二次安全防护预案(2016年修改版)

1、浙江琥珀（安吉）燃机热电有限公司 琥珀(安吉)燃机热电有限公司 二次系统安全防护预案编制：张坤 审核：沈强 徐立 批准：盛树浩方案版本：2015版发布部门：浙江琥珀（安吉）燃机热电有限公司技术管理部发布日期：2015年6月1日1总则1.1 编制目的电力二次系统是电力生产系统的重要组成部分。随着通信和网络技术的发展，也随着各级管理的深入，接入电力二次系统各安全区域的相关控制和管理系统也越来越多，对电力二次系统的安全性、可靠性、实时性都提出了更高的要求。为了加强浙江琥珀（安吉）燃机热电有限公司（以下简称吉能电厂）电力二次系统的安全防护，特根据吉能电厂实际情况制定本方案。1.2 编制依据依据国家电力

2、监管委员会5号令电力二次系统安全防护规定、电监安全200634号电力二次系统安全防护总体方案、附件5发电厂二次系统安全防护方案及国家电网公司印发的国家电网公司应急方案编制规范 (国家电网安监200798号)的要求，结合吉能电厂的有关规定制定本方案。1.3 适用范围吉能电厂二次系统安全防护相关问题的处理。1.4工作总原则在二次系统安全防护方案中，必须遵循“预防为主、安全第一”的方针，贯彻“集中领导、统一指挥”的总原则。2 方案概况2.1吉能电厂二次系统安全防护分区2.1.1吉能电厂二次系统安全防护总体示意图2.1.2吉能电厂的控制区（I区）安全区是实时控制区，安全保护的重点与核心。

3、控制区中的业务系统或功能模块的典型特征为：是电力生产的重要环节、安全防护的重点与核心；直接实现对一次系统运行的实时监控；纵向使用电力调度数据网络或专用通道。吉能电厂控制区的典型系统包括以下业务系统和功能模块：机组控制系统DCS、调速系统和自动发电控制功能AGC、励磁系统和无功电压控制功能、网络监控系统NCS、各种控制装置、五防系统等。2.1.3吉能电厂的非控制区（II区）安全区是非控制生产区。非控制区中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节；在线运行，但不具备控制功能；使用电力调度数据网络，与控制区中的系统或功能模块联系紧密。2.1.3.

4、2非控制区的典型系统包括以下业务系统和功能模块：电能量采集装置、继电保护管理终端、故障录波装置、调度指令下发系统等。2.2吉能电厂二次系统安全防护的总体要求2.2.1吉能电厂二次系统安全的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对发电厂二次系统发起的恶意破坏和攻击，以及其他非法操作，防止发电厂电力二次系统瘫痪和失控，并由此导致的发电厂一次系统事故。2.1.2吉能电厂二次系统安全防护工作的重点对象是生产控制大区（I区和II区）的各个业务系统。2.2.3电力二次系统安全的重要措施是强化发电厂二次系统的边界防护。具体为：同属于控制区的各机组监控系统之间、机组监控系统与公用控制系统之间，尤其与

5、输变电部分控制系统之间应当采用必要的访问控制措施；在电力调度数据网边界配置纵向加密认证装置或纵向加密认证网关进行安全防护。2.3吉能电厂二次系统安全防护的具体原则2.3.1确保电力监控系统及电力调度数据网络等电力二次系统的安全，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力二次系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。防止未经授权用户访问系统或非法获取信息和侵入以及重大的非法操作。2.3.2业务系统置于安全区的原则：1、不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域；但允许把属于低安全等级区域的业务系统或其功能模

6、块放置于高安全等级区域；2、在满足安全防护总体原则的前提下，可以根据应用系统实际情况，简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。2.4吉能电厂二次系统安全区的防护要求：2.4.1生产控制大区高于管理信息大区；控制区中关键业务系统安全等级34级；禁止生产控制大区内部的E-Mail服务；禁止控制区内通用的web服务；生产控制大区远程通信必须采用加密认证机制；生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通；生产控制大区的拨号访问服务；生产控制大区边界上可以部署IDS；生产控制大区应部署安全审计措施；生产控制大区应该统一部署恶意代码防护

7、系统；离线升级。2.4.2横向隔离的要求：两种类型的隔离；两种型号的隔离产品；严格禁止E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置，仅允许纯数据的单向安全传输逻辑隔离采用国产防火墙；禁止安全风险高的通用网络服务穿越该边界。2.4.3纵向认证的要求：采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护；电力专用纵向加密认证装置或者加密认证网关；实现双向身份认证、数据加密和访问控制，加密认证网关除具有加密认证装置的全部功能外，实现对电力系统数据通信应用层协议及报文的处理功能；新上的系统

8、应支持加密认证的功能。2.5吉能电厂二次系统安全防护的技术措施2.5.1划分生产控制大区和管理信息大区避免通过广域网形成不同安全区的纵向交叉连接。2.5.2电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。2.5.3生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离,吉能电厂目前无管理信息大区。2.5.4在生产控制大

9、区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，吉能电厂目前无生产控制大区与广域网相联。2.5.5安全区边界应当采取必要的安全防护措施，禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。2.5.6依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系统，生产控制大区中的重要业务系统应当采用认证加密机制。2.6吉能电厂二次系统安全防护的管理措施2.6.1“谁主管谁负责，谁运营谁负责”，将吉能电厂二次系统安全防护工作及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。2.6.2建立电力二次系统安全评估制度，采取

10、以自评估为主、联合评估为辅的方式，将电力二次系统安全评估纳入电力系统安全评价体系。2.6.3建立健全电力二次系统安全的联合防护和应急机制，制定应急预案。电力调度机构负责统一指挥调度范围内的电力二次系统安全应急处理。2.6.4电力二次系统相关设备及系统的开发单位、供应商应以合同条款或保密协议的方式保证其所提供的设备及系统符合本规定的要求，并在设备及系统的生命周期内对此负责。2.6.5吉能电厂二次系统安全防护实施方案经过上级信息安全主管部门和相应电力调度机构的审核，方案实施完成后应当由上述机构验收。3吉能电厂二次系统安全防护的应急预案3.1应急力量的组成、各自的应急能力及分布情况：应急力量由当班值

11、长、当班运行人员、检修人员等组成。现场运行人员主要负责巡视检查设备、在值长的指令下进行电力二次系统的恢复、检查及监视故障情况和影响范围，同时应做好现场汇报联系工作，检修人员负责配合运行人员处理恢复过程中遇到的设备缺陷，保证在最短的时间内恢复电力二次系统运行。3.2上级应急机构或社会的可用应急资源情况：本省电力调度中心与集团归口部门。3.3危险分析3.3.1吉能电厂正常运行方式：吉能电厂正常运行有属于发电厂的控制区（I区）的机组控制系统DCS、调速系统和自动发电控制功能AGC、励磁系统和无功电压控制功能、网络监控系统NCS、各种控制装置、五防系统等；另正常运行属于发电厂的非控制区（II区）的电能

12、量采集装置、继电保护管理终端、故障录波装置、调度指令下发系统等。3.3.2可能造成吉能电厂二次系统安全防护危险源主要有：自然灾害袭击，如水灾、火灾、地震和雷击 ；电子化系统故障，如硬件故障、软件故障、网络故障和电力系统故障、职员无意识行为，如编程错误、误操作、无意损坏和无意泄密；人为蓄意破坏，如非法访问、非法调用、篡改数据，病毒，恶意攻击。3.3.3电力二次系统故障对设备造成的危害和应采取的措施：因黑客、病毒、恶意代码等各种形式的恶意破坏和攻击以及系统设备故障，可能造成电力二次系统的崩溃或瘫痪，以及由此可能造成电力系统事故或大面积停电事故；鉴于电力二次系统故障的危害性我们应建立健全分级负责的安

13、全防护责任制度，确定单位主要负责人为安全防护第一责任人；制定安全应急措施和故障恢复措施，在关键部位配备攻击监测或告警设施，提高安全防护的主动性；进行数据与系统备份及设备备用；对主机进行安全配置、安全补丁、加固；对传统专线RTU，保护装置，安控装置通道上数据进行加密保护，防止篡改数据，3.4应急保障3.4.1机构与职责吉能电厂设立安全紧急处理小组（以下简称紧急处理小组） 组 长：总经理(盛树浩)副组长：安全专职（徐立） 成 员：技术管理部经理（葛海春）、生产发电部（韩国华）、当值值长、办公室主任（付立芳） 3.4.2各部门主要负责人联系电话见附件。3.5管理职责3.5.1安全紧急处

14、理小组对电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等内容全面负责，严格遵守吉能电厂二次系统安全防护规定的要求。制定公司二次系统安全防护技术规范和各项管理制度，并监督实施。建立健全公司二次系统安全联合防护和应急机制，制定应急方案与考核办法，应对电力二次系统各种突发事故。负责公司电力二次系统安全事件的考核。3.5.2安全专职负责吉能电厂二次系统安全防护应急时协调监督各应急部门人员到位监督方案的执行督促方案的编制组织、督促方案的演习3.5.3生产技术管理部

15、负责吉能电厂二次系统安全防护事故中的应急指挥和处理根据现场情况，保障对备品备件的供应负责制定实施电力二次系统内各项业务系统的具体安全防护技术措施。负责公司电力二次系统安全措施的实施监督。负责公司电力二次系统安全事件的组织调查和上报。负责控制区（I区）各个生产系统和非控制区（II区）的电能量采集装置、故障录波装置等生产系统的日常维护和定期检测，及时发现不安全问题或异常情况，并负责检修维护处理。负责相关二次系统备品备件的保管和充实，以确保监控系统的安全正常运行。负责相关二次系统安全防护措施的具体实施工

16、作。负责全厂应急事故方案的演习0负责监视控制区（I区）各个生产系统的运行状况，及时发现不安全事件或异常情况。1当发现控制区生产系统出现不安全事件或异常情况时，发现人员应立即将事件通知值长，并按运行规程及时做好相关问题的应急处理。2根据发现的电力二次系统安全事故情况，当班值长立即通知公司领导及相关部门并向省调通信中心报告，同时决策和启动电力二次系统防护应急方案，统一组织和指挥紧急应变工作。3负责监视非控制区（II区）的电力市场相关系统的运行状况，及时发现不安全事件或异常情况，并及时通知生产技术部处理。3.6办公室的应急职责3.

17、6.1应急中负责对外联系工作。3.6.2配合好生产发电部的应急工作，做好相关辅助应急措施。3.7物资与装备物资与装备（见附件）3.8通信与信息事故发生后，运行值班人员应利用已有的调度电话、程控电话、对讲机进行现场事故汇报和指挥应急处理。3.9应急人员培训对参与全厂停电事故应急响应的人员应加强业务培训，熟悉本方案。3.10方案的演练本方案每两年进行一次全面的演练，每年进行一次组合演练。3.11员工教育对员工开展针对性安全教育、使其了解存在的危险和处理办法。3.12互助协议本方案无互助协议3.13应急响应3.13.1接警与通知吉能电厂二次系统安全防护事故接警电话为当班值长值班电话：

1813.1.2当值长接到事故报警后，应立即做到迅速准确的询问事故的以下信息：事故类型、发生时间、发生地点；事故的原因、性质、范围、严重程度；报告部门、联系人员及通信方式；当值值长应根据汇报和事故信息，判断事故性质并向省调和安全紧急处理小组联系，汇报。3.14指挥与控制3.14.1当值值长接到事故报警后，应立即根据事故报告的信息，依据公司的突发事件应急管理规定确定该事故的响应级别。3.14.2由当值值长负责统一指挥整个事故的处理过程。3.14.3所有运行岗位值班人员应服从值长的调度命令，及时将处理情况分阶段向值长汇报3.14.4根据响应级别相关安全紧急处理小组人员应迅速

19、到达现场，按照值长的调度命令做好协助工作。3.15报告与公告事故发生后由当值值长负责向省调汇报；办公室应安排专人随时向值长了解整个事故的处理过程，向上级汇报并经集团归口部门同意后对政府部门及外界公告。3.16事态监测与评估由当值值长负责对吉能电厂二次系统安全防护事故的发展势态及影响及时进行动态的监测，并对监测信息做出初步评估，将各阶段的事态监测和初步评估的结果快速反馈给吉能电厂二次系统安全防护事故安全紧急处理小组和新闻中心，为整体的应急决策提供依据。3.17公共关系事故发生后，办公室负责接受新闻媒体采访、接待受事故影响的相关方和安排公众的咨询，负责事故信息的统一发布，其他部门及员工未经授权不得

20、对外发布事故信息或发表对事故的评论。3.18应急人员安全 参加应急处理的人员必须严格执行中华人民共和国水利电力部颁布的电业安全工作规程 的规定，保证应急人员免受事故的伤害。3.19抢险3.19.1应急处置基本原则快速响应：在网络出现异常时，第一时间作出响应。运行值班人员7*24小时值班，厂家24小时内到现场；尽快恢复：在系统出现异常后，采用冗余技术和启用备品等方法，使系统尽快恢复；缩小影响：尽可能将影响限制在最小的范围之内；定位原因：在排除故障后，必须找出导致故障的原因，并进行整改，使故障不再重现。3.20应急处理流程故障现象观察

21、故障信息收集经验判断和理论分析列出各种可能原因对每一原因实施排查故障排除？恢复实施方案前的网络状态故障排除过程文档化循环1循环2NY所有线路切至备用设备3.21电力调度数据网络通信设备故障应急处理3.21.1应急处置响应分级根据吉能电厂电力调度数据网事故的危害程度和影响范围，将事故分为I级、II级、III级故障 I级故障：.1电力调度数据网系统出现紧急故障，导致电力调度数据网系统及主备通道均无法运行，全面瘫痪，网络不能通信。.2电力调度数据网系统出现紧急故障，核心设备无法正常启动，导致电力调度数据网系统及主备通道均无法运行，网络通

22、信中断。.3电力调度数据网系统与省网调系统主备通道通讯故障，电厂与省网数据交换中断。 II级故障：.1电力调度数据网系统出现紧急故障，电力调度数据网系统异常及主通道无法运行，导致冗余功能丧失，系统稳定性受到影响。.2电力调度数据网系统出现紧急故障，核心设备无法正常启动，电力调度数据网系统异常及主通道无法运行，导致冗余功能丧失，系统稳定性受到影响。.3电力调度数据网系统与省网调系统主通道通讯故障，电力调度数据网系统异常及主通道均无法运行，导致冗余功能丧失，系统稳定性受到影响。 III级故障：电力调度数

23、据网极少部分设备或非核心设备无法运行或故障，造成网络通信及数据异常。响应程序.1若发现数据网络通信设备故障，应立即通知当班值长，并做好故障设备的监控，当班值长应立即通知安全紧急处理小组及相关部门的领导，并向省调通信中心报告。.2电仪检修人员应立即对故障设备进行检查分析，若设备由于故障已停止运行，并造成调度数据网络中断或应用服务中断时，应通知当班值长、省调自动化科和通信科，并负责事故抢修处理和联系。若调度数据网络和应用服务正常运行时，应通知省调自动化科和通信科，联系时间替换故障设备。.3启动应急响应程序，各级别的响应情况如下：I级故

24、障：组长、副组长和所有成员必须到现场；II级故障：副组长和所有成员必须到现场；III级故障：副组长和部分成员必须到现场。3.22处置措施3.22.1 I级故障处置措施出现故障，以最短时间将线路切到备用设备上去；通过故障检查获得网络故障现象，确认满足方案启动条件，启动此方案流程；检查是否硬件、电源故障；直接进入方案启动条件，对设备进行更换；对设备及链路进行检测，作连通性检测；排除线路上的问题，异常数据流量问题；对故障设备进行配置分析，通过分析完成对故障设备的恢复；依据故障信息对设备作经

25、验性判断和理论分析，对相关原因实施排错； 事故分析，整理排除过程的记录和文档； 损失评估；0故障报告、归档；2由技术管理部形成事故分析报告，分析事故原因，修正方案处理流程并归档。3.22.2 II级故障处置措施出现故障，以最短时间将线路切到备用设备上去；通过故障检查获得网络故障现象，确认满足方案启动条件，启动此方案流程；检查是否硬件、电源故障；直接进入方案启动条件，对设备进行更换；对设备及链路进行检测，作连通性检测；对通讯链路进行专项检查，检测链路点对

26、点连通性，检查端口状态是否down，检查端口是否存在大量错误记录；联系通讯部门进行链路打环测试；排除线路上的问题，异常数据流量问题；对当前配置进行分析，首先分析接口状态信息；对故障设备进行配置分析，通过分析完成对故障设备的恢复；依据故障信息对设备作经验性判断和理论分析，对相关原因实施排错； 0事故分析，整理排除过程的记录和文档； 1损失评估；2故障报告、归档；3由技术管理部形成事故分析报告，分析事故原因，修正方案处理流程并归档。3.22.3 III级故障处置措施3.2

27、2.3.1出现故障，具有冗余接入设备的应以最短时间将线路切到备用设备上去；通过故障检查获得网络故障现象，确认满足方案启动条件，启动此方案流程；检查是否硬件、电源故障；直接进入方案启动条件，对设备进行更换；对设备及链路进行检测，作连通性检测；对通讯链路进行专项检查，检测链路点对点连通性，检查端口状态是否down，检查端口是否存在大量错误记录；联系通讯部门进行链路打环测试；排除线路上的问题，异常数据流量问题；对故障设备进行配置分析，通过分析完成对故障设备的恢复；依据故障信息对设备作经验性

28、判断和理论分析，对相关原因实施排错； 事故分析，整理排除过程的记录和文档； 0损失评估；1故障报告、归档；3由系统维护部门形成事故分析报告，分析事故原因，修正方案处理流程并归档。3.22.4电力网络计算机监控系统NCS设备故障应急处理若电力网络计算机监控系统设备故障，应立即通知当班值长，并做好机组和网控系统运行工况的监控，当班值长应立即通知安全紧急处理小组及相关部门领导，并向省调通信中心报告故障信息。应保证升压站的设备在自动控制系统失控时能正常安全操作，避免发生重大设备事故，并保证与省、地调度中心通讯的正常畅通。3

29、.22.4.2若一台操作员站出现故障，运行人员应立即切换到另一台操作员站工作，并监视系统运行状况是否正常；通知检修人员进行故障处理。若两台操作员站同时出现故障造成控制系统瘫痪时，一般情况下一次设备不允许进行远方合分操作。若设备需进行紧急操作，运行人员必须至现场进行操作，先检查继保室监控柜工作是否正常，如就地监控柜正常运行，则在就地监控屏上按运行要求通过人工按键实现对断路器的一对一操作。如监控柜发生异常，则运行人员到就地开关操作箱上对相关开关、闸刀进行就地操作。当电力网络计算机监控系统设备故障后，检修维护人员应在接到相关通知后迅速赶往现场，并对故障现象进行分析判断

30、，若监控系统在设备故障情况下能维持正常运行时，检修人员应立即对故障设备进行隔离维修，恢复设备运行。当电力网络计算机监控系统发生故障后，检修人员应检查确定是软件故障还是硬件故障。若是软件故障，重新启动操作员站服务器，检查是否可以启动恢复。若仍无法恢复，属硬件故障，则进行检修维护。当电力网络计算机监控系统中的部分遥测、遥信量与现场实际不一致时，运行人员应及时通知检修人员进行检查处理。当电量采集装置ERTU故障时，应立即通知当班值长，运行人员现场对各个关口电能表当前电量进行读取并做好记录，当班值长应立即通知公司及相关部门领导，并向省调通信中心报告故障信

31、息。以防止全厂机组关口电能表电量采集丢失，保证电量结算的准确性。若电力网络计算机监控系统和电量采集装置ERTU交直流电源失去后，运行人员应在最短时间内恢复供电；若因设备电源模块发生故障，检修人员应及时进行检修。电源恢复正常后，远行人员应及时将关口电能表当前显示值人工重新置入ERTU。3.22.5电力调度数据网专用路由器和交换机设备故障应急处理 I、II区三级数据网至省调三级数据网路由器采用冗余交叉接线，如发生一台路由器故障时应能自动切换。当路由器和交换机发生故障时，发现人员应立即通知当班值长，当班值长应立即通知安全紧急处理小组及相关部门领导并向省

32、调通信中心报告故障信息。检修人员应对故障现象进行初步分析判断，若交换机损毁应立即进行更换，若路由器问题应由省调自动化科派员进行抢修。3.22.6 计算机病毒、恶意代码及网络攻击应急处理 若发现或怀疑二次系统感染计算机病毒或恶意代码攻击，应立即通知当班值长，当班值长应立即通知技术管理部启动全网查杀病毒和恶意代码检测。 技术管理部确认二次系统内感染病毒或受恶意代码攻击，应立即通知当班值长，当班值长应立即通知安全紧急处理小组及相关部门领导，并向省调通信中心报告。 若病毒或恶意代码无法清除，影响电力调度业务正常运行时，检修人员应立即向当班值长汇报，当班值

33、长根据事件可能影响的调度业务，通知省调自动化科进行相关业务的中断工作，迅速隔离事件源，对感染的系统进行恢复。若控制系统受到影响无法正常运行时，检修人员应立即做好病毒或恶意代码源的隔离工作，并进行系统的恢复工作。若病毒或恶意代码无法清除且仅影响部分操作员站正常运行时，检修人员将受影响操作员站关闭，从网络上脱离，避免故障的扩大。3.22.7 调度数据或机组控制系统DCS数据异常应急处理 若发现调度数据或机组控制系统数据异常，应立即通知当班值长，当班值长立即通知安全紧急处理小组及相关部门领导，并向省调通信中心报告。 如果发生AGC等调度数据异常或中断，应联系省调进行相关调度业务的中断处理，技术管理部及时联系省调自动化科和通信科进行数据异常现象的分析检查，确定故障原因。在故障查找中，首先检查相关的业务系统软件和主机的运行状况，根据故障原因恢复业务软件运行或对系统进行恢