一、总体结构模型
电力监控系统安全防护总体结构模型如图所示:
电力监控系统安全防护总体结构模型
二、安全分区规则
电网各级调度控制中心、配电中心(含负荷控制中心)、变电站、各级调度控制中心直调电厂内部基于网络的监控系统,原则上划分为生产控制大区和管理信息大区。
2.1生产控制大区的划分
根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统之间的相互关系、调度数据网通信方式以及对电力系统的影响程度等属性,生产控制大区原则上划分为控制区(安全区 I)和非控制区(安全区Ⅱ)。
控制区是电力监控系统各安全区中安全等级最高的分区,是必不可少的分区。该区中的业务系统与电力调度生产直接相关,该区使用调度数据网络的实时 VPN 子网或专用通道。控制区业务系统的主要使用者为调度员、继电保护运行管理人员和运行操作人员。
非控制区是电力监控系统各安全区中安全等级仅次于控制区的分区。该区的业务系统功能与电力生产直接相关,但不直接参与控制;系统在线运行,与安全区Ⅰ的有关业务系统联系密切。该区使用调度数据网络的非实时 VPN 子网或专用通道与异地有关的非控制区互联。非控制区业务系统的主要使用者分别为调度员、水电调度员、继电保护人员及电力市场交易员等。
2.2安全接入区
如果生产控制大区内个别业务系统或其功能模块(或子系统)需要使用公用通信网络
(不含因特网)、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信,其安全防护水平低于生产控制大区内其他系统时,应设立安全接入区。在安全接入区内部署公网数据采集服务器进行数据采集,安全接入区与生产控制大区之间部署横向隔离装置,安全接入区与公用通信网络或无线通信网络之间应部署加密认证措施,实现主站端和业务终端之间的身份认证、加密传输、访问控制和安全隔离等防护目的。
涉及安全接入区的典型业务系统或功能模块包括配电网自动化系统的前置采集功能、负荷控制管理模块、某些分布式电源控制系统等。
2.3管理信息大区的划分
根据业务系统或其功能模块的使用者、主要功能、设备使用场所、各业务系统之间的相互关系以及对电力系统的影响程度等属性,管理信息大区原则上划分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。
三、电力行业务系统信息安全等级保护划分
根据不同安全区域的安全防护要求,确定其安全等级和防护水平。生产控制大区的安全等级高于管理信息大区,系统定级按《电力行业信息系统安全等级保护定级工作指导意见》、国能安全[2015]36号文进行定级,原则上,按一体化电网运行智能系统(OS2)标准化设计及建设的系统应按一体化电网运行智能系统功能模块定级。
定级标准表
电力监控系统安全区域之间互联总体结构包括链式结构、三角结构和星形三种结构,其结构如图:
电力监控系统安全区互联总体结构
审核编辑:汤梓红
全部0条评论
快来发表一下你的评论吧 !