二次系统安全防护专项应急预案


1. 总则
?
1.1?电力系统的二次系统是保障电力系统安全稳定运行的重要组成部分,它的安全稳定直接关系到小浪底电厂与河南省电网的安全稳定。依据《电力二次系统安全防护总体方案》和《发电厂二次系统安全防护方案》,结合我厂实际情况,编写本预案。
?
1.2?本预案按照“安全第一、预防为主”的指导方针,坚持预防与救援相结合的原则,以紧急事件的预测、预防为基础,以对紧急事件处理的迅捷、准确为核心,以全力保人身、保枢纽、保设备、保电网为目标,以建立紧急事件的长效管理和应急处理机制为根本,提高快速反应和应急处理能力,将紧急突发事件造成的损失和影响降低到最低程度。
?
2. 概述
?
2.1?电力系统的二次系统,在这里系指发变电系统的测量、传输、调度、管理系统。
?
2.2?小浪底电厂电力二次系统需防护的范围包括小浪底电厂与调度部门的纵向联系通道,小浪底电厂电力二次系统各控制分区之间的横向联系通道,以及二次系统终端计算机。纵向通道包括小浪底电厂电力调度专网与省调接入网和地调接入网(省备调)两个平面的纵向通道,横向通道包括生产控制大区与管理信息大区之间的联系通道。
?
2.3?电力二次系统安全防护体系的故障,主要系指小浪底电厂与省调接入网和地调接入网纵向双平面路由通道故障及信息防护安全事故、生产控制大区中控制区与非控制区设备故障、生产控制大区与管理信息大区间横向路由通道故障及信息防护安全事故,以及各区所属终端端计算机的故障和信息防护安全事故等。
?
3. 应急预案
?
3.1 二次系统安全防护专责人员应急职责
?
3.1.1 在电力二次系统发生设备故障或安全防护事故后,二次系统安全防护专责人员根据故障报告,应立即按照本预案规定的程序,到现场进行抢修,把损失降到最低程度。
3.1.2 向上级报告故障修复的进展程度。
3.1.3 按照“保人身,保设备,保电网”的原则,分工明确,迅速处理。
3.1.4故障处理期间,要求专责人员尽职尽责,联络渠道要明确畅通,联络用语规范,认真做好事故情况的记录工作。
3.1.5电力二次系统安全防护体系应急处置的终止:需防护的二次系统设备恢复正常运行,纵向及横向数据传输均恢复正常,系统所属计算机及路由节点确实查明已无安全防护漏洞,故障及安全隐患分析结论准确、报告翔实,为二次系统安全防护应急处理的终止点。
3.1.6 清理备品备件,对已消耗的重要设备及时补充,事后编写处理报告。
3.1.7 对本预案进行定期演练。
?
3.2 事故预防
?
3.2.1 可能导致出现电力二次系统安全防护体系故障的情况有:
1)二次系统电源中断,或二次系统体系中某一部分电源中断。
2)省调或地调接入网数据通道出现故障。
3)二次系统体系中部分设备出现故障。
4)由于纵向加密装置或防火墙失效而导致生产控制区域安全防护事故。
5)由于横向隔离装置故障而导致的生产控制大区遭受管理信息大区非法入侵。
6)在终端计算机上使用移动媒介(如U盘)感染病毒而导致的二次系统安全防护事故。
7)由于电力二次系统服务器或者终端计算机账户和密码遭受恶意篡改而导致的非法入侵。
?
3.2.2 针对以上情况,需要在平时注意的有:
1)加强对二次系统设备、通道及其电源的日常巡检工作,定期对二次系统设备、通道及其电源进行测试检查,及时消缺。
2)定期对二次安全防护设备及其终端计算机进行检查,发现隐患和漏洞及时修补,定期升级所属网关杀毒软件和防火墙。
?
3.3 设备故障分类和应急处理程序
?
3.3.1 纵向通道故障
小浪底电厂电力二次系统与省调接入网、地调接入网纵向双平面通道故障主要表现为与此相关的光端机、实时和非实时交换机以及终端设备灯光报警、通信接口指示灯闪烁异常、生产管理系统(OMS系统、即时信息系统、并网调度管理系统等)无法登陆等现象。此时应首先查明小浪底电厂机组AGC、AVC功能运行情况,分析和指出遥调、遥控、遥信、遥测信息故障现象。如遥调遥控信息出现异常,应立即告知当班值长申请调度退出机组AGC、AVC运行,然后进行下一步故障处理
?
3.3.2二次系统设备电源故障
1)首先检查厂用电是否正常,同时查看小浪底地面副厂房一楼UPS室通信UPS盘柜,查外部电源电压是否正常、蓄电池组电压是否正常、48V电源浮充装置输出是否正常、直流总开关分合闸状态等。
2)当外部电源均已失去,且蓄电池组已放电完毕,则等待外部电源恢复后,查看浮充装置是否已切至充电状态,若没有则手动切换并查明原因。
?
3.3.3 二次系统某一部分设备电源故障
1)首先检查设备盘柜内部电源开关和UPS室直流负荷屏上的电源开关分合状态,如在分位置,检查盘柜内部和电源线路短路点。
2)在短路点排除后或者发现无短路点时重合电源开关,并检查设备上电情况,倘若以上检查都没有任何问题而设备依然断电,则判断为设备本身故障,应更换故障备件。
?
3.3.4 省调接入网(第一平面)通道出现故障
1)出现这种情况,应立即联系值长,检查AGC、AVC运行情况,必要时退出AGC、AVC运行。
2)检查地调接入网(第二平面)通道数据传输情况,确定调度信息数据已自动切换至地调接入网通道进行传输,并在排除省调接入网通道故障期间确保地调接入网通道数据畅通。
3)首先检查小浪底地面副厂房二楼光端机房的ECI、马可尼光端机报警信号和PCM等其他设备的报警信号,同时联系省调,确定故障时间和现象,采用分段排查法,逐级排查故障位置,必要时联系厂家指导,使用计算机连接光端机、交换机、路由器等设备,查看报警信息和机内配置,或使用维护终端连接PCM查看报警信息以帮助排查。
4)在分段排查法排查自身确无问题,或排查完毕仍不确定故障位置时,不排除因省调接入网主站端进行维修工作而导致通道暂时中断的情况。出现此怀疑时,应及时联系省调,确认对方的工作情况,并密切监视通道是否自行恢复正常。
?
3.3.5 地调接入网(第二平面)通道出现故障
1)地调接入网也称省备调接入网,出现该通道故障情况,应首先检查省调接入网(第一平面)通道数据传输是否正常,并在排除地调接入网(第二平面)通道故障期间确保省调接入网主通道数据畅通。
2)因双平面数据传输设备基本一致,故此故障排查法与3.3.4省调接入网通道故障排查法一致。
?
3.3.6 双平面通道同时出现故障
1)出现此故障,应立即联系值长,退出AGC、AVC运行,同时联系省调,确认故障发生时间和现象,确定是否因主站端工作、临时调整或事故而导致通道中断。
2)检查小浪底电厂电力调度专网盘柜内交换机、路由器等设备运行情况,并检查盘柜电源设备是否正常。
3)首先按3.3.2和3.3.3进行检查,无问题后根据与省调、省备调联系的结果按3.3.4和3.3.5条方法分段检查通信通道各组成部分。
4)电力调度专网双平面设备(如两台路由器)同时故障的概率较小,如果出现该现象,可联系厂家指导,用计算机终端连接设备查看设备故障信息,或请省调远程故障诊断,以确定故障点。
?
3.3.7部分设备出现故障
1)发现此故障后,应首先检查是否只有此单一业务故障,若确定是单一业务故障,则按照相应应急预案处理。
2)倘若发现不止此一项业务故障,则按实时业务与非实时业务两大类,分别排查相对应的通道传输及节点设备,如实时与非实时交换机、路由器、光端机和2M通道等,并按3.3.4和3.3.5条对双平面传输通道进行检查。
?
3.3.8 纵向加密认证装置出现故障时的专项应对措施
1)纵向加密认证装置采用IC芯片卡存储数字密钥,工作于双平面的实时业务通道。它提供了对本厂实时业务数据与省调接入网和地调接入网对端收发时的实时加解密,保护了数据在外部调度网络传输时可能遭到的截获、解密,进而可能的伪造、入侵与攻击,也就保护了本厂设备的生产安全。它可能的故障大致分为损坏与失效两大类。
2)当双平面通道实时业务出现故障后,按分段查找法,确定是纵向加密认证装置故障时,可首先对纵向加密认证装置进行断电复位,然后联系省调(省备调),查询是否正常;如故障仍未恢复,可能是IC芯片卡有误,可重新插拔后再次联系省调(省备调),如仍未恢复,可判断为纵向加密认证装置或IC芯片卡本身损坏,联系厂家处理。
3)在某一平面纵向加密认证装置损坏后,需及时与省调(省备调)沟通,切换该台纵向加密装置后面的旁路按钮至旁通位置,并采取措施确保另一平面通道数据传输正常。
4)纵向加密认证装置失效,一般是由于IC芯片卡数字密钥失效导致,一般由省调(省备调)通知后再进行故障排除。为不影响正常业务传输,在此情况下也可切换该台装置至旁通状态。

?3.3.9 防火墙出现故障时的专项应对措施
1)硬件防火墙相当于一台添加了许多过滤与防护规则的高级路由器,工作于电力调度专网双平面的非实时业务通道。它阻止了从本厂调度数据网络以外可能的入侵与攻击,保护本厂非实时业务的数据安全。它可能出现的故障大致分为内部逻辑错误和损坏两大类。
2)当双平面通道非实时业务出现故障后,按分段查找法,确定是防火墙故障时,首先查看防火墙的“心跳”指示,如果此灯无响应,可对防火墙进行断电复位,然后联系省调(省备调),查询是否正常,如没有恢复正常,可使用计算机连接防火墙,使用远程终端登录查看防火墙的报警信息、安全日志和路由规则,同时联系省调(省备调),以确定省调(省备调)没有因改变业务IP、服务器IP等信息而未通知所导致的路由转发规则错误。
3)如果查看防火墙出现安全警报(刺探、入侵与攻击记录),及时联系厂家与省调,请求协助调查与指导。
4)如果以上措施均无效,防火墙重启不恢复,也无法登陆查看,可判断防火墙损坏。应联系厂家,更换备件。
?
3.3.10 横向隔离装置出现故障时的专项应对措施
1)电力系统专用正向物理隔离装置,相当于一台工作在OSI应用层的1bit单向传输数据隔离计算机,装设于生产控制大区非控制区(II区)与管理信息大区(III区)之间,目的是只允许从管理信息大区(III区)单向读取生产控制大区(II区)的数据,但不允许从生产控制大区直接访问管理信息大区的业务。
2)如果出现二区与三区通信中断,在排查并网调度系统与三区终端计算机无问题后,可判断是横向隔离装置故障,需检查横向隔离装置配置及电源情况并进行复位重启,必要时联系厂家指导处理。
3)如三区某时间访问二区业务时发现能写入、保存数据文件,则可判断是横向隔离装置失效,此时应立即切断三区与二区的物理连接,即拔掉链路上任意一处网线插头,同时联系厂家指导处理。
?
3.3.11 非控制区下属终端计算机染毒
1)生产控制大区中的非控制区(II区)承担非实时业务,它下属的终端计算机主要有OMS系统的终端计算机、并网调度系统的终端计算机等。
2)对终端计算机病毒及其他安全漏洞的处理,主要有防范和补救两大类。
3)防范分两类,一是指在终端计算机上安装软件防火墙、查杀病毒软件,定期更新计算机操作系统补丁、定期对计算机进行查杀病毒操作、定期更新杀毒软件病毒特征库、定期查看与处理防火墙安全报警日志等;二是在计算机操作系统上通过修改组策略与BIOS等,禁用USB存储盘功能,同时禁用光盘自动播放功能,以彻底杜绝可能的外来移动介质毒源。
4)补救是指在发现某台计算机终端已经染毒后,应立即切断该计算机与上级业务通道的网络连接,同时由专责人员对该计算机进行彻底查杀和修补漏洞,直到确认已无任何安全隐患,方可重新接入。
5)在某台计算机断开网络维护期间,需提前准备一台系统干净并安装、更新好杀毒软件、防火墙的台式计算机或笔记本计算机,代替染毒计算机的位置,不影响运行人员正常应用二区的原有业务。
?
3.3.12 控制区下属终端计算机染毒
1)生产控制大区中的控制区(I区)承担实时业务,一般不允许有中断数据等情况发生,故对病毒的安全防范比二区更严。
2)控制一区的计算机终端主要有远动RTU系统的维护计算机、电力调度专网纵向加密认证装置、路由器等维护用移动终端,平时不与设备相连,在故障处理、设备操作或例行巡检时才连接查看。
3)该类移动终端、便携式笔记本应做到专机专用,平时存放于固定地点,不做日常使用用途,并应参照3.3.11条第三项,定期升级机上各类安全软件,定期查杀该计算机病毒。
4)一旦发现该计算机染毒,绝不允许再接入控制区设备,平时应准备一台系统干净、装好安全软件的计算机,并安装相应维护软件,需要时可以立即替换。
?
3.3.13 管理信息大区下属终端计算机染毒
1)管理信息大区(III区)下属的计算机终端数量众多,主要由厂级和局级部门负责维护管理。
2)在正向隔离装置工作正常时,三区计算机并不会对生产控制大区网络及其下属业务设备产生安全隐患;如正向隔离装置失效,则可能造成安全威胁,故障处理方法同3.3.10条第五项。
?
3.3.14生产控制大区或管理信息大区服务器、终端计算机受到非法入侵
1)此类情况首先以预防为主。
2)在平时即需加强对各服务器、计算机终端系统的维护,及时升级补丁,查找漏洞和安全隐患,定时查看系统安全日志、用安全类软件扫描系统,查找有无被入侵的痕迹。
3)如在发现某台终端或服务器异常后,应迅速判明是否为入侵事件,如确定,应立即切断该台终端或服务器与我厂电力二次系统网络的连接,然后由专人负责对其进行反入侵修复。
4)在此期间,需尽快准备并投入使用备用终端和备用服务器,以使操作人员能正常使用该终端或服务器原有的业务。
?
3.4 紧急情况
?
3.4.1 小浪底水电厂二次系统安全防护体系紧急情况有三类:
1)在机组投运AGC、AVC时,二次系统双平面通道突然发生故障,导致小浪底电厂与河南省调(省备调)远动信息无法相互交换,“四遥”数据丢失,从而导致机组失去省网控制,以及由此导致的更严重问题。
2)在小浪底电厂与省调(省备调)进行重要的调度会议、演习、电网抢险或执行重要调度决定,需要不间断联络时,二次系统双平面通道突然发生故障,导致我厂与省调(省备调)失去调度联络,省调(省备调)无法及时掌握我厂机组状况,由此而产生的更严重问题。
3)由于二次系统安全防护节点设备(如纵向加密装置、防火墙、横向隔离装置、杀毒软件等)失效而导致的安全危机,如生产控制大区遭遇病毒攻击、恶意入侵等,及由此导致的对机组正常运行产生的安全威胁等。
?
3.4.2 出现上述(1)、(2)类情况时,应立即联系当值值长,退出机组AGC、AVC运行方式,尽快恢复出力,并密切注意机组状况,加强与省调的电话联系,严格执行省调的人工指令,同时以最快速度判断原因,如为远动系统故障,则按远动系统应急预案处理;如为二次系统双平面通道设备故障,则按本预案处理,尽力在最短时间内修复设备,必要时与省调(省备调)联系搭建临时数据通信通道,尽快恢复调度数据通信。
?
3.4.3 出现上述(3)类情况时,二次系统安全防护专责人员应以最快速度判断染毒源头或入侵节点,断开该处与生产控制大区的物理网络联系,隔离安全威胁,再进行病毒查杀处理。必要时,用维护终端连接各路由器、防火墙等,查看报警信息和安全日志,以进一步分析原因,查缺堵漏,避免再有此类情况发生。
?
?
3.5预案的启动和恢复
?
3.5.1 一旦发生二次系统安全防护事故,此预案便同时启动。
3.5.2 一旦发生紧急情况,此预案紧急情况处理部分便同时启动。
3.5.3 二次系统安全防护专责人员应密切联系运行人员和其他相关维护人员,按照预案程序,尽快修复设备。
3.5.4 在预案启动过程中,应首先确保不应由双平面通道故障而导致的机组AGC、AVC不稳定,杜绝因此而产生的溜甩负荷现象发生。
3.5.5事故处理完毕后,向省调(省备调)以及小浪底电厂上级部门汇报事故处理情况,同时恢复预案,并写出事故分析处理报告。
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
附件1:
应急救援人员及联系方式
应急救援电话
姓名
职务
办公室
宿舍
手机
应急救援指挥部
李明安
总指挥
5043
5578
13503497072
?明
副总指挥
5848
5069
13598466287
?强
副总指挥
5819
5752
13939936988
石月春
副总指挥
5619
5090
13523008108
卢建勇
成员
5622
5073
13613885099
王全洲
成员
3180
5770
13937901803
李向涛
成员
5606
5097
13849951101
?滔
成员
5546
5065
13938818335
杨汉杰
成员
5826
5270
13592038376
詹奇峰
成员
5825
5723
13629803001
?皓
成员
5015
5388
13598169192
?安
成员
5633
5372
13837995731
刘连军
成员
5056
5843
13838820062
应急管理办公室
刘连军
主任
5476
5843
13838820062
李玉明
成员
5476
5784
13613795915
梁君
成员
5476
5621
13503887648
应急抢险队员
?鹏
队员
5409
5072
13939929229
?伟
队员
5799
5096
13653899049
张海蛟
队员
5679
5181
13937916869
杜惠彬
队员
5822
5503
13673790044
?路
队员
5471
5507
13703790615
?斌
队员
5821
5481
13783140014
?跃
队员
5534
3393
13523794846
万永发
队员
5534
3339
13663024358
唐新文
队员
5824
5258
13526982419
李宪栋
队员
5824
5089
13663883951
刘春奇
队员
5418
3326
13526956784
?林
队员
5415
3329
13525413458
马应成
队员
5430
5186
13525979726
刘宇明
队员
5430
5099
13525918381
于永军
队员
3176
5182
13503796602
?琳
队员
5847
5057
13837942285
王文海
队员
5514
5559
13837930339
孙俊峰
队员
5554
5038
13837917321
王建军
队员
5174
5590
13683793696
赵子涛
队员
5845
5147
13949237143
杨继斌
队员
5496
5864
13783170896
?可
队员
3886
5451
13623790122
许清远
队员
7079
5642
13939937679
?皓
队员
5835
5577
13783792431
王宏飞
队员
3178
5551
13937906005
杨利锋
队员
3177
5637
13849999893
屈曙光
队员
5192
5866
13603960908
局应急救援办公室:小浪底建管局安全监督处
火警电话:119
医院:小浪底职工医院值班电话5357
车队:综合服务中心车队值班室5179


?