国产伦精品一区二区三区视频无_久久久精品国产免费爽爽爽_91老熟女老女人国产老太_色天天久久欲_日韩高清在线视频

分布式光伏風(fēng)電新能源電站并網(wǎng)必備須知:正反向隔離裝置組網(wǎng)-也適用于微網(wǎng)儲(chǔ)能虛擬電廠

日期:2023-02-04 閱讀量:
分布式光伏風(fēng)電新能源電站并網(wǎng)必備須知:正反向隔離裝置組網(wǎng)-也適用于微網(wǎng)儲(chǔ)能虛擬電廠

詳細(xì)描述

隨著新一代國網(wǎng)加強(qiáng)新能源吸納的改造,越來越多的新能源分布式電站接入國網(wǎng),分布式電站一般都需要數(shù)字化、智能化,接受業(yè)主和智能運(yùn)維方的隨時(shí)查控,也需要接受遠(yuǎn)程主站的電力調(diào)度的動(dòng)態(tài)指令、電能質(zhì)量監(jiān)測的動(dòng)態(tài)報(bào)告等。這里面涉及不同的網(wǎng)絡(luò)系統(tǒng),業(yè)主端一般是開放的互聯(lián)網(wǎng),光伏運(yùn)維也一般是專線外網(wǎng)或VPN加密的外網(wǎng),而電站內(nèi)部生產(chǎn)控制與電力調(diào)度屬于國網(wǎng)生產(chǎn)控制,具有不同的安全等級,因此需要在不同安全區(qū)之間進(jìn)行物理隔離。安全分區(qū)及定義詳見文后附錄1。物理隔離定義詳見附錄2。

國家能源局14號令配套文件(國能安全36號文)提出加強(qiáng)電力監(jiān)控系統(tǒng)安全防護(hù)工作。調(diào)安網(wǎng)[2018]10號文《并網(wǎng)新能源場站電力監(jiān)控系統(tǒng)涉網(wǎng)安全防護(hù)補(bǔ)充方案》,場站必須加強(qiáng)戶外就地采集終端的物理防護(hù),強(qiáng)化就地采集終端的通信安全;站控系統(tǒng)與終端之間網(wǎng)絡(luò)通信部署加密認(rèn)證裝置,實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)加密、訪問控制等安全措施,從而強(qiáng)化站控系統(tǒng)與風(fēng)機(jī)、光伏發(fā)電單元的就地控制終端之間的通信安全。

如圖所示,分布式光伏風(fēng)電電廠(子站)接入國網(wǎng)(主站)時(shí)的組網(wǎng)架構(gòu)圖。


杭州領(lǐng)祺通訊管理機(jī)適配安全隔離組網(wǎng)方案

橫向隔離裝置分為正向隔離裝置及反向隔離裝置。針對的是電力系統(tǒng)安全安全區(qū)Ⅰ、Ⅱ與安全區(qū)Ⅲ之間傳輸間才用到的,橫向隔離裝置相當(dāng)于是安全網(wǎng)閘,數(shù)據(jù)只能單向傳輸,不能雙向。橫向隔離,正向隔離和反向隔離什么區(qū)別?詳見附錄3。


比如Ⅰ區(qū)Ⅱ區(qū)的業(yè)務(wù)需要訪問Ⅲ區(qū)外網(wǎng)的話那就加正向隔離裝置,如果反過來Ⅲ區(qū)外網(wǎng)業(yè)務(wù)需要訪問Ⅰ區(qū)Ⅱ區(qū)內(nèi)網(wǎng)業(yè)務(wù)的話那就用反向隔離裝置,這樣黑客即便入侵也沒有反回的數(shù)據(jù),所以無法進(jìn)行竊取數(shù)據(jù),在一定程度上保護(hù)了電力網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。

分布式新能源入網(wǎng)的安全組網(wǎng)通訊方案(建議收藏)

發(fā)電廠數(shù)據(jù)通訊在使用電力專線或電力調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行數(shù)據(jù)交互的場合外,需要在主站和子站設(shè)置安全接入?yún)^(qū)。安全接入?yún)^(qū)的實(shí)施方案,由用戶對通訊內(nèi)容、主站安全要求、子站安全要求決定。

只上傳數(shù)據(jù)到主站的廠站(主站不對子站進(jìn)行參數(shù)設(shè)置、遙控下發(fā)等命令),廠站內(nèi)需要設(shè)立安全接入?yún)^(qū),并在安全接入?yún)^(qū)內(nèi)加裝正向隔離裝置。

廠站內(nèi)的縱向加密裝置、主站側(cè)反向隔離裝置、主站側(cè)縱向加密裝置,根據(jù)用戶對主站的安全等級要求,做相應(yīng)設(shè)備的增加。

附錄1:什么電力安全區(qū)?安全區(qū)Ⅰ安全區(qū)Ⅱ安全區(qū)Ⅲ安全區(qū)Ⅳ有什么區(qū)別?里面分別有什么系統(tǒng)?SCADA部署在哪個(gè)區(qū)?電能質(zhì)量監(jiān)測部署在哪個(gè)區(qū)?光伏入網(wǎng)涉及哪個(gè)區(qū)?

根據(jù)電力二次系統(tǒng)的特點(diǎn),劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)分為控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ)。信息管理大區(qū)分為生產(chǎn)管理區(qū)(安全區(qū)Ⅲ)和管理信息區(qū)(安全區(qū)Ⅳ)。不同安全區(qū)確定不同安全防護(hù)要求,其中安全區(qū)Ⅰ安全等級最高,安全區(qū)Ⅱ次之,其余依次類推。

風(fēng)電場安全分區(qū)示意圖

安全區(qū)Ⅰ典型系統(tǒng):調(diào)度自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、繼電保護(hù)、安全自動(dòng)控制系統(tǒng)等。

安全區(qū)Ⅱ典型系統(tǒng):電力調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量系統(tǒng)、繼保及故障錄波信息管理系統(tǒng)等。

安全區(qū)Ⅲ典型系統(tǒng):調(diào)度生產(chǎn)管理系統(tǒng)(DMIS)、雷電監(jiān)測系統(tǒng)、統(tǒng)計(jì)報(bào)表系統(tǒng)等。

安全區(qū)Ⅳ典型系統(tǒng):管理信息系統(tǒng)(MIS)、辦公自動(dòng)化系統(tǒng)(OA)、客戶服務(wù)系統(tǒng)等。

如果不確定請咨詢19106568700張工。

附錄2:物理隔離 什么是物理隔離?在電力二次系統(tǒng)中有什么作用?

物理隔離指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理隔離的目的是保護(hù)網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離,才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。同時(shí),物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界,使得網(wǎng)絡(luò)的可控性增強(qiáng),便于內(nèi)部管理。

在物理隔離技術(shù)出現(xiàn)之前,對網(wǎng)絡(luò)的信息安全采取了許多措施,如在網(wǎng)絡(luò)中增加防火墻、防病毒系統(tǒng),對網(wǎng)絡(luò)進(jìn)行入侵檢測、漏洞掃描等。由于這些技術(shù)的極端復(fù)雜性,安全控制十分有限性,這些在線分析技術(shù)無法提供涉密機(jī)構(gòu)提出的高度數(shù)據(jù)安全要求。而且,此類軟件的保護(hù)是一種邏輯機(jī)制,對于邏輯實(shí)體而言極易被操縱。因此,必須有一道絕對安全的大門,保證涉密網(wǎng)的信息不被泄露和破壞,這就是物理隔離所起的作用。

附錄3:正反向隔離 什么是正向隔離?什么是反向隔離?二者的區(qū)別?

電力系統(tǒng)按照安全等級的要求把計(jì)算機(jī)系統(tǒng)分為了I、II、III等。I和II之間要有防火墻,I/II區(qū)與III區(qū)之間則要在物理上做隔離。即I/II發(fā)到III區(qū)的數(shù)據(jù)要經(jīng)過正向隔離裝置,III區(qū)發(fā)到I/II區(qū)的數(shù)據(jù)要經(jīng)過反向隔離裝置。

杭州領(lǐng)祺通訊網(wǎng)關(guān)支持電力E文件標(biāo)準(zhǔn)支持不同廠商的隔離裝置混合方案

正向隔離裝置不接受III區(qū)的數(shù)據(jù)(最多只能過正反向一個(gè)字節(jié)的數(shù)據(jù)),反向隔離裝置只能容許III區(qū)的文件穿透到I區(qū)。

正向安全隔離裝置


1.兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換,并且保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通;

2.表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸,即從安全區(qū)III到安全區(qū)I/II的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù);

3.透明工作方式:虛擬主機(jī)IP地址、隱藏MAC地址

4.基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過濾與訪問控制;

5.支持NAT;

6.防止穿透性TCP聯(lián)接:禁止兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立TCP聯(lián)接,將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)之間的TCP聯(lián)接分解成內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個(gè)網(wǎng)卡的兩個(gè)TCP虛擬聯(lián)接。隔離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接,且只允許數(shù)據(jù)單向傳輸;

7.具有可定制的應(yīng)用層解析功能,支持應(yīng)用層特殊標(biāo)記識別;

8.安全、方便的維護(hù)管理方式:基于證書的管理人員認(rèn)證,使用圖形化的管理界面。

反向隔離裝置


反向隔離裝置用于從安全區(qū)III到安全區(qū)I/II傳遞數(shù)據(jù),是安全區(qū)III到安全區(qū)I/II的唯一一個(gè)數(shù)據(jù)傳遞途徑。反向隔離裝置集中接收安全區(qū)III發(fā)向安全區(qū)I/II的數(shù)據(jù),進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理后,轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序具體過程如下:

1.全區(qū)III內(nèi)的數(shù)據(jù)發(fā)送端首先對需要發(fā)送的數(shù)據(jù)簽名,然后發(fā)給反向隔離裝置;

2.反向隔離裝置接收數(shù)據(jù)后,進(jìn)行簽名驗(yàn)證,并對數(shù)據(jù)進(jìn)行內(nèi)容過濾、有效性檢查等處理。

C.安全區(qū)I/II內(nèi)部接收程序

將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū)I/II內(nèi)部的接收程序,其功能如下:

1.有應(yīng)用網(wǎng)關(guān)功能,實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的接收與轉(zhuǎn)發(fā);

2.具有應(yīng)用數(shù)據(jù)內(nèi)容有效性檢查功能;

3.具有基于數(shù)字證書的數(shù)據(jù)簽名/解簽名功能;

4.實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)傳遞;

5.支持透明工作方式:虛擬主機(jī)IP地址、隱藏MAC地址;

6.支持NAT;

7.基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過濾與訪問控制;

8.防止穿透性TCP聯(lián)接。

D.裝置安全保障要點(diǎn)

隔離裝置本身應(yīng)該具有較高的安全防護(hù)能力,其安全性要求主要包括:

1.用非INTEL指令系統(tǒng)的(及兼容)微處理器;

2.安全、固化的操作系統(tǒng);

3.不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全漏洞,抵御除Dos以外的已知的網(wǎng)絡(luò)攻擊。

橫向隔離裝置部署在生產(chǎn)控制大區(qū)和信息管理大區(qū)之間,即安全區(qū)I/II與安全區(qū)III邊界處。按照功能不同,橫向隔離裝置分為正向型和反向型。從生產(chǎn)控制大區(qū)向管理信息大區(qū)傳輸信息必須采用正向安全隔離裝置;由管理信息大區(qū)向生產(chǎn)控制大區(qū)的少量單向數(shù)據(jù)傳輸必須經(jīng)反向安全隔離裝置。

正向隔離的特點(diǎn):完全單向通訊方式;單向數(shù)據(jù)1Bit返回方式;虛擬主機(jī)IP地址、隱藏MAC地址。

正向隔離的數(shù)據(jù)傳輸流程:

1)I/II區(qū)需要向III區(qū)傳輸數(shù)據(jù)時(shí),隔離裝置內(nèi)網(wǎng)主機(jī)接收數(shù)據(jù),并進(jìn)行協(xié)議剝離,將原始數(shù)據(jù)寫入存儲(chǔ)介質(zhì)。

2)控制器收到完整的交換信號之后,立即切斷與內(nèi)網(wǎng)主機(jī)的物理連接,向外網(wǎng)主機(jī)發(fā)起物理連接,將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)主機(jī)。

3)外網(wǎng)主機(jī)收到數(shù)據(jù)后,立即進(jìn)行網(wǎng)絡(luò)協(xié)議的封裝重組,并將數(shù)據(jù)傳輸給III區(qū)應(yīng)用系統(tǒng)。

反向隔離的特點(diǎn):保證從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸,集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù),進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理后,轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。

反向隔離的數(shù)據(jù)傳輸流程:

1)III區(qū)服務(wù)器將待發(fā)送信息轉(zhuǎn)為E語言格式的純文本文件,并進(jìn)行文件簽名。

2)III區(qū)服務(wù)器與反向隔離裝置外網(wǎng)主機(jī)進(jìn)行密鑰協(xié)商(SM2、SM3算法),建立加密通道(電力專用加密算法),將帶有簽名的E語言文件發(fā)送至反向隔離裝置外網(wǎng)主機(jī)。外網(wǎng)主機(jī)對數(shù)據(jù)進(jìn)行解密、驗(yàn)簽、E語言格式檢查,將通過驗(yàn)證的數(shù)據(jù)擺渡到內(nèi)網(wǎng)主機(jī)。反向隔離裝置只響應(yīng)UDP協(xié)議,因此協(xié)商報(bào)文與數(shù)據(jù)通信報(bào)文都使用UDP協(xié)議。

3)反向隔離裝置內(nèi)網(wǎng)主機(jī)將數(shù)據(jù)傳送I/II區(qū)服務(wù)器應(yīng)用程序。

網(wǎng)絡(luò)隔離裝置要點(diǎn)

一個(gè)網(wǎng)絡(luò)隔離裝置(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)監(jiān)控系統(tǒng)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過網(wǎng)絡(luò)隔離裝置,所以網(wǎng)絡(luò)環(huán)境變得更安全。網(wǎng)絡(luò)隔離裝置可禁止不安全的NFS協(xié)議進(jìn)出保護(hù)網(wǎng)絡(luò),這樣外部攻擊者就不能利用這些脆弱協(xié)議攻擊監(jiān)控系統(tǒng)。隔離裝置可同時(shí)保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中源路由攻擊和ICMP重定向中重定向路徑。網(wǎng)絡(luò)隔離裝置可拒絕所有以上類型攻擊報(bào)文并通知網(wǎng)絡(luò)隔離裝置管理員。

通過以網(wǎng)絡(luò)隔離裝置為中心的安全方案配置,能將所有安全策略配置在網(wǎng)絡(luò)隔離裝置上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比,網(wǎng)絡(luò)隔離裝置的集中安全管理更方便可靠。例如在網(wǎng)絡(luò)訪問時(shí),監(jiān)控系統(tǒng)通過加密口令/身份認(rèn)證方式與其它信息系統(tǒng)通信,在電力監(jiān)控系統(tǒng)基本上不可行,它意味監(jiān)控系統(tǒng)要重新測試,因此用網(wǎng)絡(luò)隔離裝置集中控制,無需修改雙端應(yīng)用程序是最佳的選擇。

如果所有的訪問都經(jīng)過網(wǎng)絡(luò)隔離裝置,那么,網(wǎng)絡(luò)隔離裝置就能記錄下這些訪問并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),網(wǎng)絡(luò)隔離裝置能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。

通過網(wǎng)絡(luò)隔離裝置對監(jiān)控系統(tǒng)及其它信息系統(tǒng)的劃分,實(shí)現(xiàn)監(jiān)控系統(tǒng)重點(diǎn)網(wǎng)段的隔離,一個(gè)監(jiān)控系統(tǒng)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴露了監(jiān)控系統(tǒng)的某些安全漏洞。使用網(wǎng)絡(luò)隔離裝置就可以隱蔽那些透漏內(nèi)部細(xì)節(jié),例如網(wǎng)絡(luò)隔離裝置可以進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),這樣一臺主機(jī)IP地址就不會(huì)被外界所了解, 不會(huì)為外部攻擊創(chuàng)造條件。


分布式光伏電站驗(yàn)收標(biāo)準(zhǔn)(分布式光伏電站驗(yàn)收標(biāo)準(zhǔn)最新)

分布式光伏電站并網(wǎng)要求(光伏電站接入線路并網(wǎng)容量規(guī)定)

光伏電站高中低壓并網(wǎng)方案-數(shù)據(jù)接入集團(tuán)運(yùn)維中心-并網(wǎng)接入調(diào)度數(shù)據(jù)網(wǎng)-主站通訊方案

光伏AVC/AGC系統(tǒng)智能電網(wǎng)電壓和無功自動(dòng)控制AVC系統(tǒng)基本概念、組成、原理、配置設(shè)計(jì)原則與接入調(diào)試

光伏電站監(jiān)控|并網(wǎng)|調(diào)度 杭州領(lǐng)祺工程實(shí)施案例


分享到: