安全生产_电力二次安全防护项目技术培训教材

云南电网调度数据网电力二次安全防护项目 广州中软信息技术有限公司 项目技术培训 电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理 议程 电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙配操作管理横向防火墙配操作管理 议程 电力二次系统简介 电力一次系统一次设备 也称主设备 是构成电力系统的主体 它是直接生产 输送和分配电能的设备 包括发电机 电力变压器 断路器 隔离开关 电力母线 电力电缆和输电线路等 电力二次系统二次设备是对一次设备进行控制 调节 保护和监测的设备 它包括控制器具 继电保护和自动装置 测量仪表 信号器具等 二次设备通过电压互感器和电流互感器与一次设备取得电的联系 电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理公司介绍 议程 二次安全防护系统 项目建设原因 二次安全防护系统 项目建设目标防范病毒 木马等恶意代码的侵害保护电力监控系统和电力调度数据网络的可用性和连续性保护重要信息在存储和传输过程中的机密性 完整性实现应用系统和设备接入电力二次系统的身份认证 防止非法接入和非授权访问实现电力监控系统和调度数据网安全事件可发现 可跟踪和可审计实现电力监控系统和调度数据网络的安全管理 二次安全防护系统 安全防护手段我们通过各种方法对电力二次系统业务进行安全防护 具体如下 安全分区 根据电力二次系统业务的重要性及其对电力一次系统的影响程度进行分区 南方电网电力二次系统分为生产控制大区和管理信息大区 其中生产控制大区分为控制区 又称安全区I 和非控制区 又称安全区 生产控制大区是重点保护对象 网络专用 南方电网各级电力调度数据网应当在专用通道上使用独立的网络设备组网 在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离 该网可采用MPLS VPN技术或类似技术划分两个相互逻辑隔离的业务子网 即实时VPN和非实时VPN 二次安全防护系统 安全防护手段我们通过各种方法对电力二次系统业务进行安全防护 具体如下 横向隔离 南方电网电力二次系统应采用安全防护设备实现各安全区的隔离 在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向安全隔离装置实现高强度隔离 生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔离 纵向加密 南方电网各级调度中心和厂站在控制区与调度数据网的纵向连接处应部署经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关以及其它安全设施 为上下级控制系统之间的调度数据网通信提供双向身份认证 数据加密和访问控制服务 二次安全防护系统 网络安全区域划分示意图 二次安全防护系统 网络安全区域划分示意图 二次安全防护系统 安全区域划分控制区 安全区I 控制区是电力二次系统各安全区中安全等级最高的分区 是必不可少的分区 该区中的业务系统与电力调度生产直接相关 有对一次系统的在线监视和闭环控制功能 且具有连续性 实时性 毫秒级或秒级 的特点以及高安全性 高可靠性和高可用性的要求 该区通过调度数据网络的实时VPN子网或专线通道与异地相关的安全区 互联 控制区的典型系统包括调度自动化系统 SCADA EMS 广域相量测量系统 WAMS 自动电压控制系统 AVC 安稳控制系统 在线预决策系统 具有保护定值下发 远方投退功能的保信系统 配电自动化系统 变电站自动化系统 发电厂自动监控系统等 还包括使用专用通道的控制系统 如 安全自动控制系统 低频 低压自动减负荷系统 负荷管理系统等 安全区 主要使用者为调度员 继电保护运行管理人员和运行操作人员 二次安全防护系统 安全区域划分非控制区 安全区II 本区是电力二次系统各安全区中安全等级仅次于安全区 的分区 该区的业务系统功能与电力生产直接相关 但不直接参与控制 系统在线运行 与安全区 的有关业务系统联系密切 非控制区的数据采集频度是分钟或小时级 该区使用调度数据网络的非实时VPN子网或专线通道与异地相关的安全区II互联 非控制区的典型系统包括调度员培训模拟系统 不带控制功能的继电保护和故障录波信息管理系统 水调自动化系统 电能量计量系统 电力市场运营系统 厂站端电能量采集装置 故障录波器和发电厂的报价终端等 安全区II主要使用者分别为调度员 水电调度员 继电保护人员及电力市场交易员等 二次安全防护系统 安全区域划分管理信息区 管理信息大区的业务系统主要用于生产管理和办公自动化 管理信息大区的典型业务系统包括调度生产管理系统 DMIS 管理信息系统 MIS 办公自动化系统 OA 电网生产信息查询系统 统计报表系统 雷电监测系统 气象信息 客户服务系统 对外信息发布 Internet访问等 二次安全防护系统 云南电网调度数据网业务种类调度自动化业务 EMS 广域相角测量系统 WAMS 安全稳定控制系统 水调自动化业务 电能量计量数据 继电保护信息系统 行波测距系统 二次安全防护系统 业务种类VPN划分 电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置配置讲解纵向防火墙配置讲解横向防火墙配置讲解 议程 网络拓扑 安防改造前 省调 地调 500KV变电站 网络拓扑 安防改造后 省调 地调 500KV变电站 网络拓扑 安防改造前 220KV变电站 网络拓扑 安防改造后 220KV变电站 网络拓扑 选用动态路由OSPF的优势采用动态路由 对调度路由器端 无需采用VRRP协议 采用动态路由 防火墙和加密装置无需配置主备部署方式 只需通过OSPF的Cost值设置主备平面 若采用静态路由 那么调度路由器端将需要试用VRRP 那么调度路由器需要使用二层桥接 方实现VRRP协议在交换机和调度路由器之间透传 传输VRRP协议 若采用静态路由 那么纵向防火墙 纵向防火墙将需要浪费一个端口用作热备口 根据贵州调度数据网二次安全防护项目经验 采用动态路由OSPF的方式 联络故障的时候收敛比 VRRP 静态路由 的方式更快 网络拓扑 设备用途控制区 安全I区 交换机 用于电力二次系统实时业务系统接入 调度自动化系统 EMS 广域相角测量系统 WAMS 安全稳定控制系统非控制区 安全II区 交换机 用于电力二次系统实时业务系统接入 继电保护信息系统电能量计量系统水调自动化系统行波测距系统 网络拓扑 设备用途调度数据网路由器 电力二次系统数据接入到省级调度数据网 实现数据网络通信 纵向加密装置 用于对实时业务系统的安全控制 加密传输 纵向防火墙 用于对非实时业务系统的安全控制 过滤传输 横向防火墙 用于厂站本地实时业务系统被本地非实时业务系统直接调用的安全控制 过滤传输 网络拓扑 设备安装 网络拓扑 设备配置 网络拓扑 安防改造后 省调 地调 500KV变电站 网络拓扑 设备安装 网络拓扑 安防改造后 220KV变电站 网络拓扑 设备安装 网络拓扑 业务访问原则 网络拓扑 防火墙策略要求 根据业务系统源目地址 协议号 端口号制定策略 根据业务数据流方向 制定策略单双向 主动 被动 纵向加密装置 用于对实时业务系统的安全控制 加密传输 纵向防火墙 用于对非实时业务系统的安全控制 过滤传输 横向防火墙 用于厂站本地实时业务系统被本地非实时业务系统直接调用的安全控制 过滤传输 电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设注意事项纵向加密装置操作管理纵向防火墙操作管理横向防火墙操作管理 议程 项目概况 项目分包情况 项目概况 项目分包情况 项目概况 项目概况 配置清单 包三 省调侧 项目概况 配置清单 包三 省调侧 项目概况 配置清单 包三 省调侧 项目概况 配置清单 包三 省调侧 项目概况 配置清单 包三 省调侧 项目概况 配置清单 包三 红河地区 项目概况 配置清单 包三 文山地区 项目概况 配置清单 包三 大理地区 项目概况 配置清单 包三 迪庆地区 项目概况 设备介绍 包三 硬件防火墙 省调防火墙NetEyeFW5200TIII 地调防火墙NetEyeFW5200GD 变电站防火墙NetEyeFW5120GD 项目概况 设备介绍 包三 硬件防火墙 项目概况 设备介绍 包三 硬件防火墙 项目概况 设备介绍 包三 硬件防火墙 项目概况 设备介绍 包三 硬件防火墙防火墙功能支持路由 NAT 透明模式支持Trunk 支持二层和三层的安全区域划分支持DNSClient DNS中继代理 DNS缓存与加速支持Sflow技术支持带宽管理支持IP地址 MAC地址 服务 协议对象分组支持WebAuth用户认证支持IP地址 MAC地址 以太帧类型 协议 端口和时间等等进行策略控制支持静态路由与动态路由支持NAT攻击防御 项目概况 设备介绍 包三 硬件防火墙防火墙功能支持组播支持虚拟防火墙支持HA热备 项目概况 设备介绍 包三 硬件防火墙管理功能支持WebUI telnet ssh console管理支持中文与英文界面支持syslog snmptrap日志支持snmpv1 snmpv2c snmpv3 项目概况 设备介绍 包三 加密装置 加密装置千兆型 加密装置百兆型 项目概况 设备介绍 包三 加密装置设备 项目概况 设备介绍 包三 加密装置设备设备性能 省调 最大并发加密隧道数 2000条1000MLAN环境下 加密隧道建立延迟 1s明文数据包吞吐量 300Mbps 200条安全策略 1024字节报文长度 密文数据包吞吐量 80Mbps 200条安全策略 1024字节报文长度 数据包转发延迟 2ms 50 密文数据包吞吐量 满负荷数据包丢弃率 0 项目概况 设备介绍 包三 加密装置设备设备性能 地调 最大并发加密隧道数 1000条1000MLAN环境下 加密隧道建立延迟 1s明文数据包吞吐量 150Mbps 100条安全策略 1024报文长度 密文数据包吞吐量 40Mbps 100条安全策略 1024报文长度 数据包转发延迟 2ms 50 密文数据包吞吐量 满负荷数据包丢弃率 0 项目概况 设备介绍 包三 加密装置设备设备性能 500KV 220KV变电站 最大并发加密隧道数 300条100MLAN环境下 加密隧道建立延迟 1s明文数据包吞吐量 40Mbps 50条安全策略 1024报文长度 密文数据包吞吐量 20Mbps 10条安全策略 1024报文长度 数据包转发延迟 2ms 50 密文数据包吞吐量 满负荷数据包丢弃率 0 项目概况 设备介绍 包三 加密装置设备设备功能支持国家电力专用密码算法对传输数据进行保护 保证数据的真实性 机密性和完整性支持基于电力数字证书的认证支持透明模式 网关模式 NAT模式支持基于协议 应用端口的综合报文过滤与访问控制支持电力应用协议的特殊报文进行选择性加密保护符合 IP加密认证装置技术规范 的技术要求 支持不同厂商设备的互通互联支持路由协议报文支持Trunk协议报文 项目概况 设备介绍 包三 加密装置管理系统设备功能支持对全网加密认证网关的安全策略进行查询与设置支持对全网加密认证网关进行密钥初始化和数字证书管理支持对全网加密认证网关的工作模式进行查询与设置支持对全网加密认证网关的隧道状态进行查询与设置实时监控全网任意一台加密认证网关的流量 链路信息等支持对全网加密认证网关的日志信息进行集中管理和审计支持加密认证网关的远程调试与诊断 项目概况 施工界面 示意图 项目概况 施工界面 说明上图虚线椭圆型所圈设备加密装置设备 防火墙设备为云南省调度数据网工程 标2 二次安全防护设备中标单位 南京南瑞 广州中软 本次实施 调试设备 包含这些设备的安装材料运输 设备上架 设备电源连线 到调度数据网路由器和实时交换机 非实时交换机线缆连接 上图调度数据网路由器 实时交换机 非实时交换机为云南省调度数据网工程 标1 云南电网调度数据网工程中标单位 东华软件 本次实施 调试设备 包含这些设备的安装材料运输 设备上架 设备电源连线 业务系统设备到调度数据网实时交换机和非实时交换机线缆连接 云南电网通信分公司负责项目建设相关电源改造 机房环境建设 传输链路建设 电力二次系统简介二次安全防护系统网络拓扑项目概况施工建设