电力安全方案抵御黑客病毒恶意代码等通种形式系统发起恶意破坏攻击特够抵御集团式攻击防止导致次系统事面积停电事二次系统崩溃瘫痪关信息理系统瘫痪
着计算机技术通信技术网络技术发展电力系统网开展业务应系统越越求业务系统间进行数交换越越电力网络安全性性实时性提出新严峻挑战电力系统网络安全性性已成非常紧迫问题
安全策略
根全国电力二次系统安全防护总体方案求调度动化系统分4安全域分:安全区Ⅰ(实时控制区)包括调度动化系统(SCADAEMS)配电动化系统变电站动化系统发电厂动监控系统等电力二次系统中重系统安全等级高安全防护重点核心安全区Ⅱ(非控制生产区)包括调度员培训模拟系统(DTS)继电保护障录波信息理系统电量计量系统批发电力交易系统等安全区Ⅲ(生产理区)电力生产需信息理系统调度生产理系统(DMIS)统计报表系统(日报旬报月报年报)雷电监测系统气象信息接入等安全区IV(理信息区)包括理信息系统(MIS)办公动化系统(OA)客户服务等
根区域划分安全解决方案总体策略:
分区防护突出重点 根系统中业务重性次系统影响程度性质划分实时控制区非控制生产区调度生产理区理信息区等四安全区域重点保护实时控制系统生产业务系统系统必须置相应安全区纳入统安全防护方案
区域隔离 采类强度隔离装置核心系统效保护
网络专 专通道建立电力调度专数网络实现数网络物理隔离通采MPLSVPN形成相互逻辑隔离VPN实现层次保护
设备独立 安全区域系统必须网络交换机设备
防护 采认证加密等手段实现数远方安全传输
设计思路
安全Ⅰ区安全Ⅱ区防护策略
实时控制区非控制区业务系统属电力生产系统采电力调度数网络线运行数交换较关系较密切作逻辑区(生产控制区)间须采关部门认定核准硬件防火墙相设备进行逻辑隔离
安全Ⅲ区安全IV区防护策略
生产理区理信息区均采电力数通信网络(ATM)数交换较关系较密切间隔离建议采关部门认定核准逻辑隔离设备
安全Ⅰ区Ⅱ区安全Ⅲ区防护策略
实时控制区非控制区理信息区直接联系实时控制区非控制区生产理区信息交换必须单方式仅允许纯数单安全传输反安全隔离装置采取签名认证数滤措施仅允许纯文数通严格进行病毒木马等恶意代码查杀
安全区域防护策略
专通道建立调度专数网络实现数网络物理隔离通采MPLSVPNIPsecVPN专网形成相互逻辑隔离VPN保障级安全区互联仅相安全区进行避免安全区交叉
高性防止单点失效策略
I区II区III区属调度中心理范畴IV区属信息中心理范畴I区高性求非常高求达秒级实时系统II区高性达分钟级III区IV区理系统高性非常高防火墙作网络隔离设备时候双机热备方式防止单点失效提高性
方案部署
根设计思路结合国调总结求次安全建设总体部署方案图示
防火墙系统建设设备部署方案
防火墙系统采联想网御研发防火墙首先电力网络系统I区II区间III区IV区间部署千兆防火墙防火墙工作双机热备状态全链路冗余方式分两区核心交换机相连正常情况两台防火墙均处工作状态分承担相应链路网络通信中台防火墙发生障时网络通信动切换外台防火墙切换程需操作系统参切换时间秒计算外III区出口处部署台千兆防火墙负责远方系统通信时安全保护
入侵检测系统建设设备部署方案
入侵检测系统采联想网御入侵检测系统I区II区部署台IDS探头IDS探头接核心交换机镜口旁路侦听方式流核心交换机流量进行检测II区部署台IDS理中心方式理两台IDS探头交换机需端口流量
镜IDS连接端口III区部署台IDS探头IDS探头接核心交换机镜口旁路侦听方式流核心交换机流量进行检测III区部部署台IDS理中心接受IDS探头传回信息IDS控制台通网线直接IDS探头相连控制台探头理口采独立IP址III区IP址重叠保证IDS安全性交换机需端口流量镜IDS连接端口
电子邮件:xfhuang@mailenetcomcn 者jshan@mailenetcomcn
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档