电力监控系统安全防护规定

中国南方电网有限责任公司
安全分区
控制区（I区） 非控制区（II区）
管理信息大区
传统电网
传统电网调度自动化系统的管理信息大区主要包括: 调度生产管理、雷 电监测、气象/卫星云图、视频监视、调度信息发布、办公自动化等业 务和功能模块。
新一代电网
新一代电网调度控制系统的管理信息大区主要包括 : 调度管理类应用 （核心业务流程 SOP、调度生产运行、综合分析与评估、调度机构外 业务协同、信息展示与发布、内部综合管理、基础信息维护和管理、 专业管理）等业务和功能模块。
D T S
实时子网
非实时子网
PSTN/专线
企业网
系统外单位
系统内单位
控制区
非控制区
信息管理区
中国南方电网有限责任公司
典型结构
新一代电网调度控制系统
控制区 实时监控类 应用
基础平台
非控制区 调度计划类应用
基础平台
管理信息大区
调度管理类 应用
基础平台
实时子网
非实时子网
PSTN/专线
电力企业数据网
电力调度数据网
2.1 典型结构 2.2 安全分区 2.3 安全部署
2.4 修订的主要内容
中国南方电网有限责任公司
典型结构
传统的省级以上调度中心电网调度自动化系统
控制区 非控制区
电 力 设 备 在 线 监 测
管理信息大区
调 度 员 培 训 模 拟
能 量 管 理
广 域 相 量 测 量
安 全 自 动 控 制
电 网 动 态 监 控
1
修订背景
中国南方电网有限责任公司
修订背景
以“震网”和“火焰”病毒为代表的“网
络攻击武器”肆虐中东，打响了网络战争 的第一枪；同时，从2006年起，美国着眼
未来信息安全战争，已组织3次“网络风暴” 演习，高规格地操演网络攻防战。
国家对配电网提出新的安全防护要求；电 力系统中的某些国外厂商的工业交换机、 网络PLC设备安全性存在问题；在新能源应 用背景下，风电、燃气电厂发展迅速，但 是缺乏对应的安全防护技术要求。
系统外单位 系统内单位
控制区
非控制区
管理信息 大区
中国南方电网有限责任公司
安全分区
控制区（I区） 非控制区（II区）
管理信息大区
传统电网
传统电网调度自动化系统的控制区主要包括: 电网实时监控、 AVC 、 PAS 、配电网实时监控、继电保护远方修改定值与远方投退、调度地 理信息等业务和功能模块。
新一代电网
静态安全校核 暂态稳定校核 调度辅助决策 信息展示与发布 稳定裕度评估 调度员模拟培训 … 内部综合管理 基础信息维护和管理 专业管理
调度管理
核心业务流程SOP 调度生产运行 综合分析与评估 调度机构外业务协同
数据申报与信息发布
计划分析与评估 水电及新能源调度
水电及新能源监测分析
基础平台
基础平台
基础平台 基础平台
I4 调 度 生 产 管 理
能 量 管 理
… …
… …
雷 电 监 测
气 象 云 图
调 度 报 表
视 频 监 视
… … 终端用户
安全Web 服务
探头 探头
I2
I3
I5
专线
实时子网
非实时子网
PSTN/专线
电力企业数据网
电力调度数据网
控制区
横向安全隔离装置
非控制区
纵向加密认证装置
系统外单位
系统内单位
管理信息大区
典型结构
新一代电网调度控制系统
生产控制大区
控制区 实时监控与预警
电网稳态监控 自动发电控制 运行分析与评价 网络分析 辅助监测 动态监视与分析 自动电压控制 预测 在线安全稳定分析 继电保护定值在线校核 调度运行辅助决策 检修计划 短期交易管理 发电计划 电能量计量
管理信息大区
非控制区 调度计划 安全校核
Hale Waihona Puke 非控制区 调度计划数据申报与信息发布
调度管理 安全校核
静态安全校核 暂态稳定校核 调度辅助决策 信息展示与发布 稳定裕度评估 内部综合管理 基础信息维护和管理 专业管理 核心业务流程SOP 调度生产运行 综合分析与评估 调度机构外业务协同
计划分析与评估 水电及新能源调度
调度员模拟培训 …
水电及新能源监测分析
• 《发电厂二次系统安全防护方案》
• 《配电二次系统安全防护方案》
；
• 《负荷管理系统安全防护补充技术规定》 • 《中长期电力交易系统安全防护补充技术规定》
• 《中低压配电网自动化系统安全防护补充技术规定》
• 《核电站二次系统安全防护技术规定》 • 《风电、光伏和燃气电厂二次系统安全防护技术规定》 • 《电力二次系统安全防护评估规范》
中国南方电网有限责任公司
《电力监控系统安全防护规定》 暨能源局14号令
中国南方电网有限责任公司
课程内容目录
1 2 3
修订背景 省级以上调度中心二次系统安全防护方案 地（县）级调度中心二次系统安全防护方案 配电二次系统安全防护方案 变电站二次系统安全防护方案
4 5
5 5
中国南方电网有限责任公司
电力二次系统安全防护规定
中国南方电网有限责任公司
修订背景
国家出台的相关法规及标准
2009年公安部等几部委联合制定 并发布了关于信息系统等级保护的 2011年工业和信息化部发布了
系列标准规范；省级以上电网调度
被定为等保四级，地调、220千伏 以上变电站、百万以上发电厂等被 定为等保三级
《工业控制系统网络信息安全防护
要求》明确提出了SCADA、DCS等控 制系统应具备的安全防护措施。
继 电 保 护 管 理
… … …
水 调 自 动 化
电 能 量 计 量
电 力 市 场 运 营
故 障 录 波 管 理
… … …
调 度 生 产 管 理
雷 电 监 测
气 象 云 图
调 度 报 表
视 频 监 视
… …
.
.
专网
实时子网
Z
非实时子网
企业网
电力调度数据网 控制区 非控制区 管理信息大区
中国南方电网有限责任公司
中国南方电网有限责任公司
安全部署
传统的省级以上调度中心调度自动化系统
生产控制大区
控制区
探头 探头
管理信息大区
非控制区
正向型
管理信息系统
反向型
I6
I1 广 域 相 量 测 量 安 全 自 动 控 制 继 电 保 护 管 理 电 网 动 态 监 控 水 调 自 动 化 电 能 量 计 量 电 力 市 场 运 营 故 录 录 波 管 理 调 度 员 培 训 模 拟 电 力 设 备 在 线 监 测
中国南方电网有限责任公司
修订背景
安全防护技术的发展
目前的电力专用 正向隔离装置和 纵向安全认证装 置的效率最高的 已接近千兆线速， 与通用防火墙的 效率相当。
电力专用调度数字 证书已发展到第三 代，增加SM2 ECC 算法（国标）、安 全标签和指纹识别， 并加快融入业务应 用系统，特别是远 程控制功能。
单向认证模块
防火墙
网络交换机
中国南方电网有限责任公司
安全部署
新一代电网调度控制系统
控制区 实时监控与预警
电网稳态监控 自动发电控制 运行分析与评价 网络分析 辅助监测 动态监视与分析 自动电压控制 预测 在线安全稳定分析 继电保护定值在线校核 调度运行辅助决策 检修计划 短期交易管理 发电计划 电能量计量
基础平台 I1 I2
基础平台 I4 I3
PSTN/专线
基础平台 基础平台
I5
电力企业数据网
专线
实时子网
电力调度数据网
非实时子网
系统外单位 系统内单位 防火墙
信息管理大区
控制区
非控制区
单项认证
19
横向安全隔离装置 纵向加密认证装置/安全网关
中国南方电网有限责任公司
安全部署
1
省级以上调度中心应当具有病毒防护、入侵检测、安全审计和安全 管理平台等安全防护手段。生产控制大区的安全管理平台不应当与管理
新一代电网调度控制系统的控制区主要包括：实时监控与预警类应用 （电网运行稳态监控、二次设备在线监视与分析、自动电压控制、网 络分析、综合智能告警分析）等业务和功能模块。
3.1 典型结构 3.2 安全分区 3.3 安全部署
3.4 修订的主要内容
中国南方电网有限责任公司
典型结构
传统的地（县）调度中心调度自动化系统
生产控制大区
控制区
地 县 调 度 自 动 化 配 电 网 调 度 自 动 化 继 电 保 护 管 理 电 能 量 计 量
管理信息大区
非控制区
调 度 计 划 故 障 录 波 设 备 在 线 监 测 调 度 生 产 管 理 气 象 信 息 配 配 配 配 配 配 配 配 雷 电 监 测
提高系统自身安全 免疫能力，加强内 部安全在线监视和 安全管控。
中国南方电网有限责任公司
修订背景
评估规范与评估机制的建立
电力二次系统安全评估在二次系统安全防护体系建 设和运行管理过程中具有重要作用，及时发现系统中存在
的安全评估安全隐患，并指导完善安全防护措施，应当纳
入日常安全生产管理要求常态化开展。
中国南方电网有限责任公司
修订的主要内容
1 2 3
针对新一代电网调度控制系统的发展，明确一体化平台和多类应用在安全防护 体系中的设置要求。
适应调控一体化发展，明确远方控制功能的安全防护措施。
明确数据、系统和业务层面的备份要求。
中国南方电网有限责任公司
电力二次系统安全防护规定
3、地（县）级调度中心二次系统 安全防护方案
中国南方电网有限责任公司
修订背景
多年来，国家高度重视工业控制系统信息安全工作，国家能源局组织编写专家组 对“5号令”和总体方案进行了修订。
• 《电力二次系统安全防护总体方案》 • 《省级及以上调度中心二次系统安全防护方案》 • 《地、县级调度中心二次系统安全防护方案》 • 《变电站二次系统安全防护方案》
基于安全内核的国 产安全操作系统已 经随着计算机硬件 广泛应用。国产关 系型商用数据库、 国产地理信息系统 （GIS）、基于北 斗卫星的对时装置 等已随智能电网调 度技术支持系统推 广应用。
调度数据网络快速 发展，已经覆盖全 部220千伏以上厂站 和部分110千伏变电 站，正在迅速向 35/66千伏变电站扩 展。调度数据网络 的路由器和交换机 几乎全部为国产设 备，已达约2万个节 点。
中国南方电网有限责任公司
安全分区
控制区（I区） 非控制区（II区）
管理信息大区
传统电网
传统电网调度自动化系统的非控制区主要包括: 故障信息管理、电力设 备在线监测、实时和次日电力市场运营、水库调度自动化、电能量计 量等业务和功能模块。
新一代电网
新一代电网调度控制系统的的非控制区主要包括: 调度计划类应用（数 据申报与信息发布、预测、检修计划、短期交易管理、发电计划、电 能量计量、计划分析与评估），安全校核类应用（静态安全校核、暂 态稳定校核、调度辅助决策、稳定裕度评估），调度员培训模拟等。
中国南方电网有限责任公司
修订原则
1 4
完善体系 进一步完善栅格状安全防护体系，补齐短板
3
强化边界
2
注重基础 注重小变电站、小电厂、县调、配调等
加强内控 提高自身安全免疫能力，加强内网安全监控和内部安全管理
继续强化纵横边界、内外边界及其在线监视
中国南方电网有限责任公司
电力二次系统安全防护规定
2、省级以上调度中心二次系统 安全防护方案
专线
实时子网
非实时子网
PSTN/专线
电力企业数据网
系统外单位 系统内单位
控制区
非控制区
管理信息大区
中国南方电网有限责任公司
安全分区
控制区（I区） 非控制区（II区）
管理信息大区
传统电网
传统电网调度自动化系统的控制区主要包括:能量管理、安全自动控制 等业务和功能模块。
新一代电网
新一代电网调度控制系统的控制区主要包括：实时监控与预警类应用 （电网稳态监控、动态监视与分析、自动发电控制、自动电压控制、 运行分析与评价、在线安全稳定分析、网络分析、继电保护定值在线 校核、辅助监测、调度运行辅助决策、水电及新能源监测分析）等业 务和功能模块。
信息大区的安全管理平台互联。
省级以上调度中心应该建立支持国密算法、具备安全标签和指纹识 别功能的电力调度数字证书系统。对于遥控和定值设置等功能必须使用 加密认证手段来传输控制命令。
2
3
省级以上调度中心应当建立备用调度中心，做到关键应用的应用级 备用和一般应用的数据备份，备用调度中心各系统的安全防护措施应当 和主系统完全一致。
中国南方电网有限责任公司
修订背景
电力二次系统技术发展对安全防护要求
01
智能变电站试点已投入 运行。无人值班变电站发展 迅速，普及率已达80%以上。
02
风电和光伏迅猛发展， 风电场和光伏电站的控制系 统尚不规范，对安全防护提 出新的要求和挑战。
03
智能电网调度技术系统快速
04
智能用电采集系统和智 能电表发展很快，远方控制 功能对安全防护提出新挑战。
发展，将原调度中心的十余套
独立应用系统，安全整合为一 体化平台上的四大类应用，实 现了“横向集成、纵向贯通”。
中国南方电网有限责任公司
修订背景
计算机及通讯技术发展对安全防护的要求
基于多路多核技 术的国产计算机 服务器性能和可 靠性已达到国际 同类水平，正迅 速在电力二次系 统普及应用，近 两年已有超过1.5 万台国产计算机 在电网调度和变 电站投入运行