?
2.2? 網(wǎng)絡(luò)專用
?????? 電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò),承載電力實時控制���、在線生產(chǎn)交易等業(yè)務(wù)�。安全區(qū)的外部邊界網(wǎng)絡(luò)之間的安全防護隔離強度應(yīng)該和所連接的安全區(qū)之間的安全防護隔離強度相匹配。
?????? 電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)�,采用基于SDH/PDH 不同通道、不同光波長�、不同纖芯等方式,在物理層
面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離�����。
?????? 電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)�,分別連接控制區(qū)和非控制區(qū)?����?刹捎肕PLS-VPN 技術(shù)�����、安全隧道技術(shù)���、PVC
技術(shù)、靜態(tài)路由等構(gòu)造子網(wǎng)����。
?????? 電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)采用以下安全防護措施:
?????? (1)網(wǎng)絡(luò)路由防護
?????? 按照電力調(diào)度管理體系及數(shù)據(jù)網(wǎng)絡(luò)技術(shù)規(guī)范,采用虛擬專網(wǎng)技術(shù),將電力調(diào)度數(shù)據(jù)網(wǎng)分割為邏輯上相對獨立的實時子網(wǎng)和非實時子網(wǎng)
���,分別對應(yīng)控制業(yè)務(wù)和非控制生產(chǎn)業(yè)務(wù)�,保證實時業(yè)務(wù)的封閉性和高等級的網(wǎng)絡(luò)服務(wù)質(zhì)量�。
?????? (2)網(wǎng)絡(luò)邊界防護
?????? 應(yīng)當(dāng)采用嚴(yán)格的接入控制措施,保證業(yè)務(wù)系統(tǒng)接入的可信性���。經(jīng)過授權(quán)的節(jié)點允許接入電力調(diào)度數(shù)據(jù)網(wǎng)����,進行廣域網(wǎng)通信�����。數(shù)據(jù)網(wǎng)絡(luò)
與業(yè)務(wù)系統(tǒng)邊界采用必要的訪問控制措施�,對通信方式與通信業(yè)務(wù)類型進行控制;在生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向交接處應(yīng)當(dāng)采取相
應(yīng)的安全隔離����、加密、認(rèn)證等防護措施����。對于實時控制等重要業(yè)務(wù)�����,應(yīng)該通過縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)接入調(diào)度數(shù)據(jù)網(wǎng)���。
?????? (3)網(wǎng)絡(luò)設(shè)備的安全配置
?????? 網(wǎng)絡(luò)設(shè)備的安全配置包括關(guān)閉或限定網(wǎng)絡(luò)服務(wù)、避免使用默認(rèn)路由����、關(guān)閉網(wǎng)絡(luò)邊界OSPF 路由功能、采用安全增強的SNMPv2 及以上版
本的網(wǎng)管協(xié)議�����、設(shè)置受信任的網(wǎng)絡(luò)地址范圍����、記錄設(shè)備日志、設(shè)置高強度的密碼�、開啟訪問控制列表�、封閉空閑的網(wǎng)絡(luò)端口等。
?????? (4)數(shù)據(jù)網(wǎng)絡(luò)安全的分層分區(qū)設(shè)置
?????? 電力調(diào)度數(shù)據(jù)網(wǎng)采用安全分層分區(qū)設(shè)置的原則���。省級以上調(diào)度中心和網(wǎng)調(diào)以上直調(diào)廠站節(jié)點構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)(簡稱骨干網(wǎng))�。
省調(diào)、地調(diào)和縣調(diào)及省���、地直調(diào)廠站節(jié)點構(gòu)成省級調(diào)度數(shù)據(jù)網(wǎng)(簡稱省網(wǎng))����。
?????? 縣調(diào)和配網(wǎng)內(nèi)部生產(chǎn)控制大區(qū)專用節(jié)點構(gòu)成縣級專用數(shù)據(jù)網(wǎng)�。縣調(diào)自動化���、配網(wǎng)自動化�����、負(fù)荷管理系統(tǒng)與被控對象之間的數(shù)據(jù)通信可
采用專用數(shù)據(jù)網(wǎng)絡(luò)���,不具備專網(wǎng)條件的也可采用公用通信網(wǎng)絡(luò)(不包括因特網(wǎng)),且必須采取安全防護措施���。
?????? 各層面的數(shù)據(jù)網(wǎng)絡(luò)之間應(yīng)該通過路由限制措施進行安全隔離���。當(dāng)縣調(diào)或配調(diào)內(nèi)部采用公用通信網(wǎng)時,禁止與調(diào)度數(shù)據(jù)網(wǎng)互聯(lián)�。保證網(wǎng)
絡(luò)故障和安全事件限制在局部區(qū)域之內(nèi)���。
?????? 企業(yè)內(nèi)部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng),電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)網(wǎng)�����。
?
2.3 橫向隔離
?????? 2.3.1? 橫向隔離是電力二次安全防護體系的橫向防線����。采用不同強度的安全設(shè)備隔離各安全區(qū),在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間
必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置�����,隔離強度應(yīng)接近或達到物理隔離�����。電力專用橫向單向安全隔離裝置作為
生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施�����,是橫向防護的關(guān)鍵設(shè)備����。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能
的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施�����,實現(xiàn)邏輯隔離�����。
?????? 2.3.2? 按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型����。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)
的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸���,是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一
數(shù)據(jù)傳輸途徑�。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)�,進行簽名驗證、內(nèi)容過濾���、有效性檢查等處理后����,轉(zhuǎn)發(fā)給
生產(chǎn)控制大區(qū)內(nèi)部的接收程序����。專用橫向單向隔離裝置應(yīng)該滿足實時性����、可靠性和傳輸流量等方面的要求���。
?????? 2.3.2? 嚴(yán)格禁止E-Mail���、WEB、Telnet�、Rlogin、FTP 等安全風(fēng)險高的通用網(wǎng)絡(luò)服務(wù)和以B/S 或C/S 方式的數(shù)據(jù)庫訪問穿越專用橫向
單向安全隔離裝置����,僅允許純數(shù)據(jù)的單向安全傳輸。
?????? 控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火墻���、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進行邏輯隔離�����。
?
2.4 縱向認(rèn)證
?????? 2.4.1? 縱向加密認(rèn)證是電力二次系統(tǒng)安全防護體系的縱向防線����。采用認(rèn)證、加密���、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及
縱向邊界的安全防護。對于重點防護的調(diào)度中心�����、發(fā)電廠�、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證
的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施,實現(xiàn)雙向身份認(rèn)證�����、數(shù)據(jù)加密和訪問控制�。暫時不具備條件的可以采用硬件防火
墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時代替。
?????? 2.4.2? 縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護���?���?v向加密認(rèn)證裝置為廣域網(wǎng)通信提供認(rèn)證與加密功能
����,實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性�����、完整性保護���,同時具有類似防火墻的安全過濾功能。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外�����,還應(yīng)實現(xiàn)對
電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報文的處理功能����。
?????? 2.4.3? 對處于外部網(wǎng)絡(luò)邊界的其他通信網(wǎng)關(guān),應(yīng)進行操作系統(tǒng)的安全加固����,對于新上的系統(tǒng)應(yīng)支持加密認(rèn)證的功能。
?????? 2.4.4? 重點防護的調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認(rèn)證裝置���;當(dāng)調(diào)度中心側(cè)已配置縱向加密認(rèn)證裝置時����,與其相連的小型
廠站側(cè)可以不配備該裝置,此時至少實現(xiàn)安全過濾功能�。
?????? 2.4.5? 傳統(tǒng)的基于專用通道的數(shù)據(jù)通信不涉及網(wǎng)絡(luò)安全問題,新建系統(tǒng)可逐步采用加密等技術(shù)保護關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)����。
通信設(shè)施安全技術(shù)
車間安全生產(chǎn)注意事項
