電力系統(tǒng)安全防護(hù)總體方案

1、電力系統(tǒng)安全防護(hù)總體方案 PAGE * roman ii目錄 HYPERLINK l _TOC_250063 前言1 HYPERLINK l _TOC_250062 電力系統(tǒng)安全防護(hù)的總體原則2 HYPERLINK l _TOC_250061 適應(yīng)范圍2 HYPERLINK l _TOC_250060 安全防護(hù)目標(biāo)2 HYPERLINK l _TOC_250059 相關(guān)的安全防護(hù)法規(guī)4 HYPERLINK l _TOC_250058 電力系統(tǒng)安全防護(hù)策略5 HYPERLINK l _TOC_250057 電力系統(tǒng)的安全區(qū)劃分5 HYPERLINK l _TOC_250056 電力系統(tǒng)四安全區(qū)拓

2、撲結(jié)構(gòu)8 HYPERLINK l _TOC_250055 電力系統(tǒng)安全防護(hù)方案的步驟9 HYPERLINK l _TOC_250054 電力系統(tǒng)安全防護(hù)技術(shù)11 HYPERLINK l _TOC_250053 電力數(shù)據(jù)通信網(wǎng)絡(luò)的安全防護(hù)11 HYPERLINK l _TOC_250052 備份與恢復(fù)12 HYPERLINK l _TOC_250051 防病毒措施13 HYPERLINK l _TOC_250050 防火墻13 HYPERLINK l _TOC_250049 入侵檢測(cè) IDS13 HYPERLINK l _TOC_250048 主機(jī)防護(hù)13 HYPERLINK l _TOC_25

3、0047 數(shù)字證書(shū)與認(rèn)證14 HYPERLINK l _TOC_250046 專(zhuān)用安全隔離裝置16 HYPERLINK l _TOC_250045 IP 認(rèn)證加密裝置18 HYPERLINK l _TOC_250044 WEB 服務(wù)的使用與防護(hù)18 HYPERLINK l _TOC_250043 EMAIL 的使用19 HYPERLINK l _TOC_250042 計(jì)算機(jī)系統(tǒng)本地訪(fǎng)問(wèn)控制19 HYPERLINK l _TOC_250041 遠(yuǎn)程撥號(hào)訪(fǎng)問(wèn)19 HYPERLINK l _TOC_250040 線(xiàn)路加密設(shè)備21 HYPERLINK l _TOC_250039 3.15 安全“蜜罐”

4、21 HYPERLINK l _TOC_250038 應(yīng)用程序安全21 HYPERLINK l _TOC_250037 關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器安全增強(qiáng)21 HYPERLINK l _TOC_250036 安全審計(jì)22 HYPERLINK l _TOC_250035 安全產(chǎn)品整體部署23 HYPERLINK l _TOC_250034 調(diào)度中心（地調(diào)及以上）系統(tǒng)安全防護(hù)方案24 HYPERLINK l _TOC_250033 調(diào)度中心各系統(tǒng)安全區(qū)的劃分24 HYPERLINK l _TOC_250032 調(diào)度自動(dòng)化系統(tǒng)的安全防護(hù)24 HYPERLINK l _TOC_250031 電力交易系統(tǒng)的安全

5、防護(hù)27 HYPERLINK l _TOC_250030 電能量計(jì)量系統(tǒng)的安全防護(hù)30 HYPERLINK l _TOC_250029 水調(diào)自動(dòng)化系統(tǒng)安全防護(hù)方案32 HYPERLINK l _TOC_250028 繼電保護(hù)和故障錄波信息系統(tǒng)的安全防護(hù)34 HYPERLINK l _TOC_250027 調(diào)度生產(chǎn)管理系統(tǒng)的安全防護(hù)37 HYPERLINK l _TOC_250026 調(diào)度控制中心的安全部署38 HYPERLINK l _TOC_250025 配電系統(tǒng)安全防護(hù)方案41 HYPERLINK l _TOC_250024 配電系統(tǒng)典型配置41 HYPERLINK l _TOC_2500

6、23 配電系統(tǒng)邊界分析42 HYPERLINK l _TOC_250022 配電系統(tǒng)物理邊界和安全部署參考圖44 HYPERLINK l _TOC_250021 變電站系統(tǒng)安全防護(hù)方案46 HYPERLINK l _TOC_250020 變電站應(yīng)用系統(tǒng)環(huán)境分析46 HYPERLINK l _TOC_250019 變電站系統(tǒng)邊界分析47 HYPERLINK l _TOC_250018 變電站系統(tǒng)安全整體部署圖49 HYPERLINK l _TOC_250017 發(fā)電廠(chǎng)系統(tǒng)安全防護(hù)方案51 HYPERLINK l _TOC_250016 參考邏輯結(jié)構(gòu)51 HYPERLINK l _TOC_2500

7、15 整體安全部署54 HYPERLINK l _TOC_250014 安全管理57 HYPERLINK l _TOC_250013 建立完善的安全管理組織機(jī)構(gòu)57 HYPERLINK l _TOC_250012 安全評(píng)估的管理58 HYPERLINK l _TOC_250011 具體安全策略的管理58 HYPERLINK l _TOC_250010 工程實(shí)施過(guò)程的安全管理58 HYPERLINK l _TOC_250009 設(shè)備、應(yīng)用及服務(wù)的接入管理58 HYPERLINK l _TOC_250008 建立完善的安全管理制度59 HYPERLINK l _TOC_250007 運(yùn)行管理59

8、HYPERLINK l _TOC_250006 應(yīng)急處理61 HYPERLINK l _TOC_250005 聯(lián)合防護(hù)61 HYPERLINK l _TOC_250004 附錄一 數(shù)據(jù)資源安全等級(jí)的 CIA 測(cè)度63 HYPERLINK l _TOC_250003 附錄二 服務(wù)等級(jí)的測(cè)度63 HYPERLINK l _TOC_250002 附錄三 接口類(lèi)型的定義63 HYPERLINK l _TOC_250001 附錄四 環(huán)境信任度的測(cè)度64 HYPERLINK l _TOC_250000 附錄五 主要術(shù)語(yǔ)的中英文對(duì)照64 PAGE * roman iii圖形索引圖 1 電力系統(tǒng)邏輯結(jié)構(gòu)示意圖

9、2圖 2 安全防護(hù)的 P2DR 模型4圖 3 電力系統(tǒng)安全防護(hù)總體示意圖8圖 4 電力系統(tǒng)四安全區(qū)的三種拓?fù)浣Y(jié)構(gòu)9圖 5 電力系統(tǒng)安全防護(hù)總體方案的實(shí)施進(jìn)度10圖 6 電力數(shù)據(jù)業(yè)務(wù)與網(wǎng)絡(luò)的關(guān)系示意圖12圖 7 典型遠(yuǎn)方控制過(guò)程及典型認(rèn)證加密方式15圖 8 安全隔離裝置部署示意圖16圖 9 撥號(hào)防護(hù)示意圖20圖 10 安全代理方式加強(qiáng)應(yīng)用系統(tǒng)22圖 11 調(diào)度系統(tǒng)安全產(chǎn)品部署示意圖23圖 12 EMS 系統(tǒng)的邏輯邊界示意圖24圖 13 EMS 系統(tǒng)的物理邊界及安全部署示意圖26圖 14 電力交易系統(tǒng)的邏輯邊界示意圖27圖 15 電力交易系統(tǒng)的物理邊界及安全部署示意圖28圖 16 電能量計(jì)量系統(tǒng)邏

10、輯邊界示意圖30圖 17 電能量計(jì)量系統(tǒng)的物理邊界及安全部署示意圖31圖 18 水調(diào)自動(dòng)化系統(tǒng)的邏輯邊界示意圖32圖 19 水調(diào)自動(dòng)化系統(tǒng)安全產(chǎn)品部署示意圖33圖 20 繼電保護(hù)和故障錄波信息系統(tǒng)的邏輯邊界示意圖34圖 21 繼電保護(hù)和故障錄波系統(tǒng)安全部署過(guò)渡方案示意圖36圖 22 繼電保護(hù)和故障錄波系統(tǒng)安全部署最終方案示意圖37圖 23 調(diào)度生產(chǎn)管理系統(tǒng)的整體安全部署示意圖38圖 24 調(diào)度中心系統(tǒng)安全防護(hù)總體結(jié)構(gòu)示意圖39圖 25 配電自動(dòng)化系統(tǒng)典型配置圖41圖 26 配電系統(tǒng)的邏輯邊界示意圖42圖 27 配電系統(tǒng)物理邊界和安全部署參考圖44圖 28 變電站系統(tǒng)典型配置圖46圖 29 變電

11、站系統(tǒng)的邏輯邊界示意圖47圖 30 變電站系統(tǒng)安全產(chǎn)品部署示意圖49圖 31 水電廠(chǎng)系統(tǒng)參考邏輯結(jié)構(gòu)圖 A51圖 32 水電廠(chǎng)系統(tǒng)參考邏輯結(jié)構(gòu)圖 B52圖 33 火電廠(chǎng)系統(tǒng)參考邏輯結(jié)構(gòu)圖53圖 34 水電廠(chǎng)系統(tǒng)整體安全部署圖 A54圖 35 水電廠(chǎng)系統(tǒng)整體安全部署圖 B55圖 36 火電廠(chǎng)系統(tǒng)安全部署圖55- PAGE 9 -前言電力系統(tǒng)安全防護(hù)總體方案是依據(jù)國(guó)家經(jīng)貿(mào)委2002第 30 號(hào)令電網(wǎng)和電廠(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定（以下簡(jiǎn)稱(chēng)規(guī)定）的要求，并根據(jù)我國(guó)電力系統(tǒng)的具體情況制定的，目的是規(guī)范和統(tǒng)一我國(guó)電力系統(tǒng)安全防護(hù)的方案設(shè)計(jì)、工程實(shí)施和運(yùn)行監(jiān)管，重點(diǎn)防范對(duì)電網(wǎng)和電廠(chǎng)計(jì)算機(jī)

12、監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，以保障我國(guó)電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，保護(hù)國(guó)家重要基礎(chǔ)設(shè)施的安全。全國(guó)電力系統(tǒng)是指各級(jí)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（SPDnet）以及各級(jí)電網(wǎng)管理信息系統(tǒng)（MIS）、電廠(chǎng)管理信息系統(tǒng)、電力通信系統(tǒng)及電力數(shù)據(jù)通信網(wǎng)絡(luò)（SPTnet）等構(gòu)成的超級(jí)復(fù)雜的巨大系統(tǒng)。本文件制定電力系統(tǒng)安全防護(hù)的總策略，確定安全區(qū)的劃分原則，明確各安全區(qū)之間在橫向及縱向上的防護(hù)原則，提出電力系統(tǒng)安全防護(hù)的總體方案， 指導(dǎo)各有關(guān)單位具體實(shí)施。電力系統(tǒng)安全防護(hù)總體方案由以下幾個(gè)部分組成：電力系統(tǒng)安全防護(hù)的總體原則；電力系統(tǒng)安全防護(hù)的技術(shù)措施；調(diào)度中心（地調(diào)及以上）系

13、統(tǒng)安全防護(hù)方案；配電（含縣調(diào)）系統(tǒng)安全防護(hù)方案；變電站系統(tǒng)安全防護(hù)方案；發(fā)電廠(chǎng)系統(tǒng)安全防護(hù)方案；電力系統(tǒng)安全管理。電力系統(tǒng)安全防護(hù)的總體原則適應(yīng)范圍本安全防護(hù)總體方案的基本防護(hù)原則適用于電力系統(tǒng)中各類(lèi)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)，總體方案直接適用于與電力生產(chǎn)和輸配過(guò)程直接相關(guān)的計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)。電力系統(tǒng)邏輯結(jié)構(gòu)如圖 1 所示。電力通信系統(tǒng)、電力信息系統(tǒng)、電廠(chǎng)信息系統(tǒng)等可參照本總體方案制定具體安全防護(hù)方案。本總體方案中的“計(jì)算機(jī)監(jiān)控系統(tǒng)”，包括各級(jí)電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、換流站計(jì)算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)、配電網(wǎng)自動(dòng)化系統(tǒng)、微機(jī)保護(hù)和安全自動(dòng)裝置、水調(diào)自動(dòng)化系統(tǒng)和水電梯級(jí)調(diào)度

14、自動(dòng)化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、電力市場(chǎng)交易系統(tǒng)等；“調(diào)度數(shù)據(jù)網(wǎng)絡(luò)”包括各級(jí)電力調(diào)度專(zhuān)用數(shù)據(jù)網(wǎng)絡(luò)、用于遠(yuǎn)程維護(hù)及電能量計(jì)費(fèi)等的撥號(hào)網(wǎng)絡(luò)、各計(jì)算機(jī)監(jiān)控系統(tǒng)接入的本地局域網(wǎng)絡(luò)等。圖 1 電力系統(tǒng)邏輯結(jié)構(gòu)示意圖安全防護(hù)目標(biāo)安全防護(hù)目標(biāo)電力系統(tǒng)安全防護(hù)的重點(diǎn)是確保電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，目標(biāo)是抵御黑客、病毒、惡意代碼等通過(guò)各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故，及系統(tǒng)的崩潰或癱瘓。風(fēng)險(xiǎn)分析隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來(lái)越多。特別是隨著電力改革的推進(jìn)和電力市場(chǎng)的建立，要求在調(diào)度中心、

15、電廠(chǎng)、用戶(hù)等之間進(jìn)行的數(shù)據(jù)交換也越來(lái)越多。電廠(chǎng)、變電站減人增效，大量采用遠(yuǎn)方控制，對(duì)電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。而另一方面，Internet 技術(shù)已得到廣泛使用，E-mail、Web 和 PC 的應(yīng)用也日益普及，但同時(shí)病毒和黑客也日益猖獗。目前有一些調(diào)度中心、發(fā)電廠(chǎng)、變電站在規(guī)劃、設(shè)計(jì)、建設(shè)及運(yùn)行控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題重視不夠，使得具有實(shí)時(shí)控制功能的監(jiān)控系統(tǒng)，在沒(méi)有進(jìn)行有效安全防護(hù)的情況下與當(dāng)?shù)氐?MIS 系統(tǒng)互連，甚至與因特網(wǎng)直接互連，存在嚴(yán)重的安全隱患。除此之外，還存在采用線(xiàn)路搭接等手段對(duì)傳輸?shù)碾娏刂菩畔⑦M(jìn)行竊聽(tīng)或篡改，進(jìn)而對(duì)電力一次設(shè)

16、備進(jìn)行非法破壞性操作的威脅。電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個(gè)非常緊迫的問(wèn)題。電力系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)見(jiàn)表 1。表 1 電力系統(tǒng)面臨的主要風(fēng)險(xiǎn)優(yōu)先級(jí)風(fēng)險(xiǎn)說(shuō)明舉例0旁路控制（Bypassing Controls）入侵者對(duì)發(fā)電廠(chǎng)、變電站發(fā)送非法控制命令， 導(dǎo)致電力系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞（Integrity Violation）非授權(quán)修改電力控制系統(tǒng)配置、程序、控制命令；非授權(quán)修改電力交易中的敏感數(shù)據(jù)。2違反授權(quán)（Authorization Violation）電力控制系統(tǒng)工作人員利用授權(quán)身份或設(shè)備， 執(zhí)行非授權(quán)的操作。3工作人員的隨意行為（Indiscretion

17、）電力控制系統(tǒng)工作人員無(wú)意識(shí)地泄漏口令等敏感信息，或不謹(jǐn)慎地配置訪(fǎng)問(wèn)控制規(guī)則等。4攔截篡改（InterceptAlter）攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設(shè)置、交易報(bào)價(jià)等敏感數(shù)據(jù)。5非法使用（Illegitimate Use）非授權(quán)使用計(jì)算機(jī)或網(wǎng)絡(luò)資源。6信息泄漏（Information Leakage）口令、證書(shū)等敏感信息泄密。7欺騙（Spoof）Web 服務(wù)欺騙攻擊；IP 欺騙攻擊。8偽裝（Masquerade）入侵者偽裝合法身份，進(jìn)入電力監(jiān)控系統(tǒng)。9拒絕服務(wù)（Availability，egDenial of Service）向電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪崩數(shù)據(jù)，造成

18、網(wǎng)絡(luò)或監(jiān)控系統(tǒng)癱瘓。10竊聽(tīng)（Eavesdropping，egData Confidentiality）黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€(xiàn)通道上搭線(xiàn)竊聽(tīng)明文傳輸?shù)拿舾行畔ⅲ瑸楹罄m(xù)攻擊做準(zhǔn)備。安全防護(hù)的特點(diǎn)電力系統(tǒng)是一個(gè)大系統(tǒng)，并且在不斷發(fā)展變化，電力系統(tǒng)安全防護(hù)具有系統(tǒng)性和動(dòng)態(tài)性，本方案僅代表當(dāng)前的認(rèn)識(shí)水平及具體實(shí)施環(huán)境，今后隨著安全防護(hù)的實(shí)施將逐步完善和提高。安全防護(hù)工程是永無(wú)休止的動(dòng)態(tài)過(guò)程。圖 2 為以安全策略為核心的動(dòng)態(tài)安全防護(hù)模型。動(dòng)態(tài)自適應(yīng)安全模型的設(shè)計(jì)思想是將安全管理看作一個(gè)動(dòng)態(tài)的過(guò)程，由安全分析與配置、實(shí)時(shí)監(jiān)測(cè)、報(bào)警響應(yīng)審計(jì)評(píng)估等過(guò)程的不斷循環(huán)構(gòu)成，安全策略應(yīng)適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)性。因此， 安全工

19、程的實(shí)施過(guò)程要注重系統(tǒng)性原則和螺旋上升不斷發(fā)展的原則。Protection策略Response反應(yīng)Detection檢測(cè)防護(hù)圖 2 安全防護(hù)的 P2DR 模型系統(tǒng)性原則不但要求在實(shí)施電力系統(tǒng)中各子系統(tǒng)的安全防護(hù)時(shí)不能違反電力系統(tǒng)的整體安全防護(hù)方案，同時(shí)也要求從技術(shù)和管理等多個(gè)方面注重安全防護(hù)工作的落實(shí)。本方案提出的單項(xiàng)安全防護(hù)措施僅從安全角度看并不一定是最優(yōu)的，但是必須全系統(tǒng)綜合考慮，結(jié)合當(dāng)前的具體情況，確保措施實(shí)施后，系統(tǒng)的安全性得到了加強(qiáng)。螺旋發(fā)展的原則表明安全工程的實(shí)施過(guò)程不是一蹴而就的，而是一個(gè)持續(xù)的、長(zhǎng)期的“攻與防”的矛盾斗爭(zhēng)過(guò)程。一定要不斷完善安全檢測(cè)手段、響應(yīng)機(jī)制、防護(hù)措施和安全

20、策略， 將電力系統(tǒng)安全防護(hù)工作作為電力安全生產(chǎn)的重要內(nèi)容。相關(guān)的安全防護(hù)法規(guī)關(guān)于維護(hù)網(wǎng)絡(luò)安全和信息安全的決議，全國(guó)人大常委會(huì) 2000 年 10 月審議通過(guò)；中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，國(guó)務(wù)院 1994 年發(fā)布；計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定，國(guó)家保密局 1998 年發(fā)布；涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法，國(guó)家保密局 1998 年發(fā)布；計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法，公安部 1998 年發(fā)布；計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 178591999），公安部 1999年發(fā)布；電網(wǎng)和電廠(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定，國(guó)家經(jīng)貿(mào)委20

21、02第 30 號(hào)令；電力工業(yè)中涉及的國(guó)家秘密及具體范圍的規(guī)定，電力工業(yè)部和國(guó)家保密局1996 年發(fā)布。電力系統(tǒng)安全防護(hù)策略電力系統(tǒng)安全防護(hù)的基本原則電力系統(tǒng)安全防護(hù)的基本原則為：系統(tǒng)性原則（木桶原理）；簡(jiǎn)單性和可靠性原則；實(shí)時(shí)、連續(xù)、安全相統(tǒng)一的原則；需求、風(fēng)險(xiǎn)、代價(jià)相平衡的原則；實(shí)用與先進(jìn)相結(jié)合的原則；方便與安全相統(tǒng)一的原則；全面防護(hù)、突出重點(diǎn)的原則；分層分區(qū)、強(qiáng)化邊界的原則；整體規(guī)劃、分步實(shí)施的原則；責(zé)任到人，分級(jí)管理，聯(lián)合防護(hù)的原則。電力系統(tǒng)安全防護(hù)總體策略電力系統(tǒng)的安全防護(hù)策略為：分區(qū)防護(hù)、突出重點(diǎn)。根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影響程度進(jìn)行分區(qū)，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)

22、；對(duì)實(shí)時(shí)控制系統(tǒng)等關(guān)鍵業(yè)務(wù)采用認(rèn)證、加密等技術(shù)實(shí)施重點(diǎn)保護(hù)。安全區(qū)隔離。采用不同強(qiáng)度的安全隔離設(shè)備使各安全區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)得到有效保護(hù)，關(guān)鍵是將實(shí)時(shí)監(jiān)控系統(tǒng)與辦公自動(dòng)化系統(tǒng)等實(shí)行有效安全隔離，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。網(wǎng)絡(luò)隔離。在專(zhuān)用通道上建立調(diào)度專(zhuān)用數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離。并通過(guò)采用 MPLSVPN 或 Ipsec-VPN 在專(zhuān)網(wǎng)上形成多個(gè)相互邏輯隔離的 VPN， 以保障上下級(jí)各安全區(qū)的縱向互聯(lián)僅在相同安全區(qū)進(jìn)行，避免安全區(qū)縱向交叉。縱向防護(hù)。采用認(rèn)證、加密等手段實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸。電力系統(tǒng)的安全區(qū)劃分根據(jù)電力系統(tǒng)的特點(diǎn)，各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程、目前狀況和安全

23、要求，將整個(gè)電力系統(tǒng)分為四個(gè)安全區(qū)：實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)。不同的安全區(qū)確定的不同的安全防護(hù)要求，從而決定了不同的安全等級(jí)和防護(hù)水平。其中安全區(qū)的安全等級(jí)最高，安全區(qū)次之，其余依次類(lèi)推。(一) 安全區(qū)：實(shí)時(shí)控制區(qū)安全區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為直接實(shí)現(xiàn)實(shí)時(shí)監(jiān)控功能，是電力生產(chǎn)的重要必備環(huán)節(jié)，系統(tǒng)實(shí)時(shí)在線(xiàn)運(yùn)行，使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?。安全區(qū)的典型系統(tǒng)包括調(diào)度自動(dòng)化系統(tǒng)(SCADA/EMS)、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠(chǎng)自動(dòng)監(jiān)控系統(tǒng)等，其主要使用者為調(diào)度員和運(yùn)行操作人員，數(shù)據(jù)實(shí)時(shí)性為秒級(jí)，外部邊界的通信經(jīng)由電力調(diào)度數(shù)據(jù)網(wǎng) SPDnet-VPN1。該

24、區(qū)中還包括采用專(zhuān)用通道的控制系統(tǒng)，如：繼電保護(hù)、安全自動(dòng)控制系統(tǒng)、低頻低壓自動(dòng)減載系統(tǒng)、負(fù)荷控制系統(tǒng)等，這類(lèi)系統(tǒng)對(duì)數(shù)據(jù)通信的實(shí)時(shí)性要求為毫秒級(jí)或秒級(jí)。安全區(qū)是電力系統(tǒng)中最重要系統(tǒng)， 安全等級(jí)最高，是安全防護(hù)的重點(diǎn)與核心。(二) 安全區(qū)：非控制生產(chǎn)區(qū)安全區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：所實(shí)現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié)， 但不具備控制功能，使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，在線(xiàn)運(yùn)行，與安全區(qū)中的系統(tǒng)或功能模塊聯(lián)系緊密。安全區(qū)的典型系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)（DTS）、水調(diào)自動(dòng)化系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)、批發(fā)電力交易系統(tǒng)等，其面向的主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護(hù)人

25、員及電力市場(chǎng)交易員等。該區(qū)數(shù)據(jù)的實(shí)時(shí)性是分鐘級(jí)、小時(shí)級(jí)，其外部通信邊界為電力調(diào)度數(shù)據(jù)網(wǎng) SPDnet-VPN2。(三) 安全區(qū)：生產(chǎn)管理區(qū)。安全區(qū) 中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：實(shí)現(xiàn)電力生產(chǎn)的管理功能，但不具備控制功能，不在線(xiàn)運(yùn)行，可不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與調(diào)度中心或控制中心工作人員的桌面終端直接相關(guān)，與安全區(qū)的辦公自動(dòng)化系統(tǒng)關(guān)系密切。該區(qū)的典型系統(tǒng)為調(diào)度生產(chǎn)管理系統(tǒng)（DMIS）、統(tǒng)計(jì)報(bào)表系統(tǒng)（日?qǐng)?bào)、旬報(bào)、月報(bào)、年報(bào)）、雷電監(jiān)測(cè)系統(tǒng)、氣象信息接入等。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng) SPTnet-VPN1。(四) 安全區(qū)：管理信息區(qū)安全區(qū)中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：實(shí)現(xiàn)電力信

26、息管理和辦公自動(dòng)化功能，使用電力數(shù)據(jù)通信網(wǎng)絡(luò)，業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)界面主要為桌面終端。該區(qū)包括管理信息系統(tǒng)（MIS）、辦公自動(dòng)化系統(tǒng)（OA）、客戶(hù)服務(wù)等。該區(qū)的外部通信邊界為 SPTnet-VPN2 及因特網(wǎng)。業(yè)務(wù)系統(tǒng)或功能模塊置于安全區(qū)的規(guī)則根據(jù)該系統(tǒng)的實(shí)時(shí)性、使用者、功能、場(chǎng)所、在各業(yè)務(wù)系統(tǒng)的相互關(guān)系、廣域網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響，將其分置于四個(gè)安全區(qū)之中。實(shí)時(shí)控制系統(tǒng)或未來(lái)可能有實(shí)時(shí)控制功能的系統(tǒng)需置于安全區(qū)。如：廣域相量測(cè)量系統(tǒng)（WAMS），實(shí)時(shí)性很強(qiáng)，近期主要用于監(jiān)測(cè)，以后將與安全自動(dòng)控制系統(tǒng)相結(jié)合用于在線(xiàn)控制，所以置于安全區(qū)。電力系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移

27、到低安全區(qū)。允許把屬于低安全區(qū)的業(yè)務(wù)系統(tǒng)的終端設(shè)備放置于高安全區(qū)，由屬于高安全區(qū)的人員使用。如： 繼電保護(hù)及故障錄波信息管理系統(tǒng)在安全區(qū)，但其中執(zhí)行繼電保護(hù)投退及遠(yuǎn)方修改定值功能的工作站應(yīng)放在安全區(qū)。調(diào)度自動(dòng)化系統(tǒng)中的 SCADA/EMS 功能置于安全區(qū)，而沒(méi)有控制功能的 DTS 功能則置于安全區(qū)中。某些業(yè)務(wù)系統(tǒng)的次要功能與根據(jù)主要功能所選定的安全區(qū)不一致時(shí)，可根據(jù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程將不同的功能模塊（或子系統(tǒng)）分置于各安全區(qū)中，各功能模塊（或子系統(tǒng)）經(jīng)過(guò)安全區(qū)之間的通信來(lái)構(gòu)成整個(gè)業(yè)務(wù)系統(tǒng)。如：電力市場(chǎng)運(yùn)營(yíng)系統(tǒng)中的交易處理子系統(tǒng)、電能量計(jì)量系統(tǒng)等置于安全區(qū) ，而保價(jià)處理功能模塊和信息發(fā)布功能模塊

28、可以至于安全區(qū)、或。自我封閉的業(yè)務(wù)系統(tǒng)為孤立業(yè)務(wù)系統(tǒng)，其劃分規(guī)則不作要求，但需遵守所在安全區(qū)的安全防護(hù)規(guī)定。各電力系統(tǒng)原則上均應(yīng)劃分為四安全區(qū)，但并非四安全區(qū)都必須存在。某安全區(qū)不存在的條件是其本身不存在該安全區(qū)的業(yè)務(wù)，且與其它電網(wǎng)系統(tǒng)在該層安全區(qū)不存在“縱”向互聯(lián)。如果省略某安全區(qū)而導(dǎo)致上下級(jí)安全區(qū)的縱向交叉，則必須保留安全區(qū)間的隔離設(shè)備，以保障安全防護(hù)體系的完整性。安全區(qū)之間的橫向隔離要求在各安全區(qū)之間均需選擇適當(dāng)安全強(qiáng)度的隔離裝置。具體隔離裝置的選擇不僅需要考慮網(wǎng)絡(luò)安全的要求，還需要考慮帶寬及實(shí)時(shí)性的要求。隔離裝置必須是國(guó)產(chǎn)設(shè)備并經(jīng)過(guò)國(guó)家或電力系統(tǒng)有關(guān)部門(mén)認(rèn)證。1）安全區(qū)與安全區(qū)之間的隔

29、離要求：安全區(qū)與安全區(qū)的業(yè)務(wù)系統(tǒng)都屬電力生產(chǎn)系統(tǒng)，都采用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，都在線(xiàn)運(yùn)行，數(shù)據(jù)交換較多，關(guān)系比較密切，可以作為一個(gè)邏輯大區(qū)（生產(chǎn)控制區(qū)）。、區(qū)之間須采用經(jīng)有關(guān)部門(mén)認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進(jìn)行邏輯隔離，應(yīng)禁止 E-mail、Web、Telnet、Rlogin 等服務(wù)穿越安全區(qū)之間的隔離設(shè)備。2）安全區(qū)與安全區(qū)之間的隔離要求：安全區(qū)與安全區(qū)的業(yè)務(wù)系統(tǒng)都屬管理信息系統(tǒng)，都采用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，數(shù)據(jù)交換較多，關(guān)系比較密切，可以作為另一個(gè)邏輯大區(qū)（管理信息區(qū)）。、區(qū)之間應(yīng)采用經(jīng)有關(guān)部門(mén)認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進(jìn)行邏輯隔離。3）安全區(qū)、與安全區(qū)、之間的隔離要求：安全區(qū)、不得與安全區(qū)

30、直接聯(lián)系；安全區(qū)、與安全區(qū)之間必須采用經(jīng)有關(guān)部門(mén)認(rèn)定核準(zhǔn)的專(zhuān)用安全隔離裝置。專(zhuān)用安全隔離裝置分為正向型和反向型，從安全區(qū)、往安全區(qū)必須采用正向安全隔離裝置單向傳輸信息，由安全區(qū)往安全區(qū)甚至安全區(qū)的單向數(shù)據(jù)傳輸必須經(jīng)反向安全隔離裝置。嚴(yán)格禁止 E-MAIL、WEB、TELnet、Rlogin 等網(wǎng)絡(luò)服務(wù)和數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)功能穿越專(zhuān)用安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。反向安全隔離裝置采用簽名認(rèn)證和數(shù)據(jù)過(guò)濾措施，僅允許純文本數(shù)據(jù)通過(guò)，并嚴(yán)格進(jìn)行病毒、木馬等惡意代碼的查殺。安全區(qū)、與安全區(qū)、之間的專(zhuān)用安全隔離裝置應(yīng)該達(dá)到或接近物理隔離的強(qiáng)度。安全區(qū)與遠(yuǎn)方通信的縱向安全防護(hù)要求安全區(qū)、連接的廣域網(wǎng)為國(guó)

31、家電力調(diào)度數(shù)據(jù)網(wǎng) SPDnet。其中采用 MPLS-VPN 技術(shù)構(gòu)造的 SPDnet 為安全區(qū)、 分別提供二個(gè)邏輯隔離的 VPN1 和 VPN2，對(duì)不具備MPLS-VPN 的某些省、地區(qū)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，可通過(guò) IPSec 技術(shù)構(gòu)造 VPN 子網(wǎng)，VPN 子網(wǎng)可提供二個(gè)邏輯隔離的子網(wǎng)。安全區(qū)連接的廣域網(wǎng)為國(guó)家電力數(shù)據(jù)通信網(wǎng) SPTnet。安全區(qū)、接入 SPDnet 時(shí)，應(yīng)配置 IP 認(rèn)證加密裝置，實(shí)現(xiàn)網(wǎng)絡(luò)層雙向身份認(rèn)證、數(shù)據(jù)加密和訪(fǎng)問(wèn)控制。也可與業(yè)務(wù)系統(tǒng)的通信網(wǎng)關(guān)設(shè)備配合，實(shí)現(xiàn)部分傳輸層或應(yīng)用層的安全功能。如暫時(shí)不具備條件或業(yè)務(wù)無(wú)此項(xiàng)要求者，可以用硬件防火墻代替。安全區(qū)接入 SPTnet 應(yīng)配置硬

32、件防火墻。處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)的操作系統(tǒng)應(yīng)進(jìn)行安全加固，對(duì)、區(qū)的外部通信網(wǎng)關(guān)建議配置數(shù)字證書(shū)。傳統(tǒng)的基于專(zhuān)用通道的通信不涉及網(wǎng)絡(luò)安全問(wèn)題，可逐步采用線(xiàn)路加密技術(shù)保護(hù)關(guān)鍵廠(chǎng)站及關(guān)鍵業(yè)務(wù)。各安全區(qū)內(nèi)部安全防護(hù)的基本要求（一）對(duì)安全區(qū)及安全區(qū)的要求：禁止安全區(qū) / 內(nèi)部的 E-MAIL 服務(wù)。禁止安全區(qū)的 WEB 服務(wù)。允許安全區(qū)內(nèi)部及縱向 WEB 服務(wù)。但 WEB 瀏覽工作站與區(qū)業(yè)務(wù)系統(tǒng)工作站不得共用，而且必須由業(yè)務(wù)系統(tǒng)向 WEB 服務(wù)器單向主動(dòng)傳送數(shù)據(jù)。安全區(qū) /的重要業(yè)務(wù)（如 SCADA/AGC、電力交易）應(yīng)該采用認(rèn)證加密機(jī)制。安全區(qū) /內(nèi)的相關(guān)系統(tǒng)間必須采取訪(fǎng)問(wèn)控制等安全措施。對(duì)安全區(qū)

33、 /進(jìn)行撥號(hào)訪(fǎng)問(wèn)服務(wù)，必須采取認(rèn)證、加密、訪(fǎng)問(wèn)控制等安全防護(hù)措施。安全區(qū) /應(yīng)該部署安全審計(jì)措施，邊界上應(yīng)部署入侵檢測(cè)系統(tǒng)，如 IDS 等。安全區(qū) /必須采取防惡意代碼措施。（二）對(duì)安全區(qū)要求：安全區(qū)允許開(kāi)通 EMAIL、WEB 服務(wù)。對(duì)安全區(qū)撥號(hào)訪(fǎng)問(wèn)服務(wù)必須采取訪(fǎng)問(wèn)控制等安全防護(hù)措施。安全區(qū)應(yīng)該部署安全審計(jì)措施，邊界上應(yīng)部署入侵檢測(cè)系統(tǒng)， 如 IDS 等。安全區(qū)必須采取防惡意代碼措施。（三）本方案對(duì)安全區(qū)不做詳細(xì)要求。線(xiàn)路加密設(shè)備圖 3 電力系統(tǒng)安全防護(hù)總體示意圖電力系統(tǒng)四安全區(qū)拓?fù)浣Y(jié)構(gòu)電力系統(tǒng)四安全區(qū)的拓?fù)浣Y(jié)構(gòu)有三種模式，這三種模式均能滿(mǎn)足電力系統(tǒng)安全防護(hù)體系的要求。詳見(jiàn)圖 4 所示的鏈?zhǔn)?/p>

34、結(jié)構(gòu)、三角結(jié)構(gòu)和星型結(jié)構(gòu)。非控制生產(chǎn)區(qū)實(shí)時(shí)控制區(qū)生產(chǎn)管理區(qū)專(zhuān)用安全隔離裝置防火墻鏈?zhǔn)浇Y(jié)構(gòu)非控制生產(chǎn)區(qū)生產(chǎn)管理區(qū)實(shí)時(shí)控制區(qū)防火墻專(zhuān)用安全隔離裝置專(zhuān)用安全隔離裝置三角結(jié)構(gòu)非控制生產(chǎn)區(qū)實(shí)時(shí)控制區(qū)生產(chǎn)管理區(qū)專(zhuān)用安全隔離裝置匯 聚防火墻星形結(jié)構(gòu)圖 4 電力系統(tǒng)四安全區(qū)的三種拓?fù)浣Y(jié)構(gòu)電力系統(tǒng)安全防護(hù)方案的步驟電力系統(tǒng)安全防護(hù)方案的實(shí)施必須分階段進(jìn)行，大致可分為以下六個(gè)階段：第一階段是理清流程，修補(bǔ)漏洞。需要對(duì)本地系統(tǒng)的物理配置、連接關(guān)系，以及信息流程有明晰的認(rèn)識(shí)，必須有業(yè)務(wù)系統(tǒng)的詳細(xì)的物理連線(xiàn)圖及數(shù)據(jù)流圖。第二階段是調(diào)整結(jié)構(gòu)，清理邊界。按照安全防護(hù)方案，做好相應(yīng)的安全區(qū)規(guī)劃，將各類(lèi)系統(tǒng)置于對(duì)應(yīng)的安全區(qū)內(nèi)，

35、并增加必要的設(shè)備，對(duì)各類(lèi)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備的配置進(jìn)行相應(yīng)的修改。第三階段為研究部署專(zhuān)用安全隔離裝置（橫向）。第四階段為研究部署 IP 認(rèn)證加密裝置（縱向）。第五階段全面部署認(rèn)證機(jī)制。在研究部署各類(lèi)專(zhuān)用裝置和與認(rèn)證機(jī)制的基礎(chǔ)上，全面部署認(rèn)證機(jī)制。第六階段為現(xiàn)系統(tǒng)改造和新系統(tǒng)開(kāi)發(fā)。要求系統(tǒng)各研究、生產(chǎn)單位按照方案的要求研制新系統(tǒng)，并對(duì)現(xiàn)有系統(tǒng)進(jìn)行改造。- PAGE 19 -安全強(qiáng)度現(xiàn)系統(tǒng)改造新系統(tǒng)開(kāi)發(fā)第6階段研究部署認(rèn)證機(jī)制研究部署縱向安全部署第5階段第4階段部署橫向隔離裝置結(jié)構(gòu)調(diào)整清理邊界第3階段第2階段理清流程修補(bǔ)漏洞第1階段實(shí)施階段圖 5 電力系統(tǒng)安全防護(hù)總體方案的實(shí)施進(jìn)度電力系統(tǒng)安全防護(hù)技

36、術(shù)電力數(shù)據(jù)通信網(wǎng)絡(luò)的安全防護(hù)電力系統(tǒng)涉及到的數(shù)據(jù)通信網(wǎng)絡(luò)包括：國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng) SPDnet，國(guó)家電力數(shù)據(jù)通信網(wǎng) SPTnet。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò) SPDnet 的安全防護(hù)網(wǎng)絡(luò)的特點(diǎn)與安全隔離國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò) SPDnet 是專(zhuān)用網(wǎng)絡(luò)，承載業(yè)務(wù)是電力實(shí)時(shí)控制業(yè)務(wù)、在線(xiàn)生產(chǎn)業(yè)務(wù)以及本網(wǎng)網(wǎng)管業(yè)務(wù)。SPDnet 采用 IP 交換技術(shù)體制，構(gòu)建在 SDH/PDH 的 n*2Mbps 專(zhuān)用通道上面，實(shí)現(xiàn)了與其它數(shù)據(jù)網(wǎng)絡(luò)的物理層面的安全隔離，并且接入網(wǎng)絡(luò)的安全區(qū)/的相關(guān)系統(tǒng)在本地與安全區(qū)/的系統(tǒng)實(shí)行了物理隔離措施，因此整個(gè)網(wǎng)絡(luò)與外界其它網(wǎng)絡(luò)實(shí)現(xiàn)了安全隔離。網(wǎng)絡(luò)路由防護(hù)按照目前的調(diào)度管理體制及 IP 網(wǎng)

37、絡(luò)技術(shù)體制，國(guó)調(diào)、網(wǎng)調(diào)、省調(diào)和三峽節(jié)點(diǎn)將構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)的骨干網(wǎng)，形成穿越自治（路由）域；省調(diào)與地調(diào)和縣調(diào)節(jié)點(diǎn)構(gòu)成各省內(nèi)部的調(diào)度數(shù)據(jù)網(wǎng)（簡(jiǎn)稱(chēng)省網(wǎng)），形成接入自治（路由）域。各省網(wǎng)與骨干網(wǎng)通過(guò)兩點(diǎn)互聯(lián)，協(xié)議擬采用BGP4。省網(wǎng)之間不設(shè)直接互聯(lián)路由。在建網(wǎng)初期，由于網(wǎng)絡(luò)規(guī)模較小，網(wǎng)架尚未完善，業(yè)務(wù)需求也不高，因此，可先采用靜態(tài)路由和單點(diǎn)接入方式實(shí)現(xiàn)省網(wǎng)與骨干網(wǎng)的域間互聯(lián)。采用 MPLS VPN 技術(shù)，將實(shí)時(shí)控制業(yè)務(wù)、非控制生產(chǎn)業(yè)務(wù)分割成二個(gè)相對(duì)獨(dú)立的邏輯專(zhuān)網(wǎng)：實(shí)時(shí) VPN1 和非實(shí)時(shí) VPN2，路由各自獨(dú)立，在網(wǎng)絡(luò)路由層面不能互通，其中實(shí)時(shí) VPN 還保證了實(shí)時(shí)業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)質(zhì)量 QoS；而網(wǎng)管業(yè)務(wù)

38、隔離于在二個(gè) VPN 之外。同時(shí)，對(duì)路由器之間的路由信息交換進(jìn)行 MD5 簽名，保證信息的完整性與可信性。網(wǎng)絡(luò)邊界防護(hù)網(wǎng)絡(luò)邊界防護(hù)主要措施包括：邊界的封閉性，即網(wǎng)絡(luò)接入點(diǎn)是有限的、明確的，與外部系統(tǒng)不存在隱藏的聯(lián)接。邊界的可信性，即通過(guò)邊界接入的網(wǎng)絡(luò)設(shè)備是可信任的，考慮結(jié)合基于 IEEE802.1X 與數(shù)字證書(shū)來(lái)實(shí)現(xiàn)接入認(rèn)證。實(shí)施在所有網(wǎng)絡(luò)邊界接入點(diǎn)的安全措施應(yīng)該提供一致的安全強(qiáng)度。各省級(jí)調(diào)度數(shù)據(jù)網(wǎng)在其核心節(jié)點(diǎn)（省調(diào)）處與國(guó)家調(diào)度數(shù)據(jù)骨干網(wǎng)相應(yīng)的匯聚節(jié)點(diǎn)對(duì)接， 完成省網(wǎng)的接入。省調(diào)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)應(yīng)通過(guò)接入交換機(jī)接入省內(nèi)調(diào)度數(shù)據(jù)網(wǎng)核心節(jié)點(diǎn)。在省調(diào)度數(shù)據(jù)網(wǎng)未建成前，可暫接入骨干網(wǎng)的匯聚節(jié)點(diǎn)。運(yùn)行安

39、全對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行管理采取必要的安全措施，保證運(yùn)行安全。關(guān)閉或限定網(wǎng)絡(luò)服務(wù)；禁止缺省口令登錄；避免使用默認(rèn)路由；網(wǎng)絡(luò)邊界關(guān)閉 OSPF 路由功能；采用安全增強(qiáng)的 SNMPv2 及以上版本的網(wǎng)管系統(tǒng)。國(guó)家電力數(shù)據(jù)通信網(wǎng) SPTnet 的安全防護(hù)國(guó)家電力數(shù)據(jù)通信網(wǎng) SPTnet 為國(guó)家電網(wǎng)公司內(nèi)聯(lián)網(wǎng)，技術(shù)體制為 IP over SDH，主干速率 155Mbps，該網(wǎng)承載業(yè)務(wù)主要為電力綜合信息、電力調(diào)度生產(chǎn)管理業(yè)務(wù)、電力內(nèi)部 IP 語(yǔ)音視頻以及網(wǎng)管業(yè)務(wù)，該網(wǎng)不經(jīng)營(yíng)對(duì)外業(yè)務(wù)。SPTnet 使用私有 IP 地址，與 Internet 以及其它外部網(wǎng)絡(luò)沒(méi)有直接的網(wǎng)絡(luò)連接。對(duì)應(yīng)電力綜合信息、電力調(diào)度生產(chǎn)管理業(yè)

40、務(wù)、電力內(nèi)部 IP 語(yǔ)音視頻三類(lèi)業(yè)務(wù)，SPTnet 采用 MPLS-VPN 技術(shù)構(gòu)造三個(gè) VPN：調(diào)度 VPN1、信息 VPN2 以及語(yǔ)音視頻 VPN3，三類(lèi)業(yè)務(wù)分別通過(guò)專(zhuān)用的接入路由器接入各自 VPN。對(duì)于廠(chǎng)站接入不作統(tǒng)一要求。電力數(shù)據(jù)業(yè)務(wù)與通信網(wǎng)絡(luò)的關(guān)系SDH/PDH傳輸網(wǎng)SDH(155M)SDH(N 2M)信息VPNSPTnet語(yǔ)音視頻VPN調(diào)度VPN在線(xiàn)生產(chǎn)實(shí)時(shí)控制數(shù)據(jù)業(yè)務(wù)與網(wǎng)絡(luò)關(guān)系示意圖如下：調(diào)度生產(chǎn)管理電力綜合信息IP語(yǔ)音視頻非實(shí)時(shí)VPN實(shí)時(shí)VPNSPDnet圖 6 電力數(shù)據(jù)業(yè)務(wù)與網(wǎng)絡(luò)的關(guān)系示意圖備份與恢復(fù)數(shù)據(jù)與系統(tǒng)備份對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的

41、情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)，保證系統(tǒng)的可用性。設(shè)備備用對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件進(jìn)行相應(yīng)的備份，對(duì)安全區(qū)的業(yè)務(wù)應(yīng)采用熱備份，其它安全區(qū)的業(yè)務(wù)可根據(jù)需要選用備份方式（熱備份、溫備份、冷備份），避免單點(diǎn)故障影響系統(tǒng)可靠性。異地容災(zāi)對(duì)實(shí)時(shí)控制系統(tǒng)、電力市場(chǎng)交易系統(tǒng)，在具備條件的前提下進(jìn)行異地的數(shù)據(jù)與系統(tǒng)備份， 提供系統(tǒng)級(jí)容災(zāi)功能，保證在大規(guī)模災(zāi)難情況下保持系統(tǒng)業(yè)務(wù)的連續(xù)性。防病毒措施病毒防護(hù)是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須的安全措施。建議病毒的防護(hù)應(yīng)該覆蓋所有安全區(qū)、的主機(jī)與工作站。對(duì)安全區(qū)和病毒特征碼必須以離線(xiàn)的方式及時(shí)更新。防火墻防火墻產(chǎn)品可以部署在本地的安全區(qū)與安全區(qū)之間、安全區(qū)與安全區(qū)之間，實(shí)現(xiàn)兩

42、個(gè)區(qū)域的邏輯隔離、報(bào)文過(guò)濾、訪(fǎng)問(wèn)控制等功能。在本地網(wǎng)到調(diào)度數(shù)據(jù)網(wǎng)的邊界，如暫時(shí)無(wú)法部署 IP 認(rèn)證加密裝置，可暫由防火墻替代，以保證本地調(diào)度系統(tǒng)的安全。防火墻安全策略主要是基于業(yè)務(wù)流量的 IP 地址、協(xié)議、應(yīng)用端口號(hào)以及方向的報(bào)文過(guò)濾。具體選用的防火墻必須經(jīng)過(guò)有關(guān)部門(mén)認(rèn)可的國(guó)產(chǎn)硬件防火墻。入侵檢測(cè) IDSIDS 系統(tǒng)的主要功能包括：實(shí)時(shí)檢測(cè)入侵行為，事后安全審計(jì)。根據(jù)技術(shù)原理，IDS 可分為以下兩類(lèi)：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）和基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）。對(duì)于安全區(qū)與，建議統(tǒng)一部署一套 IDS 管理系統(tǒng)?？紤]到調(diào)度業(yè)務(wù)的可靠性，采用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS），其 IDS

43、 探頭主要部署在：安全區(qū)與的邊界點(diǎn)、SPDnet的接入點(diǎn)以及安全區(qū)與內(nèi)的關(guān)鍵應(yīng)用網(wǎng)段。其主要的功能用于捕獲網(wǎng)絡(luò)異常行為，分析潛在風(fēng)險(xiǎn)，以及安全審計(jì)。對(duì)于安全區(qū)，禁止使用安全區(qū)與的 IDS，建議與安全區(qū)的 IDS 系統(tǒng)協(xié)調(diào)部署。主機(jī)防護(hù)主機(jī)安全防護(hù)主要的方式包括：安全配置、安全補(bǔ)丁、安全主機(jī)加固。安全配置通過(guò)合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點(diǎn)。禁止不必要的應(yīng)用，作為調(diào)度業(yè)務(wù)系統(tǒng)的專(zhuān)用主機(jī)或者工作站，嚴(yán)格管理操作系統(tǒng)及應(yīng)用軟件的安裝與使用。安全補(bǔ)丁通過(guò)及時(shí)更新操作系統(tǒng)安全補(bǔ)丁，消除系統(tǒng)內(nèi)核漏洞與后門(mén)。主機(jī)加固安裝主機(jī)加固軟件，強(qiáng)制進(jìn)行權(quán)限分配，保證對(duì)系統(tǒng)的資源（包括數(shù)據(jù)與進(jìn)程）的訪(fǎng)問(wèn)符合

44、規(guī)定的主機(jī)安全策略，防止主機(jī)權(quán)限被濫用。關(guān)鍵應(yīng)用系統(tǒng)主機(jī)以下主機(jī)必須采取主機(jī)防護(hù)措施：關(guān)鍵應(yīng)用，包括調(diào)度自動(dòng)化系統(tǒng)（SCADA）、變電站自動(dòng)化系統(tǒng)、電廠(chǎng)監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)等的主服務(wù)器、電力市場(chǎng)交易主服務(wù)器等。網(wǎng)絡(luò)邊界處的主機(jī)，包括通信網(wǎng)關(guān)、Web 服務(wù)器。數(shù)字證書(shū)與認(rèn)證公鑰技術(shù)是利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)在開(kāi)放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)的統(tǒng)一的技術(shù)框架。公鑰技術(shù)中最主要的安全技術(shù)包括兩個(gè)方面：公鑰加密技術(shù)、數(shù)字簽名技術(shù)。公鑰加密技術(shù)可以提供信息的保密性和訪(fǎng)問(wèn)控制的有效手段，而數(shù)字簽名技術(shù)則提供了在網(wǎng)絡(luò)通信之前相互認(rèn)證的有效方法、在通信過(guò)程中保證信息完整性的可靠手段、以及

45、在通信結(jié)束之后保證雙方相互信賴(lài)的有效機(jī)制。全國(guó)電力調(diào)度統(tǒng)一建設(shè)基于公鑰技術(shù)的調(diào)度證書(shū)服務(wù)系統(tǒng)，由相關(guān)主管部門(mén)統(tǒng)一頒發(fā)調(diào)度系統(tǒng)數(shù)字證書(shū)，為電力監(jiān)控系統(tǒng)、調(diào)度生產(chǎn)系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用戶(hù)和關(guān)鍵設(shè)備提供數(shù)字證書(shū)服務(wù)。在數(shù)字證書(shū)基礎(chǔ)上可以在調(diào)度系統(tǒng)與網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié)實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠的行為審計(jì)。證書(shū)類(lèi)型電力調(diào)度業(yè)務(wù)系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)中需要發(fā)放數(shù)字證書(shū)的對(duì)象主要包括：調(diào)度系統(tǒng)內(nèi)部關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器，目前包括調(diào)度端 SCADA 系統(tǒng)、電力交易系統(tǒng)、廠(chǎng)站端的控制系統(tǒng)；以上關(guān)鍵應(yīng)用系統(tǒng)的相關(guān)人員，包括用戶(hù)、管理人員、維護(hù)人員；關(guān)鍵設(shè)備：通信網(wǎng)關(guān)機(jī)、IP 認(rèn)證加密裝置、安全隔離裝

46、置、線(xiàn)路加密設(shè)備、以及部分網(wǎng)絡(luò)設(shè)備（如廠(chǎng)站端接入交換機(jī)）。數(shù)字證書(shū)為這些實(shí)體提供以下安全功能支持：支持身份認(rèn)證功能、支持基于證書(shū)的密鑰分發(fā)與加密、支持基于證書(shū)的簽名以及基于證書(shū)擴(kuò)展屬性的權(quán)限管理。因此調(diào)度系統(tǒng)數(shù)字證書(shū)類(lèi)型包括：人員證書(shū)關(guān)鍵應(yīng)用的用戶(hù)、系統(tǒng)管理人員以及必要的應(yīng)用維護(hù)與開(kāi)發(fā)人員，在訪(fǎng)問(wèn)系統(tǒng)、進(jìn)行操作時(shí)需要的持有的證書(shū)。程序證書(shū)某些關(guān)鍵應(yīng)用的模塊、進(jìn)程、服務(wù)器程序運(yùn)行時(shí)需要持有的證書(shū)。設(shè)備證書(shū)網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)，在接入本地網(wǎng)絡(luò)系統(tǒng)與其它實(shí)體通信過(guò)程中需要持有的證書(shū)。證書(shū)的應(yīng)用人員證書(shū)，主要用于用戶(hù)登陸網(wǎng)絡(luò)與操作系統(tǒng)、登陸應(yīng)用系統(tǒng)，以及訪(fǎng)問(wèn)應(yīng)用資源、執(zhí)行應(yīng)用操作命令時(shí)對(duì)用戶(hù)的身份進(jìn)行

47、認(rèn)證，與其它實(shí)體通信過(guò)程中的認(rèn)證、加密與簽名，以及行為審計(jì)。具體應(yīng)用方式參見(jiàn)本章以下小節(jié)：Web 服務(wù)的使用；關(guān)鍵應(yīng)用服務(wù)器的安全增強(qiáng)；遠(yuǎn)程撥號(hào)的防護(hù)。程序證書(shū)，主要用于應(yīng)用程序與遠(yuǎn)程程序進(jìn)行安全的數(shù)據(jù)通信，提供雙方之間的認(rèn)證、數(shù)據(jù)的加密與簽名功能。建議的應(yīng)用方式為：遠(yuǎn)程通信中一對(duì)通信網(wǎng)關(guān)中的通信進(jìn)程之間的安全通信。設(shè)備證書(shū)，主要用于本地設(shè)備接入認(rèn)證，遠(yuǎn)程通信實(shí)體之間的認(rèn)證，以及實(shí)體之間通信過(guò)程的數(shù)據(jù)加密與簽名。具體應(yīng)用方式參見(jiàn)本章以下小節(jié)：專(zhuān)用安全隔離裝置戶(hù)IP 認(rèn)證加密裝置戶(hù)遠(yuǎn)程撥號(hào)的防護(hù)縱向通信認(rèn)證示意調(diào)度員最終用戶(hù)調(diào)度自動(dòng)化系統(tǒng)當(dāng)?shù)卣J(rèn)證應(yīng)用層服務(wù)SCADA服務(wù)器網(wǎng)關(guān)機(jī)2接入交換機(jī)IP認(rèn)

48、證加密裝置SPDnet MPLS VPN網(wǎng)絡(luò)層4IP認(rèn)證加密裝置接入交換機(jī)網(wǎng)關(guān)機(jī)當(dāng)?shù)乇O(jiān)控服務(wù)器間隔單元執(zhí)行裝置廠(chǎng)站自動(dòng)化系統(tǒng)工作站服務(wù)器間IP認(rèn)證加密機(jī)間對(duì)于調(diào)度中心到廠(chǎng)站端的縱向數(shù)據(jù)通信與典型控制過(guò)程，其中涉及到的通信實(shí)體之間的認(rèn)證關(guān)系示意如下：圖 7 典型遠(yuǎn)方控制過(guò)程及典型認(rèn)證加密方式對(duì)于該控制過(guò)程和通信過(guò)程，主要考慮的是兩個(gè)系統(tǒng)之間的認(rèn)證，具體實(shí)現(xiàn)可以由兩個(gè)通信網(wǎng)關(guān)之間的認(rèn)證實(shí)現(xiàn)，或者兩處 IP 認(rèn)證加密裝置之間的認(rèn)證來(lái)實(shí)現(xiàn)。本技術(shù)框架對(duì) IP 認(rèn)證加密裝置之間的認(rèn)證進(jìn)行了建議，具體認(rèn)證過(guò)程參見(jiàn)相關(guān)章節(jié)。數(shù)字證書(shū)的發(fā)放與管理鑒于：在安全區(qū)、中，數(shù)據(jù)網(wǎng)絡(luò)是確定的，人員和設(shè)備都是確定的，與公

49、共因特網(wǎng)上的情形很不相同；電力監(jiān)控系統(tǒng)對(duì)實(shí)時(shí)性和可靠性要求很高；五級(jí)電力調(diào)度體系采用半軍事化管理方式，具有分層分級(jí)負(fù)責(zé)安全生產(chǎn)管理制度， 這本身就是非常好的安全防護(hù)資源，可以充分利用；在安全區(qū)、中總體證書(shū)數(shù)量不多；所以，電力調(diào)度系統(tǒng)數(shù)字證書(shū)的發(fā)放及管理模式可以進(jìn)行簡(jiǎn)化，簡(jiǎn)化原則如下：數(shù)字證書(shū)的信任體系必須統(tǒng)一規(guī)劃，上級(jí)調(diào)度機(jī)構(gòu)為所屬下級(jí)調(diào)度機(jī)構(gòu)和直調(diào)廠(chǎng)站的相關(guān)部分簽發(fā)證書(shū)；數(shù)字證書(shū)的格式和加密算法必須全系統(tǒng)統(tǒng)一；數(shù)字證書(shū)的生成、發(fā)放、管理可以盡量局部化；密鑰生成、管理可以盡量局部化；數(shù)字證書(shū)的生成設(shè)備可以微型化、節(jié)約費(fèi)用；數(shù)字證書(shū)服務(wù)應(yīng)該嵌入各相關(guān)應(yīng)用系統(tǒng)，以提高實(shí)時(shí)性和可靠性。數(shù)字證書(shū)系統(tǒng)的

50、實(shí)施數(shù)字證書(shū)系統(tǒng)的實(shí)施原則為：統(tǒng)籌安排，先期試點(diǎn)，結(jié)合應(yīng)用，分步實(shí)施。公鑰技術(shù)和數(shù)字證書(shū)系統(tǒng)的實(shí)施必須緊密結(jié)合具體應(yīng)用系統(tǒng)，為應(yīng)用系統(tǒng)提供實(shí)用的基礎(chǔ)安全服務(wù)?，F(xiàn)有應(yīng)用系統(tǒng)必須進(jìn)行相應(yīng)的改造，才能達(dá)到預(yù)定的安全強(qiáng)度。新系統(tǒng)的開(kāi)發(fā)必須適應(yīng)本總體方案的要求。應(yīng)用系統(tǒng)的改造是長(zhǎng)期的艱苦的工作，應(yīng)該先進(jìn)行試點(diǎn)，分步實(shí)施。專(zhuān)用安全隔離裝置環(huán)境描述電力專(zhuān)用物理隔離裝置作為安全區(qū) I與安全區(qū)的必備邊界，要求具有最高的安全防護(hù)強(qiáng)度，是安全區(qū) I橫向防護(hù)的要點(diǎn)。其中，安全隔離裝置（正向）用于安全區(qū) I到安全區(qū)的單向數(shù)據(jù)傳遞；安全隔離裝置（反向）用于安全區(qū)到安全區(qū) I的單向數(shù)據(jù)傳遞。設(shè)備部署如下圖：安全隔離裝置（正

51、向） 安全隔離裝置（反向）圖 8 安全隔離裝置部署示意圖專(zhuān)用安全隔離裝置（正向）安全隔離裝置（正向）應(yīng)該具有如下功能：實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通；表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸，即從安全區(qū)到安全區(qū)/的 TCP 應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)；透明工作方式：虛擬主機(jī) IP 地址、隱藏 MAC 地址；基于 MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過(guò)濾與訪(fǎng)問(wèn)控制；支持 NAT；防止穿透性 TCP 聯(lián)接：禁止內(nèi)網(wǎng)、外網(wǎng)的兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立 TCP 聯(lián)接， 應(yīng)將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)之間的 TCP 聯(lián)接分解成內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)分別到隔

52、離裝置內(nèi)外兩個(gè)網(wǎng)卡的兩個(gè) TCP 虛擬聯(lián)接。 隔離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接，且只允許數(shù)據(jù)單向傳輸；具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識(shí)別；安全、方便的維護(hù)管理方式：基于證書(shū)的管理人員認(rèn)證，圖形化的管理界面。專(zhuān)用安全隔離裝置（反向）專(zhuān)用安全隔離裝置（反向）用于從安全區(qū)到安全區(qū)/傳遞數(shù)據(jù)，是安全區(qū)到安全區(qū)/的唯一數(shù)據(jù)傳遞途徑。專(zhuān)用安全隔離裝置（反向）集中接收安全區(qū)發(fā)向安全區(qū)/的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過(guò)濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給安全區(qū)/內(nèi)部的接收程序具體過(guò)程如下：安全區(qū)內(nèi)的數(shù)據(jù)發(fā)送端首先對(duì)需要發(fā)送的數(shù)據(jù)簽名，然后發(fā)給專(zhuān)用安全隔離裝置（反向）；專(zhuān)用安全隔離裝置（反向）接

53、收數(shù)據(jù)后，進(jìn)行簽名驗(yàn)證，并對(duì)數(shù)據(jù)進(jìn)行內(nèi)容過(guò)濾、惡意代碼檢查、有效性檢查等處理；將處理過(guò)的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū)/內(nèi)部的接收程序。其功能要求如下：具有應(yīng)用網(wǎng)關(guān)功能，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的接收與轉(zhuǎn)發(fā)；具有應(yīng)用數(shù)據(jù)內(nèi)容有效性檢查功能；具有基于數(shù)字證書(shū)的數(shù)據(jù)簽名和驗(yàn)證功能；實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)傳遞；支持透明工作方式：虛擬主機(jī) IP 地址、隱藏 MAC 地址；支持 NAT；基于 MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過(guò)濾與訪(fǎng)問(wèn)控制；防止穿透性 TCP 聯(lián)接；安全保障要求專(zhuān)用安全隔離裝置本身應(yīng)該具有較高的安全防護(hù)能力，其安全性要求主要包括：采用非 INTEL 指令系統(tǒng)的（及兼容）的

54、微處理器；精簡(jiǎn)的、安全的、固化的操作系統(tǒng)；不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全漏洞；能夠抵御除 DoS 以外的已知的網(wǎng)絡(luò)攻擊。IP 認(rèn)證加密裝置應(yīng)用說(shuō)明IP 認(rèn)證加密裝置用于安全區(qū)的廣域網(wǎng)邊界防護(hù)，作用之一是為本地安全區(qū) 提供一個(gè)網(wǎng)絡(luò)屏障，類(lèi)似包過(guò)濾防火墻的功能，作用之二是為網(wǎng)關(guān)機(jī)之間的廣域網(wǎng)通信提供認(rèn)證與加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。近期作為過(guò)渡防護(hù)措施，可以使用防火墻代替 IP 認(rèn)證加密裝置對(duì)安全區(qū)進(jìn)行一定程度的邊界防護(hù)。安全功能要求IP 認(rèn)證加密裝置之間支持基于數(shù)字證書(shū)的認(rèn)證；對(duì)傳輸?shù)臄?shù)據(jù)通過(guò)數(shù)據(jù)簽名與加密進(jìn)行數(shù)據(jù)真實(shí)性、機(jī)密性、完整性保護(hù)；支持透明工作方式與網(wǎng)關(guān)工作方式；具有基于 I

55、P、傳輸協(xié)議、應(yīng)用端口號(hào)的綜合報(bào)文過(guò)濾與訪(fǎng)問(wèn)控制功能；采用“Agent”技術(shù)，實(shí)現(xiàn)裝置之間智能協(xié)調(diào)，動(dòng)態(tài)調(diào)整安全策略；性能要求：10M100M 線(xiàn)速轉(zhuǎn)發(fā)，支持 100 個(gè)并發(fā)會(huì)話(huà)。詳細(xì)的技術(shù)規(guī)范參見(jiàn)附件：電力調(diào)度專(zhuān)用 IP 認(rèn)證加密裝置技術(shù)規(guī)范說(shuō)明。安全保障要求安全操作系統(tǒng)內(nèi)核、非 Intel 指令集；不存在設(shè)計(jì)與實(shí)現(xiàn)上的安全漏洞；能夠抵御除 DOS 以外的已知的網(wǎng)絡(luò)攻擊；具有方便的安全管理與維護(hù)手段。Web 服務(wù)的使用與防護(hù)在安全區(qū)、，以及電力調(diào)度數(shù)據(jù)網(wǎng) SPDnet 環(huán)境中，Web 服務(wù)可以分為兩種形式： 橫向?yàn)g覽與縱向?yàn)g覽。橫向 Web 瀏覽指跨越不同安全區(qū)的瀏覽，例如 Web 服務(wù)器位

56、于安全區(qū)，而客戶(hù)端瀏覽器位于安全區(qū)?？v向 Web 瀏覽指上下級(jí)同安全區(qū)之間的 Web 瀏覽，例如 Web 服務(wù)器位于省調(diào)級(jí)安全區(qū)，而客戶(hù)端瀏覽器位于地調(diào)級(jí)安全區(qū)。安全區(qū)禁止 Web 服務(wù)由于安全區(qū)是整個(gè)系統(tǒng)的防護(hù)重點(diǎn)，其向安全區(qū)以及整個(gè) SPDnet 提供 Web 服務(wù)將引入很大的安全風(fēng)險(xiǎn)。因此在安全區(qū)中禁止 Web 服務(wù)，而將數(shù)據(jù)導(dǎo)入安全區(qū)，在安全區(qū)中進(jìn)行數(shù)據(jù)發(fā)布。同時(shí)禁止安全區(qū)中的計(jì)算機(jī)使用瀏覽器訪(fǎng)問(wèn)安全區(qū)的 Web 服務(wù)。安全區(qū)的安全 Web 服務(wù)安全區(qū)中的 Web 服務(wù)將是安全區(qū)與的統(tǒng)一的數(shù)據(jù)發(fā)布與查詢(xún)窗口?？紤]到目前 Web 服務(wù)的不安全性，以及安全區(qū)的 Web 服務(wù)需要向整個(gè) SP

57、Dnet 開(kāi)放，因此在安全區(qū)中將用于 Web 服務(wù)的服務(wù)器與瀏覽器客戶(hù)機(jī)統(tǒng)一布置在安全區(qū)中的一個(gè)邏輯子區(qū)Web 服務(wù)子區(qū)，置于安全區(qū)的接入交換機(jī)上的獨(dú)立 VLAN 中。并且 Web 服務(wù)器采用安全 Web 服務(wù)器，即經(jīng)過(guò)主機(jī)安全加固的、支持 HTTPS 的 Web 服務(wù)器，能夠?qū)g覽器客戶(hù)端進(jìn)行基于數(shù)字證書(shū)的身份認(rèn)證以及應(yīng)用數(shù)據(jù)加密傳輸。需要在 Web 服務(wù)子區(qū)開(kāi)展安全 Web 服務(wù)的應(yīng)用限于：電力市場(chǎng)交易系統(tǒng)、DTS 系統(tǒng)。安全區(qū)和的 Web 服務(wù)安全區(qū)和安全區(qū)支持普通 Web 服務(wù)，橫向?yàn)g覽與縱向?yàn)g覽都可以支持，但對(duì)跨區(qū)瀏覽必須加以限制，可采用口令、證書(shū)等技術(shù)手段。Email 的使用由于

58、Email 服務(wù)會(huì)引入高級(jí)別安全風(fēng)險(xiǎn)，因此安全區(qū)與中禁止 Email 服務(wù)，杜絕病毒、木馬程序借助 Email 傳播，避免被攻擊或成為進(jìn)一步攻擊的跳板。在安全區(qū)和安全區(qū)中提供 Email 服務(wù)。計(jì)算機(jī)系統(tǒng)本地訪(fǎng)問(wèn)控制技術(shù)措施結(jié)合用戶(hù)數(shù)字證書(shū)技術(shù)，對(duì)用戶(hù)登錄本地操作系統(tǒng)、訪(fǎng)問(wèn)系統(tǒng)資源等操作進(jìn)行身份認(rèn)證，根據(jù)身份與權(quán)限進(jìn)行訪(fǎng)問(wèn)控制，并且對(duì)操作行為進(jìn)行安全審計(jì)。使用方式當(dāng)用戶(hù)需要登陸系統(tǒng)時(shí)，系統(tǒng)通過(guò)相應(yīng)接口（如 USB、讀卡器）連接用戶(hù)的證書(shū)介質(zhì)，讀取證書(shū)，進(jìn)行身份認(rèn)證。通過(guò)認(rèn)證后，進(jìn)入常規(guī)的系統(tǒng)登陸程序。應(yīng)用目標(biāo)對(duì)于調(diào)度端安全區(qū)中的 SCADA 系統(tǒng)，安全區(qū)中的電力市場(chǎng)交易系統(tǒng)，廠(chǎng)站端的控制系統(tǒng)等

59、重要系統(tǒng)要求采用本地訪(fǎng)問(wèn)控制手段進(jìn)行保護(hù)。遠(yuǎn)程撥號(hào)訪(fǎng)問(wèn)撥號(hào)的防護(hù)策略遠(yuǎn)程用戶(hù)與工作站與系統(tǒng)本地具有相同的安全信任度與防護(hù)級(jí)別；遠(yuǎn)程用戶(hù)與工作站的安全防護(hù)是基礎(chǔ)和前提；在撥號(hào)連接建立過(guò)程中對(duì)撥號(hào)實(shí)體（用戶(hù)或者設(shè)備）進(jìn)行基于數(shù)字證書(shū)的身份認(rèn)證， 通過(guò)后才可以建立網(wǎng)絡(luò)層的連接；對(duì)通信過(guò)程中的認(rèn)證信息與應(yīng)用數(shù)據(jù)進(jìn)行完整性、機(jī)密性保護(hù)；對(duì)授權(quán)的用戶(hù)進(jìn)行合理的權(quán)限限制，在經(jīng)過(guò)認(rèn)證的連接上應(yīng)該僅能夠行使受限的網(wǎng)絡(luò)功能與應(yīng)用防護(hù)措施應(yīng)該對(duì)用戶(hù)操作、應(yīng)用性能、以及便攜程度產(chǎn)生盡量小的影響。防護(hù)措施- PAGE 29 -撥號(hào)的防護(hù)措施可以采用鏈路層保護(hù)方式、或者網(wǎng)絡(luò)層保護(hù)方式。鏈路保護(hù)方式：使用專(zhuān)用鏈路加密設(shè)備，

60、實(shí)現(xiàn)以下安全功能： 戶(hù)兩端鏈路加密設(shè)備相互進(jìn)行認(rèn)證； 戶(hù)對(duì)鏈路幀進(jìn)行加密。網(wǎng)絡(luò)保護(hù)方式：采用遠(yuǎn)程訪(fǎng)問(wèn) VPN 方式：在撥號(hào)服務(wù)器（ RAS）與本地網(wǎng)絡(luò)之間設(shè)置撥號(hào)認(rèn)證加密裝置，結(jié)合用戶(hù)數(shù)字證書(shū)，對(duì)遠(yuǎn)程撥入的用戶(hù)身份進(jìn)行認(rèn)證，通過(guò)認(rèn)證后，在遠(yuǎn)程撥入用戶(hù)與撥號(hào)認(rèn)證加密裝置之間建立 IPSecVPN，對(duì)網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行機(jī)密性與完整性保護(hù)。相關(guān)的安全產(chǎn)品包括：用戶(hù)端的 IPSecVPN 客戶(hù)端插件及相應(yīng)的加密卡、RAS 端的撥號(hào)認(rèn)證加密裝置（包括相應(yīng)的加密設(shè)備）。撥號(hào)認(rèn)證加密裝置可以是單獨(dú)的設(shè)備，置于 RAS 與本地網(wǎng)絡(luò)之間，也可以與 RAS 集成在一個(gè)物理設(shè)備中。兩種撥號(hào)防護(hù)方式示意圖如下：遠(yuǎn)程撥號(hào)訪(fǎng)