1、歡迎下載內(nèi)容僅供參考電力系統(tǒng)安全防護總體方案一、總則電力二次系統(tǒng)安全防護總體方案是依據(jù)電監(jiān)會5 200634 號文的規(guī)定并根據(jù)電網(wǎng)二次系統(tǒng)系統(tǒng)的具體情況制定的網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行。 電力二次系統(tǒng)是指各級電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)以及各級調(diào)度管理信息系 統(tǒng)(OMS)”的規(guī)定，并指導(dǎo)各有關(guān)單位具體實施。二、程度進行分區(qū)，重點保護生產(chǎn)控制以及直接生產(chǎn)電力生產(chǎn)的系統(tǒng)。網(wǎng)絡(luò)專用。電力調(diào)度數(shù)據(jù)網(wǎng) SPDnet 與電力數(shù)據(jù)通信網(wǎng)SPInet 過采用MPLS-VPNIPSECVPNSPDnet和SPInet分別形成多個相互邏輯隔離的VPN實現(xiàn)多層次的保護。

2、效保護。縱向認證、防護。安全區(qū)、的縱向邊界部署IP 整體安全防護隔離情況如下圖所示： 三、電力二次系統(tǒng)安全防護1、安全區(qū)的劃分區(qū)為實時控制區(qū)，第二區(qū)為非控制業(yè)務(wù)區(qū)，第三區(qū)為生產(chǎn)管理區(qū)，第四區(qū)為管理信息區(qū)。11、安全區(qū)是實時控制區(qū)，安全保護的核心。凡是具有實時監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均應(yīng)屬于安全區(qū)。如各級調(diào)度的EMS WAMS （含實時控制功能） 外部邊界的通信均經(jīng)由SPDnet 的實時VPN。、安全區(qū)是非控制業(yè)務(wù)區(qū)不直接進行控制但和電力生產(chǎn)控制有很大關(guān)系PAS、水調(diào)自動化系統(tǒng)、電能量計費系統(tǒng)、發(fā)電 年。該區(qū)的外部通信邊界為SPDnet 的非實時VPN。、安全區(qū)是生產(chǎn)管理區(qū)該區(qū)的系統(tǒng)為

3、進行生產(chǎn)管理的系統(tǒng)，典型的系統(tǒng)為DMIS DTS 氣象信息以及電廠生產(chǎn)管理信息系統(tǒng)等web 瀏覽。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng)SPInet、安全區(qū)IV是辦公管理系統(tǒng)包括辦公自動化系統(tǒng)或辦公管理信息系統(tǒng)。該區(qū)的外部通信邊界為SPInet 或因特網(wǎng)。2、網(wǎng)絡(luò)專用調(diào)度數(shù)據(jù)網(wǎng)。調(diào)度數(shù)據(jù)網(wǎng)必須建立在IP+SDHMPLSVPNMPLS劃分將調(diào)度數(shù)據(jù)網(wǎng)分成VPN1 和VPN2I 的數(shù)據(jù)傳輸和交換通過VPN1 來完成，安全區(qū)II的數(shù)據(jù)傳輸和交換通過VPN2來完成。III網(wǎng)絡(luò)（調(diào)度生產(chǎn)管理信息OMS網(wǎng)絡(luò)）安全區(qū) III 網(wǎng)絡(luò)（調(diào)度生產(chǎn)管理信息OMS 網(wǎng)絡(luò)）生產(chǎn)管理信息，屬于管理信息大區(qū)，它與安全區(qū)IV 網(wǎng)

4、絡(luò)之間主要通過防火墻隔離。3、安全區(qū)之間的橫向隔離及縱向防護在各安全區(qū)之間均需選擇適當(dāng)安全強度的隔離裝置或電力系統(tǒng)有關(guān)部門認證。安全區(qū)與安全區(qū)之間的隔離要求：l采用硬件防火墻可使安全區(qū)之間邏輯隔離。禁止跨越安全區(qū)與安全區(qū)的E-MAIL、WEB、telnet、rlogin。l數(shù)據(jù)應(yīng)用穿透物理隔離裝置的安全防護強度適應(yīng)由安全區(qū)/向安全區(qū)/的單向數(shù)據(jù)傳輸。由安全區(qū)/向安全區(qū)/的單向數(shù)據(jù)傳輸必須經(jīng)安全數(shù)據(jù)過濾網(wǎng)關(guān)串接物理隔離裝置。同一安全區(qū)間縱向防護與隔離l同一安全區(qū)間縱向聯(lián)絡(luò)使用VPN網(wǎng)絡(luò)進行連接l安全區(qū)/分別使用SPDnet 的實時VPN1 與非實時l安全區(qū)/分別使用SPInet的VPN四、防病毒

5、措施I、II、III 的主機與工作站。特別在安全區(qū)I、II 要建立獨立的防病毒中心，病毒特征碼要求III 的防病毒中心原則上可以和安全區(qū)IV 的防病毒中心共用。五、其他安全防護措施、數(shù)據(jù)與系統(tǒng)備份統(tǒng)的可用性。、入侵檢測 IDS對于安全區(qū)I 與 II，建議統(tǒng)一部署一套IDS 網(wǎng)絡(luò)的入侵檢測系統(tǒng)其IDS 探頭主要部署在：安全區(qū)I 與 II 的邊界點、SPDnet 的接入點、以及安全區(qū)I 與 II 內(nèi)的關(guān)鍵應(yīng)用網(wǎng)段。其主要的功能用于捕獲網(wǎng)絡(luò)異常行為，分析潛在風(fēng)險，以及安全審計。對于安全區(qū)III，禁止使用安全區(qū)I 與 II 的 IDS，與安全區(qū)IV 的 IDS 系統(tǒng)統(tǒng)一規(guī)劃部署。、主機防護主機安全防護主要的方式包括：安全配置、安全補丁、安全主機加固。安全配置通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點。禁止不必要的應(yīng)用，作為調(diào)度業(yè)務(wù)系統(tǒng)的專用主機或者工作站，嚴(yán)格管理系統(tǒng)及應(yīng)用軟件的安裝與使用。安全補丁通過及時更新系統(tǒng)安全補丁，消除系統(tǒng)內(nèi)核漏洞與后門。主機加固（包括數(shù)據(jù)與進程）定義的主機安全策略，防止主機權(quán)限被濫用。、CA 與身份認證PKI 是