1.

國電瑪依塔斯風電一場電力監控系統

安全防護技術方案

（風電場）

編制：（場站網絡安全專責）

審核：（發電集團信息安全主管部

門）

批準：（發電集團分管領導）

單位名稱（加蓋公章）

XXXX年XX月XX日

、方案編制根據

《中華人民共和國計算機信息系統安全保護條例》國務院1994年147號令（修

訂）

《電力監控系統安全防護規定》中華人民共和國國家發展和改革委員會第14

號令

《電力行業網絡與信息安全管理辦法》國能安全0317號

《電力行業級別保護管理辦法》國能安全0318號

《電力監控系統安全防護總體方案》國能安全（）36號

二、總體目的和原則

（一）總體目的

（二）保證國電瑪依塔斯風電一場電力監控系統和電力調度數據網絡安全，可

以抵抗黑客、病毒、惡意代碼等各種形式惡意破壞和襲擊，特別是抵抗集團

式襲擊，防止電力監控系統崩潰或癱瘓，以及由此導致電力系統事故或大

面積停電事故。

（三）總體原則

三、堅持“安全分區、網絡專用、橫向隔離、縱向認證”總體原則，重點強化

邊界防護，同步強化系統綜合防護，提高廠站電力監控系統內部安全防護

能力，保證新疆電網電力生產控制系統及重要數據安全。

四、安全防護方案

（一）電力監控系統概述

1.國電瑪依塔斯風電一場于12月25日正式并網運營，站內電力監控系統

共計**套，分別是***、***、....o詳細分析如下:

風電場監控系統（生產/集成廠家為國電聯合動力，投運時間12月）

系統構造參見附圖1一一林*電廠網絡安全拓撲圖_____________________________________________________________

系統硬件構成、操作系弊及數據庫

序號設備名稱生產廠家/型號操作系統類型/版木號數據庫類型/版本號

1i期服務器iRack/konotronUnix/5.11

2二期服務器iRack/konotronUnix/5.11

一期工作站OPTIPLEX380（戴爾）Windowsxp/serbiceback3

二期工作站0FTIPLEX3010（戴爾）Windowsxp/serbiceback3

3i期互換機clsco/Catalyst2960

二期互換機HWAWEI/S3700

4***磁盤陣列

.......

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據流入TCP/IP

數據輸出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界圻。

無功電壓控制系統（生產/集成廠家為山東泰開，投運時間12月）

系統構造參見附圖1一一瑪依塔斯風電一場網絡安全拓撲圖

系統硬件構成、操作系鄉E及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

1SVC服務器

2SVC工作站聯想/揚天2900DWindovsxp/

3***互換機

4***磁盤陣列

.......

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據注人

數據輸出

??????

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界而。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

發電功率控制系統（生產/集成廠家為****,投運時間北***年**月）

系統構造參見附圖1一一林?電廠網絡安全拓撲圖

系統硬件構成、操作系統及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

1AGC服務器Norco/rich-300Windcws7/

2AGC工作站聯想/揚天W46900d-10Windovsxp/

3***互換機IIWAWEI/S3700

4***磁盤陣列

.......

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據流入

數據輸出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界,重點闡明與其她系統在硬件上分界面。

升壓站監控系統（生產/集成廠家為北京四方，投運時間12月）

系統構造參見附圖1一一*?*電廠網絡安全拓撲圖

系統硬件構成、操作系統及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

變電站監控股

1T1PLEX39O（威爾）Windowsxp/serbiceback3Pgsql/2.92.02

務器

變電站監控工

20P門PLEX3010（戴爾）Windowsxp/serbiceback3Pgsql/2.92.02

作站

3變電站互換機北京四方/CSC-187E

...

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據注入

??????

數據輸出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明寫:H她系統在硬件上分界而“

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

相量測量裝置PMU（生產/集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一***電廠網絡安全拓撲圖

系統硬件構成、操作系多E及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

1PMU服務器北京四方/CSC-361V3.03P

2

3

4

...

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據流入

數據輸出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她東統在硬件上分界而。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

五防系統（生產/集成J家為****,投運時間****年**月）

系統構造參見附圖1一一*??電廠網絡安全拓撲圖

系統硬件構成、操作系多E及數據庫

序號設備名稱生產廠家/型號操作系統類型/版木號數據庫類型/版本號

1五防服務器裁爾/0PTIPLE780Windowsxp/

2

3

4

...

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據流入

數據輸出

網絡邊界：

筒要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界,重點闡明與其她系統在硬件上分界面。

故障錄波（生產/集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一***電廠網絡安全拓撲圖

系統硬件構成、操作系統及數據庫

序，；設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

故障錄波服務

1深圳雙合/SHC-CRU

器

故障錄波工作

2GREAT/WALL-M156Windows/scvicopk4

站

3

4

...

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據流入

??????

數據輸出

....

網絡邊界:

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

保信子站（生產/集成廠家為****,投運時間**梆年**月）

系統構造參見附圖1——***電廠網絡安全拓撲圖

系統硬件構成、操作系統及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

1***服務器

2中”工作站

3***互換機

4***磁盤陣列

.......

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據注入

數據輸出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

電能量采集裝置（生產/集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一***電廠網絡安全拓撲圖

系統硬件構成、操作系統及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

電能質量服務

1Nexus-1500

涔

2

3

4

.......

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據流入

??????

數據榆山

??????

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

風功率預測系統（生產/集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一***電廠網絡安全拓撲圖

系統硬件構成、操作系統及數據庫

序號設備名稱生產廠家/組號操作系統類型/版本號數據庫類型/版本號

1內網服務解惠普/ProliantDI.28896Unix/5.11

2***工作站

3互換機HLAWEI/secowayusg

4***磁盤陣列

.......

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據法?人

??????

數據榆出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界圻。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

狀態監測系統（生產/集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一*??電廠網絡安全拓撲圖

系統硬件構成、操作系統及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類暨/版本號

1穩捽轉罟手機南瑞/RCS-992R1.10

2穩控裝置從機南瑞/RCS-990

3***互換機

4科*磁盤陣列

........

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據潦入

數據椅出

網絡邊界：

筒要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

測風塔系統（生產/集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一林*電廠網絡安全拓撲圖

系統硬件構成、操作系經E及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

1測風塔服務器戴爾/P0WEREDGER710Windowsxp/

2***工作站

3測風塔互換機華為/secowayusg

4***磁盤陣列

........

系統數據流及網絡邊界

數據類型數據內容數據交互時象傳播方式

數據流入

奴據榆出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界而。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

天氣預報系統（生產，集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一*??電廠網絡安全拓撲圖

系統硬件構成、操作系紓E及數據庫

序號設備名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

1天氣預報服務^^/proliantDL28896Unix/5.11

器

2***工作站

3風功率互換機HIAWEI/secowayusg

4***磁盤陣列

...

系統數據流及網絡邊界

數據類型數據內容數據交互時象傳播方式

數據流入

數據輸出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界而。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

管理信息系統MIS（生產/集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一***電廠網絡安全拓撲圖

系統硬件構成、操作系多E及數據庫

序號設備名稱生產廠家/型號操作系統類型/版木號數據麻類型/版木號

1***服務器

2***工作站

3***互換機

4***磁盤陣列

...

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據流入

....

數據輸出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

其她（生產/集成廠家為****,投運時間****年**月）

系統構造參見附圖1一一***電廠網絡安全拓撲圖

系統硬件構成、操作系統及數據庫

序號段缶名稱生產廠家/型號操作系統類型/版本號數據庫類型/版本號

1***服務器

2***工作站

3***互換機

4***磁盤陣列

...

系統數據流及網絡邊界

數據類型數據內容數據交互對象傳播方式

數據流入

??????

數據輸出

網絡邊界：

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

簡要闡明系統橫向和縱向網絡邊界，重點闡明與其她系統在硬件上分界面。

（二）安全分區

1.安全一區布置系統涉及：風電場監控系統、無功電壓控制、發電功率控

制、升壓站監控系統、相量測量裝置PMU、五防系統，安全一區橫向網絡邊界設

備為無，縱向網絡邊界設備為省調I區縱向加密；

（三）安全二區布置系統涉及：故障錄波、保信子站、電能量采集裝置、風功

率預測系統。安全二區橫向網絡邊界設備為無，縱向網絡邊界設備為II區

縱向加密裝置；

（四）管理信息大區布置系統涉及：測風塔系統、天氣預報系統、管理信息系

統MIS。管理信息大區橫向網絡邊界設備為無，縱向網絡邊界設備為省調三

區縱向加密裝置。

（五）網絡專用

電力通信通道通道數量通信通道類型

通信

傳播

通道

（2*

2M）

有2

條三

區

D-MI

S（l*

2M）,

互聯

網

（寬

帶）

接入

有2

條，

序號

電力通信傳播通道，2*2M

1省調調度數據網2

電力通信傳播通道，1*2M

2省調OMS通道1

電力通信傳播通道，2*2M

3地調調度數據網2

4

5?......

（六）橫向隔離

1.生產控制大區與管理信息大區邊界安全防護

生產控制大區**套系統與管王電信息大區系統存在數據交互，按36號文規定應

布置電力專用木雷向單向隔離裝置，詳細方案如下：

電力專用橫向單向隔離裝置布置方案

序號隔離裝置數量布置位置跨安全區業務數據交互需求

功率預測系統互換機與功率預測服務器與天氣預報

1反向隔離裝置1

天氣預報系統之間服務器數據交互

2

3??????????????????

2.安全一區與安全二區邊界安全防護

安全一區一套系統與安全二區二系統存在數據交互，按36號文規定應采用品有

訪問控制功能網絡設備、安全可「靠硬件防火墻或者相稱功能設備，實現邏輯隔

離、保溫過濾、訪問控制等功能,本方案采用硬件防火墻，詳細布置方案如下：

9￡件防火墻布置方案

序號硬件防火墻數量布置位置業務數據互訪需求

站控安全一區與安全二遠動裝競與風功率預測服

1百兆硬件防火培1

區之間務器進行數據互換

風功率預測服務器與互聯

2百兆硬件防火墻1站控層三區與外網

網數據互換

3.系統間安全防護

依照36號文規定，同屬于同一安全區應用系統之間依照需要可以采用一定強

度邏輯訪問控制辦法，如防火墻、VLAN等，本方案采用VLAN實現邏轉隔離，

詳細方案如下：

安全一區VLAN配備方案

序號系統名稱VLAN-id訪問控制方略配備規定

1風電場監控系統100容許功壟控制系統功率控制服務器訪問

2測風塔系統200容許功率控制系統功率控制服務器訪問

發電功率控制系

300容許風電場監控系統web服務器訪問

統

安全二區VLAN配備方案

1

2……

（七）縱向認證

依照36號文規定，發電廠生產控制大區系統與調度端系統通過電力調度數據

網進行遠程通信時，應當采用認證、加密、訪問控制等技術辦法實現數據遠方

安全傳播以及縱向邊界安全防護，木方案采用電力專用縱向加密認證裝置，

詳細方案如下：

縱向加密認證裝置布置方案

序號縱向加密認證裝置數量布置位置配備規定

省調接入網路由器與

使用相調頒發調度數字

1看調2一、二區互換機之間各

證書

1臺

地調接入網路由器與使用地調頒發調度數字

2地調2

一、二區互換機之間各證書