電力二次系統(tǒng)安全防護的學(xué)習(xí)

電力二次系統(tǒng)安全防護的學(xué)習(xí)1．通信電路分三級管理：一級通信電路：國家電力調(diào)度中心到各跨省電網(wǎng)網(wǎng)調(diào)和直屬省網(wǎng)省調(diào)的電路，以及跨大區(qū)網(wǎng)間的電路；二級通信電路：跨省電網(wǎng)網(wǎng)調(diào)到省調(diào)和直屬廠、站的電路，以及網(wǎng)內(nèi)跨省電路；三級通信電路：省調(diào)到地調(diào)的電路，以及其他電路。2．電網(wǎng)調(diào)度自動化管理、通信網(wǎng)的通信調(diào)度管理與電網(wǎng)調(diào)度管理體制全都，一般分五級管理：國家調(diào)度；大區(qū)網(wǎng)調(diào)；省級調(diào)度；地區(qū)調(diào)度；縣級調(diào)度。

調(diào)度數(shù)據(jù)網(wǎng)與綜合數(shù)據(jù)網(wǎng)最大的區(qū)分是承載業(yè)務(wù)的不同，前者是平安分區(qū)一、二區(qū)業(yè)務(wù)，調(diào)度自動化、電量采集、愛護故障信息等，綜合數(shù)據(jù)網(wǎng)是平安分區(qū)三、四區(qū)業(yè)務(wù)，包括視頻監(jiān)控、OA等；兩個網(wǎng)絡(luò)均采納IP技術(shù)體制，使用MPLSVPN進行業(yè)務(wù)平安隔離。調(diào)度數(shù)據(jù)網(wǎng)一般架構(gòu)在傳輸網(wǎng)之上，不同站點路由器設(shè)備之間采納2M/155M傳輸通道，綜合數(shù)據(jù)網(wǎng)則不肯定，可用傳輸通道，也可采納裸光纖直連，一般狀況綜合數(shù)據(jù)網(wǎng)的容量和傳輸帶寬都要遠高于調(diào)度數(shù)據(jù)網(wǎng)，究竟是視頻圖像業(yè)務(wù)帶寬大嘛。調(diào)度數(shù)據(jù)網(wǎng)是用在生產(chǎn)方面的。如電力調(diào)度中心采集數(shù)據(jù)和命令所采納的遠動通道、計量部門采集電表數(shù)據(jù)所用的計量通道等業(yè)務(wù)；綜合數(shù)據(jù)網(wǎng)就是指非生產(chǎn)方面的，如變電站辦公網(wǎng)絡(luò)、變電站的遠程視頻系統(tǒng)、變電站門禁報警系統(tǒng)等。

1總則電力二次系統(tǒng)平安防護的總體原則是“平安分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”。

2平安防護方案<imgalt=““src=“/UploadFiles/2015003/201510/Tech/20151018135915.png”/

圖1電力二次系統(tǒng)平安防護總體方案的框架結(jié)構(gòu)2.1平安分區(qū)

原則上劃分為生產(chǎn)掌握大區(qū)和管理信息大區(qū)。生產(chǎn)掌握大區(qū)可以分為掌握區(qū)（又稱平安區(qū)Ⅰ）和非掌握區(qū)（又稱平安區(qū)Ⅱ）。2.1.1生產(chǎn)掌握大區(qū)的平安區(qū)劃分

（1）掌握區(qū)（平安區(qū)Ⅰ）

掌握區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊（或子系統(tǒng)）的典型特征為；是電力生產(chǎn)的重要環(huán)節(jié)，直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?，是平安防護的重點與核心。

掌握區(qū)的典型業(yè)務(wù)系統(tǒng)包括電力數(shù)據(jù)采集和監(jiān)控系統(tǒng)、能量管理系統(tǒng)、廣域相量測量系統(tǒng)、配電網(wǎng)自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動掌握系統(tǒng)等，其主要使用者為調(diào)度員和運行操作人員，數(shù)據(jù)傳輸實時性為毫秒級或秒級，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)Ｓ猛ǖ肋M行傳輸。該區(qū)內(nèi)還包括采納專用通道的掌握系統(tǒng)，如：繼電愛護、平安自動掌握系統(tǒng)、低頻（或低壓）自動減負荷系統(tǒng)、負荷管理系統(tǒng)等，這類系統(tǒng)對數(shù)據(jù)傳輸?shù)膶崟r性要求為毫秒級或秒級，其中負荷管理系統(tǒng)為分鐘級。

（2）非掌握區(qū)（平安區(qū)Ⅱ）

非掌握區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為：是電力生產(chǎn)的必要環(huán)節(jié)，在線運行但不具備掌握功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與掌握區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊聯(lián)系緊密。

非掌握區(qū)的典型業(yè)務(wù)系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)、水庫調(diào)度自動化系統(tǒng)、繼電愛護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、電力市場運營系統(tǒng)等，其主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電愛護人員及電力市場交易員等。在廠站端還包括電能量遠方終端、故障錄波裝置及發(fā)電廠的報價系統(tǒng)等。非掌握區(qū)的數(shù)據(jù)采集頻度是分鐘級或小時級，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)。2.1.2管理信息大區(qū)的平安區(qū)劃分

管理信息大區(qū)是指生產(chǎn)掌握大區(qū)以外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合。電力企業(yè)可依據(jù)詳細狀況劃分平安區(qū)，但不應(yīng)影響生產(chǎn)掌握大區(qū)的平安。2.1.3生產(chǎn)掌握大區(qū)內(nèi)部平安防護要求

（1）禁止生產(chǎn)掌握大區(qū)內(nèi)部的E-Mail服務(wù)，禁止掌握區(qū)內(nèi)通用的WEB服務(wù)。

（2）允許非掌握區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)采納B/S結(jié)構(gòu)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許供應(yīng)縱向平安WEB服務(wù)，可以采納經(jīng)過平安加固且支持HTTPS的平安WEB服務(wù)器和WEB掃瞄工作站。

（3）生產(chǎn)掌握大區(qū)重要業(yè)務(wù)（如SCADA/AGC、電力市場交易等）的遠程通信必需采納加密認證機制，對已有系統(tǒng)應(yīng)逐步改造。

（4）生產(chǎn)掌握大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)間應(yīng)當(dāng)實行VLAN和訪問掌握等平安措施，限制系統(tǒng)間的直接互通。

（5）生產(chǎn)掌握大區(qū)的撥號訪問服務(wù)，服務(wù)器和用戶端均應(yīng)使用經(jīng)國家指定部門認證的平安加固的操作系統(tǒng)，并實行加密、認證和訪問掌握等平安防護措施。

（6）生產(chǎn)掌握大區(qū)邊界上可以部署入侵檢測系統(tǒng)IDS。

（7）生產(chǎn)掌握大區(qū)應(yīng)部署平安審計措施，把平安審計與平安區(qū)網(wǎng)絡(luò)管理系統(tǒng)、綜合告警