福建省***水電廠

電力監控系統安全防護方案

***

***

***

*********開發有限企\|[/

2023年05月

第1章電力監控系統安全防護方案

一、總體概況

***水電廠共裝4臺機組，其中#「#4機單機容量75MW,于1987年投運，接入福

建電力調控中心。包括：#廣#4機組監控系統、一次升壓站監控系統、調度數據

網以及廠級實時監控系統、水情調度系統、故障錄波系統、廣域網相量測量（PMU）

系統等。

二、安全分區

按照《電力二次系統安全防護規定》，原則上將發電廠基于計算機及網絡技

術的業務系統劃分為生產控制大區和管理信息大區，并根據業務系統日勺重要性

和對一次系統的影響程度再將生產控制大區劃分為控制區（安全區1）及非控制

區（安全區H）,重點保護生產控制以及直接影響電力生產（機組運行）日勺系統。

?按照表2.1中示例，列舉并闡明廠內所有電力監控系統W、J安全分區狀況（包

括集控中心）。

序業務系統及設控制區非控制區信息管理大區備注

號備

1調速和自動發調速、自動發A1

電功能AGC電控制

2故障錄波故障錄波裝置B

3弧門控制系統監控功能A2

4電量采集裝置電量采集裝置Al、B

5水電廠監控系發電機組控A1

統及自動電壓制，勵磁調整

AVC控制系統器自動電壓調

整C

6水情信息系統水情信息B

7廣域網相量測省調所轄機A1

量(PMU)系統組、線路相量

測量

表2.1安全分區表

注：

A1：與調控中心有關口勺電廠監控系統

A2：電廠內部監控系統

B:調控中心監控的廠站側設備

與調控中心無關W、J電力監控系統不接入調度數據網。

三、網絡專用

?按3.1和3.2節示例規定，列舉并闡明廠內所有電力監控系統的網絡描述(包

括集控中心)。

設備組網（請詳細闡連（請詳細闡明）

明）

生產控制大區專用

調度數據網是，獨立設備組網否

網絡

名稱及數

廠家及型號用途詳細配置安全加固措施

量

路由器華三MSR3020省調接入網路由器

（2臺）華三MSR3020地調接入網路由器

名稱及數

廠家及型號用途詳細配置安全加固措施

量

華三省調接入網互換機

S3600V2（安全I區）

華三地調接入網互換機

互換機S3600V2（安全I區）

（4臺）華三省調接入網互換機

S3600V2（安全HIX）

華三地調接入網互換機

S3600V2（安全H區）

3.2升壓站站控層網絡

?畫出升壓站站控層網絡拓撲圖，并闡明使用的I網絡協議和通佶方式。

?填寫表3.2：網絡描述及設備清單。

■描述網絡的組網方式及拓撲構造。

表3.2：網絡描述及設備清單

與否使用獨立網絡設備組與否與其他網絡相

名稱用途

網（請詳細闡明）連（請詳細闡明）

通過光纖接入站控層內

網互換機，通過通訊機

接入調度數據網安全I

否，與四臺機組監控單元、公

升壓站站開關站一次設區互換機。

用監控單元及上位機等監控系

控層網絡備歐J監控

統設備構成廠內監控系統。

???

名稱及數

廠家及型號用途詳細配置安全加固措施

量

互換機MOXA構建站控層A網、B

（2臺）網

3.3其他網絡（根據現場實際狀況補充）

..無

四、橫向隔離

?按4.1節示例規定，列舉并闡明廠內所有電力監控系統的橫向隔離狀況（包

括集控中心）。

4.1生產控制大區與非生產控制大區口勺安全隔離

?填寫表4.1：安全設備描述及清單。

表4.1：安全設備描述及清單

名稱及數詳細配置

廠家及型號用途安全加固措施

量（可截圖）

方略：單向傳

橫向隔離南京南瑞詳細列出已采

監控系統向WEB服播

裝置Sky-keeper用的安全加固

務器正向數據傳播系統配置：

（1臺）-2023措施。

等

4.2生產控制大區與信息管理大區的安全隔離

生產控制大區一區機組監控系統接口機與二區水情測報系統接口機通過東

軟防火墻進行隔離，一區機組監控系統實時數據與二區水情測報系統實時數據

通過南瑞Sky-Keeper2023正向隔離網閘，傳播至信息管理大區EDNA實時數據

庫服務器。

4.3非生產控制大區與信息管理大區的安全隔離

非生產控制大區與信息管理大區無系統間數據傳播，完全物理隔離。

4.4安全接入區的安全隔離

無安全接入區

五、縱向認證

■按5.1節示例規定，列舉并闡明廠內所有電力監控系統的縱向認證狀況（包

括集控中心）。

5.1生產控制大區與電力調控中心的縱向認證

■填寫表5.1：安全設備描述及清單。

表5.1：安全設備描述及清單

名稱及數詳細配置

廠家及型號用途安全加固措施

量（可截圖）

隧道：

詳細列出已采

南瑞I區省調接入網方略：

用的1安全加固

NetKeeper2023同中調通信系統配置：

縱向加密措施。

等

裝置

南瑞I區地調接入網

（4臺）

NetKeeper2023同中調通信

南瑞II區省調接入

NetKeeper2023網同中調通信

南瑞II區地調接入

NetKeeper2023網同中調通信

5.2生產控制大區與集控中心的縱向認證

無集控中心

5.3HI區與調控中心的縱向認證

HI區與調控中心無連接。

5.4安全接入區與公網的縱向認證

無連接公網。

六、整體安全防護現實狀況

?規定圖6.1中畫出廠內各系統日勺互聯關系，并闡明各系統間的互聯方式及有

關安全防護措施，按規定填寫我格6.1,6.2,及附表。

?規定在表格6.1中列出接入電廠內各系統的廠外網絡類型（互聯網、集團網、

政府專網、集控中心專網、調度數據網等）。

***電廠電力監控系統總體方案W、J框架構造圖

生產拄姒區信息管理大區

pi：mx

P2中控制大x

也曜Ie管

建條由公P3：信息甘以區

P4演他,

P5:安全投入區

目防熄

國H。

口那曲苫

6.1***電廠系統安全布署示意圖

表格6.1***電廠監控系統安全分區表（按實際狀況填寫）

序號控制大區（圖中P1）非控制大區（圖中P2）信息管理大區（圖中P3）外部網絡安全接入區

/廠外網絡接入類型/廠外網絡接入類型/廠外網絡接入類型（圖中P4）（圖中P5）

1NC2023監調度數據電量采集裝置調度數據調控管理系電力綜合通

控系統網網統工作站信數據網

（含AVC、

AGC功能

模塊）

2PMU調度數據故障錄波裝置調度數據??????

網網

3發電計劃工作調度數據

站網

4水情信息系統調度數據

網

表格6.2***甩廠監控系統接口描述表（按實際狀況填寫）

編號接口描述數據傳播方向數據類型通信方式及協議安全防護措施

10NC2023監控系統AGC模塊ACC模塊->機組控制系AGC指令值光纖TCP/IP無

與機組控制系統接口統

II機組控制系統與SIS系統機組控制系統->SIS系機組實時數據雙絞線,TCP/IP防火墻（對應表

接口統接口4.4中“東軟

NETeye5200”）

12SIS系統接口與MIS系統SIS系統->MIS系統生產數據雙絞線單向隔離設備（對

接口應衣**中**）

七、控制大區系統概況

?參照模板，補充各大區日勺所有系統日勺概況及其對應示布署意圖和網絡連接圖

（集控中心也按各大辨別類補充）。

控制大區重要包括：自動發電控制模塊（AGC）、自動電壓控制模塊（AVC）、升

壓站監控系統（NCS）、機組監控系統、公用系統監控系統、相量測量裝置（PMU）、

對應調度數據網安防及網絡設備等。

（DNCS系統現實狀況

NCS系統采用的是南京南瑞集團企業的NC2023系統，提供對***電廠的監

控功能，為外部調度數據網系統提供監控數據，布署在安全控制大區，通過遠

動設備與調度之間使用縱向加密設備傳播遙測、遙信數據。NC2023系統重要包

括AGC、AVC模塊、LCU裝置等。監控系統H勺邊界防護的措施較為完善，與調度

數據網系統之間存在數據交互,布署了電力行業縱向加密認證裝置進行了隔離，

與五防系統之間通過串口線連接。

（2）AGC模塊現實狀況

AGC系統采用的是南京南瑞集團企業的NC2023系統，提供對***電廠附有

功功率調整功能，為外部發電機調速器系統提供調整數據，布署在控制大區，

通過遠動設備與調度之間使用縱向加密設備傳播控制數據。（按實際狀況編寫）

（3）AVC模塊現實狀況

AVC系統采用的是南京南瑞集團企業的NC2023系統，提供對***電廠的無

功功率調整功能，為外部發電機勵磁系統提供調整數據，布署在控制大區，通

過遠動設備與調度之間使用縱向加密設備傳播控制數據。

(4)AVC、AGC系統現實狀況

***電廠AGC、AVC系統隨2023年監控系統改造投運后，經單機調整、成組

調整試驗，各項指標符合均規定，交付系統正常使用。運行近23年，系統運行

正常，未發生三類以上缺陷及系統考核等安全事件。

7.1.1控制大區系統布署示意圖：

?規定詳細畫出廠內控制大區內所有系統，并闡明各系統互聯狀況及有關安

全防護措施，并填寫表格7.1.1。

表格7.1.1***電廠監控系統接口描述表（按實際狀況填寫）

編接口描述數據傳播方向數據類型通信方式及安全防護措

號協議施

10NC2023監控系統AGC模塊-＞機AGC指令值4-20mA小無

AGC模塊與機組組控制系統信號

控制系統接口

11PMU采集器與機PMU采集器PMU采集數4-20mA小無

組控制系統接口機組控制系統據信號和硬接

線

7.1.2控制大區系統實際網絡連接圖：

?規定詳細畫出控制大區內所有系統，及所使用的所有網絡、安全設備（包括

調度數據網設備），并闡明設備型號、各端口用途。

控制大區重要有機組及開關站等生產監控系統、弧門監控系統和廣域

網相量測量系統（PMU）、五防系統。弧門監控系統為獨立系統，與外界不相

連，五防系統通過串口通訊與通訊機相連，讀取監控系統狀態量，與其他系統

均無連接，機組及開站等生產監控系統由雙星形網絡構造的內網構成，兩臺通

訊機接內網接受、轉發監控系統和省調調度數據網數據，廠站層內網互換機使

用臺灣MOXA（型號EDS726/0G）工業級互換機，調度數據網使用華為網絡

互換機（型號3600）,路由器使用華為MSR3020路由器。

監控系統有自己口勺通訊機，通過雙平面2M調度專用數據網經縱向加密認

證裝置（南京南瑞NctKccpcr_2O23）上送調度遠動信息。

安全I區與其他分區及系統聯網狀況：

安全I區與安全n區、IH區間目前沒有聯網，均互相獨立。

全廠生產控制大區和非控制大區均無通過撥號訪問對生產控制系統安全I

區進行遠程維護等功能c

控制大區均已完畢二平面改造，冗余配置分別接入省調接入網和地調接入

網。

八.非控制大區系統概況

安全n區重要有電能量系統、故障錄波系統、水情測報系統、調度計劃工

作站系統構成，

安全n區聯網狀況：安全n區日勺數據量通過正向物理隔離裝置隔離，將數

據送到in區服務器上公布。其他各系統均各自獨立，未與其他系統聯網。

九.信息管理大區系統概況

信息管理大區系統包括我司在用企業內網網站、MIS管理系統、EDNA實

時數據庫系統、工程圖檔系統、錄音管理系統等，提供我司局域網內部信息系

統應用服務，不波及對互聯網外H勺信息系統應用公布。

十、安全接入區概況

無對外網連接，未設安全接入區。

十一、集控中心控制大區系統概況

無集控中心。

第2章電廠電力監控系統安全管理概況

一、規章制度

?規定列出與網絡安全有關H勺管理制度，并將材料作為附件上傳（根據實際狀

況上報）。

序號名稱編制日期

01信息系統應急管理規定2023年8月14日

02信息系統安全管理規定2023年9月30日

03計算機信息系統數據備份管理規定2023年10月30日

04調度數據網運行維護管理規定2023年11月30日

二、有關人員職責

?規定列出有關人員職責與名單，并將材料作為附件上傳（根據實際狀況上

報）。

序號姓名岡UL4位/-X.職責聯絡方式

1蔣**自動化點檢電自動化管理及監督1385099****

2葉**信息主管信息系統管理及建設1370600****

三、應急預案

?規定列出有關日勺應急預案，并將材料作為附件上傳（根據實際狀況上報）。

序號名稱編制日期

01電力監控系統應急預案2023年11月30日

02弧門集控系統應急預案2023年11月30日

03水情水調系統應急預案2023年11月30日

第3章等級保護

一、信息安全等級保護

?規定各電廠根據實際狀況闡明與否完畢電力監控系統定級、立案工作，且開

展定期測評。

系統定級狀

系統所立案狀況測評工作狀況

序況

屬單位系統名稱

號測評

名稱系統等級立案號公安機關上次測評時間

單位

福建

福建省**市公

省電

***電安局公共信息2023年10月27

1監控系統二級力調

F網絡安全監察日

控中

科

心

第4章通用安全防護措施

?規定各電廠根據國能安全2023年36號文獻和國網福建電力調控中心有關印

發《福建電力監控系統安全防護專題檢查“回頭看”工作方案》口勺告知（調

自（2023）59號）補充通用防護措施H勺開展狀況（根據實際狀況上報），按

照示例補充各章節內容。

一.物理安全

?規定各電廠列出廠內機房環境及UPS電壓等物理設施信息，補充下表0

名稱溫濕度監控設防潮、防水狀視頻監控系統布???

備布署狀況況署狀況

自動化機房接入監控系統符合規定接入工業電視系

統，符合規定。

名稱設備容量目前負載設備冗余狀況UPS間環境???

#1UPS電源10KVA20%電源側電源及放置繼保

容量冗余，負載室，符合規

側可切換。定。

#2UPS電源10KVA18%電源側電源及放置繼保

容量冗余，負載室，符合規

側可切換。定。

二、主機加固

?規定各電廠列出廠內所有主機信息，補充下表。

名稱及數量廠家及型號操作系統類型用途主機加固狀況

取消主機默認路

WEB服務器，提

由，關閉無用端

美國HP供監控數據查

Linux-****口，使用大小寫

*****詢。

字母+數字的密

服務器