电力二次系统安全防护的学习

电力二次系统安全防护的学习1．通信电路分三级管理：一级通信电路：国家电力调度中心到各跨省电网网调和直属省网省调的电路，以及跨大区网间的电路；二级通信电路：跨省电网网调到省调和直属厂、站的电路，以及网内跨省电路；三级通信电路：省调到地调的电路，以及其他电路。2．电网调度自动化管理、通信网的通信调度管理与电网调度管理体制全都，一般分五级管理：国家调度；大区网调；省级调度；地区调度；县级调度。

调度数据网与综合数据网最大的区分是承载业务的不同，前者是平安分区一、二区业务，调度自动化、电量采集、爱护故障信息等，综合数据网是平安分区三、四区业务，包括视频监控、OA等；两个网络均采纳IP技术体制，使用MPLSVPN进行业务平安隔离。调度数据网一般架构在传输网之上，不同站点路由器设备之间采纳2M/155M传输通道，综合数据网则不肯定，可用传输通道，也可采纳裸光纤直连，一般状况综合数据网的容量和传输带宽都要远高于调度数据网，究竟是视频图像业务带宽大嘛。调度数据网是用在生产方面的。如电力调度中心采集数据和命令所采纳的远动通道、计量部门采集电表数据所用的计量通道等业务；综合数据网就是指非生产方面的，如变电站办公网络、变电站的远程视频系统、变电站门禁报警系统等。

1总则电力二次系统平安防护的总体原则是“平安分区、网络专用、横向隔离、纵向认证”。

2平安防护方案<imgalt=““src=“/UploadFiles/2015003/201510/Tech/20151018135915.png”/

图1电力二次系统平安防护总体方案的框架结构2.1平安分区

原则上划分为生产掌握大区和管理信息大区。生产掌握大区可以分为掌握区（又称平安区Ⅰ）和非掌握区（又称平安区Ⅱ）。2.1.1生产掌握大区的平安区划分

（1）掌握区（平安区Ⅰ）

掌握区中的业务系统或功能模块（或子系统）的典型特征为；是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是平安防护的重点与核心。

掌握区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动掌握系统等，其主要使用者为调度员和运行操作人员，数据传输实时性为毫秒级或秒级，其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括采纳专用通道的掌握系统，如：继电爱护、平安自动掌握系统、低频（或低压）自动减负荷系统、负荷管理系统等，这类系统对数据传输的实时性要求为毫秒级或秒级，其中负荷管理系统为分钟级。

（2）非掌握区（平安区Ⅱ）

非掌握区中的业务系统或其功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备掌握功能，使用电力调度数据网络，与掌握区中的业务系统或功能模块联系紧密。

非掌握区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电爱护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等，其主要使用者分别为电力调度员、水电调度员、继电爱护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非掌握区的数据采集频度是分钟级或小时级，其数据通信使用电力调度数据网的非实时子网。2.1.2管理信息大区的平安区划分

管理信息大区是指生产掌握大区以外的电力企业管理业务系统的集合。电力企业可依据详细状况划分平安区，但不应影响生产掌握大区的平安。2.1.3生产掌握大区内部平安防护要求

（1）禁止生产掌握大区内部的E-Mail服务，禁止掌握区内通用的WEB服务。

（2）允许非掌握区内部业务系统采纳B/S结构，但仅限于业务系统内部使用。允许供应纵向平安WEB服务，可以采纳经过平安加固且支持HTTPS的平安WEB服务器和WEB扫瞄工作站。

（3）生产掌握大区重要业务（如SCADA/AGC、电力市场交易等）的远程通信必需采纳加密认证机制，对已有系统应逐步改造。

（4）生产掌握大区内的业务系统间应当实行VLAN和访问掌握等平安措施，限制系统间的直接互通。

（5）生产掌握大区的拨号访问服务，服务器和用户端均应使用经国家指定部门认证的平安加固的操作系统，并实行加密、认证和访问掌握等平安防护措施。

（6）生产掌握大区边界上可以部署入侵检测系统IDS。

（7）生产掌握大区应部署平安审计措施，把平安审计与平安区网络管理系统、综合告警