電力調(diào)度數(shù)字證書(shū)系統(tǒng)VIP

咸陽(yáng)供電分公司2017年9月安全生產(chǎn)系統(tǒng)“微課堂”正式開(kāi)班2024/5/191網(wǎng)絡(luò)安全及電力二次系統(tǒng)安全知識(shí)調(diào)度中心史盟2017年9月19日網(wǎng)絡(luò)安全的定義(一)是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問(wèn)題。其重要性，正隨著全球信息化步伐的加快而變到越來(lái)越重要?！凹议T就是國(guó)門”，安全問(wèn)題刻不容緩。是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。2024/5/193網(wǎng)絡(luò)安全的定義（二）是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露。系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

2024/5/194增強(qiáng)網(wǎng)絡(luò)安全意識(shí)隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國(guó)家的政府、軍事、文教等諸多領(lǐng)域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。有很多是敏感信息，甚至是國(guó)家機(jī)密。所以難免會(huì)吸引來(lái)自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。同時(shí)，網(wǎng)絡(luò)實(shí)體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗(yàn)。

2024/5/195一些數(shù)據(jù)：FBI統(tǒng)計(jì)95%的入侵危害未被發(fā)現(xiàn)；有超過(guò)70%的安全威脅來(lái)自企業(yè)內(nèi)部；中國(guó)國(guó)內(nèi)80%的網(wǎng)站存在安全隱患，20%的網(wǎng)站有嚴(yán)重安全問(wèn)題。2024/5/196電力二次系統(tǒng)安全防護(hù)的必要性為了防范黑客及惡意代碼等對(duì)電力二次系統(tǒng)的攻擊侵害及由此引發(fā)電力系統(tǒng)事故，建立電力二次系統(tǒng)安全防護(hù)體系，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。相關(guān)案例：1、伊朗核電站工控系統(tǒng)遭遇震網(wǎng)病毒事件2、烏克蘭大面積停電事件2024/5/197電力二次系統(tǒng)安全防護(hù)總體方案

依據(jù)國(guó)家電力監(jiān)管委員會(huì)5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》和國(guó)家經(jīng)濟(jì)貿(mào)易委員會(huì)2002年第30號(hào)令《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》的要求，并根據(jù)我國(guó)電力調(diào)度系統(tǒng)的具體情況編制的。其目的是防范對(duì)電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，規(guī)范和統(tǒng)一我國(guó)電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)劃、實(shí)施和監(jiān)管，以保障我國(guó)電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，保護(hù)國(guó)家重要基礎(chǔ)設(shè)施的安全。2024/5/198重要名詞解釋計(jì)算機(jī)監(jiān)控系統(tǒng)：包括各級(jí)電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、換流站計(jì)算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、配電網(wǎng)自動(dòng)化系統(tǒng)、微機(jī)保護(hù)和安全自動(dòng)裝置、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、電力市場(chǎng)交易系統(tǒng)等；

調(diào)度數(shù)據(jù)網(wǎng)絡(luò)：包括各級(jí)電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)、用于遠(yuǎn)程維護(hù)及電能量計(jì)費(fèi)等的撥號(hào)網(wǎng)絡(luò)、各計(jì)算機(jī)監(jiān)控系統(tǒng)接入的本地局域網(wǎng)絡(luò)等；2024/5/199國(guó)家經(jīng)貿(mào)委30號(hào)令的有關(guān)要求各電力監(jiān)控系統(tǒng)與辦公自動(dòng)化系統(tǒng)或其他信息系統(tǒng)之間以網(wǎng)絡(luò)方式互聯(lián)時(shí),必須采用經(jīng)國(guó)家有關(guān)部門認(rèn)證的專用、可靠的安全隔離設(shè)施

電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)均不得和互聯(lián)網(wǎng)相連,并嚴(yán)格限制電子郵件的使用各有關(guān)單位應(yīng)制定安全應(yīng)急措施和故障恢復(fù)措施，對(duì)關(guān)鍵數(shù)據(jù)做好備份并妥善存放；及時(shí)升級(jí)防病毒軟件及安裝操作系統(tǒng)漏洞修補(bǔ)程序；加強(qiáng)對(duì)電子郵件的管理；在關(guān)鍵部位配備攻擊監(jiān)測(cè)與告警設(shè)施，提高安全防護(hù)的主動(dòng)性2024/5/1910電力二次系統(tǒng)安全防護(hù)的基本原則

電力二次系統(tǒng)中，安全等級(jí)較高的系統(tǒng)不受安全等級(jí)較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級(jí)高于電力管理信息系統(tǒng)及辦公自動(dòng)化系統(tǒng)，各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護(hù)設(shè)施，不得與安全等級(jí)低的系統(tǒng)直接相聯(lián)。

2024/5/1911安全防護(hù)總體方案的適用范圍安全防護(hù)總體方案的基本防護(hù)原則適用于電力二次系統(tǒng)中各類應(yīng)用和網(wǎng)絡(luò)系統(tǒng)；總體方案直接適用于與電力生產(chǎn)和輸配過(guò)程直接相關(guān)的計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)；電力通信系統(tǒng)、電力信息系統(tǒng)、電廠信息系統(tǒng)等可參照電力二次系統(tǒng)安全防護(hù)總體方案制定具體安全防護(hù)方案。2024/5/1912電力二次系統(tǒng)安全防護(hù)的目標(biāo)與重點(diǎn)電力二次系統(tǒng)安全防護(hù)的重點(diǎn)是確保電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全；電力二次系統(tǒng)安全防護(hù)的目標(biāo)是抵御黑客、病毒、惡意代碼等通過(guò)各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故，及二次系統(tǒng)的崩潰或癱瘓。2024/5/1913電力二次系統(tǒng)主要安全風(fēng)險(xiǎn)

隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來(lái)越多。特別是隨著電力改革的推進(jìn)和電力市場(chǎng)的建立，要求在調(diào)度中心、電廠、用戶等之間進(jìn)行的數(shù)據(jù)交換也越來(lái)越頻繁。電力二次設(shè)備的改善使得其可控性能滿足閉環(huán)的要求。電廠、變電站減人增效，大量采用遠(yuǎn)方控制，對(duì)電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)；因特網(wǎng)和Internet技術(shù)已得到廣泛使用，E-mail、Web和PC的應(yīng)用也日益普及，但同時(shí)病毒和黑客也日益猖獗；目前有一些調(diào)度中心、發(fā)電廠、變電站在規(guī)劃、設(shè)計(jì)、建設(shè)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題重視不夠，使得具有實(shí)時(shí)遠(yuǎn)方控制功能的監(jiān)控系統(tǒng)，在沒(méi)有進(jìn)行有效安全隔離的情況下與當(dāng)?shù)氐腗IS系統(tǒng)或其他數(shù)據(jù)網(wǎng)絡(luò)互連，構(gòu)成了對(duì)電網(wǎng)安全運(yùn)行的嚴(yán)重隱患。2024/5/1914電力二次系統(tǒng)安全防護(hù)總體策略安全分區(qū)：根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影響程度進(jìn)行分區(qū)，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)；對(duì)實(shí)時(shí)控制系統(tǒng)等關(guān)鍵業(yè)務(wù)采用認(rèn)證、加密等技術(shù)實(shí)施重點(diǎn)保護(hù)。網(wǎng)絡(luò)專用：建立調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)與其它數(shù)據(jù)網(wǎng)絡(luò)物理隔離。并以技術(shù)手段在專網(wǎng)上形成多個(gè)相互邏輯隔離的子網(wǎng)，以保障上下級(jí)各安全區(qū)的縱向互聯(lián)僅在相同安全區(qū)進(jìn)行，避免安全區(qū)縱向交叉。橫向隔離：采用不同強(qiáng)度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)，關(guān)鍵是將實(shí)時(shí)監(jiān)控系統(tǒng)與辦公自動(dòng)化系統(tǒng)等實(shí)行有效安全隔離，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離?？v向認(rèn)證：采用認(rèn)證、加密、訪問(wèn)控制等手段實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。

2024/5/1915電力二次系統(tǒng)的安全區(qū)劃分生產(chǎn)控制大區(qū)管理信息大區(qū)控制區(qū)（安全Ⅰ區(qū)）非控制區(qū)（安全Ⅱ區(qū)）生產(chǎn)管理區(qū)（安全區(qū)Ⅲ）管理信息區(qū)（安全區(qū)Ⅳ）2024/5/1916電網(wǎng)二次系統(tǒng)安全防護(hù)總體示意圖2024/5/1917安全區(qū)Ⅰ：實(shí)時(shí)控制區(qū)安全區(qū)Ⅰ中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為直接實(shí)現(xiàn)對(duì)電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控，是電力生產(chǎn)的重要必備環(huán)節(jié)，系統(tǒng)實(shí)時(shí)在線運(yùn)行，縱向使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ馈０踩珔^(qū)Ⅰ的典型系統(tǒng)包括調(diào)度自動(dòng)化系統(tǒng)、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)等，其主要使用者為調(diào)度員和運(yùn)行操作人員，數(shù)據(jù)實(shí)時(shí)性為毫秒級(jí)或秒級(jí)，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ肋M(jìn)行傳輸。該區(qū)中還包括采用專用通道的控制系統(tǒng)，如：繼電保護(hù)、安全自動(dòng)控制系統(tǒng)、低頻/低壓自動(dòng)減載系統(tǒng)等。安全區(qū)Ⅰ是電力二次系統(tǒng)中最重要系統(tǒng)，安全等級(jí)最高，是安全防護(hù)的重點(diǎn)與核心。

2024/5/1918安全區(qū)Ⅱ：非控制生產(chǎn)區(qū)安全區(qū)Ⅱ中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為：所實(shí)現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié)，在線運(yùn)行但不具備控制功能，使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與安全區(qū)I中的系統(tǒng)或功能模塊聯(lián)系緊密。安全區(qū)Ⅱ的典型系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)、水調(diào)自動(dòng)化系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能量計(jì)量系統(tǒng)等，其主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護(hù)人員等。該區(qū)數(shù)據(jù)的實(shí)時(shí)性是分鐘級(jí)、小時(shí)級(jí)，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)。

2024/5/1919管理信息大區(qū)

管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合。電力企業(yè)可以根據(jù)具體情況劃分安全區(qū)，但不影響生產(chǎn)控制大區(qū)的安全。我公司根據(jù)實(shí)際情況將將除生產(chǎn)控制區(qū)以外的所有應(yīng)用系統(tǒng)都放在管理信息大區(qū)，只是根據(jù)應(yīng)用系統(tǒng)劃分不同的域。例如：營(yíng)銷系統(tǒng)、稅控系統(tǒng)、集抄系統(tǒng)和即將上線的資產(chǎn)一體化系統(tǒng)放在一個(gè)域，其他系統(tǒng)放置在一個(gè)域。2024/5/1920業(yè)務(wù)系統(tǒng)置于安全區(qū)的原則（一）

根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)時(shí)性、使用者、功能、場(chǎng)所、各業(yè)務(wù)系統(tǒng)的相互關(guān)系、廣域網(wǎng)通信方式以及對(duì)電力系統(tǒng)的影響程度等，按以下規(guī)則將業(yè)務(wù)系統(tǒng)或者其功能模塊置于相應(yīng)的安全區(qū)：1、實(shí)時(shí)控制系統(tǒng)或未來(lái)可能有實(shí)時(shí)控制功能的系統(tǒng)應(yīng)置于安全區(qū)Ⅰ。2、應(yīng)盡可能將業(yè)務(wù)系統(tǒng)完成置于一個(gè)安全區(qū)內(nèi)。當(dāng)業(yè)務(wù)系統(tǒng)的某些功能模塊與此業(yè)務(wù)系統(tǒng)不屬于同一個(gè)安全區(qū)內(nèi)時(shí)，可將其功能模塊分別置于相應(yīng)的安全區(qū)中，經(jīng)過(guò)安全區(qū)之間的安全隔離設(shè)施進(jìn)行通信。

2024/5/1921業(yè)務(wù)系統(tǒng)置于安全區(qū)的原則（二）

3、電力二次系統(tǒng)中不允許把本屬于高安全區(qū)的業(yè)務(wù)系統(tǒng)遷移到低安全區(qū)。但允許把屬于低安全區(qū)的業(yè)務(wù)系統(tǒng)放置于高安全區(qū)。4、對(duì)不存在外部網(wǎng)絡(luò)聯(lián)系的孤立業(yè)務(wù)系統(tǒng)，其安全分區(qū)無(wú)特殊要求，但需遵守所在安全區(qū)的防護(hù)要求。5、各電力二次系統(tǒng)原則上均應(yīng)劃分為四安全區(qū)的電力二次系統(tǒng)安全防護(hù)方案，但并非四安全區(qū)都必須存在。對(duì)小型縣調(diào)、配調(diào)、小型電廠和變電站的二次系統(tǒng)根據(jù)具體情況不設(shè)非控制區(qū)，重點(diǎn)防護(hù)控制區(qū)。2024/5/1922安全區(qū)之間的安全強(qiáng)度要求安全區(qū)Ⅰ與安全區(qū)Ⅱ的業(yè)務(wù)系統(tǒng)都屬電力生產(chǎn)系統(tǒng)，都采用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，都在線運(yùn)行，數(shù)據(jù)交換較多，關(guān)系比較密切，可以作為一個(gè)生產(chǎn)控制的邏輯大區(qū)；安全區(qū)Ⅲ與安全區(qū)Ⅳ的業(yè)務(wù)系統(tǒng)都屬管理信息系統(tǒng)，都采用數(shù)據(jù)通信網(wǎng)絡(luò)，數(shù)據(jù)交換較多，關(guān)系比較密切，可以作為一個(gè)管理信息的邏輯大區(qū)。生產(chǎn)控制的邏輯大區(qū)與管理信息的邏輯大區(qū)之間安全強(qiáng)度應(yīng)該達(dá)到相互物理隔離或接近于物理隔離。安全區(qū)Ⅰ與安全區(qū)Ⅱ之間，以及安全區(qū)III與安全區(qū)IV之間的安全強(qiáng)度應(yīng)該達(dá)到相互邏輯隔離。2024/5/1923安全區(qū)之間的橫向隔離要求（一）

安全區(qū)Ⅰ與安全區(qū)Ⅱ之間須采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻或相關(guān)設(shè)備進(jìn)行邏輯隔離，應(yīng)禁止E-mail、Web、Telnet等服務(wù)穿越安全區(qū)之間的隔離設(shè)備。安全區(qū)III與安全區(qū)IV之間應(yīng)采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的硬件防火墻或相當(dāng)設(shè)備進(jìn)行邏輯隔離。安全區(qū)Ⅰ、II不得與安全區(qū)IV直接聯(lián)系；安全區(qū)I、II與安全區(qū)III之間應(yīng)該采用經(jīng)有關(guān)部門認(rèn)定核準(zhǔn)的專用安全隔離裝置。專用安全隔離裝置應(yīng)該達(dá)到接近物理隔離的強(qiáng)度。2024/5/1924安全區(qū)之間的橫向隔離要求（二）嚴(yán)格禁止E-MAIL、WEB、TELnet等網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫(kù)訪問(wèn)功能穿越專用安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。專用安全隔離裝置分為正向型和反向型。從安全區(qū)Ⅰ、Ⅱ往安全區(qū)Ⅲ必須采用正向安全隔離裝置單向傳輸信息；由安全區(qū)Ⅲ往安全區(qū)Ⅱ甚至安全區(qū)Ⅰ的單向數(shù)據(jù)傳輸必須經(jīng)反向安全隔離裝置。反向安全隔離裝置采取簽名認(rèn)證和數(shù)據(jù)過(guò)濾措施，僅允許純文本數(shù)據(jù)通過(guò)，并嚴(yán)格進(jìn)行病毒、木馬等惡意代碼的查殺。2024/5/1925安全區(qū)與遠(yuǎn)方通信的縱向安全防護(hù)要求安全區(qū)Ⅰ、Ⅱ接入調(diào)度數(shù)據(jù)網(wǎng)時(shí)，應(yīng)配置縱向認(rèn)證加密裝置，實(shí)現(xiàn)網(wǎng)絡(luò)層雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制，也可與業(yè)務(wù)系統(tǒng)的通信網(wǎng)關(guān)設(shè)備配合，實(shí)現(xiàn)部分傳輸層或應(yīng)用層的安全功能。如暫時(shí)不具備條件或根據(jù)具體業(yè)務(wù)的重要程度，可以用硬件防火墻或ACL技術(shù)的訪問(wèn)控制代替。處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)的操作系統(tǒng)應(yīng)進(jìn)行安全加固。根據(jù)具體業(yè)務(wù)的重要程度及信息的敏感程度，對(duì)I、II區(qū)的外部通信網(wǎng)關(guān)可以應(yīng)該增加加密、認(rèn)證和過(guò)濾的功能。傳統(tǒng)的基于專用信道的通信不涉及網(wǎng)絡(luò)安全問(wèn)題，可逐步采用線路加密技術(shù)保護(hù)關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。

2024/5/1926生產(chǎn)控制大區(qū)內(nèi)部的防護(hù)要求（一）禁止生產(chǎn)控制大區(qū)內(nèi)部的E-MAIL服務(wù)。禁止控制區(qū)內(nèi)的WEB服務(wù)。允許非控制區(qū)內(nèi)部采用B/S結(jié)構(gòu)的系統(tǒng)，但僅限于業(yè)務(wù)系統(tǒng)的內(nèi)部使用。允許非控制區(qū)提供縱向安全WEB服務(wù)，可以采用經(jīng)過(guò)安全加固且支持HTTPS的安全WEB服務(wù)器和WEB瀏覽工作站。生產(chǎn)控制大區(qū)重要業(yè)務(wù)（如SCADA/AGC、電力市場(chǎng)交易等）應(yīng)該逐步采用認(rèn)證加密機(jī)制。生產(chǎn)控制大區(qū)內(nèi)的相關(guān)系統(tǒng)間應(yīng)該采取訪問(wèn)控制等安全措施。生產(chǎn)控制大區(qū)進(jìn)行撥號(hào)訪問(wèn)服務(wù)，用戶端應(yīng)該使用國(guó)家指定部門認(rèn)證的安全加固的操作系統(tǒng)，并采取加密、認(rèn)證和訪問(wèn)控制等安全防護(hù)措施。2024/5/1927生產(chǎn)控制大區(qū)內(nèi)部的防護(hù)要求（二）生產(chǎn)控制大區(qū)邊界上可以部署入侵檢測(cè)系統(tǒng)IDS。安全區(qū)Ⅰ、Ⅱ可以合用一套IDS管理系統(tǒng)。生產(chǎn)控制大區(qū)應(yīng)部署安全審計(jì)措施，應(yīng)把安全審計(jì)與安全區(qū)網(wǎng)絡(luò)管理系統(tǒng)、IDS管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪問(wèn)權(quán)限相結(jié)合。生產(chǎn)控制大區(qū)應(yīng)該統(tǒng)一部署防惡意代碼防護(hù)系統(tǒng)，采取防范惡意代碼措施。病毒庫(kù)和木馬庫(kù)的更新應(yīng)該離線進(jìn)行，不得直接從因特網(wǎng)下載。生產(chǎn)控制大區(qū)內(nèi)的系統(tǒng)必須經(jīng)過(guò)安全評(píng)估。2024/5/1928管理信息大區(qū)的防護(hù)要求

允許開(kāi)通EMAIL、WEB服務(wù)。進(jìn)行撥號(hào)訪問(wèn)服務(wù)必須采取訪問(wèn)控制等安全防護(hù)措施。應(yīng)該部署安全審計(jì)措施，邊界上應(yīng)部署入侵檢測(cè)系統(tǒng)IDS。必須采取防惡意代碼措施。2024/5/1929電力二次系統(tǒng)四安全區(qū)拓?fù)浣Y(jié)構(gòu)

鏈?zhǔn)浇Y(jié)構(gòu)三角結(jié)構(gòu)星形結(jié)構(gòu)2024/5/1930網(wǎng)絡(luò)專用電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，承載電力實(shí)時(shí)控制、在線生產(chǎn)交易等業(yè)務(wù)。電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別鏈接控制區(qū)和非控制區(qū)。2024/5/1931電力調(diào)度數(shù)據(jù)網(wǎng)的安全防護(hù)措施網(wǎng)絡(luò)路由防護(hù)網(wǎng)絡(luò)邊界防護(hù)網(wǎng)絡(luò)設(shè)備的安全配置數(shù)據(jù)網(wǎng)絡(luò)安全的分層分區(qū)設(shè)置2024/5/19