【文章內容簡介】 60。縱向加密認證是電力二次安全防護體系的縱向防線。采用認證、加密、訪問控制等技術措施實現(xiàn)數(shù)據的遠方安全傳輸以及縱向邊界的安全防護。在生產控制大區(qū)與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現(xiàn)雙向身份認證、數(shù)據加密和訪問控制。如暫時不具備條件，可采用硬件防火墻或網絡設備的訪問控制技術臨時代替。58.處于外部網絡邊界的通信網關的操作系統(tǒng)應進行安全加固，對生產控制大區(qū)的外部通信網關應該具備加密、認證和過濾的功能。59.簡述調度系統(tǒng)數(shù)字證書類型及各種證書的應用方式。－人員證書指關鍵業(yè)務的用戶、系統(tǒng)管理人員以及必要的應用維護與開發(fā)人員，在訪問系統(tǒng)、進行操作時需要持有的證書。主要用于用戶登錄網絡與操作系統(tǒng)、登錄應用系統(tǒng)，以及訪問應用資源、執(zhí)行應用操作命令時對用戶的身份進行認證，與其它實體通信過程中的認證、加密與簽名，以及行為審計。－程序證書指關鍵應用的模塊、進程、服務器程序運行時需要持有的證書，主要用于應用程序與遠方程序進行安全的數(shù)據通信，提供雙方之間的認證、數(shù)據的加密與簽名功能。－設備證書指網絡設備、服務器主機等，在接入本地網絡系統(tǒng)與其它實體通信過程中需要持有的證書，主要用于本地設備接入認證，遠程通信實體之間的認證，以及實體之間通信過程的數(shù)據加密與簽名。60.對于生產控制大區(qū)統(tǒng)一部署一套內網審計系統(tǒng)或入侵檢測系統(tǒng)（IDS），其安全策略的設置重在捕獲網絡異常行為、分析潛在威脅以及事后安全審計，不宜使用實時阻斷功能。禁止使用入侵檢測與防火墻的聯(lián)動。考慮到調度業(yè)務的可靠性，采用基于網絡的入侵檢測系統(tǒng)（NIDS），其IDS探頭主要部署在：橫向、縱向邊界以及重要系統(tǒng)的關鍵應用網段。61. 生產控制大區(qū)部署的內網審計系統(tǒng)或入侵檢測系統(tǒng)（IDS）其主要的功能用于捕獲網絡異常行為、分析潛在威脅以及事后安全審計。62.簡述關鍵應用主機必須采取的安全防護措施。參考63～65。63. 關鍵應用系統(tǒng)（如能量管理系統(tǒng)SCADA/EMS/DMS？、變電站自動化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、電力交易系統(tǒng)等）的主服務器，以及網絡邊界處的通信網關、Web服務器等，應該采用加固的LINUX或UNIX等操作系統(tǒng)。64.主機安全防護主要的方式包括：安全配置、安全補丁、采用專用的軟件強化操作系統(tǒng)訪問控制能力、以及配置安全的應用程序。65. 操作系統(tǒng)安全加固措施包括：升級到當前系統(tǒng)版本、安裝后續(xù)的補丁合集、加固系統(tǒng)TCP/IP配置、根據系統(tǒng)應用要求關閉不必要的服務、關閉SNMP協(xié)議避免利用其遠程溢出漏洞獲取系統(tǒng)控制權或限定訪問范圍、為超級用戶或特權用戶設定復雜的口令、修改弱口令或空口令、禁止任何應用程序以超級用戶身份運行、設定系統(tǒng)日志和審計行為等。66.數(shù)據庫的加固措施包括：數(shù)據庫的應用程序進行必要的安全審核、及時刪除不再需要的數(shù)據庫、安裝補丁、使用安全的密碼策略和賬號策略、限定管理員權限的用戶范圍、禁止多個管理員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據庫管理員的用戶名和口令、加強數(shù)據庫日志的管理、管理擴展存儲過程、數(shù)據定期備份等。67.由于安全區(qū)I是整個二次系統(tǒng)的防護重點，提供Web服務將引入很大的安全風險，因此在安全區(qū)I中禁止Web服務。安全區(qū)Ⅱ根據需要允許在本區(qū)專門開通安全Web服務，其它業(yè)務系統(tǒng)的數(shù)據單向導入安全Web服務器，在安全區(qū)Ⅱ的安全Web服務器中進行數(shù)據發(fā)布。禁止安全區(qū)I中的計算機使用瀏覽器訪問安全區(qū)Ⅱ的安全Web服務。68. 考慮到Web服務的不安全性，因此在安全區(qū)II中僅允許在本區(qū)開通安全Web服務，而且用于安全Web服務的服務器與瀏覽器客戶機統(tǒng)一布置在安全區(qū)II中的一個邏輯子區(qū)――Web服務子區(qū)，接入安全區(qū)II交換機上的獨立VLAN中。69.簡述電力二次系統(tǒng)中關于遠程撥號訪問的防護策略。當遠程撥號訪問生產控制大區(qū)時，要求遠方用戶使用安全加固的LINUX或UNIX系統(tǒng)平臺，以防止將病毒、木馬等惡意代碼引入生產控制大區(qū)。遠程撥號訪問應采用調度數(shù)字證書，進行登錄認證和訪問認證。撥號訪問的防護可以采用鏈路層保護方式或者網絡層保護方式。鏈路保護方式使用專用鏈路加密設備，實現(xiàn)兩端鏈路加密設備相互進行認證和對鏈路幀進行加密等安全功能。網絡保護方式采用VPN技術在撥號服務器（RAS）與遠程撥入用戶建立加密通道，實現(xiàn)對網絡層數(shù)據的機密性與完整性保護。對于通過RAS訪問本地網絡與系統(tǒng)的遠程撥號訪問，建議采用網絡層保護方式。對于以遠方終端的方式通過被訪問的主機的串行接口直接訪問的情況，建議采用鏈路層保護措施。對于遠程用戶登錄到本地系統(tǒng)中的操作行為，應該進行記錄，用于安全審計。70.撥號的防護可以采用鏈路層保護方式，或者網絡層保護方式，對這兩種方式進行簡述。撥號訪問的防護可以采用鏈路層保護方式或者網絡層保護方式。鏈路保護方式使用專用鏈路加密設備，實現(xiàn)兩端鏈路加密設備相互進行認證和對鏈路幀進行加密等安全功能。網絡保護方式采用VPN技術在撥號服務器（RAS）與遠程撥入用戶建立加密通道，實現(xiàn)對網絡層數(shù)據的機密性與完整性保護。71.電力二次系統(tǒng)的新系統(tǒng)在投運之前、老系統(tǒng)進行安全整改之后或進行重大改造或升級之后必須進行安全評估；電力二次系統(tǒng)應該定期進行安全評估。72.電力二次系統(tǒng)安全評估納入電力系統(tǒng)安全評價體系。73.安全評估的內容包括：風險評估、攻擊演習、漏洞掃描、安全體系的評估、安全設備的部署及性能評估、安全管理措施的評估等。對生產控制大區(qū)安全評估的所有記錄、數(shù)據、結果等均不得以任何形式、任何借口攜帶出被評估單位，要按國家有關要求做好保密工作。74.電力二次系統(tǒng)的安全防護實施方案必須經過上級信息安全主管部門和相應電力調度機構的審核，完工后必須經過上述機構驗收。安全防護方案的實施必須嚴格遵守國家經貿委30號令、國家電監(jiān)會5號令以及相關的文件規(guī)定，保證部署的安全裝置的可用性指標達到%。75.用于生產控制大區(qū)的工作站、服務器均嚴格禁止以各種方式開通與互聯(lián)網的連接；限制開通撥號功能，必須配置強認證機制；在生產控制大區(qū)中的PC機應實施嚴格管理。76.160