扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程初步设计(调整修改版1)(精品)

扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程初步设计(调整修改版1)(精品) 检索号,D0064 编 号,D0064-C 扬州地区110KV及以下变电站数据 网一平面二次安全防护设备 完善工程 初步设计 设计说明 能拓电力建设有限公司 工程设计证书, 乙级 A232030999 2012年12月 扬州地区110KV及以下变电站数据 网一平面二次安全防护设备 完善工程 初步设计 设计说明 批 准, 审 核, 校 核, 编 写, 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 目录 1 工程概况,................................................................................. 1 1.1 设计依据 ........................................................................................................ 2 1.2 工程现状 ........................................................................................................ 3 1.3 设计原则 ........................................................................................................ 4 1.4 设计范围 ........................................................................................................ 4 1.5 主要经济技术指标 .......................................................................................... 4 2 项目必要性................................................................................. 6 3 二次系统安全防护体系要求 ...................................................... 7 3.1 安全分区 ........................................................................................................ 7 3.2 网络专用 ........................................................................................................ 7 3.3 横向隔离 ........................................................................................................ 8 3.4 纵向认证 ........................................................................................................ 9 4 调度数据网现状 ....................................................................... 10 4.1 江苏省调度数据网现状 ................................................................................. 10 4.2 扬州调度数据网现状..................................................................................... 13 5 扬州地区二次安防现状 ............................................................ 17 5.1扬州地区二次安防主站端................................................................................. 17 5.2扬州地区二次安防厂站端................................................................................. 18 6 工程建设 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ........................................................................... 20 7 设备配臵清单 ........................................................................... 22 8 设备技术参数 ........................................................................... 23 附件, .............................................................................................. 28 附表, .............................................................................................. 29 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 1 工程概况, 电力调度数据网是电力调度生产服务的专用数据网络,是承载并实现各级调度中心之间及调度中心与厂站之间实时生产数据及传输及交换的基础网络,是供电公司实现应急技术支持系统和备用调度中心功能的支持平台。电网调度是电网运行控制主要方式,关系电网安全运行。随着电网技术及网络技术的飞速发展,对电力调度数据网的安全性及连续性的要求日益提高。 江苏电网是华东电网的重要组成部分,并已在2012年完成了江苏电力调度数据网网络结构优化为骨干网和接入网的重要步骤。其中,骨干网包括数据网第一、二平面,接入网包括省级接入网和市级接入网。覆盖了江苏省调、13个地调、51个区县调、98座统调电厂、35座500kV变电站、426座220kV变电站、1422座110kV变电站、889座35kV 变电站,调度数据网双平面的建成和完善为调度监控自动化系统、电网协调防御决策支持系统、电能量自动采集系统、电力市场交易系统和继电保护信息远传等应用业务提供了可靠的支持。 为确保调度实时系统和调度生产管理系统的安全可靠运行,根据上级相关要求,江苏省电力公司积极开展电力二次系统安全防护工作,按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则,从制定方案、规范 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 入手,统一部署了安全防护设备及访问控制策略,现已初步形成了覆盖省、市、县及所属厂站的二次系统安全防护体系。在“安全分区”方面,在省公司统一部署下,将电力二次系统分为生产控制大区和管理信息大区,生产控制大区划分为安全I区和 1 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 安全II区,将EMS系统、功角量测等实时控制系统划入安全I区,将电能量系统、DTS等非实时系统划入安全II区,将调度生产管理系统,OMS系统,划入管理信息大区。 根据电监会34号文要求,2007 年底之前,江苏省电力公司系统地级以上调度机构、220kV以上变电站,含开关站、换流站,、总 装机1000兆瓦或含有单机容量300兆瓦以上机组的发电厂及其它重要厂站要具备二次系统安全防护的主要功能,2008,2009年 110 kV以上变电站、含有单机容量100兆瓦以上机组的发电厂、县级调度中心和配电调度中心等要具备二次系统安全防护的主要功能,有条件的地方应尽量提前,2010 年之前建成比较完善的电力二次系统安全防护体系。江苏省电力公司积极贯彻上级要求,逐步开展了二次系统安全防护工作,目前已初步建成了二次系统安全防护体系,但二次系统安全防护体系尚不完备,需要逐步完善。 目前,江苏电力调度数据网省、地、县、500kV 变电站、220kV变电站、统调电厂已经部署加密网关、防火墙等安全访问控制设备,但110kV变电站只有部分变电站部署防火墙、纵向加密认证网关等安全设备,不能满足国家电网『2011』684号“110kV变电站需配臵I区纵向加密认证装臵(低端)”的要求,亟需进一步完善。 1.1 设计依据 ,1, 国家电网调,2011,684号《关于加强地县级电网备用调度建设工作的意见》,附件1, ,2, 国家电网调,2011,1366号《关于江苏省电力公司地县备调 2 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 建设框架方案及通信网络容灾建设方案的可研批复》,附件2, ,3, 苏电运检,2012,2021号《江苏省电力公司关于下达2013年二次技改和通信技改第一批 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 项目的通知》 ,4, 《电力二次系统安全防护规定》,国家电力监管委员会第5号令, ,5, 电监安全[2006]34号文附件1,《电力二次系统安全防护总体方案》, ,6, 电监安全[2006]34号文附件2,《省级以上调度中心二次系统安全防护方案》, ,7, 电监安全[2006]34号文附件3,《地、县级调度中心二次系统安全防护方案》, ,8, 电监安全[2006]34号文附件4,《变电站二次系统安全防护方案》, ,9, 扬州供电公司“关于委托开展„扬州地区110kV及以下变电站数据网一平面二次安防设备完善工程?初步设计的函” 1.2 工程现状 截止2012年底,扬州地区所属系统内共130座110kV及以下变电站,其中已完成69座变电站与第一平面的二次系统安全防护体系的建设,拟在本期继续建设所属61座110kV及以下变电站与第一平面相连的二次安全防护体系,并根据工程建设情况建设市区部分110kV及以下变电站与第二平面连接的二次安全防护体系。同时根据 3 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 扬州地区地调主站的实际情况,增加扬州地调端一、二平面千兆纵向加密装臵及加密管理机,完善现有地调主站二次安全防护体系。 扬州本期工程旨在完善已建的扬州地区的110kV及以下变电站的二次系统安全防护系统。已建二次安防的变电站分散于扬州所属的各个区县,但是各区县均有未做二次安防的变电站,本期根据省公司规划及扬州地区实际情况,选取本期68座变电站作为工程实施的地点,并根据实际情况优先建设厂站至第一平面的二次安防系统。 1.3 设计原则 ,1, 110kV变电站统计原则,至2013年底已投运和计划投运的110kV及以下变电站, ,2, 不考虑用户变, ,3, 设备选型原则,考虑到目前国产加密认证装臵日趋成熟,从经济性及维护方便性角度考虑,同时根据国家电网『2011』684号的要求,本期110kV及以下变电站配臵的纵向加密认证装臵推荐采用国产设备,相关费用估算以国产设备价格为依据。 1.4 设计范围 1) 扬州110kV及以下变电站数据网一平面二次安全防护设备完善工 程建设方案 2) 主要设备材料清册 3) 工程概算 1.5 主要经济技术指标 本工程静态投资, 563 万元 4 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 本工程动态投资, 563 万元 5 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 2 项目必要性 电力行业是国家重要的能源支柱行业,是我们日常各项工作和生活的基础和保障。随着电网的信息网络化建设进程,二次系统的网络安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 越来越需要引起重视。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。为保证电力企业计算机网络系统物理安全、网络安全、平台安全、数据与信息内容安全、信息基础设施安全,国家电监会发布了《电力二次系统安全防护总体方案》,电监安全„2006?34号,,要求所有的电力企业自身二次系统网络化建设中应严格按照总体方案进行。 变电站二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击,以及其他非法操作,防止变电站二次系统瘫痪和失控,并由此导致的变电站一次系统事故。 按照《电力二次系统安全防护规定》,电监会5号令,要求,“电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。”变电站二次系统安全防护的重点是强化变电站边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。 扬州本期110kV及以下变电站二次安防完善工程是在上一期二次安防系统建设的基础上,继续在扬州地区其他未建设二次安防系统的110kV及以下变电站推广建设二次系统安全防护系统。 6 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 3 二次系统安全防护体系要求 3.1 安全分区 安全分区是电力二次系统安全防护体系的结构基础,电力企业内部基于计算机和网络的各应用系统原则上划分为生产控制大区和管理信息大区,生产控制大区又可以进一步划分为控制区,安全I区,和非控制区,安全II区,。 控制区,安全I区,的应用系统是电力生产的核心环节,直接实现对电网一次系统的实时监控。控制区的典型业务系统包括,厂站端远动系统、计算机监控系统、调度端能量管理系统、广域相量测量系统、配网自动化系统等,其数据通信采用电力调度数据网的实时子网和专线通道。 非控制区,安全II区,的应用系统是电力生产的必要环节,在线运行,但不具备控制功能。非控制区的典型业务系统包括,继电保护和故障录波信息管理系统、电能量计量系统、调度员培训模拟系统、电力市场运营系统等,其数据通信采用电力调度数据网的非实时子网。 管理信息大区是生产控制大区以外的电力企业管理业务系统,其典型业务系统包括,OMS系统、视频传输系统、电视电话会议系统、MIS系统等,数据通信采用电力综合数据网。 3.2 网络专用 电力调度数据网是为电力系统生产控制大区服务的专用数据网络,应该在专用通道上使用独立的网络设备组网,在物理层面上实现 7 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 与电力企业其它数据网以及外部公告信息网的安全隔离。 电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。 电力调度数据网采用虚拟专网技术划分为多个逻辑隔离的子网,实现网络路由防护。数据网络与业务系统的边界同样需采用必要的访问控制措施和安全隔离措施保证网络边界防护。网络设备需要进行安全配臵,关闭或限定网络服务,避免使用默认路由,设臵高强度的密码,开启访问控制列表,封闭空闲的网络端口。另外,电力调度数据网的建设还应按照安全分层分区的原则进行。各层面的数据网络之间应通过路由限制措施进行安全隔离。 3.3 横向隔离 横向隔离是电力二次系统安全防护体系的横向防线。采用不同强度的安全设备隔离各个安全分区,在生产控制大区和管理信息大区之间必须设臵经国家指定部门检测认证的电力专用横向单向安全隔离装臵,隔离强度应接近或达到物理隔离。按照数据通信方向,电力专用横向单向安全隔离装臵分为正向型和反向型。正向安全隔离装臵用于生产控制大区到管理信息大区的非网络方式的单向数据传输,反向安全隔离装臵用于管理信息大区到生产控制大区的单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。 控制区和非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。 禁止生产控制大区内部的E,mail服务,禁止控制区内通用的 8 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 WEB服务。允许提供纵向安全WEB服务,可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。生产控制大区内的系统间应采用VLAN和访问控制等措施,限制系统间的直接互通。 3.4 纵向认证 纵向认证是电力二次系统安全防护体系的纵向防线。纵向加密认证装臵为广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护,同时具有类似防火墙的安全过滤功能。变电站在生产控制大区与广域网的纵向连接处应设臵经国家指定部门检测认证的电力专用纵向加密认证装臵或者加密认证网关,实现双向身份认证、数据加密和访问控制。加密认证网关除具备加密认证装臵的所有功能外,还应实现对电力系统数据通信应用层协议及报文的处理功能。 9 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 4 调度数据网现状 4.1 江苏省调度数据网现状 江苏电力调度数据网络分为骨干网和省网两大部分,根据“国网扩充工程”可研要求,各个省网需组织配套建设相应的接入网络,在省网层面,接入网分为省级接入网以及市级接入网。至2011年底,通过第二平面调度数据网工程建设工程,建设第一、二平面骨干网络及省级接入网络,并将现有的调度数据网整体改造为“市级接入网”。 1) 第一平面骨干网网络 省调、省调备调及13个地调,采用POS接口互联,形成环网拓扑网络结构,网络带宽为155M。省调、备调核心路由器设备型号为ZXR10-M6000,13个地调骨干路由器设备型号为ZXR10-T600。 第一平面骨干网拓扑结构示意详见图4.1-1。 徐州 宿迁连云港POS155MPOS155MPOSPOSPOSPOS155M155MPOSPOS淮安盐城POSPOS南京155M155M省调POS155MPOSPOSPOSPOSPOS省调155MPOSPOS155MPOS155MPOS泰州155MPOS扬州淮安 POSPOS泰州省调155MPOS155MPOSPOSPOSPOS155M镇江155M155MPOSPOSPOSPOS扬州备调南通POSPOS 155M155MPOSPOSPOSPOS常州155MPOSPOS苏州155M 无锡 图4.1-1,第一平面骨干网网络结构示意图 2) 第二平面骨干网网络 10 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 省调、省调备调及13个地调,采用POS接口互联,形成环网拓扑网络结构,网络带宽为155M。省调、备调核心路由器设备型号为ZXR10-M6000,13个地调骨干路由器设备型号为ZXR10-T600。 第二平面骨干网拓扑结构示意详见图4.1-2。 盐城连云港 宿迁淮安155MPOSPOS155MPOS155MPOSPOS南通POSPOSPOSPOS155M155M155MPOSPOSPOSPOS155M省调备调徐州POSPOSPOS155MPOS155MPOSPOSPOS155M泰州POS155MPOSPOS155MPOSPOS备调155MPOS省调扬州南京省调备调155MPOSPOSPOS155MPOSPOSPOSPOS155M镇江POSPOSPOS155MPOS常州POS155MPOS155M POSPOS苏州无锡 图4.1-2: 第二平面骨干网拓扑结构示意 3) 市级接入网 市级接入网以地区为建设单位,且网络结构相同,共13个。市级接入网由各地区市、县供电公司、统调电厂、220kV及以下变电站组成,采用星型结构组网,核心层为各市供电公司,汇聚层为各县公司,接入层为全省220kV及以下厂站。 市、县供电公司之间采用FE接口互联,220kV变电站采用E1接口上联至所在市、县的路由器,110kV、35kV变电站通过E1接口上联至所在市、县汇接路由器,市、县两台路由器间采用背靠背方式互联。 市公司骨干路由器设备型号为Cisco12410,县公司汇聚路由器均采用Cisco75、76系列设备,汇接路由器采用ZXR10 T64E、RT-SR6608-H3等设 11 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 备,220kV变电站接入路由器均采用Cisco37、36系列的设备,110kV、35kV变电站接入路由器主要采用RT-AR28-10-DC-H3、ZXR1842设备。 市级接入网网络结构示意详见图4.1-3。 地调 县调1 县调N 县调2 县调3 220kV用220kV变110kV110kV 户变电站、35k用户变、35kV变 图4.1-3,市级接入网网络结构示意图 4) 省级接入网网络 省级接入网以地区为单位建设,由环型和星型组成,覆盖地区500kV、220kV变电站。环型网络由各地区地调和500kV汇聚节点组成,采用POS接口互联,带宽按155M计,星型网络由500kV、220kV变电站,不作为汇聚节点的变电站,组成,采用E1接口就近接入500kV汇聚节点带宽按2M计。 12 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 13个地调骨干路由器设备型号为ZXR10-T600,500kV汇聚节点汇聚路由器设备型号为ZXR10-GER08,接入节点,不作为汇聚节点的变电站,接入路由器设备型号为ZXR10-ZSR3884。 省级接入网网络结构示意详见图4.1-4。 地调 155MPOSPOSPOS备调 155MPOS155M 省级接入网POSPOS 汇聚节点1汇聚节点NPOSPOS155M155MPOSPOS 汇聚节点2 500kV电厂500kV变220kV电厂220kV变 图4.1-4,省级接入网网络结构示意图 省级接入网核心节点,地调,采用FE接口分别上联至第一、二平面骨干网。 4.2 扬州调度数据网现状 1) 省级接入网 扬州地区省级接入网节点由扬州地调、江都县调和2个汇聚节点,500kV扬州西变、500kV江都变,组成,采用POS接口互联,带宽按155M 13 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 计,其中,500kV汇聚节点的汇聚路由器下联采用CPOS接口,带宽按155M计,不作为汇聚节点的500kV、220kV变电站上联至所属500kV汇聚节点,组成星形结构,采用E1接口上联,带宽按2M计。 2) 市级接入网 扬州地区市级接入网由骨干层、汇聚层和接入层组成,网络拓扑采用星型结构。骨干层为市公司,汇聚层为县公司,采用FE接口互联,接入层为220kV及以下厂站,其中,市、县220kV变电站采用单路E1接口分别上联至地调骨干路由器和县调汇聚路由器,市、县110kV、35kV变电站采用单路E1接口分别上联至市、县汇接路由器,市、县2台路由器采用背靠背方式互联。 扬州地区市级接入网,通过《扬州地区电力调度数据网第二汇聚点改造工程》,网络结构调整为具有双核心节点的星型网络结构,实现110kV、35kV变电站双路由上联。 扬州地区调度数据网网络结构示意详见图4.2-1。 14 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 第二平面骨干网第一平面骨干网 扬州江都(第一核心节点)扬州(第二核心节点) POS155MPOSPOS华东接入网155M仪征江都500kV省级接入网POSPOS车坊变市级接入网155M江都宝应POS高邮500kV扬POSPOS州西变500kV155M 江都变 图列: 骨干路由器220kV汇聚变电站220kV汇聚变电站 2M2M2M2M汇聚路由器 220kV变电110kV/35kV变电站接入路由器500kV厂站110kV/35kV变电站110kV/35kV变电站站 图4.2-1,扬州地区调度数据网网络拓扑结构示意图 15 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 扬州地区地调与下属县调及本地区110kV变电站调度数据网设备连接如下图4.2-2, 图4.2-2 扬州地区调度数据网通信连接图 16 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 5 扬州地区二次安防现状 5.1扬州地区二次安防主站端 扬州供电公司地调主站端按省公司统一部署规划,采用三角形结构,具体配臵为:I、II区间横向防护采用防火墙,I区纵向采用2台纵向加密认证装臵,II区纵向与I、II区防护均采用防火墙,II区与III区采用正、反向电力专用隔离装臵隔离。每个区使用各自区内交换机连接各应用系统网段,且各区已布臵防病毒系统,能根据实际情况对应用系统进行病毒检测和处理。 扬州供电公司地调主站端生产控制大区与管理信息大区部署入侵检测系统、漏洞管理系统、安全拨号系统,管理信息大区部署访问控制服务系统。具体配臵为,入侵检测系统采用2台入侵检测引擎,2台入侵检测管理工作站,安全拨号系统采用2台安全拨号认证网关,漏洞管理系统采用1台漏洞管理装臵,访问控制服务系统采用2台有线网络认证服务器。 扬州地调二次系统安全防护现在拓扑示意图如下5-1, 17 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 县级调度数据网省级调度数据网省级调度数据网县级调度数据网 防火墙纵向加密装置 信息管理大区生产控制大区I区 II区入侵检测引擎III区入侵检测引擎安全拨号认证网关 入侵检测工访问控制服务器入侵检测工作站作站漏洞管理装置 图5-1扬州地调二次系统安全防护设备组网拓扑图 5.2扬州地区二次安防厂站端 扬州地区110kV及以下变电站已有69座变电站与第一平面连接通道间的二次系统安全防护系统建设完毕。本期建设方案参考上期已建方案完善扬州地区已建二次安全防护系统。 根据扬州地区110kV及以下变电站一平面二次安防已建设方案,如图5-2, 18 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 图5-2扬州地区已建110kV及以下变电站二次安全设备连接图 根据上述扬州地区二次安防系统情况,在本期扬州地区68座110kV及以下变电站改造二次安全防护设备。并根据省公司规划及资金规模优先建设变电站至调度数据网第一平面的二次安防系统,同时根据需要建设部分110kV及以下变电站至第二平面的二次安防。 在本期完善工程建设完善后,本期110kV及以下变电站与扬州地区数据网一平面连接将满足数据网安全性的需要。 19 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 6 工程建设方案 根据国家电网调„2011?684号“110kV变电站需配臵I区纵向加密认证装臵(低端)”,结合苏电调„2012?89号文“各电压等级厂站二次安全防护设备冗余配臵,每套含I区纵向认证加密装臵一台、II区硬件防火墙或纵向认证加密装臵一台”的要求,本期在110kV及以下变电站I、II区各配臵1台纵向加密认证装臵,低端,。并根据江苏地区数据网实际情况优先建设厂站至第一平面连接通道,部分变电站建设第二平面,,改造后的110kV及以下变电站网络拓扑见图6.1, 第一平面第二平面 路由器路由器 纵向加密认纵向加密认 证装置证装置纵向加密认纵向加密认 证装置证装置 数据网数据网数据网数据网 交换机交换机交换机交换机 远动通数据采电能量继电保 集装置装置护装置信装置 安全I区安全II区 图6-1,本期改造的扬州地区110kV及以下变电站网络拓扑图 本期110kV及以下变电站在I、II区与第一平面(部分变电站内为第二平面)连接通道间各配臵一台纵向加密认证装臵,低端,,本期部分第一平面已建变电站则建设站内至第二平面间的连接通道的,并 20 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 根据本期变电站现有机柜空余现状,在部分变电站添加40面机柜以满足设备安装的需要,其他均布臵于站内原有机柜,不需新增,每站配臵设备连接所需电源线、网络线等辅材。扬州州地区68座变电站共需配臵136台纵向加密认证装臵,低端,。 并根据扬州地调的实际情况,在地调端补齐相应的加密网络管理机。地调端配臵一、二平面I、II区配臵加密装臵管理机,共4台加密装臵管理机。 本期添加后扬州地调端二次安全防护系统拓扑结构如图6-2, 县级调度数据网省级调度数据网省级调度数据网县级调度数据网 防火墙纵向加密装置I区加密装置II区加密装置II区加密装置管理管理I区加密装置管理管理 信息管理大区生产控制大区I区 II区入侵检测引擎III区入侵检测引擎安全拨号认证网关 入侵检测工访问控制服务器入侵检测工作站作站漏洞管理装置 图6-2扬州地调端二次安防在本期添加后的拓扑图 21 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 7 设备配臵清单 根据省公司规划及关于二次安防设备的相关要求,结合扬州所属110kV及以下变电站实际情况,配臵相应的设备及辅材,设备列表如下, 表7.1 扬州二次安防设备材料列表 序单 设备名称 数量 型号规格 备注 号 位 纵向加密不少于4个10/100M加密网络 110kV及以下变 认证装臵台 接口,1个终端接口,RS232,,1 136 电站配臵2台 (低端) 1个智能IC卡接口,AC220V。 4个千兆网卡接口,1个百兆网 加密管理地调一、二平面I、 台 卡接口,1个智能IC卡接口。2 4 装臵 II区各配臵1台 双电源。 缺少机柜的 双电源,单路至少9口PDU、 机柜 面 110kV及以下变3 40 空开 电站配臵1面 110kV及以下变 辅材 套 网线40m/站,电源线25m/站 4 68 电站各配臵1套 22 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 8 设备技术参数 110kV变电站纵向加密认证装臵,低端,需满足国网公司对二次安防设备的相关技术规范,具体要求如下, 1) 配臵要求 , 加密网络接口,不少于4个10/100M接口。 , 外设接口,1个终端接口,RJ45、RS232,+ 1个智能IC卡接 口。 , 电源,冗余电源,AC220V。 , 设备厚度不超过1U,可安装于19英寸标准机柜。 2) 技术指标 , 最大并发加密隧道数,大于1024条。 , 100M LAN环境下,加密隧道建立延迟小于1s。 , 明文数据包吞吐量,大于 50Mbps ,50 条安全策略,1024 报 文长度,。 , 密文数据包吞吐量,大于5Mbps ,10条安全策略,1024报 文长度,。 , 数据包转发延迟,小于2ms ,50,密文数据包吞吐量,。 , 满负载数据包丢弃率,0。 3) 功能要求 ,1, 基本功能 , 该装臵应具有状态指示,开机自检功能。 , 该装臵应具有故障告警功能。 23 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 , 该装臵应能进行密文通信。 , 该装臵应支持10/100M自适应以太网口。 , 该装臵应可以通过异步串行口对装臵进行管理,异步串行口 速率为115200bps。 , 该装臵应可以接受装臵管理系统的远程监控和管理。 , 该装臵应支持软件升级。 , 网络适应性,装臵可适应VLAN TRUNK网络环境。 , 为便于故障应急处理,该装臵应支持硬旁路明通模式,不允 许软件方式。 , 该装臵支持与其它厂家同类装臵的互联互通。 , 通过装臵的管理中心准确可靠实现远程的访问和管理,支持 装臵重启、隧道初始化和策略添加等。 ,2, 扩展功能 , 网络环境适应性,装臵支持路由模式与透明模式。现有的网 络拓扑结构无须变动,即可实现各种实时信息的加密传输。 保证不同网段应用的无缝透明接入,支持多种网络接入环境 包括标准的802.1Q多VLAN环境、地址借用的网络环境等。 , 安全加固,操作系统内核应用最新的安全补丁,自定义协议 栈,网络数据的处理完全可控。只有符合本机安全策略的数 据才能到达装臵网络层以上协议,加密网关支持对电力应用 进行应用层选择性加密保 护,所有应用都采用定制的安全协 议,可有效防御攻击。 24 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 , 可靠性与自愈能力,有专门的系统监控模块,负责对密码模 块、远程管理模块和密钥同步模块等进行监控,一旦发现软、 硬件异常情况, 监控进程将予以审计 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 ,同时尝试进行修 复。支持双机热备,支持双 电源冗余工作,保证系统的高可 靠性。 , 为了便于网络运行的可靠性,加密装臵一旦发现隧道对端装 臵断开或者明通则支持明通自适应功能,自动将加密处理的 报文转为明通处理。 , 支持手工批量配臵明通或密通策略。 , 提供证书管理软件,软件要求能对异构系统颁发证书。 , 采用电力专用密码算法对传输的数据进行加密保护,保证数 据的真实性、机密性和完整性。 , 纵向加密设备之间支持基于电力数字证书的认证。 , 支持透明工作方式与设备工作方式,支持NAT。 , 具有基于IP、传输协议、应用端口号的综合报文过滤与访问 控制功能。 , 应支持基于加密隧道的明通功能,根据安全策略,可以对不 同的隧道分别设臵加密或明传。 , 必需具备对电力应用协议的特殊报文进行选择性加密保护。 , 符合《IP加密认证装臵技术规范》的技术要求,支持不同厂 家设备的互联互通。 25 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 , 必须能够识别、处理网络正常运行所需要的路由协议报文及 其他协议报文。 , 必须能够识别、过滤、转发 Trunk 协议的报文,装臵本地配 臵功能必须支持设臵VLanID。 , 提供完备的日志审计功能,如时间、IP、MAC、PORT等日 志信息。对通过加密设备进入监控内网的应用数据及未通过 装臵而被丢失的应用数据进行完整的记录,以便事后审计, 此外,也应具有对加密认证 设备的操作维护日志信息。 , 支持系统告警,支持完备的安全事件告警机制,当发生非法 入侵、装臵异常、通信中断或丢失应用数据时,可通过加密 认证设备专用的告 警串口或网络输出报警信息,日志格式遵 循Syslog标准。 , 安全、方便的维护管理方式,基于图形化的管理界面,方便 对装 臵进行设臵、监视和控制运行。 4) 安全性要求 , 该装臵使用认证卡进行身份验证,通过异步串行口对装臵进 行管理。 , 必须通过国家密码管理委员会办公室组织的安全性审查和技 术鉴定,提供合格证。 , 应采用非Intel指令集的处理器。 , 采用代码可控的安全操作系统。 26 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 , 本身应能够一定程度防御常见的网络攻击,包括ARP Attack、 Ping Attack、Ping of Death Attack、Smurf Attack、Unreachable Host Attack、Land Attack、Teardrop Attack、Syn Attack等。 , 支持装臵密钥、工作参数的备份与恢复。 应支持旁路功能,在紧急故障状态下,可以旁路所有安全功能,作为透明桥接设备工作,必要时允许通过网线旁路。旁路应由人工操作,设备应具有防止误操作的技术措施。在旁路状态下,设备应有明显的警告提示。 27 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 附件, 28 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 附表, 扬州地区110kV及以下变电站加密装臵统计情况 一平面加密装臵建设情况 二平面加密装臵建设情况 序变电站名备是否已建本期建后期建是否已建本期建后期建号 称 注 设 设 设 设 设 设 市区110kV变电站统计资料 1 五里变 ? ? 2 双桥变 ? ? 3 文汇变 ? ? 4 施桥变 ? ? 5 湾头变 ? ? 6 平山变 ? ? 7 汊河变 ? ? 8 杭集变 ? ? 9 南郊变 ? ? 10 琼花变 ? ? 11 施井变 ? ? 12 沙头变 ? ? 13 开发变 ? ? 14 西湖变 ? ? 15 港口变 ? ? 16 方巷变 ? ? 17 火车站变 ? ? 18 头桥变 ? ? 19 龙泉变 ? ? 20 吕桥变 ? ? 21 八里变 ? ? 22 泰安变 ? ? 23 京华变 ? ? 24 东石变 ? ? 25 新坝变 ? ? 26 金槐变 ? ? 27 廖家变 ? ? 28 花园变 ? ? 29 何桥变 ? ? 30 柏树变 ? ? 31 董庄变 ? ? 32 酒甸变 ? ? 小计 32 7 25 市区35kV变电站统计资料 29 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 一平面加密装臵建设情况 二平面加密装臵建设情况 序变电站名备是否已建本期建后期建是否已建本期建后期建号 称 注 设 设 设 设 设 设 1 扬寿变 ? ? 2 北洲变 ? ? 3 扬庙变 ? ? 4 贾桥变 ? ? 5 槐泗变 ? ? 6 朴席变 ? ? 7 瓜洲变 ? ? 小计 6 1 7 仪征110kV变电站统计资料 1 仪城变 ? ? 2 城南变 ? ? 3 谢集变 ? ? 4 城东变 ? ? 5 浦西变 ? ? 6 圩区变 ? ? 7 曹山变 ? ? 8 大仪变 ? ? 9 金马变 ? ? 10 青矿变 ? ? 11 胥南变 ? ? 小计 11 11 仪征35kV变电站统计资料 1 青山变 ? ? 2 矿区变 ? ? 3 马集变 ? ? 4 陈集变 ? ? 5 刘集变 ? ? 6 月塘变 ? ? 7 新集变 ? ? 8 龙河变 ? ? 9 铜山变 ? ? 小计 9 9 江都110kV变电站统计资料 1 龙川变 ? ? 2 新民变 ? ? 3 金湾变 ? ? 4 仙女变 ? ? 5 丁沟变 ? ? 6 吴桥变 ? ? 30 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 一平面加密装臵建设情况 二平面加密装臵建设情况 序变电站名备是否已建本期建后期建是否已建本期建后期建号 称 注 设 设 设 设 设 设 7 中闸变 ? ? 8 甘棠变 ? ? 9 富民变 ? ? 10 浦头变 ? ? 11 塘头变 ? ? 12 江平变 ? ? 小计 9 3 12 江都35kV变电站统计资料 1 城东变 ? ? 2 双沟变 ? ? 3 丁伙变 ? ? 4 邵伯变 ? ? 5 昭关变 ? ? 6 真武变 ? ? 7 凡川变 ? ? 8 武坚变 ? ? 9 小纪变 ? ? 10 郭村变 ? ? 11 麾村变 ? ? 12 宜陵变 ? ? 13 花荡变 ? ? 14 嘶马变 ? ? 15 杨巷变 ? ? 16 黄思变 ? ? 小计 1 15 16 高邮110kV变电站统计资料 1 高邮变 ? ? 2 甘垛变 ? ? 3 周山变 ? ? 4 武安变 ? ? 5 湖西变 ? ? 6 卸甲变 ? ? 7 龙虬变 ? ? 8 德华变 ? ? 9 黄渡变 ? ? 10 神居变 ? ? 11 迎宾变 ? ? 小计 5 6 11 高邮35kV变电站统计资料 31 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 一平面加密装臵建设情况 二平面加密装臵建设情况 序变电站名备是否已建本期建后期建是否已建本期建后期建号 称 注 设 设 设 设 设 设 1 泰山变 ? ? 2 吴堡变 ? ? 3 临泽变 ? ? 4 界首变 ? ? 5 三垛变 ? ? 6 沙埝变 ? ? 7 柘垛变 ? ? 8 车逻变 ? ? 9 伯勤变 ? ? 10 天山变 ? ? 11 菱塘变 ? ? 12 甸垛变 ? ? 13 营南变 ? ? 小计 13 13 宝应110kV变电站统计资料 1 宝应变 ? ? 2 中港变 ? ? 3 望直变 ? ? 4 吉星变 ? ? 5 天平变 ? ? 6 鲁垛变 ? ? 7 柳河变 ? ? 8 白田变 ? ? 小计 5 3 8 宝应35kV变电站统计资料 1 南苑变 ? ? 2 城东变 ? ? 3 小尹变 ? ? 4 郭桥变 ? ? 5 广洋变 ? ? 6 射阳变 ? ? 7 下舍变 ? ? 8 安丰变 ? ? 9 曹甸变 ? ? 10 长沟变 ? ? 11 黄浦变 ? ? 小计 11 11 总计 69 61 7 123 32 扬州地区110KV及以下变电站数据网一平面二次安全防护设备完善工程 初步设计说明 33