【正文】 骨干網(wǎng)） 。省調(diào)、地調(diào)和縣調(diào)及省、地直調(diào)廠站節(jié)點構(gòu)成省級調(diào)度數(shù)據(jù)網(wǎng)（簡稱省網(wǎng)）。 地調(diào)和配網(wǎng)內(nèi)部生產(chǎn)控制大區(qū)專用節(jié)點構(gòu)成縣級專用數(shù)據(jù)網(wǎng)?？h調(diào)自動化、配網(wǎng)自動化、負荷管理系統(tǒng)與被控對象之間的數(shù)據(jù)通信可采用專用數(shù)據(jù)網(wǎng)絡(luò)，不具備專網(wǎng)條件的也可采用公用通信網(wǎng)絡(luò)（不包括因特網(wǎng)），且必須采取安全防護措施。各層面的數(shù)據(jù)網(wǎng)絡(luò)之間應(yīng)該通過路由限制措施進行安全隔離。當(dāng)?shù)卣{(diào)或配調(diào)內(nèi)部采用公用通信網(wǎng)時，禁止與調(diào)度數(shù)據(jù)網(wǎng)互聯(lián)。保證網(wǎng)絡(luò)故障和安全事件限制在局部區(qū)域之內(nèi)。 企業(yè)內(nèi)部管理信息大區(qū)縱向互聯(lián)采用電力企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng) ，電力企業(yè)數(shù)據(jù)網(wǎng)為電力企業(yè)內(nèi)網(wǎng)。 橫向隔離 橫向隔離是電力二次安全防護體系的橫向防線。采用不同強度的安全設(shè)備隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應(yīng)接近或達到物理隔離。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施，是橫向防護的關(guān)鍵設(shè)備。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實現(xiàn)邏輯隔離。 按照數(shù)據(jù)通信方向電 力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù) 6 據(jù)傳輸途徑。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進行簽名驗證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。專用橫向單向隔離裝置應(yīng)該滿足實時性、可靠性和傳輸流量等方面的要求。 嚴(yán)格禁止 EMail、 WEB、 Tel、 Rlogin、 FTP 等安全風(fēng)險高的通用網(wǎng)絡(luò)服務(wù)和以 B/S 或 C/S 方式的數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。 控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火墻、具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進行邏輯隔離。 縱向認證 縱向加密認證是電力 監(jiān)控系統(tǒng) 安全防護體系的縱向防線。采用認證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。對于重點防護的調(diào)度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認 證裝置或者加密認證網(wǎng)關(guān)及相應(yīng)設(shè)施，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。暫時不具備條件的可以采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問控制技術(shù)臨時代替。 并接入到地調(diào)內(nèi)網(wǎng)安全監(jiān)控平臺。 縱向加密認證裝置及加密認證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域網(wǎng)邊界防護?？v向加密認證裝置為廣域網(wǎng)通信提供認證與加密功能，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護，同時具有類似防火墻的安全過濾功能。加密認證網(wǎng)關(guān)除具有加密認證裝置的全部功能外，還應(yīng)實現(xiàn)對電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報文的處理功能。 對處于外部網(wǎng)絡(luò)邊界的其他通信 網(wǎng)關(guān)，應(yīng)進行操作系統(tǒng)的 7 安全加固，對于新上的系統(tǒng)應(yīng)支持加密認證的功能。 重點防護的調(diào)度中心和重要廠站兩側(cè)均應(yīng)配置縱向加密認證裝置；當(dāng)調(diào)度中心側(cè)已配置縱向加密認證裝置時，與其相連的小型廠站側(cè)可以不配備該裝置，此時至少實現(xiàn)安全過濾功能。 傳統(tǒng)的基于專用通道的數(shù)據(jù)通信不涉及網(wǎng)絡(luò)安全問題，新建系統(tǒng)可逐步采用加密等技術(shù)保護關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。 其他安全措施 本電站生產(chǎn)區(qū)域內(nèi)的計算機信息系統(tǒng)，要與 Inter 網(wǎng)分開，并建立計算機病毒防火墻，對服務(wù)器，要采用 先進的網(wǎng)絡(luò)防計算機病毒軟件，并對經(jīng)過服務(wù)器的信息進行監(jiān)控，防止計算機病毒通過郵件服務(wù)器擴散、傳播。隨時注意各種異?，F(xiàn)象，一旦發(fā)現(xiàn)，應(yīng)立即用查毒軟件仔細檢查。經(jīng)常更新與升級防殺計算機病毒軟件的版本。對生產(chǎn)區(qū)域內(nèi)的要定點、定時、定人作查毒殺毒巡檢。當(dāng)出現(xiàn)計算機病毒傳染跡象時，立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進行處理，不應(yīng)帶“毒”繼續(xù)運行；發(fā)現(xiàn)計算機病毒后，一般應(yīng)利用防殺計算機病毒軟件清除文件中的計算機病毒，對于殺毒軟件無法殺除的計算機病毒，應(yīng)及時請專業(yè)人員解決。對新購進的計算機及設(shè)備，為防止原始計算機病毒的侵害，要 組織專業(yè)人員檢查后方可安裝運行；聯(lián)網(wǎng)計算機、重要系統(tǒng)的關(guān)鍵計算機要安裝防計算機病毒軟件，并定期或及時更新計算機病毒防范產(chǎn)品的版本；要使用國家規(guī)定的、具有計算機使用系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機防計算機病毒產(chǎn)品。系統(tǒng)中的程序要定期進行比較測試和檢查。嚴(yán)禁使用盜版軟件，特別是盜版的殺毒軟件，嚴(yán)禁在工作計算機上安裝、運行各類游戲軟件。 8 操作系統(tǒng)安全是計算機網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，而服務(wù)器上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)，因此，加強對關(guān)鍵服務(wù)器的安全控制，是增強系統(tǒng)總體安全性的核心一環(huán)。 XXX 光 伏電站已完成主機加固，主機加固軟件為信達 Snumen，強制進行權(quán)限分配，保證對系統(tǒng)資源（包括數(shù)據(jù)和進程）的訪問符合定義的主機安全策略，防止主機權(quán)限被濫用。 當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時， Snumen 利用自身功能對用戶（程序）在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對該用戶（程序）進行阻斷，并且由系統(tǒng)向管理員進行報警。在報警條件中添加相應(yīng)的報警規(guī)則，Snumen 可對入侵行為和違反安全策略的用戶（程序）進行阻斷。當(dāng)有違反安全規(guī)則的情況出現(xiàn)時， Snumen 服務(wù)器端會向特定的系統(tǒng)發(fā)送報警信息， Snumen 監(jiān)控程序會以多中方式進行報警。 在后臺可以提供告警。 日志審計和日志管理對于網(wǎng)絡(luò)安全會起到重要作用， Snumen 擁有獨立的日志審計系統(tǒng)，通過方便的檢索可以方便安全管理員的工作。Snumen 的日志生成實在內(nèi)核級上實現(xiàn)的，日志根據(jù)設(shè)置也可不生成，當(dāng)生成時，還可以設(shè)置是否按項目設(shè)置生成，所以應(yīng)視系統(tǒng)存儲空間的大小進行適當(dāng)設(shè)置來使用。 Snumen 提供多種檢索功能，方便管理的工作。 二次安全 防護實施方案 拓撲圖 功率預(yù)測及控制系統(tǒng)拓撲圖 9 通信接口類型： 2路以太 網(wǎng)接口，支持綜自廠家的以太網(wǎng) 103 規(guī)約；變電站內(nèi)采用 GPS 衛(wèi)星對時，減少誤碼、亂碼的可能性，提高設(shè)備的數(shù)據(jù)傳輸準(zhǔn)確性，符合 IEC 61850 的相關(guān)標(biāo)準(zhǔn)。 監(jiān)控系統(tǒng) 安全防護總體結(jié)構(gòu)圖 10 安全防護設(shè)備清單 設(shè)備名稱 型號 數(shù)量 生產(chǎn)廠家 備注 地調(diào)接入網(wǎng) 路由器 實時交換機 非實時交換機 縱向加密認證裝置 區(qū)調(diào)接入網(wǎng) 路由器 實時交換機