《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 解決方案 > 天融信定制電力二次系統(tǒng)安全防護(hù)解決方案

天融信定制電力二次系統(tǒng)安全防護(hù)解決方案

2010-11-08
作者:網(wǎng)絡(luò)
關(guān)鍵詞: 優(yōu)化 安全 解決方案

電力二次系統(tǒng)作為電網(wǎng)公司的重要生產(chǎn)系統(tǒng),長(zhǎng)期受到極大的關(guān)注,電監(jiān)會(huì)按照安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證的思路,將電力網(wǎng)絡(luò)劃分為一區(qū)、二區(qū)、三區(qū)和四區(qū),其中一區(qū)為生產(chǎn)實(shí)時(shí)控制大區(qū),二區(qū)為生產(chǎn)非實(shí)時(shí)控制大區(qū),三區(qū)則為生產(chǎn)管理區(qū),四區(qū)主要為管理信息系統(tǒng)和企業(yè)ERP系統(tǒng)等。
方案背景
根據(jù)《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》(以下簡(jiǎn)稱《規(guī)定》),對(duì)電力系統(tǒng)安全建設(shè)具有重要的指導(dǎo)意義。2006年電監(jiān)會(huì)印發(fā)了《電力二次系統(tǒng)安全防護(hù)總體方案》,提出了省級(jí)以上調(diào)度中心、地縣級(jí)調(diào)度中心、發(fā)電廠、變電站等的二次系統(tǒng)安全防護(hù)方案。這些制度和方案對(duì)各省電力公司的安全體系建設(shè)起著指導(dǎo)意義。
安全需求
本文根據(jù)電力二次系統(tǒng)的防護(hù)要求,總體按照橫向隔離,縱向認(rèn)證的主體,提出了省級(jí)以上調(diào)度中心、地縣級(jí)調(diào)度中心、發(fā)電廠、變電站、配電等的二次系統(tǒng)安全防護(hù)方案,綜合采用防火墻、入侵檢測(cè)、病毒防護(hù)、審計(jì)、安全管理等多種手段,對(duì)二次系統(tǒng)的安全運(yùn)行提供穩(wěn)定可靠的運(yùn)行環(huán)境。電力二次系統(tǒng)安全防護(hù)工作的具體需求如下:
防病毒、木馬等惡意代碼的侵害;
保護(hù)電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的可用性和連續(xù)性;
保護(hù)重要信息在存儲(chǔ)和傳輸過程中的機(jī)密性、完整性;
實(shí)現(xiàn)應(yīng)用系統(tǒng)和設(shè)備接入電力二次系統(tǒng)的身份認(rèn)證,防止非法接入和非授權(quán)訪問;
實(shí)現(xiàn)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)安全事件可發(fā)現(xiàn)、可跟蹤和可審計(jì);
實(shí)現(xiàn)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全管理。
設(shè)計(jì)思路
首先,對(duì)于電力調(diào)度數(shù)據(jù)網(wǎng),按照國(guó)家電監(jiān)會(huì)《電力二次系統(tǒng)安全防護(hù)規(guī)定》的要求,電力調(diào)度數(shù)據(jù)網(wǎng)實(shí)現(xiàn)"安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證"。
其次,對(duì)于電力企業(yè)數(shù)據(jù)網(wǎng),依據(jù)國(guó)家電網(wǎng)公司的指導(dǎo)意見,并結(jié)合國(guó)家電監(jiān)會(huì)《電力二次系統(tǒng)安全防護(hù)規(guī)定》的 "安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證"。
方案設(shè)計(jì)
本方案依據(jù)《電力二次系統(tǒng)安全防護(hù)規(guī)定》和《電力二次系統(tǒng)安全防護(hù)總體方案》等系列方案,并結(jié)合天融信在電力行業(yè)的多年積累,從電力調(diào)度數(shù)據(jù)網(wǎng)和電力企業(yè)數(shù)據(jù)網(wǎng)兩個(gè)方面講解了電力二次系統(tǒng)安全防護(hù)的重點(diǎn),系統(tǒng)安全防護(hù)示意圖如下:

· 對(duì)于電力調(diào)度數(shù)據(jù)網(wǎng)采取以下安全防護(hù)措施:
  在局域上與其他網(wǎng)絡(luò)間必須使用電力系統(tǒng)專用隔離裝置進(jìn)行隔離,I區(qū)縱向必須使用IP認(rèn)證裝置認(rèn)證,II區(qū)可以使用IP認(rèn)證裝置或硬件防火墻作安全防護(hù);
  控制區(qū)與非控制區(qū)之間應(yīng)采用國(guó)產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯隔離。
  安全區(qū)間網(wǎng)絡(luò)橫向和縱向邊界可部署IDS探頭,對(duì)邊界網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行動(dòng)態(tài)檢測(cè),以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。
  在生產(chǎn)控制大區(qū)部署綜合安全管理平臺(tái)或日志審計(jì)系統(tǒng),對(duì)各種網(wǎng)絡(luò)設(shè)備運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全防護(hù)設(shè)備運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析和告警處理。
  安全區(qū)內(nèi)應(yīng)部署防病毒系統(tǒng),定期查殺病毒。
  調(diào)度數(shù)據(jù)網(wǎng)中路由和交換設(shè)備的安全加固。
  通過冗余備份機(jī)制增強(qiáng)核心網(wǎng)絡(luò)節(jié)點(diǎn)的可靠性。
  重要服務(wù)器和通信網(wǎng)關(guān)定期進(jìn)行安全評(píng)估和加固,條件具備情況下,可采用調(diào)度數(shù)字證書進(jìn)行登錄的強(qiáng)身份認(rèn)證。
方案效果
  解決生產(chǎn)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離問題。
  解決網(wǎng)絡(luò)重要區(qū)域存在的單點(diǎn)故障問題。
  解決了訪問控制身份認(rèn)證與授權(quán)問題。
  解決網(wǎng)絡(luò)入侵或病毒爆發(fā)監(jiān)控與預(yù)警問題。
  解決對(duì)不同安全產(chǎn)品日志集中審計(jì)與風(fēng)險(xiǎn)分析問題。
  解決了終端病毒防護(hù)能力較弱問題。
  解決網(wǎng)絡(luò)設(shè)備和策略存在漏洞問題。
  解決對(duì)重要業(yè)務(wù)系統(tǒng)和服務(wù)器使用的強(qiáng)身份認(rèn)證問題。
本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。