM,SDH,SDH,PCM,调度数据网结构,PCMSDHSDHPCM调度数据网结构,21,调度数据网结构,光纤熔接盘,综合配线架,拨号上网,调度数据网结构光纤熔接盘综合配线架拨号上网,22,1,背景及概述,课程内容目录,2,电力监控系统安全防护总体方案,3,光伏电站调度数据网结构图,4,二次安防违规事例,5,自查要点,1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光,23,二次安防违规事例,2015,年,6,月，,XX,供电公司对某光伏电站二次安防现场检查中，发现将自动化监控系统信息远传至集团总部监控中心，虽配置了正向隔离装置，但正向隔离装置进、出线均挂接至站内站控层交换机，未真正发挥安全隔离作用，导致安全,I,区与,Internet,网络直接相连,1,事件经过,当场下令解网整改，整改完毕后由供电公司现场复检合格后再考虑并网,在当月新能源电站调度运行评价中，扣,200,分,处理意见,全面分析时间原因，制定整改措施，编制整改报告报送省调,电站主管领导到省调控中心说明情况,案例一,二次安防违规事例2015年6月，XX供电公司对某光伏电站二次,24,1.,防火墙测量级别不够，部分路由器、交换机需要进一步加固，对不需要服务没有及时进行限制；,2,服务器存在无用账户，地址控制需要进一步强化，服务器操作系统和网络设备在安全策略、日志审计、开启服务和端口方面还需要进一步优化；,3.,部分隔离装置投运较早，未使用最新版本；部分系统没有采用最新版本的防毒软件，软件没有及时升级；,4.,各单位大量采用,winodows,操作系统，易受病毒感染和黑客攻击，系统安全管理、操作系统补丁和病毒库离线升级工作需要强化；,5.,大部分单位没部署纵向加密认证网关,案例二,二次安防违规事例,存在的问题,1.防火墙测量级别不够，部分路由器、交换机需要进一步加固，对,25,案例三,二次安防违规事例,案例三二次安防违规事例,26,1,背景及概述,课程内容目录,2,电力监控系统安全防护总体方案,3,光伏电站调度数据网结构图,4,二次安防违规事例,5,自查要点,1背景及概述课程内容目录 2电力监控系统安全防护总体方案3光,27,自查要点,一、基础设施安全,是否安装电子门禁系统、鉴别和记录人员出入情况,机房窗户是否未密封及上锁，从机房外是否可推开窗户侵入机房,机房是否部署视频监控和红外监测系统，及时发现机房入侵行为,1,2,3,机房线缆标识是否清晰,4,线缆敷设是否进行强弱电分离,5,自查要点一、基础设施安全是否安装电子门禁系统、鉴别和记录人员,28,自查要点,二、体系结构安全,新能源厂站是否存在网络攻击路径；对于建立集控站的公司，检查时重点检查其电站信息接入（,I,区监控）是否采用公用网络接入主站，是否设置安全接入区，光功率预测系统、光伏监控信息是否存在,非法外联，存在远程维护,检查隔离装置、防火墙、纵向加密认证装置,是否存在关停，网络接线错误、安全策略配置不合理,，未配置有效地访问控制策略，造成设备未发挥应有的作用情况,1,2,自查要点二、体系结构安全新能源厂站是否存在网络攻击路径；对于,29,自查要点,三、安全管理体系,需具有中国信息安全认证中心颁发的,信息安全风险评估服务资质,二级及以上资质,具有中国合格评定国家认可委员会颁发的,CNAS,证书,1,2,自查要点三、安全管理体系需具有中国信息安全认证中心颁发的信,30,自查要点,四、系统本体安全,核查发电厂监控系统、安全自动装置、控制保护设备是否采用,非安全操作系统,核查服务器、交换机、路由器等设备是否关闭,空闲网络端口,、多余服务，是否进行,安全加固,