2021-11-13 变电站综合自动化二次系统安全

根据电力二次系统的特点，划分为生产控制大区和管理信息大区
- 生产控制大区分为控制区（安全区Ⅰ）和非控制区（安全区Ⅱ）
- 信息管理大区分为生产管理区（安全区Ⅲ）和管理信息区（安全区Ⅳ）
安全区Ⅰ安全等级最高，安全区Ⅱ次之，其余依次类推。
安全区Ⅰ典型系统：调度自动化系统、变电站自动化系统、继电保护、安全自动控制系统等
安全区Ⅱ典型系统：水库调度自动化系统、电能量计量系统、继保及故障录波信息管理系统等
安全区Ⅲ典型系统：调度生产管理系统（DMIS）、雷电监测系统、统计报表系统等
安全区Ⅳ典型系统：管理信息系统（MIS）、办公自动化系统（OA）、客户服务系统等
实时子网/实时VPN：控制区中的业务系统或功能模块的典型特征为是电力生产的重要环节，直接实现对电力一次系统实时监控，纵向数据通信使用电力调度数据网络或专用信道。安全区1是安全防护的重点与核心。实时控制系统、有实时控制功能的业务模块或未来可能有实时控制功能的业务系统需置于控制区。控制区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据传输实时性为毫秒级或秒级，其数据通信使用电カ调度数据网的实时子网或专用通道进行传输。区内还包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低烦（或低压）自动减负荷系统、负荷管理系统等，这类系统对数据传输的实时性要求为毫秒级或秒级，其中负荷管理系统为分钟级
非实时子网/非实时VPN：非控制区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等，其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非控制区的数据采集频度是分钟级或小时级，其数据通信使用电力调度数据网的非实时子网。
智能变电站数据通信网关机 (即远动机)作为站控层设备，是站内间隔层设备和各级调控中心的桥梁。
- 与现场前置层智能测控保护单元通信的作用：数据通信网关机采集并处理来自前置层智能测控保护单元的各种遥测、遥信信息，存放于实时数据库中。
- 与上位机通信的作用：数据通信网关机把存放于实时数据库中的遥测、遥信等数据按照要求的通信规约发往监控后台计算机，并可接收后台监控系统计算机的各种操作命令对前置层智能测控保护单元完成指定的操作
- 看门狗功能的作用：数据通信网关机通过硬件、软件和操作系统的看门狗绝对保证了通讯管理机在发生不可预知的异常问题时具有自恢复功能
- 网络通讯的作用（规约转换）：数据通信网关机的每个串口通过RS485方式可采集智能测控保护单元的遥测、遥信数据
纵向加密装置：对于实时业务和非实时业务接入电力调度数据网络，必须配置电力专用纵向加密认证装置
路由器（Router）也称为网关（Gateway）。将局域网络连接在一起，组建更大规模的广域网络，并在每个局域网出口对数据进行筛选和处理，是路由器的重要作用之一
事实上，网络防火墙（Fire Wall）更像是企事业单位的门卫制度。各单位借助围墙与外界隔离开来，所有进出人员都必须经过大门，而门卫将对所有人员进行监控和检查，从而保障财产不受损失、人员不受侵害。网络防火墙的作用恰恰也是将内部网络与外部网络分隔开来，对所有进入和外出内部网络的数据进行分析和监控，从而抵御外来非法用户的入侵，并保证内部的重要和敏感数据不致流失。另外，网络防火墙还具有隔离网段、提供代理服务、流量控制等功能，可以满足用户的各种需求。
安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。并分别提出了安全隔离设备应满足的具体要求
按照软硬件形式的划分标准，按照这种方式可以将防火墙划分为软件防火墙和硬件防火墙两种
- 硬件防火墙的硬件和软件都单独进行设计，由专用网络芯片处理数据包。同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞
- 软件防火墙是安装在PC平台上的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化