【文章內(nèi)容簡(jiǎn)介】 60?？v向加密認(rèn)證是電力二次安全防護(hù)體系的縱向防線。采用認(rèn)證、加密、訪問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制。如暫時(shí)不具備條件，可采用硬件防火墻或網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制技術(shù)臨時(shí)代替。58.處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)的操作系統(tǒng)應(yīng)進(jìn)行安全加固，對(duì)生產(chǎn)控制大區(qū)的外部通信網(wǎng)關(guān)應(yīng)該具備加密、認(rèn)證和過(guò)濾的功能。59.簡(jiǎn)述調(diào)度系統(tǒng)數(shù)字證書(shū)類型及各種證書(shū)的應(yīng)用方式。－人員證書(shū)指關(guān)鍵業(yè)務(wù)的用戶、系統(tǒng)管理人員以及必要的應(yīng)用維護(hù)與開(kāi)發(fā)人員，在訪問(wèn)系統(tǒng)、進(jìn)行操作時(shí)需要持有的證書(shū)。主要用于用戶登錄網(wǎng)絡(luò)與操作系統(tǒng)、登錄應(yīng)用系統(tǒng)，以及訪問(wèn)應(yīng)用資源、執(zhí)行應(yīng)用操作命令時(shí)對(duì)用戶的身份進(jìn)行認(rèn)證，與其它實(shí)體通信過(guò)程中的認(rèn)證、加密與簽名，以及行為審計(jì)。－程序證書(shū)指關(guān)鍵應(yīng)用的模塊、進(jìn)程、服務(wù)器程序運(yùn)行時(shí)需要持有的證書(shū)，主要用于應(yīng)用程序與遠(yuǎn)方程序進(jìn)行安全的數(shù)據(jù)通信，提供雙方之間的認(rèn)證、數(shù)據(jù)的加密與簽名功能。－設(shè)備證書(shū)指網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)等，在接入本地網(wǎng)絡(luò)系統(tǒng)與其它實(shí)體通信過(guò)程中需要持有的證書(shū)，主要用于本地設(shè)備接入認(rèn)證，遠(yuǎn)程通信實(shí)體之間的認(rèn)證，以及實(shí)體之間通信過(guò)程的數(shù)據(jù)加密與簽名。60.對(duì)于生產(chǎn)控制大區(qū)統(tǒng)一部署一套內(nèi)網(wǎng)審計(jì)系統(tǒng)或入侵檢測(cè)系統(tǒng)（IDS），其安全策略的設(shè)置重在捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后安全審計(jì)，不宜使用實(shí)時(shí)阻斷功能。禁止使用入侵檢測(cè)與防火墻的聯(lián)動(dòng)?？紤]到調(diào)度業(yè)務(wù)的可靠性，采用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS），其IDS探頭主要部署在：橫向、縱向邊界以及重要系統(tǒng)的關(guān)鍵應(yīng)用網(wǎng)段。61. 生產(chǎn)控制大區(qū)部署的內(nèi)網(wǎng)審計(jì)系統(tǒng)或入侵檢測(cè)系統(tǒng)（IDS）其主要的功能用于捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅以及事后安全審計(jì)。62.簡(jiǎn)述關(guān)鍵應(yīng)用主機(jī)必須采取的安全防護(hù)措施。參考63～65。63. 關(guān)鍵應(yīng)用系統(tǒng)（如能量管理系統(tǒng)SCADA/EMS/DMS？、變電站自動(dòng)化系統(tǒng)、電廠監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)、電力交易系統(tǒng)等）的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)、Web服務(wù)器等，應(yīng)該采用加固的LINUX或UNIX等操作系統(tǒng)。64.主機(jī)安全防護(hù)主要的方式包括：安全配置、安全補(bǔ)丁、采用專用的軟件強(qiáng)化操作系統(tǒng)訪問(wèn)控制能力、以及配置安全的應(yīng)用程序。65. 操作系統(tǒng)安全加固措施包括：升級(jí)到當(dāng)前系統(tǒng)版本、安裝后續(xù)的補(bǔ)丁合集、加固系統(tǒng)TCP/IP配置、根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的服務(wù)、關(guān)閉SNMP協(xié)議避免利用其遠(yuǎn)程溢出漏洞獲取系統(tǒng)控制權(quán)或限定訪問(wèn)范圍、為超級(jí)用戶或特權(quán)用戶設(shè)定復(fù)雜的口令、修改弱口令或空口令、禁止任何應(yīng)用程序以超級(jí)用戶身份運(yùn)行、設(shè)定系統(tǒng)日志和審計(jì)行為等。66.數(shù)據(jù)庫(kù)的加固措施包括：數(shù)據(jù)庫(kù)的應(yīng)用程序進(jìn)行必要的安全審核、及時(shí)刪除不再需要的數(shù)據(jù)庫(kù)、安裝補(bǔ)丁、使用安全的密碼策略和賬號(hào)策略、限定管理員權(quán)限的用戶范圍、禁止多個(gè)管理員共享用戶賬戶和口令、禁止一般用戶使用數(shù)據(jù)庫(kù)管理員的用戶名和口令、加強(qiáng)數(shù)據(jù)庫(kù)日志的管理、管理擴(kuò)展存儲(chǔ)過(guò)程、數(shù)據(jù)定期備份等。67.由于安全區(qū)I是整個(gè)二次系統(tǒng)的防護(hù)重點(diǎn)，提供Web服務(wù)將引入很大的安全風(fēng)險(xiǎn)，因此在安全區(qū)I中禁止Web服務(wù)。安全區(qū)Ⅱ根據(jù)需要允許在本區(qū)專門(mén)開(kāi)通安全Web服務(wù)，其它業(yè)務(wù)系統(tǒng)的數(shù)據(jù)單向?qū)氚踩玏eb服務(wù)器，在安全區(qū)Ⅱ的安全Web服務(wù)器中進(jìn)行數(shù)據(jù)發(fā)布。禁止安全區(qū)I中的計(jì)算機(jī)使用瀏覽器訪問(wèn)安全區(qū)Ⅱ的安全Web服務(wù)。68. 考慮到Web服務(wù)的不安全性，因此在安全區(qū)II中僅允許在本區(qū)開(kāi)通安全Web服務(wù)，而且用于安全Web服務(wù)的服務(wù)器與瀏覽器客戶機(jī)統(tǒng)一布置在安全區(qū)II中的一個(gè)邏輯子區(qū)――Web服務(wù)子區(qū)，接入安全區(qū)II交換機(jī)上的獨(dú)立VLAN中。69.簡(jiǎn)述電力二次系統(tǒng)中關(guān)于遠(yuǎn)程撥號(hào)訪問(wèn)的防護(hù)策略。當(dāng)遠(yuǎn)程撥號(hào)訪問(wèn)生產(chǎn)控制大區(qū)時(shí)，要求遠(yuǎn)方用戶使用安全加固的LINUX或UNIX系統(tǒng)平臺(tái)，以防止將病毒、木馬等惡意代碼引入生產(chǎn)控制大區(qū)。遠(yuǎn)程撥號(hào)訪問(wèn)應(yīng)采用調(diào)度數(shù)字證書(shū)，進(jìn)行登錄認(rèn)證和訪問(wèn)認(rèn)證。撥號(hào)訪問(wèn)的防護(hù)可以采用鏈路層保護(hù)方式或者網(wǎng)絡(luò)層保護(hù)方式。鏈路保護(hù)方式使用專用鏈路加密設(shè)備，實(shí)現(xiàn)兩端鏈路加密設(shè)備相互進(jìn)行認(rèn)證和對(duì)鏈路幀進(jìn)行加密等安全功能。網(wǎng)絡(luò)保護(hù)方式采用VPN技術(shù)在撥號(hào)服務(wù)器（RAS）與遠(yuǎn)程撥入用戶建立加密通道，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層數(shù)據(jù)的機(jī)密性與完整性保護(hù)。對(duì)于通過(guò)RAS訪問(wèn)本地網(wǎng)絡(luò)與系統(tǒng)的遠(yuǎn)程撥號(hào)訪問(wèn)，建議采用網(wǎng)絡(luò)層保護(hù)方式。對(duì)于以遠(yuǎn)方終端的方式通過(guò)被訪問(wèn)的主機(jī)的串行接口直接訪問(wèn)的情況，建議采用鏈路層保護(hù)措施。對(duì)于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)該進(jìn)行記錄，用于安全審計(jì)。70.撥號(hào)的防護(hù)可以采用鏈路層保護(hù)方式，或者網(wǎng)絡(luò)層保護(hù)方式，對(duì)這兩種方式進(jìn)行簡(jiǎn)述。撥號(hào)訪問(wèn)的防護(hù)可以采用鏈路層保護(hù)方式或者網(wǎng)絡(luò)層保護(hù)方式。鏈路保護(hù)方式使用專用鏈路加密設(shè)備，實(shí)現(xiàn)兩端鏈路加密設(shè)備相互進(jìn)行認(rèn)證和對(duì)鏈路幀進(jìn)行加密等安全功能。網(wǎng)絡(luò)保護(hù)方式采用VPN技術(shù)在撥號(hào)服務(wù)器（RAS）與遠(yuǎn)程撥入用戶建立加密通道，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層數(shù)據(jù)的機(jī)密性與完整性保護(hù)。71.電力二次系統(tǒng)的新系統(tǒng)在投運(yùn)之前、老系統(tǒng)進(jìn)行安全整改之后或進(jìn)行重大改造或升級(jí)之后必須進(jìn)行安全評(píng)估；電力二次系統(tǒng)應(yīng)該定期進(jìn)行安全評(píng)估。72.電力二次系統(tǒng)安全評(píng)估納入電力系統(tǒng)安全評(píng)價(jià)體系。73.安全評(píng)估的內(nèi)容包括：風(fēng)險(xiǎn)評(píng)估、攻擊演習(xí)、漏洞掃描、安全體系的評(píng)估、安全設(shè)備的部署及性能評(píng)估、安全管理措施的評(píng)估等。對(duì)生產(chǎn)控制大區(qū)安全評(píng)估的所有記錄、數(shù)據(jù)、結(jié)果等均不得以任何形式、任何借口攜帶出被評(píng)估單位，要按國(guó)家有關(guān)要求做好保密工作。74.電力二次系統(tǒng)的安全防護(hù)實(shí)施方案必須經(jīng)過(guò)上級(jí)信息安全主管部門(mén)和相應(yīng)電力調(diào)度機(jī)構(gòu)的審核，完工后必須經(jīng)過(guò)上述機(jī)構(gòu)驗(yàn)收。安全防護(hù)方案的實(shí)施必須嚴(yán)格遵守國(guó)家經(jīng)貿(mào)委30號(hào)令、國(guó)家電監(jiān)會(huì)5號(hào)令以及相關(guān)的文件規(guī)定，保證部署的安全裝置的可用性指標(biāo)達(dá)到%。75.用于生產(chǎn)控制大區(qū)的工作站、服務(wù)器均嚴(yán)格禁止以各種方式開(kāi)通與互聯(lián)網(wǎng)的連接；限制開(kāi)通撥號(hào)功能，必須配置強(qiáng)認(rèn)證機(jī)制；在生產(chǎn)控制大區(qū)中的PC機(jī)應(yīng)實(shí)施嚴(yán)格管理。76.160