解決方案:
安全區(qū)間橫向網絡邊界安全防護
控制區(qū)與非控制區(qū)之間采用防火墻進行邏輯隔離��,對傳輸的地址�、協議、端口和數據流的方向進行控制����?����?刂茀^(qū)與非控制區(qū)之間的訪問控制策略原則上只允許控制區(qū)系統與非控制區(qū)系統主動建立鏈接��,禁止從非控制區(qū)反向訪問控制區(qū)系統�����,確有必要反向訪問時���,必須對訪問的地址、協議和端口實施嚴格的訪問控制�。生產控制大區(qū)與管理信息大區(qū)的網絡邊界處設置電力專用安全隔離裝置進行單向物理隔離,實現數據的單向傳輸和網絡邊界的高強度隔離���。
安全區(qū)間縱向網絡邊界安全防護
在控制區(qū)與調度數據網實時VPN的網絡邊界設置電力專用縱向加密認證網關(裝置)��;在非控制區(qū)與調度數據網實時VPN的網絡邊界設置國產硬件防火墻���,是電力監(jiān)控系統安全防護的另一關鍵技術措施���。
安全區(qū)內部綜合防護
1.在生產控制大區(qū)和管理信息大區(qū)部署入侵檢測系統�����,對關鍵業(yè)務系統和網絡邊界的關鍵路徑信息進行實時檢測��,實現安全事件的可發(fā)現�����、可追蹤�、可審計。
2.在控制大區(qū)和管理大區(qū)分別部署運維安全審計系統(堡壘主機)全面禁止廠家通過互聯網遠程運維���,通過運維管控平臺集中運維數據網設備和服務器設備����,并對運維人實名認證�,對運維過程能實時監(jiān)控、實時阻斷���、全面審計��,實現控制大區(qū)IT資源(EMS服務器�、網絡設備、安全設備)運維過程符合等保�、二次安防的要求。
3.在生產控制大區(qū)建立安全審計����,全面收集、集中存儲生產控制大區(qū)各種業(yè)務系統���、網絡設備���、安全產品、機房設施等的運行日志��、操作系統日志�、數據庫訪問日志,并具備動態(tài)監(jiān)視���、故障分析��、安全審計����、事件預警及告警功能。
防護目標:
? 防范入侵者的惡意攻擊與破壞����。
? 保護電力監(jiān)控系統和電力調度數據網絡的可用性����。
? 保護電力調度數據網絡和系統服務的連續(xù)性。
? 保護電力調度數據網絡重要信息在存儲和傳輸過程中的機密性�、完整性。
? 實現應用系統和設備接入電力監(jiān)控系統的身份認證����,防止非法接入和非授權訪問。
? 防止對調度數據網絡和應用系統上重要系統操作的抵賴行為��。
? 實現電力監(jiān)控系統和調度數據網安全事件可發(fā)現��、可跟蹤及可審計�����。
? 實現電力監(jiān)控系統和調度數據網絡的安全審計����。
相關產品:
東方防火墻
安全隔離裝置
工業(yè)入侵檢測系統
日志審計系統
運維安全審計系統
