力二次系统防护培训资料.pptVIP

* * Web服务的使用与防护 在安全区I中取消Web服务。禁止安全区I中的计算机使用浏览器访问安全区II的Web服务。 安全区II中的Web服务将是安全区I与II的统一的数据发布与查询窗口。考虑到目前Web服务的不安全性，以及安全区II的Web服务需要向整个SPDnet开放，因此在安全区II中将用于Web服务的服务器与浏览器客户机统一布置在安全区II中的一个逻辑子区――Web服务子区，置于安全区II的接入交换机上的独立VLAN中。 Web服务器采用安全Web服务器，即经过主机安全加固的，支持SSL、HTTPS的Web服务器，能够对浏览器客户端进行身份认证、以及应用数据加密。 * * 电力二次系统的数字证书 数字证书提供以下安全功能： 支持身份认证功能、支持基于证书的密钥分发与加密； 支持基于证书的签名以及基于证书扩展属性的权限管理。 电力调度业务系统及数据网络中需要发放数字证书的对象： 关键应用：主要包括SCADA系统、电力市场交易系统； 关键人员：主要包括关键应用系统的用户与管理维护人员； 关键设备：主要包括通信网关、IP认证加密装置、专用安全隔离装置、以及部分网络设备。 * * 备份与恢复 数据与系统备份： 对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。 设备备用： 对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。 异地容灾： 对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。 * * 防病毒措施 病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。 * * 入侵检测 IDS 对于安全区I与II，建议统一部署一套IDS管理系统。 考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS）。 其IDS探头主要部署在：安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。 主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。 * * 主机防护 安全配置：通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站， 严格管理系统及应用软件的安装与使用。 安全补丁：通过及时更新系统安全补丁，消除系统内核漏洞与后门。 主机加固：安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。 应用目标：关键应用，包括SCADA/EMS系统服务器、电力市场交易服务器。网络边界处的主机，包括通信网关、Web服务器等等。 * * 其它技术措施 应用程序安全： 禁止应用程序以操作系统root权限运行，应用系统合理设置用户权限，重要资源的访问与操作要求进行身份认证与审计，用户口令不得以明文方式出现在程序及配置文件中。 安全审计： 安全审计是安全管理的重要环节。应该引入集中智能的安全审计系统，通过技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。 安全“蜜罐”： 应用“主动防御”思想，在安全区II中的Web子区中，设置“安全蜜罐”，迷惑攻击者，配合安全审计，收集攻击者相关信息。 安全评估技术： 已投运的系统要求进行安全评估，新建设的系统必须经过安全评估合格后方可投运。 水调自动化系统安全产品部署示意图 继电保护和故障录波信息系统 配电二次系统安全防护方案 变电站二次系统安全区Ⅰ和安全区Ⅱ 水电厂二次系统安全部署图 火电厂二次系统安全部署图 * * 什么是网络安全？　　网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”，安全问题刻不容缓。　　网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。　　网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。　　网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、