2023-08-13 技战法系列-电力系统防护技战法.pdfVIP

技战法系列-电力系统防护技战法

原创BeatRex

2023-08-13原文

一、技战法概述

随着信息通信技术在电力生产和公司经营管理等各环节的广泛应用，网络

安全受到国家和各部委的高度重视。发电行业以“隔离、专用”作为网络安

全防护的主要指导思想，将公司网络划分生产控制区和管理信息区，实行

差异化防护。生产控制大区与外部网络物理隔离，管理信息大区进一步划

分信息内网和信息外网，信息内网与信息外网逻辑强隔离，信息外网与互

联网实行强访问控制。

通过终端防护、内外网隔离强访问控制、不同区域不同级别的防护共同对

电力系统进行安全防护，减少电力系统被利用风险，保障关乎民生的重点

行业。

二、电力系统防护主要工作

2.1安全防护管理

1、口令管理。根据机密信息划分级别，并设置不同的口令。避免出现弱口

令、空口令以及强弱口令（如!QAZ2wsx）。级别划分较高的口令应定期更

换，在人员离职后更应及时更换；

2、

备份管理。在系统运行过程中，应对系统数据做好管理工作，保证数据的

完整性，及时对数据进行异地备份，分开保存，避免因恶意攻击、勒索病

毒感染导致数据丢失。

2.2横向隔离

电力专用横向单向安全隔离装置是生产控制区与管理信息区之间横向防护

的关键设备。生产控制区内部的安全区之间应采用具有访问控制功能的

络、防火墙等设备，实现逻辑隔离。正向安全隔离装置用于生产控制大区

到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从

管理信息大区到生产控制大区单向数据传输，是管理信息大区到生产控制

公众号:渗透安全HackTwo

大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向

生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，

转发给生产控制大区内部的接收程序。

仅允许纯数据的单向安全传输，禁止E-Mail、WEB、Telnet、FTP

等高风险的服务和以B/S或C/S

方式的数据库访问穿越专用横向单向安全隔离装置。控制区与非控制区之

间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进

行逻辑隔离。

2.3纵向认证

采用认证、加密、访问控制等技术措施实现数据的安全传输及纵向边界安

全防护。对于重点防护的调度中心、发电厂、变电站在生产控制区与广域

网的纵向连接处部署电力专用纵向加密认证装置或者加密认证网关等，实

现双向身份认证、数据加密和访问控制。

纵向加密认证装置及加密认证网关用于生产控制区的广域网边界防护。纵

向加密认证装置为广域网通信提供认证与加密功能，实现数据传输的机密

性、完整性保护，同时具有安全过滤功能。

精选留言

用户设置不下载评论

公众号:渗透安全HackTwo