- 1、本文档共16页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PAGE 6
PAGE 6
电力调度通信中心
系统安全防护方案设计及系统实现
目 录
TOC \o "1-3" \h \z \u 一、 引言 3
二、 电力调度通信中心二次系统安全防护方案设计及实施 3
2.1.电力调度通信中心二次系统安全分区设计 3
2.2. 电力系统专用隔离装置的部署 6
反向型专用隔离装置 6
2.3 基于防火墙的安全防护体系的设计 3
调通中心防火墙的部署 4
2.4 基于入侵检测(IDS)的安全防护体系的设计 4
基于网络的入侵检测 4
基于主机的入侵检测 6
2.5 网络防病毒的方案设计 6
2.6. 拨号访问认证 7
2.7. 数据备份与灾难恢复系统设计 8
2.8. 应用软件改造 9
应用软件改造技术要求 9
跨越隔离装置的应用软件改造 10
三、 结论 10
引言
按照中华人民共和国国家经济贸易委员会第 30 号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》以及国家电力调度通信中心《全国电网二次系统安全防护总体框架》的要求,结合华中电力调度通信中心的具体情况而组织制订了《华中电力调度通信中心二次系统安全防护技术方案》并开始部署实施。目的是防范对华中电网调度自动化系统、调度生产管理信息系统及调度数据网络的攻击侵害及由此引起的电力系统事故,以保障华中电网的安全、稳定、经济运行,保护国家重要基础设施的安全。
华中电力调度通信中心二次系统安全防护所涵盖的范围包括:调度数据网络、调度自动化(EMS)系统、水调自动化系统、电能量计费系统、调度生产管理(DMIS)系统、调通中心局域网中所有网络和计算机应用系统。
网络安全防护的重点是抵御病毒、黑客等通过各种形式对系统的发起的恶意破坏和攻击,尤其是集团式攻击,重点保护实时闭环监控系统及调度数据网络的安全,从而保障国家重要基础设施 电力系统的安全。
电力调度通信中心二次系统安全防护方案设计及实施
2.1.电力调度通信中心二次系统安全分区设计
随着计算机技术和网络技术的发展,接入华中电力调度通信中心局域网的应用系统越来越多,在各个系统及用户之间的数据交换也越来越频繁,加之在一些系统的规划、设计、建设时,对网络安全问题重视不够, 使得系统存在一些安全隐患,这对调通中心的调度自动化系统和调度数据网络的安全性、可靠性、实时性提出了严峻的挑战,构成了对电网安全运行的潜在威胁和严重隐患。
、通
、
通
信中心二次系统分为四个安全区:I 实时控制区、II 非控制生产区、III 生产管理区、IV 管理信息区。其中安全区Ⅰ的安全等级最高,安全区 II 次之,其余依次类推。采用三角结构实现不同安全区之间的互连,即安全区 I、II 分别通过专用隔离装置与安全区 III 互连,安全区 I 和安全区
II 之间采用防火墙等隔离设备实现互连。
根据华中网各业务系统的实时性、使用者、功能、场所、相互关系、广域网通信的方式以及受到攻击之后所产生的影响,将其分置于四个安全区之中。其中调度自动化系统、稳定控制在线预决策及控制系统的监视和管理系统等位于安全区Ⅰ;电能量计量系统、水调自动化系统、华中电网综合考核系统、故障录波管理系统等位于安全区 II;华中电网调度管理信息系统、检修票系统、保护定值通知单管理系统等位于安全区 III;办公自动化系统等位于安全区 IV。
2.2. 电力系统专用隔离装置的部署
正向型专用隔离装置
由于华中电力调度通信中心网络安全防护方案采用三角型连接方式, 因此在安全区Ⅰ与安全区Ⅲ之间、安全区Ⅱ与安全区Ⅲ分别部署一台正向型专用隔离装置。
反向型专用隔离装置
装专用安全隔离装置(反向)用于从安全区 III 到安全区 I/II 传递数据,是安全区 III 到安全区 I/II 的唯一数据传递途径。专用安全隔离
装
PAGE
PAGE 3
置(反向)集中接收安全区 III 发向安全区 I/II 的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给安全区 I/II 内部的接收程序。
路由器Cisco 3640正向隔离装置安全区Ⅲ三层交换机Catalyst8540安全区Ⅰ防火墙安全区Ⅱ三层交换机(待购)正向隔离装置路由器Cisco 3640安全区Ⅲ三层交换机Catalyst8540安全区Ⅰ防火墙安全区Ⅱ通信服务器三层交换机(待购)通信服务器
路由器
Cisco 3640
正向隔离装置
安全区Ⅲ
三层交换机
Catalyst8540
安全区Ⅰ
防火墙
安全区Ⅱ
三层交换机
(待购)
正向隔离装置
路由器
Cisco 3640
安全区Ⅲ
三层交换机
Catalyst8540
安全区Ⅰ
防火墙
安全区Ⅱ
通信服务器
三层交换机
(待购)
通信服务器
反
文档评论(0)