光伏電廠公路防護網廠家定制(光伏電廠公路防護網廠家定制電話)

光伏電廠公路防護網廠家定制(光伏電廠公路防護網廠家定制電話)

一、總則

為滿足風電、光伏快速發展和大規模并網需要，有效治理并網新能源場站電力監控系統涉網安全防護問題，指導公司調控機構做好涉網安全防護技術監督，制定本方案。

本方案是在《電力監控系統安全防護總體方案》、《發電廠監控系統安全防護方案》（國能安全〔2015〕36 號）等行業文件的基礎上，補充完善了新能源場站第三方邊界、終端通信安全、安全接入區、監測應急等方面的要求，適用于并網風電場、光伏電站，以及通過數據網絡與其生產控制大區相連接的匯集站及集控中心。

方案未及內容，應遵照《中華人民共和國網絡安全法》、

《電力監控系統安全防護規定》、《信息安全等級保護管理辦法》、《電力監控系統安全防護總體方案》等國家法律法規和行業規范執行。

二、安全分區及邊界防護1．安全分區

新能源場站電力監控系統原則上劃分為生產控制大

區和管理信息大區。根據業務功能可能對一次設備造成的影響，生產控制大區可進一步劃分為控制區（安全Ⅰ區）和非控制區（安全Ⅱ區），管理信息大區可進一步劃分為安全Ⅲ區和安全Ⅳ區。生產控制大區內業務系統使用公用通信網絡、無線通信網絡以及其他安全不可控網絡與終端進行通信的，應設立安全接入區。

新能源場站電力監控系統原則上應嚴格遵循安全分區的部署要求。對于裝機規模較小的場站，可在保持生產控制大區與管理信息大區之間物理隔離的前提下，簡化兩個大區內部的分區，但低安全區的系統和功能應按照高安全等級分區的要求進行管理。

不同安全分區的交換機或相當功能的網絡設備，必須單獨使用，嚴禁通過劃分 VLAN 的方式將不同安全分區的設備接入同一交換機。

不同分區的設備必須連接到不同的網段，嚴禁主機設備通過雙網卡等手段實現跨區連接。同一安全區內部不同業務系統進行數據交互時，應采取 VLAN 劃分、訪問控制等安全措施，控制交互的規模和頻度，禁用 E-Mail、RLOGIN、FTP 等公共服務，控制區內禁止通用的 WEB 服務。

不同分區的設備不宜安裝在同一屏柜內，確需組裝在同一屏柜的，設備及網線必須要有明顯規范的分區標識。

2．橫向邊界防護（1）生產控制大區與管理信息大區的邊界防護生產控制大區與管理信息大區之間必須采取物理隔離措施，部署經國家指定部門檢測認證的電力專用橫向單向隔離裝置。信息由生產控制大區傳輸到管理信息大區必須經過正向型隔離裝置，信息由管理信息大區傳輸到生產控制大區必須經過反向型隔離裝置。（2）安全Ⅰ區與安全Ⅱ區之間的邊界防護生產控制大區分設安全Ⅰ區與Ⅱ區的，Ⅰ區與Ⅱ區之間的數據通信應采取邏輯隔離措施，邊界上應部署硬件防火墻或功能相當的設備。防火墻相關功能、性能必須經過國家指定機構的認證和檢測。（3）安全Ⅲ區與安全Ⅳ區之間的邊界防護安全Ⅲ區與安全Ⅳ區之間的邊界處必須部署硬件防火墻或功能相當的設備，防火墻的安全策略應采用白名單方式，禁止開啟與業務無關的地址和服務端口。與生產管理無關的辦公業務或生活網絡應劃分到安全Ⅳ區。

3．縱向邊界防護

（1）新能源場站生產控制大區在調度數據網入口的縱向邊界，必須配備電力專用縱向加密認證裝置，實現雙向身份認證、訪問控制和數據加密?？v向加密認證裝置的隧道配置策略應細化至 IP 地址和服務端口，保證與主站的數據通信均為密通狀態，并全面關閉不必要的服務和端口。場站側縱向加密認證裝置必須使用調控機構簽發的調度數字證書，并接入調控機構網絡安全管理平臺。

（2）新能源發電企業若采用匯聚站對區域內多個場站進行集中監視時，應通過專用網絡組網并在場站縱向連接處部署電力專用縱向加密認證裝置或加密認證網關。

（3）新能源場站要制定運行管理制度，加強縱向加密認證裝置的操作員卡（包括主卡及備卡）、Ukey 等身份認證工具的使用與管理，保證調試工作結束后及時收回并妥善保管相關卡證。

（4）接入調度數據網的路由器、交換機必須采取有效的安全加固措施，關閉通用網絡服務和網絡邊界的 OSPF 路由功能，避免使用默認路由，采用安全增強的 SNMP V2 及以上版本的網管協議，密碼強度應滿足國家規定要求，開啟訪問控制列表等安全措施。

4．其他網絡邊界的安全防護

新能源場站與遠程集控中心、遠程監視中心、設備制造廠商的縱向邊界安全防護實施方案必須經調控機構審核， 安全設備配置策略必須經過現場驗證確認安全。

（1）新能源發電企業遠程集控中心與站端監控系統的數據傳輸通道，必須在物理層面實現與其他數據網絡的安全隔離，應采用基于 SDH/PDH（推薦使用 SDH）不同通道、不同光波長、不同纖芯等方式的專用獨立網絡。當采用 EPON、GPON 或光以太網絡等技術時應使用獨立纖芯或波長。場站與集控中心縱向連接處應當設置經國家指定部門檢測認證的電力專用加密認證裝置或者加密認證網關，實現雙向身份認證、訪問控制和數據加密。遠程集控中心監控系統嚴格遵守《電力監控系統安全防護規定》及其配套文件的要求，并按照等保三級系統進行規劃、建設、運維和管理。

（2）新能源企業遠程監視中心（具備場站數據的采集、監視和收集功能，但不具備控制功能），原則上應遵循與遠程集控中心相同的網絡和安全防護要求。如若通過運營商專用網絡或 VPN 通道進行數據傳輸，必須在場站生產控制大區出口處部署電力專用橫向單向隔離裝置（正向型），實現數據從生產控制大區向外部的安全單向傳輸，禁止數據從外部向生產控制大區傳輸、開展遠程控制和運維業務。

（3）嚴格控制新能源場站生產控制大區與設備廠商之間的網絡連接。確需將設備運行數據發送給設備廠商的，需在明確數據使用范圍的前提下，設立專用服務器，并經過電力專用正向型隔離裝置實現數據從生產控制大區向外部的安全單向傳輸。禁止數據從外部向生產控制大區傳輸、開展遠程控制和運維業務。

（4）網絡邊界部署的安防設備（防火墻、正向隔離裝置、縱向加密認證裝置等）應按照較小化原則配置安全策略。

（5）嚴格保證與調控機構通信的采集服務器的獨立性，嚴禁將其用于給非調控機構的其他單位轉發數據。

5．就地終端接入防護

（1）新能源場站須加強戶外就地采集終端（如風機控制終端、光伏發電單元測控終端等）的物理防護，強化就地采集終端的通信安全。站控系統與終端之間網絡通信應部署加密認證裝置，實現身份認證、數據加密、訪問控制等安全措施。終端連接的網絡設備需采取 IP/MAC 地址綁定等措施，禁止外部設備的接入，防止單一風機或光伏發電單元的安全風險擴散到站控系統。

（2）生產控制大區嚴禁任何具有無線通信功能設備的直接接入。站控系統與就地終端的連接使用無線通信網或者基于外部公用數據網的虛擬專用網絡（VPN）等的，應當設立安全接入區。安全接入區與生產控制大區連接處應部署電力專用單向隔離裝置，實現內外部的有效隔離。

三、綜合安全防護管理1．新能源場站應按照現場實際的網絡拓撲和安全設備部署情況，編制新能源場站電力監控系統安全防護實施方案并提交審核，網絡結構變更或業務系統增加時，應及時修訂安全防護實施方案并重新提交審核。2．新能源場站應嚴格落實用戶身份認證、權限合理劃分要求，實施用戶的實名制和身份的安全認證。嚴禁網絡設備、服務器、工作站、安全設備使用默認用戶和口令。3．新能源場站應建立電力監控系統安全防護日常巡視制度?，F場運維工作需嚴格履行工作票制度，并做好安全措施，禁生產控制大區隨意接入移動介質和便攜式電腦。嚴禁運維過程中出現跨區直連、生產控制大區設備接入互聯網、停運安防設備、開啟空閑端口等行為。4．新能源場站應按照《電力行業信息安全等級保護管理辦法》要求，及時到公安機構開展電力監控系統定級備案；選擇具有國家認可資質的測評機構，開展電力監控系統等級保護測評及安全防護評估，及時整改測評或評估發現的問題。5．生產控制大區涉網部分的服務器、工作站、路由器等設備，應使用安全操作系統并加強安全配置管理。對于已經運行且使用非安全操作系統的設備，要采取防病毒、加強配置管理、強化訪問控制等安全加固措施，并結合后續技術改造升級更換為安全操作系統。6．生產控制大區中的業務系統應選用符合國家安全要求、無安全漏洞的產品，相關設備應通過相關部門指定的入網檢測。四、監測與應急1．新能源場站應按照國家主管部門要求，在站內部署網絡安全監視手段，實現涉網主機設備（包括服務器、工作站、網絡設備、安全防護絲網等）網絡安全的實時監視、告警、分析和審計，并將重要告警信息接入相應的調控機構。2．新能源場站要制定切實可行的安全防護應急預案，定期開展應急演練，提高網絡安全應急事件的處置能力。3．健全廠網聯動的網絡安全應急處置機制，當站內遭受網絡攻擊、發生網絡安全事件時，應立即向相關調控機構報告， 并按應急預案采取應急處置措施，防止事態擴大。