xxx光伏电站监控系统安全防护实施方案

XXX光伏电站

监控系统安全防护实施方案

批 准：

审 核：

编 写：

地调批准：

地调审核：

XXX公司

监控系统安全防护实施方案

1总则

1.1XXX光伏电站监控系统属于宁夏电力监控系统安全防护体系管理范畴。

1.2为了加强XXX光伏电站监控系统安全防护，确保电力监控系统及电力数据网络的安全，依据国家发改委第14号令《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案》及其配套方案，制定本方案。

1.4 XXX光伏电站监控系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起的恶意破坏和攻击，以及其它非法操作，防止XXX光伏电站监控系统瘫痪和失控，并由此导致的电网一次系统事故。

1.5 本方案重点描述XXX光伏电站监控系统各业务系统的安全防护，按照《电力监控系统安全防护总体方案》安全分区的要求，基于系统业务的特点，确定XXX光伏电站监控系统按照业务特点分为安全生产控制大区控制区和非控制区。

2.适用范围

2．1本方案适用于XXX光伏电站监控系统，范围为XXX公司XXX光伏电站。

2．2XXX光伏电站简介

XXX光伏电站公司名称为XXX公司，位于XXX，距XXX变电站西北侧约2.4公里，于X年X月X日开工建设，于X年X月X日成功实现并网发电，总装机容量10MW，建设电池板组件全部采用固定式安装。公司

1

光伏发电系统采用“分块发电，集中并网”的总体设计方案，建设有10个1MW光伏发电单元，每个1MW光伏发电单元共安装X件XXX光伏板组件；每X件光伏组件串联为一个支路，共X个支路；每X个或X个支路并联接入一面直流接线箱；X面接线箱接入1面直流屏，共2面直流屏。每面直流屏出现3回，分别接入X面XkW逆变器，逆变器输出300V三相交流，通过各自的交流电缆分别连接到1000kVA箱变内各自的低压侧断路器，升压后接至10kV线路。共2条集电线路接入综合楼高压配电室 10kV 母线后汇流1条10kV 高压线路汇流至10kV柳尚线。 由10kVX线输送至X电站，XXX光伏电站调度管辖权隶属国网电力公司XXX调控中心管辖。

3.系统概况 3.1系统概述

XXX光伏电站监控系统主要由服务器、工作站、各类装置、网络设备、安全防护设备、操作系统、数据库、应用软件等部分组成。系统通过电力数据网络与上级调度机构进行业务通信。

XXX光伏电站各业务通过104、102协议与调度主站相关系统通讯，发送实时遥信、遥测、电量、预测等信息，接收有功、无功控制命令。

3.2等级保护定级

按照等级保护定级备案要求，XXX光伏电站监控系统作为一个定级对象定为等保二级。

4.XXX光伏电站监控系统安全防护实施方案 4.1安全防护总体原则

XXX光伏电站监控系统安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。 采用“纵深防御”策略和 “适度安全” 策

2

略，安全防护主要针对基于网络的生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。

4.2安全分区

根据安全分区原则，结合XXX光伏电站应用系统和功能模块的特点，将各功能模块分别置于控制区、非控制区和管理信息大区。

XXX光伏电站监控系统安全分区表

序号 1 2 3 4 5 6 7 8 9 业务系统 厂站监控系统 五防系统 电能质量在线监测 继电保护 故障录波 安全自动控制系统 光功率预测 OMS 客户端 火灾报警系统 控制区 厂站监控系统 （AGC/AVC） 五防系统 继电保护装置 安全自动控制装置 非控制区 电能采集装置 故障录波装置 光功率预测系统 管理信息大区 外网服务器 OMS 客户端 火灾报警 4.3网络专用 电力调度数据网是为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。

3

电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH 不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。可采用MPLS-VPN 技术、安全隧道技术、PVC 技术、静态路由等构造子网。

电力调度数据网应当采用以下安全防护措施： （1）网络路由防护

按照电力调度管理体系及数据网络技术规范，采用虚拟专网技术，将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网，分别对应控制业务和非控制生产业务，保证实时业务的封闭性和高等级的网络服务质量。 （2）网络边界防护

应当采用严格的接入控制措施，保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网，进行广域网通信。数据网络与业务系统边界采用必要的访问控制措施，对通信方式与通信业务类型进行控制；在生产控制大区与电力调度数据网的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务，应该通过纵向加密认证装置或加密认证网关接入调度数据网。 （3）网络设备的安全配置

网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF 路由功能、采用安全增强的SNMPv2 及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。

4

本文来源：https://www.bwwdw.com/article/psm.html