【正文】 通過友好的圖形化界面，網(wǎng)絡管理員可以很容易地定制安全策略，并對系統(tǒng)進行維護管理。豐富的電力監(jiān)控系統(tǒng)安全改造經(jīng)驗網(wǎng)絡安全隔離裝置（正向型）與南瑞所有的監(jiān)控系統(tǒng)（包括網(wǎng)、省調(diào)、地調(diào)、縣調(diào)和變電站SCADA系統(tǒng)以及水電、火電監(jiān)控系統(tǒng)）進行了安全改造和現(xiàn)場的實際運行；同時與國內(nèi)外主流的監(jiān)控系統(tǒng)廠商進行了廣泛、深入的合作（國內(nèi)：包括東方電子、魯能積成、上海申貝等；國外：阿爾斯通監(jiān)控系統(tǒng)、原CAE公司監(jiān)控系統(tǒng)、PI實時數(shù)據(jù)庫、Valmet SCADA系統(tǒng)等），保證電力監(jiān)控系統(tǒng)安全防護工程的順利實施。網(wǎng)絡數(shù)據(jù)處理流暢，不會成為網(wǎng)絡通訊瓶頸采用國產(chǎn)高性能RISC 體系結構CPU，內(nèi)核使用高效的過濾算法，充分發(fā)揮良好的硬件性能，采用高速傳輸芯片實現(xiàn)數(shù)據(jù)的高速安全傳輸，不會造成網(wǎng)絡通訊的瓶頸?；景踩δ茇S富，可實現(xiàn)在網(wǎng)絡中的快速部署采用綜合過濾技術，在鏈路層截獲數(shù)據(jù)包，然后根據(jù)用戶的安全策略決定如何處理該數(shù)據(jù)包；實現(xiàn)了MAC與IP地址綁定，防止IP地址欺騙；支持靜態(tài)地址映射(NAT)以及虛擬IP技術；具有可定制的應用層解析功能，支持應用層特殊標記識別，為用戶提供一個全透明﹑安全﹑高效的隔離裝置。在物理上實現(xiàn)了數(shù)據(jù)流的純單向傳輸，數(shù)據(jù)只能從高安全區(qū)流向低安全區(qū)。目前，內(nèi)核中只包括用戶管理﹑進程管理，裁剪掉TCP/IP協(xié)議棧和其它不需要的系統(tǒng)功能，進一步提高了系統(tǒng)安全性和抗攻擊能力，以防黑客對操作系統(tǒng)的攻擊，并有效抵御Dos/DDos攻擊。裝置采用電力專用隔離卡，以非網(wǎng)絡傳輸方式實現(xiàn)這兩個網(wǎng)絡間信息和資源安全傳遞，可以識別非法請求并阻止超越權限的數(shù)據(jù)訪問和操作，保障電力系統(tǒng)的安全穩(wěn)定運行。 電力監(jiān)控系統(tǒng)安全監(jiān)測裝置安全監(jiān)測裝置采集生產(chǎn)控制大區(qū)相關服務器、工作站、網(wǎng)絡設備、安防設備等信息，同時將涉網(wǎng)部分信息通過II區(qū)上傳到省調(diào)或地調(diào)相應網(wǎng)絡安全管理平臺。電力調(diào)度機構負責統(tǒng)一指揮調(diào)度范圍內(nèi)的電力監(jiān)控系統(tǒng)安全應急處理。建立健全電力監(jiān)控系統(tǒng)安全防護評估制度，采取以自評估為主、檢查評估為輔的方式，將電力監(jiān)控系統(tǒng)安全防護評估納入電力系統(tǒng)安全評價體系。電力調(diào)度機構、發(fā)電站、變電站等運行單位的電力監(jiān)控系統(tǒng)安全防護實施方案必須經(jīng)本企業(yè)的上級專業(yè)管理部門和信息安全管理部門以及相應電力調(diào)度機構的審核，方案實施完成后應當由上述機構驗收。電力企業(yè)應當按照“誰主管誰負責，誰運營誰負責”的原則，建立健全電力監(jiān)控系統(tǒng)安全防護管理制度，將電力監(jiān)控系統(tǒng)安全防護工作及其信息報送納入日常安全生產(chǎn)管理體系，落實分級負責的責任制。日志保存時間不小于6個月。 安全審計安全審計部署在安全區(qū)Ⅱ，通過網(wǎng)絡（TCP、UDP）、串口等多種通訊方式，采用SNMP 、SNMP Trap、SysLog、ODBC/JDBC、網(wǎng)絡SOCKET和可定制化接口等方式采集安全設備（如防火墻、IDS 、專用隔離設備、防病毒系統(tǒng)等）、服務器、數(shù)據(jù)庫及調(diào)度數(shù)據(jù)網(wǎng)設備的不同格式的日志信息和告警信息，對網(wǎng)絡安全事件信息進行集中分析過濾、處理、保存。檢測規(guī)則合理設置，以及時捕獲網(wǎng)絡異常行為、分析潛在威脅、進行安全審計。 實時入侵檢測發(fā)電站安全區(qū)I與安全區(qū)II部署一套網(wǎng)絡入侵檢測系統(tǒng)，并開通四個監(jiān)聽口。 防病毒發(fā)電站統(tǒng)一配置一套網(wǎng)絡版防病毒系統(tǒng)，配置一臺管理中心服務器，服務器部署安裝于安全二區(qū)，安全一區(qū)客戶端通過一、二區(qū)之間防火墻實現(xiàn)交互；生產(chǎn)控制大區(qū)局域網(wǎng)筆記本、工作站、服務器部署安裝客戶端，服務端管理各個客戶端，對客戶端進行升級和監(jiān)控管理，提高對病毒及木馬的防護能力，包括進行病毒定義碼的更新、防病毒政策的設定、病毒情況的監(jiān)控，手動的、定時的病毒掃描及清除、病毒日志及匯總報表以及集中隔離未知病毒，并能隔離有病毒的客戶端，手工定期升級惡意代碼防護系統(tǒng)病毒庫。發(fā)電站一平面、二平面安全區(qū)ⅠⅠ區(qū)已部署兩套縱向加密認證裝置采用電力專用分組密碼算法和公鑰密碼算法，支持身份鑒別、信息加密、數(shù)字簽名和密鑰生成與保護，提供基于RSA、SM2公私密鑰對的數(shù)字簽名和采用專用加密算法進行數(shù)字加密的功能,實現(xiàn)業(yè)務系統(tǒng)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護，與調(diào)度端實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。安全分區(qū)如圖所示圖10 光伏電站監(jiān)控系統(tǒng)安全部署示意圖 安全措施部署情況發(fā)電站電力監(jiān)控系統(tǒng)安全防護部署拓撲圖：圖11 XX光伏發(fā)電站電力監(jiān)控系統(tǒng)安全防護部署拓撲圖 電站橫向通信防護XX光伏電站設置管理信息大區(qū)，生產(chǎn)控制大區(qū)與管理信息大區(qū)業(yè)務交互、部署橫向隔離裝置，安全一區(qū)與安全二區(qū)之間部署硬件防火墻實現(xiàn)邏輯隔離。 安全分區(qū)根據(jù)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》的要求，在調(diào)度數(shù)據(jù)網(wǎng)內(nèi)劃分兩個VPN，分別是：實時控制VPN和非控制生產(chǎn)VPN，分別供安全區(qū)I(實時控制區(qū))、安全區(qū)II（非控制生產(chǎn)區(qū)）。2）各系統(tǒng)安全需求 電站各業(yè)務系統(tǒng)應逐步采用電力調(diào)度數(shù)字證書，對用戶登錄本地操作系統(tǒng)、訪問系統(tǒng)資源等操作進行身份認證，根據(jù)身份與權限進行訪問控制，并且對操作行為進行安全審計。l 生產(chǎn)業(yè)務系統(tǒng)設備與調(diào)度端采用語音撥號通信不考慮安全防護。 總體安全需求根據(jù)對電站監(jiān)控系統(tǒng)現(xiàn)狀的分析，現(xiàn)提出以下總體安全需求說明：1） 通信安全需求l 廠內(nèi)各系統(tǒng)設備之間采用以太網(wǎng)方式連接則必須采取符合相關規(guī)定的橫向隔離措施。 6 XX光伏電站監(jiān)控系統(tǒng)安全防護方案 安全防護目標電站監(jiān)控系統(tǒng)安全防護主要針對網(wǎng)絡信息安全，目標是：1）抵御黑客、病毒、惡意代碼等通過各種形式對電力監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，尤其是集團式攻擊；2)防止內(nèi)部未授權用戶訪問系統(tǒng)或非法獲取信息以及重大違規(guī)操作行為。防護重點是通過各種技術和管理措施，對實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)的安全實施保護，防止電力監(jiān)控系統(tǒng)癱瘓和失控，并由此導致電力系統(tǒng)故障。l 生產(chǎn)業(yè)務系統(tǒng)設備與調(diào)度端專線通信方式不考慮安全防護。l 生產(chǎn)業(yè)務系統(tǒng)設備與調(diào)度端經(jīng)調(diào)度數(shù)據(jù)網(wǎng)和保護專用網(wǎng)絡通信須采取隔離措施，防止網(wǎng)絡攻擊、病毒和非法操作。3）全局安全需求 重點強化邊界防護，同時加強內(nèi)部的物理、網(wǎng)絡、主機、應用和數(shù)據(jù)安全，加強安全管理制度、機構、人員、系統(tǒng)建設、系統(tǒng)運維的管理，提供系統(tǒng)整體安全防護能力，保證電力監(jiān)控系統(tǒng)及重要數(shù)據(jù)的安全。站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)作為數(shù)據(jù)采集匯聚中心，由調(diào)度數(shù)據(jù)網(wǎng)接入省調(diào)、地調(diào)骨干節(jié)點，實現(xiàn)集控中心的調(diào)度自動化信息經(jīng)過調(diào)度數(shù)據(jù)網(wǎng)向省調(diào)、地調(diào)