新建电厂的电力二次系统安全防护.pdf

5 第11卷 (2009年第2期)电 力安全技 术 摘要 介绍了电力二次系统防护工作开展的背景， 阐述了田集发电厂电力二次系统总体安全防护方 案，按照“安全分区、网络专用、横向隔离、纵向认证”的总体原则要求，进行安全分区规划，并拟订各 业务系统安全防护措施，最后总结了新建电厂做好电力二次系统安全防护应注意的问题。 关键词新建电厂；电力二次系统；安全防护 随着因特网和I nt ernet技术在电力系统的广泛 使用以及公共服务E- m ai l ，W eb 应用逐渐普及，病 毒和黑客也日益猖獗， 对电力系统的安全生产造成 很大威胁。 2000- 10-13，四川二滩水电厂控制系统收到 异常信号停机，7s 甩出力89万 kW ，川渝电网几乎 瓦解；2001-10-01，银山公司生产的故障录波装置 出现 “时间逻辑炸弹” ， 全国共147套变电站频现不 录波、死机故障；2003-12-30，龙泉、政平、鹅城 换流站控制系统发现病毒， 系外国技术人员在系统 调试中用笔记本电脑上网所致。 电力二次系统安全防护就是为确保电力监控系 统及电力调度数据网络的安全， 抵御黑客、 病毒、 恶 意代码等各种形式的恶意破坏和攻击， 特别是抵御 集团式攻击，防止电力二次系统的崩溃或瘫痪，以 及由此造成的电力系统事故或大面积停电事故。 下面以田集发电厂为例， 对新建电厂的电力二 次系统安全防护设计作一介绍。 1规划二次系统安全分区，分析数据流向 田集发电厂一期工程为2 台 600 M W超临界燃 煤发电机组，于 2005-07-21 开工，分别于 2007- 翟德双，刘月梅 （田集发电厂，安徽 淮南232098） 新 建 电 厂 的 电 力 二 次 系 统 安 全 防 护 07- 26和 2007- 10- 15 投产。田集发电厂在基建期 间各系统设计时就充分考虑了电力二次系统的安全 防护要求， 针对网络系统和基于网络的电力生产控 制系统，重点强化边界防护，提高内部安全防护能 力，保证生产控制系统及重要数据的安全，严格按 照 “安全分区、 网络专用、 横向隔离、 纵向认证” 的 总体原则要求，以确保电力二次系统的安全。 安全分区是电力二次系统安全防护体系的结构 基础。 发电企业内部二次系统原则上划分为生产控 制大区和管理信息大区。 生产控制大区可以分为控 制区(又称安全区)和非控制区(又称安全区)， 根 据各系统的实时性、使用者、主要功能、设备使用 场所、各业务系统间的相互关系、广域网通信的方 式以及对电力系统的影响， 将与电力二次系统有关 的业务系统放置在相应的安全区内， 以保证边界清 晰，通信安全。电力二次系统安全部署及数据流向 如图 1所示。 2二次系统总体安全防护方案 (1) 所有与电力二次系统相关系统的设计方案 严格执行国家、 行业有关安全防护的标准、 法规、 法 令、 规定， 建立严密的电力二次系统安全防护体系。 间双机发电大流量泄流的情况发生。 为此对小山电 站的冬季运行方式进行了调整，即在河道封冻后， 无特殊情况下尽量按发电计划执行， 同时避免连续 2天不发电的情况发生；小山电站双机同时运行不 超过 3 h，特殊情况下不超过 5h。 3结束语 由于对河道进行治理并合理安排小山电站冬季 运行方式， 在2006年的冬季产生了明显效果， 双沟 及海岛屯河道整个冬季没有发生壅冰， 在2007年 月份以后在以上河道内只出现了轻微的壅冰， 至目 前为止一直没有发生规模较大、 有危害性的壅冰现 象。 可以说对小山电站下游河道壅冰现象的原因分 析以及采取的措施是比较成功的， 促进了松江河发 电厂的安全生产工作， 并消除了河道冬季壅冰对沿 岸居民生活的影响。(收稿日期：6 3 ) Anquanshengchan 安 全 生 产 1 2008- 0 - 0 第11 卷 (2009年第 2期)电 力安全技 术 6 图 1电力二次系统安全部署及数据流向 (2) 在生产控制大区与管理信息大区间采取接 近于物理隔离强度的隔离装置 SYSKEEPER2000 正向隔离装置。 (3) 在生产控制大区各业务系统之间进行逻辑 隔离，采用具有访问控制功能的网络设备、防火墙 或者相当功能的设施。 (4) 生产控制大区的各业务系统严禁采用W eb 发布功能和 E- M ai l 功能，所有防病毒系统的升级 必须采用离线方式。 (5) 接入电力二次系统安全区和安全区安 全产品的选用， 必须经过国家安全部门或电力有关 部门的认证。 (6) 所有电力二次系统的安全区和安全区 的任何工作站和服务器均禁止以各种方式与互联网 连接。 3各业务系统安全防护措施 3. 1DCS 系统及全厂辅控系统 D CS及全厂各辅助控制系统皆是独立的网络系 统, 对外只与SIS系统采取如下措施进行单向通讯 ： DCS 系统提供 OPC服务器、DM Z交换机和内置防 火墙的路由器三重隔离方式， 防止外部接口的非法 侵入。OPC服务器和SIS 的接口机都连接到 DCS 的 DM Z交换机上, 通过 DCS 交换机和内置防火墙的路 由器的访问措施，将控制 DCS 系统数据单向送入 SIS系统，而不会让SI S系统将指令送入DCS系统, 这样保证了数据的单向性和系统安全性。 3. 2NCS 网控系统 NCS 系统为 UN I X操作系统，具有稳定、不易 感染计算机病毒的特点， 该系统采用经过有关部门 认证的国产正向网络安全隔离装置( 南瑞 SYSK PER2000)与 SI S 系统进行单向通讯, 将实时数据以 报文形式主动传送给SIS系统, 而不允许SIS系统访 问 N CS 系统索取数据，保证了 N CS系统的安全。另 外，N CS系统接入调度数据网交换机区再通过路 由器接入省调系统， 与其它系统和设备的通讯采用 硬接线方式，符合二次系统安全防护规定。 3. 3当地功能监视及发电考核系统 远动当地功能及发电负荷考核子站系统， 用于 实现远动当地功能， 接收华东网调或安徽省调主站 端的发电计划曲线，并配合完成A VC功能。它与调 度中心通过调度数据网交换机区， 再经路由器与 调度主站相互通讯；与 FFC，NCS，AVC等系统 或设备的连接采用串口方式进行通讯；通过国产的 南瑞 SYSK EEPER2000 正向隔离装置与M I S 系统和 SI S系统相连，将数据单向送入M IS 侧的镜像服务 器、W EB发布服务器和SIS 系统实时数据库，而不 允许 M I S和 SIS 系统访问本系统。 3. 4FFC电能量采集系统 工程设计采用兰吉尔FFC电能量采集装置，该 系统与厂内其它系统不存在网络方式连接， 只通过 拨号方式或网络通讯方式与调度端电能量计量系统 连接。 拨号方式：通过 M ODEM口，由调度主站端向 厂站端单向拨号，采集电厂端的电量数据，电厂端 只接受调度端电能量计量系统的拨入请求， 且使用 专用通讯协议，不需要采取安全防护措施，完全符 合电力二次系统安全防护要求。 网络通讯方式：采用 TCP/ I P 协议，通过电力 调度数据网交换机区及路由器的访问措施， 向调 度传输电厂端的电量数据。 下一步电网将统一实施数字加密认证系统， 采 用电力调度数字认证证书， 对用户登录本地操作系 统、访问系统资源等操作进行身份认证，根据身份 与权限进行访问控制， 并对操作行为进行安全审计。 3. 5继电保护及故障信息管理系统 本系统的设计不与厂内其它系统有网络通讯， 通过网关和路由器的访问策略， 接入电力调度数据 网交换机区端口后， 经过路由器与华东网调及安 徽省调的主站系统进行数据通信。 3. 6SIS系统 SIS系统无生产控制功能，所以在设计时将其 放在控制区安全区， 是一个独立的网络系统。 SIS 网络安全防护设计时考虑了个方面的内容，分别 Anquanshengchan 安 全 生 产 1 EE-2 第11卷 (2009年第2期)电 力安全技 术 是下层控制系统层以及M I S 层： (1) 控制系统层。SIS系统与控制系统同属于 二次系统的生产控制大区， 中间采用网关隔离。 SIS 系统为每个控制系统划分独立的 VLAN，在进行通 讯的同时实现不同网段之间的隔离， 这样能够有效 隔离不同网段之间的广播，减少网络负荷。不同网 段之间采用网关进行隔离， 同时在每台接口机上安 装诺顿防病毒软件，防止意外情况下病毒入侵。由 于SIS网以及与SIS相连的控制系统网络属于电厂 内网，网内节点数量少，方便进行管理，所以上述 网络方案基本能够满足生产网络安全防护的需要。 (2) M I S层。 SI S系统与 M IS系统处在不同的 安全区，中间使用正向物理隔离装置 SYSKEE- PER2000进行正向隔离，保证了 SI S系统的数据单 向送入M IS系统，而 M IS 系统的数据不送入 SIS 系 统的单向数据传输，保证了SI S系统的安全性。 3. 7M IS 系统 M I S系统设计也是单独的局域网，采用2 台中 心交换机和2台数据库服务器互为备用，保证整个 系统的稳定性；并在服务器端布置诺顿网络版防毒 软件和操作系统自动打补丁更新软件， 保证系统的 安全性；同时还设计了网络备份系统进行网络定时 在线自动备份，保证了数据的安全性。 M I S系统与厂内生产控制大区系统之间的访问 隔离采用了如下手段： ( 1)M I S 系统与 SI S 系统采用 SYSKEEPER- 2000 单向物理隔离装置，保证 SIS系统向 M IS系统 的单向数据传输；在M I S侧设置镜像服务器，SI S 系统的 W EB服务由镜像服务器提供，M I S 系统用 户不直接访问 SIS 系统，只访问镜象服务器，这样 保证了SIS系统的安全性。 (2) M I S系统不与控制系统直接相连。 (3) M IS系统与中电投集团公司广域网之间采 用硬件防火墙进行数据交换。 (4) M IS系统与外部互联网之间也采用硬件防 火墙进行数据交换。 (5) 从外部公共网络访问M IS系统通过专用硬 件加密V PN隧道进行, 确保系统不被外部网络入侵。 4结束语 田集发电厂电力二次系统经过安全分区、 网络 专用、 横向隔离成为条型安全区域， 采用纵向防护， 最终成为适度安全的栅格型安全区域；在相对封闭 的安全区内各应用系统可以一体化和共享资源， 又 可以与其他安全区或其他安全区的应用安全通信。 对新建电厂来说，从工程设计和基建起，就应 做好以下工作： ( 1) 进行工程设计时严格遵守 电力二次系统 防护规定 ，充分考虑电力二次系统安全防护方 案并留有余地； ( 2) 工程招标和基建期间， 要求电力二次系统 相关设备和系统的供应商严格遵守防护规定， 并承 诺所提供的系统和设备中不包含任何安全隐患， 否 则将承担由此引起的连带责任； (3) 制定完善的电力二次系统安全防护管理制 度，明确各部门各专业的责任，做到分级管理，责 任到人； ( 4) 建立电力二次系统安全评估制度， 采取以 自评估为主、联合评估为辅的方式，将电力二次系 统安全评估纳入电力系统安全评价体系； (5) 建立健全电力二次系统安全联合防护和应 急机制， 制定切实可行的电力二次系统安全防护应