電力大數據中心-安全接入區解決方案

解決方案背景方案背景-電力生產運營中心333

生產運營中心系統包括主站和新能源子站兩級。

主站側系統：主站由各種計算機、服務器、存儲設備、網絡、安全防護、應用系統等組成。

子站側系統：通過站端采集、安全防護及網絡設備，將水電、風電場、光伏電站運行數據，以點對點的方式傳送至生產運營中心；執行主站控制指令，實現遠程遙控操作；方案背景-安全防護總體原則444

根據發改委14號令《電力監控系統安全防護規定》及電力二次系統安全防護“安全分區、網絡專用、橫向隔離、縱向認證”的總體原則，生產運營中心側通常分為Ⅰ、Ⅱ、Ⅲ區3個子系統。安全Ⅰ區為實時控制生產大區，主要部署集控系統；

安全II區為非控制類生產大區，主要部署功率預測、保信、電能量計量等系統；

安全III區為管理信息大區，主要部署WEB服務、生產管理、運維分析等系統；方案背景-安全接入實施要求555

按照《電力監控系統安全防護總體方案》要求，租用運營商專線/無線通信通道的情況下，生產運營中心需設置安全接入區。

主站側安全接入區：包含正反向隔離裝置、交換機及安安全接入前置服務器。

子站側安全接入區：各場站接入主站側的業務首先經過安全隔離設備和安全接入前置服務器預處理后，再接入生產運營中心內網。解決方案介紹解決方案-系統邏輯架構77安全接入前置網關(系統)正向物理隔離裝置反向物理隔離裝置安全接入后置網關(系統)縱向加密機路由器主站系統安全接入前置網關(系統)正向物理隔離裝置反向物理隔離裝置安全接入后置網關(系統)縱向加密機路由器運營商網絡子站系統解決方案-系統功能架構88標準接口IEC104規約IEC103規約IEC102規約文件傳輸FTP規約擴充管理配置管理通信節點配置通道參數配置通信協議配置文本路徑配置信息處理標準協議接收私有協議轉換文本轉換處理數據標識處理數據分發處理傳輸控制傳輸順序控制傳輸差錯控制線程并發控制信息分發控制硬件平臺(Intel、Power、SPARC)操作系統（Linux、Windows）主站系統(集控、保信、計量等)子站系統解決方案-信息處理&傳輸99運營商網絡路由器+縱向加密主站側安全接入前置網關正向隔離(下行穿隔離網絡通信)反向隔離（上行穿隔離傳文件）安全接入后置網關主站系統(集控通信機)1.標準104通信協議；2.多廠站、多通道104規約下行指令；握手、召喚、控制；104規約上行響應數據；遙測、遙信、遙脈、遙控反校1.通信節點配置(上下行)；2.通信通道配置(上下行)；3.通信協議配置；4.文本路徑配置；接收主站集控通信機的下行指令數據，對接收數據標簽化處理(區分屬于哪個站);將下行指令(104規約格式)轉換為私有協議格式；根據節點配置和通道配置情況，將下行指令轉發到主站側后置網關

-多線程并發；-傳輸順序控制；

-傳輸差錯控制；根據私有協議，接收主站安全接入前置網關轉發的下行指令數據;對數據中的標簽信息進行辨別，根據標簽對應的廠站信息，將下行指令轉發到子站側后置網關；1.節點配置(上下行)；2.通道配置(上下行)；3.文本路徑配置；隨時檢測掃描指定文本路徑下是否有新文件生成；讀取文件內容將其轉換為104規約格式；根據節點配置和通道配置情況，將上行響應數據轉發到主站側集控通信機；根據私有協議，接收子站側安全接入后置網關轉發的上行數據，對接收數據的標簽信息進行辨識;將上行數據轉化為文本文件；根據辨識的標簽信息和文本路徑配置，將文本文件保存到對應的文件目錄下，等待反向隔離裝置處理；子站(1)子站(2)子站(n)解決方案-信息處理&傳輸1010運營商網絡路由器+縱向加密子站側安全接入后置網關反向隔離(下行穿隔離傳文件)正向隔離（上行穿隔離網絡通信）安全接入前置網關站端(遠動機/通信網關)1.標準104通信協議；2.多邏輯通道104規約下行指令；握手、召喚、控制；104規約上行響應數據；遙測、遙信、遙脈、遙控反校1.通信節點配置(上下行)；2.通信通道配置(上下行)；3.通信協議配置；4.文本路徑配置；接收子站遠動機/通信網關的上行響應數據，對接收數據標簽化處理(區分屬于哪個廠站);將上行響應數據(104規約格式)轉換為私有協議格式；根據節點配置和通道配置情況，將上行響應數據轉發到子站側后置網關

-多線程并發；-傳輸順序控制；

-傳輸差錯控制；根據私有協議，接收子站安全接入前置網關轉發的上行響應數據;對數據中的標簽信息進行辨別，根據標簽對應的廠站信息，將上行數據轉發到主站側后置網關；1.節點配置(上下行)；2.通道配置(上下行)；3.文本路徑配置；隨時檢測掃描指定文本路徑下是否有新文件生成；讀取文件內容將其轉換為104規約格式；根據節點配置和通道配置情況，將下行指令數據轉發到子站側遠動機/通信網關；根據私有協議，接收主站側安全接入后置網關轉發的下行指令，對接收數據標簽化處理(區分屬于哪個場站);；將下行數據轉化為文本文件；根據辨識的標簽信息和文本路徑配置，將文本文件保存到對應的文件目錄下，等待反向隔離裝置處理；解決方案-系統應用場景(國電投南寧)1111主、備通道均采用運營商網絡；主站側采用雙安全接入區冗余配置；子站側采用單安全接入區(接入安全I區和II區系統混用)；接入站端系統包括：集控+保信+功率預測；實現功能：數據采集、遠程控制、FTP文件傳輸；解決方案-系統應用場景(國電投四川)1212主通道電力專線，備通道運營商網絡；主站側采用雙安全接入區配置(I區、II區各設置獨立安全接入區)；子站側采用雙安全接入區；接入站端系統包括：集控+保信+功率預測+計量；實現功能：數據采集、遠程控制、FTP文件傳輸；解決方案-系統特點優勢對外提供標準協議接口((IEC104/103/102/FTP等),能夠實現與集控、保信系統、功率預測、電能計量業務運行對安全接入的需求；在主站側和子站側設置安全接入區時，用戶無需對原有系統/設備軟件進行任何升級改造(個別場景需修改參數配置)，即可完成安全接入穿正/反向物理隔離器通信；系統只需通過簡單配置，即可實現與多場站、多通道、不同協議的站端系統和設備進行信息交互；施工簡單，單站接入時間不超過1周；適應性強1支持雙網冗余，即支持運行商雙網絡主備模式、也可支通道持電力專網+運行商網絡模式；傳輸過程提供數據標簽處理/辨識、傳輸順序及差錯控制，保障數據傳輸的目的準確性、信息完整性、數據一致性，實現可靠送達；優化的多線程并發處理機制，能夠保障大數據量傳輸和文本處理的高效率，實現低延遲實時傳輸的目標(單幀上下行收/發平均延約100ms)；主站支持50萬點以上數據量的I/O吞吐處理能力，子站側支持3萬點以上數據量的處理能力(根據實際需求調整硬件配置)可靠性高2方案設計(大唐廣西)主站側接入方案一(I/II區獨立通信通道)1號主干網交換機2號主干網交換機……集控主站I區系統運營商公網通道1安全I區接入前置網關安全I區接入后置網關正向物理隔離器反向物理隔離器安全接入交換機金雞灘山秀其它……加密機路由器集控主站II區系統……安全II區接入前置網關安全II區接入后置網關正向物理隔離器反向物理隔離器安全接入交換機加密機運營商公網通道2金雞灘山秀其它……主站側接入方案二(I/II區共用通信通道)1號主干網交換機2號主干網交換機……集控主站I區系統運營商公網(公用)安全I區接入前置網關安全I區接入后置網關正向物理隔離器反向物理隔離器安全接入交換機金雞灘山秀其它……加密機路由器集控主站II區系統……安全II區接入前置網關安全II區接入后置網關正向物理隔離器反向物理隔離器安全接入交換機加密機主站側接入方案-軟/硬件配置1)安全I區接入前置網關(1套，服務器+軟件)；2)安全I區接入后置通信機(1套，服務器+軟件)；3)千兆正向物理隔離器(1臺)4)千兆反向物理隔離器(1臺)5)縱向機密機(1臺)6)路由器(1臺)7)安全接入交換機(1臺)站端側接入方案站端側接入方案1主用接入交換機備用接入交換機站端I區系統電力專線安全I區接入前置通信機安全I區接入后置通信機正向物理隔離器反向物理隔離器安全接入交換機加密機加密機1號通信網關2號通信網關運營商公網A網B網3號通信網關主站主站站端側接入方案1-軟/硬件配置1)安全I區接入前置通信機(1套，服務器+軟件)；2)安全I區接入后置通信機(1套，服務器+軟件)；3)百兆正向物理隔離器(1臺)4)百兆反向物理隔離器(1臺)5)縱向機密機(1臺)6)路由器(1臺)7)安全接入交換機(1臺)8)3號通訊網關機(站端集控廠商提供，標準IEC104通訊規約接口)站端側接入方案2主用接入交換機備用接入交換機站端I區系統電力專線安全I區接入前置通信機安全I區接入后置通信機正向物理隔離器反向物理隔離器安全接入交換機加密機加密機1號通信網關2號通信網關運營商公網A網B網主站加密機交換機交換機站端側接入方案2-軟/硬件配置

與站端接入方案1