電力二次系統安全防護的是確保電力信息化系統、電力實時閉環監控系統及調度數據網絡的安全,目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊,從而防止一次系統、二次系統事故或大面積停電等事故的出現。
安全防護的基本原則:電力二次系統安全防護工作應當堅持安全分區、網絡專用、橫向隔離、縱向認證的原則,保障電力監控系統和電力調度數據網絡的安全。
電力二次系統的參考結構圖如下:
其他安全防護措施:
- 1、數據與系統備份:對關鍵應用的數據與應用系統進行備份,確保數據損壞、系統崩潰情況下快速恢復數據與系統的可用性。
- 2、入侵檢測IDS:
對于安全區I與II,建議統一部署一套IDS管理系統??紤]到調度業務的可靠性,采用基于網絡的入侵檢測系
統(NIDS),其IDS探頭主要部署在:
安全區I與II的邊界點、SPDnet的接入點、以及安全區I與II內的關鍵應用網段。其主
要的功能用于捕獲網絡異常行為,分析潛在風險,以及安全審計。
對于安全區III,禁止使用安全區I與II的IDS,與安全區IV
的IDS系統統一規劃部署。
- 3、主機防護:主機安全防護主要的方式包括:安全配置、安全補丁、安全主機加固。
- 4、安全配置:通過合理地設置系統配置、服務、權限,減少安全弱點。禁止不必要的應用,作為調度業務系統的專用主機或
者工作站,嚴格管理系統及應用軟件的安裝與使用。
- 5、安全補?。和ㄟ^及時更新系統安全補丁,消除系統內核漏洞與后門。
- 6、主機加固:安裝主機加固軟件,強制進行權限分配,保證對系統的資源(包括數據與進程)的訪問符合定義的主機安全策
略,防止主機權限被濫用。
- 7、CA與身份認證:基于PKI的CA認證系統為電力調度生產及管理系統與調度數據網上的用戶、關鍵網絡設備、服務器提供數
字證書服務。
常規項目配置: