【正文】 通信可采用專用數(shù)據(jù)網(wǎng)絡(luò)，不具備專網(wǎng)條件的也可采用公用通信網(wǎng)絡(luò)（不包括因特網(wǎng)），且必須采取安全防護(hù)措施。各層面的數(shù)據(jù)網(wǎng)絡(luò)之間應(yīng)該通過路由限制措施進(jìn)行安全隔離。當(dāng)?shù)卣{(diào)或配調(diào)內(nèi)部采用公用通信網(wǎng)時(shí)，禁止與調(diào)度數(shù)據(jù)網(wǎng)互聯(lián)。保證網(wǎng)絡(luò)故障和安全事件限制在局部區(qū)域之內(nèi)。 企業(yè)內(nèi)部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng) ，電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)網(wǎng)。 橫向隔離 橫向隔離是電力二次安全防護(hù)體系的橫向防線。采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護(hù)措施，是橫向防護(hù)的關(guān)鍵設(shè)備。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。 按照數(shù)據(jù)通信方向電 力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù) 6 據(jù)傳輸途徑。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。專用橫向單向隔離裝置應(yīng)該滿足實(shí)時(shí)性、可靠性和傳輸流量等方面的要求。 嚴(yán)格禁止 EMail、 WEB、 Tel、 Rlogin、 FTP 等安全風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)服務(wù)和以 B/S 或 C/S 方式的數(shù)據(jù)庫(kù)訪問穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。 控制區(qū)與非控制區(qū)之間應(yīng)采用國(guó)產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯隔離。 縱向認(rèn)證 縱向加密認(rèn)證是電力 監(jiān)控系統(tǒng) 安全防護(hù)體系的縱向防線。采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。對(duì)于重點(diǎn)防護(hù)的調(diào)度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國(guó)家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn) 證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。暫時(shí)不具備條件的可以采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時(shí)代替。 并接入到地調(diào)內(nèi)網(wǎng)安全監(jiān)控平臺(tái)。 縱向加密認(rèn)證裝置及加密認(rèn)證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護(hù)?？v向加密認(rèn)證裝置為廣域網(wǎng)通信提供認(rèn)證與加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)，同時(shí)具有類似防火墻的安全過濾功能。加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實(shí)現(xiàn)對(duì)電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報(bào)文的處理功能。 對(duì)處于外部網(wǎng)絡(luò)邊界的其他通信 網(wǎng)關(guān)，應(yīng)進(jìn)行操作系統(tǒng)的 7 安全加固，對(duì)于新上的系統(tǒng)應(yīng)支持加密認(rèn)證的功能。 重點(diǎn)防護(hù)的調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認(rèn)證裝置；當(dāng)調(diào)度中心側(cè)已配置縱向加密認(rèn)證裝置時(shí)，與其相連的小型廠站側(cè)可以不配備該裝置，此時(shí)至少實(shí)現(xiàn)安全過濾功能。 傳統(tǒng)的基于專用通道的數(shù)據(jù)通信不涉及網(wǎng)絡(luò)安全問題，新建系統(tǒng)可逐步采用加密等技術(shù)保護(hù)關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。 其他安全措施 本電站生產(chǎn)區(qū)域內(nèi)的計(jì)算機(jī)信息系統(tǒng)，要與 Inter 網(wǎng)分開，并建立計(jì)算機(jī)病毒防火墻，對(duì)服務(wù)器，要采用 先進(jìn)的網(wǎng)絡(luò)防計(jì)算機(jī)病毒軟件，并對(duì)經(jīng)過服務(wù)器的信息進(jìn)行監(jiān)控，防止計(jì)算機(jī)病毒通過郵件服務(wù)器擴(kuò)散、傳播。隨時(shí)注意各種異?，F(xiàn)象，一旦發(fā)現(xiàn)，應(yīng)立即用查毒軟件仔細(xì)檢查。經(jīng)常更新與升級(jí)防殺計(jì)算機(jī)病毒軟件的版本。對(duì)生產(chǎn)區(qū)域內(nèi)的要定點(diǎn)、定時(shí)、定人作查毒殺毒巡檢。當(dāng)出現(xiàn)計(jì)算機(jī)病毒傳染跡象時(shí)，立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進(jìn)行處理，不應(yīng)帶“毒”繼續(xù)運(yùn)行；發(fā)現(xiàn)計(jì)算機(jī)病毒后，一般應(yīng)利用防殺計(jì)算機(jī)病毒軟件清除文件中的計(jì)算機(jī)病毒，對(duì)于殺毒軟件無法殺除的計(jì)算機(jī)病毒，應(yīng)及時(shí)請(qǐng)專業(yè)人員解決。對(duì)新購(gòu)進(jìn)的計(jì)算機(jī)及設(shè)備，為防止原始計(jì)算機(jī)病毒的侵害，要 組織專業(yè)人員檢查后方可安裝運(yùn)行；聯(lián)網(wǎng)計(jì)算機(jī)、重要系統(tǒng)的關(guān)鍵計(jì)算機(jī)要安裝防計(jì)算機(jī)病毒軟件，并定期或及時(shí)更新計(jì)算機(jī)病毒防范產(chǎn)品的版本；要使用國(guó)家規(guī)定的、具有計(jì)算機(jī)使用系統(tǒng)安全專用產(chǎn)品銷售許可證的計(jì)算機(jī)防計(jì)算機(jī)病毒產(chǎn)品。系統(tǒng)中的程序要定期進(jìn)行比較測(cè)試和檢查。嚴(yán)禁使用盜版軟件，特別是盜版的殺毒軟件，嚴(yán)禁在工作計(jì)算機(jī)上安裝、運(yùn)行各類游戲軟件。 8 操作系統(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，而服務(wù)器上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)，因此，加強(qiáng)對(duì)關(guān)鍵服務(wù)器的安全控制，是增強(qiáng)系統(tǒng)總體安全性的核心一環(huán)。 XXX 光 伏電站已完成主機(jī)加固，主機(jī)加固軟件為信達(dá) Snumen，強(qiáng)制進(jìn)行權(quán)限分配，保證對(duì)系統(tǒng)資源（包括數(shù)據(jù)和進(jìn)程）的訪問符合定義的主機(jī)安全策略，防止主機(jī)權(quán)限被濫用。 當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時(shí)， Snumen 利用自身功能對(duì)用戶（程序）在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對(duì)該用戶（程序）進(jìn)行阻斷，并且由系統(tǒng)向管理員進(jìn)行報(bào)警。在報(bào)警條件中添加相應(yīng)的報(bào)警規(guī)則，Snumen 可對(duì)入侵行為和違反安全策略的用戶（程序）進(jìn)行阻斷。當(dāng)有違反安全規(guī)則的情況出現(xiàn)時(shí)， Snumen 服務(wù)器端會(huì)向特定的系統(tǒng)發(fā)送報(bào)警信息， Snumen 監(jiān)控程序會(huì)以多中方式進(jìn)行報(bào)警。 在后臺(tái)可以提供告警。 日志審計(jì)和日志管理對(duì)于網(wǎng)絡(luò)安全會(huì)起到重要作用， Snumen 擁有獨(dú)立的日志審計(jì)系統(tǒng)，通過方便的檢索可以方便安全管理員的工作。Snumen 的日志生成實(shí)在內(nèi)核級(jí)上實(shí)現(xiàn)的，日志根據(jù)設(shè)置也可不生成，當(dāng)生成時(shí)，還可以設(shè)置是否按項(xiàng)目設(shè)置生成，所以應(yīng)視系統(tǒng)存儲(chǔ)空間的大小進(jìn)行適當(dāng)設(shè)置來使用。 Snumen 提供多種檢索功能，方便管理的工作。 二次安全 防護(hù)實(shí)施方案 拓?fù)鋱D 功率預(yù)測(cè)及控制系統(tǒng)拓?fù)鋱D 9 通信接口類型： 2路以太 網(wǎng)接口，支持綜自廠家的以太網(wǎng) 103 規(guī)約；變電站內(nèi)采用 GPS 衛(wèi)星對(duì)時(shí)，減少誤碼、亂碼的可能性，提高設(shè)備的數(shù)據(jù)傳輸準(zhǔn)確性，符合 IEC 61850 的相關(guān)標(biāo)準(zhǔn)。 監(jiān)控系統(tǒng) 安全防護(hù)總體結(jié)構(gòu)圖 10 安全防護(hù)設(shè)備清單 設(shè)備名稱 型號(hào) 數(shù)量 生產(chǎn)廠家 備注 地調(diào)接入網(wǎng) 路由器 實(shí)時(shí)交換機(jī) 非實(shí)時(shí)交換機(jī) 縱向加密認(rèn)證裝置 區(qū)調(diào)接入網(wǎng) 路由器 實(shí)時(shí)交換機(jī) 非實(shí)時(shí)交換機(jī) 11 縱向加密認(rèn)證裝置 光功率預(yù)測(cè) 反向隔離裝置 電力工業(yè)以太網(wǎng)交換機(jī) 防火墻 生產(chǎn)控制大區(qū)內(nèi)部安全防護(hù)技術(shù)要求 （ 1）禁止生產(chǎn)控制大區(qū)內(nèi)部的 EMail 服務(wù)，禁止控制區(qū)內(nèi)通用的WEB 服務(wù)，并進(jìn)行安全加固。 （ 2）允許非控制區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)采用 B/S 結(jié)構(gòu)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許提供