泰安抽水蓄能电站监控条系统技术交流.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * NC2000历史曲线查询界面 用于数据库中模拟量数据的历史查询。 可同时查询模拟量数据的历史曲线。 可以自定义起始和终止查询时间以及所查询的测点。 查询后的曲线可以进行自由缩放操作以观测曲线细节。 可以通过Internet/Intranet进行历史数据曲线查询。 AGC/AVC显示 AGC/AVC显示界面用于AGC/AVC高级应用软件的辅助监视，以表格形式直观地显示AGC/AVC软件中所有使用的参数配置，包括AGC/AVC的当前各种状态、参数设置等等。在切换到调试态后，还可以通过该界面方便直观地对AGC/AVC的各种参数进行设置，从而降低了AGC/AVC系统调试的难度、减少了系统调试的工作量。其界面如下所示： 总则 计算机监控系统应严格执行国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》、[2004]电监会5号令《电力二次系统安全防护规定》及电监安全[2006]34号文“关于印发《电力二次系统安全防护总体方案》等安全防护方案的通知”的要求，进行安全防护。 监控系统系统安全防护 主服务器/工作站采用安全加固的操作系统。 所有系统都必须置于相应的安全区内，纳入统一的 安全防护。 分别建立内网、外网公共数据区，内网公共数据分布于生产管理信息服务器，外网公共数据分布于生产管理数据服务平台。 内网、外网配置网络防病毒系统。 安全防护的总体策略 在各安全区部署基于网络的入侵检测系统。 在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。 生产控制大区中的重要业务系统应当采用认证加密机制。 应用IEC61970国际标准时，应根据安全防护方案的原则，将IEC61970规定的功能模块适当置于各安全区中 安全区Ⅰ：实时控制区 凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区Ⅰ。集控中心计算机监控系统控制网和数据交换网划分在安全区Ⅰ。 安全区Ⅱ：非控制生产区 原则上不具备控制功能的生产业务和批发交易业务系统，且使用调度数据网络、在线运行的系统均属于该区。集控中心计算机监控系统非控制网划分在安全区Ⅱ。 安全区划分原则 安全区III：生产管理区 该区的系统为进行生产管理的系统。集控中心计算机监控系统通过生产管理信息服务器与生产管理数据服务平台通信。 安全区Ⅳ：管理信息区Ⅳ 实现电力信息管理和办公自动化功能，使用电力数据通信网络，业务系统的访问界面主要为桌面终端。集控中心计算机监控系统通过生产管理信息服务器与生产管理数据服务平台通信。 安全区Ⅰ与安全区Ⅱ之间的隔离要求 采用经国家有关部门认证的国产硬件防火墙，禁止E-mail、Web、Telnet、Rlogin等访问。 安全区III与安全区Ⅳ之间的隔离要求 安全区III、Ⅳ之间采用经国家有关部门认证的国产硬件防火墙，在生产管理数据服务平台实现。 安全防护区域之间的隔离要求 安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间的隔离要求 安全区Ⅰ、Ⅱ不得与安全区Ⅳ直接联系，安全区Ⅰ、Ⅱ与安全区Ⅲ之间必须设置经国家指定部门检测认可的电力专用横向单向安全隔离装置。 对安全区Ⅰ及安全区Ⅱ的要求 禁止安全区Ⅰ/Ⅱ内部以及跨越安全区Ⅰ、Ⅱ的E-Mail服务。 允许安全区Ⅱ内部及纵向（即上下级间）Web服务。但Web浏览工作站与Ⅱ区业务系统工作站不得共用，而且必须业务系统向Web服务器单向主动传送数据，即可用安全Web。 安全区Ⅰ/Ⅱ的重要业务（如SCADA、电力交易）的远程通信必须采用加密认证机制。 安全区Ⅰ/Ⅱ内的相关系统间应该采取VLAN和访问控制等安全措施，限制系统间的直接互通。 各安全防护区域内部安全防护的基本要求 对安全区Ⅰ/Ⅱ进行拨号访问服务，服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统，并采取认证、加密、访问控制等安全防护措施。 安全区Ⅰ/Ⅱ边界上可以部署入侵检测系统IDS。 安全区Ⅰ/Ⅱ应该部署安全审计措施，把安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。 安全区Ⅰ/Ⅱ应该统一部署恶意代码防护系统，采取防范恶意代码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。 对安全区II