【文章內(nèi)容簡介】 login、 FTP 等通用網(wǎng)絡(luò)服務(wù)和以 B/S 或 C/S 方式的 數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置，僅允許純數(shù)據(jù)的單向安全傳輸。 隔離設(shè)備 實時 控制 系統(tǒng) 調(diào)度 生產(chǎn) 系統(tǒng) 接口機A 接口機B 安全島 關(guān)鍵技術(shù) 正向型專用安全隔離裝置 內(nèi)網(wǎng) 外網(wǎng) 內(nèi)部應(yīng)用網(wǎng)關(guān) 外部應(yīng)用網(wǎng)關(guān) 采用非 INTEL指令系統(tǒng)的（及兼容）雙微處理器。 特別配置 LINUX內(nèi)核，取消所有網(wǎng)絡(luò)功能，安全、固化的的操作系統(tǒng)。抵御除 DoS以外的已知的網(wǎng)絡(luò)攻擊。 非網(wǎng)絡(luò)方式的內(nèi)部通信，支持安全島 , 保證裝置內(nèi)外兩個處理系統(tǒng)不同時連通。 透明監(jiān)聽方式，虛擬主機 IP地址、隱藏 MAC地址，支持 NAT 內(nèi)設(shè) MAC/IP/PORT/PROTOCOL/DIRECTION等綜合過濾與訪問控制 防止穿透性 TCP聯(lián)接。內(nèi)外應(yīng)用網(wǎng)關(guān)間的 TCP聯(lián)接分解成兩個應(yīng)用網(wǎng)關(guān)分別到裝置內(nèi)外兩個網(wǎng)卡的兩個 TCP虛擬聯(lián)接。兩個網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接。 單向聯(lián)接控制。應(yīng)用層數(shù)據(jù)完全單向傳輸， TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)。 應(yīng)用層解析，支持應(yīng)用層特殊標(biāo)記識別 支持身份認(rèn)證 靈活方便的維護管理界面 正向 專用隔離裝置 反向型專用安全隔離裝置 安全區(qū) III到安全區(qū) I/II的 唯一 數(shù)據(jù)傳遞途徑 。 反向型專用隔離裝置集中接收安全區(qū) III發(fā)向安全區(qū) I/II的數(shù)據(jù) ， 進行簽名驗證 、 內(nèi)容過濾 、 有效性檢查等處理 。 處理后 ， 轉(zhuǎn)發(fā)給安全區(qū) I/II內(nèi)部的接收程序 。 具體過程如下： 1. 安全區(qū) III內(nèi)的數(shù)據(jù)發(fā)送端首先對需發(fā)送的數(shù)據(jù)簽名 ，然后發(fā)給反向型專用隔離裝置； ， 進行簽名驗證 ， 并對數(shù)據(jù)進行內(nèi)容過濾 、 有效性檢查等處理； 3. 將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū) I/II內(nèi)部的接收程序 。 2022年 2月 5日 北京科東電力控制系統(tǒng)有限責(zé)任公司 24 安全區(qū)與遠(yuǎn)方通信的安全防護要求 (一 ) ? 安全區(qū) Ⅰ 、 Ⅱ 所連接的廣域網(wǎng)為國家電力調(diào)度數(shù)據(jù)網(wǎng) SPD。 SPD為安全區(qū) Ⅰ 、 Ⅱ 分別提供二個邏輯隔離的 MPLSVPN。安全區(qū) Ⅲ所連接的廣域網(wǎng)為國家電力數(shù)據(jù)通信網(wǎng)（ SPT）， SPD與 SPT物理隔離。 ? 安全區(qū) Ⅰ 、 Ⅱ 接入 SPD時，應(yīng)配置 縱向加密認(rèn)證裝置 ，實現(xiàn)遠(yuǎn)方通信的雙向身份認(rèn)證和數(shù)據(jù)加密。如暫時不具備條件或業(yè)務(wù)無此項要求，可以用硬件防火墻代替。安全區(qū) Ⅲ接入 SPT應(yīng)配置硬件防火墻。 ? 2022年 2月 5日 北京科東電力控制系統(tǒng)有限責(zé)任公司 25 安全區(qū)與遠(yuǎn)方通信的安全防護要求 (二 ) ? 處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)（如通信服務(wù)器等）操作系統(tǒng)應(yīng)進行安全加固，并配置數(shù)字證書。 ? 傳統(tǒng)的遠(yuǎn)動通道的通信目前暫不考慮網(wǎng)絡(luò)安全問題。個別關(guān)鍵廠站的遠(yuǎn)動通道的通信可采用線路加密器，但需由上級部門認(rèn)可。 ? 經(jīng) SPD的 RTU網(wǎng)絡(luò)通道原則上不考慮傳輸中的認(rèn)證加密。個別關(guān)鍵廠站的 RTU網(wǎng)絡(luò)通信可采用認(rèn)證加密，但需由上級部門認(rèn)可。 ? 禁止安全區(qū) Ⅰ 的縱向 WEB，允許安全區(qū) II的縱向WEB服務(wù)。 ? 安全區(qū) I和安全區(qū) II的撥號訪問服務(wù)原則上需要認(rèn)證、加密和訪問控制。 2022年 2月 5日 北京科東電力控制系統(tǒng)有限責(zé)任公司 26 縱向加密認(rèn)證裝置 /網(wǎng)關(guān) ? 加密認(rèn)證裝置位于電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間，用于安全區(qū) I/II的廣域網(wǎng)邊界保護，可為本地安全區(qū) I/II提供一個網(wǎng)絡(luò)屏障同時為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證與加密服務(wù)，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護。 加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實現(xiàn)應(yīng)用層協(xié)議及報文內(nèi)容識別的功能。 2022年 2月 5日 北京科東電力控制系統(tǒng)有限責(zé)任公司 27 縱向加密認(rèn)證網(wǎng)關(guān)和管理中心的部署 路由器 國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò) 國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)I/II 級 級調(diào)度中心 調(diào)度中心 管理終端 縱向加密認(rèn)證裝置 國家電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò) 調(diào)度中心 調(diào)度中心 管理中心 2022年 2月 5日 北京科東電力控制系統(tǒng)有限責(zé)任公司 28 縱向認(rèn)證 ? 采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。管理信息大區(qū)應(yīng)采用硬件防火墻等安全設(shè)備接入電力企業(yè)數(shù)據(jù)網(wǎng)?？v向加密認(rèn)證是電力二次安全防護體系的縱向防線。 ? 傳統(tǒng)的基于專用通道的通信不涉及網(wǎng)絡(luò)安全問題，可采用線路加密技術(shù)保護關(guān)鍵廠站及關(guān)鍵業(yè)務(wù)。 PKI技術(shù)的介紹 ? 對稱密鑰體制：是指加密密鑰和解密密鑰為同一密鑰的密碼體制 。 因此 ， 信息發(fā)送者和信息接收者在進行信息的傳輸與處理時 ， 必須共同持有該密碼 （ 稱為對稱密碼 ） 。 通常 , 密鑰簡短 ， 使用的加密算法比較簡便高效 。 ? 不對稱密鑰體制 （ 公鑰體制 ） ：用戶產(chǎn)生一對公 /私密鑰 ，向外界公開的密鑰為公鑰；自己保留的密鑰為私鑰 。 – 加密過程：信息發(fā)送者以信息接收者的公鑰加密信息 ,信息接收者以其私鑰解密這加密信息 。 又稱為公鑰加密技術(shù) 。 – 認(rèn)證過程：信息發(fā)送者以自己的私鑰加密信息 ， 信息接收者以信息發(fā)送者的公鑰解密這