没有合适的资源?快使用搜索试试~ 我知道了~
渑池电厂电力二次系统安全防护方案.doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 24 浏览量
2021-10-12
07:40:56
上传
评论
收藏 431KB DOC 举报
温馨提示
试读
23页
渑池电厂电力二次系统安全防护方案.doc
资源推荐
资源详情
资源评论
.. -
华能渑池热电 XX 公司
电力二次系统平安防护方案
报告人:杨新旭 X 雷
企业简介:华能渑池电厂装机容量 700MW,装机容量为 2×350MW 超临界机组
1 号机于 2016 年 12 月 02 日投产发电,2 号机于 2016 年 12 月 25 日投产发电;渑池电
厂以 2 回 220kv 线路砥柱变 I 线和砥柱变 II 线接入电网。
二次系统平安分区及防护目标
1.1 二次系统平安分区
华能渑池热电 XX 公司平安二次系统分为两个大区:生产控制大区和管理信息大区。
生产控制大区
〔1〕平安区 I:实时控制区
. . word.zl-
.. -
平 安 区 I 的 典 型 系 统 包 括 机 组 DCS 、 烟 气 脱 硫 DCS 、 电 气 网 络 控 制 系 统
ECMS、PMU、NCS、实时平衡调度系统。
控制区内的#1、#2 机组控制系统 DCS、辅网 DCS、网络监控系统 NCS 以及非控制
区电能量采集装置通过防火墙和接口机与厂级监控信息系统 SIS 相连,以向 SIS 中传送数据。
相量测量装置 PMU、远动装置 RTU,无功调压装置 AVC 通过五类双绞线与调度数据网
相连,接入实时子网 VPN1;继电保护及故障信息管理子站、电能量采集装置、实时调度系
统通过五类双绞线与调度数据网相连,接入非实时子网 VPN2。
渑池电厂#1、#2 机励磁系统、继电保护装置是不存在外部网络联系的孤立的业务系
统,不存在平安防护的问题。
平安区 I 是电力二次系统中最重要的系统,平安等级最高,是平安防护的重点与核心。
〔2〕平安区 II:非实时控制生产区
平安区 II 的系统包括厂级监控系统 SIS〔含核心交换机以及各应用效劳器〕、保护及故
障录波信息子站系统、电能量计量系统、烟气脱硫系统等。
平安区 II 的 SIS 系统需采集平安区 I 的 DCS、TDM、ECMS 等系统的信息。
管理信息大区
平安区 III 业务系统或功能模式的典型特征为:实现电力生产的管理功能,但不具备控
制功能,不在线运行,该区包括管理信息系统〔MIS〕、办公自动化系统〔 OA〕客户效劳、
辅助报价决策系统等。该区的外部通信边界为发电企业的广域网络及因特网。
1.2 二次系统平安防护部署方案
遵照国家经贸委第 30 号令?电网和电厂计算机监控系统及调度数据网络平安防护的规
定?以及国家电力监管委员会[2006]34 号文件印发的?电力二次系统平安防护总体方案?等
平安防护方案及招标文件的要求。二次系统平安防护可分为电厂内平安区域间的横向防护以
及广域网边界纵向防护两局部。
1.3 .横向平安防护
二次系统平安防护工程横向平安防护整体部署拓扑图如图 1-1 所示。
. . word.zl-
.. -
图 1-1 渑池电厂二次系统横向平安防护部署拓扑图
. . word.zl-
安全I 区
实时控制区
安全I I 区
非实时控制区
安全I I I 区
管理信息大区
非控制区
入侵防御装置
PMU系统
保护及故障信息子
站
调度数据网
I 区接入交换机
调度数据网
I I 区接入交换机
实时调度系统 电能量计量系统
烟气(脱硫
脱硝)系统
SI S
DF- FW100
防火墙
远动RTU( 含AVC、
AGC功能)
NCS系统五防
工控机
正向隔离装置
工控机
MI S系统 OA系统
#1DCS #2DCS
励磁系统
继电保护
装置
安全稳定
装置
采集
故障录波
电力市场
纵向加密
纵向加密
国际互联网
2M专线
华能国际股份有限
公司
路由器
外网
.. -
1.4 硬件设备部署:
1) 平安 I 区与平安 II 区
在厂站端Ⅰ、Ⅱ区之间部署 1 台防火墙用于平安Ⅰ区和平安Ⅱ区之间的逻辑隔离〔如图 1-2 所示〕。
DF-FW 100
防火墙
保护
安控
PMU
公共设备控制 辅机控制
闸门控制 机组控制
开关站控制
监控系统
监
控
系
统
自动化系统
电能量采集装置
市场报价终端
故障录波装置
安全I区 安全II区
图 1-2 渑池电厂平安区 I 和 II 之间的平安防护部署图
通过以下方式保护网络:
1) 为防火墙配置适当的网络访问规那么,可以防止不同平安区之间的未经授权访问;
2) 通过对网络流量的流量模式进展整型和效劳质量保证措施,保证网络应用的可用性和可靠性;
3) 可以根据时间定义防火墙的平安规那么,满足网络在不同时间有不同平安需求的现实需要;
4) 可以提供用户认证机制,使网络访问规那么和用户直接联系起来,平安更为有效和针对性;
5) 对网络攻击进展检测,可与专业 IDS 系统共同组建一个多级网络检测体系。
目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,状态
检测防火墙具有更高的平安性、系统稳定性、更加显著的功能特性和优异的网络性能,同时具有广泛的
适应能力。在不损失网络性能的同时,能够实现网络平安策略的准确制定与执行,同时有效地抵御来自
非可信任网络的攻击,并具有对防火墙系统平安性能的诊断功能。其内置的入侵检测系统,可以自动识
别黑客的入侵,并对其采取确切的响应措施,有效保护网络的平安,同时使防火墙系统具备无可匹敌的
平安稳定性。
2) 平安 I 区/II 区与平安 III 区
控制区、非控制区和管理信息大区之间采用电力系统专用平安隔离装置隔离,每个区内使用各自区
内的横向互联交换机连接各应用系统网段,同一区内不同业务用不同的虚拟局域网分割,如图 3-3 所示。
. . word.zl-
.. -
生产控制大区
管理信息大区
根据需要划分安全区
生产控制区
安全区1
非控制区
安全区11
逻
辑
隔
离
图 3-3 平安区 I/II 与 III 区之间的平安防护部署图
正向隔离装置应用
专用平安隔离装置〔正向单 bit〕用于从平安区 I/II 到平安区 III 传递数据,是平安区
I/II 到平安区 III 的唯一一个数据传递途径。
3〕网络三层交换机的部署
在平安 I、II、Ⅲ区需布署一台交换机用于各区内设备的组网,统一 I、II、III 区业务的
对外联系和接口。
4〕纵向认证加密装置的部署
纵向认证加密装置用于实时控制区的广域网边界防护,实现本地包过滤功能以及广域网
通信提供认证与加密功能,保证数据传输的 XX 性、完整性。
5〕工控机的部署
在平安Ⅱ区内布署一台工控机,并将其通过Ⅱ区的非实时网段交换机接入到电力专用横
向正向隔离装置的内网口,用于读取和上传电力专用横向正向隔离装置的日志信息。
6〕通信网关机的部署
在平安 I 区、平安 II 区、平安 III 区内各部署一台通信网关机,做为实现平安 I 区、平安
II 区与平安 III 区之间通过物理隔离装置的文件传输的平台
7〕入侵防御装置的部署
在平安 I 区部署一套 IPS 入侵防御系统。IPS 探头主要部署在平安 I 区的边界点。
1.5 软件部署:
1〕、 跨正向物理隔离装置平安传输软件的部署
原站长管理工作站由于经过防火墙、电力专用横向正向隔离装置后,无法接收来自平安 I
区的监控系统数据,因此要在工控机上安装跨物理隔离装置平安文件传输软件〔IT-SFTP〕
. . word.zl-
剩余22页未读,继续阅读
资源评论
wsbhm62
- 粉丝: 7
- 资源: 21万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功