分布式光伏并网网络安全防护技术要求.docx

《分布式光伏并网网络安全防护技术要求.docx》由会员分享，可在线阅读，更多相关《分布式光伏并网网络安全防护技术要求.docx（15页珍藏版）》请在优知文库上搜索。

1、1黄围本文件规定了分布式光伏并网网络安全防护技术要求.本文件适用于通过35kV及以下电乐等级电网接入的新建、改建和扩建分布式光伏.2规葩性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件凡足不注H期的引用文件,其最新版本(包括所有的修改的)适用于本文件.GH/T20272信息安全技术操作系统安全技术要求GB/T2098-1信息安全技术信息安全风险评估方法GB/T22239信息安全技术网络安全等级保护耻本要求GB/T25070信息安全技术网络安全等娘保护安全设计技术要求GB/Z25320.5电力系统管理及其信息交换数据和通信安全第5部分：GB/T18

2、657等及其衍生标准的安全GB/T33342户用分布式光伏发电并网接口技术规范GB/T33593分布式电源并网技术要求GH/T36572电力监控系统网络安全防护导则GH/T41236能源互联网与分布式电泄互动规范D1./T634.5101远动设备及系统第5701部分；传输规约范本远动任务配套标准D1./T634.5101运动设符及系统第5-101部分：传输规约采用标准传输协议案的IEC60870-5-101网络访问D1./T1911UJ再生能源发电站分布式光伏发电系统的电力监控系统网络安全防护技术规范3术语和定义GB/T36572和GB/T20984界定的以及下列术语和定义适用于本文件.3.1

3、分布式光伏发电系统distributedphotovoltaic(PV)powergenerationsystem接入35kV及以下电压等级电网、位于用户附近,在35kV及以下电压等级就地消纳为主的光伏发电系统。3.2网络安全防护cybersecurityp11tection通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故.使网络处于稳定可将运行状态，以及保障网络数据的完整性、保密性、可用性的能力。3.3新能源发电企业远程监视中心newenergypowergenerationeniepriseremotemonitoringcenter新能源发电企业建设的.用干其场

4、站数据的采集、监视和收集功旎,但不具备控制功能的机构.3.4电力监控系统electricpowersystemsupervisionandcontrol用户监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备.以及作为班础支撑的通信及数据网络等，包括电力数据采集与监控系统(SCADA)、能设管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计驾机监桎系统、配电自动化系统、微机维电保护和安全自动装置、广城相量测录系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统、电力两度数据网络等.3.5低压分布式光伏终端lowvol

5、tagedistributedphotovoltaicterminal380Y220V电压等皱的分布式光伏发电相关设备，包括光伏逆变器、光伏井网陆路器、光伏计盘表、通佶规约转换涔等.3.6台区采集装置transformerdiStrictintelligentcollectionterminal台区侧用于数兆采集井上报的装置.包括集中器、智能融合终端、能源控制器等.3.7就地采集终端localacquisitionterminal与发电设备处干同一场地的发电设备控制及信息采集终掂,如风机控制终端、光伏发电单元测控终端等。410kV(6kV)-35kV电压等级分布式光伏并网网络安全防护技术要求4

6、.1 场站端安全防伊技术要求4.1.1 安全分区分布式光伏发电系统的电力监控系统安全分区的要求如Na）电力监控系统应遵循GB/T36572电力监控系统网络安全防护导则中安全分区的部署要求.在系统内部设立生产控制大区,可根据业务系统的实际箭要，设立管理信刖大区，管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业要求划分安全区：b）电力监控系统应单独使用交换机或相当功能的网络设符，不能通过划分V1.AN的方式将不同安全分区的设备接入同一交换机：c）不同分区的设莅应连接到不同的网段，主机设备不可通过双网I：等手段实现跨区联接。同一安全区内部不同业务系统进行数据交互时，应采取V1.AN划

7、分、访问控剌等安全措施，控制交互的规模和频度.4.1.2 边界防护分布式光伏发电系统的电力监控系统边界防护要求如下：a）电力监控系统生产控制X区内部的安全区之间应采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现实现定轮隔离、报交过谑、访问控制等功能：b）电力监控系统若存在管理信息大区，在生产控制大区和管理信息大区之间应设置通过国家有关机构安全检测认证的电力专用横向安全隔离装置，仅允许数据的单向安全传输；c）电力监控系统生产控制大区到管理信息大区的数据传输我用正向安全隔离措施,仅允许单向数据传输；管理信息大区到生产控制大区的数据传输采用反向安全隔礴措施，仅允许单向数据传怆，并采取基于非

8、对称密的技术的签名验证、内容过泌、有效性检查等安全措施：0分布式光伏发电站与电网调度机构之间通过无钱通信网、电力企业其他数据网（非电力调度数匏网）或者外部公用数据网的虚拟专用网络方式（YPv通俗时应在电力监控系统生产控制大区边界处设置通过国家有关机构安全检测认证的电力专用横向单向安全聃黑装置,实现内外网有效依黑,如图1所示：m1分布式允优发电玷使用公用Ml仙网Wpi电网调度机内通伊e）分布式光伏发电站场站就地采集终端与其生产控刎大区内系统间通过无践通信网或外部公用数据网的虚拟专用网络方式（VpN）通信时，应在电力监控系统生产控制大区边界处设置通过分布式光伏发电系统设爵本体安全技术要求如下:a）

9、分布式光伏发电系统的电力监控系统应选用符合国家安全要求、通过入网检测的软便件产品.并及时升级安全补丁：b）分布式光伏发电系统的电力监控系统中软硬件产品原则上应修补全部已知混洞，未修补的海洞需要有风险评估和规避措66：c）分布式光伏发电系统的电力监控系统主机、网络及安防等设备,应使用安全操作系统并加强安全配置管理：d）分布式光伏发电系统的电力监控系统中设备应遵循最小化安奘原则.仅安装备要的组件和应用程序,关闭不需要的系统服务、武认共享和高危端I,并物理封堵空闱端口：e）具有无线通信功能的硬件设备应采用机卡梆定、SIM卡防插拔或eSIM卡等措施保障物理安全；f）分布式光伏发电系统的电力监控系统应严

10、格落实用户身份认证、权限合理划分要求.实施用户的实名制和身份的安全认证，主机、网络及安防设备应修改默认用户和口令，同时刷除多氽的，过期的账户，避免共享账户的存在：）分布式光伏发电系统的电力监控系统中软硬件产品宜支持数字证甘的管理，具备数字证书过期告警、校脸、私钥加密保护、行换的能力，确保数字证有的安全可林：h）分布式光伏发电系统的电力监控系统中主机宜安装防恶意代码软件或配置具有相应功能的软件，井定期升侬和更新防恶意代码库：i）分布式光伏发电系统的电力监控系统中主机可基于可信根对设备的系统引导程序、系统程序等进行可信险证.并在雅测到其Ur信性受到破坏后进行报警,42通信通道安全防护技术要求4.

11、2.1传输方式分布式光伏发电系统传输方式要求如下：a）分布式光伏发电系统与电网调度机构之间可通过电力专用通信网络进行数据交，通信规约应符合D1./T634.5104和D1./T634.5101的规定；b）分布式光伏发电系统与新能源发电企业远程监视中心之间可通过光纤专网、无线通信网、外部公用数据网的虚拟手用网络方式（VPN）通信方式进行数据交互，数据交互时应采用MoDBIS、WTT等稳定可席的通信规约；c）分布式光伏发电系统场站就地聚集终痂与其生产控制大区内系统之间可通过RS485、电力线、光纤、无戏通信网、外部公用数据网的虚拟专用网络方式（VPN）进行数据交互，数据交互时应采用YODBUS、I

12、ECI（M等稳定可取的通信规约。5. 2.2防护措施分布式光伏发电系统通信通道安全防护措施:如卜：a）分布式光伏发电系统与电网调度机构之间的数据传输通道应在物理层面与其他数据网络进行隔离:b）分布式光伏发电系统使用无线通信网与电网调度机构通信时，可采用无线5网技术、端到端网络切片等技术，在物理层面上实现与其他无级网络的安全隔周：c）分布式光伏发电系统与新能源发电企业远程监视中心的数据传输通道,应在物理层面实现与其它数据网络的安全隔离：d）分布式光伏发电系统与电网温度机构进行通信时，应设置通过国家有关机构安全检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现CJ价认证、访问控制和

13、数据加密；e）分布式光伏发电系统与新能源发电企业远程监觇中心迸行通信时,应采取加带认证措施，实现身份认证、访问控制和数据加密；D分布式光伏发电系统场站就地枭集终端与其生产控制大区内系统通过无找公网或外部公用数据网的虚拟专用网络方式（VPN）通信时，应采取加密认证措施，实现身份认证和数据加密。43规约安全防护技术要求分布式光伏发电系统规约安全技术要求：a）分布式光伏发电系统与电网调度机构之间应采用具需安全认证机制的通信规约进行通信。在调度机构与分布式光伏发电系统通信链路建立阶段和调度机构主站控制报文下发阶段，施于国产商用密码算法实现应用层认证，并在报文中增加时间微、随机数等方式保证报文的时效性.

14、防止重放攻击：b）分布式光伏发电系统与新能海发电企业远程监视中心之间应采用具备安全认证机制的通伯规约，在新能源发电企业远程监视中心与分布式光伏发电系统迪怡i路建立阶段,基于密码算法实现应用层认证,并在报文中增加时间做、随机数等方式保证报文的时效性,防止臣放攻击.4.4审计安全防护技术要求分布式光伏发电系统安全审计要求如下：a）应后用安全审计功能,审计躅装到每个用户,对重要的用户行为和笊要安全事件进行审计：ngguoNBXXXXb）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息：C）应对审计记录进行保护,定期的份,避免受到未预期的捌除、蟋改或覆盅等：d）应对审

15、计记录进行分析,并当发现异常行为时进行告警，并将告警怕息接入到相应的网控机Khe）网络运行状态相关I忐、网络安全货件相关口志留存不少于六个月。4 5新镇源发电企业远程监视中心安全防护技术要求新能源发电企业远程监视中心安全技术要求如下：a）管理分布式光伏场站装机总容量在200MI及以上的新能源发电企业远程监视中心安全保护等级应定为三级，并按照等线保护3级标准进行防护；b）管理分布式光伏场站装机总容喳在20ClMI以卜的新能源发电企业远程监视中心的安全保护等级应定为：级，并按照等级保护2级标准进行防护；c）宜具备批网络攻击、网络入侵能力,并在检测到入侵时能鲂及时阻止攻击或关闭与被攻击分布式光伏发电系统之间的通信通道：1）宜具备时接入分布式光伏发电系统的网络流量、协议和行为特征进行安全监测的能力：M宜具番访问控制能力，实现基于唯一标示、IP地址、MAC地址等设备信息的纵向访问控制；f）宜具备对主机、网络及安防等设备的关设进程、关键文件等进行监视的能力.5 380V/220V电压等级分布式光伏并网网络安全防护技术要求5.1 低压分布式光伏接端安全防护技术要求低压分布式光伏终端技术要求如下：a）应选用符合国家安全要求、通过入网检冽的产品，终端上运行的应用软件应为经检测合格的版本：b）低压分布式光伏终潮应关闭非必要端门及服务，满足安全班规配