DL/T 1941-2018
标准分类号
关联标准
出版信息
相关单位信息
标准简介
DL/T 1941-2018.Technical specification for cyber security protection of electric power system supervision and control in renewable energy power station.
1范围
DL/T 1941规定了可再生能源发电站电力监控系统及网络边界安全防护要求。
DL/T 1941适用于并网电压等级在10kV~35kV范围的可再生能源发电站电力监控系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日8期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 36572电力 监控系统网络安全防护导则
国家发展和改革委员会2014 年第14号令电力 监控系统安全防护规定
国能安全(2015) 36号电力监控系统 安全防护总体方案
3术语和定义
下列术语和定义适用于本文件。
3.1可再生能源renewable energy
太阳能、风能、水能、生物质能、地热能、海洋能等非化石能源。
3.2可再生能源发电站renewable energy power station
利用可再生能源转换为电能的工厂,如风电场、光伏电站等。
3.3可再生能源发电单元renewable energy power generation unit
将可再生能源直接转换为电能的发电终端设备,如:风力发电机、太阳能电池板等。
3.4集控中心 centralized control center
实现可再生能源发电站集中数据采集、监视、控制和管理,并且可以在线为调度和监控人员提供系统运行信息、分析决策工具和控制手段,保证发电系统安全、可靠、经济运行。
3.5电力监控系统electric power system supervision and control
用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。
标准内容
ICS29.240.01
备案号:68928-2019
中华人民共和国电力行业标准
DL/T1941—2018
可再生能源发电站电力监控系统网络安全防护技术规范
Technical specification for cyber security protection of electric power systemsupervisionandcontrolinrenewableenergypowerstation2018-12-25发布
国家能源局
2019-05-01实施
1范围·
2规范性引用文件
3术语和定义
4缩略语
5基本要求…
6结构安全
6.1安全分区:
网络专用·
横向隔离…
6.4纵向认证…
7本体安全
系统安全
7.2业务安全
8对外接口安全
8.1接入电力调度主站安全
8.2接入集控中心系统安全
9安全管理…
9.1设备安全管理
9.2网络安全管理
9.3运维安全管理…
参考文献·
DL/T1941—2018
DL/T1941—2018
本标准按照GB/T1.1一2009《标准化工作导则第1部分:标准的结构和编写》给出的规则编写请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国电力企业联合会提出。本标准由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。本标准起草单位:南瑞集团有限公司、国家电网有限公司、中国南方电网公司、中国华能集团公司、国家电网公司华东分部、国家电网公司西南分部、国家电网公司西北分部、国网宁夏电力公司、国网山东省电力公司。
本标准主要起草人:梁野、陶洪铸、陶文伟、周勐英、曾荣汉、马骁、张亮、刘成江、高鑫、张宏杰、刘勇、张晓、汪明、苏扬、苏达、张赛楠、梁智强、孔红磊、张骞。本标准为首次发布。
本部分在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心(北京市白广路二条一号,100761)。
1范围
DL/T1941—2018
可再生能源发电站电力监控系统网络安全防护技术规范本标准规定了可再生能源发电站电力监控系统及网络边界安全防护要求。本标准适用于并网电压等级在10kV~35kV范围的可再生能源发电站电力监控系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T36572电力监控系统网络安全防护导则国家发展和改革委员会:2014年第14号令:电力监控系统安全防护规定国能安全(2015)36号电力监控系统安全防护总体方案3术语和定义
下列术语和定义适用于本文件
可再生能源renewableenergy
太阳能、风能、水能、生物质能、地热能、海洋能等非化石能源。3.2
renewableenergypowerstation
可再生能源发电站
利用可再生能源转换为电能的工厂,如风电场、光伏电站等。3.3
可再生能源发电单元renewableenergypowergenerationunit将可再生能源直接转换为电能的发电终端设备,如:风力发电机、太阳能电池板等。3.4
集控中心centralizedcontrolcenter实现可再生能源发电站集中数据采集、监视、控制和管理,并且可以在线为调度和监控人员提供系统运行信息、分析决策工具和控制手段,保证发电系统安全、可靠、经济运行。3.5
电力监控系统electricpowersystemsupervisionandcontrol用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。3.6
生产控制大区productioncontrolzone由具有数据采集与控制功能、纵向连接使用专用网络或专用通道的电力监控系统构成的安全区域。3.7
管理信息大区
management information zone
生产控制大区之外,主要由企业管理办公业务系统及办公网络构成的安全区域,1
DL/T1941—2018
电力专用横向单向安全隔离装置lateralunidirectionalsafetyisolatingdeviceforelectricpower部署在生产控制大区和管理信息大区之间,用于以非网络方式(物理隔离)实现单向数据传输,按照数据通信方向,电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输,反向安全隔离装置用于从管理信息大区到生产控制大区的非网络方式的单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。
电力专用纵向加密认证装置verticalencryptionandauthenticationdeviceforelectricpower部署在生产控制大区的广域网边界处,采用认证、加密、访问控制等技术措施实现电力监控系统数据的远方安全传输以及纵向边界安全防护的装置。3.10
硬件防火墙hardwarefirewall
实现两个区域间逻辑隔离、报文过滤、访问控制等功能的设备。4缩略语
下列缩略语适用于本文件。
AGC:自动发电控制(automaticgenerationcontrol)AVC:自动电压控制(automaticvoltagecontrol)PMU:同步相量测量装置(phasormeasurementunit)5基本要求
可再生能源发电站电力监控系统应严格遵循GB/T36572《电力监控系统安全防护规定》、信息系统安全等级保护的相关要求,构建以“安全分区、网络专用、横向隔离、纵向认证”为原则的安全防护体系。
可再生能源发电站总体安全防护架构如图1所示。6结构安全
6.1安全分区
可再生能源发电站的电力监控系统应划分为生产控制大区和管理信息大区,生产控制大区根据对一次设备的影响可划分为控制区(安全I区)和非控制区(安全Ⅱ区),重点保护生产控制以及直接影响电力生产(机组运行)的系统可再生能源发电单元测控模块通过无线通信方式接入生产控制大区时,应设立安全接入区。可再生能源发电站电力监控系统的控制区包括发电站监控系统、升压站监控系统、AGC、AVC、PMU、五防系统等:非控制区包括电能量采集装置、继电保护信息子站、故障录波装置、状态监测系统等;管理信息大区包括气象预报系统、生产管理系统等。6.2网络专用
可再生能源发电站的电力调度数据网应在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离,应划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。可再生能源发电站的站内通信网络应采用光纤传输为主、无线传输为辅,确保数据传输安全可靠。2
生产控制大区
调度中心、
集控中心安
全丨区
纵向加密
认证装置
控制区(安全1区)
纵向加密
认证装置
专用有
线通道
微型纵向加
空密认证装置
可再生能源发电
单元测控模块
防火墙
调度中心、
集控中心安
全Ⅱ区
纵向加密
认证装置
非控制区(安全Ⅱ区)
空紧奥盟
安全接入区
卤纵向加密
认证装置
无线通道
微型纵向加
密认证装置此内容来自标准下载网
可再生能源发电
单元测控模块
离装置
反向髓
离装叠
图1可再生能源发电站总体安全防护架构6.3横向隔离
DL/T1941—2018
调度中心、
集控中心管
理信息大区
国防火墙
管理信息大区
可再生能源发电站生产控制大区与管理信息大区之间,生产控制大区与安全接入区之间应设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区的控制区与非控制区之间应设置具有访问控制功能的网络设备、硬件防火墙或者相当功能的设备,实现逻辑隔离、报文过滤、访问控制等功能。6.4纵向认证
可再生能源发电站生产控制大区与调度数据网的纵向边界处应设置经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关及相应措施,实现发电站与调度主站的双向身份认证、数据加密和访问控制。
生产控制大区与其发电单元测控模块采用光纤方式通信,其纵向边界处应设置经过国家指定部门检测认证的电力专用纵向加密认证装置。生产控制大区与其发电单元测控模块采用无线方式通信,应设立安全接入区。安全接入区与发电单元测控模块的纵向连接处应设置经过国家指定部门检测认证的电力专用纵向加密认证装置,应严禁任何无线通信功能设备绕过安全接入区接入生产控制大区。可再生能源发电单元测控模块的纵向连接处应设置经过国家指定部门检测认证的电力专用微型纵向加密认证装置。
DL/T1941—2018
7本体安全
7.1系统安全
可再生能源发电站应对站内系统主机、网络设备、安全设备等进行安全监视,具备主机外设(USB设备、串口设备、并口设备等)接入监控、网络设备接入监控,非法人员登录及操作监控等安全防范手段。
生产控制大区的主机应拆除或关闭软盘驱动、光盘驱动、USB接口、串口等外部接口,禁止在生产控制大区和管理信息大区之间交叉使用移动存储介质以及便携式计算机。7.2业务安全
可再生能源发电站控制区的业务系统主机宜采用经国家指定部门认证的安全操作系统,并及时升级安全补丁,补丁更新前应进行充分的测试,禁止直接通过因特网在线更新。生产控制大区的各业务系统应禁正以任何方式与因特网连接8对外接口安全
8.1接入电力调度主站安全
可再生能源发电站生产控制大区与调度主站的纵向边界处应设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,与调度主站实现双向身份认证、数据加密和访问控制。
8.2接入集控中心系统安全
可再生能源发电站与集控中心应建立独立的数据网实现可再生能源发电站自动化数据采集,不得影响各级调度数据网接入网设备正常运行,各接入网间不得互联。可再生能源发电站与集控中心数据网传输通道应优先采用电力通信网络,如采用租赁运营商公网通信链路方式的,主备通道应采用不同运营商提供的通道。9安全管理
9.1设备安全管理
可再生能源发电站生产控制大区的安全防护产品应获得国家指定机构安全检测证明,应禁止选用工信部、能源局等国家有关部门通报存在风险和漏洞的设备。在运设备存在风险和漏洞的,应按照国家要求全面落实技术和管理方面的加强措施,限期完成整改。9.2网络安全管理
可再生能源发电站应严格执行调度数据网运行管理规定,网络变更必须经上级调控机构审核同意,调度数据网接入方案和安全防护方案,应经直接负责的电力调控机构审核同意,并严格执行调度数据网设备接入管理流程,未经审批不得擅自接入。9.3运维安全管理
可再生能源发电站应对厂家现场维护等第三方人员实施安全监控,严格控制其工作范围和操作权限。生产控制大区应严格控制拨号访问和远程运维,确需使用的,应按照《电力监控系统安全防护总体方案》要求落实技术和管理措施,并实施严格监控和审计。[1]GB/T20272—2006
[2]GB/T21028—2007
[3]GB/T21050—2007
[4]GB/T31366—2015
[5]NB/T31071—2015
参考文献
信息安全技术操作系统安全技术要求信息安全技术服务器安全技术要求信息安全技术网络交换机安全技术要求光伏发电站监控系统技术要求
风力发电场远程监控系统技术规程DL/T1941—2018
中国电力出版社官方微信
电力标准信息微信
中华人民共和国
电力行业标准
可再生能源发电站电力监控系统网络安全防护技术规范
DL/T1941—2018
中国电力出版社出版、发行
(北京市东城区北京站西街19号100005http:/cepp.sgce.com.cn)北京传奇佳彩印刷有限公司印刷*
2019年7月第一版
880毫米×1230毫米
2019年7月北京第一次印刷
16开本0.5印张14千字
印数001—500册
统一书号155198·1518
版权专有
定价15.00元
侵权必究
本书如有印装质量问题,我社营销中心负责退换为您提供最及时、最准确、最权威的电力标准信息155198.1518
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。