《发电厂二次系统安全防护-专业课件.ppt》由会员分享,可在线阅读,更多相关《发电厂二次系统安全防护-专业课件.ppt(74页珍藏版)》请在三一办公上搜索。
1、发电厂二次系统安全防护方案,内部资料 注意保密,电力二次系统安全防护专家组2007-03,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂二次系统安全防护总体部署四、水电厂二次系统安全防护总体部署五、发电厂二次系统安全防护总体要求六、发电厂二次系统安全防护注意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,电厂二次系统防护措施和管理规定,电厂二次系统防护措施电厂二次系统管理规定,发电厂二次系统的防护措施,发电厂安全防护的重要措施是强化发电厂二次系统的边界防护,保证生产控制网络专用。合理的安全分区是强化边界防护的基础。网
2、络隔离是边界防护的基本手段。发电厂升压站或开关站部分的安全防护按照变电站二次系统安全防护方案执行。,发电厂二次系统管理规定(一),电力企业应当按照“谁主管谁负责,谁运营谁负责”的原则,落实分级负责的责任制。电力调度机构负责发电厂输变电部分的二次系统安全防护的技术监督,发电厂内其它二次系统可由其上级主管单位实施技术监督。,根据五号令“电力二次系统安全防护规定”,发电厂二次系统管理规定(二),电力调度机构、发电厂、变电站等运行单位的电力二次系统安全防护实施方案须经上级信息安全主管部门和相应电力调度机构的审核,方案实施完成后应当由上述机构验收。接入电力调度数据网络的设备和应用系统,其接入技术方案和安
3、全防护措施须经直接负责的电力调度机构核准。,发电厂二次系统管理规定(三),建立电力二次系统安全评估制度,采取以自评估为主、联合评估为辅的方式,将电力二次系统安全评估纳入电力系统安全评价体系。建立健全电力二次系统安全的联合防护和应急机制,制定应急预案。电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。当电力生产控制大区出现安全事件,应当立即向其上级电力调度机构报告,并联合采取紧急防护措施,同时注意保护现场。,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂二次系统安全防护总体部署四、水电厂二次系统安全防护总体部署五、发电厂二次系统安全防护总体要求六、发电厂二次系统安全防护注
4、意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,安全分区,发电厂安全分区原则发电厂生产控制大区发电厂管理信息大区,安全分区原则,发电厂安全分区原则,发电厂二次系统分为生产控制大区和管理信息大区。对于省级以上调度机构直调的发电厂,其生产控制大区又分为:控制区和非控制区。对于其他并网发电厂,特别是小型电厂,安全防护措施可以根据具体情况进行简化,对生产控制大区可不再细分,相当于只有控制区。重点保护监控系统,,发电厂生产控制大区,发电厂的控制区主要包括以下业务系统和功能模块:火电厂厂级监控功能、火电机组控制系统DCS、调速系统和自动发
5、电控制功能、励磁系统和无功电压控制功能、水电厂监控系统、梯级调度监控系统、网控系统、相量测量装置PMU、各种控制装置(电力系统稳定器PSS、快关汽门装置等)、五防系统等。发电厂的非控制区主要包括以下业务系统和功能模块:梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、电能量采集装置、短期电力市场报价终端、继电保护和故障录波信息管理终端等。,发电厂管理信息大区,发电厂的管理信息大区主要包括以下业务系统和功能模块:电厂生产管理系统、雷电监测系统、气象信息系统、大坝自动监测系统、防汛信息系统、报价辅助决策系统、检修管理系统以及办公自动化(OA)和管理信息系统(MIS)等。,发电厂与
6、调度机构接口,控制区:开关场网控系统、机组AGC、电厂AGC、机组AVC、PSS、快关汽门、梯级调度监控系统等。非控制区:电能量采集装置、继电保护和故障录波信息管理终端、短期电力市场报价终端、水情自动测报系统等。,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂二次系统安全防护总体部署四、水电厂二次系统安全防护总体部署五、发电厂二次系统安全防护总体要求六、发电厂二次系统安全防护注意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,火电厂二次系统安全防护总体部署,火电厂的监控系统火电厂分散分层控制系统,火电厂二次系统安全部
7、署示意图,火电厂的监控系统,火电厂监控系统主要包括机组单元控制、自动发电控制、机组保护和自动装置、辅机控制、公用系统;输变电部分包括数据采集、控制保护和自动装置等;公用系统包括厂用电、化学水、输煤、燃油、循环水等。机炉电辅系统的监控系统涉及火电厂监控系统的核心业务。,火电厂分散分层控制系统(1),第一级为生产过程控制级:直接面向生产过程的现场仪表,完成生产过程的数据采集、自动调节控制、顺序控制和批量控制等。安全防护的重点是防止外部的非法访问或入侵。,火电厂分散分层控制系统(2),第二级为生产监控操作级:以监控操作为主要任务,面向现场运行操作人员、系统工程师,提供现场操作过程的全部信息,指导现场
8、工作人员的相关操作。并配备各种外部设备,存储生产过程全部实时数据。另外还提供计算机接口单元及专用通信协议对外通信,通信方式有网络、现场总线、串口和并口等。应当在与厂级监控系统及调度中心的通信接口处采取安全防护措施。,火电厂分散分层控制系统(3),第三级厂级监控系统管理一个或多个监控操作级别,通常采用基于TCP/IP的数据网络通信。主要对发电厂全厂生产过程进行综合优化、实时管理和监控。应当在生产控制大区与管理信息大区之间部署强隔离的安全防护措施。,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂二次系统安全防护总体部署四、水电厂二次系统安全防护总体部署五、发电厂二次系统安全防护总体要求
9、六、发电厂二次系统安全防护注意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,水电厂二次系统安全防护总体部署,水电厂二次系统梯级水电厂安全防护部署,水电厂二次系统安全部署示意图,水电厂二次系统,水电厂二次系统主要包括:水情自动测报系统、水电厂监控系统、继电保护和故障录波信息管理终端、电能量采集装置、大坝自动监测系统、交直流电源控制系统、电力市场报价终端等。水电厂监控系统包括机组单元控制、机组保护和自动装置、辅机控制、公用系统控制、闸门控制;输变电部分包括数据采集、控制保护和自动装置;公用系统包括厂用电、油、水、气系统等。,梯级水
10、电厂二次系统安全部署示意图,梯级水电厂安全防护部署,梯级调度中心安全防护部署可参照省级调度中心及地级集控中心安全防护方案执行。当水电厂监控系统与梯级调度中心或监控中心之间通过广域网络连接时,应当采取必要的安全防护措施。,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂二次系统安全防护总体部署四、水电厂二次系统安全防护总体部署五、发电厂二次系统安全防护总体要求六、发电厂二次系统安全防护注意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,发电厂二次系统安全防护的总体要求,发电厂安全大区间防护要求发电厂控制区内各系统间防护要
11、求发电厂的电力调度数据网边界配置要求直调发电厂二次系统安全防护要求小型发电厂二次系统安全防护要求发电厂电能量采集装置发电厂短期电力市场报价终端部署发电厂管理信息大区,发电厂安全大区间防护要求,发电厂的生产控制大区与管理信息大区间相连必须采取接近于物理隔离强度的隔离措施。如以网络方式相连,必须部署电力专用横向单向安全隔离装置。,发电厂控制区内各系统间防护要求,发电厂内同属于控制区的各机组监控系统之间、机组监控系统与公用控制系统之间,尤其与输变电部分控制系统之间应当采取必要的访问控制措施。,发电厂的电力调度数据网边界配置要求,对于没有DCS系统,或不参与AGC、AVC调节的发电厂,其电力调度数据网
12、边界配置的安全防护措施可根据具体情况进行简化。参与系统AGC、AVC调节的发电厂应当在电力调度数据网边界配置纵向加密认证装置或纵向加密认证网关进行安全防护。,省级以上直调发电厂二次系统安全防护要求,对于省级以上调度机构直调发电厂的二次系统,可在厂级层面构造控制区和非控制区。将故障录波装置和电能量采集装置置于非控制区;对于发电厂的控制区内具有电能量采集装置,可以只将计量通信网关置于非控制区。对于具有远方设置功能的继电保护管理终端应当置于控制区,否则可以置于非控制区。,小型发电厂二次系统安全防护要求,对于没有DCS的小型发电厂的二次系统,其生产控制大区可以不再细分,可将各业务系统和装置均置于控制区
13、,其中在控制区中的故障录波装置和电能量采集装置可以通过调度数据网或拨号方式与相应调度中心通信。需要考虑内部各系统间的访问控制。,调度中心控制区,调度中心非控制区,电力调度数据网,实时子网,非实时子网,电厂管理信息大区,逻辑隔离,电厂控制区,专用安全隔离装置,发电厂电能量采集装置,非控制区内厂站端电能量采集装置与电厂其它的业务系统不存在网络方式连接、只接受调度端电能量计量系统的拨入请求、且使用专用通信协议时,可以不采取安全防护措施。,发电厂短期电力市场报价终端部署,发电厂短期电力市场报价终端部署在非控制区,与运行在管理信息大区的报价辅助决策系统信息交换应当采用电力专用横向单向安全隔离装置。发电企
14、业的市场报价终端与同安全区内其它业务系统进行数据交换时,应当采取必要的安全措施,以保证敏感数据的安全。,发电厂管理信息大区,发电厂管理信息大区的业务主要运行在发电企业数据网或公共数据网,发电企业可遵照安全防护规定的原则,根据各自实际情况,自行决定其安全防护策略和措施。,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂二次系统安全防护总体部署四、水电厂二次系统安全防护总体部署五、发电厂二次系统安全防护总体要求六、发电厂二次系统安全防护注意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,发电厂二次系统安全防护注意事项,发电
15、厂二次系统的特点发电厂二次系统安全防护实施火力发电厂的监控信息系统,发电厂二次系统的特点(一),电厂二次系统与调度中心二次系统相比具有不同特点:地域分散、参与人员众多、需加强物理设备安全,所以技术措施不可能解决一切问题,需要加强管理,保证高安全区基本的物理安全。电厂二次系统安全防护中管理重于技术。发电厂的控制属于工业过程控制范畴,是典型分散分层控制系统,系统结构复杂,所以对生产控制大区安全区内各系统的访问控制要加以特别注意。,发电厂二次系统的特点(二),因原有设备部署限制、地域、扩建、产权不同和自动化水平等因素,同一电厂内或者梯级内可能平行存在多个相互独立的设备控制系统,所以同一电厂内可以存在
16、多个相同级别的但并不互连的安全区。生产控制大区与管理信息大区之间隔离方案可根据实际情况处理。在电厂中有可能安全区内部以广域网互连则连接端点应视为纵向边界,采取相应安全措施。,发电厂二次系统安全防护实施(一),在保证满足安全防护的前提下进行安全分区、应用系统改造时应尽可能简化网络系统,保证系统的可靠性、稳定性,并节约投资。在保证边界清晰、通信安全的前提下,对已有系统控制区和非控制区内子系统不必强行分割。例如中小型电厂监控系统整合了生产控制大区内多数功能,不易分割。与调度中心相连接的系统应处于相当的安全区。,发电厂二次系统安全防护实施(二),发电厂二次系统生产控制大区各系统应只面向现场运行操作人员
17、和系统工程师。通信网关机使用TCP/IP等网络协议,不能承担边界防护的功能。跨安全区的通信必须采取安全隔离措施,保证相应的安全隔离强度。串口在非网络方式下可认为二端系统处于逻辑隔离。如非网络方式保证单向可认为接近于物理隔离(仅用于正向)。由于恶意代码会严重干扰发电厂二次系统终端、服务器甚至网络的运行,破坏系统可用性,且具有普遍性,需加强恶意代码防护。,火力发电厂的监控信息系统,对于监控信息系统SIS(Supervisory information system)由于各电厂的实际情况和个人对其功能的理解有较大差异,所以可根据总体方案的要求,依其各模块功能而分置入不同安全区。具有生产控制功能的模块
18、必须属于控制区,SIS的主体属于生产控制大区,SIS的生产管理信息或使用电力企业数据网通信部份属于管理信息大区。如果SIS与短期报价终端相连,必须有严格安全防护措施。一般来说SIS与MIS系统间要使用电力专用安全隔离装置。,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂安全防护总体部署四、水电厂安全防护总体部署五、发电厂二次系统安全防护总体要求六、发电厂二次系统安全防护注意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,火电厂二次系统安全防护方案举例,某火电厂二次系统说明某火电厂二次系统安全防护方案,某火电厂二次系统
19、安全防护前网络示意图,SCADA系统及实时数据库,SIS应用系统,MIS数据库及系统,集团公司远程生产数据上报系统,公用系统PLC,1#机DCS,2#机DCS,防火墙,防火墙,二层交换机及生产专网,某火电厂二次系统说明(一),某电厂利用以太网将原有独立的机组DCS系统、升压站控制系统和公共系统控制单元(PLC)联结。该生产控制网络利用二层交换机级联构成。两台机组DCS仍然独立,无外部控制信号接入,但将来技术改造要求升级DCS系统并与SIS系统融合,实现集中操控。升压站控制系统为该网络核心,形成SCADA系统和实时数据库。其他系统控制单元使用网络或者硬线连接通信网关机接入生产控制网,部分控制单元
20、可由SIS系统直接管理和控制。,某火电厂二次系统说明(二),该网络有两个外部出口,分别连接企业管理网和其集团公司电力生产数据网,均采用防火墙进行网络隔离。除集控室系统及终端外,该厂主要领导及生产部门领导桌面均有SIS系统终端。,某火电厂二次系统安全防护改造后网络示意图,SCADA系统及实时数据库,SIS应用系统(含控制功能),MIS数据库及系统,集团公司远程生产数据上报系统,公用系统PLC,1#机DCS,2#机DCS,专用安全隔离装置,三层交换机及生产专网,SIS应用系统(不含控制功能),非控制区,控制区,管理信息大区,某火电厂二次系统安全防护方案(一),生产控制网络与企业管理信息网使用专用安
21、全隔离装置进行隔离;集团公司远程生产数据上报系统从管理信息数据库取数,不与生产控制网络连接。生产控制网络主交换机更改为支持VLAN划分和完善访问控制的三层交换机,下联交换机也必须支持VLAN划分,将各控制系统单元置于不同的VLAN中,主交换机设置合理的访问策略。其SIS系统子应用间不易隔离,都需要访问SIS数据库。应将无直接控制功能的服务器和终端置于非控制区的VLAN中,禁止直接访问控制单元边界。,某火电厂二次系统安全防护方案(二),严格管理生产控制网内网络设备及终端,保证不被非授权人员使用;收回领导桌面生产网络终端。原防病毒系统与管理信息网分离,单独设立防病毒系统,定期在保证安全的前提下离线
22、升级。,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂安全防护总体部署四、水电厂安全防护总体部署五、发电厂二次系统安全防护总体要求六、发电厂二次系统安全防护注意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,水电厂二次系统安全防护方案举例,某水电厂二次系统说明某水电厂安全防护方案,某水电厂二次系统安全防护前网络示意图,主站/控制站/操作员站,DP/PLC,现场总线,网关机,路由器,梯级生产监控系统,MIS数据库及系统,远端电站,当地电站,防火墙,二层交换机及生产专网,远端控制站/操作员站/数据网关,防火墙,互联网,水
23、文气象系统水情测报系统,大坝监测系统,某水电厂二次系统说明(一),某电厂有两个梯级电站,在下游电站内实现集中梯级监控调度。上游电站有完善的电站生产监控系统,提供远程控制和工程师站功能,该系统连接至梯级监控中心。当地无外接其他信息系统。下游电站也有相对独立完善的电站生产监控系统还兼作梯级监控中心。两级电站其他二次系统均直接连接至梯调中心,组成梯级监控系统。,某水电厂二次系统说明(二),该网络有一个外部出口,连接企业管理网,采用防火墙进行网络隔离。但其气象水文系统可穿越防火墙直接访问互联网以获得相应数据。水文、气象、水情自动测报和大坝监测系统等相对独立于梯级监控系统。防火墙集成VPN功能,该厂主要
24、领导及生产部门领导可通过该系统访问梯级监控系统。,某水电厂二次系统安全防护后网络示意图,主站/控制站/操作员站,DP/PLC,现场总线,网关机,路由器,梯级生产监控系统,MIS数据库及系统,远端电站,当地电站,安全隔离装置,三层交换机及生产专网,远端控制站/操作员站/数据网关,防火墙,互联网,水文气象系统,大坝监测系统,非控制区,管理信息大区,控制区,防火墙,某水电厂二次系统安全防护方案说明,生产控制网络与企业管理信息网使用专用安全隔离设备进行隔离,不支持VPN访问。生产控制网络主交换机更改为支持VLAN划分和完善访问控制的三层交换机,下联交换机也必须支持VLAN划分,将各子电站置于不同的VL
25、AN中,主交换机设置合理的访问策略。非控制子系统间较为独立,可以使用防火墙与控制区隔离,外界数据需要通过专用安全隔离装置摆渡。应保证远程通信手段的安全性和稳定性。,一、发电厂二次系统防护措施和管理规定二、安全分区三、火电厂安全防护总体部署四、水电厂安全防护总体部署五、发电厂二次系统安全防护总体要求六、发电厂二次系统安全防护注意事项七、火电厂二次系统安全防护方案举例八、水电厂二次系统安全防护方案举例九、电厂二次系统安全防护几个专题,提 纲,电厂二次系统安全防护几个专题,对大型电厂和小型电厂界定的思考短期电力市场接口要求报价终端系统要求发布信息接收安全WEB厂内专用市场信息WEB电厂拨号访问服务,
26、对大型电厂和小型电厂界定的思考,在文中比较笼统地把电厂分为大型电厂和小型电厂,而二者的安全防护的要求也有较大差距,因而可能需要对大型电厂和小型电厂做个界定。我们认为:严格地说,电厂应该按其对于电力系统的重要性来进行安全防护,当然电厂的容量大小无疑是区分电厂重要性的很重要的方面,但并不是绝对的。比如机组类型、容量、调节容量、负荷升降速度可能影响带基荷/调峰/调频;是否是枢纽点电压调节和防止电压失稳的电压支撑点;不同运行方式下可能造成线路过负荷或失稳;黑起动要求甚至与电厂是嵌入的还是经电源线路接入电网的有关。因而“规定”会规定发电厂二次系统安全防护实施方案须经上级信息安全主管部门和相应电力调度机构
27、的审核,方案实施完成后应当由上述机构验收。,短期电力市场接口要求(一),与短期电力市场有关的电能量采集、发布信息接收和价格申报都在发电厂的非控制区中。电能量采集可以采用网络方式或拨号服务,电能量计量装置通常在开关场网控室。发布信息接收终端和报价终端通常均在厂内办公楼。与交易中心主要访问方式是双向文本通信,通信内容包括发布信息接收和报价。拨号通信是仅作电厂的备用报价方式。与交易中心的纵向WEB通信仅用于信息发布而且不推荐此种方式。,短期电力市场接口要求(二),电能量和市场报价这二种数据都属于敏感数据,因而不仅要处理纵向通信安全防护而且涉及敏感数据的信息安全。对具有敏感市场数据设备的访问必须经身份
28、认证及控制访问权限,以实现具有证书的用户的授权访问。对具有敏感市场数据设备的端口应加装入侵检测探头;具有敏感市场数据设备应提供可靠而及时的关于访问设备的信息,以实现对重要事件的检测和审计能力。,短期电力市场接口要求(三),发电厂二次系统非控制区的纵向边界应设置具备逻辑隔离功能的接入交换机,经专用纵向加密认证装置和路由器接入调度数据网非实时子网。可采用三层交换机的二级级联。三层交换机应起到信号汇聚和访问控制作用,所以接入交换机的VLAN划分应以地域为主,而下级交换机的VLAN划分以就地访问控制为主。在开关场网控系统处的专用电能量采集拨号(如有)和升压站电能量采集系统;在厂内的专用报价拨号(如有)
29、、报价终端和信息发布WEB客户端(如有)都经各自VLAN接入到下级交换机。如有必要,可在有关端口安装入侵检测(IDS)的探头。,报价终端要求,短期电力市场报价终端在非控制区,目前必需是独立系统。报价终端应该有基于数字证书的登录身份认证,应该实现在应用层与网调和省、市调端对端的基于数字证书的身份认证与加密通信,应该完成对报价表的数字签名,以提供数据完整性。,报价辅助决策系统要求,电厂的报价辅助决策系统必定会大量得到应用。该系统位于管理信息大区。报价决策系统不仅需要当前和历史的市场发布信息、当前和历史的自身报价而且需要发电成本和服务成本来进行报价决策。因而该系统不仅要处理纵向数据通信的安全而且涉及
30、与厂内经济成本分析软件的接口。除纵向数据通信的安全措施外,建议与位于非控制区的报价终端通信要采用具有强身份认证和加密功能的反向专用安全隔离装置。如有必要,在管理信息大区内可构造厂内专用市场信息WEB。,发布信息接收安全WEB,采用安全WEB技术,浏览端设备使用HTTPS协议。浏览端设备应位于接入交换机的专用纵向WEB网段,且该网段与非控制区的其它业务系统隔离。浏览端设备用户必须具有证书。,厂内专用市场信息WEB,厂内可以为有关领导开通位于管理信息大区的专用市场信息WEB。市场信息WEB必需是独立系统,必须符合VLAN端口专用、局域网专用、WEB服务器专用和WEB客户端专用原则,必须定时从报价辅
31、助决策系统的报价服务器主动导出市场信息到此WEB服务器,可使用HTTPS协议采用安全WEB技术。浏览市场信息WEB服务器的用户必须具有证书。,电厂拨号访问服务(一),使用拨号访问服务的业务有远程维护、远方值班、传输故障录波信息、电能量采集和市场报价。对于远程维护和远方值班可发生在任何安全区中,要求用户端使用UNIX或LINUX操作系统且采取专号、反叫、不得呼叫转移、证书认证或语音认证、加密、访问控制等安全防护措施。对于故障录波信息,目前是调度端发出请求,电厂端以拨号方式传输故障录波文件,因而通信是随机的。要求电厂端使用UNIX或LINUX操作系统且采取专号、反叫、不得呼叫转移、语音认证或证书认证、加密、访问控制等安全防护措施。,电厂拨号访问服务(二),拨号通信可能是电能量采集方式之一。可采取专号和反叫等措施。只允许从调度端向电厂端单向拨号且不得有拨号转移,要求电厂端的计量装置与电厂其它二次系统必须有相应的安全隔离措施。(目前要求电厂端计量装置与当地系统分离),电厂拨号访问服务(三),拨号通信是仅作为市场报价的备用方式,传递标准格式的报价文件。电厂报价终端可采取专号和反叫等措施。报价终端应该有基于数字证书的登录身份认证。应该实现在应用层与网调和省、市调端对端的基于数字证书的身份认证与加密通信,应该完成对报价表的数字签名。若无条件实现安全防护时,则禁止开通拨号访问的市场报价。,谢谢,
