三峡梯级调度自动化系统网络安全防护策略的实施与应用研究.pdf

三峡梯级调度自动化系统 网络安全防护策略的实施与应用 张新军周保红 (-2峡梯级调度通信中心，湖北宜昌443113) 【摘要】本文介绍了三峡梯调自动化系统网络安全策略的解决方案，并详细介绍了其功能和特点。 【关键词J三峡梯级调度调度自动化网络安全物理隔离入侵检测 1综述 随着计算机及网络技术在各个行业及领域的广泛应用，各应用系统之间数据资源的共享和交换变得越 来越迫切。为了整合系统资源，消灭数据孤岛，企业内部的网络互联及数据通信越来越普及。但是由于网 络互联及数据通信，给系统带来了越来越多的安全隐患，黑客人侵、病毒攻击等现象时有发生。部署好网 络安全策略、做好网络及系统的安全防护工作显得越来越重要。 为了保障电力系统计算机控制系统的安全，原国家经贸委(现为发改委)制订和发布了国家经贸委 [2002]第30号令——《电网和电厂计算机监控系统及调度数据网络安全防护的规定》，原国家电力公司 (现国家电网公司)根据国家经贸委[2002]第30号令，制订了《全国电力二次系统安全防护总体方案》。 三峡梯级调度中心为了整合各调度自动化系统的资源，实现数据资源的共享与交换，参照国调《全国电力 二次系统安全防护总体方案》，按照“应用分区、横向认证、纵向隔离”的原则，对三峡梯调自动化系统 的安全防护策略进行了整体规划和部署。网络安全防护系统2003年9月开始实施，2004年7月正式投入 运行。该系统的投运。有效地防止了病毒的攻击、数据资源的非法访问和篡改，为三峡梯调自动化系统的 安全稳定运行打下了良好的基础。 2网络安全防护策略 三峡梯级调度自动化系统包括：梯级调度监控系统、安稳系统、梯级水库调度自动化系统、专业气象 台系统、电能计量系统、泥沙监测系统等。在系统设计时，都是按独立的系统或网络设计的，只考虑了各 自的安全性问题。 为了保障系统的安全运行，按照国家经贸委[2002]第30号令的要求，参照国调《全国电力二次系 统安全防护总体方案》，对三峡梯调自动化系统的安全防护策略进行了整体规划和部署。 根据各应用系统对安全性要求的不同，将系统安全防护体系分成三层：第一层为实时监控系统，第二 层为调度生产管理系统，第三层为企业信息系统。在各层中按安全等级的不同又分为不同的安全区，见 表l。 表1 安全区域划分表 系 统 安全区划分 区域性质 梯级调度监控系统 安全区I 水库自动化系统 安全区Ⅱ 内 网 电能计量系统 安全区Ⅱ 外网公共数据区 安全区Ⅲ 梯级调度Web及泥沙分析系统 安全区Ⅵ 外 网 对外数据通信 安全区Ⅵ 总公司MIIS 安全区Ⅵ 第一届水力发电技术国际会议论文集(第二卷) 依据规定在各安全区之间，均需选择适当的隔离装置，越是在内层的安全区，其累计的安全程度越 高。 针对不同的安全区域，部署了如下安全策略： (1)分别建立内、外网公共数据区。 正／反向网络安全物理隔离装置。 Eudemon (3)各安全区间布设有CheckpointFirewall一1、Quidway100、阿姆瑞特F80防火墙。 IDS (4)各安全区内布设Ciseo4235入侵检测设备。 (5)内、外网分别安装瑞星网络防病毒系统。 (6)定期进行主机安全审计、漏洞扫查和补丁升级。 网络安全设备的布设参见图1。 图l三峡梯级调度网络安全设备布