光伏电站二次系统安全防护措施「光伏电站安全隐患排查」

今天带来光伏电站二次系统安全防护措施「光伏电站安全隐患排查」，关于光伏电站二次系统安全防护措施「光伏电站安全隐患排查」很多人还不知道，现在让我们一起来看看吧！

光伏电站二次系统安全防护

电力二次系统安全防护具有系统性和动态性的特点。系统性要求在电力二次系统安全防护实施中严格遵循电力二次系统的整体安全防护策略，兼顾各个业务系统的完整性，在采取有效技术措施的同时强化安全管理。动态性是指以安全策略为核心的动态安全防护模型，设计思想是将安全防护看作一个动态的过程，安全策略应适应网络的动态性和对威胁认识的提高动态过程是由安全分析与配置、实时监测、报警响应、审计评估等步骤组成的循环过程。

一、防护目标及重点

电力二次系统安全防护的目标是防止通过外部边界发起的攻击和侵入，防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作，保障电力系统的安全稳定运行。

电力二次系统安全防护的重点是抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击，尤其是集团式攻击，重点保护电力实时闭环监控系统及调度数据网的安全，防止由此引起的电力系统事故，从而保障电力系统的安全稳定运行。

电力二次系统安全防护涉及安全策略、安全实施、入侵检测和所有边界安全的要求;保证对敏感电力系统设备的认证访问，对敏感市场数据的授权访问;提供准确的设备运行及故障的信息，具备关键系统的备份和重要事件的检测和审计能力。

二、电力二次系统安全防护策略

电力二次系统安全防护的总体策略为"安全分区、网络专用、横向隔离、纵向认证"。

（一）安全分区

电力生产企业内部基于计算机和网络技术的应用系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称安全区Ⅰ）和非控制区（又称安全区Ⅱ）。

在满足安全防护总体原则的前提下，可以根据应用系统实际情况，简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

（二）网络专用

电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。

安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。

（三）横向隔离

横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施，是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。

控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。

采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。

（四）纵向认证

纵向认证是采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。

纵向加密认证是电力二次系统安全防护体系的纵向防线，采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调控中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。

三、电力二次系统安全区域的划分

安全分区是电力二次系统安全防护体系的结构基础。发电企业、电网企业和供电企业内部基于计算机和网络技术的应用系统，原则上划分为生产控制大区和管理信息大区生产控制大区可以分为控制区（又称安全区Ⅰ）和非控制区（又称安全区Ⅱ）。

（一）生产控制大区的安全区划分

控制区（安全区Ⅰ）。控制区中的业务系统或其功能模块（或子系统）的典型特征为;是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。

非控制区.（安全区）。非控制区中的业务系统或其功能模块的典型特征为∶是由力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或其功能模块联系紧密。

（二）管理信息大区的安全区划分

管理信息大区是指生产控制大区以外的电力企业管理或生产业务系统的集合。电力企业可根据具体情况划分安全区，但不应影响生产控制大区的安全。

四、业务系统分置原则

根据业务系统或其功能模块的实时性、使用者。 主要功能。设备使用场所。各业务系统间的相互关系、广域网通信方式以及对电力系统的影响程度等，按以下规则将业务系统或其功能模块置于相应的安全区∶

（1）实时控制系统，有实时控制功能的业务模块以及未来有实时控制功能的业务系统应置于控制区。

（2）应当尽可能将业务系统完整置于一个安全区内。当业务系统的某些功能模块与此业务系统不属于同一个安全分区内时，可将其功能模块分置于相应的安全区中，经过安全区之间的安全隔离设施进行通信。

（3）不允许把应当属于高安全等级区域的业务系统或其功能模块迁移到低安全等级区域，但允许把属于低安全等级区域的业务系统或其功能模块放置于高安全等级区域。

（4）对不存在外部网络联系的孤立业务系统，其安全分区无特殊要求，但需遵守所在安全区的防护要求。

（5）对小型县调、配调、小型申电厂和变电站的二次系统可以根据具体情况不设非控制区，重点防护控制区。

五、光伏电站二次系统安全区的划分

（一）安全区Ⅰ

光伏申站的控制区主要包括光伏电站运行监控系统。发电功率控制系统。无功由 压控制系统、综合自动化系统、继电保护和相量测量装置（PMU）等业务系统和功能模块。

（二）安全区Ⅱ

光伏电站的非控制区主要包括光伏电站功率预测系统、电能量采集装置和故障录波装置、保护信息子站等业务系统和功能模块。

（三）管理信息大区

光伏电站的管理信息大区主要包括天气预报系统和生产管理信息系统（MIS）等业务系统和功能模块。