调度安全防护体系-总体.pptVIP

全国电力二次系统安全防护总体方案是依据中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（以下简称《规定》）的要求，并根据我国电力调度系统的具体情况编制的，目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管，以保障我国电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。 电力二次系统安全防护总体策略 分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内，重点保护实时控制系统以及生产业务系统； 安全区隔离。采用不同强度的网络安全设备使各安全区中的业务系统得到有效保护； 网络隔离。在专用通道上建立调度专用数据网络，实现与其他数据网络物理隔离。并通过采用MPLS-VPN或IPsec-VPN在专网上形成多个相互逻辑隔离的VPN，实现多层次的保护； 纵向防护。采用认证、加密等手段实现数据的远方安全传输。 电力二次系统的安全区划分(二) 业务系统置于安全区的规则(一) 业务系统置于安全区的规则(二) 安全区之间的隔离要求（二） 安全区与远方通信的安全防护要求（二） 各安全区内部安全防护的基本要求（一） 各安全区内部安全防护的基本要求（二） 电力二次系统四安全区拓扑结构 电力二次系统安全防护技术 PKI技术的介绍 数字签名和数字信封 数字证书与认证 专用安全隔离装置 电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，要求具有最高的安全防护强度，是安全区I/II横向防护的要点。 其中，安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。 专用安全隔离装置部署： 反向型专用安全隔离装置 纵向通信认证示意 IP认证加密装置 对于纵向通信过程，主要考虑是两个系统之间的认证，具体实现可以由两个通信网关之间的认证实现，或者两处IP认证加密装置之间的认证来实现。建议采用对IP认证加密装置之间的认证。 IP认证加密装置用于安全区I/II的广域网边界保护。 为本地安全区I/II提供类似包过滤防火墙的功能。 为通信网关间的广域网通信提供具有认证与加密功能的VPN，实现数据传输的机密性、完整性保护。 远程拨号访问防护示意 链路保护措施： 使用专用链路加密设备，实现以下安全功能： 两端链路加密设备相互进行认证 对链路帧进行加密 网络保护措施： 采用远程访问VPN方式。在RAS与本地网络之间设置拨号认证加密装置，结合用户数字证书，对远程拨入的用户身份进行认证，通过认证后，在远程拨入用户与拨号认证加密装置之间建立IPSecVPN，对网络层数据进行机密性与完整性保护。 相关的安全产品包括：用户端的IPSecVPN客户端插件及相应的加密卡、RAS端的拨号认证加密装置（包括相应的加密设备）。拨号认证加密装置可以是单独的设备，置于RAS与本地网络之间，也可以与RAS集成在一个物理设备中。 远程拨号访问认证过程 链路方式远程拨号访问认证过程 网络方式远程拨号访问认证过程 采用安全代理方式加强现有应用系统 增加一个安全代理服务器。原有客户端对应用服务器的所有访问必须经过安全代理服务器，由安全代理服务器对客户端进行认证、权限管理、访问控制，仅将合法用户的合法访问转交给应用服务器，并且对客户端与代理服务器之间的通信进行安全保护，对客户端的访问行为进行审计。 原有应用服务器不需要改造，而部分客户端可能需要一定程度的改造，添加安全插件，以及加密设备。 调度中心各系统安全区的划分 安全区Ⅰ：目前已有或将来要上的有控制功能的系统，以及实时性要求很高的系统。目前包括实时闭环控制的SCADA/EMS系统、广域相量测量系统（WAMS）和安全自动控制系统，保护设置工作站（有改定值、远方投退功能）。 安全区Ⅱ：没有实时控制业务但需要通过SPDnet进行远方通信的准实时业务系统。目前包括水调自动化系统、DTS（将来需要进行联合事故演习）、电力交易系统、电能量计量系统、考核系统、继保及故录管理系统（没有改定值、远方投退功能）等。 安全区Ⅲ：通过SPTnet进行远方通信的调度生产管理系统。目前包括雷电监测系统、气象信息、日报/早报、DMIS等。 安全区IV：包括办公自动化（OA）和管理信息系统（MIS）等。 纵向网络边界的安全防护措施： 对外通信网关必须通过具备逻辑隔离功能的接入交换机接入 部署IP认证加密装置（位于SPDnet的实时VPN与接入交换机之间） 横向网络边界的安全防护措施： 对内网关必须通过具备逻辑隔离功能的区内交换机接入（若交换机不具备逻辑隔离功能时