电站二次系统安全防护

《电站二次系统安全防护》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、图-1电力：次系统安全防护H标随着互联网在电力行业广泛使用，各类Email,web应用与终端PC也逐渐在电力系统普及，使得电力系统内部网络经常遭受病毒，黑客恶意攻击，影响内部业务系统安全运行。目前调度屮心、发电厂、变电站在业务系统与数据网络的规划、设计、建造时，对网络安全问题不够重视，使得内部具有实时远方控制功能的监控系统，在没有任何安全隔离防护的情况下与内部MIS系统或者其他数据网络互通，给电网安全运行带来严重隐患。对于电力二次系统常见安全风险主要有旁路控制、完整性破坏、违规授权、内部人员的随意操作、拦截/篡改、信息泄霧等等。1、业务网络边界隔离防护薄弱在调度中心、发电厂以及

2、变电站中，部署安装大量的电力二次系统业务，然而各类业务系统Z间的网络边界缺少必要隔离防护措施，对于内部非法/耒授权访问不能进行有效检测，拦截。当内部爆发病毒，恶意攻击行为时，也无法有效阻止扩散、传播。2、业务系统内部行为监控不足在电力二次系统对内部网络中，偶然发生各类安全攻击行为不能及时发现，并进行有效阻止，使得威胁不断扩人，进而给电力二次系统安全稳定运行带来更人的破坏。3、核心业务数据传输安全性差在调度中心、发电厂以及变电站中，调度数据网承载所有业务系统数据传输，然而对于关键电力二次系统的数据传输依然缺失有效安全保护措施，特别是核心业务数据，或者控制指令，让监听、篡改等恶意行

3、为有机可乘。方案设计原则1、分区防护、突出重点根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。2、安全区隔离采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行冇效安全隔离，隔离强度应接近或达到物理隔离。3、网络隔离在专用通道上建立调度专用数据网络，实现与其他数据网络物理隔离。并通过采用MPLS-VPN或IPsec-VPN在专网上形成多个相互逻辑隔离的VPN,以保障上下级各安全区的纵向互联仅在和同安全区进行，避免安全区纵向交叉。4

4、、纵向防护采川认证、加密等手段实现数据的远方安全传输。华为电力二次系统安全防护方案优势业界领先的性能&可靠性安全设备性能优异，海最业务处理：防火墙最高32G吞吐量，15K并发VPN隧道。关键部件冗余配置，成熟的链路转换机制，支持内置Bypass插卡（USG5100/5500支持），为电力二次系统隔离防护捉供超长无故障硬件保障，为电力业务系统打造永续的运行环境；全面安全隔离防护区域隔离边界部署无瓶颈，清晰规划区域网络边界；提供灵活的包过滤策略，精确控制互访关系；对VPN用户数据包进行折包检测，保障数据通信安全。全血防御來自内部网络各种安全威胁，保证内网安全。领先的漏洞防护技术，针

5、对漏洞（而非攻击代码）提供“虚拟补丁”，让各种攻击变形无所遁形；优异的带宽容量优化华为针对电力二次系统防护法规要求，对电网公司信息管理人区，进行横向安全区域访问隔离，纵向安全区的访问控制，提供基于业务应用的IPSecVPN加密隧道，确保电网公司信息管理大区内的各类业务访问安全性、可靠性。具备优异的应用识别能力，通过对•主流应用协议的识别控制，可以有效的保障业务QoS,优化网络带宽，通过对P2P、流媒体等应用带宽控制，保障网络资源有效使用，并提高企业IT治理水平；灵活配置，高效管理支持基于用户的访问控制、限流、网络应用控制和内容安全、策略路由等技术，提供细粒度的控制权限，抛弃基于

6、IP配置的复杂性，配置更加灵活、控制更加精准；基于WEB界面的专业配置向导，采用人机对话方式引导管理员进行配置，全面提升管理员操作体验。