電力二次系統(tǒng)安全防護(hù)的是確保電力信息化系統(tǒng)、電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全,目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊,從而防止一次系統(tǒng)、二次系統(tǒng)事故或大面積停電等事故的出現(xiàn)。
安全防護(hù)的基本原則:電力二次系統(tǒng)安全防護(hù)工作應(yīng)當(dāng)堅(jiān)持安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證的原則,保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。
電力二次系統(tǒng)的參考結(jié)構(gòu)圖如下:
其他安全防護(hù)措施:
- 1、數(shù)據(jù)與系統(tǒng)備份:對關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。
- 2、入侵檢測IDS:
對于安全區(qū)I與II,建議統(tǒng)一部署一套IDS管理系統(tǒng)。考慮到調(diào)度業(yè)務(wù)的可靠性,采用基于網(wǎng)絡(luò)的入侵檢測系
統(tǒng)(NIDS),其IDS探頭主要部署在:
安全區(qū)I與II的邊界點(diǎn)、SPDnet的接入點(diǎn)、以及安全區(qū)I與II內(nèi)的關(guān)鍵應(yīng)用網(wǎng)段。其主
要的功能用于捕獲網(wǎng)絡(luò)異常行為,分析潛在風(fēng)險(xiǎn),以及安全審計(jì)。
對于安全區(qū)III,禁止使用安全區(qū)I與II的IDS,與安全區(qū)IV
的IDS系統(tǒng)統(tǒng)一規(guī)劃部署。
- 3、主機(jī)防護(hù):主機(jī)安全防護(hù)主要的方式包括:安全配置、安全補(bǔ)丁、安全主機(jī)加固。
- 4、安全配置:通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限,減少安全弱點(diǎn)。禁止不必要的應(yīng)用,作為調(diào)度業(yè)務(wù)系統(tǒng)的專用主機(jī)或
者工作站,嚴(yán)格管理系統(tǒng)及應(yīng)用軟件的安裝與使用。
- 5、安全補(bǔ)丁:通過及時(shí)更新系統(tǒng)安全補(bǔ)丁,消除系統(tǒng)內(nèi)核漏洞與后門。
- 6、主機(jī)加固:安裝主機(jī)加固軟件,強(qiáng)制進(jìn)行權(quán)限分配,保證對系統(tǒng)的資源(包括數(shù)據(jù)與進(jìn)程)的訪問符合定義的主機(jī)安全策
略,防止主機(jī)權(quán)限被濫用。
- 7、CA與身份認(rèn)證:基于PKI的CA認(rèn)證系統(tǒng)為電力調(diào)度生產(chǎn)及管理系統(tǒng)與調(diào)度數(shù)據(jù)網(wǎng)上的用戶、關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器提供數(shù)
字證書服務(wù)。
常規(guī)項(xiàng)目配置:
