安全区域间隔离策略
现状分析
调度二次系统直接涉电网闭环控制关系电网安全稳定运行年着计算机通信产业发展数网络技术电力二次系统中广泛应促进系统间互联增加方便性推动信息享充分利考虑更系统互联互通性维护方便性友性系统安全性方面考虑足目前存较安全漏洞隐患增加系统攻击破坏入侵性带严重二次系统安全问题电力系统网开展业务应系统越越求业务系统间进行数交换越越电力网络安全性性实时性提出新严峻挑战电力系统网络安全性性已成非常紧迫问题
解决方案
1安全策略
根电监会整体求调度动化系统分4安全域分:安全区Ⅰ(实时控制区)包括调度动化系统(SCADAEMS)配电动化系统变电站动化系统发电厂动监控系统等电力二次系统中重系统安全等级高安全防护重点核心安全区Ⅱ(非控制生产区)包括调度员培训模拟系统(DTS)继电保护障录波信息理系统电量计量系统批发电力交易系统等安全区Ⅲ(生产理区)电力生产需信息理系
统调度生产理系统(DMIS)统计报表系统(日报旬报月报年报)雷电监测系统气象信息接入等安全区IV(理信息区)包括理信息系统(MIS)办公动化系统(OA)客户服务等
区域划分安全解决方案总体策略:
分区防护突出重点 根系统中业务重性次系统影响程度性质划分实时控制区非控制生产区调度生产理区理信息区等四安全区域重点保护实时控制系统生产业务系统系统必须置相应安全区纳入统安全防护方案
区域隔离 采类强度隔离装置核心系统效保护
网络专 专通道建立电力调度专数网络实现数网络物理隔离通采MPLSVPN形成相互逻辑隔离VPN实现层次保护
设备独立 安全区域系统必须网络交换机设备
防护 采认证加密等手段实现数远方安全传输
2方案部署
根设计思路结合电监会总结求二次系统安全建设总体部署方案图示
防火墙系统部署方案
防火墙系统采联想网御研发防火墙首先电力网络系统I区II区间III区IV区间理信息区互联网间部署硬件防火墙防火墙工作双机热备状态全链路冗余方式分两区核心交换机相连正常情况两台防火墙均处工作状态分承担相应链路网络通信中台防火墙发生障时网络通信动切换外台防火墙切换程需操作系统参切换时间秒计算外III区出口处部署台千兆防火墙负责远方系统通信时安全保护
入侵检测系统部署方案
入侵
检测系统采联想网御入侵检测系统I区II区部署台IDS探头IDS探头接核心交换机镜口旁路侦听方式流核心交换机流量进行检测II区部署台IDS理中心方式理两台IDS探头交换机需端口流量镜IDS连接端口III区部署台IDS探头IDS探头接核心交换机镜口旁路侦听方式流核心交换机流量进行检测III区部部署台IDS理中心接受IDS探头传回信息IDS控制台通网线直接IDS探头相连控制台探头理口采独立IP址III区IP址重叠保证IDS安全性交换机需端口流量镜IDS连接端口
安全隔离系统部署方案
生产控制区理信息区间部署专安全隔离系统安全隔离系统采单通信模式分正隔离系统反隔离系统
正安全隔离装置生产控制区理信息区单数传递实现两区间非网络方式安全数交换两安全区间非网络方式实现安全数交换保证安全隔离装置外两处理系统时连通实现表示层应层数完全单传输安全区III安全区IIITCP应答禁止携带应数
反安全隔离装置理信息区生产控制区单传递数理信息区生产控制区唯数传递途径反安全隔离装置集中接收理信息区发生产控制区数进行签名验证容滤效性检查等处理转发生产控制区部接收程序
定期安全评估方案
考虑安全动态特性原处安全状态安全区域新安全漏洞发现新安全攻击技术出现转变安全状态采风险评估手段定期生产理区理信息区互联网边界进行安全风险评估十分必
方案优势
1体化解决方案减少户整体投入联想网御电力二次系统安全防护解决方案提供系统设计应调整设备部署期风险理揽子解决方案限度减少户力技术工程建设投入特市局户联想网御基
电力行业深厚理解丰富验帮助户度员限技术力量薄弱困境轻松实现系统改造建设
2高性设计保障系统稳定运行联想网御充分理解二次系统电力系统重价值方案设计设备选型产品生产环节着重强调高性稳定性求通具特色系统冗余设备冗余模块冗余等种技术手段保障二次系统稳定运行
3安全运维服务提供持久安全保证联想网御仅致力户提供佳安全建设方案充分考虑户二次系统建设运行阶段面复杂安全风险力足等问题保障二次系统运行阶段安全联想网御通提供安全通告应急响应定期安全评估相结合安全运维方案保证二次系统持久安全
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档