一种储能电站EMS网络安全维护系统及方法与流程

本申请涉及网络安全维护系统的，具体涉及一种储能电站ems网络安全维护系统及方法。

背景技术：

1、储能电站的网络维护是一种日常的维护，现有的技术中，火电厂储能调频ems监控系统部署在储能电站集控箱里，在集装箱ems就地控制柜安装部署边界防护、日志审计管理系统、堡垒机、防病毒模块或者有入侵防御功能的防火墙等信息安全防护系统。该技术存在着集装箱空间小、设备多，环境较差，温湿度不满足计算机房要求以及与火电厂调度数据网二次安防系统重复部署隔离装置、日志审计管理系统、堡垒机、防病毒设备，增加设备成本，且不易达到网络监控系统较高的三级等保测评要求的问题。

2、因此，有必要从储能监控系统的安全性、可靠性、经济性角度以及安防设备环境来解决储能电站的日常网络安全维护。

技术实现思路

1、本申请的主要目的在于克服现有技术的缺点与不足，提供一种储能电站ems网络安全维护系统及方法，通过将储能ems服务器迁移到火电厂调度数据网防护机房、解决安防设备环境差、可靠性低的问题。

2、为了达到上述目的，本申请用以下技术方案：

3、第一方面，本申请提供了一种储能电站ems网络安全维护系统，包括：i区控制区实时子网、ii区非控制区非实时子网、防火墙、ems系统；

4、所述i区控制区实时子网包括i区纵向加密装置、i区维护系统以及调度数据网路由器a或调度数据网路由器b；

5、所述ii区非控制区非实时子网包括ii区纵向加密装置、ii区维护系统以及调度数据网路由器a或调度数据路网由器b；

6、所述ems系统包括原有交换机、协调控制机、多个光纤收发器、新增交换机、新增防火墙和ems服务器；

7、所述i区控制区实时子网通过防火墙与ii区非控制区非实时子网相连；所述ems系统与i区维护系统相连。

8、作为优选的技术方案，所述i区维护系统通过i区纵向加密装置与调度数据网路由器a或调度数据网路由器b相连；所述ii区维护系统通过ii区纵向加密装置与调度数据网路由器b或调度数据网路由器b相连。

9、作为优选的技术方案，所述i区维护系统包括多个i区交换机和i区维护装置；所述ii区维护系统包括多个i区交换机。

10、作为优选的技术方案，所述i区维护装置包括：同步相量主机柜、i区态势感知采集装置、多个i区发电机曲线、多个i区远动装置、多个i区保信子站、远动主机柜以及堡垒机，日志审计系统，准入控制系统，入侵检测系统。

11、作为优选的技术方案，所述同步相量主机柜包括机组侧同步相量采集柜、网控侧同步相量采集柜、新增电厂侧储能相量采集柜和多个新增储能侧相量采集柜。

12、作为优选的技术方案，所述远动主机柜包括i期rtu柜、ii期rtu柜、新增电厂侧储能rtu柜和储能ems协调控制柜；其中，所述远动主机柜分别与多个i区远动装置相连。

13、第二方面，本申请提供了一种储能电站ems网络安全维护方法，包括：

14、将ems服务器迁移到火电厂调度数据网二次安防系统机柜并与火电厂调度数据网的入侵检测系统、堡垒机、日志审计系统联动；

15、将所述火电厂调度数据网的网络安全防护措施及相关策略覆盖到下级的ems系统。

16、作为优选的技术方案，所述联动和覆盖的过程为：

17、入侵检测系统通过旁挂方式接入网络中，将ems系统流量转发到入侵检测系统进行检测分析，如有异常流量则进行告警；堡垒机通过旁挂方式接入网络中，并将ems服务器接入到堡垒机中，并通过堡垒机对ems服务器进行运维管理，利用堡垒机的审计功能对ems服务器日常运维进行审计；日志审计系统通过旁挂方式接入网络中，将ems服务器日志转发到日志审计系统进行保存审计。

18、作为优选的技术方案，还包括将ems服务器日志转发到日志审计系统进行保存审计，通过堡垒机统一管理，具体的配置为：

19、新增防火墙针对ems服务器配置准入策略；

20、堡垒机针对ems服务器做相应用户、角色配置，新增防火墙针对堡垒机做相应的策略配置；

21、日志审计系统增加ems服务器的地址进行日志的监控，新增防火墙针对相应的日志审计做对应的策略；

22、入侵检测系统从原有交换机中拉一条网线过来，同时原有交换机需要配置镜像口到入侵检测系统；

23、确保现有的入侵检测系统包含入侵检测模块或者入侵防御模块，同时还具备防病毒模块，并且入侵检测模块或者入侵防御模块及防病毒模块需对ems系统进行有效防护；

24、将ems服务器、数据库的日志接入日志审计系统进行统一分析管理，同时日志保存时间6个月以上，并且定期备份；

25、将ems的服务器接入堡垒机进行统一运维管理；

26、ems服务器安装杀毒软件，并将病毒库更新到最新版本。

27、作为优选的技术方案，还包括将ems服务器迁移到火电厂调度数据网二次安防系统机柜后，对火电厂的等保测评工作，且火电厂和储能电站的等保测评工作各自独立进行；所述等保测评的范围包括：堡垒机、日志审计系统、入侵检测系统、原有交换机、新增交换机、新增防火墙。

28、综上所述，与现有技术相比，本申请提供的技术方案带来的有效效果至少包括：

29、1.本申请通过将储能ems服务器迁移到火电厂调度数据网防护机房，计算机房环境好，设备可靠性提高；

30、2.并将已有的完备网络安全防护措施及相关策略覆盖到下级的ems系统，减少网络安全防护物资成本；

31、3.将网络层面的入侵检测及防御功能、主机及服务器层面的杀毒或者恶意代码防护、堡垒机、日志审计系统、有入侵防御功能的防火墙用于储能ems控制系统网络安全防护，可达到网络监控系统三级等保测评要求。

技术特征：

1.一种储能电站ems网络安全维护系统，其特征在于，包括：i区控制区实时子网、ii区非控制区非实时子网、防火墙、ems系统；

2.根据权利要求1所述一种储能电站ems网络安全维护系统，其特征在于，所述i区维护系统通过i区纵向加密装置与调度数据网路由器a或调度数据网路由器b相连；所述ii区维护系统通过ii区纵向加密装置与调度数据网路由器b或调度数据网路由器b相连。

3.根据权利要求1所述一种储能电站ems网络安全维护系统，其特征在于，所述i区维护系统包括多个i区交换机和i区维护装置；所述ii区维护系统包括多个i区交换机。

4.根据权利要求3所述一种储能电站ems网络安全维护系统，其特征在于，所述i区维护装置包括：同步相量主机柜、i区态势感知采集装置、多个i区发电机曲线、多个i区远动装置、多个i区保信子站、远动主机柜以及堡垒机，日志审计系统，准入控制系统，入侵检测系统。

5.根据权利要求4所述一种储能电站ems网络安全维护系统，其特征在于，所述同步相量主机柜包括机组侧同步相量采集柜、网控侧同步相量采集柜、新增电厂侧储能相量采集柜和多个新增储能侧相量采集柜。

6.根据权利要求4所述一种储能电站ems网络安全维护系统，其特征在于，所述远动主机柜包括i期rtu柜、ii期rtu柜、新增电厂侧储能rtu柜和储能ems协调控制柜；其中，所述远动主机柜分别与多个i区远动装置相连。

7.一种储能电站ems网络安全维护方法，其特征在于，包括：

8.根据权利要求7所述一种储能电站ems网络安全维护方法，其特征在于，所述联动和覆盖的过程为：

9.根据权利要求7所述一种储能电站ems网络安全维护方法，其特征在于，还包括将ems服务器日志转发到日志审计系统进行保存审计，通过堡垒机统一管理，具体的配置为：

10.根据权利要求7所述一种储能电站ems网络安全维护方法，其特征在于，还包括将ems服务器迁移到火电厂调度数据网二次安防系统机柜后，对火电厂的等保测评工作，且火电厂和储能电站的等保测评工作各自独立进行；所述等保测评的范围包括：堡垒机、日志审计系统、入侵检测系统、原有交换机、新增交换机、新增防火墙。

技术总结
本申请公开了一种储能电站EMS网络安全维护系统及方法，该系统包括：I区控制区实时子网、II区非控制区非实时子网、防火墙、EMS系统；所述I区控制区实时子网包括I区纵向加密装置、I区维护系统以及调度数据路由器A或数据路由器B；所述II区非控制区非实时子网包括II区纵向加密装置、II区维护系统以及调度数据路由器A或调度数据路由器B；所述EMS系统包括原有交换机、协调控制机、多个光纤收发器、新增交换机、新增防火墙和EMS服务器；所述I区控制区实时子网通过防火墙与II区非控制区非实时子网相连；所述EMS系统与I区维护系统相连。本申请将储能EMS服务器迁移到火电厂调度数据网防护机房、解决安防设备环境差、可靠性低的问题。

技术研发人员：彭荣,龙俊,陈旭亮,李新念,汪龙平
受保护的技术使用者：广州发展电力科技有限公司
技术研发日：
技术公布日：2024/1/16