新能源场站纵向加密部署方案

项目背景

为避免电网发生被攻击事件保证国民生产生活安全，防范黑客对电力二次系统的攻击，国家发展和改革委员会发布2014年第14号令《电力监控系统安全防护规定》(简称发改委2014年14号令)、国家能源局发布2015年第36号令《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（简称能源局2015年36号令） 。

国家电网专家根据上述法规组构建电力二次系统安全防护体系，保障电力二次系统的安全，从而保障电力系统的安全稳定运行，制定电力二次安全防护方案。卫士通公司根据全国电力系统二次系统安全防护专家组制定的《电力系统专用纵向加密认证装置技术规范V3.0》，专门研制开发解决电力调度系统业务数据的机密性及完整性问题的安全装置——电力系统专用纵向加密认证装置。

产品介绍

电力系统专用纵向加密认证装置(以下简称“纵向加密装置”)利用隧道加密技术为用户构建安全可靠的虚拟专用网络，采用国密SM2/SM3/SM4算法、SSF09算法(国电专用对称密码算法)为用户数据提供机密性、完整性保护，为用户内部网络建立安全屏障。为保证和线上现有产品的互联互通，本装置同时支持RSA、MD5算法。

根据装置性能不同纵向加密装置分为SJJ1632-A电力系统专用纵向加密认证装置(千兆型)、SJJ1632-B电力系统专用纵向加密认证装置(百兆型)、SJJ1632-C电力系统专用纵向加密认证装置(十兆型)。

典型部署

调度数据网安全接入方案

在新能源场站端部署4台纵向加密装置，分别是一平面实时纵向加密、非实时纵向加密；二平面实时纵向加密、非实时纵向加密。

在调度端纵向加密认证装置和新能源站端纵向加密认证装置之间建立密文传输的安全隧道，在安全隧道基础上配置相应的业务数据策略，对数据包的传输实现精细到IP及端口的控制，保障各个环网中的数据在环网内处于加密不可破译的安全状态，仅数据最终传输至调度端纵向加密认证装置时进行数据解密，从而保证端到端的选择性、立体化保护。

风电场场区安全接入方案

每个风机塔下部署1台风机数据回传的十兆型微型纵向加密认证装置。

站端部署1台百兆/千兆纵向加密认证装置。

借助风机环网与场站控层风机监控系统的网络互联实现汇聚纵向加密装置（百兆/千兆）与微型纵向加密装置逻辑上联通性。汇聚纵向加密认证装置和各个微型纵向加密认证装置之间建立密文传输的安全隧道，在安全隧道基础上配置相应的业务数据策略，对数据包的传输实现精细到IP及端口的控制，保障各个环网中的数据在风机环网内处于加密不可破译的安全状态，仅数据最终传输至主控室汇聚纵向加密认证装置时进行数据解密被站内风机监控系统的服务器转码编译，从而保证端到端的选择性、立体化保护。

光伏电站站内安全接入方案

每个光伏子阵部署1台数据回传的十兆型微型纵向加密认证装置。

站端部署1台百兆/千兆纵向加密认证装置。

借助光伏区环网与场站控层监控系统的网络互联实现汇聚纵向加密装置（百兆/千兆）与微型纵向加密装置逻辑上联通性。汇聚纵向加密认证装置和各个微型纵向加密认证装置之间建立密文传输的安全隧道，在安全隧道基础上配置相应的业务数据策略，对数据包的传输实现精细到IP及端口的控制，保障各个环网中的数据在环网内处于加密不可破译的安全状态，仅数据最终传输至主控室汇聚纵向加密认证装置时进行数据解密被站内监控系统的服务器转码编译，从而保证端到端的选择性、立体化保护。

汇集站安全接入方案

集控中心安全接入方案