国家能源局能源行业并网安全条件及评价规范

一、概述

安全生产是我国的一项基本国策,是保证经济建设持续、稳定、协调发展和社会安定的基本条件,也是社会文明进步的重要标志。电力安全生产不仅是电力工业发展的前提和基础,也是电力企业发挥社会效益和提高企业经济效益的保证。

为保障电力系统的安全稳定运行、促进发电行业的高质量可持续发展,国家能源局批准发布了NB/T 10996-2022《风力发电场并网安全条件及评价规范》、NB/T 10997-2022《光伏发电站并网安全条件及评价规范》、NB/T 10998-2022《小水电发电机组并网安全条件及评价规范》(以下简称为“规范”),对风力发电场、光伏发电站以及小水电发电机组并网的安全性评价做出规范。该规范于2022年11月4日正式发布,2023年3月4日正式实施。本文就网络安全部分对规范进行解读。

图片

图1关于转发国家能源局2022年第5号公告全国电网运行与控制标准化技术委员会归口管理标准的通知

二、适用范围

规范中明确指出,对于新建、改建和扩建的发电站均应通过并网安全性评价,并应定期执行并网安全性评价。对于已投入运行光伏项目涉及并网安全主要设备或系统改造或发生重大电力安全事件或设备事故的,应重新进行并网安全性评价。

该规范适用于总装机容量6MW及以上、50MW以下通过1kV及以上电压等级并网的小水电站并网安全性评价,通过其他电压等级与电力系统并网运行的小水电站可参照执行。

适用于通过35kV及以上电压等级并网,以及通过10(20)kV电压等级并网的新建、改建和扩建光伏发电站、光伏发电系统的并网安全性评价,通过其他电压等级与电力系统并网运行的光伏发电系统可参照执行。

适用于通过35kV及以上电压等级并网风力发电场的并网安全性评价,通过其他电压等级与电力系统并网运行的风电场可参照执行。

备注说明:由于三篇规范内容较为相似,以下技术解读以NB/T 10997-2022《光伏发电站并网安全条件及评价规范》为例。

三、电力监控系统网络安全防护要点

对于电力监控系统的网络安全的安全条件及评价规范,涉及规范中总体要求、必备项目以及评价项目三个章节,其中必备项目代表光伏发电站并网运行的最基本要求,主要包含对电网和光伏发电站的安全运行可能造成严重影响的技术和管理内容;评价项目为除必备项目外,光伏发电站并网运行应满足的安全要求,主要用于评并网光伏发电站设备、系统、安全管理工作中影响电网和并网光伏发电站安全稳定运行的危险因素的严重程度。

3.1 总体要求

总体要求中规定,对于新建、改建和扩建的光伏发电站在并网之前均应满足并网安全性评价要求。已投入运行的光伏发电站应定期进行并网安全性评价,且评价周期不得超过5年。发电站并网安全性评价包括电气一次设备、电气二次设备、调度自动化及通信、安全生产管理四部分内容,其中电力监控系统网络安全要求主要包含在“调度自动化及通信”章节中。

发电站并网安全性评价分为发电站自查评和专家查评,发电站按照本规范进行自评价后,按照规范中附录A《安全性评价自查报告参考格式》编制自评报告;在完成自评价后由专家组进行专家查评,对于专家查评中发现的问题要立即整改,对于无法立即整改的问题需要制定相应的整改计划、安全防范和应急措施,并按照规范中附录B《安全性评价问题整改计划参考格式》编制整改计划。

3.2 必备项目

图片

规范中电力监控系统网络安全防护要求继承了电力行业的“安全分区、网络专用、横向隔离、纵向认证”十六字安全结构传统。2005年《电力二次系统安全防护规定》(电监会5号令)提出“电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全”。十六字基本方针作为电力监控系统防护的基本原则,被相关国家标准和其他行业标准借鉴应用,充分验证其防护能力的有效性和行业适用性。

图片

图2“安全分区、网络专用、横向隔离、纵向认证”示意图

  • 安全分区

电力监控系统的网络分区在电力行业已经是约定俗成,同样也符合网络安全等级保护工业控制系统安全扩展要求中,对于安全通信网络的网络架构技术要求。在电力监控系统中关于简化安全区的设置,要遵循就高不就低的原则,同时生产控制大区的纵向互联应与相同安全区互联,避免不同安全区的纵向交叉互联。

  • 网络专用

网络专用主要关注网络安全隔离、子网划分情况和生产控制大区数据通信七层协议的安全措施。电力调度数据网是典型的与生产控制大区相连接的专用网络。
电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现安全隔离;同时划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区,禁止存在生产控制大区与其他网络直连、无逻辑隔离措施或共用网络设备的情况;另外生产控制大区数据通信的七层协议均应采用相应安全措施,具体的安全措施如:禁止采用默认路由,按照业务需求划分VLAN,关闭网络边界OSPF路由功能,采用符合要求的虚拟专网、加密隧道技术,使用符合国家要求的加密算法,使用调度数字证书实现安全认证等。

  • 横向隔离

电力监控系统应在外部公共因特网、管理信息大区、生产控制大区的控制区及非控制区等横向边界部署相应安全措施,形成电力监控系统横向从外到内的四道安全防线,实现核心控制区安全防护强度的累积效应。根据防护强度要求从技术实现角度可划分为单向隔离和逻辑隔离。

单向隔离技术的应用场景为生产控制大区与管理信息大区的数据通信、安全接入区与生产控制大区中其他部分的联接处。简单理解,数据通信源为生产控制大区则需要部署正向安全隔离设施实现数据的单向传输,反之部署反向安全隔离装置。装置必须为通过国家有关机构安全检查认证的电力专用的横向单向隔离装置。

逻辑隔离技术的应用场景为生产控制大区内部的安全区之间的数据通信、管理信息大区和外部公共因特网之间的数据通信以及同一安全区内部不同系统之间的数据通信。生产控制大区内部的安全区之间的逻辑隔离措施可以选用工控专用防火墙,实现网络层的访问控制以及工业控制协议规约检查和过滤。管理信息大区和外部公共因特网以及管理信息大区内部的逻辑隔离措施可以选用下一代防火墙,实现网络层的访问控制、应用级检查、入侵防御以及对威胁情报的检测。

  • 纵向认证

电力监控系统应在国调、网调、省调、地调、县调间,以及各级调度机构与其直调的发电站、变电站之间的纵向边界,部署相应安全措施,形成电力监控系统纵向从下到上的四道安全防线,实现高安全等级控制区安全防护强度的累积效应。纵向数据交互时,应保证数据完整性和保密性,纵向加密认证装置隧道配置策略应细化至业务IP地址、通信端口,且隧道为OPEN状态。生产控制大区的重要业务系统应逐步实现加密认证机制。

3.3 评价项目

图片

冗余备用和数据备份的目的是为了实现电力监控系统的故障快速恢复,建立坚强智能电网,保证业务的连续性。

发电站关键设备(控制器、可编程逻辑控制单元、工业以太网交换机、工控主机等)通过双机或双工的方式实现冗余备用,对于特别重要的设备(如现场运行系统及设备关键部位),除自动化控制方式外,应设有现场手工操作控制机构,同时合理设置数据备份方式、频率等策略,并按照策略执行。

图片

电力监控系统生产控制大区应部署网络安全监测设备(即Ⅱ型网络安全监测装置),实时监测计算机、服务器、网络设备和安全设备的运行状态和网络流量,以便能够及时感知、发现、定位、报告并处理网络攻击或其他异常行为。同时,要求网络安全防护设备的上送日志应符合《电力监控系统监测对象采集信息与命令控制技术要求》中的日志格式要求,能够将设备本身信息及告警上传至网络安全监测设备。

图片

生产控制系统应部署防火墙、入侵检测系统以及防恶意代码的产品,所选产品必须满足相应产品技术规范要求,同时必须保证安全设备策略的有效性,结合入侵检测特征库、病毒库等黑名单方式对网络流量中的安全威胁进行检测匹配,实时发现流经关键网络节点流量中的恶意攻击行为、恶意代码等安全威胁;并且,生产控制大区需要更新特征库或者病毒库的产品必须及时采用离线方式更新,不允许直接通过因特网直接更新。

图片

网络设备、安全设备及各类服务器、工作站的设备安全加固是建立电力监控系统网络安全的基础。具体包括但不局限于以下内容:

  • 软硬件应合理进行安全加固,如启用身份鉴别、访问控制、安全审计等安全功能和策略;
  • 操作系统和基础软件应采用最小化安装原则,仅安装运行需要的组件和应用程序,并及时升级安全补丁,补丁更新前应进行充分的测试,禁止直接通过因特网在线更新;
  • 服务器、工作站等硬件设备应通过防撕封条或者外设管控软件等工具封闭空闲的网络端口和其他无用端口,拆除或封闭不必要的移动存储设备接口,仅保留必要的USB端口。
图片

发电站在并网前以及投运过程中,均应积极开展电力监控系统安全防护评价和等级保护测评工作。对于装机容量200MW及以上的光伏发电站,等级保护按照3级定级,每年进行复测;对于装机容量200MW以下的光伏发电站,等级保护按照2级定级,每两年进行复测。对于电力监控系统安全防护评价和等级保护测评中发现的网络安全风险应及时整改,对于无法立即整改的应及时编制对应风险的整改计划、安全防范和应急措施。

四、结语

在电力行业安全防护实践与探索中总结经验结合国家安全防护标准的背景下,规范提出的电力监控系统网络安全将极大提高电力监控系统的安全性,同时对电力主体企业、自动化厂商和安全厂商等电力相关上下游生态链也提出了新的要求和挑战。