欢迎来到天天文库
浏览记录
ID:12540261
大小:1.91 MB
页数:28页
时间:2018-07-17
《电厂电力二次系统安全防护方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、热电有限责任公司电力二次系统安全防护方案企业简介:电厂装机容量700MW,装机容量为2×350MW超临界机组,1号机于2016年12月02日投产发电,2号机于2016年12月25日投产发电;渑池电厂以2回220kv线路砥柱变I线和砥柱变II线接入电网。二次系统安全分区及防护目标1.1二次系统安全分区热电有限责任公司安全二次系统分为两个大区:生产控制大区和管理信息大区。生产控制大区(1)安全区I:实时控制区安全区I的典型系统包括机组DCS、烟气脱硫DCS、电气网络控制系统ECMS、PMU、NCS、实时平衡
2、调度系统。控制区内的#1、#2机组控制系统DCS、辅网DCS、网络监控系统NCS以及非控制区电能量采集装置通过防火墙和接口机与厂级监控信息系统SIS相连,以向SIS中传送数据。相量测量装置PMU、远动装置RTU,无功调压装置AVC通过五类双绞线与调度数据网相连,接入实时子网VPN1;继电保护及故障信息管理子站、电能量采集装置、实时调度系统通过五类双绞线与调度数据网相连,接入非实时子网VPN2。渑池电厂#1、#2机励磁系统、继电保护装置是不存在外部网络联系的孤立的业务系统,不存在安全防护的问题。安全区I是
3、电力二次系统中最重要的系统,安全等级最高,是安全防护的重点与核心。(2)安全区II:非实时控制生产区安全区II的系统包括厂级监控系统SIS(含核心交换机以及各应用服务器)、保护及故障录波信息子站系统、电能量计量系统、烟气脱硫系统等。安全区II的SIS系统需采集安全区I的DCS、TDM、ECMS等系统的信息。管理信息大区安全区III业务系统或功能模式的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,该区包括管理信息系统(MIS)、办公自动化系统(OA)客户服务、辅助报价决策系统等。该区的
4、外部通信边界为发电企业的广域网络及因特网。1.1二次系统安全防护部署方案遵照国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》以及国家电力监管委员会[2006]34号文件印发的《电力二次系统安全防护总体方案》等安全防护方案及招标文件的要求。二次系统安全防护可分为电厂内安全区域间的横向防护以及广域网边界纵向防护两部分。1.2.横向安全防护二次系统安全防护项目横向安全防护整体部署拓扑图如图1-1所示。图1-1渑池电厂二次系统横向安全防护部署拓扑图1.11.1硬件设备部署:1)安全I
5、区与安全II区在厂站端Ⅰ、Ⅱ区之间部署1台防火墙用于安全Ⅰ区和安全Ⅱ区之间的逻辑隔离(如图1-2所示)。图1-2渑池电厂安全区I和II之间的安全防护部署图通过以下方式保护网络:1)为防火墙配置适当的网络访问规则,可以防止不同安全区之间的未经授权访问;2)通过对网络流量的流量模式进行整型和服务质量保证措施,保证网络应用的可用性和可靠性;3)可以根据时间定义防火墙的安全规则,满足网络在不同时间有不同安全需求的现实需要;4)可以提供用户认证机制,使网络访问规则和用户直接联系起来,安全更为有效和针对性;5)对网
6、络攻击进行检测,可与专业IDS系统共同组建一个多级网络检测体系。目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,状态检测防火墙具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能,同时具有广泛的适应能力。在不损失网络性能的同时,能够实现网络安全策略的准确制定与执行,同时有效地抵御来自非可信任网络的攻击,并具有对防火墙系统安全性能的诊断功能。其内置的入侵检测系统,可以自动识别黑客的入侵,并对其采取确切的响应措施,有效保护网络的安全,同时使防火墙系统具备无可匹敌
7、的安全稳定性。2)安全I区/II区与安全III区控制区、非控制区和管理信息大区之间采用电力系统专用安全隔离装置隔离,每个区内使用各自区内的横向互联交换机连接各应用系统网段,同一区内不同业务用不同的虚拟局域网分割,如图3-3所示。图3-3安全区I/II与III区之间的安全防护部署图正向隔离装置应用专用安全隔离装置(正向单bit)用于从安全区I/II到安全区III传递数据,是安全区I/II到安全区III的唯一一个数据传递途径。3)网络三层交换机的部署在安全I、II、Ⅲ区需布署一台交换机用于各区内设备的组网,
8、统一I、II、III区业务的对外联系和接口。4)纵向认证加密装置的部署纵向认证加密装置用于实时控制区的广域网边界防护,实现本地包过滤功能以及广域网通信提供认证与加密功能,保证数据传输的机密性、完整性。5)工控机的部署在安全Ⅱ区内布署一台工控机,并将其通过Ⅱ区的非实时网段交换机接入到电力专用横向正向隔离装置的内网口,用于读取和上传电力专用横向正向隔离装置的日志信息。6)通信网关机的部署在安全I区、安全II区、安全III区内各部署一台通信网关机
此文档下载收益归作者所有