赛晶科技-电力二次安防介绍-20110503
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力二次系统安全防护基本原则
3、总体框架结构示意图: 、总体框架结构示意图:
电力二次系统安全防护基本原则
4、安全区划分: 、安全区划分:
• 生产控制大区 控制区(安全区Ⅰ) 非控制区(安全区Ⅱ) • 管理信息大区 可根据具体情况划分安全区,但不应影响生产控制大区的安 全。 生产管理区(安全区Ⅲ) 管理信息区(安全区Ⅳ)
• 生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施,限 制系统间的直接互通。
电力二次系统安全防护基本原则
5、生产控制大区内部的安全防护: 、生产控制大区内部的安全防护:
• 生产控制大区的拨号访问服务,服务器和用户端均应使用经国家 指定部门认证的。安全加固的操作系统,并采取加密、认证和访 问控制等安全措施。 • 生产控制大区边界上可以部署入侵检测系统。 • 生产控制大区应部署安全审计措施,把安全审计与安全区网络管 理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证 和授权、应用访问权限相结合。 • 生产控制大区应该统一部署恶意代码防护系统,采取防范恶意代 码措施。病毒库、木马库以及IDS规则库的更新应该离线进行。
电力二次系统安全防护介绍
——南京赛晶电子科技有限公司
时间:2011.5.3
主要内容
• 1、电力二次系统安全防护知识背景
• 2、电力二次系统安全防护的基本原则 • 3、安全防护技术和装置 • 4、发电厂二次系统安全防护方案
电力二次系统安全防护知识背景
1、目标: 、目标:
为了确保电力监控系统和电力调度数据网络的安全,抵御黑 客、病毒、恶意代码等各种形式的恶意破坏和攻击,特别是抵御 集团式攻击,防止电力二次系统的崩溃或瘫痪,以及由此造成的 电力系统事故或大面积停电事故。
电力二次系统安全防护知识背景 2、依据法规、文件: 、依据法规、文件:
• 2002年5月,原国家经贸委发布第30号令《电网和电厂计算机监 控系统及调度数据网络安全防护的规定》; • 2004年12月,电监会第5号令《电力二次系统安全防护规定》; 2004 12 5 • 2006年11月,电监会下发第34号文关于印发《电力二次系统安全 防护总体方案》等安全防护方案的通知。
安全防护技术和装置
3、反向隔离装置基本功能: 、反向隔离装置基本功能:
• 应用网关功能,实现数据的接收与转发。 • 具有数字证书的签名/解签名功能。 • 纯文本编码检查与转换功能。 • 基于E语言纯文本文件的强过滤功能 E • 透明工作模式,虚拟主机IP地址、隐藏MAC地址。 • 基于MAC/IP/Port/协议的综合报文过滤与访问控制,支持NAT。 • 割断穿透性TCP连接。 • 安全方便的维护管理,支持数字证书的管理员认证。
安全防护技术和装置
2、正向隔离装置基本功能: 、正向隔离装置基本功能:
• 非网络数据交换,内外两个处理系统不同时连通。 • 数据完全单向传输。 • 透明工作模式,虚拟主机IP地址、隐藏MAC地址。 • 基于MAC/IP/Port/协议的综合报文过滤与访问控制,支持NAT。 MAC/IP/Port/ NAT • 割断穿透性TCP连接。 • 应用层解析功能,支持标记识别。 • 安全方便的维护管理,支持数字证书的管理员认证。
电力二次系统安全防护基本原则
4.1、控制区(安全区Ⅰ) : 、控制区(安全区Ⅰ
控制区中的业务系统或功能模块是电力生产的重要环节,直 接实现对电力一次系统实时监控,纵向数据通信使用电力调度数 据网络或专用信道,是安全防护的重点与核心。 典型业务系统: • • • • • 能量管理系统(SCADA、AGC、AVC) 广域相量测量系统、配电网自动化系统 变电站自动化系统、发电厂自动监控系统 继电保护系统、安全自动控制系统 低频(低压)自动减负荷系统
5、生产控制大区内部的安全防护: 、生产控制大区内部的安全防护:
• 禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服 务。 • 允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部 使用。允许提供纵向安全WEB服务,可以采用经过安全加固且支 WEB 持HTTPS的安全WEB服务器和WEB浏览工作站。 • 生产控制大区重要业务(如SCADA/AGC)、电力市场交易等) 的远程通信必须采用加密认证机制,对已有系统逐步改造。
主要内容
• 1、电力二次系统安全防护知识背景
• 2、电力二次系统安全防护基本原则
• 3、安全防护技术和装置 • 4、发电厂二次系统安全防护方案
电力二次系统安全防护基本原则
1、基本原则: 、基本原则:
“安全分区、网络专用、横向隔离、纵向认证”
2、重点: 、重点:
主要针对网络系统和基于网络的电力生产控制系统,重点强 化边界防护能力,保证电力生产Байду номын сангаас制系统及重要数据的安全。
电力二次系统安全防护基本原则
4.2、非控制区(安全区Ⅱ) : 、非控制区(
非控制区中的业务系统或功能模块是电力生产的必要环节, 在线运行但不具备控制功能,纵向数据通信使用电力调度数据网 络或专用信道。 典型业务系统: • • • • • 调度员培训模拟系统 水库调度自动化系统 故障录波信息管理系统 电能量计量系统 电力市场运营系统
电力二次系统安全防护基本原则
4.3、安全区Ⅲ : 、
通过电力企业数据网络进行远方通信的生产管理系统(包括 电力监管信息系统、雷电监测系统、气象信息、DMIS等)。
4.4、安全区Ⅳ: 、安全区Ⅳ
与因特网互联并允许对其进行访问的管理信息系统和企业办 公区域(包括营销系统、OA、MIS等)
电力二次系统安全防护基本原则
电力二次系统安全防护基本原则
6、管理信息大区的安全要求: 、管理信息大区的安全要求:
应当统一部署防火墙、IDS、恶意代码防护系统等通用安全防 护设施。
电力二次系统安全防护基本原则
7、网络专用: 、网络专用:
• 电力调度数据网:专为生产控制大区服务的专用数据网络,承载 电力实时控制、在线生产交易等业务。 • 电力企业数据网:承载管理信息大区中各业务之间的信息交互的 电力实时控制、在线生产交易等业务。 • 电力调度数据网与电力企业数据网之间在物理层面上安全隔离。
主要内容
• 1、电力二次系统安全防护知识背景 • 2、电力二次系统安全防护的基本原则 • 3、安全防护技术和装置 • 4、发电厂二次系统安全防护方案
安全防护技术和装置
1、横向隔离技术: 、横向隔离技术:
• 横向隔离技术是电力二次系统安全防护体系的横向防线,是二次 系统安全防护体系的重要技术措施。 • 生产控制大区与管理信息大区之间必须设置经国家指定部门检测 认证的电力专用横向单向安全隔离装置,隔离强度接近或达到物 理隔离 • 安全区Ⅰ与安全区Ⅱ之间应采用国产硬件防火墙、具有访问控制 功能的设备或相当功能的设施进行逻辑隔离。 • 安全区Ⅲ与安全区Ⅳ之间应采用具有访问控制功能的网络设备 (如防火墙)实现逻辑隔离。