电力二次安全防护系统的制作方法

1.本发明属于电力系统技术领域，具体涉及一种电力二次安全防护系统。


背景技术：

2.随着电厂数字化、信息化进程的飞速发展，电力信息的安全问题已经相当突出，因为它可直接影响到整个电网的稳定运行和可持续发展。为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故，建立电力二次系统安全防护体系，保障电力系统的安全稳定运行。
3.公开号为cn210867279u的中国专利公开了一种电力二次安全防护系统，通过设置太阳能发电组件、逆变充电模块等部件解决了电力二次安全防护系统的用电问题，但是现有的二次安全防护系统存在的一定问题，主要是生产管理中设计到多个专业所管辖的生产控制系统、监测系统、信息系统，存在着管理层次多、系统多、设备复杂等困难。


技术实现要素：

4.为解决上述问题，本发明采取的技术方案是：一种电力二次安全防护系统，其中，包括生产控制大区、管理信息大区、横向安全防护模块和纵向安全防护模块；所述生产控制大区包括实时区和非实时区；所述管理信息大区包括生产控制大区以外的电力企业管理业务系统的集合；所述横向安全防护模块在横向将生产控制大区和管理信息大区物理隔离；所述纵向安全防护模块对生产控制大区输出的信息进行加密。
5.进一步的，实时区包括安全区ⅰ，所述安全区ⅰ内的典型系统包括机组dcs、水煤灰系统、烟气脱硫dcs、电气网络控制系统fecs、rtu、pmu、ncs，用于数据通信使用电力调度数据网的实时子网或专用通道进行传输。
6.进一步的，实时区中数据传输实时性为毫秒级或秒级。
7.进一步的，非实时区包括安全区ⅱ，所述安全区ⅱ内的典型系统包括厂级监控系统sis、保护及故障录波信息子站系统、电能量计量系统。
8.可选的，非实时区中数据传输实时性为分钟级或小时级。
9.进一步的，管理信息大区包括安全区ⅲ，所述安全区ⅲ包括管理信息系统、办公自动化系统客户服务系统。
10.进一步的，横向安全防护模块包括防火墙、正向隔离装置和网关机；所述防火墙设于安全区ⅰ和安全区ⅱ间，用于区域的逻辑隔离、报文过滤、访问控制；所述正向隔离装置设于安全区ⅰ与安全区ⅲ、安全区ⅱ与安全区ⅲ间，用于物理安全隔离；所述网关机分别设置在安全区ⅰ、安全区ⅱ和安全区ⅲ内，用于各区域间的通信传输。
11.可选的，所述横向安全防护模块还包括组网交换机和入侵检测模块；所述组网交换机分别配置在安全区ⅰ和安全区ⅱ内，用于数据通信的业务系统汇集接入、接入系统之间的访问控制；所述入侵检测模块部署在组网交换机内，用于监测经过交换机的数据流。
12.进一步的，纵向安全防护模块包括纵向加密装置，所述纵向加密装置设于调度专网双平面安全区ⅰ纵向接入交换机与数据网接入路由器之间，用于本地系统与远端相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密。
13.可选的，纵向安全防护模块还包括硬件防火墙，所述硬件防火墙设于调度专网双平面安全区ⅱ纵向接入交换机与数据网接入路由器之间，用于本地系统与远端相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密。
14.综上所述，由于采用了上述技术方案，本发明的有益效果至少包括以下之一：1、在区域划分设计上采取控制跨区域系统节点为切入点，从系统通讯等方面进行分析优选，使性质相同数据交换方式尽量控制在一个网络，从而大幅度减少了工程造价和实施难度，使网络分区也更加合理，降低工程造价，节省投资；2、在网络出口部署的防火墙，并且在管理信息大区核心交换处架设ids设备，在生产控制网络有针对性的部署设备，使改造中增加的设备对生产的冲击降低到最小；
附图说明
15.图1 为二次系统安全防护网络示意图；
具体实施方式
16.为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本发明一部分实施方式，而不是全部的实施方式。通常在此处附图中描述和示出的本发明实施方式的组件可以以各种不同的配置来布置和设计。
17.因此，以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。
18.需要说明的是，在不冲突的情况下，本发明中的实施方式及实施方式中的特征可以相互组合。
19.如图1所示，本发明公开了一种电力二次安全防护系统，包括生产控制大区、管理信息大区、横向安全防护模块和纵向安全防护模块；所述生产控制大区包括实时区和非实时区；所述管理信息大区包括生产控制大区以外的电力企业管理业务系统的集合；所述横向安全防护模块在横向将生产控制大区和管理信息大区物理隔离；所述纵向安全防护模块对生产控制大区输出的信息进行加密。
20.这样设计的目的在于，通过在区域划分设计上采取控制跨区域系统节点为切入点，从系统通讯等方面进行分析优选，使性质相同数据交换方式尽量控制在一个网络，从而
大幅度减少了工程造价和实施难度，使网络分区也更加合理，降低工程造价，节省投资；在网络出口部署的防火墙，并且在管理信息大区核心交换处架设ids设备，在生产控制网络有针对性的部署设备，使改造中增加的设备对生产的冲击降低到最小，解决了现有的二次安全防护系统存在的一定问题，主要是生产管理中设计到多个专业所管辖的生产控制系统、监测系统、信息系统，存在着管理层次多、系统多、设备复杂等困难。
21.在具体实施时，实时区包括安全区ⅰ，所述安全区ⅰ内的典型系统包括机组dcs、水煤灰系统、烟气脱硫dcs、电气网络控制系统fecs、rtu、pmu、ncs，用于数据通信使用电力调度数据网的实时子网或专用通道进行传输，其中实时区中数据传输实时性为毫秒级或秒级。
22.同时，非实时区包括安全区ⅱ，所述安全区ⅱ内的典型系统包括厂级监控系统sis、保护及故障录波信息子站系统、电能量计量系统，非实时区中数据传输实时性为分钟级或小时级，管理信息大区包括安全区ⅲ，所述安全区ⅲ包括管理信息系统、办公自动化系统客户服务系统。
23.同时，横向安全防护模块包括防火墙、正向隔离装置和网关机；所述防火墙设于安全区ⅰ和安全区ⅱ间，用于区域的逻辑隔离、报文过滤、访问控制；所述正向隔离装置设于安全区ⅰ与安全区ⅲ、安全区ⅱ与安全区ⅲ间，用于物理安全隔离；所述网关机分别设置在安全区ⅰ、安全区ⅱ和安全区ⅲ内，用于各区域间的通信传输。
24.再则，横向安全防护模块还包括组网交换机和入侵检测模块；所述组网交换机分别配置在安全区ⅰ和安全区ⅱ内，用于数据通信的业务系统汇集接入、接入系统之间的访问控制；所述入侵检测模块部署在组网交换机内，用于监测经过交换机的数据流。
25.同时，纵向安全防护模块包括纵向加密装置，所述纵向加密装置设于调度专网双平面安全区ⅰ纵向接入交换机与数据网接入路由器之间，用于本地系统与远端相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密。
26.最后，纵向安全防护模块还包括硬件防火墙，所述硬件防火墙设于调度专网双平面安全区ⅱ纵向接入交换机与数据网接入路由器之间，用于本地系统与远端相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密。
27.需要指出的是，在具体使用中安全i区和安全ii区之间部署的防火墙型号为df-fw100，安全区i和安全区ii与安全区iii之间部署的正向隔离装置型号为df-ns 310s。
28.最后应说明的是：以上仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种电力二次安全防护系统，其特征在于，包括生产控制大区、管理信息大区、横向安全防护模块和纵向安全防护模块；所述生产控制大区包括实时区和非实时区；所述管理信息大区包括生产控制大区以外的电力企业管理业务系统的集合；所述横向安全防护模块在横向将生产控制大区和管理信息大区物理隔离；所述纵向安全防护模块对生产控制大区输出的信息进行加密。2.根据权利要求1所述的一种电力二次安全防护系统，其特征在于：所述实时区包括安全区ⅰ，所述安全区ⅰ内的典型系统包括机组dcs、水煤灰系统、烟气脱硫dcs、电气网络控制系统fecs、rtu、pmu、ncs，用于数据通信使用电力调度数据网的实时子网或专用通道进行传输。3.根据权利要求2所述的一种电力二次安全防护系统，其特征在于：所述实时区中数据传输实时性为毫秒级或秒级。4.根据权利要求3所述的一种电力二次安全防护系统，其特征在于：所述非实时区包括安全区ⅱ，所述安全区ⅱ内的典型系统包括厂级监控系统sis、保护及故障录波信息子站系统、电能量计量系统。5.根据权利要求4所述的一种电力二次安全防护系统，其特征在于：所述非实时区中数据传输实时性为分钟级或小时级。6.根据权利要求5所述的一种电力二次安全防护系统，其特征在于：所述管理信息大区包括安全区ⅲ，所述安全区ⅲ包括管理信息系统、办公自动化系统客户服务系统。7.根据权利要求6所述的一种电力二次安全防护系统，其特征在于：所述横向安全防护模块包括防火墙、正向隔离装置和网关机；所述防火墙设于安全区ⅰ和安全区ⅱ间，用于区域的逻辑隔离、报文过滤、访问控制；所述正向隔离装置设于安全区ⅰ与安全区ⅲ、安全区ⅱ与安全区ⅲ间，用于物理安全隔离；所述网关机分别设置在安全区ⅰ、安全区ⅱ和安全区ⅲ内，用于各区域间的通信传输。8.根据权利要求7所述的一种电力二次安全防护系统，其特征在于，所述横向安全防护模块还包括组网交换机和入侵检测模块；所述组网交换机分别配置在安全区ⅰ和安全区ⅱ内，用于数据通信的业务系统汇集接入、接入系统之间的访问控制；所述入侵检测模块部署在组网交换机内，用于监测经过交换机的数据流。9.根据权利要求8所述的一种电力二次安全防护系统，其特征在于：所述纵向安全防护模块包括纵向加密装置，所述纵向加密装置设于调度专网双平面安全区ⅰ纵向接入交换机与数据网接入路由器之间，用于本地系统与远端相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密。10.根据权利要求9所述的一种电力二次安全防护系统，其特征在于：所述纵向安全防护模块还包括硬件防火墙，所述硬件防火墙设于调度专网双平面安全区ⅱ纵向接入交换机与数据网接入路由器之间，用于本地系统与远端相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密。

技术总结
本发明涉及电力系统技术领域，具体涉及是一种电力二次安全防护系统，包括生产控制大区、管理信息大区、横向安全防护模块和纵向安全防护模块；生产控制大区包括实时区和非实时区；管理信息大区包括生产控制大区以外的电力企业管理业务系统的集合；横向安全防护模块在横向将生产控制大区和管理信息大区物理隔离；纵向安全防护模块对生产控制大区输出的信息进行加密，在区域划分设计上采取控制跨区域系统节点为切入点，从系统通讯等方面进行分析优选，使性质相同数据交换方式尽量控制在一个网络，从而大幅度减少了工程造价和实施难度，使网络分区也更加合理，降低工程造价，节省投资。节省投资。节省投资。


技术研发人员：朱俊丰 牛国勇 田佳佳 吴洪福 刘玉群 孙东明
受保护的技术使用者：大唐林州热电有限责任公司
技术研发日：2023.07.04
技术公布日：2023/8/31